Daten-Dioden / Firewalls

Sichere Zonen schaffen

6. September 2018, 0:00 Uhr | Siegfried Müller

Fortsetzung des Artikels von Teil 5

Firewall als Geräteschutz

Vereinfacht ausgedrückt besteht eine Konfiguration in Automatisierungsnetzen in der Regel aus einer Benutzerschnittstelle (HMI) und einer SPS-Steuerung. Die Benutzerschnittstelle kommuniziert über das entsprechende Steuerungsprotokoll mit der Maschinensteuerung und visualisiert deren Daten. Natürlich muss diese Funktion erhalten bleiben, während krisenevidente Einfallstore wie der Webserver der SPS abgesichert werden müssen.

Die Automation-Firewall wird in diesem Fall zwischen HMI und SPS geschaltet und aktiviert das sogenannte Whitelisting. Dabei sorgt die Whitelist dafür, dass jeweils nur ein autorisierter Datenaufbau zugelassen wird. Im vorliegenden Beispiel wäre somit jeglicher Datenaufbau blockiert, außer der des HMI zur SPS.

Im Entwicklungsprozess der Firewall wurde bereits bei der Konzeptionierung darauf Wert gelegt, den Workflow des Automatisierers aufzunehmen – dabei erfolgt die Konfiguration direkt am Gerät (Online) oder auf dem Computer (Offline). Die Integration der Firewall gelingt einfach und schnell, da sie der Arbeitsweise des Automatisierers wesentlich Rechnung trägt. Zur Einstellung wird die Konfigurationssoftware auf einem Windows-Computer installiert. Im Anschluss wird dieser per USB-Kabel mit der Programmierschnittstelle der Firewall verbunden. Der Benutzer erstellt mit wenigen Mausklicks das eigene Projekt für die Installation und die Firewall zeichnet im Lernmodus alle Verbindungen auf. Dann zeigt die sogenannte MapView grafisch, welcher IP-Teilnehmer im Netz über welche Protokolle mit welchem Ziel kommuniziert. Anhand der erfassten Paket-Tabelle entscheidet der Anwender, welche Verbindungen zulässig sind und sperrt alle anderen. Mit wenigen Klicks können die Kommunikationseinstellungen vorgenommen werden und in wenigen Minuten ist die Konfiguration abgeschlossen. Besondere IT-Kenntnisse sind nicht erforderlich, dadurch kann die Installation direkt durch das technische Wartungspersonal durchgeführt werden. 

Um die Angriffsvektoren der Firewall so klein wie möglich zu halten, wurde auf ein Web-Interface zur Konfiguration bewusst verzichtet. Per Default kann die Firewall nur über die USB-Schnittstelle konfiguriert werden. Die Authentifizierung erfolgt unter Verwendung eines sogenannten RSA-Schlüssels und bietet im Vergleich zu einem Passwortschutz einen erheblich höheren Sicherheitsstandard. Für IT-Experten steht – optional aktivierbar – auch ein SSH-Interface zur Verfügung.

Autor:
Siegfried Müller ist Geschäftsführer bei MB Connect Line.

Anbieter zum Thema

zu Matchmaker+

  1. Sichere Zonen schaffen
  2. Sicher und Smart in die Cloud dank ­Daten-Diode
  3. Security-by-Design
  4. Sicherheitsrisiko Webserver
  5. Industrielle Netzwerke segmentieren
  6. Firewall als Geräteschutz

Verwandte Artikel

MB Connect Line GmbH

Safety & Security