Startseite » Industrial Ethernet »

Das Innenleben von Produktionsnetzwerken lässt sich nach außen hin ‚verstecken‘

Cyber-Security: Kostenreduzierung durch industrietauglichen Switch mit integrierter NAT-Funktion
Das Innenleben von Produktionsnetzwerken lässt sich nach außen hin ‚verstecken‘

In Industrie-4.0-Konzepten sind Fabriken keine in sich abgeschotteten Anlagen mehr, sondern meist über das Internet verbunden. Daten lassen sich so jederzeit flexibel abrufen. Parallel dazu stieg allerdings auch die Zahl von Cyber- Attacken in den letzten Jahren erheblich an. Mit industrietauglichen Routern lässt sich die Cyber-Security von Produktionsnetzwerken deutlich erhöhen, eine integrierte Lösung von Router und Switch bietet jedoch deutliche Vorteile gegenüber der reinen Router Lösung.

DER AUTOR Juri Martinevski ist Geschäftsführer von Tronteq Electronic in Reutlingen

Aufbau, Integration und Wartung von Ethernet-basierten Netzwerken müssen schnell, sicher und zuverlässig erfolgen, um maximale Datensicherheit und Maschinenverfügbarkeit zu gewährleisten. Die IEC 62443-3-3 (Industrial communication networks – Network and system security) fordert deshalb eine Abschottung der Produktionsnetzwerke. Mit modernen Routern kann der Anwender das Risiko von Cyber-Attacken minimieren, die Geräte lassen sich gleichzeitig schnell und einfach in bestehende Produktionsinfrastrukturen integrieren. Im Folgenden wird aber aufgezeigt, welche Security-Möglichkeiten Router für Produktionsnetzwerke bieten und warum eine Router-Switch-Kombination Kostenvorteile gegenüber herkömmlichen Lösungen bieten kann.
Um eine maximale Sicherheit vor Cyberattacken zu erreichen, ist zunächst ein durchdachtes, durchgängiges Sicherheitskonzept erforderlich. Cyber-Security-Konzepte beginnen in der Produktionszelle und ziehen sich durch die gesamte Infrastruktur hindurch. Ein verlässliches Verfahren ist, mit Hilfe der Netzwerkadressübersetzung (Network Address Translation, NAT) Netzwerkteilnehmer der Automatisierungszelle nach außen hin unsichtbar werden zu lassen. Um das zu erreichen, werden von außen ankommende IP-Adressen maskiert und nach innen übersetzt. Kommen etwa Daten aus dem Internet mit der IP-Adresse 10.10.1.0 oder 255.255.255.0 an, übersetzt der NAT-Router diese zu einer lokalen IP-Adresse, beispielsweise 255.255.255.0 zu 192.168.10.0. Diese wiederum ist einer SPS-Steuerung im Produktionsnetzwerk zugeordnet. Die SPS verarbeitet nun die Daten und tauscht Daten mit Peripheriegeräten wie I/O-Modulen, Sensoren und Aktoren aus. Sobald die verarbeiteten Daten in der SPS verfügbar sind, werden diese wieder an den NAT-Router gesendet. Dieser ‚übersetzt‘ die Netzwerkadresse der SPS zurück und sendet die Daten mit dieser IP-Adresse an die Leitwarte, Office-Umgebung oder das Internet (siehe Grafik). Der Vorteil: Durch die ständige Übersetzung der IP-Adressen werden Netzwerkteilnehmer, die sich innerhalb des Produktionsnetzwerkes befinden, für Teilnehmer außerhalb des Produktionsnetzwerkes unsichtbar. Folglich können außenstehende Teilnehmer nicht auf das Innenleben des Produktionsnetzwerkes zugreifen.
Anforderung und Umsetzung sicherer Produktionsnetzwerke
