Mehr Sicherheit durch Verinselung

Steuerungen über ein Sicherheitsgateway ins Intranet einbinden

ep/2020/05/ep-2020-05-384-386-00.jpg
ep/2020/05/ep-2020-05-384-386-01.jpg
ep/2020/05/ep-2020-05-384-386-02.jpg

pdf Artikel als PDF-Datei herunterladen

Ob in der Haus- und Gebäudeautomation oder im industriellen Umfeld, die Einbindung von Automatisierungseinrichtungen in ein bereits existierendes Intranet bietet viele Vorzüge, aber eben auch viele nicht zu unterschätzende Gefahren. Einem Teil dieser Gefahren kann man bereits wirkungsvoll am Übergang zwischen Inter- und Intranet entgegentreten, bei anderen wiederum bedarf es eines gezielteren Herangehens.

Die Wiesemann und Theis GmbH (W&T) ist ein in Wuppertal beheimatetes und nach den Firmengründern benanntes Technologieunternehmen. Ein Blick auf das Produktportfolio des Unternehmens macht schnell deutlich, dass hier, ausgehend vom Wissen um die Techniken des Internets eine neue Generation von Automatisierungslösungen angeboten wird. Internettechnologien werden nicht in existierende Produkte „nachgerüstet“, sondern diese Lösungen werden ausgehend von Netzwerk- und Web-Techniken entwickelt. Die Internettechnologien sind also Basis der Produkte. Beispielhaft hierfür sind die unter der Produktbezeichnung Web-IO angebotenen Automatisierungslösungen. Zum Produktangebot des Unternehmens gehören weiter diverse Schnittstellen zur Anbindung von Sensorik sowie Netzwerktechnik. Aktuell hat das Unternehmen sein Portfolio um zwei Produkte ergänzt, die dazu beitragen, die mit dem Intranet/Internet verbundenen Systeme vor unerlaubten Zugriffen über das Netz zu schützen.

Verinselung als Konzept

Obwohl beide Geräte für grundsätzlich unterschiedliche Aufgabenbereiche konzipiert sind, liegt beiden Geräten der Grundgedanke der Abtrennung der schutzbedürftigeren Komponente vom übrigen Netz zugrunde (Bild 1). Diese von den Entwicklern „Verinselung“ genannte Vorgehensweise basiert letztlich auf der auch ansonsten aus unterschiedlichen Beweggründen angewandten Praxis der Segmentierung von Netzen. Während es ansonsten vorzugsweise darum geht eigene Netzsegmente für die unterschiedlichen Bereiche (Verwaltung, Entwicklung und Produktion) eines Unternehmens zu bilden, sind diese Geräte vor allem zur Anbindung einzelner Endgeräte mit einem höheren Schutzbedarf konzipiert. Gleiches gilt auch für Komponenten, die wegen der darauf installierten Software (z. B. ältere Technik) einer höheren Gefährdung ausgesetzt sind. Durch diese Vorgehensweise können die Maßnahmen zur Erhöhung der Sicherheit wesentlich gezielter erfolgen. Die Geräte sind schon wegen der Bauform als Reiheneinbaugeräte vor allem für den Einsatz im industriellen Umfeld konzipiert, gleichwohl ist ein Einsatz in der Medizintechnik sowie der Haus- und Gebäudeautomation ebenso denkbar.

Gerätetechnik

Die angebotenen Geräte sind bezüglich der Handhabung und der möglich Einsatzbereiche recht unterschiedlich (Tabelle 1). Während die Microwall Gigabit wegen ihrer Konfigurierbarkeit in etwa als das „Schweizer Taschenmesser“ angesehen werden kann, ist die Fix Defined Firewall eher ein perfekt auf lediglich einen Anwendungszweck zugeschnittenes Gerät (Bild 2 und Bild 5)

Microwall Gigabit – Router mit konfigurierbarem Paketfilter

Das unter der Bezeichnung Microwall Gigabit angebotene Gerät ist bezüglich der Funktion ein Router und kann wahlweise als Standard- oder als NAT-Router eingesetzt werden.

