Gerade bei Serienmaschinen, also Maschinen, die annähernd in gleicher Konfiguration mehrfach aufgebaut werden, ist die Herausforderung besonders groß: Alle netzwerkfähigen Steuerungen und andere Komponenten werden per Default mit der gleichen IP-Adresse ausgeliefert. Das „Aufschalten“ auf die Maschine wird so jedes Mal zum zeitaufwendigen und fehlerträchtigen Geduldsspiel. Denn: Die Netzwerkparameter müssen vor Ort geändert beziehungsweise individualisiert werden, um direkt per Notebook oder über ein Firmennetzwerk eine spezielle Maschine zu erreichen. Bei der Inbetriebnahme beim Kunden wiederholt sich meist dieser Vorgang.

Moderne Industrierouter kümmern sich heute beinahe vollautomatisch um die Netzwerkintegration. Benötigt werden nur noch: ein firmeneigenes DNS (Domain Name System) sowie ein DHCP-Server. Den Rest übernehmen die Industrierouter nach nur wenigen Einstellungen.

Per Host-Name ins Firmennetz

Der Ablauf ist schnell skizziert: Ein LAN-to-LAN-Router wird lokal mit einer Steuerung verbunden. Es gibt Router-Varianten, die beispielsweise dank integriertem Switch bis zu vier Netzwerkgeräte und dazu ein analoges Gerät über eine serielle Schnittstelle sowie Sensoren oder Aktoren direkt über digitale Eingänge sowie Schaltausgänge anbinden können. Über ein externes LAN hängt der Router im Firmennetz.

Die eigentliche Intelligenz befindet sich im Inneren des Routers: Über die Web-basierte Konfigurationsseite lässt sich dem Router ein Host-Name wie beispielsweise „meier-gmbh“ zuordnen. Mit einem Netzwerk verbunden, bezieht dieser über den DHCP-Server eine IP-Adresse und „verkündet“ anschließend seinen Host-Namen im Netzwerk, der wiederum vom DNS-Server des Unternehmens gespeichert wird. Lokal dreht sich das Vorgehen um. Denn ein solcher Industrierouter arbeitet sowohl als DHCP-Client als auch DHCP-Server. Jeder lokalen Schnittstelle kann somit eine IP-Adresse nebst einem klingenden Host-Namen wie etwa „meier-gmbhsps“ oder „meier-gmbhhmi“ zugeordnet werden. Der Router selbst holt sich für jedes in seiner Konfiguration eingetragene Gerät eine IP-Adresse im Firmennetz. Über das sogenannte IP-Forwarding sind all diese Geräte über den definierten Hostname erreichbar. Auch ohne DNS kann man natürlich auf alle Komponenten zugreifen; dann allerdings „nur“ über die jeweilige (vom Kunden konfigurierbare) IP-Adresse.

Häufig kommt es allerdings vor, dass eine Maschine zwar ins Firmennetzwerk integriert wird, die Firma aber aufgrund sicherheitspolitischer Entscheidungen keine Fernwartung durch Lieferanten über dieses sensible Netz zulässt.

Einschränkung Mobilfunk

Die Lösung hierfür lautet häufig Mobilfunk, auch wenn es hierbei zwei Einschränkungen zu beachten gilt: Zum einen funktioniert das Prinzip der Hostnamen nicht beziehungsweise nur über aufwendige Workarounds, da Mobilfunkprovider pro Gerät nur eine IP-Adresse vergeben. Lokal an den Router angeschlossene Geräte sind hier aber dennoch direkt über die bereits angesprochene im Router definierbare IP-Adresse erreichbar. Zum zweiten können die Geräte nur erreicht werden, wenn sie von sich aus eine Verbindung aufbauen. Der Grund ist die Providersperre, die einen Zugriff auf ein Mobilfunkgerät verhindert.

Lösen kann man diesen Umstand beispielsweise mit einem Schlüsselschalter an der Maschine, bei dessen Betätigung sich der Router von sich aus beim entsprechenden Service meldet. Alternativ kann ein VPN-Dienst wie der Insys Connectivity Service genutzt werden, bei dem die Geräte im Feld als Clients fungieren, sich beim Server melden und damit erreichbar sind. Über diesen Dienst können einzelne http-fähige Steuerungs- und andere Netzwerkkomponenten einer Maschine auch über einen Web-Proxy mit Passwortschutz per URL angesprochen werden.

