IoT-Welt voller Maskierungen und Alias-Adressen

Die Einbindung von Maschinen- oder Anlagennetzwerken in ein Produktionsnetzwerk erfolgt üblicherweise über Network Address Translation, also einer Netzwerkadressübersetzung bzw. Maskierung. Das heißt, dass Steuerungen oder vorhandene Feldgeräte aus Sicherheitsgründen über eine Alias-Adresse angesprochen werden aus der übergeordneten Netzwerkebene. Praktisch umgesetzt wurde so eine IoT-Lösung mit 1:1 NAT in der Industrie 4.0-Pilotfabrik in der Seestadt Aspern – Phoenix Contact unterstützte dabei.

Die Automatisierungspyramide dient in der industriellen Fertigung zur Abgrenzung der Nutzungsarten sowie der Risiko- und Lastverteilung auf Netzwerkebenen.

Die Automatisierungspyramide dient in der industriellen Fertigung zur Abgrenzung der Nutzungsarten sowie der Risiko- und Lastverteilung auf Netzwerkebenen.

Network Innovation Days 2018

Das Thema Industrial Security by Design gemäß IEC 62443 steht auch bei den Network Innovation Days im Fokus, zu denen Phoenix Contact am 6. März nach Graz, am 7. März nach Hagenberg und am 7. März in die Seestadt Aspern in Wien lädt.

(h3)phoenixcontact.at/ics

Die Automatisierungspyramide dient in der industriellen Fertigung zur Abgrenzung der Nutzungsarten sowie der Risiko- und Lastverteilung auf Netzwerkebenen. Dieser Ansatz der Segmentierung wird auch im Industrie-Standard IEC 62443 (Industrial Network and System Security) vorgegeben. Die Bezeichnungen und die Anzahl der Ebenen (drei bis zu sieben) werden in der Literatur sehr unterschiedlich beschrieben. Je nach Unternehmensstruktur erfolgt eine Einteilung in z. B. diese vier Ebenen: Office-, Factory Backbone-, Produktions- (DMZ) und Maschinen-Netzwerke.

Industrial Control Systems (ICS) befinden sich auf den Ebenen der Maschinen-Netzwerke (Feldebene) und des Produktions-Netzwerks (Leitwarte/ SCADA). Hier ist der Wirkungsbereich der OT (Operational Technology), also kritischer Produktions- und Leitsysteme. Im Bereich des Factory-Backbone-Networks werden z. B. Prozesse der Material- und Lagerwirtschaft abgebildet. Diese gelten meist als Bereiche der IT.

Eine Segmentierung von Maschinen-Netzwerken ist alleine dadurch erforderlich, weil Anlagen- oder Maschinensteuerungen desselben Herstellers auf Feldebene mit immer gleichen, festen IP-Adressen ausgeliefert werden. Und mehrere gleiche Anlagen mit gleichen IP-Adressen (192.168.0.1) können nicht in einem Netzwerk betrieben werden.

Netzwerkdesign der Industrie 4.0-Pilotfabrik in der Seestadt Aspern.

Netzwerkdesign der Industrie 4.0-Pilotfabrik in der Seestadt Aspern.

NAT verheimlicht gewollt

Die Einbindung von Maschinen- oder Anlagennetzwerken in ein Produktionsnetzwerk (Leitwarte/SCADA) erfolgt üblicherweise über 1:1 NAT (Network Address Translation). Die Netzwerkadressübersetzung ist in Rechnernetzen der Sammelbegriff für Verfahren, die automatisiert Adressinformationen in Datenpaketen durch andere ersetzen. Sie kommt üblicherweise dann zum Einsatz, wenn die zu verbindenden Netzwerke denselben Netzwerkbereich haben. „Um auf einen Server im Internet zugreifen zu können, muss eine offizielle IP-Adresse (DNS) aus dem Internet verwendet werden. Diese IP-Adresse – z. B. google.at – ist aber auch nur eine Alias-Adresse, sprich eine Maskierung, weil der Server von Google in einem Rechenzentrum steht und dort eine LAN 172.16.0.1 IP-Adresse hat. Also sieht es durch NAT nur so aus, als würde der Server von Google im Internet stehen. Alle anderen Server, die im gleichen Rechenzentrum sieht man aber nicht“, vergleicht Erich Kronfuss, Industrial IoT-Security Specialist bei Phoenix Contact. „Dies bedeutet, wenn eine Steuerung einer Anlage beispielsweise 192.168.0.1 als IP-Adresse im Maschinenetzwerk hat, so kann man diese im Produktionsnetzwerk mit einer Alias-Adresse, wie z. B. 10.0.168.2 ansprechen“, ergänzt er.

Firewall-Schalter: Der Aufbau einer VPN-Verbindung zum Fernwartungsportal muss aktiv durch das Bedienpersonal an der Maschine bzw. Anlage erfolgen. Dies soll verhindern, dass unbefugt aus der Ferne auf die Steuerung zugegriffen werden kann.

Firewall-Schalter: Der Aufbau einer VPN-Verbindung zum Fernwartungsportal muss aktiv durch das Bedienpersonal an der Maschine bzw. Anlage erfolgen. Dies soll verhindern, dass unbefugt aus der Ferne auf die Steuerung zugegriffen werden kann.

Firewalls zwischen den Segmenten

Wie Network Adress Translation in der Praxis funktioniert, gibt es u. a. anhand der Industrie 4.0-Pilotfabrik in der Seestadt Aspern zu sehen. Dort haben die TU-Wien und Phoenix Contact gemeinsam ein auf NAT basierendes Maschinennetzwerk geplant und umgesetzt. Aber auch andere Aspekte eines bereits schon „secure“ designten Industrial Control Systems sind bei diesem Projekt eingeflossen.

Die Pilotfabrik wurde in drei Ebenen und sechs Maschinennetzwerk-Segmente eingeteilt. Wobei jede Ebene und alle Segmente durch Firewalls abgesichert sind. Komponenten, die im Netzwerk sichtbar sein sollen, erhielten über 1:1 NAT eine Adresse aus dem Produktionsnetzwerk (10.0.0.0/16). „Da wir alles, was über WLAN oder Bluetooth mit dem Netzwerk verbunden war, als unsicher einstuften, wurden diese Komponenten über lokale DMZ-Ports (Demilitarized Zone) der Firewalls abgesichert“, beschreibt Erich Kronfuss.

Für die Fernwartung wurden Schalter zu den Firewalls installiert: Somit muss der Aufbau einer VPN-Verbindung zum Fernwartungsportal aktiv durch das Bedienpersonal an der Maschine bzw. Anlage erfolgen. Dies soll verhindern, dass unbefugt aus der Ferne auf die Steuerung zugegriffen werden kann. In großen Industrieunternehmen sind teilweise über 1.000 Industrial Firewalls bzw. Fernwartungszugänge zu Maschinen zu verwalten, weil in der Regel vor jeder modernen Anlage eine Industrial Firewall platziert ist. Ob eine Firewall zwischen den internen Netzwerken benötigt wird, oder das Verbergen von IP-Adressen ausreichend ist, muss durch eine Risikoanalyse bewertet werden.

Filtern

Suchbegriff

Unterkategorie

Firmen

Inhaltstyp

Firmentyp

Land