Anzeige

Aus dem Facharchiv: Elektropraxis
Mehr Sicherheit durch Verinselung

Ob in der Haus- und Gebäudeautomation oder im industriellen Umfeld, die Einbindung von Automatisierungseinrichtungen in ein bereits existierendes Intranet bietet viele Vorzüge, aber eben auch viele nicht zu unterschätzende Gefahren. Einem Teil dieser Gefahren kann man bereits wirkungsvoll am Übergang zwischen Inter- und Intranet entgegentreten, bei anderen wiederum bedarf es eines gezielteren Herangehens.

Zwei Geräte – ein Konzept a) Microwall Gigabit – Router mit konfigurierbarem Paketfilter (Quelle: W&T)

Die Wiesemann und Theis GmbH (W&T) ist ein in Wuppertal beheimatetes und nach den Firmengründern benanntes Technologieunternehmen. Ein Blick auf das Produktportfolio des Unternehmens macht schnell deutlich, dass hier, ausgehend vom Wissen um die Techniken des Internets eine neue Generation von Automatisierungslösungen angeboten wird. Internettechnologien werden nicht in existierende Produkte „nachgerüstet“, sondern diese Lösungen werden ausgehend von Netzwerk- und Web-Techniken entwickelt. Die Internettechnologien sind also Basis der Produkte. Beispielhaft hierfür sind die unter der Produktbezeichnung Web-IO angebotenen Automatisierungslösungen. Zum Produktangebot des Unternehmens gehören weiter diverse Schnittstellen zur Anbindung von Sensorik sowie Netzwerktechnik. Aktuell hat das Unternehmen sein Portfolio um zwei Produkte ergänzt, die dazu beitragen, die mit dem Intranet/Internet verbundenen Systeme vor unerlaubten Zugriffen über das Netz zu schützen.

 

 

Verinselung als Konzept

Obwohl beide Geräte für grundsätzlich unterschiedliche Aufgabenbereiche konzipiert sind, liegt beiden Geräten der Grundgedanke der Abtrennung der schutzbedürftigeren Komponente vom übrigen Netz zugrunde. Diese von den Entwicklern „Verinselung“ genannte Vorgehensweise basiert letztlich auf der auch ansonsten aus unterschiedlichen Beweggründen angewandten Praxis der Segmentierung von Netzen. Während es ansonsten vorzugsweise darum geht eigene Netzsegmente für die unterschiedlichen Bereiche (Verwaltung, Entwicklung und Produktion) eines Unternehmens zu bilden, sind diese Geräte vor allem zur Anbindung einzelner Endgeräte mit einem höheren Schutzbedarf konzipiert. Gleiches gilt auch für Komponenten, die wegen der darauf installierten Software (z. B. ältere Technik) einer höheren Gefährdung ausgesetzt sind. Durch diese Vorgehensweise können die Maßnahmen zur Erhöhung der Sicherheit wesentlich gezielter erfolgen. Die Geräte sind schon wegen der Bauform als Reiheneinbaugeräte vor allem für den Einsatz im industriellen Umfeld konzipiert, gleichwohl ist ein Einsatz in der Medizintechnik sowie der Haus- und Gebäudeautomation ebenso denkbar.

Gerätetechnik

Die angebotenen Geräte sind bezüglich der Handhabung und der möglich Einsatzbereiche recht unterschiedlich. Während die Microwall Gigabit wegen ihrer Konfigurierbarkeit in etwa als das „Schweizer Taschenmesser“ angesehen werden kann, ist die Fix Defined Firewall eher ein perfekt auf lediglich einen Anwendungszweck zugeschnittenes Gerät (Bild).

Microwall Gigabit – Router mit konfigurierbarem Paketfilter

Das unter der Bezeichnung Microwall Gigabit angebotene Gerät ist bezüglich der Funktion ein Router und kann wahlweise als Standard- oder als NAT-Router eingesetzt werden.

Die Betriebsart Standard-Router erfordert eine Intergration der über das Gerät eingebundenen Endgeräte in das Routing-Konzept des Intranets. Bei der Betriebsart NAT-Router sind alle angeschlossenen Endgeräte unter einer einzigen Intranet-IP erreichbar.

