Fernwartung
Kommunizieren über sicheren Tunnel
Mit der zunehmenden Verbreitung von Konzepten wie Industrie 4.0 oder dem Internet of Things – kurz IoT – wird es für Unternehmen immer wichtiger, einerseits Maschinen in inner- und zwischenbetrieblichen Wertschöpfungsketten zu vernetzen und andererseits IT-Systeme und Maschinenparks mit maximaler Sicherheit betreiben zu können.
Gängige Verfahren für Fernzugriffe in Unternehmen sind heutzutage oft nicht sicher genug. So stellen alle vorhandenen Maschinen und Geräte, die mit dem Firmennetz verbunden sind, ein Security-Problem dar, solange deren Ports offen stehen und sie somit Angriffen von außen schutzlos ausgesetzt sind. Grundsätzlich ist VPN ein gangbarer Weg zum Aufbau sicherer Kommunikationskanäle. Virtual Privat Networks zeichnen sich zwar durch eine gute Verschlüsselung aus, bringen jedoch im Hinblick auf Fernzugriffe diverse Nachteile mit sich: Für die Installation, Konfiguration und Nutzung ist stets besonderes IT-Know-how notwendig, zudem müssen die entsprechenden Lösungen sehr aufwendig gewartet werden. Denn beim Einrichten eines VPN muss das Netzwerk eines Unternehmens geändert werden. Nicht zuletzt können durch unzureichend konfigurierte oder gewartete VPN-Verbindungen in einem Unternehmen weitere Risiken und Schwachstellen entstehen.
Dass dies nicht aus der Luft gegriffen ist, bestätigen die Ergebnisse einer Studie, die vom Marktforschungsunternehmen Spiceworks im Auftrag von Netop durchgeführt wurde. Die im Februar diesen Jahres erhobene Umfrage unter 192 IT-Verantwortlichen hat ergeben, dass für 42 % der Befragten das größte Problem von VPN-Anwendern darin besteht, dass die Mitarbeiter Schwierigkeiten haben, einen Fernzugriff aufzubauen. Die Zuverlässigkeit der Verbindung gaben 35 % als gravierendes Problem an. Darüber hinaus kritisierten 27 % die erforderlichen Spezialkenntnisse für die Konfiguration, 26 % das Einloggen bei VPN.
Vor diesem Hintergrund hat Netop mit ‚SecureM2M‘ eine Lösung entwickelt, mit der Unternehmen auf einfache Art und Weise auf ihre Systeme und Gerätegruppen, die an das Internet angebunden sind, aus der Ferne zentralisiert und sicher zuzugreifen können, um sie zu verwalten und zu managen. Das Besondere an der Lösung: SecureM2M erfordert keine öffentlichen IP-Adressen, Firewall-Ausnahmen, Änderungen am Netzwerkverzeichnis oder Änderungen der Benutzerprofile eines Firmennetzwerks. Um eine Ad-hoc-Verbindung zwischen zwei Geräten aufzubauen, lässt sich jedes zur Verfügung stehende Kommunikationsmedium nutzen – zum Beispiel Ethernet, Wi-Fi, 3G, 4G oder auch Satelliten. Die Verbindung ist verschlüsselt und ferner werden sämtliche Fernzugriffe zu Dokumentations- und Revisionszwecken protokolliert.
Die Architektur der SecureM2M-Lösung ist Cloud-basiert und sieht eine Verschlüsselung bis zu den Endpunkten vor. Der Konnektor ist für die Anfrage zum Erstellen eines sicheren Tunnels mit dem Gateway verantwortlich.
© Netop SolutionsKonkret besteht SecureM2M aus den drei Modulen Cloud(-Umgebung), Konnektor und Gateway, mit deren Hilfe sich ein sicherer Tunnel aufbauen lässt. Dazu verbindet sich die Lösung mit den Geräten über einen portspezifischen Zugang. Sie schirmt die IP-Adressen vor unberechtigten Zugriffen aus dem öffentlichen Internet ab und erstellt zentrale Regeln für die Zugriffsberechtigung. Die Lösung lässt sich zusammen mit Industriesteuerungen und anderen Geräten als Plug-and-Play-Hardware-Komponente einsetzen oder direkt auf den Servern oder Geräten installieren.
Beim erwähnten Gateway handelt es sich um eine Software-Anwendung oder um ein Hardware-Gerät, das sich in dem Netzwerk befindet, auf das der Kommunikationskanal gerichtet ist. Die Software-Anwendung erlaubt den Aufbau des sicheren Tunnels zwischen dem Konnektor und dem Gerät, auf dem das Software-Gateway installiert ist.
Der Konnektor – ebenfalls eine Software-Anwendung –, enthält eine Liste der vorhandenen Gateways, die zu einem Benutzerkonto gehören. Er startet beziehungsweise initialisiert die Kommunikation zwischen dem Gerät, auf dem er sich befindet, und dem Gateway. Die technischen Voraussetzungen beziehungsweise Port-Anforderungen zum Aufbau des sicheren Tunnels bestehen lediglich darin, dass der ausgehende TCP-Port auf Port 6502 und 443 geöffnet sein muss. Eingehende Ports hingegen müssen nicht geöffnet sein.