Höchstmögliche IT-Sicherheit

Natürlich steht für Anwender die einfache Bedienbarkeit als Hauptnutzen im Vordergrund. Doch spätestens der IT-Administrator legt sein Augenmerk auf Aspekte der IT-Sicherheit. Moderne Router weisen diesbezüglich eine Vielzahl an Merkmalen auf: angefangen bei einem „gehärteten“ Betriebssystem auf Linux-Basis, das nur die zum Betrieb wichtigsten Dienste nutzt und es damit möglichen Eindringlingen äußerst schwer macht. Weiter haben solche Geräte eine Stateful Firewall mit MAC-Filter sowie eine VPN-Funktionalität. Schließlich kommen auch noch Features nach dem „Defence-in-Depth“-Prinzip zum Einsatz. Dabei wird Bedrohungen nicht durch einzelne Schutzmaßnahmen begegnet, sondern sie werden durch die Implementierung gestaffelter und sich ergänzender Sicherheitsmaßnahmen abgewehrt, wie beispielsweise durch eine Netz-Segmentierung. Damit kann die Reichweite von Einbrüchen über Fernwartungszugänge genauso wirksam begrenzt werden wie die Ausbreitung von eingeschleuster Schadsoftware.

Zum Manipulationsschutz des Routers kann die Konfiguration über das Web-Interface erlaubt oder verboten werden – egal ob der Zugriffsversuch lokal oder remote und gesichert oder ungesichert erfolgt. Ein physischer Zugriff auf den Router kann zwar zu dessen Zerstörung führen, ermöglicht aber auch bei angelegter Betriebsspannung nur das Rücksetzen auf Werkseinstellungen per Reset-Taster, was das Löschen aller Speicherinhalte zur Folge hat; verhindert wird dadurch der Zugriff auf Konfigurationsinformationen, Zertifikate und Logfiles. Aus der Office-IT-Welt bekannte Security-Prozesse unterstützen solche Router ebenfalls; beispielsweise durch Port Security Features und den sofortigen Versand von Status- und Störmeldungen über SNMP, E-Mail und/oder SMS. Beispiele für derartige Ereignisse sind ein fehlerhafter oder unberechtigter Zugangsversuch am Web-Interface, eine Änderung der Konfiguration, An- oder Abstecken eines Gerätes am Switch (link up, link down) oder der Empfang von IP-Paketen von einem unbekannten Gerät (MAC-Firewall).

Integrierte Programmier­umgebung

Es gibt Router, die auch über eine integrierte Programmierumgebung verfügen (Linux Sandbox bei Insys). Mit ihrer Hilfe lassen sich Programme für kleine Steuerungsaufgaben, eine Visualisierung mittels Webserver oder Datenlogging und -verarbeitung direkt auf dem Router ausführen. Die Sandbox beispielsweise ist ein unabhängiger Bereich auf der Engine des Routers mit einem Speicherplatz von bis zu 150 MByte, auf Anfrage auch mehr. Sie kann direkt über die Web-Konfiguration der Router erreicht werden. Insys icom stellt hierfür teils kostenlose Sandbox-Apps inklusive Programmiercode für die direkte Nutzung oder als Grundlage für eigene Programmierungen zur Verfügung. Alternativ können Kunden von Insys icom oder zertifizierten Partner Apps programmieren lassen.

Service für Neueinsteiger

VPN wollen und VPN können sind zwei Paar Stiefel. Gerade Maschinenbauer, die gerade in die Welt des Internet-Protokolls vordringen, sind ohne auf VPN spezialisierte Mitarbeiter oder externe IT-Hilfe oft mit dem Anlegen, Anwenden und Verwalten der notwendigen Zertifikate überfordert. Ganz zu schweigen von der notwendigen Investition in eine entsprechende Infrastruktur. Insys stellt hierfür beispielsweise einen VPN-Dienst zur Verfügung. Kern der Lösung ist ein Onlineportal. Hier können innerhalb eines eigenen Bereiches beliebig viele Datenkommunikationsgeräte auf Lizenzbasis angelegt werden.  Zertifikate und Konfigurationsdateien erstellt der Dienst im Anschluss automatisch. Sie können per Download dann auf die entsprechenden Zielgeräte gebracht werden.

Bei Routern von Insys icom funktioniert dies über ein Schnellstartmenü mit nur zwei zusätzlichen Einstellungen (Kundenname im Dienst und im Online-Portal angelegter Gerätecode) automatisch. Selbst die Erstanmeldung beim Dienst ist bereits abgesichert. Der Connectivity Service kann aber noch mehr. Im Unterschied zu anderen Diensten, die hauptsächlich 1:1-Verbindungen managen, erhalten Kunden hier einen Netzwerkdienst, der im Zuge der zu­nehmenden Vernetzung einen Zugriff von und auf jedes angelegte ­Netzwerkgerät eines Kunden zulässt. Möglich machen dies Mechanismen der Gruppenbildung und Verbindungs­kontrolle.

Autor: Wolfgang Wanner ist Leiter des Marketing bei Insys Microelectronics