Cyber-Security für Produktionsnetzwerke Unsichtbar ist gut getarnt

Der Aufbau, die Integration und Wartung von Ethernet basierten Netzwerken muss schnell, sicher und zuverlässig erfolgen, um maximale Datensicherheit und Maschinenverfügbarkeit zu gewährleisten.

Bild: iStock, mgokalp
07.12.2016

Bei der Umsetzung von Industrie 4.0 werden Fabriken meist über das Internet verbunden. Mit industrietauglichen Routern kann die Cyber-Security von Produktionsnetzwerken deutlich erhöht werden. Eine integrierte Lösung von Router und Switch bietet Vorteile gegenüber einer reinen Router Lösung. Netzwerkteilnehmer werden damit nach außen hin unsichtbar.

Der Aufbau, die Integration und Wartung von Ethernet basierten Netzwerken muss schnell, sicher und zuverlässig erfolgen, um maximale Datensicherheit und Maschinenverfügbarkeit zu gewährleisten. Moderne Router müssen das Risiko von Cyber Attacken minimieren und gleichzeitig schnell und einfach in bestehende Produktionsinfrastrukturen integrierbar sein. Genau aus diesem Grund fordert die internationale Norm IEC 62443-3-3 „Industrial communication networks - Network and system security“ eine Abschottung der Produktionsnetzwerke.

Eine Vernetzung birgt immer auch Risiken: Die Zahl von Cyberattacken ist in den letzten Jahren erheblich angestiegen. Um eine maximale Sicherheit zu erreichen, ist ein durchdachtes, durchgängiges Sicherheitskonzept notwendig. Cyber-Security-Konzepte beginnen in der Produktionszelle und ziehen sich durch die gesamte Infrastruktur hindurch. Um Produktionsnetzwerke zu schützen, sind verlässliche Sicherheitsfunktionen notwendig. Mit Hilfe einer Netzwerkadressübersetzung (NAT) werden Netzwerkteilnehmer der Automatisierungszelle nach außen hin unsichtbar.

Neue IP-Adressen generieren

Um das zu erreichen, werden von außen ankommende IP Adressen maskiert und nach innen übersetzt. So kommen Daten aus dem Internet mit einer speziellen IP-Adresse und der NAT Router übersetzt diese zu einer lokalen IP-Adresse, die einer SPS im Produktionsnetzwerk zugeordnet ist. Die SPS verarbeitet die Daten und tauscht Daten mit Peripheriegeräten wie I/O Modulen, Sensoren und Aktoren aus. Sobald die verabeiteten Daten in der SPS verfügbar sind, werden diese wieder an den NAT Router gesendet. Der übersetzt die Netzwerkadresse der SPS und sendet die Daten mit der ursprünglichen Internet-IP-Adresse an die Leitwarte, Office-Umgebung oder das Internet weiter.

Auf Grund der ständigen Übersetzung der IP-Adressen werden Netzwerkteilnehmer, die sich innerhalb des Produktionsnetzwerkes befinden, für Teilnehmer außerhalb des Produktionsnetzwerkes unsichtbar. In der Folge können Außenstehende auch nicht auf das Innenleben des Produktionsnetzwerkes zugreifen.

Diese Eigenschaft der Netzwerkadressübersetzung hat positive Nebeneffekte auf die Verfügbarkeit und Konfiguration von IP-Adressen. Ohne eine 1:1 NAT müssen Netzwerktkonfigurationen manuell an der Produktionsinsel vorgenommen werden. Das ist zeit- und kostenintensiv. Werden alle Produktionsnetzwerke zentral in einem Netzwerk verwaltet, muss sichergestellt werden, dass IP-Adressen einmalig vergeben sind. Wer mehrere identische Produktionsinseln mit vielen Steuerungen, I/O Modulen, Sensoren und Aktoren professionell und erweiterbar betreiben möchte, stößt schnell an physikalische Grenzen. Spätestens bei 254 Netzwerkgeräten im selben Netzwerk werden IP-Adressen zum Engpass.

