Über das Thema Cyber Security und dessen Optimierung wird derzeit viel diskutiert. Doch die wenigsten Unternehmen haben eine konkrete Idee, gegen welche Art von Bedrohung sie sich überhaupt verteidigen müssen. Mit den Security Appliances FL MGuard RS2005 und RS4004 bietet Phoenix Contact daher Geräte an, die das Netzwerk wirkungsvoll vor den vielfältigen Angriffen schützen.
Die heute zum Einsatz kommenden Anlagen bestehen zumeist aus komplexen Maschinen und Systemen, die durch einen hohen Automatisierungsgrad gekennzeichnet sind. Vor dem Hintergrund des Zukunftsprojekts Industrie 4.0 wird die Automation eher noch steigen. Derartige Lösungen müssen mit einer IT-Security ausgestattet sein, die sich sowohl an den Anforderungen des Systems als auch den Bedürfnissen des Anwenders orientiert. Die IT-Security hat hier geeignete Barrieren gegen die üblichen Angriffsvektoren, wie das Internet, aufzubauen. Andererseits sollen Produktionsanlagen immer effizienter arbeiten. Denn Stillstandzeiten bedeuten nicht nur einen finanziellen Verlust, sondern gefährden zudem Liefertermine und folglich die Reputation des jeweiligen Herstellers. Deshalb sind neben den permanent angeschlossenen Netzwerken, über welche die Maschinen und Anlagen kommunizieren, ebenfalls Fernwartungszugänge und damit unternehmensfremde Netzwerke zu betrachten sowie die aus ihnen resultierenden Gefahren abzuwehren.
Insbesondere in den letzten Jahren hat die durchgehende Vernetzung von Maschinen und Anlagen zu Gesamtsystemen erheblich zugenommen. Bei der Planung und dem Aufbau der einzelnen Systembestandteile gingen die Verantwortlichen jedoch oft nicht von einer Systemgrenzen-überschreitenden Kommunikation aus. Daher wurde das Thema IT-Sicherheit häufig nicht ausreichend berücksichtigt. Angriffe in der Vergangenheit haben allerdings deutlich gemacht, dass selbst spezielle industrielle Protokolle und proprietäre Technologien bedroht sind.
Reglementierung des Datenverkehrs
Um sich im Wettbewerb behaupten zu können, suchen die Unternehmen ständig nach Verbesserungspotenzialen. Bei Anwendern stehen Aspekte wie Kosten, Sicherheit, Bandbreite, Verfügbarkeit und Stabilität ebenso im Fokus wie die Verringerung der Komplexität und des Installationsaufwands.
Vor diesem Hintergrund hat Phoenix Contact die bewährten Security Appliances FL MGuard um Geräte mit einem integrierten Switch erweitert. Die Komponenten sparen Platz auf der Hutschiene ein und vereinfachen die Installation. Sie sind wahlweise mit einem Unmanaged Switch mit fünf Ports oder einem Managed Switch mit vier Ports und einem DMZ-Port (Demilitarised Zone) erhältlich. Als wechselbare Konfigurationsspeicher unterstützen SD-Speicherkarten (Secure Digital) einen schnellen Gerätetausch.
Die Security Appliances der Basis-Baureihe FL MGuard RS2005 eignen sich aufgrund ihrer Funktion und ihres Preises für einfache Routing- und/oder Fernwartungs-Anwendungen mit maximal zwei VPN-Tunneln (Virtual Private Network), wobei ein hohes Sicherheitsniveau erreicht wird. Bei Bedarf reglementiert eine Firewall, die der Anwender auch ohne IT-Kenntnisse einstellen kann, den Datenverkehr. Die fünf eingebauten Ethernet-Ports ermöglichen die interne Vernetzung des Systems und binden dieses über den Router-Port an das überlagerte Netzwerk an.
Neben den Routing-Funktionen bieten die Security Appliances FL MGuard RS4004 den vollen Funktionsumfang einer Firewall und eines VPN sowie einen DMZ-Port und einen Managed Switch mit vier Ports. Die exakt konfigurierbare Stateful Inspection Firewall filtert die Kommunikation auf Basis übersichtlicher Ein- und Ausgangsregeln. Sie lässt also nur den Datenaustausch zu, der vom Anwender gewünscht ist. Die FL MGuard RS4004 verfügen außerdem über eine Conditional Firewall, die eine situationsgerechte vordefinierte Firewall-Regelwerk-Umschaltung erlaubt. Auf diese Weise lässt sich die Firewall durch einfache auslösende Ereignisse zwischen den Firewall-Regelwerken für verschiedene Betriebszustände umschalten. Dies kann erforderlich sein, weil im Produktivbetrieb und während der Instandhaltung oder Fernwartung der Anlage unterschiedliche Verbindungen gestattet oder unterbunden werden sollen.
Sichere Netzwerkabtrennung
Denkbar ist beispielsweise, dass der gesamte Datenverkehr vom/in das überlagerte Netzwerk automatisch blockiert wird, wenn sich eine Schaltschranktür öffnet. So lässt sich der Servicetechniker, der vor Ort am System arbeitet, einfach und wirkungsvoll vom überlagerten Netzwerk separieren. In einem anderen Szenario dürfen die Updates der Maschinen und Anlagen lediglich in dem Fall durchgeführt werden, wenn ein geeigneter Zeitpunkt vorliegt, beispielsweise eine turnusmäßige Wartung. Dann könnte eine autorisierte Person die Firewall mithilfe eines Schlüssels umschalten und so den Update-Server erreichen. Eine Änderung der Konfiguration ist somit nicht erforderlich, was Zeit und Geld einspart. Darüber hinaus wird das Security-Niveau erhöht, da spontane Konfigurationsänderungen in vielen Fällen fehlerträchtig sind.