Diese Netzwerkadressübersetzung führt zu positiven Nebeneffekten hinsichtlich der Verfügbarkeit und Konfiguration von IP-Adressen. Ohne eine 1:1-NAT müssten Netzwerkkonfigurationen manuell an der Produktionsinsel vorgenommen werden, was zeit- und kostenintensiv ist. Werden dagegen alle Produktionsnetzwerke zentral verwaltet, lässt sich auch sehr einfach sicherstellen, dass IP-Adressen nur einmal vergeben werden. Ein Nachteil dabei: Wer mehrere identische Produktionsinseln mit vielen Steuerungen, I/O-Modulen, Sensoren und Aktoren professionell und erweiterbar betreiben möchte, stößt schnell an physikalische Grenzen. Spätestens bei 254 Netzwerkgeräten im selben Netzwerk werden IP-Adressen zum Engpass.
Diese Adress-Problematik gilt es in den Griff zu bekommen, zudem sind bei der Netzwerkkonfiguration Vernetzungsmöglichkeiten und Bedienfreundlichkeit wesentliche Kriterien für die kosteneffektive Installation von Produktionsnetzwerken. Um Feldbusgeräte zu vernetzen, benötigt man deshalb industrietaugliche Switche, die dezentral – direkt an der Maschine – angebracht werden können und den Umgebungsbedingungen genügen. Herkömmliche Lösungen sehen dafür zwei Geräte vor:
  • einen Router und
  • einen Industrial-Ethernet-Switch.
Der von Tronteq Electronic entwickelte Industrial-Ethernet-Switch mit dem Namen Roqstar bietet hier die Funktionen eines robusten industriefähigen Managed Switches mit einer integrierten 1:1-NAT sowie Funktionen eines Routers in einem Gerät. Der kompakt in einem IP67-Gehäuse aufgebaute 10-Port-Switch stellt zudem neben einem Webserver mit zahlreichen Monitoring- und Diagnose-Möglichkeiten (wie etwa Port-Statistik) auch grundsätzliche Management-Funktion bereit wie
  • Priorisierung der Ports (Quality of Service),
  • Einstellung von Virtual LANs,
  • Port Shutdown und
  • das im Standard IEE 802.1D definierte Redundanzprotokoll RSTP.
Herzstück des Switches aus Sicht der Cyber-Security ist dabei die integrierte 1:1-NAT. Damit werden von außen ankommende IP-Adressen 1:1 übersetzt und im lokalen Produktionsnetzwerk mit einem gleichbleibenden, vom gesamten Netzwerk unabhängigen IP-Adressbereich weitergeleitet. Für Teilnehmer außerhalb des Produktionsnetzwerkes ist dabei weder die Anzahl der Netzwerkteilnehmer noch deren IP-Adresse sichtbar. Typischerweise befindet sich der IP-Adressbereich zwischen 192.168.0.0 und 192.168.255.255. Damit lassen sich auch identische Produktionsnetzwerke einfach, schnell und automatisiert klonen. co

INFO & KONTAKT
Tronteq Electronic GbR
Reutlingen
Tel.: +49 7121 1477-648

PRAXIS PLUS
Ein NAT-Switch bietet nicht den Umfang einer echten Firewall. Aus Security-Sicht dient die Network Address Translation (NAT) dazu, das Innenleben des Produktionsnetzwerkes zu verstecken – und nicht zu schützen. Vielmehr muss die NAT-Lösung als eine zusätzliche Security-Maßnahme verstanden werden, die lediglich einen Teil eines umfassenden Security-Konzeptes ausmacht. Der NAT-Switch punktet hier in Sachen Kosteneffektivität, indem er die Switch- und Router-Funktionen in einem All-in-One-Gerät vereint und darüber hinaus die Verwaltung der IP-Adressen deutlich erleichtert. Die Automatisierung der Netzwerkkonfiguration bietet Anwendern einen spürbaren Mehrwert und sorgt somit für verbesserte Installationsprozesse, was sich in Zeit- und Kostenersparnissen widerspiegelt.
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de