Suchen

Sicherer Schutz vor Schadsoftware & Co.

Wie sich IT-Sicherheit in der Prozessindustrie erreichen lässt

Seite: 2/3

Firmen zum Thema

Gezielte Beschränkung der Netzwerk-Kommunikation

Bei den Firewalls kann der Anwender konfigurieren, über welche Protokolle und Ports auf die zu schützenden Systeme zugegriffen werden darf. So lässt sich der Versuch eines Angreifers, über unsichere Ports in das Netzwerk zu gelangen, verhindern oder zumindest einschränken.

Bildergalerie

In diesem Zusammenhang sei der Ansatz einer Stateful Packet Inspection Firewall genannt. Das Konzept filtert ein- und ausgehende Datenpakete in beide Richtungen, also vom externen in das geschützte interne Netzwerk und umgekehrt, anhand von Regeln. Auf Basis der Protokolle, Quelladressen und -Ports sowie Zieladressen und -Ports kann die Netzwerk-Kommunikation gezielt auf ein definiertes, produktiv erforderliches Maß beschränkt werden. Dabei erkennt die Funktion Connection Tracking die Antwortpakete an erlaubte Verbindungen und lässt sie zu.

Bei der Auswahl einer geeigneten Firewall ist zu beachten, dass diese die speziell in der Industrie verwendeten Protokolle versteht. Ansonsten kann kein zuverlässiger Schutz sichergestellt werden. Office-Firewalls unterstützen typischerweise keine industriellen Protokolle, wie OPC Classic oder Modbus TCP. Sie können die Applikation somit nicht entsprechend absichern. Während der Datenverkehr via OPC Classic oder Modbus TCP durch konventionelle Firewalls nicht sinnvoll geschützt werden kann, stellen industrielle Varianten – z.B. mit einer Lizenz für OPC Inspector – eine geeignete Lösung zur Verfügung.

Auf der Grundlage der Deep Packet Inspection prüft die Firewall die Datenpakete der OPC-Classic- oder Modbus-TCP-Kommunikation und filtert sie präzise. Dazu wird das Stateful-Inspection-Prinzip auch auf OPC-Classic- bzw. Modbus-TCP-Daten angewandt. Die Firewall identifiziert also die im OPC-Classic- bzw. Modbus-TCP-Protokoll ausgehandelten Port-Änderungen und genehmigt sie dynamisch. In diesem Zusammenhang kontrolliert sie, ob ein geöffneter Port innerhalb eines Timeouts benutzt wird und der über ihn abgewickelte Datenverkehr dem Protokoll entspricht. Dadurch ist für eine hohe Zugriffssicherheit gesorgt.

Eindeutige Abbildung auf virtuelle externe Netze

Komplexe Fertigungsabläufe werden üblicherweise in vernetzte, weitgehend eigenständige Zellen strukturiert. Für eine effiziente Gestaltung des Engineering, der Dokumentation und des Zellenbetriebs erweist es sich als vorteilhaft, bei allen Anlagen eines Typs identische IP-Adresse zu verwenden. Wird die gesamte Kommunikation aus den internen Zellennetzen initiiert, können mehrere der identischen Anlagen durch einfache NAT-Router (Network Address Translation) mit Maskierung an das Produktionsnetzwerk des Betreibers angeschlossen werden.

(ID:45219127)