Die Cloud liefert schließlich mehrere Dienste: Zum einen Connectivity Services, die den Tunnel errichten. Diese arbeiten wie eine Vermittlung, die die Verbindungsdienste zwischen dem Konnektor und dem Gateway routet. Zum anderen Authentifizierungsdienste für den Zugriff auf Gateways, die zu einem Konto gehören.
So läuft der Fernzugriff ab
Für die Initiierung von Fernzugriff-Services über SecureM2M ist Outbound-Kommunikation eine Voraussetzung – also eine nach außen gerichtete Kommunikation (dial-out). Als erster Schritt muss ein Benutzerkonto in der Cloud-Umgebung erstellt werden. Sobald das Konto eingerichtet ist, wird das Gateway konfiguriert, um über eine spezifische URL, Benutzername, Kennwort und Domäne direkt in die Cloud zu kommunizieren. Zu diesem Zweck sind bereits vorkonfigurierte Hardware-Gateways verfügbar, die Unternehmen einfach installieren können, wenn sie eine von Netop gehostete Lösung nutzen. Alternativ können Anwender die Lösung auch selbst hosten.
Das SecureM2M-Gateway wird hinter der Firewall auf dem gleichen LAN-Segment wie der beziehungsweise die gewählte(n) Endpunkt(e) installiert. Ein Account-Administrator muss das Gateway mit der IP-Adresse und die gewünschten Ports für die gewählten Endpunktgeräte konfigurieren.
Die Secure-Cloud-Architektur wird auf der Amazon-Web-Services-Plattform gehostet und besteht aus einem Connection Manager, der als Drehscheibe für die Konnektor- und Gateway-Kommunikation dient, sowie mehreren Verbindungsservern für den Datenverkehr.
© Netop SolutionsNur er kann Endpunkte aus der Lösung hinzufügen oder löschen. SecureM2M unterstützt eine Vielzahl von Geräten als Endpunkte und setzt nur voraus, dass sie auf einem bekannten Port zuhören und mit dem LAN über TCP/IP erreichbar sind.
Um den Tunnel zu etablieren, senden das Gateway und der Konnektor ausgehenden TCP-Verkehr in die Cloud. Allerdings ist die Cloud-Umgebung kein Endpunkt für den Tunnel. Die zwischen Konnektor und Gateway fließenden Daten sind verschlüsselt nach 256-bit-AES. Die Cloud routet zwar den Datenverkehr, kann den Verkehr aber nicht entschlüsseln. Das Gateway benötigt eine separate Benutzer-Authentifizierung, um den Tunnel zu etablieren. Gateway-Anmeldeinformationen werden in der Cloud nicht gespeichert.
Sobald er einmal von einem Gateway authentifiziert ist, zeigt der Konnektor die Liste der Endpunkte auf, die auf dem spezifischen Gateway konfiguriert sind. Benutzern werden Informationen innerhalb des Konnektors bereitgestellt (Maschinenname, Protokoll und Port), um die Kommunikation über das Gateway zum Endpunkt zu erleichtern.
Die möglichen Anwendungen
Über den geschilderten Ansatz lassen sich also beispielsweise einfach sichere Verbindungen zu Industriesteuerungen oder SCADA-Systemen aufbauen. Dies funktioniert auch in Umgebungen mit geringerer Bandbreite und hoher Latenzzeit.
Zu den möglichen Anwendungsszenarien zählt unter anderem die Überwachung von Maschinen im Rahmen der zustandsorientierten Instandhaltung (Condition Monitoring/Maintenance), um ungeplante Wartungs- und Reparaturarbeiten zu verringern. Zudem können Unternehmen auf diese Weise externen Dienstleistern einen sicheren Zugriff auf ihre Systeme verschaffen. Denn gerade bei hochspezialisierten mittelständischen Betrieben sind die personellen Ressourcen, etwa hochqualifizierte Techniker, sehr knapp und teuer, und gleichzeitig breiten sich vernetzte, arbeitsteilige Wertschöpfungsstrukturen weiter aus.
Darüber hinaus können Firmen auch die Lebensdauer von Windows XP auf ihren Maschinen verlängern, nachdem das Betriebssystem seit Mitte 2014 vom Hersteller nicht mehr unterstützt wird. Bewerkstelligen lässt sich dies, indem ein Unternehmen diejenigen Maschinen, auf denen noch Windows XP läuft, vom übrigen Netz trennt oder abschottet, so dass niemand von außen aus der Ferne auf diese zugreifen kann.
Zusammenfassend lässt sich festhalten: Mit der auf Cloud-Computing basierten Verbindungstechnik können Unternehmen auf Geräte und Systeme außerhalb ihres lokalen IT-Netzwerks zugreifen, ohne dass diese dem öffentlichen Internet ausgesetzt sind. Ein portspezifischer Zugang und zentral hinterlegte Regeln für die Zugangsberechtigungen sorgen dafür, dass auf die Geräte und Anwendungen nur Zugriffe erlaubt sind, die zuvor definiert wurden. Außerdem ermöglicht die Lösung das Überbrücken multipler Firewalls, was gerade in großen Produktionsumgebungen beziehungsweise sehr komplexen Wertschöpfungsketten wichtig wird.
Autor: Sam Heiney ist Director of Product Solutions beim dänischen Unternehmen Netop.