Die Betriebsart Standard-Router erfordert eine Intergration der über das Gerät eingebundenen Endgeräte in das Routing-Konzept des Intranets. Bei der Betriebsart NAT-Router sind alle angeschlossenen Endgeräte unter einer einzigen Intranet-IP erreichbar.

Für die Inbetriebnahme kann das Tool Wutility von der Website des Unternehmens heruntergeladen werden. Hiermit können zunächst die Netzwerkbasisparameter

  • IP-Adresse

  • Subnetzmaske

  • Gateway-Adresse

  • DNS-Server

eingestellt werden. Für die weitere Konfiguration kann auf ein Standard Web-Based-Management (WBM) zugegriffen werden, so dass auch eine Fernkonfiguration möglich ist. Zur Sicherheit erfolgt die Kommunikation hierbei ausschließlich verschlüsselt per HTTPS.

Die Anlage des Regelwerks für den Paketfilter erfolgt für jede Betriebsart (Standard- oder NAT-Router) gesondert. Durch Zuordnung eines Labels (z. B. Normalbetrieb oder Wartung) zu den erstellten Filterregeln können zeitlich unterschiedliche Anforderungen bezüglich der Filterung der Datenpakete realisiert werden. Der Anlage der Filteregeln liegt das Whitelist-Prinzip zugrunde, es ist also alles verboten was nicht ausdrücklich erlaubt ist. Die Anlage der Filteregeln erfolgt in einer überaus übersichtlichen und damit gut verständlichen Erfassungsmaske (Bild 3). Hierzu trägt sowohl die farbliche Kennzeichnung der Eingabebereiche als auch die konsequent schrittweise Vorgehensweise bei. Beginnend mit der Vergabe einer Bezeichnung für die anzulegende Regel muss zunächst festgelegt werden für welche Richtung die Regel gelten soll. Danach erfolgt die Festlegung der Filteregeln für Quelle und Ziel anhand der Adressierungsinformationen

  • IP-Adresse(n) und

  • Port-Nummer(n)

sowie der Angabe des Transportprotokolls (TCP oder UDP). Bei TCP kann noch eine weitere Einschränkung auf das File Transfer Protocol (FTP) erfolgen. Die Anlage der Filterregeln schließt mit deren Aktivierung, Angaben zu Aktionen und der Zuordnung zu einem Label. Über Info-Buttons können Information/Ausfüllhinweise zu den einzelnen Feldern aufgerufen werden.

Fix Defined Firewall – Einbahnstraße für Datenpakete

Dieses Gerät folgt zwar ebenfalls dem Konzept der Verinselung, aber in einer völlig anderen Weise. Die Fix Defined Firewall wird komplett konfiguriert ausgeliefert und ist damit „Plug&Play“ installierbar – ohne Netzwerkkenntnisse. Die Funktion des Gerätes lässt sich in einem Satz beschreiben: In einer Richtung können ausnahmslos alle Datenpakete passieren und in der Gegenrichtung kommt kein Datenpaket durch. Damit ist zwar der Einsatzbereich dieses Gerätes deutlich abgegrenzt, aber dort wo genau das nötig ist, erfüllt es diese Anforderung vollumfänglich. Seitens des Herstellers wird diesbezüglich der Anschluss eines Netzwerksniffers genannt. Es sind aber auch Einsatzmöglichkeiten im Rahmen von IoT- und I4.0-Projekten (Stichwort: Daten sammeln) denkbar. Hier sind zwar keine Netzwerkkenntnisse zur Installation nötig, wohl aber im Vorfeld bei der Geräteauswahl und Bestimmung der Einsatzbereiche.

