Mehr Sicherheit durch Verinselung

Steuerungen über ein Sicherheitsgateway ins Intranet einbinden

ep/2020/05/ep-2020-05-384-386-00.jpg
ep/2020/05/ep-2020-05-384-386-01.jpg
ep/2020/05/ep-2020-05-384-386-02.jpg

pdf Artikel als PDF-Datei herunterladen

Ob in der Haus- und Gebäudeautomation oder im industriellen Umfeld, die Einbindung von Automatisierungseinrichtungen in ein bereits existierendes Intranet bietet viele Vorzüge, aber eben auch viele nicht zu unterschätzende Gefahren. Einem Teil dieser Gefahren kann man bereits wirkungsvoll am Übergang zwischen Inter- und Intranet entgegentreten, bei anderen wiederum bedarf es eines gezielteren Herangehens.

Die Wiesemann und Theis GmbH (W&T) ist ein in Wuppertal beheimatetes und nach den Firmengründern benanntes Technologieunternehmen. Ein Blick auf das Produktportfolio des Unternehmens macht schnell deutlich, dass hier, ausgehend vom Wissen um die Techniken des Internets eine neue Generation von Automatisierungslösungen angeboten wird. Internettechnologien werden nicht in existierende Produkte „nachgerüstet“, sondern diese Lösungen werden ausgehend von Netzwerk- und Web-Techniken entwickelt. Die Internettechnologien sind also Basis der Produkte. Beispielhaft hierfür sind die unter der Produktbezeichnung Web-IO angebotenen Automatisierungslösungen. Zum Produktangebot des Unternehmens gehören weiter diverse Schnittstellen zur Anbindung von Sensorik sowie Netzwerktechnik. Aktuell hat das Unternehmen sein Portfolio um zwei Produkte ergänzt, die dazu beitragen, die mit dem Intranet/Internet verbundenen Systeme vor unerlaubten Zugriffen über das Netz zu schützen.

Verinselung als Konzept

Obwohl beide Geräte für grundsätzlich unterschiedliche Aufgabenbereiche konzipiert sind, liegt beiden Geräten der Grundgedanke der Abtrennung der schutzbedürftigeren Komponente vom übrigen Netz zugrunde (Bild 1). Diese von den Entwicklern „Verinselung“ genannte Vorgehensweise basiert letztlich auf der auch ansonsten aus unterschiedlichen Beweggründen angewandten Praxis der Segmentierung von Netzen. Während es ansonsten vorzugsweise darum geht eigene Netzsegmente für die unterschiedlichen Bereiche (Verwaltung, Entwicklung und Produktion) eines Unternehmens zu bilden, sind diese Geräte vor allem zur Anbindung einzelner Endgeräte mit einem höheren Schutzbedarf konzipiert. Gleiches gilt auch für Komponenten, die wegen der darauf installierten Software (z. B. ältere Technik) einer höheren Gefährdung ausgesetzt sind. Durch diese Vorgehensweise können die Maßnahmen zur Erhöhung der Sicherheit wesentlich gezielter erfolgen. Die Geräte sind schon wegen der Bauform als Reiheneinbaugeräte vor allem für den Einsatz im industriellen Umfeld konzipiert, gleichwohl ist ein Einsatz in der Medizintechnik sowie der Haus- und Gebäudeautomation ebenso denkbar.

Gerätetechnik

Die angebotenen Geräte sind bezüglich der Handhabung und der möglich Einsatzbereiche recht unterschiedlich (Tabelle 1). Während die Microwall Gigabit wegen ihrer Konfigurierbarkeit in etwa als das „Schweizer Taschenmesser“ angesehen werden kann, ist die Fix Defined Firewall eher ein perfekt auf lediglich einen Anwendungszweck zugeschnittenes Gerät (Bild 2 und Bild 5)

Microwall Gigabit – Router mit konfigurierbarem Paketfilter

Das unter der Bezeichnung Microwall Gigabit angebotene Gerät ist bezüglich der Funktion ein Router und kann wahlweise als Standard- oder als NAT-Router eingesetzt werden.

Die Betriebsart Standard-Router erfordert eine Intergration der über das Gerät eingebundenen Endgeräte in das Routing-Konzept des Intranets. Bei der Betriebsart NAT-Router sind alle angeschlossenen Endgeräte unter einer einzigen Intranet-IP erreichbar.

