Mehr Sicherheit durch Verinselung

Steuerungen über ein Sicherheitsgateway ins Intranet einbinden

ep/2020/05/ep-2020-05-384-386-00.jpg
ep/2020/05/ep-2020-05-384-386-01.jpg
ep/2020/05/ep-2020-05-384-386-02.jpg

pdf Artikel als PDF-Datei herunterladen

Ob in der Haus- und Gebäudeautomation oder im industriellen Umfeld, die Einbindung von Automatisierungseinrichtungen in ein bereits existierendes Intranet bietet viele Vorzüge, aber eben auch viele nicht zu unterschätzende Gefahren. Einem Teil dieser Gefahren kann man bereits wirkungsvoll am Übergang zwischen Inter- und Intranet entgegentreten, bei anderen wiederum bedarf es eines gezielteren Herangehens.

Die Wiesemann und Theis GmbH (W&T) ist ein in Wuppertal beheimatetes und nach den Firmengründern benanntes Technologieunternehmen. Ein Blick auf das Produktportfolio des Unternehmens macht schnell deutlich, dass hier, ausgehend vom Wissen um die Techniken des Internets eine neue Generation von Automatisierungslösungen angeboten wird. Internettechnologien werden nicht in existierende Produkte „nachgerüstet“, sondern diese Lösungen werden ausgehend von Netzwerk- und Web-Techniken entwickelt. Die Internettechnologien sind also Basis der Produkte. Beispielhaft hierfür sind die unter der Produktbezeichnung Web-IO angebotenen Automatisierungslösungen. Zum Produktangebot des Unternehmens gehören weiter diverse Schnittstellen zur Anbindung von Sensorik sowie Netzwerktechnik. Aktuell hat das Unternehmen sein Portfolio um zwei Produkte ergänzt, die dazu beitragen, die mit dem Intranet/Internet verbundenen Systeme vor unerlaubten Zugriffen über das Netz zu schützen.

Verinselung als Konzept

Obwohl beide Geräte für grundsätzlich unterschiedliche Aufgabenbereiche konzipiert sind, liegt beiden Geräten der Grundgedanke der Abtrennung der schutzbedürftigeren Komponente vom übrigen Netz zugrunde (Bild 1). Diese von den Entwicklern „Verinselung“ genannte Vorgehensweise basiert letztlich auf der auch ansonsten aus unterschiedlichen Beweggründen angewandten Praxis der Segmentierung von Netzen. Während es ansonsten vorzugsweise darum geht eigene Netzsegmente für die unterschiedlichen Bereiche (Verwaltung, Entwicklung und Produktion) eines Unternehmens zu bilden, sind diese Geräte vor allem zur Anbindung einzelner Endgeräte mit einem höheren Schutzbedarf konzipiert. Gleiches gilt auch für Komponenten, die wegen der darauf installierten Software (z. B. ältere Technik) einer höheren Gefährdung ausgesetzt sind. Durch diese Vorgehensweise können die Maßnahmen zur Erhöhung der Sicherheit wesentlich gezielter erfolgen. Die Geräte sind schon wegen der Bauform als Reiheneinbaugeräte vor allem für den Einsatz im industriellen Umfeld konzipiert, gleichwohl ist ein Einsatz in der Medizintechnik sowie der Haus- und Gebäudeautomation ebenso denkbar.

Gerätetechnik

Die angebotenen Geräte sind bezüglich der Handhabung und der möglich Einsatzbereiche recht unterschiedlich (Tabelle 1). Während die Microwall Gigabit wegen ihrer Konfigurierbarkeit in etwa als das „Schweizer Taschenmesser“ angesehen werden kann, ist die Fix Defined Firewall eher ein perfekt auf lediglich einen Anwendungszweck zugeschnittenes Gerät (Bild 2 und Bild 5)

Microwall Gigabit – Router mit konfigurierbarem Paketfilter

Das unter der Bezeichnung Microwall Gigabit angebotene Gerät ist bezüglich der Funktion ein Router und kann wahlweise als Standard- oder als NAT-Router eingesetzt werden.

