Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Sicherheit per Appliance

Modbus und OPC sicher nebeneinander

Modbus TCP und OPC Classic werden in zahlreichen industriellen Applikationen verwendet. Da die zugrunde liegende COM/DCOM-Technologie vor mehr als zehn Jahren abgekündigt wurde, lassen sich Aspekte der IT-Security oft nur unzureichend umsetzen. Mit seinen Geräten der Produktfamilie FL Mguard will Hersteller Phoenix Contact dennoch den abgesicherten Systembetrieb ermöglichen.



Bild: Phoenix Contact Deutschland GmbH

Neben der Prozess- und Fertigungsautomation setzen viele weitere Industriebereiche OPC Classic (OLE for Process Control) ein. Das Protokoll zählt mit über 20.000 OPC-Produkten von mehr als 3.500 Herstellern zu einem der international erfolgreichsten Standards für den interoperablen Datenaustausch zwischen den Anwendungen unterschiedlicher Anbieter. Bei Modbus, und hier speziell der Version Modbus TCP, handelt es sich um eine Client/Server-Architektur, in der jeder Teilnehmer den Bus zur Kommunikation nutzen darf. Die Übertragung wird typischerweise über einen Master initiiert und moduliert. In sämtlichen Phasen der Weiterentwicklung von Modbus sind der grundsätzliche Aufbau der Datenbereiche sowie die Adressierungsmechanismen unverändert beibehalten worden. Diese rückwärtskompatible Vorgehensweise hat zu einer hohen Akzeptanz des Protokolls bei den Anwendern geführt.

Abkündigung des COM/DCOM-Protokolls

Durch die Implementierung von OPC Classic und Modbus TCP auf Steuerungen und Feldgeräte lassen sich die Unterschiede zwischen den einzelnen Automatisierungskomponenten überwinden. Außerdem können Daten über die Grenzen verschiedener Systeme weitergeleitet werden. Die beiden Standards fungieren somit als Kommunikationsstrang zur Datenerfassung, Prozessvisualisierung sowie für das Datenmanagement. Über sie werden Parametersätze, Steuerungssequenzen, Programme und Produktionsdaten ausgetauscht. Zur Datenübertragung zwischen dem OPC-Server und -Client dient das COM/DCOM-Protokoll von Microsoft, das allerdings 2002 zugunsten des .NET-Frameworks abgekündigt wurde. Derzeit unterstützen jedoch alle aktuellen und vermutlich auch zukünftigen Betriebssysteme COM/DCOM. Microsoft entwickelt die Basistechnologie aber nicht weiter, sodass sie insbesondere im Hinblick auf Security-Aspekte unweigerlich veraltet.

Schutz ausgehebelt

OPC/Modbus-Server verhalten sich transparent. Das bedeutet, dass sich der Zugriff auf lokale Kommunikationsdaten nicht von dem auf entfernte Daten unterscheidet. Dabei erweisen sich die Sicherheitseinstellungen des DCOM-Protokolls als kompliziert. Darüber hinaus haben sich Inkompatibilitäten zwischen den Produkten unterschiedlicher Hersteller gebildet. Deshalb sind weitreichende Zugriffsrechte erforderlich, um den Datenaustausch überhaupt zu ermöglichen. Diese hebeln allerdings die vorhandenen Schutzmechanismen aus. Beim Einsatz von DCOM gibt es also kein durchgängiges und belastbares Security-Konzept zur Absicherung der Kommunikation. Nutzt der Anwender OPC, kommt erschwerend hinzu, dass dieses Protokoll zahlreiche Kommunikationsports benötigt. Dazu gehören Ports beispielsweise für die Initiierung der Datenübertragung, die Authentisierung sowie das Senden der Daten. Im Gegensatz zu HTTP, das stets über Port 80 kommuniziert, oder FTP auf Port 21, sind die zu verwendenden Ports nicht festgelegt, sondern werden zufällig von OPC definiert. Steht ein Port nicht zur Verfügung, wählt das Protokoll automatisch einen anderen aus. Firewall müssen somit zahlreiche Ports offenhalten und büßen an Wirksamkeit ein. Denn aus Security-Sicht stellt jeder offene Port einen potenziellen Angriffsvektor dar. Diese Vektoren werden gezielt von Angreifern und Hackern gesucht, zum Beispiel über Port-Scans, um über sie in das Zielsystem einzudringen. Hinzu kommt, dass sich unter Einsatz des OPC-Standards keine Vorteile einer Network Address Translation-Applikation (NAT) nutzen lassen.



Conditional Firewall zur situationsgerechten Umschaltung; gezeigt werden zwei unterschiedliche Einstellungen der Firewall. Bild: Phoenix Contact Deutschland GmbH


Security Appliances

Durch den Einsatz der Security Appliances der Produktfamilie FL Mguard von Phoenix Contact mit dem kürzlich vorgestellten OPC/Modbus-Inspector sollen sich die genannten Herausforderungen lösen lassen. Die Deep Packet Inspection für OPC Classic/Modbus analysiert die übermittelten Pakete und nimmt gegebenenfalls Anpassungen an ihnen vor. Durch die Konfiguration kann der Anwender festlegen, dass über den OPC Classic-Port 135 ausschließlich OPC-Pakete versendet werden dürfen. Die Deep Packet Inspection erkennt die TCP-Ports, die die Teilnehmer während der ersten geöffneten Verbindung untereinander aushandeln. Im Anschluss werden genau diese Ports durch die Firewall geöffnet und für die OPC-Kommunikation freigegeben. Findet innerhalb des einstellbaren Timeouts kein Versand von OPC-Paketen statt, schließen sich die Ports wieder.

