Neue Konfiguration eines VPN-Routers
Soll eine Maschine für die Fernwartung ausgerüstet werden, werden nun ausschließlich die neuen Lösungen genutzt. Für die Einrichtung der Fernwartungslösung wird eine fertige Konfigurationsvorlage per SD-Karte in das Gerät eingelesen. Damit sind fast alle notwendigen Parameter definiert. Ergänzt werden müssen lediglich die kundenspezifischen Eingaben für die VPN-Verbindung, für den Router im Netzwerk des Kunden und die IP-Adressen der Maschine. Mit der Abbildung der realen Adressen des Maschinennetzes auf eine virtuelle IP-Adressierung durch die sogenannte 1:1-Network Address Translation-Funktion (NAT) des VPN-Routers werden Adresskonflikte verhindert. Zusätzliche Anpassungen an den internen Adressraum der Maschinen sind damit nicht mehr notwendig.
Maschinen ohne Eingaben zuschalten
In der Zentrale setzt Frimo in einem 19-Zoll-Standard-Racksystem eine ‚mGuard bladeBase‘ für bis zu 12 Geräte ein. Alle technischen Parameter und Berechtigungen sind fertig eingerichtet und neue Maschinen lassen sich ohne zusätzliche Eingaben einfach zugeschaltet. Alle Unternehmens-Standorte sind über ein firmeninternes MPLS-Netz an die Zentrale angebunden. Im Servicefall kann sich der Techniker von jedem dezentralen Standort aus je nach seiner Berechtigung über die Blades in der Zentrale auf die VPN-Verbindung zur Maschine beim Kunden aufschalten. „Mit unserer zentralen Lösung haben wir für alle Niederlassungen eine einheitliche und standardisierte Zugangslösung geschaffen. Die Bedienung ist dadurch einfacher und der Administrationsaufwand erheblich geringer“, sagt Axel Starflinger. Der IT-Administrator sagt auch, dass die Maschinenbetreiber einem externen Zugriff auf ihr Produktionsnetz generell skeptisch bis ablehnend gegenüberstehen. Das gelte insbesondere für Hersteller und Zulieferer im Automotive-Bereich. „Die Sicherheitsbedenken sind zunächst groß. Die Vorteile einer schnellen Störungsbeseitigung durch die Fernwartung und die Sicherheitsfeatures unserer Lösung können aber überzeugen“, sagt der IT-Administrator.
Drei abgestimmte Sicherheitskomponenten
Die in Deutschland entwickelten und gefertigten Industrial Security-Router integrieren auf der Basis eines gehärteten Embedded Linux drei aufeinander abgestimmte Sicherheitskomponenten: eine bidirektionale Stateful Firewall, einen flexiblen NAT-Router sowie einen sicheren VPN-fähigen Ethernet-Router mit IP Security Protokoll-Verschlüsselung (IPSEC). Die IT-Bereiche der Maschinenbetreiber legen auf eine bestimmte Schutzeinrichtung des Gerätes besonderen Wert: Der Zugriff auf die Maschine von außen soll generell verhindert werden. Erst nach einer ausdrücklichen Freigabe des Maschinenbedieners über einen VPN-Hardwareschalter kann eine sichere Datenverbindung aufgebaut werden. Der Zugang zur Maschine ist damit immer eine vom Kunden kontrollierte ausgehende Verbindung