Die Betriebsart Standard-Router erfordert eine Intergration der über das Gerät eingebundenen Endgeräte in das Routing-Konzept des Intranets. Bei der Betriebsart NAT-Router sind alle angeschlossenen Endgeräte unter einer einzigen Intranet-IP erreichbar.

Für die Inbetriebnahme kann das Tool Wutility von der Website des Unternehmens heruntergeladen werden. Hiermit können zunächst die Netzwerkbasisparameter

  • IP-Adresse

  • Subnetzmaske

  • Gateway-Adresse

  • DNS-Server

eingestellt werden. Für die weitere Konfiguration kann auf ein Standard Web-Based-Management (WBM) zugegriffen werden, so dass auch eine Fernkonfiguration möglich ist. Zur Sicherheit erfolgt die Kommunikation hierbei ausschließlich verschlüsselt per HTTPS.

Die Anlage des Regelwerks für den Paketfilter erfolgt für jede Betriebsart (Standard- oder NAT-Router) gesondert. Durch Zuordnung eines Labels (z. B. Normalbetrieb oder Wartung) zu den erstellten Filterregeln können zeitlich unterschiedliche Anforderungen bezüglich der Filterung der Datenpakete realisiert werden. Der Anlage der Filteregeln liegt das Whitelist-Prinzip zugrunde, es ist also alles verboten was nicht ausdrücklich erlaubt ist. Die Anlage der Filteregeln erfolgt in einer überaus übersichtlichen und damit gut verständlichen Erfassungsmaske (Bild 3). Hierzu trägt sowohl die farbliche Kennzeichnung der Eingabebereiche als auch die konsequent schrittweise Vorgehensweise bei. Beginnend mit der Vergabe einer Bezeichnung für die anzulegende Regel muss zunächst festgelegt werden für welche Richtung die Regel gelten soll. Danach erfolgt die Festlegung der Filteregeln für Quelle und Ziel anhand der Adressierungsinformationen

  • IP-Adresse(n) und

  • Port-Nummer(n)

sowie der Angabe des Transportprotokolls (TCP oder UDP). Bei TCP kann noch eine weitere Einschränkung auf das File Transfer Protocol (FTP) erfolgen. Die Anlage der Filterregeln schließt mit deren Aktivierung, Angaben zu Aktionen und der Zuordnung zu einem Label. Über Info-Buttons können Information/Ausfüllhinweise zu den einzelnen Feldern aufgerufen werden.

Fix Defined Firewall – Einbahnstraße für Datenpakete

Dieses Gerät folgt zwar ebenfalls dem Konzept der Verinselung, aber in einer völlig anderen Weise. Die Fix Defined Firewall wird komplett konfiguriert ausgeliefert und ist damit „Plug&Play“ installierbar – ohne Netzwerkkenntnisse. Die Funktion des Gerätes lässt sich in einem Satz beschreiben: In einer Richtung können ausnahmslos alle Datenpakete passieren und in der Gegenrichtung kommt kein Datenpaket durch. Damit ist zwar der Einsatzbereich dieses Gerätes deutlich abgegrenzt, aber dort wo genau das nötig ist, erfüllt es diese Anforderung vollumfänglich. Seitens des Herstellers wird diesbezüglich der Anschluss eines Netzwerksniffers genannt. Es sind aber auch Einsatzmöglichkeiten im Rahmen von IoT- und I4.0-Projekten (Stichwort: Daten sammeln) denkbar. Hier sind zwar keine Netzwerkkenntnisse zur Installation nötig, wohl aber im Vorfeld bei der Geräteauswahl und Bestimmung der Einsatzbereiche.