Für die Inbetriebnahme kann das Tool Wutility von der Website des Unternehmens heruntergeladen werden. Hiermit können zunächst die Netzwerkbasisparameter

  • IP-Adresse

  • Subnetzmaske

  • Gateway-Adresse

  • DNS-Server

eingestellt werden. Für die weitere Konfiguration kann auf ein Standard Web-Based-Management (WBM) zugegriffen werden, so dass auch eine Fernkonfiguration möglich ist. Zur Sicherheit erfolgt die Kommunikation hierbei ausschließlich verschlüsselt per HTTPS.

Die Anlage des Regelwerks für den Paketfilter erfolgt für jede Betriebsart (Standard- oder NAT-Router) gesondert. Durch Zuordnung eines Labels (z. B. Normalbetrieb oder Wartung) zu den erstellten Filterregeln können zeitlich unterschiedliche Anforderungen bezüglich der Filterung der Datenpakete realisiert werden. Der Anlage der Filteregeln liegt das Whitelist-Prinzip zugrunde, es ist also alles verboten was nicht ausdrücklich erlaubt ist. Die Anlage der Filteregeln erfolgt in einer überaus übersichtlichen und damit gut verständlichen Erfassungsmaske (Bild 3). Hierzu trägt sowohl die farbliche Kennzeichnung der Eingabebereiche als auch die konsequent schrittweise Vorgehensweise bei. Beginnend mit der Vergabe einer Bezeichnung für die anzulegende Regel muss zunächst festgelegt werden für welche Richtung die Regel gelten soll. Danach erfolgt die Festlegung der Filteregeln für Quelle und Ziel anhand der Adressierungsinformationen

  • IP-Adresse(n) und

  • Port-Nummer(n)

sowie der Angabe des Transportprotokolls (TCP oder UDP). Bei TCP kann noch eine weitere Einschränkung auf das File Transfer Protocol (FTP) erfolgen. Die Anlage der Filterregeln schließt mit deren Aktivierung, Angaben zu Aktionen und der Zuordnung zu einem Label. Über Info-Buttons können Information/Ausfüllhinweise zu den einzelnen Feldern aufgerufen werden.

Fix Defined Firewall – Einbahnstraße für Datenpakete

Dieses Gerät folgt zwar ebenfalls dem Konzept der Verinselung, aber in einer völlig anderen Weise. Die Fix Defined Firewall wird komplett konfiguriert ausgeliefert und ist damit „Plug&Play“ installierbar – ohne Netzwerkkenntnisse. Die Funktion des Gerätes lässt sich in einem Satz beschreiben: In einer Richtung können ausnahmslos alle Datenpakete passieren und in der Gegenrichtung kommt kein Datenpaket durch. Damit ist zwar der Einsatzbereich dieses Gerätes deutlich abgegrenzt, aber dort wo genau das nötig ist, erfüllt es diese Anforderung vollumfänglich. Seitens des Herstellers wird diesbezüglich der Anschluss eines Netzwerksniffers genannt. Es sind aber auch Einsatzmöglichkeiten im Rahmen von IoT- und I4.0-Projekten (Stichwort: Daten sammeln) denkbar. Hier sind zwar keine Netzwerkkenntnisse zur Installation nötig, wohl aber im Vorfeld bei der Geräteauswahl und Bestimmung der Einsatzbereiche.

Netzwerkkenntnisse unerlässlich

Spätestens wenn es um die Schaffung sicherer Netzübergänge [1] oder eben um die Verinselung geht, wird schnell deutlich, dass nur grundlegende Netzwerkkenntnisse nicht mehr genügen. Um IP-Adressen in einem Intranet zu vergeben reichen noch Kenntnisse zum Adressaufbau und zu den zur Verfügung stehenden privat frei nutzbaren Adressbereichen. Aber um einen Paketfilter zu konfigurieren, muss man tiefer in den Adressierungsmechanismus mittels Ports und Protokollen einsteigen. W&T bietet hierzu auf seiner Webseite ein breites und gut aufbereitetes Informationsangebot. Das gilt auch für die Anleitungen zur Inbetriebnahme. Grundlegende und weitestgehend produktneutrale Netzwerkkenntnisse mit einem deutlichen Bezug zur Automatisierungstechnik bietet das als PDF-Datei frei verfügbare Grundlagenbuch „TCP/IP-Handbuch“ von F. Thiel (Bild 4). Die Themenpalette reicht dabei von der physikalischen Übertragung, über die logische Adressierung und den Transportprotokollen, den Anwendungs- und Web-Protokollen, den IoT- und I4.0-Protokollen bis hin zu Aspekten der Daten- und Netzwerksicherheit [2].

