Industrial Internet Security ist das Leben ist kein Spiel

- Aug 22, 2018-

Es bringt viele Vorteile, Ethernet in die Produktion zu bringen. Ein wichtiger Vorteil ist die Schaffung einer offeneren Architektur, die eine große Anzahl von Verbindungen zu verschiedenen Anlagengeräten und Managementwerkzeugen ermöglicht. Aber diese Offenheit bringt auch ein Problem mit sich, das für die Betreiber des Fabriknetzes gelöst werden muss: Sicherheit.

Sobald das Automatisierungssystem dem Ethernet hinzugefügt wurde, ist es ungefähr so, als würde man einen Computer mit dem Internet verbinden. In einer Ecke der Fabrik oder im Firmennetzwerk wird immer eine Internetverbindung bestehen. Daher müssen Unternehmen Maßnahmen ergreifen, um die Fabrikumgebung vor Bedrohungen durch mit dem Internet verbundene Computer zu schützen. Diese Bedrohungen können Hacker, Viren, Trojaner und verschiedene andere Formen von toxischen Programmen sein.

Dies bedeutet, dass der Anlagennetzwerkadministrator die gleichen Sicherheitsschutzwerkzeuge wie die Kollegen der IT-Abteilung benötigt, und es ist am besten, Werkzeuge für die Fabrikumgebung zu entwickeln. Diese Werkzeuge müssen berechtigt sein, in anderen Bereichen innerhalb der Einrichtung oder an anderen entfernten Standorten eine Verbindung zur Fabrik herzustellen. Dies ermöglicht Remote-Administratoren die Durchführung von Aufgaben wie Konfiguration und Diagnose, Initialisierung der Knoten und Zugriff auf Informationen von der Verbindung des Geräts mit dem Onboard-Netzwerk und dem FTP-Server.

Dieses Toolset muss eine Vielzahl von Hardware-, Software- und Nutzungswerkzeugen wie Firewalls, virtuelle private Netzwerke (VPNs), NAT-Technologien (Network Address Translation, Netzwerkadressübersetzung) und Richtlinien enthalten. Sobald die Automatisierungsumgebung geöffnet ist, wird sie funktionieren und sie muss mit anderen Netzwerken kommunizieren und von verschiedenen Standorten aus verwaltet werden, um die Sicherheit der Fabrik vor Internetbedrohungen zu gewährleisten.


Firewall: Die erste Barriere

Firewalls gehören zu den ältesten Sicherheitswerkzeugen und sind heute noch ein wichtiger Bestandteil von Sicherheitskomponenten. Die Firewall befindet sich zwischen den Netzwerken, hauptsächlich um den Informationsfluss zwischen den internen und externen Netzwerken zu steuern. Sein Hauptzweck besteht darin, sicherzustellen, dass nur legitime Informationen in eine bestimmte Richtung fließen.

In einer industriellen Umgebung kann eine Firewall eine automatisierte Geräteeinheit schützen, die mehrere Internetverbindungen enthalten kann, z. B. einen Industrie-PC oder eine SPS. In diesem Fall kann das Unternehmen ein Sicherheitsmodul installieren, das einen Ethernet-Zugriff vom Automatisierungsnetzwerk an einem Ende und einfache Geräte, die an einem Ende mit einem größeren Netzwerk verbunden sind, akzeptiert. Die Interaktion zwischen zwei beliebigen Netzwerken hängt von den Regeln ab, die von der auf dem Gerät installierten Firewall festgelegt werden.

Es gibt viele Strategien zum Ausführen einer Firewall. Industrielle Netzwerke verwenden im Allgemeinen die Paketerkennungstechnologie, damit Geräte mit dem aktuellen Informationsfluss verbunden werden können. Informationen dürfen nur eingegeben werden, wenn festgestellt wird, dass die Anfrage aus dem Intranet rechtsgültig ist. Wenn eine externe Quelle unerwünschte Informationen sendet, wird sie blockiert.

Um sicherzustellen, dass alle Informationsflüsse legitim sind, steuert eine dedizierte Paketprüfungs-Firewall den Informationsfluss gemäß vorgegebenen Filterregeln. Wenn beispielsweise ein interner Knoten Daten an ein externes Zielgerät sendet, lässt die Firewall das Antwortpaket für einen bestimmten Zeitraum zu. Nach dieser Zeit blockiert die Firewall den Datenverkehr erneut.