Netzwerkkenntnisse unerlässlich

Spätestens wenn es um die Schaffung sicherer Netzübergänge [1] oder eben um die Verinselung geht, wird schnell deutlich, dass nur grundlegende Netzwerkkenntnisse nicht mehr genügen. Um IP-Adressen in einem Intranet zu vergeben reichen noch Kenntnisse zum Adressaufbau und zu den zur Verfügung stehenden privat frei nutzbaren Adressbereichen. Aber um einen Paketfilter zu konfigurieren, muss man tiefer in den Adressierungsmechanismus mittels Ports und Protokollen einsteigen. W&T bietet hierzu auf seiner Webseite ein breites und gut aufbereitetes Informationsangebot. Das gilt auch für die Anleitungen zur Inbetriebnahme. Grundlegende und weitestgehend produktneutrale Netzwerkkenntnisse mit einem deutlichen Bezug zur Automatisierungstechnik bietet das als PDF-Datei frei verfügbare Grundlagenbuch „TCP/IP-Handbuch“ von F. Thiel (Bild 4). Die Themenpalette reicht dabei von der physikalischen Übertragung, über die logische Adressierung und den Transportprotokollen, den Anwendungs- und Web-Protokollen, den IoT- und I4.0-Protokollen bis hin zu Aspekten der Daten- und Netzwerksicherheit [2].

Fazit

Die von W&T angebotenen Geräte sind im besten Sinne des Wortes „praxisgerecht zu Ende gedacht“. Mit dem Wissen um die Technologien des Internets und den Anforderungen der Automatisierungstechnik sind Produkte entstanden, die sowohl den Bedürfnissen der industriellen als auch der handwerklichen Praxis entsprechen. Wegen des vorzüglichen Informationsangebots des Unternehmens und der gelungenen Gestaltung des WBM zur Erstellung von Paketfiltern sind die Produkte auch für die Ausbildung von Meistern, Technikern und Ingenieuren zu empfehlen.

Ein Sicherheitsgateway (oft auch Firewall genannt) ist ein System aus soft- und hardwaretechnischen Komponenten zur Gewährleistung einer sicheren Kopplung von IP-Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei vor allem die ausschließliche Zulassung erwünschter Zugriffe oder Datenströme zwischen verschiedenen Netzen und die Kontrolle der übertragenen Daten. Die Verwendung des Begriffs Sicherheitsgateway anstatt des üblicherweise verwendeten Begriffs Firewall soll verdeutlichen, dass zur Absicherung von Netzübergängen heute nicht mehr ein einzelnes Gerät verwendet wird, sondern eine Menge von Rechnern und deren Konzeption, die unterschiedliche Aufgaben übernehmen, z. B. Paketfilterung, Schutz vor Viren oder die Überwachung des Netzverkehrs.

BSI-Leitfaden „Integration und IT-Revision von Netzübergängen“


Bilder:


(1) Mehr Sicherheit durch Verinselung (Quelle: W&T/ep P. Richter)

(2) Zwei Geräte – ein Konzept a) Microwall Gigabit – Router mit konfigurierbarem Paketfilter (Quelle: W&T)

(3) Erfassungsmaske zur Anlage der Filterregeln (Quelle: W&T)

(4) Ein gelungenes Grundlagenbuch – auch als PDF-Datei verfügbar (Quelle: W&T)

(5) Zwei Geräte – ein Konzept b) Fix Defined Firewall – Einbahnstraße für Datenpakete (Quelle: W&T)


Tafeln:

{1} (Quelle: HUSS-MEDIEN GmbH)

Literatur:

[1] [1] Möbus, H.: Sichere Netzübergänge (ep-Beitragsreihe).
[2] ❙ Teil 1: Modellvorstellung und Begriffe. ep 
73 (2019) 4, LERNEN & KÖNNEN S. 6–7.
[3] ❙ Teil 2: Bausteine von Sicherheitsgateways – Paketfilter. ep 73 (2019) 5, LERNEN & KÖNNEN S. 6–7.
[4] ❙ Teil 3: Bausteine von Sicherheitsgateways – Proxys und NAT. ep 73 (2019) 6, LERNEN & KÖNNEN S. 6–7.
[5] ❙ Teil 4: Virtualisierung und weitere Sicherheitswerkzeuge. ep 73 (2019) 7, LERNEN & KÖNNEN S. 5–7.
[6] ❙ Teil 5: Typische Architekturen und praktische Aspekte. ep 73 (2019) 8, LERNEN & KÖNNEN S. 12–14.
[7] [2] Thiel, F.: TCP/IP-Ethernet: Mach es einfach. Netzwerktechnische Grundlagen. 8. überarbeitete & erweiterte Auflage, Wiesemann & Theis GmbH, Wuppertal 01-2020. n