Netzwerkkenntnisse unerlässlich

Spätestens wenn es um die Schaffung sicherer Netzübergänge [1] oder eben um die Verinselung geht, wird schnell deutlich, dass nur grundlegende Netzwerkkenntnisse nicht mehr genügen. Um IP-Adressen in einem Intranet zu vergeben reichen noch Kenntnisse zum Adressaufbau und zu den zur Verfügung stehenden privat frei nutzbaren Adressbereichen. Aber um einen Paketfilter zu konfigurieren, muss man tiefer in den Adressierungsmechanismus mittels Ports und Protokollen einsteigen. W&T bietet hierzu auf seiner Webseite ein breites und gut aufbereitetes Informationsangebot. Das gilt auch für die Anleitungen zur Inbetriebnahme. Grundlegende und weitestgehend produktneutrale Netzwerkkenntnisse mit einem deutlichen Bezug zur Automatisierungstechnik bietet das als PDF-Datei frei verfügbare Grundlagenbuch „TCP/IP-Handbuch“ von F. Thiel (Bild 4). Die Themenpalette reicht dabei von der physikalischen Übertragung, über die logische Adressierung und den Transportprotokollen, den Anwendungs- und Web-Protokollen, den IoT- und I4.0-Protokollen bis hin zu Aspekten der Daten- und Netzwerksicherheit [2].

Fazit

Die von W&T angebotenen Geräte sind im besten Sinne des Wortes „praxisgerecht zu Ende gedacht“. Mit dem Wissen um die Technologien des Internets und den Anforderungen der Automatisierungstechnik sind Produkte entstanden, die sowohl den Bedürfnissen der industriellen als auch der handwerklichen Praxis entsprechen. Wegen des vorzüglichen Informationsangebots des Unternehmens und der gelungenen Gestaltung des WBM zur Erstellung von Paketfiltern sind die Produkte auch für die Ausbildung von Meistern, Technikern und Ingenieuren zu empfehlen.

Ein Sicherheitsgateway (oft auch Firewall genannt) ist ein System aus soft- und hardwaretechnischen Komponenten zur Gewährleistung einer sicheren Kopplung von IP-Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei vor allem die ausschließliche Zulassung erwünschter Zugriffe oder Datenströme zwischen verschiedenen Netzen und die Kontrolle der übertragenen Daten. Die Verwendung des Begriffs Sicherheitsgateway anstatt des üblicherweise verwendeten Begriffs Firewall soll verdeutlichen, dass zur Absicherung von Netzübergängen heute nicht mehr ein einzelnes Gerät verwendet wird, sondern eine Menge von Rechnern und deren Konzeption, die unterschiedliche Aufgaben übernehmen, z. B. Paketfilterung, Schutz vor Viren oder die Überwachung des Netzverkehrs.

BSI-Leitfaden „Integration und IT-Revision von Netzübergängen“


Bilder:


(1) Mehr Sicherheit durch Verinselung (Quelle: W&T/ep P. Richter)

(2) Zwei Geräte – ein Konzept a) Microwall Gigabit – Router mit konfigurierbarem Paketfilter (Quelle: W&T)

(3) Erfassungsmaske zur Anlage der Filterregeln (Quelle: W&T)

(4) Ein gelungenes Grundlagenbuch – auch als PDF-Datei verfügbar (Quelle: W&T)

(5) Zwei Geräte – ein Konzept b) Fix Defined Firewall – Einbahnstraße für Datenpakete (Quelle: W&T)


Tafeln:

{1} (Quelle: HUSS-MEDIEN GmbH)

Literatur:

[1] [1] Möbus, H.: Sichere Netzübergänge (ep-Beitragsreihe).
[2] ❙ Teil 1: Modellvorstellung und Begriffe. ep 
73 (2019) 4, LERNEN & KÖNNEN S. 6–7.
[3] ❙ Teil 2: Bausteine von Sicherheitsgateways – Paketfilter. ep 73 (2019) 5, LERNEN & KÖNNEN S. 6–7.
[4] ❙ Teil 3: Bausteine von Sicherheitsgateways – Proxys und NAT. ep 73 (2019) 6, LERNEN & KÖNNEN S. 6–7.
[5] ❙ Teil 4: Virtualisierung und weitere Sicherheitswerkzeuge. ep 73 (2019) 7, LERNEN & KÖNNEN S. 5–7.
[6] ❙ Teil 5: Typische Architekturen und praktische Aspekte. ep 73 (2019) 8, LERNEN & KÖNNEN S. 12–14.
[7] [2] Thiel, F.: TCP/IP-Ethernet: Mach es einfach. Netzwerktechnische Grundlagen. 8. überarbeitete & erweiterte Auflage, Wiesemann & Theis GmbH, Wuppertal 01-2020. n