NAT und NAPT

Eine weitere Technologie, die Sicherheit für die Automatisierungsumgebung bietet, ist NAT, das auf der Geräteebene angewendet wird. NAT verbirgt im Allgemeinen die tatsächliche IP-Adresse des Geräts im internen Netzwerk aus der Perspektive der externen Öffentlichkeit. Es zeigt die öffentliche IP-Adresse für den externen Knoten an, ändert jedoch die im Netzwerk verwendete IP-Adresse.

Die NAPT-Technologie (Network Address and Port Compilation) nutzt das Konzept von NAT und fügt Portnummern hinzu, um die Technologie noch einen Schritt weiter zu bringen. Durch die NAPT-Technologie zeigt das Intranet nur eine IP-Adresse vor der Öffentlichkeit an. Im Hintergrund werden Pakete dem angegebenen Gerät zugewiesen, indem eine Portnummer hinzugefügt wird. NAPT-Arbeitsblätter werden normalerweise auf Routern bereitgestellt, die private IP-Adress-Ports öffentlichen IP-Adress-Ports zuordnen.

Wenn ein Gerät von einem externen Netzwerk ein Paket an ein internes Gerät senden möchte, muss es die öffentliche Adresse des Sicherheitsgeräts mit einem bestimmten Port als Zieladresse verwenden. Diese Ziel-IP-Adresse wird vom Router in eine private IP-Adresse mit einer Portadresse übersetzt.

Die Quelladresse im IP-Header des Pakets bleibt unverändert. Da sich die sendende Adresse jedoch in einem anderen Subnetz der empfangenden Adresse befindet, muss die Rückmeldung weitergeleitet und dann an das externe Gerät weitergeleitet werden, während die tatsächliche IP-Adresse des internen Geräts davor geschützt wird, von der externen Öffentlichkeit gesehen zu werden.


Sicherer Kanal mit VPN

Eine andere Möglichkeit, eine sichere Verbindung über ein im Wesentlichen unsicheres Netzwerk herzustellen, besteht in der Verwendung eines virtuellen privaten Netzwerks (VPN). Ein VPN ist im Grunde genommen ein verschlüsselter Kanal, der von einem Sicherheitsgerät an jedem Endpunkt der Verbindung gebildet wird und eine digitale Authentifizierung generieren muss. Diese Art der Authentifizierung ist im Allgemeinen eine numerische ID, die von vertrauenswürdigen Partnern zur Identifizierung verwendet werden kann. Die Authentifizierung stellt außerdem sicher, dass das Gerät die Daten an einem Ende verschlüsselt, verschlüsselt über das Internet sendet und am anderen Ende entschlüsselt, bevor es an das Endgerät gesendet wird.

Das Sicherheitsmodul arbeitet mit digitaler Authentifizierung und erstellt VPNs in zwei Grundkonfigurationen: Bridging- und Routing-Modi:

Der Bridging-Modus kann verwendet werden, um Geräten die sichere Kommunikation über ein virtuelles "flaches" Netzwerk zu ermöglichen, wenn die geografischen Standorte dieser Geräte weit voneinander entfernt sind oder wenn die Kommunikation zwischen ihnen unsichere Teile des Netzwerks überbrücken muss. Es kann auch für die Kommunikation verwendet werden, die nicht oder im selben Subnetz geroutet werden kann.

Der Routing-Modus kann zum Erstellen von VPNs zwischen Geräten in separaten Subnetzen verwendet werden. Der Router arbeitet auf der dritten Ebene des OSI-Modells und weist eine gewisse Intelligenz auf, um zu erkennen, dass das umgebende Netzwerk Daten an die entsprechende Zieladresse senden muss. Pakete werden über einen sicher verschlüsselten VPN-Tunnel übertragen, so dass diese Kommunikation sicherer ist als in einem öffentlichen Netzwerk wie dem Internet.


