Fachverlag x-technik
search
 

Schließen

PDF


IoT-Welt voller Maskierungen und Alias-Adressen

: Phoenix Contact


Die Einbindung von Maschinen- oder Anlagennetzwerken in ein Produktionsnetzwerk erfolgt üblicherweise über Network Address Translation, also einer Netzwerkadressübersetzung bzw. Maskierung. Das heißt, dass Steuerungen oder vorhandene Feldgeräte aus Sicherheitsgründen über eine Alias-Adresse angesprochen werden aus der übergeordneten Netzwerkebene. Praktisch umgesetzt wurde so eine IoT-Lösung mit 1:1 NAT in der Industrie 4.0-Pilotfabrik in der Seestadt Aspern – Phoenix Contact unterstützte dabei.

/xtredimg/2017/Automation/Ausgabe195/14833/web/Pyramide.jpg
Die Automatisierungspyramide dient in der industriellen Fertigung zur Abgrenzung der Nutzungsarten sowie der Risiko- und Lastverteilung auf Netzwerkebenen.

Die Automatisierungspyramide dient in der industriellen Fertigung zur Abgrenzung...

Die Automatisierungspyramide dient in der industriellen Fertigung zur Abgrenzung der Nutzungsarten sowie der Risiko- und Lastverteilung auf Netzwerkebenen. Dieser Ansatz der Segmentierung wird auch im Industrie-Standard IEC 62443 (Industrial Network and System Security) vorgegeben. Die Bezeichnungen und die Anzahl der Ebenen (drei bis zu sieben) werden in der Literatur sehr unterschiedlich beschrieben. Je nach Unternehmensstruktur erfolgt eine Einteilung in z. B. diese vier Ebenen: Office-, Factory Backbone-, Produktions- (DMZ) und Maschinen-Netzwerke.

Industrial Control Systems (ICS) befinden sich auf den Ebenen der Maschinen-Netzwerke (Feldebene) und des Produktions-Netzwerks (Leitwarte/ SCADA). Hier ist der Wirkungsbereich der OT (Operational Technology), also kritischer Produktions- und Leitsysteme. Im Bereich des Factory-Backbone-Networks werden z. B. Prozesse der Material- und Lagerwirtschaft abgebildet. Diese gelten meist als Bereiche der IT.

Eine Segmentierung von Maschinen-Netzwerken ist alleine dadurch erforderlich, weil Anlagen- oder Maschinensteuerungen desselben Herstellers auf Feldebene mit immer gleichen, festen IP-Adressen ausgeliefert werden. Und mehrere gleiche Anlagen mit gleichen IP-Adressen (192.168.0.1) können nicht in einem Netzwerk betrieben werden.

NAT verheimlicht gewollt

Die Einbindung von Maschinen- oder Anlagennetzwerken in ein Produktionsnetzwerk (Leitwarte/SCADA) erfolgt üblicherweise über 1:1 NAT (Network Address Translation). Die Netzwerkadressübersetzung ist in Rechnernetzen der Sammelbegriff für Verfahren, die automatisiert Adressinformationen in Datenpaketen durch andere ersetzen. Sie
/xtredimg/2017/Automation/Ausgabe195/14833/web/Pilotfabrik_offentlich.jpg
Netzwerkdesign der Industrie 4.0-Pilotfabrik in der Seestadt Aspern.

Netzwerkdesign der Industrie 4.0-Pilotfabrik in der Seestadt Aspern.

kommt üblicherweise dann zum Einsatz, wenn die zu verbindenden Netzwerke denselben Netzwerkbereich haben. „Um auf einen Server im Internet zugreifen zu können, muss eine offizielle IP-Adresse (DNS) aus dem Internet verwendet werden. Diese IP-Adresse – z. B. google.at – ist aber auch nur eine Alias-Adresse, sprich eine Maskierung, weil der Server von Google in einem Rechenzentrum steht und dort eine LAN 172.16.0.1 IP-Adresse hat. Also sieht es durch NAT nur so aus, als würde der Server von Google im Internet stehen. Alle anderen Server, die im gleichen Rechenzentrum sieht man aber nicht“, vergleicht Erich Kronfuss, Industrial IoT-Security Specialist bei Phoenix Contact. „Dies bedeutet, wenn eine Steuerung einer Anlage beispielsweise 192.168.0.1 als IP-Adresse im Maschinenetzwerk hat, so kann man diese im Produktionsnetzwerk mit einer Alias-Adresse, wie z. B. 10.0.168.2 ansprechen“, ergänzt er.