Isoliert arbeitende Netzwerke
Über den DMZ-Port kann ein weiteres Netzwerk angeschlossen werden. Dieses dritte Netz ist per Firewall gegen die beiden anderen Netze abgesichert, die am WAN- und am LAN-Port angekoppelt sind. Der DMZ-Port steigert das Sicherheitsniveau erheblich, weil die über ihn angebundenen Systeme praktisch isoliert von den übrigen Systemen arbeiten. Als Beispiel sei ein Mail-Server genannt, der selbstverständlich über das Internet zugänglich sein muss, damit er E-Mails empfangen kann. Gleichzeitig sollen die internen Anwender auf den E-Mail-Server zugreifen, um E-Mails zu versenden. Dabei sind die internen Anwender vom externen Internet zu trennen. In der DMZ lassen sich Systeme zur Archivierung von Produktionsdaten ebenso betreiben wie spezielle Fernwartungszugänge. Maschinen und Anlagen können also über den WAN-Port mithilfe von Routing-Funktionen in das überlagerte Netzwerk integriert und gleichzeitig über die Firewall abgesichert werden. Die im Bedarfsfall aufzubauende Fernwartung wird über den DMZ-Port realisiert. Mit der zuvor erwähnten Conditional Firewall kann der Anwender besondere Voreinstellungen für den Fernwartungsfall aktivieren.
Industrietauglicher Antivirenschutz
Im Zeitalter des auf Automatisierungssysteme zugeschnittenen Wurms Stuxnet erhöht die dynamische Überwachung der im produktiven Umfeld eingesetzten Windows-Systeme das Sicherheitsniveau deutlich. Phoenix Contact bietet daher mit dem sogenannten CIFS (Common Internet File System) Integrity Monitoring (CIM) einen industrietauglichen Antivirenschutz als zusätzliche Lizenz für die Security Appliances FL MGuard RS4004 an. Das wie ein Antivirensensor funktionierende CIM erkennt ohne Nachladen von Viren-Pattern, ob ein aus Steuerung, Bedieneinheit und PC bestehendes Windows-System von einer Schad-software befallen ist.
Die parallele Verwendung von Firewalls und CIM ermöglicht somit eine optimale Absicherung von Systemen, die bisher als nicht wirksam zu schützen galten. Dazu gehören Netzwerke,
- die ein veraltetes Betriebssystem nutzen,
- deren (Software-) Auslieferungszustand seitens des Herstellers oder einer Behörde zertifiziert wurde und die bei einer Veränderung die Zulassung der Behörde verlieren,
- die in zeitkritischen industriellen Applikationen nicht mit einem Viren-Scanner ausgerüstet werden können,
- bei denen kein Viren-Pattern-Update durchführbar ist, da beispielsweise eine Verbindung zum Internet fehlt.
- Mit den Security Appliances FL MGuard RS2005 und RS4004 lässt sich eine sichere, wirtschaftliche und zuverlässige Security- und/oder Fernwartungslösung umsetzen. Das dreistufige Security-Konzept mit Conditional Firewall, DMZ und CIFS Integrity Monitoring (CIM), das von den RS4004-Geräten unterstützt wird, erlaubt den Aufbau neuer Sicherheitsarchitekturen zum sicheren Betrieb von Automatisierungslösungen, die auch vom Anwender beherrschbar sind.
Dreistufiges Security-Konzept
www.prozesstechnik-online.deSuchwort: cav0815phoenix
Ingo Hilgenkamp
Marketing Network Technology, Phoenix Contact Electronics
Für jede Security-Anforderung das passende Gerät
Kurz und Bündig
Die neue Generation der lüfterlosen Security-Router von Phoenix Contact überzeugt durch zuverlässige Sicherheit und Leistung. Die kompakten, auf der Tragschiene montierbaren Geräte im Metallgehäuse verfügen über einen SD-Karten-Slot zum einfachen Gerätetausch sowie über Anschlüsse für Ein- und Ausgänge. Auf Basis eines gehärteten Embedded-Linux-Betriebssystems umfasst die RS4004-Baureihe vier aufeinander abgestimmte Sicherheitskomponenten:
- eine bidirektionale Stateful Inspection Firewall mit Conditional Firewall
- einen DMZ-Port für ein weiteres abgeschottetes Netz
- ein besonders sicheres VPN-Gateway sowie
- einen optionalen Schutz vor Schad-Software durch das CIFS Integrity Monitoring.
Die Geräte der RS2005-Baureihe sind für den Einsatz als industrieller VPN-Router im Feld konzipiert, wo sie direkt an der Maschine oder als zentrale Security-Komponenten in verzweigten Netzwerken genutzt werden können. Sie bieten bis zu zwei parallele VPN-Tunnel, eine einfache Zwei-Klick-Firewall, einen integrierten Switch sowie flexible Routing-Funktionen.
Unsere Whitepaper-Empfehlung
Flexibilität, Effizienz und Produktionssicherheit in der Teigherstellung steigern und Personalmangel ausgleichen. Wie Sie den Spagat mit smarter Automatisierung meistern, jetzt im E-Guide lesen.
Teilen:
