Mehr Sicherheit durch Verinselung

Steuerungen über ein Sicherheitsgateway ins Intranet einbinden

ep/2020/05/ep-2020-05-384-386-00.jpg
ep/2020/05/ep-2020-05-384-386-01.jpg
ep/2020/05/ep-2020-05-384-386-02.jpg

pdf Artikel als PDF-Datei herunterladen

Ob in der Haus- und Gebäudeautomation oder im industriellen Umfeld, die Einbindung von Automatisierungseinrichtungen in ein bereits existierendes Intranet bietet viele Vorzüge, aber eben auch viele nicht zu unterschätzende Gefahren. Einem Teil dieser Gefahren kann man bereits wirkungsvoll am Übergang zwischen Inter- und Intranet entgegentreten, bei anderen wiederum bedarf es eines gezielteren Herangehens.

Die Wiesemann und Theis GmbH (W&T) ist ein in Wuppertal beheimatetes und nach den Firmengründern benanntes Technologieunternehmen. Ein Blick auf das Produktportfolio des Unternehmens macht schnell deutlich, dass hier, ausgehend vom Wissen um die Techniken des Internets eine neue Generation von Automatisierungslösungen angeboten wird. Internettechnologien werden nicht in existierende Produkte „nachgerüstet“, sondern diese Lösungen werden ausgehend von Netzwerk- und Web-Techniken entwickelt. Die Internettechnologien sind also Basis der Produkte. Beispielhaft hierfür sind die unter der Produktbezeichnung Web-IO angebotenen Automatisierungslösungen. Zum Produktangebot des Unternehmens gehören weiter diverse Schnittstellen zur Anbindung von Sensorik sowie Netzwerktechnik. Aktuell hat das Unternehmen sein Portfolio um zwei Produkte ergänzt, die dazu beitragen, die mit dem Intranet/Internet verbundenen Systeme vor unerlaubten Zugriffen über das Netz zu schützen.

Verinselung als Konzept

Obwohl beide Geräte für grundsätzlich unterschiedliche Aufgabenbereiche konzipiert sind, liegt beiden Geräten der Grundgedanke der Abtrennung der schutzbedürftigeren Komponente vom übrigen Netz zugrunde (Bild 1). Diese von den Entwicklern „Verinselung“ genannte Vorgehensweise basiert letztlich auf der auch ansonsten aus unterschiedlichen Beweggründen angewandten Praxis der Segmentierung von Netzen. Während es ansonsten vorzugsweise darum geht eigene Netzsegmente für die unterschiedlichen Bereiche (Verwaltung, Entwicklung und Produktion) eines Unternehmens zu bilden, sind diese Geräte vor allem zur Anbindung einzelner Endgeräte mit einem höheren Schutzbedarf konzipiert. Gleiches gilt auch für Komponenten, die wegen der darauf installierten Software (z. B. ältere Technik) einer höheren Gefährdung ausgesetzt sind. Durch diese Vorgehensweise können die Maßnahmen zur Erhöhung der Sicherheit wesentlich gezielter erfolgen. Die Geräte sind schon wegen der Bauform als Reiheneinbaugeräte vor allem für den Einsatz im industriellen Umfeld konzipiert, gleichwohl ist ein Einsatz in der Medizintechnik sowie der Haus- und Gebäudeautomation ebenso denkbar.

Gerätetechnik

Die angebotenen Geräte sind bezüglich der Handhabung und der möglich Einsatzbereiche recht unterschiedlich (Tabelle 1). Während die Microwall Gigabit wegen ihrer Konfigurierbarkeit in etwa als das „Schweizer Taschenmesser“ angesehen werden kann, ist die Fix Defined Firewall eher ein perfekt auf lediglich einen Anwendungszweck zugeschnittenes Gerät (Bild 2 und Bild 5)

Microwall Gigabit – Router mit konfigurierbarem Paketfilter

Das unter der Bezeichnung Microwall Gigabit angebotene Gerät ist bezüglich der Funktion ein Router und kann wahlweise als Standard- oder als NAT-Router eingesetzt werden.

Die Betriebsart Standard-Router erfordert eine Intergration der über das Gerät eingebundenen Endgeräte in das Routing-Konzept des Intranets. Bei der Betriebsart NAT-Router sind alle angeschlossenen Endgeräte unter einer einzigen Intranet-IP erreichbar.