Firewalls zwischen den Segmenten

Wie Network Adress Translation in der Praxis funktioniert, gibt es u. a. anhand der Industrie 4.0-Pilotfabrik in der Seestadt Aspern zu sehen. Dort haben die TU-Wien und Phoenix Contact gemeinsam ein auf NAT basierendes Maschinennetzwerk geplant und umgesetzt. Aber auch andere Aspekte eines bereits schon „secure“ designten Industrial Control Systems sind bei diesem Projekt eingeflossen.

Die Pilotfabrik wurde in drei Ebenen und sechs Maschinennetzwerk-Segmente eingeteilt. Wobei jede Ebene und alle Segmente durch Firewalls abgesichert sind. Komponenten, die im Netzwerk sichtbar sein sollen, erhielten über 1:1 NAT eine Adresse aus dem Produktionsnetzwerk (10.0.0.0/16). „Da wir alles, was über
WLAN oder Bluetooth mit dem Netzwerk verbunden war, als unsicher einstuften, wurden diese Komponenten über lokale DMZ-Ports (Demilitarized Zone) der Firewalls abgesichert“, beschreibt Erich Kronfuss.

Für die Fernwartung wurden Schalter zu den Firewalls installiert: Somit muss der Aufbau einer VPN-Verbindung zum Fernwartungsportal aktiv durch das Bedienpersonal an der Maschine bzw. Anlage erfolgen. Dies soll verhindern, dass unbefugt aus der Ferne auf die Steuerung zugegriffen werden kann. In großen Industrieunternehmen sind teilweise über 1.000 Industrial Firewalls bzw. Fernwartungszugänge zu Maschinen zu verwalten, weil in der Regel vor jeder modernen Anlage eine Industrial Firewall platziert ist. Ob eine Firewall zwischen den internen Netzwerken benötigt wird, oder das Verbergen von IP-Adressen ausreichend ist, muss durch eine Risikoanalyse bewertet werden.

Die Automatisierungspyramide dient in der industriellen Fertigung zur Abgrenzung der Nutzungsarten sowie der Risiko- und Lastverteilung auf Netzwerkebenen.
Netzwerkdesign der Industrie 4.0-Pilotfabrik in der Seestadt Aspern.
Firewall-Schalter: Der Aufbau einer VPN-Verbindung zum Fernwartungsportal muss aktiv durch das Bedienpersonal an der Maschine bzw. Anlage erfolgen. Dies soll verhindern, dass unbefugt aus der Ferne auf die Steuerung zugegriffen werden kann.


Zum Firmenprofil >>


Bericht in folgender Kategorie:
Netzwerkinfrastrukturen

QR code

Special Automation aus der Cloud

cloud.JPG Immer mehr Teile der industriellen Automatisierung sollen in die Cloud verlegt werden. Nicht nur die in rapide steigenden Mengen generierten Daten, sondern neben Auswerte-, Überwachungs- und Kontrollmechanismen auch Steuerungs-, Regelungs- und sogar Safety-Algorithmen. Wozu eigentlich? Was lässt sich vernünftig in die Cloud verlegen? Was sollte man dabei beachten? Und was ist das überhaupt, die Cloud?
mehr lesen >>

Im Gespräch

/xtredimg/2018/Automation/Ausgabe222/15861/web/F_Press_MRK_trade_fair_model_0037_cold1_2016_04.jpgKräftemessen auf der Intertool
In der ISO/TS 15066 ist von maximal zulässigen Kräften bei MRK-Anwendungen die Rede. Aber was steckt tatsächlich hinter den von dieser Technischen Spezifikation vorgegebenen biomechanischen Grenzwerten? Um ein bisschen ein Gefühl dafür zu bekommen, was da verlangt wird, lädt Pilz auf der diesjährigen Intertool zum selber Austesten ein. Was die Firma Pilz bei diesem Thema zum Experten macht und worauf es bei der Umsetzung einer normgerechten Mensch-Roboter-Kollaboration ganz allgemein ankommt, verrät der Certified Machinery Safety Expert Ing. Bernhard Buchinger, der bei Pilz als Senior Manager Consulting Services tätig ist. Das Gespräch führte Sandra Winter, x-technik
Interview lesen >>

Newsletter abonnieren