Fazit

Die von W&T angebotenen Geräte sind im besten Sinne des Wortes „praxisgerecht zu Ende gedacht“. Mit dem Wissen um die Technologien des Internets und den Anforderungen der Automatisierungstechnik sind Produkte entstanden, die sowohl den Bedürfnissen der industriellen als auch der handwerklichen Praxis entsprechen. Wegen des vorzüglichen Informationsangebots des Unternehmens und der gelungenen Gestaltung des WBM zur Erstellung von Paketfiltern sind die Produkte auch für die Ausbildung von Meistern, Technikern und Ingenieuren zu empfehlen.

Ein Sicherheitsgateway (oft auch Firewall genannt) ist ein System aus soft- und hardwaretechnischen Komponenten zur Gewährleistung einer sicheren Kopplung von IP-Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei vor allem die ausschließliche Zulassung erwünschter Zugriffe oder Datenströme zwischen verschiedenen Netzen und die Kontrolle der übertragenen Daten. Die Verwendung des Begriffs Sicherheitsgateway anstatt des üblicherweise verwendeten Begriffs Firewall soll verdeutlichen, dass zur Absicherung von Netzübergängen heute nicht mehr ein einzelnes Gerät verwendet wird, sondern eine Menge von Rechnern und deren Konzeption, die unterschiedliche Aufgaben übernehmen, z. B. Paketfilterung, Schutz vor Viren oder die Überwachung des Netzverkehrs.

BSI-Leitfaden „Integration und IT-Revision von Netzübergängen“


Bilder:


(1) Mehr Sicherheit durch Verinselung (Quelle: W&T/ep P. Richter)

(2) Zwei Geräte – ein Konzept a) Microwall Gigabit – Router mit konfigurierbarem Paketfilter (Quelle: W&T)

(3) Erfassungsmaske zur Anlage der Filterregeln (Quelle: W&T)

(4) Ein gelungenes Grundlagenbuch – auch als PDF-Datei verfügbar (Quelle: W&T)

(5) Zwei Geräte – ein Konzept b) Fix Defined Firewall – Einbahnstraße für Datenpakete (Quelle: W&T)


Tafeln:

{1} (Quelle: HUSS-MEDIEN GmbH)

Literatur:

[1] [1] Möbus, H.: Sichere Netzübergänge (ep-Beitragsreihe).
[2] ❙ Teil 1: Modellvorstellung und Begriffe. ep 
73 (2019) 4, LERNEN & KÖNNEN S. 6–7.
[3] ❙ Teil 2: Bausteine von Sicherheitsgateways – Paketfilter. ep 73 (2019) 5, LERNEN & KÖNNEN S. 6–7.
[4] ❙ Teil 3: Bausteine von Sicherheitsgateways – Proxys und NAT. ep 73 (2019) 6, LERNEN & KÖNNEN S. 6–7.
[5] ❙ Teil 4: Virtualisierung und weitere Sicherheitswerkzeuge. ep 73 (2019) 7, LERNEN & KÖNNEN S. 5–7.
[6] ❙ Teil 5: Typische Architekturen und praktische Aspekte. ep 73 (2019) 8, LERNEN & KÖNNEN S. 12–14.
[7] [2] Thiel, F.: TCP/IP-Ethernet: Mach es einfach. Netzwerktechnische Grundlagen. 8. überarbeitete & erweiterte Auflage, Wiesemann & Theis GmbH, Wuppertal 01-2020. n

Anzeige

Fachartikel zum Thema

  1. Grannyguard – für mehr Sicherheit

    Innovative Technik zur Sturzerkennung und Benachrichtigung

    Der Anteil älterer Mitbürger wächst Jahr um Jahr. Die Mehrzahl möchte auch im hohen Lebensalter das gewohnte Umfeld – die eigene Wohnung – nicht verlassen. Dabei können moderne elektronische Geräte in ganz unterschiedlicher Form von Nutzen sein. Das vorgestellte Gerät erkennt Stürze sofort,...

