ANZEIGE

Firewall für Automatisierer

„Never touch a running system“ ist im Automatisierungsumfeld weit verbreitet. Mit einer konsequenten Isolation der betreffenden Netzwerk-Segmente sorgen Sie dafür, dass SPSen ohne Zugriffsschutz und XP-Rechner trotzdem sicher betrieben werden können.


Produktionsnetzwerke wirksam schützen

Mit der Industrie-Firewall mbNETFIX lassen sich Produktionsnetzwerke in überschaubare Einheiten segmentieren.
Bild: MB Connect Line GmbH

In der klassischen IT gehören regelmäßige Sicherheitsupdates bei Computern und anderen Geräten im Netzwerk zum Standard. Die Betriebssysteme und die Antiviren-Software werden laufend auf erforderliche Updates geprüft, und, sofern verfügbar, ohne Verzögerung aktualisiert. Der Benutzer merkt oft gar nichts davon. Bei Systemen, die in der Fertigung und Produktion eingesetzt werden, sind solche automatischen Update-Prozesse nicht möglich. Zum einen steht die Verfügbarkeit an höchster Stelle. Ein Industrie-PC, der ein Werkzeug oder Material mit mehreren Metern pro Sekunde durch eine Maschine bewegt, kann nicht mal kurz für ein paar Sekunden den Prozess anhalten, um Software-Updates zu installieren. Zum anderen ist manche Software in der Produktion, beispielsweise die Runtime einer SoftSPS, nur bis zu einem bestimmten Service-Pack freigegeben. Der Anwender muss dann warten, ob bzw. bis der Hersteller nachzieht. Um trotzdem einen wirkungsvollen Schutz gegen Angriffe von außen zu erreichen, kann der Anwender mit der Industrie-Firewall mbNETFIX Netzwerksegmente isolieren – und nur einen definierten Datenverkehr zulassen. Mit der Einrichtung sicherer Zonen entschärft der Anwender nicht nur die Update-Problematik, er schützt auch Geräte Panels und Steuerungen, die keine eigenen Sicherheitsmechanismen haben.

Konfiguration per Lernmodus

Die Konfiguration der Industrie-Firewall erfolgt einfach per Lernmodus. Hier erlaubt die Firewall eine unbeschränkte Kommunikation und zeichnet alle Verbindungen auf. Der Anwender entscheidet anschließend anhand der erfassten Pakettabelle, welche Verbindungen unter den IP-Geräten zulässig und welche unerwünscht sind und deshalb gesperrt werden. Im Bridgemodus kann die Firewall einfach in bestehende Netzwerke integriert werden, welche im selben Netzwerksegment liegen und schützt mittels Paketfilter den Datenaustausch zwischen WAN <> LAN. Sie integriert sich transparent eine IP-Adressvergabe ist nicht notwendig. Im Gatewaymodus erhalten WAN und LAN jeweils eine definierte IP-Adresse und segmentieren somit die Netzwerke. Hier können Funktionen wie NAT und Forwarding genutzt werden, um den Datenverkehr zu den entsprechenden Netzwerken zu routen.

Security by Design

Das Konzept der Firewall basiert auf „Security by Design“. Schon während der Design- und Entwicklungsphase werden mögliche Bedrohungs-Szenarien analysiert und ein entsprechender Schutz vorgesehen. Um die Angriffsvektoren zu minimieren, besitzt die Firwall kein Webinterface. Die Konfiguration erfolgt mittels USB-Anschluss und einer eigens konzipierten Konfigurationssoftware. Eine Authentifizierung per RSA-Key machen Brute-Force-Angriffe nahezu unmöglich. Der Mac-Adressen-Filter gewährleistet die eindeutige Identifikation der Kommunikationspartner. Für IT-Experten steht, optional aktivierbar, auch ein SSH-Interface zur Verfügung.

All About Automation Essen (Stand 640)