Sie sind hier: HomeSteuerungsebeneFernwirken

Fernwartung: Den Zugriff managen

Fortsetzung des Artikels von Teil 2.

Ergänzung um eine VPN-Verbindung

Zweistufige Aktivierung einer Fernwartungsanbindung durch die Conditional Firewall und VPN Bildquelle: © Phoenix Contact

Bild 2: Zweistufige Aktivierung einer Fernwartungsverbindung durch die Conditional Firewall und VPN.

Wenn neben den oben genannten Anforderungen des Betreibers zusätzlich eine zentrale Komponente zur Aktivierung der Fernwartung gefordert wird, lässt sich das durch eine Kombination der Conditional Firewall der Security Appliance mit VPN-Verbindungen (Virtual Private Network) realisieren (Bild 2). In diesem Fall wird zwischen der vorhandenen Fernwartungslösung des Maschinenherstellers und dem Produktionsnetzwerk des Betreibers eine Security Appliance mit VPN-Funktion installiert. Das Gerät baut bei Bedarf eine interne VPN-Verbindung zu einem VPN-Gateway auf, das in der DMZ (Demilitarized Zone) des Betreibers montiert ist. Alle Fernwartungslösungen der Maschinenhersteller können sich nur mit dem Internet verbinden, nachdem der interne VPN-Tunnel zwischen Security Appliance und VPN-Gateway in der DMZ aufgebaut wurde.

Jetzt ist eine zweistufige Aktivierung der Fernwartung möglich. Nach erfolgreicher Authentisierung kann zum Beispiel der für die Fertigung verantwortliche Mitarbeiter die interne VPN-Verbindung zwischen Security Appliance und dem in der DMZ installierten VPN-Gateway über eine Web-Anwendung einschalten. Eine Fernwartung lässt sich allerdings noch nicht durchführen, weil die Firewall im VPN-Tunnel die Nutzung der Fernwartungslösung des Maschinenherstellers blockiert. Diese wird erst durch den Bediener vor Ort über den bereits beschriebenen Schalter und die Conditional Firewall freigeschaltet. Es müssen also beide Berechtigungen erfüllt sein, damit die Fernwartung starten kann.

Die beiden erläuterten Fernwartungs-varianten setzen so die folgenden Anforderungen um: 

  • Der Maschinenhersteller kann weiterhin seine eigene Fernwartungslösung einsetzen.
  • Die IT- und Security-Spezialisten des Betreibers können die Verbindungen zentral administrieren.
  • Die Aktivierung und Deaktivierung der Fernwartung erfolgt durch die Verantwortlichen/Mitarbeiter in der Produktion ohne nochmalige Rücksprache mit ihrer IT-Abteilung entweder vor Ort mittels Schalter oder vor Ort mittels Schalter in Kombination mit einer vorherigen Freigabe über eine Web-Anwendung.