    01/2021 | Gebäudeautomation, Sicherheitstechnik, Steuerungstechnik, Notruf- und Meldesysteme

  2. MQTT – Esperanto für die weltweite Kommunikation der Dinge

    Teil 1: Universelles Protokoll für den Datenaustausch im (I)IoT

    Message Queuing Telemetry Transport (MQTT) ist ein offenes Netzwerkprotokoll für die Maschine-zu-Maschine-Kommunikation. Es ermöglicht – trotz hoher Verzögerungen oder beschränkter Netzwerke – die Übertragung von Telemetriedaten in Form von Nachrichten zwischen Geräten. Entsprechende Lösungen...

    01/2021 | Informations-/Kommunikationstechnik, Netzwerktechnik

  3. Anlagen-Thermografie in Gewerbe und Industrie

    Praxishinweise zur Neufassung der VdS Richtlinie 2851

    Die Thermografie wird seit vielen Jahren in der Industrie als bildgebende Messmethode eingesetzt, um berührungslos Oberflächentemperaturen von Betriebsmitteln zu ermitteln. Mit diesen Informationen können in elektrischen Anlagen Schwachstellen mit vertretbarem Aufwand erkannt und durch die...

    01/2021 | Elektrosicherheit, Maschinen- und Anlagentechnik, Normen und Vorschriften, Messen und Prüfen, Wartung und Instandhaltung

  4. Bewegliche Anschlussklemmen für mehr Flexibilität

    Surface Mounted Technology optimiert die Leiterplattenbestückung

    Auch in der Elektronikfertigung zeigt sich der Trend hin zu immer kleineren Komponenten. Durch das Internet of Things (IoT) sowie den Siegeszug von Industrie 4.0 steigt der Bedarf an platzsparenden Lösungen. Bei der Leiterplattenbestückung ist daher neben Leistungsstärke auch Anpassungsfähigkeit...

    01/2021 | Maschinen- und Anlagentechnik, Montagetechnik

  5. Verbrauchserfassung mit LoRaWAN

    Deutliche Kostensenkung durch die Nutzung neuer Funktechnologie

    Die Erfassung der Verbrauchswerte von Elektroenergie, Wärme, Gas und Wasser – also das Ablesen der Zähler – verursacht erhebliche Kosten. Daher sind in den letzten Jahren ausnahmslos alle Anbieter dazu übergegangen, diese Aktivität den Kunden zu übertragen oder durch den Einsatz technischer...

    12/2020 | Gebäudeautomation, Energietechnik, Bedienen und Beobachten

  6. Erfordernis eines Not-Aus-Schalters

    ?Bei der vorgeschriebenen Elektroabnahme unseres neuen Standard-Klimaprüfschranks wurde bemängelt, dass der Hauptschalter (allpolige Abschaltung) des Klimaprüfschrankes in der Farbe „schwarz“ ausgeführt ist und nicht „gelb/rot“. Nach meinem Verständnis benötigt die Anlage keine Nothalt-Funktion,...

    ep 12/2020 | Maschinen- und Anlagentechnik, Steuerungstechnik

  7. Informationstechnik

    DIN EN 50600-4-6 2020-11 (VDE 0801-600-4-6)

    Informationstechnik – Einrichtungen und Infrastrukturen von Rechenzentren – Teil 4–6: Faktor der Energiewiederverwendung

    12/2020 | Elektrosicherheit, Informations-/Kommunikationstechnik, Energietechnik/-anwendung, Normen und Vorschriften

  8. Elektrosicherheit – Anlagen

    DIN EN IEC 60519-1 2020-12 (VDE 0721-1)

    Sicherheit in Elektroerwärmungsanlagen und Anlagen für elektromagnetische Bearbeitungsprozesse – Teil 1: Allgemeine Anforderungen

    12/2020 | Elektrosicherheit, Maschinen- und Anlagentechnik, Normen und Vorschriften, Schutzmaßnahmen, Elektromagnetische Verträglichkeit (EMV)

  9. Endgeräte in Industrieanlagen besser schützen

    Aufeinander abgestimmte Komponenten erhöhen die Sicherheit

    Eine lange Lebensdauer und eine hohe Verfügbarkeit industrieller Anlagen sind der Grundstein produzierender Unternehmen. Durch die Digitalisierung und den stetig ansteigenden Automatisierungsgrad wird die Produktauswahl immer komplexer. Überspannungsschutz spielt dabei eine wichtige Rolle. ...

