Ein standardmäßiger Wechsel der dynamischen IP-Adressen erschwert die Erreichbarkeit von Modems im GPRS- oder EDGE-Netzwerk. Deshalb bieten einige Provider und Systemhäuser Lösungen mit festen IP-Adressen in virtuellen geschlossenen privaten Netzwerken an. Im Rahmen des Vodafone-Konzept CDA (Corporate Data Access) werden alle eingesetzten SIM-Karten vom Anwender auf dem CDA-Server registriert und bekommen eine fixe IP-Adresse.

Die GPRS-Verbindung wird nicht mit zusätzlichem Datenvolumen für einen VPN-Tunnel (Virtual Private Network) belastet, denn aus dem öffentlichen Internet kann nicht mehr auf die Modems zugegriffen werden. Lediglich die Verbindung zwischen CDA-Server und Leitstand über das kabelgebundene Internet ist durch einen VPN-Tunnel gesichert.

Befindet sich die Anwendung im Ausland, erhält der Hersteller oftmals keine festen IP-Adressen oder ein geschlossenes Netzwerk für GSM-Mobilfunkverbindungen. Möchte er trotzdem über GPRS oder EDGE kommunizieren, muss das öffentlich zugängliche Internet genutzt werden.

Das Problem der dynamischen IP-Adressen lässt sich hier mit Hilfe von DynDNS (Dynamic Domain Name System) lösen, einem Dienst, den verschiedene Anbieter im Internet zur Verfügung stellen. Dazu wird ein Domain-Name beim Betreiber des DynDNS-Servers angelegt.

Soll das Modem trotz wechselnder IP-Adressen unter diesem Namen erreichbar sein, muss ein DNS-Client dem DNS-Server die aktuelle IP-Adresse übermitteln. In das GSM/ETH-Modem von Phoenix Contact ist deshalb ein solcher DynDNS-Client integriert worden. So bald ihm der Mobilfunk-Provider eine neue IP-Adresse zuweist, wird diese automatisch und passwortgeschützt an den DynDNS-Server weitergeleitet.

Somit ist das Modem und damit das gesamte angeschlossene Netzwerk unter dem Domain-Namen erreichbar. Führt eine GPRS- oder EDGE-Verbindung direkt durch das Internet müssen die sensiblen Daten durch einen VPN-Tunnel geschützt werden.

Zur Absicherung der VPN-Verbindung vor unbefugten Zugriffen hat sich das in der Fachwelt vorherrschende Sicherheitsprotokoll IPsec (Internet Protocol Security) etabliert. IPsec ist eine IP-Erweiterung, die neben der Verschlüsselung Authentifizierung, Integrität und Transparenz bietet.

Das bedeutet, dass IP-Verbindung transparent für alle Applikationen und IP-Protokolle auf der Netzwerkebene verschlüsselt und signiert werden. IPsec umfasst mit AH (Authentication Header) und ESP (Encapsulating Security Payload) zwei verschiedene Protokolle, die entweder im Tunnel- oder Transportmodus angewendet werden. Die Verschlüsselung und Authentifizierung wird durch PSK (Pre Shared Key) oder X509-Zertifikate sichergestellt.

Zum Verbinden von zwei Ethernet-Netzwerken über das GSM-Mobilfunknetz nutzen die GSM-Modems von Phoenix Contact ESP zur Verschlüsselung sowie den Tunnelmodus, damit alle Teilnehmer über den VPN-Tunnel kommunizieren können.

Außerdem werden Zertifikate verwendet, sodass die Authentifizierung von sämtlichen IP-Adressen aus möglich ist. Jedes IP-Datenpaket wird für den Versand durch den VPN-Tunnel in ein IPsec-Paket gekapselt und mit der neuen IP-Adresse versehen. So lassen sich sichere Daten zwischen zwei Modems austauschen.

Für Daten-Integrität sorgen

Mobilfunk-Provider setzen oftmals die NAT-Technologie (Network Address Translation) ein. NAT verändert das Adressfeld des IPsec-Pakets und macht so die im Paket enthaltene Checksumme ungültig. Das GSM/ETH-Modem von Phoenix Contact erkennt deshalb automatisch, ob NAT auf dem Datenpfad genutzt wird und verwendet in diesem Fall NAT-T (NAT-Traversal), das die IPsec-Pakete in UDP-Pakete (User Datagram Protocol) kapselt.

Dadurch kann die Adress- und Port-Information durch NAT geändert werden, ohne die Integrität der Daten zu beeinträchtigen. Selbst wenn sich entlegene Stationen nur über GSM-Mobilfunk in das Unternehmensnetzwerk einbinden lassen, ist in der Zentrale meist eine Internet-Verbindung vorhanden.

In diesem Fall bietet sich der Einsatz des Sicherheits-Routers FL MGuard von Phoenix Contact an, mit dem bis zu 250 Modems gleichzeitig über eine sichere IPsec-Verbindung via Internet kommunizieren können. Falls eine Firewall genutzt wird, müssen die Protokolle IKE (Internet Key Exchange), UDP-Port 500 und ESP, IP-Port 50 freigegeben werden. Arbeitet die Anwendung mit NAT-T, genügt der UDP-Port 4500. Viele Firewalls erlauben bereits die vereinfachte Freigabe „IPsec Passthrough“.