Für die Inbetriebnahme kann das Tool Wutility von der Website des Unternehmens heruntergeladen werden. Hiermit können zunächst die Netzwerkbasisparameter

  • IP-Adresse

  • Subnetzmaske

  • Gateway-Adresse

  • DNS-Server

eingestellt werden. Für die weitere Konfiguration kann auf ein Standard Web-Based-Management (WBM) zugegriffen werden, so dass auch eine Fernkonfiguration möglich ist. Zur Sicherheit erfolgt die Kommunikation hierbei ausschließlich verschlüsselt per HTTPS.

Die Anlage des Regelwerks für den Paketfilter erfolgt für jede Betriebsart (Standard- oder NAT-Router) gesondert. Durch Zuordnung eines Labels (z. B. Normalbetrieb oder Wartung) zu den erstellten Filterregeln können zeitlich unterschiedliche Anforderungen bezüglich der Filterung der Datenpakete realisiert werden. Der Anlage der Filteregeln liegt das Whitelist-Prinzip zugrunde, es ist also alles verboten was nicht ausdrücklich erlaubt ist. Die Anlage der Filteregeln erfolgt in einer überaus übersichtlichen und damit gut verständlichen Erfassungsmaske (Bild 3). Hierzu trägt sowohl die farbliche Kennzeichnung der Eingabebereiche als auch die konsequent schrittweise Vorgehensweise bei. Beginnend mit der Vergabe einer Bezeichnung für die anzulegende Regel muss zunächst festgelegt werden für welche Richtung die Regel gelten soll. Danach erfolgt die Festlegung der Filteregeln für Quelle und Ziel anhand der Adressierungsinformationen

  • IP-Adresse(n) und

  • Port-Nummer(n)

sowie der Angabe des Transportprotokolls (TCP oder UDP). Bei TCP kann noch eine weitere Einschränkung auf das File Transfer Protocol (FTP) erfolgen. Die Anlage der Filterregeln schließt mit deren Aktivierung, Angaben zu Aktionen und der Zuordnung zu einem Label. Über Info-Buttons können Information/Ausfüllhinweise zu den einzelnen Feldern aufgerufen werden.

Fix Defined Firewall – Einbahnstraße für Datenpakete

Dieses Gerät folgt zwar ebenfalls dem Konzept der Verinselung, aber in einer völlig anderen Weise. Die Fix Defined Firewall wird komplett konfiguriert ausgeliefert und ist damit „Plug&Play“ installierbar – ohne Netzwerkkenntnisse. Die Funktion des Gerätes lässt sich in einem Satz beschreiben: In einer Richtung können ausnahmslos alle Datenpakete passieren und in der Gegenrichtung kommt kein Datenpaket durch. Damit ist zwar der Einsatzbereich dieses Gerätes deutlich abgegrenzt, aber dort wo genau das nötig ist, erfüllt es diese Anforderung vollumfänglich. Seitens des Herstellers wird diesbezüglich der Anschluss eines Netzwerksniffers genannt. Es sind aber auch Einsatzmöglichkeiten im Rahmen von IoT- und I4.0-Projekten (Stichwort: Daten sammeln) denkbar. Hier sind zwar keine Netzwerkkenntnisse zur Installation nötig, wohl aber im Vorfeld bei der Geräteauswahl und Bestimmung der Einsatzbereiche.

Netzwerkkenntnisse unerlässlich

Spätestens wenn es um die Schaffung sicherer Netzübergänge [1] oder eben um die Verinselung geht, wird schnell deutlich, dass nur grundlegende Netzwerkkenntnisse nicht mehr genügen. Um IP-Adressen in einem Intranet zu vergeben reichen noch Kenntnisse zum Adressaufbau und zu den zur Verfügung stehenden privat frei nutzbaren Adressbereichen. Aber um einen Paketfilter zu konfigurieren, muss man tiefer in den Adressierungsmechanismus mittels Ports und Protokollen einsteigen. W&T bietet hierzu auf seiner Webseite ein breites und gut aufbereitetes Informationsangebot. Das gilt auch für die Anleitungen zur Inbetriebnahme. Grundlegende und weitestgehend produktneutrale Netzwerkkenntnisse mit einem deutlichen Bezug zur Automatisierungstechnik bietet das als PDF-Datei frei verfügbare Grundlagenbuch „TCP/IP-Handbuch“ von F. Thiel (Bild 4). Die Themenpalette reicht dabei von der physikalischen Übertragung, über die logische Adressierung und den Transportprotokollen, den Anwendungs- und Web-Protokollen, den IoT- und I4.0-Protokollen bis hin zu Aspekten der Daten- und Netzwerksicherheit [2].