Segmentierung des Netzes

Angreifer nutzen verschiedene Wege, um Zugang zu den Produktionsanlagen zu erlangen. Der Computerwurm Stuxnet hat beispielsweise gezeigt, dass Angriffe mittels kompromittierter USB-Sticks selbst aus dem Inneren von Anlagen möglich sind. In diesem Umfeld schafft die Anwendung des auf dem ISA 99-Standard basierenden ‘Defense in Depth’-Konzepts Abhilfe. Der Ansatz setzt auf die netzwerktechnische Segmentierung von Anlagen und die dezentrale Absicherung der so entstehenden Teilbereiche. Mit dem OPC Inspector soll sich Defense in Depth nun ebenfalls in Applikationen umsetzen lassen, in denen OPC Classic eingesetzt wird. Zur Segmentierung von OPC-basierenden Netzen unterstützt die Deep Packet Inspection des FL Mguard zudem die Nutzung von NAT-Verfahren wie Masquerading oder 1:1-NAT.

Flexibles Firewall-Regelwerk

Außerdem verfügen die Security-Appliances über eine Conditional Firewall. Sie ermöglicht eine situationsbasierte definierte Umschaltung des Firewall-Regelwerks. So kann der Anwender die Festlegungen seiner Firewall durch Ereignisse an unterschiedliche Betriebszustände adaptieren. Beispielsweise lässt sich der gesamte Datenverkehr vom oder in das überlagerte Netzwerk automatisch blockieren, wenn eine Schaltschranktür geöffnet wird. Damit ist der Service-Techniker, der vor Ort am System arbeitet, einfach und wirkungsvoll vom überlagerten Netzwerk abgeschnitten.

Sichere Automatisierung

Die Appliances ermöglichen mit ihrem dreistufigen Security-Konzept bestehend aus Conditional Firewall, Demilitarized Zone und CIFS Integrity Monitoring (CIM) beherrschbare Sicherheitsarchitekturen, um Automatisierungs- und Fernwartungslösungen verlässlich zu betreiben.

google plus


Das könnte Sie auch interessieren:

Zum Portfolio des Kunststoffschweißspezialisten Munsch gehört auch die Reparatur der eigenen Erzeugnisse. Den Arbeitsfortschritt an den eingeschickten Geräten von Peakboard stellten die Werker lange auf einem Card-Board dar, das in der Praxis aber so gut wie nie den aktuellen Stand in der Werkstatt spiegelte.‣ weiterlesen

In Diskussionen um Blockchain-Technologie rücken zunehmend auch Smart Contracts in den Fokus. Bei dieser Form der Vertragsabwicklung lässt sich die Einhaltung ausgehandelter Bedingungen zwar transparent und sehr manipulationssicher dokumentieren, das vertragliche Rahmenwerk ersetzen Smart Contracts aber nicht.‣ weiterlesen

Mit der All about Automation in Leipzig, findet am 12. und 13. September eine regional ausgerichtete Messe für Industrieautomation für den mitteldeutschen Raum statt. Etwa 100 Aussteller werden dann in Leipzig erwartet.‣ weiterlesen

Um Wertstrom-Analysen durchzuführen oder neue Fertigungskonzepte zu untersuchen, muss man nicht unbedingt auf kostspielige Expertensysteme setzen. Dies zeigt die Anwendung der 3D-Software taraVRbuilder von der Tarakos GmbH in der Werksplanung des Automobilzulieferers Magna Exteriors in Idar-Oberstein. In mehreren Schritten ließen sich hier mit Hilfe realitätsnaher 3D-Visualisierung die komplexen Fertigungsprozesse verketten und an die Anforderungen von Kunden und Ressourcen anpassen.‣ weiterlesen

In einem Lager mit mehr als 25.000 Bestandsartikeln verlieren selbst Profis ohne IT-Unterstützung schnell den Überblick. Deshalb ergänzt der Produzent DDM Hopt+Schuler sein 2013 eingeführtes ERP- und PPS-System Fepa von Planat mit einem Datenbrillen-Kommissioniersystem samt Ringscannern.‣ weiterlesen

In vielen Betrieben wird mit Hochdruck an der Einführung von neuen Manufacturing Execution Systemen (MES) oder Advanced Planning Systemen (APS) gearbeitet. Dabei ist die Qualität der eingesetzten Algorithmen wichtig, aber oftmals wird die Benutzerschnittstelle vernachlässigt. Dies führt zu Frustrationen und schlussendlich einem Mangel an Akzeptanz. Dabei stehen bessere Visualisierungen längst bereit.‣ weiterlesen

Anzeige
Anzeige
Anzeige