Neben dieser Problematik und der Netzwerkkonfiguration sind Vernetzung und Bedienfreundlichkeit wesentliche Kriterien für eine kosteneffektive Installation von Produktionsnetzwerken. Um Feldbusgeräte zu vernetzten, benötigt man industrietaugliche Switche, die dezentral direkt an die Maschine angebracht werden können und Umweltanforderungen genügen.

Kosten senken durch Switch mit NAT

Herkömmliche Lösungen sehen zwei Geräte vor: einen Router und einen Industrial Ethernet Switch. Der von Tronteq Electronic entwickelte Industrial Ethernet Switch bietet die Funktionen eines robusten industriefähigen Managed Switches mit einem WAN-Port mit integrierten Firewall und 1:1 NAT. Die Firewall bietet Routing und Port-Forwarding-Funktionen. Damit kann der gesamte Datenverkehr auf dem WAN Port sicher gestaltet werden. Nur definierte IP-Adressen dürfen mit dem Gerät kommunizieren.

Der kompakt in einem IP54/IP67 Gehäuse aufgebaute kaskadierbare 10-Port Switch bietet einen bedienerfreundlichen Webserver mit vielen Monitoring- und Diagnosemöglichkeiten wie Ports Statistik. Es gehören auch Management-Funktionen wie Priorisierung der Ports (Quality of Service), Einstellung von Virtual LANs, Port Shutdown dazu und das im Standard IEE 802.1D definierte Redundanzprotokoll RSTP.

Das Herzstück des Switches aus Sicht von Cyber-Security ist die integrierte 1:1 NAT. Damit werden von außen ankommende IP-Adressen eins zu eins übersetzt und im lokalen Produktionsnetzwerk mit einem gleichbleibenden, vom gesamten Netzwerk unabhängigen IP-Adressbereich weitergeleitet. Für Teilnehmer außerhalb des Proudktionnetzwerkes ist dabei weder die Anzahl noch die IP-Adresse der Netzwerkteilnehmer sichtbar. Typischerweise befindet sich der IP-Adressbereich zwischen 192.168.0.0 und 192.168.255.255. Damit lassen sich identische Produktionsnetzwerke einfach, schnell und automatisiert klonen.

Eines darf man allerdings nicht übersehen: Solch ein NAT Switch bietet nicht den Umfang einer echten Firewall, denn aus Security Sicht dient die NAT vor allem dazu, das Innenleben des Produktionsnetzwerkes nach außen hin einfach unsichtbar zu machen. Insofern muss die NAT-Lösung als eine zusätzliche Security Maßnahme verstanden werden, die lediglich einen Teil eines gesamten Security-Konzeptes ausmacht. Ein weiterer Vorteil ist, dass der NAT Switch in Sachen Kosteneffektivität punktet, indem er die Switch- sowie die Router-Funktionen in einem All-in-One-Gerät vereint. Darüber hinaus erleichtert er die Verwaltung der IP-Adressen deutlich. Eine Automatisierung der Netzwerkkonfiguration bietet Anwendern also einen spürbaren Mehrwert: Sie sorgt für verbesserte Installationsprozesse, und das spiegelt sich in Zeit- und Kostenersparnisen wieder.

Bildergalerie

  • Netzwerkadressübersetzung: Durch ständiges Übersetzen der IP-Adressen werden Netzwerkteilnehmer im Produktionsnetzwerk für Außenstehende unsichtbar.

    Netzwerkadressübersetzung: Durch ständiges Übersetzen der IP-Adressen werden Netzwerkteilnehmer im Produktionsnetzwerk für Außenstehende unsichtbar.

    Bild: Tronteq

  • Der Security Switch bietet bis zu 10 Ports und eine 1:1 NAT in einem IP67 Gehäuse.

    Der Security Switch bietet bis zu 10 Ports und eine 1:1 NAT in einem IP67 Gehäuse.

    Bild: Tronteq

Firmen zu diesem Artikel
Verwandte Artikel