Fotolia; jijomatha

Bild: Fotolia; jijomatha

Mit industrietauglichen Routern kann die Cyber-Security von Produktionsnetzwerke erhöht werden. Eine integrierte Lösung von Router und Switch bietet dabei Vorteile gegenüber einer reinen Router-Lösung.

Der Aufbau, die Integration und Wartung von Ethernet basierten Netzwerken muss schnell, sicher und zuverlässig erfolgen, um Datensicherheit und Maschinenverfügbarkeit zu gewährleisten. Moderne Router müssen das Risiko von Cyber-Attacken minimieren und gleichzeitig schnell und einfach in bestehende Produktionsinfrastruktur integrierbar sein. Aus diesem Grund fordert die internationale Norm IEC 62443-3-3 „Industrial communication networks – Network and system security“ eine Abschottung der Produktionsnetzwerke. Im Folgenden wird aufgezeigt, welche Security-Möglichkeiten ein Router für Produktionsnetzwerke bieten kann und warum ein Router Switch Kostenvorteile gegenüber herkömmlichen Lösungen bieten kann.

Industrial Ethernet Switch
Der Industrial Ethernet Switch hat ein IP67-Gehäuse und verfügt über integrierte Router-Funktionen wie Firewall und NAT.

Sicherheit in Produktionsnetzwerken umsetzen

Netzwerkadressübersetzung
Funktionsweise einer Netzwerkadressübersetzung in Produktionsnetzwerken.

Um eine maximale Sicherheit vor Cyberattacken zu erreichen, ist ein durchdachtes, durchgängiges Sicherheitskonzept notwendig. Cyber-Security-Konzepte beginnen in der Produktionszelle und ziehen sich durch die gesamte Infrastruktur. Um Produktionsnetzwerke zu schützen, sind verlässliche Sicherheitsfunktionen notwendig. Mit Hilfe einer Netzweradressübersetzung (NAT) werden Netzwerkteilnehmer der Automatisierungszelle nach Außen hin unsichtbar. Um das zu erreichen, werden von außen ankommende IP-Adressen maskiert und nach innen übersetzt. So kommen Daten aus dem Internet zum Beispiel mit der IP-Adresse 10.10.1.0 und 255.255.255.0. Der NAT-Router übersetzt diese IP-Adresse zu einer Lokalen IP-Adresse beispielsweise 192.168.10.0/255.255.255.0, die einer SPS im Produktionsnetzwerk zugeordnet ist.

Die SPS verarbeitet die Daten und tauscht Daten mit Peripheriegeräten wie I/O Module, Sensoren und Aktoren aus. Sobald die verabeiteten Daten in der SPS verfügbar sind, werden diese an den NAT-Router gesendet. Der Router übersetzt die Netzwerkadresse der SPS und sendet die Daten mit der IP-Adresse 10.10.1.0 an die Leitwarte, Office-Umgebung oder das Internet weiter. Durch die ständige Übersetzung der IP-Adressen werden Netzwerkteilnehmer, die sich innerhalb des Produktionsnetzwerkes befinden, für Teilnehmer außerhalb des Produktionsnetzwerkes unsichtbar. Folglich können außenstehende Teilnehmer nicht auf das Innenleben des Produktionsnetzwerkes zugreifen.

Diese Eigenschaft der Netzwerkadressübersetzung hat positive Nebeneffekte auf die Verfügbarkeit und Konfiguration von IP-Adressen. Ohne eine 1:1-NAT müssen Netzwerkkonfigurationen manuell an der Produktionsinsel vorgenommen werden. Das ist zeit- und kostenintensiv. Werden alle Produktionsnetzwerke zentral in einem Netzwerk verwaltet, muss sichergestellt werden, dass IP-Adressen einmalig vergeben sind. Wer mehrere identische Produktionsinseln mit vielen Steuerungen, I/O Modulen, Sensoren und Aktoren professionell und erweiterbar betreiben möchte, stößt schnell an physikalische Grenzen. Spätestens bei 254 Netzwerkgeräten im selben Netzwerk werden IP-Adressen zum Engpass.

Neben der IP-Adressen-Problematik und der Netzwerkkonfiguration sind Vernetzung und Bedienfreundlichkeit wesentliche Kriterien für eine kosteneffektive Installation von Produktionsnetzwerken. Um Feldbusgeräte zu vernetzten, benötigt man industrietaugliche Switche, die dezentral, direkt an die Maschine angebracht werden können und Umweltanforderungen genügen.

Herkömmliche Lösungen sehen zwei Geräte vor: ein Router und ein Industrial Ethernet Switch. Der von Tronteq Electronic entwickelte Industrial Ethernet Switch „Roqstar Security“ bietet die Funktionen eines robusten, industriefähigen Managed Switches mit integriertem 1:1-NAT-Router. Der kompakt in einem IP67-Gehäuse aufgebaute 10-Port-Switch bietet neben einem bedienerfreundlichen Webserver mit zahlreichen Monitoring- und Diagnose-Möglichkeiten wie Port Statistik auch grundsätzliche Management Funktion wie Priorisierung der Ports (Quality of Service), Einstellung von Virtual LANs, Port Shutdown und das im Standard IEE 802.1D definierte Redundanzprotokoll RSTP.

Das Herzstück des Switches aus Sicht von Cyber-Security ist die integrierte 1:1-NAT. Damit werden von außen ankommende IP-Adressen eins zu eins übersetzt und im Lokale Produktionsnetzwerk mit einem gleichbleibenden, vom gesamten Netzwerk unabhängigen IP Adressbereich weitergeleitet. Für Teilnehmer außerhalb des Produktionsnetzwerkes ist dabei weder die Anzahl noch die IP-Adresse der Netzwerkteilnehmer sichtbar. Typischerweise befindet sich der IP-Adressbereich zwischen 192.168.0.0 und 192.168.255.255. Damit lassen sich identische Produktionsnetzwerke einfach, schnell und automatisiert klonen.

Ein NAT-Switch bietet nicht den Umfang einer echten Firewall. Aus Security-Sicht dient die NAT dazu, das Innenleben des Produktionsnetzwerkes zu verstecken und nicht zu schützen. Vielmehr muss die NAT-Lösung als eine zusätzliche Security Maßnahme, die lediglich einen Teil eines gesamten Security-Konzeptes ausmacht, verstanden werden. Der NAT-Switch punktet in Sachen Kosteneffektivität, indem er die Switch- und Router-Funktionen in einem All-in-One-Gerät vereint und darüber hinaus die Verwaltung der IP-Adressen erleichtert. Die Automatisierung der Netzwerkkonfiguration bietet Anwendern einen Mehrwert und sorgt somit für verbesserte Installationsprozesse. do