Anzeige

Fachartikel zum Thema

  1. Linemetrics-Box – Datenlogger mit SIM-Karte

    Sensordaten und Zustände erfassen, in der Cloud speichern und auswerten

    Um Anlagen sachgerecht betreiben zu können, braucht es möglichst lückenlose und gut aufbereitete Informationen über deren Zustand. Das gilt für Produktionseinrichtungen ebenso wie für große Zweckgebäude. Was noch vor Jahren eines erheblichen technischen Aufwandes bedurfte, ist derzeit schon mit...

    09/2020 | Gebäudeautomation, Maschinen- und Anlagentechnik, Steuerungstechnik, Steuerungstechnik

  2. Bahntechnik

    DIN EN 50238-1 2020-09 (VDE 0831-238-1)

    Bahnanwendungen – Kompatibilität zwischen Fahrzeugen und Gleisfreimeldesystemen – Teil 1: Allgemeines

    09/2020 | Elektrosicherheit, Energietechnik/-anwendung, Maschinen- und Anlagentechnik, Normen und Vorschriften, Elektromobilität, Steuerungstechnik

  3. Antriebstechnik

    E DIN EN IEC 61800-5-1 2020-08 (VDE 0160-105-1)

    Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl – Teil 5-1: Anforderungen an die Sicherheit – Elektrische, thermische und energetische Anforderungen

    09/2020 | Elektrosicherheit, Maschinen- und Anlagentechnik, Normen und Vorschriften, Motoren und Antriebe

  4. Raspberry Pi – industrietauglich gestaltet

    Smartmanager – für Steuerungen und Gebäudeautomation

    Die Fortschritte bei der Elektronik sowie in der Computer- und Netzwerktechnik bestimmen in den letzten Jahrzehnten die Entwicklungen im Bereich der Automatisierungstechnik. Auf der Basis des Einplatinencomputers Raspberry Pi ist eine nahezu unübersehbare Fülle innovativer Lösungen entstanden....

    08/2020 | Gebäudeautomation, Maschinen- und Anlagentechnik, Steuerungstechnik, Steuerungstechnik

  5. Fritz-DECT – Smarthome 
mit der Fritzbox als Zentrale

    Mit dem Router Lichtszenen aktivieren und die Heizung regeln

    Im letzten Jahrzehnt hat die Technik zur Hausautomation weite Verbreitung gefunden. Dieser Trend wird mit dem englischen Begriff Smarthome umschrieben, der vielerlei Deutungen zulässt. Im Bereich des Nachrüstmarktes und bei Renovierungen haben sich auf diversen Funktechniken basierende Systeme...

    08/2020 | Gebäudeautomation, Steuerungstechnik, Lichtsteuerung

  6. Smart Home und Beschattung

    Im Sommer kühler und im Winter wärmer

    Wie die TU Graz in einer Studie im letzten Jahr ermittelt hat, ist eine intelligent gesteuerte Beschattung und Lüftung gegenüber einer üblichen manuellen nicht nur in Bezug auf den sommerlichen Wärmeschutz deutlich überlegen. An sonnigen, heißen Tagen kann damit bis zu 80 % der eingestrahlten...

    08/2020 | Gebäudeautomation, Technische Gebäudeausrüstung, Klimatisierung

  7. Isolationswiderstand eines Linearmotors

    ?Wir verbauen in unseren Schleifmaschinen Linearmotoren. Aufgrund der eingesetzten Kühlemulsion ist es nun schon öfters vorgekommen, dass die Motoren ausgefallen sind, da sich der Isolationswiderstand mit der Zeit verschlechterte und es dann zu einem Schluss kommt. Deshalb haben wir nun während...

    ep 08/2020 | Maschinen- und Anlagentechnik, Motoren und Antriebe

  8. Intelligente Gleichstromnetze 
für Fabrikhallen

    Energiewende in der industriellen Produktion

    Forscherteams der Fraunhofer-Institute für Produktionstechnik und Automatisierung IPA und für Integrierte Systeme und Bauelementetechnologie IISB wollen die Energieversorgung von industriellen Produktionsanlagen langfristig auf Gleichstrom umstellen. Im Verbundprojekt DC-Industrie 2 entwickeln...