    12/2020 | Blitz- und Überspannungsschutz, Maschinen- und Anlagentechnik

  10. SmartPLC – Bedienterminal und Kleinsteuerung

    Einfach in der Handhabung und vielseitig im Einsatz

    Die Gerätekategorie der Kleinsteuerungen kann auf eine mehr als 25 Jahre umfassende Entwicklung zurückblicken. Waren zunächst die verschiedenen Angebote durch eine gewisse Einheitlichkeitbezüglich der Technik und der Werkzeuge für die Inbetriebnahme geprägt, ist aktuell eine deutliche...

    11/2020 | Gebäudeautomation, Steuerungstechnik, Bedienen und Beobachten

Anzeige

Nachrichten zum Thema

Aus dem Facharchiv: Elektropraxis Programmierbares Relais – Akytec PR200

Kleinsteuerungen gehören zu den erfolgreichsten Gerätekategorien der Automatisierungstechnik. In geradezu idealer Weise verbinden sich in diesen Geräten vielseitige Einsatzmöglichkeiten mit einem vorzüglichen Preis-Leistungs-Verhältnis und einfacher...

Weiter lesen

Der semi-autonome Baustellenroboter Jaibot führt die übertragenen Arbeiten auf Grundlage von BIM-Daten (Building Information Modeling) aus.

Weiter lesen

Das I/O-Module-16 des Raspberry-Pi-3-B+-basierten Hutschienen-PCs hat je 4 digitale Ein- und Ausgänge und 8 flexibel auslegbare Schnittstellen, die mit Smart Manager 4.0 über RS-485 steuerbar sind, sodass insgesamt bis zu 128 digitale I/Os zur...

Weiter lesen

Aus dem Facharchiv: Elektropraxis Emansio – Hausautomation mit SPS-Technik

In den vergangenen zwei Jahrzehnten entstand ein breites Angebot an gerätetechnischen Lösungen für die Haus- und Gebäudeautomation. Neben den auf eine dezentrale Anordnung der Komponenten orientierenden Konzepten haben dabei aber auch Angebote, bei...

Weiter lesen

Aus dem Facharchiv: Elektropraxis Mehr als nur Lichtschaltung

Im intelligenten Gebäude der Zukunft übernehmen moderne Sensoren neue Aufgaben, die abseits der reinen Lichtschaltung und Koordination der Gebäudetechnik liegen. Die Art und Qualität ihrer Erfassungsergebnisse erschließt neue Anwendungsbereiche und...

Weiter lesen

Heutzutage können praktisch alle Routinearbeiten am Computer, für die der Mensch keinen Mehrwert generieren kann, einem Software-Roboter überlassen werden.  Die Pläne vieler an Robotik interessierter KMUs, ihre Geschäftstätigkeit effizienter zu...

Weiter lesen

+++ News +++ Digitalveranstaltung - Resumee SPS Connect überzeugt als virtuelle Austauschplattform

Die SPS Connect hat vom 24. - 26.11.2020 mit hohen Teilnehmerzahlen und einer hervorragenden Interaktionsquote eindrucksvoll bewiesen, dass der technologische Fortschritt in der Automatisierungsbranche auch inmitten der Pandemie nicht aufzuhalten und...

Weiter lesen

Der Hafen HaminaKotka an der finnischen Südküste ist der größte und effizienteste Export- und Universalhafen Finnlands sowie ein wichtiger Transithafen. HaminaKotka hat in die Digitalisierung investiert und ein ausgereiftes digitales...

Weiter lesen

Aus dem Facharchiv: Leseranfrage Zukunft der GSM- und UMTS-Standards

Wie sieht die Zukunft des GSM- und UMTS-Standards aus?

Weiter lesen

Die kompakten Antriebssysteme der BXT-Flachmotorenbaureihe vereinen Motoren, Getriebe sowie integrierte Encoder und Speed-Controller, die alle aufeinander abgestimmt sind.

Weiter lesen