Multiplexing Proxy

Der WinCC OA Multiplexing Proxy Manager dient für die Erhöhung der Sicherheit innerhalb Ihres WinCC OA-Projektes.

Die wichtigsten Eigenschaften des Multiplexing Proxys sind:

  • Reduktion der offenen Netzwerkports des Servers
  • Schutz vor Denial-of-Service Attacken
  • Der Multiplexing Proxy kann im Vergleich zu anderen Managern mit einer geringeren Berechtigungsstufe betrieben werden, sofern der Proxy als abgesetzter Manager betrieben wird

Die Hauptaufgabe des Multiplexing Proxys ist das Managen von Verbindungen zwischen Managern oder Projekten. Sobald der Proxy eine Verbindung freigegeben hat, dient er nur noch für die Weiterleitung der Pakete dieser geöffneten Verbindung. Die Kommunikationspakete werden signiert und die Inhalte verschlüsselt.

Wenn eine Verbindungsanfrage zwischen Client und Server über den Multiplexing Proxy geleitet wird, entscheidet dieser, basierend auf der verwendeten Konfiguration, ob die Verbindung aufgebaut werden darf.

Wenn eine Verbindung, welche über den Proxy läuft (Client <=> Proxy oder Server <=>- Proxy Verbindung) geschlossen wird, beendet der Proxy automatisch die entsprechende Verbindung zum Server/Client.

  • z.B. 1: Wenn das UI des Clients gestoppt wird, beendet der Proxy automatisch diese TCP Verbindung zwischen Proxy und Server.
  • z.B. 2: Wenn der Server die Verbindung unterbricht (z.B. wenn der Server gestoppt wurde), wird die entsprechende Verbindung zwischen Proxy und Client ebenfalls geschlossen.

Ein weiterer, nicht sicherheitsrelevanter Vorteil des Multiplexing Proxy ist die reduzierte Anzahl an offener und sichtbarer Netzwerk Ports für externe Verbindungen, wodurch die Kosten und die Komplexität des Netzwerk Managements verringert werden kann.

Anmerkung: In einem Szenario in dem der Proxy als abgesetzter Manager auf einer eigenständigen Maschine betrieben wird, können die Auswirkungen einer DoS-Attacke eingeschränkt werden.
VORSICHT: Der Multiplexing Proxy schützt nicht gegen DoS Attacken nachdem eine Verbindung zwischen Client und Server erfolgreich aufgebaut wurde.

Verwendung des Multiplexing Proxy

Der Multiplexing Proxy ist, vergleichbar mit anderen WinCC OA-Managern, überwacht durch den Prozess Monitor (PMON). Der Proxy kann auf dem gleichen Server wie der Data- und Event-Manager betrieben werden, eine Konfiguration für die Verwendung auf einem anderen Host ist ebenfalls möglich, z.B. um mehrere Projekte mit einem Proxy zu verwalten.

Anmerkung: Bei aktiviertem Proxy-Manager ist der Config-Eintrag localAddress für alle Manager außer dem WCCILproxy 127.0.0.1 (IPv4) bzw. ::1 (IPv6). Die Manager sind daher von einem anderen Rechner nur mehr über den Multiplexing Proxy erreichbar. Deaktiviert man den Proxy-Manager so ist der Defaultwert von localAddress "undefined" und die Manager sind von einem anderen Host erreichbar.
Abbildung 1. Schematische Darstellung der Proxy Konfiguration

Folgende Punkte beschreiben einen möglichen Anwendungsfall für den Multiplexing Proxy:

  • Die Firewall blockiert alle Verbindungen außer die Verbindungen die über den Proxy Port des proxy Hosts geleitet werden
  • Ein Client Projekt darf nicht direkt auf den Server zugreifen
  • Nur für den Zugriff konfigurierte Manager dürfen über den Proxy auf den Server zugreifen
  • Der Client darf sich nicht zu anderen Servern (z.B. SQL Server) verbinden.

Verwendung von Zertifikaten

Der Multiplexing Proxy verwendet selbst signierte Zertifikate für die Verifikation einer Verbindungsanfrage. Default Zertifikate werden mit der WinCC OA-Installation ausgeliefert und können direkt verwendet werden. Es ist zu beachten, dass diese Zertifikate mit jeder WinCC OA-Installation ausgeliefert werden und aus diesem Grund keine gesicherte Kommunikation ermöglichen!

Wenn keine gesicherte Kommunikation erforderlich ist (z.B. kein externer Zugang über das Netzwerk) sind keine Änderungen innerhalb der Projektkonfiguration nötig. Die WinCC OA Projekt Kommunikation kann out-of-the-box verwendet werden. Für eine gesicherte Kommunikation sind folgende Punkte zu beachten:

  • Die Default Zertifikate befinden sich innerhalb des /config Ordners des WinCC OA Projektes und müssen mit selbst signierten Zertifikaten ersetzt werden um eine sichere Kommunikation zu ermöglichen (die verwendeten SSL Zertifikate können mittels des Config-Eintrags sslCertificate definiert werden).
  • Um neue selbst signierte SSL Zertifikate zu erstellen kann das "Zertifikat erstellen" Panel verwendet werden. (System Management > Kommunikation > SSL Zertifikate).
  • Bei der Verwendung von externen Zertifikaten (z.B. Verisign) für den WinCC OA Multiplexing Proxy ist es wichtig, Vorsichtsmaßnahmen zu treffen. Die Verwendung des Konfigurationseintrags [all sections] chainPrefix gewährleistet eine sichere Kommunikation. Dieser Prefix sorgt dafür, dass nicht alle von der externen Stelle signierten Zertifikate automatisch als vertrauenswürdig eingestuft werden.

Debug Information

Um zusätzliche Informationen bezüglich der ein- und ausgehenden Verbindungen des Multiplexing Proxys zu erhalten, kann die option "-report dispatch" für den Proxy Manager verwendet werden.

Die momentane Konfiguration des Proxy kann beim Starten mittels des "-dbg work" Flags für den Multiplexing Proxy Manager ausgelesen werden.

Deaktivieren des Multiplexing Proxys

Um die gesicherte Kommunikation des Multiplexing Proxys zu deaktivieren muss der Config-Eintrag mxProxy="none" in der [general] Sektion der Config-Datei aufgenommen werden.