Suchen

Sicherer Schutz vor Schadsoftware & Co.

Wie sich IT-Sicherheit in der Prozessindustrie erreichen lässt

Seite: 3/3

Firmen zum Thema

Soll das überlagerte Netzwerk jedoch ebenfalls eine Verbindung zu den einzelnen Zellenknoten aufbauen können, reicht die Lösung nicht aus, da die Zellenknoten hier nicht von außen adressierbar sind. In diesem Fall benötigt der Anwender einen Router, der interne Maschinennetze durch 1:1-NAT ganz oder selektiv auf jeweils eindeutige virtuelle externe Netze abbilden kann.

Für diesen Zweck bietet eine industrielle Firewall neben dem reinen NAT-Routing die so genannte 1:1-NAT-Routing-Funktion. Der bereits genannte Inspector ermöglicht diese NAT-Funktion speziell für das OPC-Classic- bzw. Modbus-TCP-Protokoll. Dies stellt eine Besonderheit im Vergleich zu klassischen Office-, aber auch anderen Industrie-Firewalls dar.

Bildergalerie

Ereignisgesteuerte (De-)Aktivierung von Firewall-Regeln

Häufig sind für verschiedene Situationen unterschiedliche Firewall-Regelwerke vorteilhaft. Dies, weil im Produktivbetrieb sowie während der Instandhaltung oder einer Fernwartung der Anlage andere Verbindungen erlaubt respektive unterbunden werden sollen. In der Praxis wird die Aufgabenstellung meist gelöst, indem der Anwender die verschiedenen Anforderungen an die Firewall in einem Regelwerk zusammenfasst.

Dieses Vorgehen führt zwangsläufig zu einem geringeren Sicherheits-Level als möglich wäre. Denn die Firewall-Regeln lassen sämtliche Verbindungen zu, die für die unterschiedlichen Betriebszustände notwendig sind, obwohl das gar nicht erforderlich wäre. Eine industrielle Firewall begegnet der geschilderten Problematik mit der Implementierung einer Conditional Firewall. Mit dieser Funktion lassen sich Firewall-Regelsätze ereignisgesteuert aktivieren oder deaktivieren.

Eine Auswahl der entsprechenden Firewall-Regeln kann über einen extern angeschlossenen Taster, einen Schalter, die Schaltfläche in einer Web-Oberfläche, eine API-Befehlszeile sowie beim Auf- oder Abbau einer VPN-Verbindung (Virtual Private Network) ausgelöst werden.

Zusammenfassung

Die Anforderungen des Produktionsbereichs an eine Firewall unterscheiden sich von den jeweiligen Ansprüchen der Office-Welt. Deshalb unterstützt eine industrielle Firewall mit NAT-Funktion die individuelle und einfache Segmentierung von Netzwerken. Auf diese Weise kann das auf den internationalen Standards ISA-99 und IEC 62443 basierende Defense-in-Depth-Konzept selbst in Anlagen umgesetzt werden, in denen das OPC-Classic- bzw. Modbus-TCP-Protokoll Verwendung findet.

Sie planen eine Modernisierung Ihrer Anlage(n)? Weitere Informationen zum Thema finden Sie auf process.de/anlagen-modernisierung

* Der Autor ist Produktmanager Network Technology, Phoenix Contact Electronics GmbH, Bad Pyrmont.

(ID:45219127)