Fazit

Die von W&T angebotenen Geräte sind im besten Sinne des Wortes „praxisgerecht zu Ende gedacht“. Mit dem Wissen um die Technologien des Internets und den Anforderungen der Automatisierungstechnik sind Produkte entstanden, die sowohl den Bedürfnissen der industriellen als auch der handwerklichen Praxis entsprechen. Wegen des vorzüglichen Informationsangebots des Unternehmens und der gelungenen Gestaltung des WBM zur Erstellung von Paketfiltern sind die Produkte auch für die Ausbildung von Meistern, Technikern und Ingenieuren zu empfehlen.

Ein Sicherheitsgateway (oft auch Firewall genannt) ist ein System aus soft- und hardwaretechnischen Komponenten zur Gewährleistung einer sicheren Kopplung von IP-Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei vor allem die ausschließliche Zulassung erwünschter Zugriffe oder Datenströme zwischen verschiedenen Netzen und die Kontrolle der übertragenen Daten. Die Verwendung des Begriffs Sicherheitsgateway anstatt des üblicherweise verwendeten Begriffs Firewall soll verdeutlichen, dass zur Absicherung von Netzübergängen heute nicht mehr ein einzelnes Gerät verwendet wird, sondern eine Menge von Rechnern und deren Konzeption, die unterschiedliche Aufgaben übernehmen, z. B. Paketfilterung, Schutz vor Viren oder die Überwachung des Netzverkehrs.

BSI-Leitfaden „Integration und IT-Revision von Netzübergängen“


Bilder:


(1) Mehr Sicherheit durch Verinselung (Quelle: W&T/ep P. Richter)

(2) Zwei Geräte – ein Konzept a) Microwall Gigabit – Router mit konfigurierbarem Paketfilter (Quelle: W&T)

(3) Erfassungsmaske zur Anlage der Filterregeln (Quelle: W&T)

(4) Ein gelungenes Grundlagenbuch – auch als PDF-Datei verfügbar (Quelle: W&T)

(5) Zwei Geräte – ein Konzept b) Fix Defined Firewall – Einbahnstraße für Datenpakete (Quelle: W&T)


Tafeln:

{1} (Quelle: HUSS-MEDIEN GmbH)

Literatur:

[1] [1] Möbus, H.: Sichere Netzübergänge (ep-Beitragsreihe).
[2] ❙ Teil 1: Modellvorstellung und Begriffe. ep 
73 (2019) 4, LERNEN & KÖNNEN S. 6–7.
[3] ❙ Teil 2: Bausteine von Sicherheitsgateways – Paketfilter. ep 73 (2019) 5, LERNEN & KÖNNEN S. 6–7.
[4] ❙ Teil 3: Bausteine von Sicherheitsgateways – Proxys und NAT. ep 73 (2019) 6, LERNEN & KÖNNEN S. 6–7.
[5] ❙ Teil 4: Virtualisierung und weitere Sicherheitswerkzeuge. ep 73 (2019) 7, LERNEN & KÖNNEN S. 5–7.
[6] ❙ Teil 5: Typische Architekturen und praktische Aspekte. ep 73 (2019) 8, LERNEN & KÖNNEN S. 12–14.
[7] [2] Thiel, F.: TCP/IP-Ethernet: Mach es einfach. Netzwerktechnische Grundlagen. 8. überarbeitete & erweiterte Auflage, Wiesemann & Theis GmbH, Wuppertal 01-2020. n

Anzeige

Fachartikel zum Thema

  1. Fachplanung

    DIN 18015-4 2022-08

    Elektrische Anlagen in Wohngebäuden – Teil 4: Gebäudetechnik

    09/2022 | Elektrosicherheit, Fachplanung, Gebäudeautomation, Normen und Vorschriften, Elektroplanung, Gebäudesystemtechnik

  2. Spidercontrol

    Programmieren, Visualisieren und Bedienen mit Web-Technologien

    Mit dem Internet ist nicht nur eine weltweite Vernetzung von Rechnern entstanden. Diese zunächst gerätetechnisch orientierte Entwicklung hat das Entstehen völlig neuer Ideen befördert und kreative Lösungsansätze ermöglicht. Dazu gehört – ohne jeden Zweifel – der Einsatz von Web-Technologien in...

