Der Aufbau, die Integration und ­Wartung von Ethernet-basierten Netzwerken muss schnell, sicher und zu­verlässig erfolgen, um maximale ­Datensicherheit und Maschinenver­fügbarkeit zu gewährleisten. An die ­Adresse von modernen Routern gerichtet heißt das: Sie müssen das Risiko von Cyber-Attacken minimieren und gleichzeitig schnell und einfach in die bestehende Produktions-Infrastruktur integrierbar sein. Genau aus diesem Grund ­fordert die internationale Norm IEC 62443-3-3 ‚Industrial communication networks – Network and system security‘ eine Abschottung der Produktionsnetzwerke.

Um eine maximale Sicherheit vor Cyber-Attacken zu erreichen, ist ein durchdachtes und insbesondere durchgängiges Sicherheitskonzept notwendig. Dies beginnt in der Produk­tionszelle und zieht sich durch die ­gesamte Infrastruktur hindurch. Eine verlässliche Sicherheitsfunktion, um Netzwerk-Teilnehmer der Auto­matisierungszelle nach außen hin unsichtbar zu machen, ist die Netzwerk-Adressübersetzung (NAT). Hierbei ­werden von außen ankommende IP-Adressen maskiert und nach innen übersetzt. Das heißt: Daten, die aus dem Internet mit der IP-Adresse 10.10.1.0 und 255.255.255.0 ankommen, übersetzt der NAT-Router zu einer lokalen IP-­Adresse – zum Beispiel  192.168.10.0/255.255.255.0, die einer SPS im Produktionsnetzwerk zuge­ordnet ist. Die SPS verarbeitet die ­Daten, tauscht Daten mit Peripherie­geräten wie I/O-Module, Sensoren und Aktoren aus.

Sobald die verarbeiteten Daten in der SPS verfügbar sind, werden diese an den NAT-Router gesendet. Der ­Router übersetzt die Netzwerk-Adresse der SPS und sendet die Daten mit der IP-Adresse 10.10.1.0 an die Leitwarte, Office-­Umgebung oder das Internet weiter. Durch die ständige Übersetzung der IP-Adressen werden Netzwerk-Teilnehmer, die sich innerhalb des Produktionsnetz­werkes ­befinden, für Teilnehmer ­außerhalb des Produktionsnetzwerkes unsichtbar. Folglich können außenstehende Teilnehmer auch nicht auf das Innenleben des Produktionsnetzwerkes zugreifen.

Diese Eigenschaft der Netzwerk-­Adressübersetzung hat positive Nebeneffekte auf die Verfügbarkeit und ­Konfiguration von IP-Adressen. Ohne eine 1:1-NAT müssen Netzwerk-­Konfigurationen manuell an der Produktionsinsel vorgenommen werden. Das ist zeit- und ­kostenintensiv. Werden alle Produktionsnetzwerke zentral in einem Netzwerk verwaltet, ist sicherzustellen, dass IP-Adressen einmalig vergeben sind. Wer mehrere identische Produktionsinseln mit vielen Steuerungen, I/O-Modulen, Sensoren und Aktoren professionell und erweiterbar be­treiben möchte, stößt schnell an physikalische Grenzen. Spätestens bei 254 Netzwerk-Geräten im selben Netzwerk werden IP-Adressen zum Engpass.

Der NAT-Switch als All-in-one-Gerät

Funktionsweise einer Netzwerk-Adressüber­setzung in Produktions­netzwerken.

© Tronteq

Neben der IP-Adressen-Problematik und der Netzwerk-Konfiguration sind Vernetzung und Bedienfreundlichkeit wesentliche Kriterien für eine kosteneffiziente Installation von Produktionsnetzwerken. Um Feldbusgeräte zu vernetzen, benötigt man industrietaugliche Switches, die dezentral direkt an der Maschine angebracht werden können und den speziellen Umweltanforderungen in der Fabrik genügen.

Herkömmliche Lösungen sehen daher in der Regel zwei Geräte vor: einen Router und einen Industrial Ethernet Switch. Alternativ hierzu gibt es mittlerweile Geräte, welche die Funktionen eines robusten industriefähigen Managed Switches mit einer integrier-ten 1:1-NAT bieten. Letztere bildet das Kernelement des Switches aus Sicht von Cyber-Security. Damit werden von außen ankommende IP-Adressen 1:1 übersetzt und im lokalen Produktionsnetzwerk mit einem gleichbleibenden, vom gesamten Netzwerk unabhän­gigen IP-Adressbereich weitergeleitet. Typischerweise befindet sich der IP-Adressbereich zwischen 192.168.0.0 und 192.168.255.255. Damit lassen sich identische Produktionsnetzwerke einfach, schnell und automatisiert ­klonen.

Kurzum: Ein NAT-Switch bietet zwar nicht den Umfang einer echten Firewall, sondern macht als eine zu­sätzliche Security-Maßnahme lediglich einen Teil eines gesamten Sicherheitskonzeptes aus. In Sachen Kosten­effektivität kann er jedoch punkten, ­indem er die Switch- und Router-Funktionen in einem All-in-one-Gerät vereint und darüber hinaus die Ver­waltung der IP-Adressen deutlich ­erleichtert.

Autor: Juri Martinevski ist Geschäftsführer von Tronteq Electronic.