Anzeige

Fachartikel zum Thema

  1. Expert Net Control – Fernwirksysteme und LAN-Sensoren

    Monitoring-Systeme zur Überwachung und Steuerung von IT-Installationen

    Selbst kleinere Betriebe kommen heute nicht mehr ohne einen eigenen Serverraum oder zumindest einen Serverschrank aus. Diese müssen nicht nur über höhere Sicherheitsanforderungen an den kontrollierten Zugang verfügen, sondern stellen darüber hinaus ganz spezielle Ansprüche an das Raumklima. Die...

    09/2021 | Gebäudetechnik, Maschinen- und Anlagentechnik, Steuerungstechnik, Steuerungstechnik

  2. Informationstechnik

    DIN EN 50600-2-1 2021-09 (VDE 0801-600-2-1)

    Informationstechnik – Einrichtungen und Infrastrukturen von Rechenzentren – Teil 2-1: Gebäudekonstruktion

    09/2021 | Elektrosicherheit, Informations-/Kommunikationstechnik, Normen und Vorschriften

  3. Informationstechnik

    DIN EN 50600-2-5 2021-09 (VDE 0801-600-2-5)

    Informationstechnik – Einrichtungen und Infrastrukturen von Rechenzentren – Teil 2-5: Sicherungssysteme

    09/2021 | Elektrosicherheit, Informations-/Kommunikationstechnik, Sicherheitstechnik, Normen und Vorschriften

  4. Mehrwert durch Analyse

    Smart Data bringt Ordnung mit deskriptiver Statistik

    Das Sammeln von Daten ist für viele Unternehmen heutzutage fast schon die Norm. Meist entstehen durch vorangetriebene Digitalisierungsprozesse sehr schnell große Datenmengen. Big Data besteht in erster Linie aus unstrukturierten, unvollständigen, uneinheitlichen und teils fehlerhaften Rohdaten....

    09/2021 | Informations-/Kommunikationstechnik, Informations- u. Kommunikationstechnik

  5. Agile Integration als erfolgreiches Modell im IIoT

    Nutzung von Strategien aus der Software-Entwicklung in der Industrie

    Wenn es um die Digitalisierung geht, verzetteln sich Unternehmen oft in blindem Aktionismus [1]. Dabei kann eher ein „Flickenteppich“ aus Projekten als eine konsistente Strategie entstehen. Ausgehend von zahlreichen Integrations- und Digitalisierungsprojekten wurde eine Methode entwickelt, die...

    09/2021 | Informations-/Kommunikationstechnik, Internet/Multimedia

  6. „Kleincomputer“ Raspberry Pi 4B

    Teil 7: Zeichnen mit einer „Schildkröte“

    In dieser Folge kann man sein Zeichentalent erproben. Dabei wird eine Roboterschildkröte (robot turtle) helfen, die man mit Kommandos über eine Zeichenebene bewegt. Diese „Schildkröte“ trägt einen Zeichenstift im Maul, den sie auf Kommando absenkt oder anhebt. Im ersten Fall hinterlässt die...

    09/2021 | Informations-/Kommunikationstechnik, Aus- und Weiterbildung, Fachwissen

  7. „Kleincomputer“ Raspberry Pi 4B

    Teil 6: Monte-Carlo-Methode, Umgang mit Ausnahmefehlern und Wachstumsvorgänge

    Dieser Teil der Artikelreihe über den Raspberry Pi und die Programmiersprache Python wird 
mit einem Einsatzbeispiel für die Monte-Carlo-Methode begonnen. Wer an Monte Carlo denkt, 
denkt an ein Spielcasino und weil das Spielen mit statistischen Zufälligkeiten behaftet ist, 
wird eine...

    08/2021 | Informations-/Kommunikationstechnik, Aus- und Weiterbildung, Informations- u. Kommunikationstechnik, Fachwissen

  8. Sichere Elektronik – 
Cybersecurity im Feldeinsatz

    Bereits wenige Maßnahmen können das Schutzniveau deutlich verbessern

    Das Internet der Dinge ist in unserem Alltag angekommen. Ebenso wie in der IT bedeutet dies, die Informationssicherheit der vernetzten Geräte von Anfang mitzudenken – oder, im Falle älterer Geräte, auch nachzudenken.