    09/2022 | Gebäudeautomation, Steuerungstechnik, Bedienen und Beobachten

  3. Informationstechnik

    E DIN EN 50600-2-4 2022-09 (VDE 0801-600-2-4)

    Informationstechnik – Einrichtungen und Infrastrukturen von Rechenzentren – Teil 2-4: Infrastruktur der Telekommunikationsverkabelung

    09/2022 | Informations-/Kommunikationstechnik, Installationstechnik, Fachplanung, Kabel und Leitungen, Elektroplanung, Netzwerktechnik, Internet/Multimedia

  4. Digitale Sensoren am Raspberry Pi

    Teil 3: Optischer Infrarot-Näherungssensor für vielfältige Anwendungen

    Zur Detektion von Objekten gibt es eine Vielzahl von optischen Methoden. Sie alle beruhen darauf, dass ein ausgesendeter Lichtstrahl von einer Empfangseinrichtung in Gestalt einer Reflexion erkannt wird. Im Beitrag vorgestellt wird das Hinderniserkennungsmodul KY-032, welches Bestandteil eines...

    09/2022 | Informations-/Kommunikationstechnik, Sicherheitstechnik, Aus- und Weiterbildung, Internet/Multimedia, Einbruchmeldeanlagen, Fachwissen

  5. Passwörter – Wahl, Bewertung und Umgang

    Ohne Internet geht heute „fast“ gar nichts mehr. Aber diese geradezu unendlich erscheinenden Möglichkeiten haben auch ihre Kehrseite: neue Gefahren. Diese sind nicht nur durch neue Angebote gestiegen, sondern auch durch eine zunehmende Nutzung mobiler Geräte im öffentlichen Raum. Sich der...

    luk 09/2022 | Aus- und Weiterbildung, Informations-/Kommunikationstechnik, Fachwissen, Internet/Multimedia

  6. Digitale Sensoren am Raspberry Pi

    Teil 2: Magnetfelder auf zwei unterschiedliche Artenerfassen

    Oft ist es nützlich, Magnete und ihre Felder zum Auslösen von Schaltvorgängen zu nutzen. 
Eine weit verbreitete Anwendung findet sich in der Sicherheitstechnik als Magnetschalter. 
Sie überwachen den Status von Fenstern, Türen und Oberlichtern (gekippt oder geöffnet) und informieren darüber die...

    08/2022 | Sicherheitstechnik, Informations-/Kommunikationstechnik, Einbruchmeldeanlagen, Internet/Multimedia

  7. Kameraleuchte und -strahler – multifunktionale Alleskönner

    Beleuchtung, Bewegungsmelder, Überwachungskamera und Gegensprechanlage in einem Gerät

    Moderne elektronische Bauelemente erlauben es, Geräte mit einem bislang nie gekannten Funktionsumfang zu entwickeln, zu produzieren und am Markt zu platzieren. Werden diese dann noch mit der ohnehin vorhandenen Technik wie etwa einem heimischen WLAN und den geradezu allgegenwärtigen Smartphones...

    08/2022 | Licht- und Beleuchtungstechnik, Sicherheitstechnik, Informations-/Kommunikationstechnik, Leuchten, Videoüberwachung, Türkommunikation

  8. Multifunktionscontroller und I/O-System

    Zwischen typischer Kleinsteuerung und klassischer SPS

    Das weltweite Angebot an programmierbarer Steuerungstechnik ist ausgesprochen vielfältig. Diese Vielfalt wird nicht zuletzt durch Innovationen von Anbietern aus dem deutschsprachigen Raum getragen. Dabei ist es oft die Nähe zu den Maschinenbauern oder Verfahrenstechnikern sowie deren...

    07/2022 | Gebäudeautomation, Steuerungstechnik

  9. Erlebniswelt für smarte Lösungen

    Showroom bietet Möglichkeiten zur anschaulichen Kundenberatung

    Im Herzen des Kölner Rheinauhafens und in unmittelbarer Nachbarschaft zu den markanten Kranhäusern hat Busch-Jaeger einen exklusiven Showroom eröffnet: die Smarter Gallery. Auf über 130 m2 können Elektroinstallateure und Architekten gemeinsam mit ihren Kunden intelligente Lösungen und Konzepte...

