Melden Sie sich kostenfrei an, um Artikel vollständig zu lesen...
News und Promotion-Beiträge sind ohne Registrierung kostenfrei zu lesen
Login

Passwort vergessen?
Registrieren
   

Passwort ist zu kurz (mind. 8 Zeichen).
Bild: Devonyu, iStock; Systeme Helmholz
Firewall

1 Bewertung

Industrienetze schützen und verbinden

Text: Anja Gropp und Stephan Schrödl, beide Systeme Helmholz
Mit dem Siegeszug der Ethernet-Vernetzung spielt die sichere Integration von Maschinennetzen in das übergeordnete Produktionsnetzwerk eine zentrale Rolle. Damit die Kommunikation zwischen den Netzen klappt, vereint man am besten Bridge- und Firewall-Funktionen in einer Lösung.

In Ethernet-vernetzten Produktionsumgebungen und in Hinblick auf Industrie 4.0 stellt sich auch die Maschinensicherheit aktuell als großes Thema dar. Konkret geht es darum, Maschinennetze sicher in übergeordnete Produktionsnetze zu integrieren oder von diesen abzugrenzen. Das Maschinennetz, also das Netzwerk einer Automatisierungszelle mit einer oder mehreren Maschinen, ist dabei als LAN zu betrachten, das Produktions- beziehungsweise Firmennetzwerk als WAN. Um die Schnittstelle zwischen beiden sicher zu realisieren, war bisher nur der Umweg über komplexe Firewall-Lösungen möglich. Diese sind allerdings für diesen speziellen Einsatzzweck naturgemäß überdimensioniert. Und das bedeutet auch: dementsprechend teuer und kompliziert in der Handhabung.

Eine Alternative bietet die neue Industrial Ethernet Bridge und Firewall WALL IE von Systeme Helmholz. Sie ermöglicht die einfache Integration von Maschinennetzen in das übergeordnete Produktionsnetz. Konkret schützt die Komponente die Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Vorgaben können anwenderspezifisch definiert werden. Die Voraussetzung dafür schafft eine Paketfilter-Funktion: Mit dem Paketfilter lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken. Es kann konfiguriert werden, dass nur bestimmte Teilnehmer aus dem Produktionsnetzwerk mit definierten Teilnehmern aus der Automatisierungszelle Daten austauschen dürfen. Andernfalls wird das Datenpaket zurückgewiesen oder verworfen. Als Filterkriterien auf Layer 3 und 4 sind bisher IPv4-Adressen, Protokoll (TCP/UDP) und Ports verfügbar. MAC-Adressen und Ethertype werden folgen.

Als weitere Besonderheit kann die Wall IE sowohl im NAT-Betriebsmodus als auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert das Gerät als Layer 2 Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart die Paketfilterung möglich. Dadurch kann die Einschränkung des Zugriffs zu einzelnen Bereichen ihres Netzwerkes erreicht werden, ohne dass hierfür unterschiedliche Netzwerke verwendet werden müssen.

Wall IE ist für 100 MBit Industrial Ethernet konzipiert. Die zugrundeliegende Software ist Linux-basiert und wurde komplett von Helmholz selbst entwickelt. Die Hardware ist industrietauglich robust und geeignet für die Montage auf der Hutschiene. Die Konfiguration erfolgt über ein responsives Webinterface. In die Benutzerführung haben die Helmholz-Entwickler ihre Erfahrungen aus der TB20-Toolbox einfließen lassen. Der Online-Zugang ist passwortgeschützt und läuft über eine verschlüsselte https-Verbindung.

Router-Betriebsmodus und NAT-Funktionalität

Im Router-Betriebsmodus leitet die Wall IE den Datenverkehr zwischen verschiedenen IPv4-Netzwerken (Layer 3) weiter und nutzt Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetzwerk. Dabei wird die Adressübersetzung mittels Network Adress Translation (NAT) unterstützt. Die Verwendung von NAT ermöglicht mehrere gleichartige Automatisierungszellen mit dem gleichen Adressbereich in das Produktionsnetz einzubinden. Kollisionen sind damit ausgeschlossen. Für die Kommunikation mit anderen Automatisierungszellen kommen statische Routen zum Einsatz. Hierfür muss das Netzwerk sowie die Adresse des dafür zuständigen Routers konfiguriert werden.

Im Router-Betriebsmodus unterstützt Wall IE zwei NAT-Funktionen: Basic NAT und NAPT. Basic NAT ist die Übersetzung von einzelnen IP-Adressen und in Zukunft auch ganzer Adressbereiche. Die Übersetzung geschieht ausschließlich auf IP-Ebene, wodurch alle Ports ohne explizite Weiterleitungen angesprochen werden können. Bei NAPT (Network Address and Port Translation) hingegen werden nicht nur die IP-Adressen, sondern auch Port-Nummern umgeschrieben. Alle Adressen der Automatisierungszelle werden in eine einzige Adresse des Produktionsnetzwerks übersetzt. Die Absender-Adressen von Paketen aus der Automatisierungszelle werden durch diese ersetzt.

Bildergalerie

Firmen zu diesem Artikel

Nach oben