Blokace přístupu k Remote desktop

[TomaMal]

Zdravím,

Pro jednoho z našich zákazníků děláme nadřazený řídící systém haly, který bude primárně řešit FS a další podobné věci. Jeden z požadavků zákazníka bylo, aby tento řídící systém také dokázal blokovat možnost připojení z vybraného PC (ve velíně) k podřízeným PC přímo na hale (nějaký způsob remote desktop). Reálná situace je taková, že nadřazený řídící systém na základě nějakých vstupů vybere a umožní spojení pouze s jedním PC na hale.

Moje idea byla použít na straně haly switch, který každému fyzickému portu přidá (jinou) VLAN. Na straně velínu dát druhý switch (Profinet, připojený k řídícímu systému), kterému by řídící systém vnutilo na port pro PC pouze tu VLAN, která by měla být aktuálně dostupná.
Nejsem síťař, ale přijde mi, že takto by to mohlo fungovat. Napadá někoho nějaké rozumnější řešení? Podmínkou je, celý ten systém dokázal spolupracovat s S7-1500, tzn Profinet, Modbus nebo něco podobného

Díky za jakékoliv postřehy

[Reklama]

[ogdru6jahad]

to by melo jit nastavit primo v remote desktop nastaveni tipuju.

https://learn.microsoft.com/en-us/answers/questions/29902/limit-rdp-connections-to-one-user-at-a-time

[Bugsa]

Otázka mě zaujala protože ji vůbec nechápu a zajímá mě ta myšlenka za ní.

Jedná o připojení přes Windows RDP standardním klientem Připojení ke vzdálené ploše? Nebo nějaké VNC?
Nestačilo by nějakým skriptem měnit konfigurační soubor k připojení? Prostě v něm vždy změnit IP adresu cílové stanice a pokud existuje stávající připojení, tak ho killnout.

[_Jenda]

Přidávám se k lidem co otázku nepochopili. Ten remote desktop se snad nějak autentizuje (SSH klíče, heslo, kerberos, AD, nějaké další moduly do PAMu…), doufejme. Tak proč "Blokace přístupu k Remote desktop" nemůže znamenat prostě to že daný počítač/uživatel nebude mít právo se přihlásit?

[RDa]

Pro vsechny co to nepochopili.. tazatel resi nadrazeny system na bazi PLC, a z nej asi tezko budete volat admin konzoli na zmenu konfigurace windows sluzby. Nejvice co zrejme dokaze nainstrumentovat vlastnimi silami a predstavivosti bude ovladani switche skrze seriovou linku a vestaveny cli management.

[Reklama]

[honzako]

Vůbec si nejsem jistý zda úplně chápu co chceš a jak to máš zapojené, ale jestli chceš něco na síti omezit tak musíš použít nějaký router s firewall s povolenými pravidly. Prostě mezi síť a zařízení (tomu je úplně jedno co tam běží) strčíš nějaký Mikrotik a omezíš porty na konkrétní adresy nebo jinou identifikaci a povolíš příslušné směry atd.
Jestli to chceš centrálně tak asi bez routování a pravidel se neobejdeš, otázka je jak velká změna to bude.
Ale jak říkám vařím z vody, vůbec nechápu přesně co chceš a jak stávající infrastruktura vypadá.
.
Nejsem si úplně jist zda ty VLANy jsou ideální, protože zvětšují velikost standardního paketu. Nicméně tom tvým popisu je guláš, protože zdůrazňuješ Profinet a pak remote desktop a to klidně může znamenat RDP ve Windows, ale jinde se zmiňují PLC?!
.
Napiš spíše jak to tam vypadá (více hal, více racků, více switchů, více fyzických lan atd.), co tam běží a nebo co tam má běžet (zařízení a aplikace a protokoly a rozhraní) a pak co si od toho představuješ a jak to má fungovat.
.
Ještě zvaš jestli teď není vhodný okamžik kdy to můžeš v pohodě hodit na nějakého místního síťaře.

[Marek Staněk]

Jestli to chápu správně, tak cílem není ani tak zakázat někam přístup, jako spíš konzoli ve velíně říct, ke kterému podřízenému počítači se má, na základě nějakých informací, navazovat sezení RDP při rozklepnutí zástupce na ploše.
Tam mi přijde nejjednodušší mít zástupce RDP pro spojení s jednotlivými cíli v jedné složce, a na základě vstupních informací na plochu vykopírovat požadovaného zástupce a toho dosavadního přepsat.

[Marek Staněk]

Moje idea byla použít na straně haly switch, který každému fyzickému portu přidá (jinou) VLAN. Na straně velínu dát druhý switch (Profinet, připojený k řídícímu systému), kterému by řídící systém vnutilo na port pro PC pouze tu VLAN, která by měla být aktuálně dostupná.
Nejsem síťař, ale přijde mi, že takto by to mohlo fungovat. Napadá někoho nějaké rozumnější řešení? Podmínkou je, celý ten systém dokázal spolupracovat s S7-1500, tzn Profinet, Modbus nebo něco podobného

Jako že bys ta cílová pecka měl všechna na stejné IP adrese?
To by fungovalo jen v případě, že by ten adaptér byl vyhrazený JENOM pro tohle příchozí spojení, a pro běžnou komunikaci by se používalo další rozhraní.
To už máš lepší na té konzoli ve velíně přepisovat cílovou adresu v konfiguraci spojení, nebo viditelného zástupce přepisovat kopií vybranou na základě vstupů.