    08/2020 | Maschinen- und Anlagentechnik, Energietechnik/-anwendung, Energieerzeugung, Energieverteilung

  9. Betriebsverhalten elektrischer Maschinen

    ?In der Leseranfrage „Anschluss eines DS-Käfigläufermotors für 60 Hz an 50-Hz-Netz“ aus dem Jahr 2001 [1] geht der Autor auf die Auswirkung einer Nutzung der Motoren bei abweichender Frequenz ein. Könnten Sie erläutern, wie sich eine falsche Anschlussspannung auswirkt? ...

    ep 07/2020 | Maschinen- und Anlagentechnik, Motoren und Antriebe

  10. Herausgabe des Programmiercodes

    ?Ich bin Mitarbeiter eines Kraftwerks und habe eine Frage zu unserer Brandmeldeanlage, deren Errichter seit Jahren auch unser Servicepartner ist. Mir ist aufgefallen, dass wir den Programmiercode der Brandmeldeanlagen nie erhalten haben. Daraufhin haben wir unseren Servicepartner und Errichter...

    ep 06/2020 | Gebäudeautomation, Maschinen- und Anlagentechnik, Bedienen und Beobachten, Steuerungstechnik, Recht

Anzeige

Nachrichten zum Thema

Der Einplatinen-Mikrocontroller Arduino und der Einplatinen-Computer Raspberry Pi haben weit über die ursprünglich angedachte Anwendung in der Bastlerszene und im Bildungsbereich Verbreitung erlangt. Insbesondere die Entwicklung im Bereich der...

Weiter lesen

Der Industrierouter RUTX12 verfügt über zwei gleichzeitig nutzbare LTE-CAT-6-Modems. Dadurch können Geschwindigkeiten von bis zu 600 Mbit/s erreicht werden.

Weiter lesen

Die Positionierapparatur für die präzise Ausrichtung von Kameraschutzgehäusen besteht aus einem modularen System.

Weiter lesen

Der Multitouch ermöglicht die intuitive Bedienung über Wischgesten.

Weiter lesen

Der performante und kompakte Embedded-Rechner SmartSL U7-100 liefert bei wenig Energieverbrauch viel Rechenleistung.

Weiter lesen

Aus dem Facharchiv: Elektropraxis Frogblue – 
Automation per Bluetooth

Das Angebot an Produkten zur Haus- und Gebäudeautomation ist seit Jahren kaum noch überschaubar. Neben dem „Platzhirsch“ KNX haben Systeme wie LCN, Digitalstrom, Homematic und viele andere – insbesondere Funksysteme – weite Verbreitung erlangt.

Weiter lesen

Aus dem Facharchiv: Normen und Vorschriften Elektrosicherheit: DIN EN IEC 60204-11 (VDE 0113-11) 2019-09

Dieser Teil von IEC 60204 enthält Anforderungen und Empfehlungen für den Hochspannungsteil der elektrischen Ausrüstung (Hochspannungsausrüstung) von Maschinen zusammen mit ihrer zugehörigen elektrischen Ausrüstung für Niederspannung...

Weiter lesen

Die Torque-Motoren der Reihe DST2 sind permanenterregte hochpolige Synchronmotoren.

Weiter lesen

Telltask ist eine dezentrale Fernsteuerung, die über das Telefon funktioniert. Das Gerät wird ans Stromnetz angeschlossen und mit dem zu steuernden elektrischen Verbraucher verbunden.

Weiter lesen

Zur Ansteuerung von automatischen Dreh-, Karussell- und Rundschiebetüren kommt der Näherungstaster GC306 zum Einsatz.

Weiter lesen