    08/2021 | Informations-/Kommunikationstechnik, Internet/Multimedia, Informations- u. Kommunikationstechnik

  9. Elektrosicherheit Maschinen

    DIN IEC/TS 60204-34 2021-07 (VDE V 0113-34)

    Sicherheit von Maschinen – Elektrische Ausrüstung von Maschinen – Teil 34: Anforderungen an Werkzeugmaschinen

    08/2021 | Maschinen- und Anlagentechnik, Motoren und Antriebe

  10. Interoperabilität und Standardisierung

    Im Spannungsfeld zwischen Aufwand und Wirtschaftlichkeit

    Die Kommunikation von Informationen erfolgt in der Regel über leitungsgebundene Netze, funkgestützte Netze oder eine Kombinationen beider Varianten. Sie ist gekennzeichnet durch die Übertragung digitaler Signale, bei denen es sich um Audio, Video oder Daten handeln kann. Das gilt unabhängig von...

    07/2021 | Informations-/Kommunikationstechnik, Telekommunikation, Netzwerktechnik, Internet/Multimedia, Informations- u. Kommunikationstechnik

Anzeige

Nachrichten zum Thema

Aus dem Facharchiv: Elektropraxis Technisat – Smarthome 
mit Z-Wave und WLAN

Das Thema Hausautomation hat in den letzten Jahren deutlich an Bedeutung gewonnen. Was noch vor wenigen Jahren etwas für besser betuchte Bauherren war, ist heute ein Angebot für Jedermann. Dabei ist die Technik nicht nur preisgünstiger geworden,...

Weiter lesen

Neue Produkte Funk-tionsreich

Das Home-Gateway HG 02 bietet mit WLAN und EnOcean wichtige Funk-Standards.

Weiter lesen

Das Handbuch der Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit (DGWZ) erscheint im September 2021 und bietet eine Übersicht zu Herstellern, Geräten, technischen Parametern, Förderprogrammen und Studien.

Weiter lesen

Aus dem Facharchiv: Elektropraxis Homee – funkbasiertes und modulares Smarthome

Das Angebot an funkbasierten Systemen ist im Smarthome-Bereich in den 
vergangenen Jahren geradezu explosionsartig gewachsen. Innovative Angebote, zu vergleichsweise moderaten Preisen, und eine wachsende Anzahl technisch 
interessierter Nutzer sorgen...

Weiter lesen

Mit der Steuerung netlife pro lässt sich komplexes Lichtmanagement in größeren KNX-Projekten über DALI realisieren.

Weiter lesen

Ende Juli gab das Bundesministerium für Wirtschaft und Energie (BMWi) bekannt, die Teilnahme kleiner und mittlerer innovativer Unternehmen an ausgesuchten internationalen Leitmessen in Deutschland zu fördern. Zu diesen Messen zählt auch die vom 23. –...

Weiter lesen

Das Hybridkabel, das für Steuerungen industrieller Anlagen und für den bewegten Einsatz auf der Kabeltrommel geeignet ist, enthält neben Kupfer- auch Lichtwellenleiter.

Weiter lesen

Im September und Oktober 2021 führt das Automatisierungsunternehmen Pilz nach Corona bedingter Pause seine kostenfreie, deutschlandweite Seminarreihe „Automation on Tour“ mit Präsenzterminen fort.

Weiter lesen

+++ News +++ IT-Service-Management Bayerische Landesbank setzt auf USU-Lösung

Im Zuge ihrer strategischen Neuausrichtung hat die Bayerische Landesbank (BayernLB) die USU-Gruppe mit der Einführung und dem Betrieb einer neuen Gesamtlösung für IT-Servicemanagement (ITSM) beauftragt.

Weiter lesen

Das ASi-5/ASi-3-Handadressiergerät kann Teilnehmer im Feld in ASi-Netzwerke einbinden.

Weiter lesen