Securing Access to WinCC OA Control Applications with Apache httpd Proxy
Kämäräinen, Hannu (2015)
Kämäräinen, Hannu
2015
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202001071047
https://urn.fi/URN:NBN:fi:amk-202001071047
Tiivistelmä
Tyypillisesti CERNissä WinCC OA -sovelluksien käynnistys on pohjautunut SMB/NFS-pohjaiseen tiedostojen jakoon verkon ylitse. Näissä on kuitenkin ollut ongelmia saatavuuden, tiedosto-oikeuksien, suorituskyvyn ja kahdennettujen projektien saatavuuden suhteen.
WinCC OA:ssa on sisäänrakennettu web-palvelin, jonka avulla on mahdollista jakaa sovelluksen käynnistyksessä tarvittavat projektitiedostot HTTP-protokollaa käyttäen. Tietoturvan osalta sisäänrakennettu web-palvelin on kuitenkin puutteellinen. Tehtävänä oli toteuttaa web proxy -palvelu, joka suojaisi sisäänrakennetun web-palvelimen käytön sovelluksia käynnistettäessä. Apache httpd valittiin proxyn teknologiaksi vakautensa, säädettävyytensä ja laajan käyttäjäkuntansa vuoksi.
Projekteja käynnistäessä proxyn kautta httpd hoitaa kaiken autentikoinnin ja autorisoinnin. Yleisesti käytössä olevia tekniikoita kuten round-robin sekä ns. wildcard-nimipalvelintietueita käytettiin proxyn saatavuuden takaamiseksi sekä pääsyn hallintaan eri projekteihin. Httpd-konfiguraatiotiedostojen luominen automatisoitiin ja WinCC OA:han toteutettiin asennettava lisäosapaketti, joka valmistaa WinCC OA -projektin web-palvelimen käyttöä varten ja proxyjen kautta tulevia yhteyksiä varten.
Tulevaisuudessa proxyä voi olla mahdollista käyttää tiettyjen muiden CERNin web applikaatioiden suojaamiseen, sekä web-palvelimilla varustettujen teollisuuden laitteiden suojaamiseen. Description
The traditional SMB/NFS based start-up of WinCC OA control applications at CERN has typically had problems with availability, file permissions, performance, and access for redundant WinCC OA projects.
WinCC OA has an embedded web server, which allows for an alternative method for transferring project files during start-up using the HTTP protocol, however security-wise it is considered lacking. The objective was to implement a web proxy service to secure the http based start-up for WinCC OA applications. Apache httpd was the chosen technology for the proxy due to its maturity, customizability, and wide community support.
All authentication and authorization in accessing the projects is delegated to httpd and its modules, thus providing strong security. Common techniques such as round-robin and wildcard DNS-records were used to provide redundancy for the proxy setup, and to handle dynamic sub-domains and controlling access to different projects. The generation of the necessary httpd configuration files was automated, and software components were produced to prepare WinCC OA projects for the embedded web server use and connections coming through the proxy.
Future use of the proxy may include similar use cases in securing other CERN web applications, and possibly other hardware with embedded web servers, such as high voltage system mainframes.
WinCC OA:ssa on sisäänrakennettu web-palvelin, jonka avulla on mahdollista jakaa sovelluksen käynnistyksessä tarvittavat projektitiedostot HTTP-protokollaa käyttäen. Tietoturvan osalta sisäänrakennettu web-palvelin on kuitenkin puutteellinen. Tehtävänä oli toteuttaa web proxy -palvelu, joka suojaisi sisäänrakennetun web-palvelimen käytön sovelluksia käynnistettäessä. Apache httpd valittiin proxyn teknologiaksi vakautensa, säädettävyytensä ja laajan käyttäjäkuntansa vuoksi.
Projekteja käynnistäessä proxyn kautta httpd hoitaa kaiken autentikoinnin ja autorisoinnin. Yleisesti käytössä olevia tekniikoita kuten round-robin sekä ns. wildcard-nimipalvelintietueita käytettiin proxyn saatavuuden takaamiseksi sekä pääsyn hallintaan eri projekteihin. Httpd-konfiguraatiotiedostojen luominen automatisoitiin ja WinCC OA:han toteutettiin asennettava lisäosapaketti, joka valmistaa WinCC OA -projektin web-palvelimen käyttöä varten ja proxyjen kautta tulevia yhteyksiä varten.
Tulevaisuudessa proxyä voi olla mahdollista käyttää tiettyjen muiden CERNin web applikaatioiden suojaamiseen, sekä web-palvelimilla varustettujen teollisuuden laitteiden suojaamiseen.
The traditional SMB/NFS based start-up of WinCC OA control applications at CERN has typically had problems with availability, file permissions, performance, and access for redundant WinCC OA projects.
WinCC OA has an embedded web server, which allows for an alternative method for transferring project files during start-up using the HTTP protocol, however security-wise it is considered lacking. The objective was to implement a web proxy service to secure the http based start-up for WinCC OA applications. Apache httpd was the chosen technology for the proxy due to its maturity, customizability, and wide community support.
All authentication and authorization in accessing the projects is delegated to httpd and its modules, thus providing strong security. Common techniques such as round-robin and wildcard DNS-records were used to provide redundancy for the proxy setup, and to handle dynamic sub-domains and controlling access to different projects. The generation of the necessary httpd configuration files was automated, and software components were produced to prepare WinCC OA projects for the embedded web server use and connections coming through the proxy.
Future use of the proxy may include similar use cases in securing other CERN web applications, and possibly other hardware with embedded web servers, such as high voltage system mainframes.