[TomaMal]

Je zřejmé, že jsem otázku nepoložil dostatečně jasně. Přikládám zjednodušené blokové schéma. Máme počítače K101 až K1xx (reálně cca 15-20 Windows PC). do těchto počítačů nejde nijak zasahovat, řídí existující technologie a zákazník nám nedovolí dělat změny. Tento přístup je běžný a pochopitelný. Dále máme počítač K100, který má mít přístup právě k jednomu z počítače ze skupiny K101-K1xx na základě toho, jak se CPU KEB1 "rozhodne". Je to řídící systém od Siemens, jsem omezen na některé průmyslové sběrnice případně seriovku. Tento počítač je také v režii zákazníka a SW změny by teoreticky byly možné, ale nejspíše dost problematické z hlediska zákazníkova IT.

Idea byla taková, že na switchi KFE1 nastavit pro každý z portů 1-x jedinečnou VLAN. Pokud bude switch KFE2 profinet switch Scalance vyšší řady, můžu mu za chodu změnit nastavení přes WRREC a říct mu, že port 1 akceptuje pouze pakety s vybranou VLAN.

Zákazník od nás očekává, že systém bude implementovaný nezávisle na použitých PC, počítače se mění daleko častěji než řídící systémy a nechce pokaždé dělat změny. Přijde mi, že takto by to mohlo fungovat, ale jak jsem již řekl, nejsem síťař

Díky

[f]

Dále máme počítač K100, který má mít přístup právě k jednomu z počítače ze skupiny K101-K1xx na základě toho, jak se CPU KEB1 "rozhodne".

Tohle se ma chapat tak, ze K100 nesmi mit pristup jinam, nez KEB1 rozhodne, nebo ze K100 se ma pripojit tam, kam KEB1 rozhodne?

[RDa]

Tak jsem tomu porozumel spravne. Mas v podstate 2 varianty - tu tvoji, management resit skrze Profinet zpravy, nebo moji verzi se seriovou CLI a prenastavovanim switche pres dva prikazy (disable all, set 1 of N vlan).

Jeste me pak napada alternativa s vetsi abstrakci - existujici PLC CPU muze poslat jenom logickou zpravu (bitovou masku povolenych pristupu) do nejake dalsi (nove) jednotky ktera na blokovem diagramu neni, a ta pak zajisti nakonfigurovani switche. Zde je vyhoda ze bys mohl pouzit treba stejny model switche jako na protistrane a konfigurovat ho skrze volnejsi protokol (seriak, telnet, ssh) podle toho, co ta translacni krabicka umoznuje.

Vyhodu v tom vidim, ze pokud dodavas switch + jeho rizeni, tak si to prizpusobis podle sebe, a neni nutny zasah do PLC CPU, ktere bude porad jenom posilat tu bitovou masku.

[Bugsa]

Dejme tomu že to rozjedeš třeba přes to přiřazování VLAN na portu switche.
Ale jak to má fungovat dál? Píšeš, že PC K1xx jsou v cizí správě a možná se budou za provozu měnit.

U počítače K100 sedí uživatel a tam má ikonku pro každé PC K1xx a zkouší ke kterému se mu zrovna půjde připojit? Nebo tam běží nějaký specializovaný software který ví co KEB1 právě rozhodl? Nebo jak píšou přede mnou, všechna PC K1xx budou mít stejnou IP adresu?

[RDa]

Dejme tomu že to rozjedeš třeba přes to přiřazování VLAN na portu switche.
Ale jak to má fungovat dál? Píšeš, že PC K1xx jsou v cizí správě a možná se budou za provozu měnit.

U počítače K100 sedí uživatel a tam má ikonku pro každé PC K1xx a zkouší ke kterému se mu zrovna půjde připojit? Nebo tam běží nějaký specializovaný software který ví co KEB1 právě rozhodl? Nebo jak píšou přede mnou, všechna PC K1xx budou mít stejnou IP adresu?

Vzdalene servisovat muzete jen stroj/linku ktera neni v aktivim provozu - takze pokus o pripojeni klidne muze skoncit nemoznosti se pripojit.

To ja bych spis mel dotaz, zda ty lokalni stroje na lince maji monitory, protoze po RDP zasahu je typicky win na prihlasovaci obrazovce, a neudela otevreni lokalni session.

[feferka2010]

- pokud to neridi atomovou elektrarnu dal bych tam mikrotik a bud sachoval s vlanama ale radeji to povoloval na bridge-firewallu na druhe vrstve (pak neni treba tam nic menit ani prenastavovat od site po vlany).

- druha varianta je HAP nebo jina tcp proxy ktera by presmerovalala provoz a na vstupu bych si hral s ip pravidlama.


moznosti ne nepocitane, ja bych volil mikrotiik nebo linux s hapem kde si automatizaci napises sam. mozna by to slo i tak ze by v pripade pouziti HMI nadrizeneho sel do seznamu a pak byl skritp co by co vterinu odkazoval na to jestli je pripojeny ten hlavni a pokud ne slo by se po ostatnich.