Sicherheitswerkzeug

In der Fabrikumgebung gibt es viele Sicherheitstools, die je nach Ihren Anforderungen unterschiedlich konfiguriert werden können. Hier sind einige Beispiele:

Eine Firewall für einen bestimmten Benutzer. Nehmen wir an, Ihr Vertragspartner prüft einige der Automatisierungsgeräte in Ihrer Anlage. Wenn er sich nicht in der Fabrik befindet und sich beim Fabriknetzwerk anmelden kann, z. B. bei der Fehlerbehebung, ist es sehr hilfreich, unerwartete Probleme zu lösen. In diesem Fall können Sie in der Firewall eine Reihe spezifischer Benutzerregeln erstellen, um sicherzustellen, dass der Remotebenutzer auf das Netzwerk zugreifen kann. Sie können auch verschiedene Berechtigungsebenen erstellen, um sicherzustellen, dass verschiedene Remote-Clients nur mit dem entsprechenden Gerät verbunden werden können, für das sie autorisiert sind.

Das Erstellen eines Benutzernamens und eines Kennworts für einen Remote-Benutzer ist eine einfache Aufgabe. Anschließend kann er sich mit der IP-Adresse des Moduls verbinden und sich mit diesen geheimen Informationen anmelden. Installieren Sie die Standardeinstellungen, er kann sich für eine bestimmte Zeit verbinden, nach dieser Zeit wird er automatisch abgemeldet, um zu verhindern, dass er den Computer verlässt, aber zu lange verbunden bleibt. Wenn der Auftragnehmer mehr Zeit benötigt, kann er sich vor Ablauf der Zeit mit einem webbasierten Formular anmelden.

Station zu Station VPN. Manchmal hat das Unternehmen eine zentrale Station und es kann zwei Satellitenanlagen geben. In diesem Fall ist Station-zu-Station-VPN eine geeignetere Lösung. Das Station-zu-Station-VPN verwendet im Allgemeinen eine verschlüsselte Verbindung zwischen den beiden Stationen. Je nach Konfiguration dürfen sich die Benutzer jeder Station natürlich mit anderen Ressourcen auf anderen Stationen verbinden, vorausgesetzt, sie haben die entsprechenden Rechte.

Dieser Ansatz erfordert Module an jedem Standort, um verschlüsselte VPN-Tunnel zu erstellen. Die Firewall kann auch verwendet werden, um eine differenziertere Zugriffskontrolle zu ermöglichen, beispielsweise um bestimmten Benutzern den Zugriff auf eine Teilmenge von Ressourcen zu ermöglichen, ohne andere anzuzeigen.

Punkt-zu-Punkt-VPN Peer-to-Peer-VPNs stellen sicher, dass Benutzer von einem beliebigen anderen Standort aus über eine Internetverbindung Verbindungen zu Geräten herstellen können. Dies ist sehr wichtig für Administratoren, die sich nach der Arbeit von einem entfernten Standort aus für die Fehlerbehebung bei Geräten anmelden müssen.

Dieser Ansatz erfordert, dass das Modul am Zielstandort mit der entsprechenden sicheren Client-Software bestückt wird, die auf dem Laptop oder Tablet des Administrators ausgeführt wird. Die Software unterstützt den Administrator beim Aufbau einer verschlüsselten VPN-Verbindung zu einer Site, die das Modul besitzt. Egal wo er ist, er kann sich mit den richtigen Berechtigungen an jedem Gerät anmelden, das er benötigt.

Mehrpunkt-VPN-Verbindung Nun, der Administrator, will er weitere fünf bis zehn Seiten von zu Hause aus verbinden. Er muss für jede Site keine entsprechende VPN-Verbindung aufbauen. Er kann sich mit einem etablierten zentralen Modul verbinden, das mit jedem VPN der Gegenstelle verbunden ist, und sich dann mit der oben genannten Website verbinden.

Das sind definitiv gute Nachrichten für Servicetechniker, die jeden Tag um die Welt reisen. Durch die individuelle Verbindung mit der zentralen Site können sie nun einfach und sicher auf andere Sites zugreifen, die sie benötigen, und so Verbindungszeit sparen.

Es gibt auch Tools, die sicherstellen, dass Ethernet-basierte Automatisierungsumgebungen so sicher sind wie Feldbusumgebungen. Firewalls und VPNs sind zwar ein wichtiger Teil einer Sicherheitslösung und für den sicheren Zugriff auf Remote-Benutzer. Wir benötigen jedoch auch ein tiefgreifendes Sicherheitsmodell, um in industriellen Umgebungen echte Sicherheit zu gewährleisten. Denken Sie immer daran, dass Sicherheit kein Spiel ist.


Ein paar:Kostenlose Der nächste streifen:Was ist der Unterschied zwischen Glasfaserkabel und Glasfaserkabel?