Kennen Sie die Teilnehmer Ihres Netzwerkes?

Zur Sicherheit von Netzwerken gehört auch die Kenntnis über die vorhandenen Netzwerkteilnehmer
Die Security Arbeitsgruppe der Safety Network International e.V. erstellt derzeit Leitfäden zur Erreichung erster Security-Levels in Netzwerken auf Maschinen- bzw. Anlagenebene. René Heidl, Geschäftsführer bei Indu-Sol und Mitglied der Arbeitsgruppe, arbeitet seit Jahren eng mit Herstellern und Anwendern industrieller Kommunikationssysteme zusammen und ist aufgrund seiner Erfahrungen und seines technischen Know-hows sehr in der Lösungsfindung für eine sicherere Netzwerkkommunikation engagiert.

\’Verwende managebare Switche!\‘. Diese Aussage zum Leitfaden der Netzwerkauslegung gemacht, ermöglicht jedermann auf einfache Weise erste Aussagen zum Zustand des Netzwerkes. Besonders richtet sich der Appell an den Maschinen- und Anlagenbau, da in diesem Bereich bisher kaum Security-Mechanismen zur Anwendung kommen. Viele Betreiber wiegen sich in Sicherheit, weil sie das Maschinennetzwerk autark sehen bzw. dass Bedrohung nur von außen kommen kann. Aber viele Studien beweisen das Gegenteil. Nicht selten sind unbeabsichtigte Eingriffe oder unberechtigte Netzzugriffe von innen die Realität. Es folgen Fehlfunktionen, welche in unerklärbaren Anlagenstillständen münden. Um solche \’Attacken\‘ zu vermeiden bzw. zumindest nachweisen zu können, ist ein weiterer Leitfaden \’Kenne die Teilnehmer deines Netzwerkes\‘ entstanden.

Wer gehört zu meinem Netzwerk?

Diese Frage klingt zunächst trivial, denn jeder weiß, was er installiert hat. Oftmals gibt es aber keine schlüssige Dokumentation der permanent zum Netzwerk gehörenden Netzwerkteilnehmer bzw. die Topologie ist im ständigen Fluss. Im Moment sind in der Automatisierung Ethernet-basierende Netzwerke wie Profinet oder Safetynet p auf dem Vormarsch und ermöglichen eine automatisierte Topologieerkennung durch Netzwerkscans. Darüber hinaus überwacht der zuständige Controller die projektierten I/O-Geräte. Da aber Servicelaptops, Kameras, Scanner, Switche oder auch Drucker meist nicht im Telegrammverkehr mit dem Controller stehen, fallen diese Teilnehmer durch die Überwachungsmaschen. Sie fungieren als \’Unbekannte\‘ im Netz, um welche sich aus Security-Sicht niemand kümmert. Provokant gefragt: Handelt es sich um einen Angreifer oder zusätzlichen Teilnehmer? Eine Identifizierung ist schwierig, wenn nicht bekannt ist, wer zum Netzwerk gehört. Es empfiehlt sich daher bei jeder Inbetriebnahme, jeder Erweiterung einen aktuellen Topologieplan zu erstellen, bevorzugt mit Auflistung aller Netzwerkteilnehmer mit Mac-Adresse, IP-Adresse, Netzwerknamen, Hardwareversion, Softwareversion. Die Technologie ist dafür ausgelegt, sodass von Mehraufwand und Zusatzkosten nicht die Rede sein kann. Ein Umdenken ist notwendig sowie die Bereitschaft, Dinge auch in die Automatisierung zu überführen, die in der IT-Welt zum Standard gehören. \“Mit einem Netzwerkscan wird zwar ein erster Schritt zur Sicherheit getan, doch Mindestanforderungen von Security-Ansprüchen wird nicht annähernd entsprochen. Mit einer einmaligen Erfassung der Netzwerkteilnehmer kann der Fall eines temporären Angreifers nicht abgedeckt werden\“, warnt Heidl.

Mehr Sicherheit durch permanente Überwachung

Das Netzwerk sollte entweder permanent bzw. in zeitlich festzulegenden Intervallen überwacht werden. Hierbei gilt es zu entscheiden, ob dies aktiv oder passiv passieren soll. Das Tool PROscan Active fällt dabei in die Kategorie der aktiven Scanner. Über ein festzulegendes Zeitintervall wird das Netzwerk durch gezielte Anfragen an vorhandene und nichtvorhandene IP-Adressen untersucht und es werden Veränderungen zum Normalzustand gemeldet. Anders als im Büro-Ethernet, wo derartige Praktiken Routine sind, können bei industriellen Netzen Probleme auftreten: der aktive Scan erzeugt zusätzliche Netzwerklast bzw. Geräte können diese Anfragen fehlinterpretieren, ihre Kommunikation einstellen und eine Netzwerkstörung verursachen. Im Vergleich ist das passive Mithören und Sammeln von Daten aus dem Telegrammverkehr vorteilhafter. Eine Lösung bietet der intelligente TAB aus dem Hause Indu-Sol – der Inspektor. Dieser wird zwischen Controller und dem ersten Switch-Port eingeschliffen, um den I/O-Verkehr sowie alle weiteren Telegramme zu überwachen. Will ein Angreifer in das Netzwerk eingreifen, so wird dieser aktiv und sendet Telegramme an die Netzwerkteilnehmer, die am Port der SPS als Abweichung vom Normalzustand nachweisbar sind. Der Inspektor erkennt dies und zeichnet Telegramme über Snapshots für nachfolgende Analysen auf. Ein Alarmmanagement macht somit frühzeitig auf beabsichtigte oder auch unbeabsichtigte Vorfälle aufmerksam. Die beschriebenen Möglichkeiten und Methoden sind lediglich erste Schritte zur Erreichung eines nennenswerten Security-Levels. Der Aufwand ist gering, aber der Nutzen kann enorm sein.

Indu-Sol GmbH
http://www.indu-sol.com

Das könnte Sie auch Interessieren

Weitere Beiträge

Verschleiß überwachen, Schäden vorbeugen

Nicht nur Motoren und Pumpen sind in Produktionsanlagen dem Verschleiß unterworfen, sondern auch die Datenleitungen der Maschinen- und Anlagennetzwerke einschließlich Kabel und Stecker. Während der mechanische Verschleiß analog wahrnehmbar ist, macht sich der Verschleiß einer Datenleitung erst im Extremfall bemerkbar: dem Ausfall. Um dem entgegenzuwirken, empfiehlt Indusol den Einsatz von intelligenten Managed Switches, mit denen der physikalische Zustand der Datenleitung digitalisiert und somit sichtbar gemacht werden kann.

mehr lesen

Entwicklungslösung für CC-Link IE TSN-Gerätehersteller

Mitsubishi Electric sieht in Time-Sensitive Networking die Zukunft und konzentriert seinen Entwicklungsaufwand auf das neue industrielle Kommunikationsnetzwerk CC-Link IE TSN. Neben einem in seiner Gesamtheit kompatiblen Produktportfolio kündigt der Automatisierungsspezialist Entwicklungslösungen für Gerätehersteller an.

mehr lesen