Für die Inbetriebnahme kann das Tool Wutility von der Website des Unternehmens heruntergeladen werden. Hiermit können zunächst die Netzwerkbasisparameter

  • IP-Adresse
  • Subnetzmaske
  • Gateway-Adresse
  • DNS-Server

eingestellt werden. Für die weitere Konfiguration kann auf ein Standard Web-Based-Management (WBM) zugegriffen werden, so dass auch eine Fernkonfiguration möglich ist. Zur Sicherheit erfolgt die Kommunikation hierbei ausschließlich verschlüsselt per HTTPS.

Die Anlage des Regelwerks für den Paketfilter erfolgt für jede Betriebsart (Standard- oder NAT-Router) gesondert. Durch Zuordnung eines Labels (z. B. Normalbetrieb oder Wartung) zu den erstellten Filterregeln können zeitlich unterschiedliche Anforderungen bezüglich der Filterung der Datenpakete realisiert werden. Der Anlage der Filteregeln liegt das Whitelist-Prinzip zugrunde, es ist also alles verboten was nicht ausdrücklich erlaubt ist. Die Anlage der Filteregeln erfolgt in einer überaus übersichtlichen und damit gut verständlichen Erfassungsmaske. Hierzu trägt sowohl die farbliche Kennzeichnung der Eingabebereiche als auch die konsequent schrittweise Vorgehensweise bei. Beginnend mit der Vergabe einer Bezeichnung für die anzulegende Regel muss zunächst festgelegt werden für welche Richtung die Regel gelten soll. Danach erfolgt die Festlegung der Filteregeln für Quelle und Ziel anhand der Adressierungsinformationen

  • IP-Adresse(n) und
  • Port-Nummer(n)

sowie der Angabe des Transportprotokolls (TCP oder UDP). Bei TCP kann noch eine weitere Einschränkung auf das File Transfer Protocol (FTP) erfolgen. Die Anlage der Filterregeln schließt mit deren Aktivierung, Angaben zu Aktionen und der Zuordnung zu einem Label. Über Info-Buttons können Information/Ausfüllhinweise zu den einzelnen Feldern aufgerufen werden.

Autor: H. Möbus

Literatur:

[1] Möbus, H.: Sichere Netzübergänge (ep-Beitragsreihe).

Der vollständige Artikel ist in unserem Facharchiv nachzulesen.

Kommentare

botMessage_toctoc_comments_926
Anzeige

Nachrichten zum Thema

Der Handscanner C9 RED GUN mit 5,5"-Touchscreen wurde für Anforderungen in Logistik, IoT und Handel 2.0 entwickelt, bietet RFID-Standards wie UHF, HF und NFC und liest sowohl QR- als auch Strichcodes.

Weiter lesen

+++ News +++ Fachveranstaltung Safety.Talk – die Konferenz ’22

Die Veranstaltung informiert am 13./14.09. 2022 über die neue EU-Maschinenverordnung und die daraus abzuleitenden Maßnahmen für Maschinenhersteller und -betreiber. In Praxisworkshops werden die Themen gemeinsam mit den Teilnehmer*innen diskutiert und...

Weiter lesen

Aus dem Facharchiv: Elektropraxis Digitalisierung mit Single Pair Ethernet (SPE)

Mit der zunehmenden Digitalisierung wird eine Netzwerkinfrastruktur für das Industrial Internet of Things (IIoT) benötigt. Dafür bietet sich das Single Pair Ethernet (SPE) an, das von Experten als die nächste Generation der Kommunikationsarchitektur...

Weiter lesen

Auf der diesjährige Autumn Edition der Light + Building finden Vertreter aus Städten und Kommunen, Architekten, Landschafts- und Stadtplaner, insbesondere die Entscheidungsträger für moderne Beleuchtungskonzepte, aktuelle Fachinformationen und...

Weiter lesen

Die EU-Kommission hat Anfang April einen Vorschlag zur Novellierung der „Verordnung des Europäischen Parlaments und des Rates über fluorierte Treibhausgase“ (EU-F-Gase-Verordnung) vorgelegt. Martin Weber, Berater bei Prior1 erklärt, warum er sich für...

Weiter lesen
Anzeige