    07/2022 | Installationstechnik, Gebäudeautomation, Bediengeräte und Schalter, Gebäudeautomation

  10. Digitale Sensoren am Raspberry Pi

    Teil 1: Schaltermodul zur Erkennung von Erschütterungen

    Mit dem vorgestellten Erschütterungsschalter lassen sich unter anderem Einbruchsversuche detektieren. Im Zusammenwirken mit einer Alarmsirene und einem Scheinwerfer lässt sich ein beträchtliches Abschreckungspotential erreichen. Der Sensor KY-002 ist Bestandteil eines 40 Sensoren umfassenden...

    07/2022 | Gebäudeautomation, Steuerungstechnik

Anzeige

Nachrichten zum Thema

Die Security Essen als Leitmesse für zivile Sicherheit erweitert ihr Angebot. Heute wurde in der Messe Essen bekannt gegeben, dass ab 2024 die Themen Bevölkerungsschutz und zivile Verteidigung als neuer Schwerpunkt hinzukommen werden.

Weiter lesen

Der semi-autonome, mobile Baustellenroboter Jaibot führt Bohrungen für Dübel-Befestigungen auf Grundlage digitaler Planungsdaten selbständig aus.

Weiter lesen

+++ News +++ Cybersecurity Gesetzt zur Cyber-Resilienz

Die Europäische Kommission hat nach langen Diskussionen ihren Gesetzesentwurf zur Cyber-Resilienz vorgestellt. Der Entwurf zielt darauf ab, einen globalen Standard zu schaffen, nach dem es verbindliche Anforderungen im Rahmen der Cybersicherheit an...

Weiter lesen

Aus dem Facharchiv: Elektropraxis Verbrauchserfassung mit LoRaWAN

Die Erfassung der Verbrauchswerte von Elektroenergie, Wärme, Gas und Wasser – also das Ablesen der Zähler – verursacht erhebliche Kosten. Daher sind in den letzten Jahren ausnahmslos alle Anbieter dazu übergegangen, diese Aktivität den Kunden zu...

Weiter lesen

+++ News +++ Aufzugsintegration mit BACnet Vernetzung von Gebäudeautomation + Aufzugsteuerung

Neue Chancen der Systemintegration mit BACnet loteten hochrangige BACnet-Vertreter bei einem Besuch im TK Elevator Testturm Rottweil (TKE) aus.

Weiter lesen

Die Raspberry-Pi-basierten 64-Bit-Hutschienen-PCs Smart Manager Basic und Light mit 1,2-GHz-Broadcom-Quadcore-Prozessor haben keine frontseitigen Schnittstellen mehr, sodass noch flachere Einbausituationen realisiert werden können.

Weiter lesen

+++ News +++ BIM-Tage Deutschland | Building Life Digital Digitales Bauwesen: Online-Ticket für 120 Beiträge

Die Herausforderungen für die Beteiligten an der digitalen Wertschöpfung Bau werden nicht weniger. Die BIM-Tage Deutschland skizzieren diese Lage im Herbst 2022, mehr als 120 Unternehmen, Verbände und Institutionen zeigen an drei Tagen mögliche...

Weiter lesen

+++ News +++ SEO-Optimierung Keyword-Recherche für SEA und SEO

Andreas Karasek, Online-Marketing-Spezialist und Geschäftsführer der Agentur SEM Berater gibt acht Tipps, um passende Keywords zu erstellen und somit möglichst viele Besucher auf die eigene Unternehmens-Website zu locken.

Weiter lesen

Die Basis für die Digitalisierung jeder Schule ist im ersten Schritt ein leistungsfähiges, zuverlässiges und sicheres IT-Netzwerk. Das Fundament dieser Digitalisierung ist nicht nur, die Verteilung von Endgeräten, wie Laptops und Tablets an Lehrer...

Weiter lesen

Der Handscanner C9 RED GUN mit 5,5"-Touchscreen wurde für Anforderungen in Logistik, IoT und Handel 2.0 entwickelt, bietet RFID-Standards wie UHF, HF und NFC und liest sowohl QR- als auch Strichcodes.

Weiter lesen
Anzeige