Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Sicherheit per Appliance

Modbus und OPC sicher nebeneinander

Modbus TCP und OPC Classic werden in zahlreichen industriellen Applikationen verwendet. Da die zugrunde liegende COM/DCOM-Technologie vor mehr als zehn Jahren abgekündigt wurde, lassen sich Aspekte der IT-Security oft nur unzureichend umsetzen. Mit seinen Geräten der Produktfamilie FL Mguard will Hersteller Phoenix Contact dennoch den abgesicherten Systembetrieb ermöglichen.



Bild: Phoenix Contact Deutschland GmbH

Neben der Prozess- und Fertigungsautomation setzen viele weitere Industriebereiche OPC Classic (OLE for Process Control) ein. Das Protokoll zählt mit über 20.000 OPC-Produkten von mehr als 3.500 Herstellern zu einem der international erfolgreichsten Standards für den interoperablen Datenaustausch zwischen den Anwendungen unterschiedlicher Anbieter. Bei Modbus, und hier speziell der Version Modbus TCP, handelt es sich um eine Client/Server-Architektur, in der jeder Teilnehmer den Bus zur Kommunikation nutzen darf. Die Übertragung wird typischerweise über einen Master initiiert und moduliert. In sämtlichen Phasen der Weiterentwicklung von Modbus sind der grundsätzliche Aufbau der Datenbereiche sowie die Adressierungsmechanismen unverändert beibehalten worden. Diese rückwärtskompatible Vorgehensweise hat zu einer hohen Akzeptanz des Protokolls bei den Anwendern geführt.

Abkündigung des COM/DCOM-Protokolls

Durch die Implementierung von OPC Classic und Modbus TCP auf Steuerungen und Feldgeräte lassen sich die Unterschiede zwischen den einzelnen Automatisierungskomponenten überwinden. Außerdem können Daten über die Grenzen verschiedener Systeme weitergeleitet werden. Die beiden Standards fungieren somit als Kommunikationsstrang zur Datenerfassung, Prozessvisualisierung sowie für das Datenmanagement. Über sie werden Parametersätze, Steuerungssequenzen, Programme und Produktionsdaten ausgetauscht. Zur Datenübertragung zwischen dem OPC-Server und -Client dient das COM/DCOM-Protokoll von Microsoft, das allerdings 2002 zugunsten des .NET-Frameworks abgekündigt wurde. Derzeit unterstützen jedoch alle aktuellen und vermutlich auch zukünftigen Betriebssysteme COM/DCOM. Microsoft entwickelt die Basistechnologie aber nicht weiter, sodass sie insbesondere im Hinblick auf Security-Aspekte unweigerlich veraltet.

Schutz ausgehebelt

OPC/Modbus-Server verhalten sich transparent. Das bedeutet, dass sich der Zugriff auf lokale Kommunikationsdaten nicht von dem auf entfernte Daten unterscheidet. Dabei erweisen sich die Sicherheitseinstellungen des DCOM-Protokolls als kompliziert. Darüber hinaus haben sich Inkompatibilitäten zwischen den Produkten unterschiedlicher Hersteller gebildet. Deshalb sind weitreichende Zugriffsrechte erforderlich, um den Datenaustausch überhaupt zu ermöglichen. Diese hebeln allerdings die vorhandenen Schutzmechanismen aus. Beim Einsatz von DCOM gibt es also kein durchgängiges und belastbares Security-Konzept zur Absicherung der Kommunikation. Nutzt der Anwender OPC, kommt erschwerend hinzu, dass dieses Protokoll zahlreiche Kommunikationsports benötigt. Dazu gehören Ports beispielsweise für die Initiierung der Datenübertragung, die Authentisierung sowie das Senden der Daten. Im Gegensatz zu HTTP, das stets über Port 80 kommuniziert, oder FTP auf Port 21, sind die zu verwendenden Ports nicht festgelegt, sondern werden zufällig von OPC definiert. Steht ein Port nicht zur Verfügung, wählt das Protokoll automatisch einen anderen aus. Firewall müssen somit zahlreiche Ports offenhalten und büßen an Wirksamkeit ein. Denn aus Security-Sicht stellt jeder offene Port einen potenziellen Angriffsvektor dar. Diese Vektoren werden gezielt von Angreifern und Hackern gesucht, zum Beispiel über Port-Scans, um über sie in das Zielsystem einzudringen. Hinzu kommt, dass sich unter Einsatz des OPC-Standards keine Vorteile einer Network Address Translation-Applikation (NAT) nutzen lassen.



Conditional Firewall zur situationsgerechten Umschaltung; gezeigt werden zwei unterschiedliche Einstellungen der Firewall. Bild: Phoenix Contact Deutschland GmbH


Security Appliances

Durch den Einsatz der Security Appliances der Produktfamilie FL Mguard von Phoenix Contact mit dem kürzlich vorgestellten OPC/Modbus-Inspector sollen sich die genannten Herausforderungen lösen lassen. Die Deep Packet Inspection für OPC Classic/Modbus analysiert die übermittelten Pakete und nimmt gegebenenfalls Anpassungen an ihnen vor. Durch die Konfiguration kann der Anwender festlegen, dass über den OPC Classic-Port 135 ausschließlich OPC-Pakete versendet werden dürfen. Die Deep Packet Inspection erkennt die TCP-Ports, die die Teilnehmer während der ersten geöffneten Verbindung untereinander aushandeln. Im Anschluss werden genau diese Ports durch die Firewall geöffnet und für die OPC-Kommunikation freigegeben. Findet innerhalb des einstellbaren Timeouts kein Versand von OPC-Paketen statt, schließen sich die Ports wieder.

Segmentierung des Netzes

Angreifer nutzen verschiedene Wege, um Zugang zu den Produktionsanlagen zu erlangen. Der Computerwurm Stuxnet hat beispielsweise gezeigt, dass Angriffe mittels kompromittierter USB-Sticks selbst aus dem Inneren von Anlagen möglich sind. In diesem Umfeld schafft die Anwendung des auf dem ISA 99-Standard basierenden ‘Defense in Depth’-Konzepts Abhilfe. Der Ansatz setzt auf die netzwerktechnische Segmentierung von Anlagen und die dezentrale Absicherung der so entstehenden Teilbereiche. Mit dem OPC Inspector soll sich Defense in Depth nun ebenfalls in Applikationen umsetzen lassen, in denen OPC Classic eingesetzt wird. Zur Segmentierung von OPC-basierenden Netzen unterstützt die Deep Packet Inspection des FL Mguard zudem die Nutzung von NAT-Verfahren wie Masquerading oder 1:1-NAT.

Flexibles Firewall-Regelwerk

Außerdem verfügen die Security-Appliances über eine Conditional Firewall. Sie ermöglicht eine situationsbasierte definierte Umschaltung des Firewall-Regelwerks. So kann der Anwender die Festlegungen seiner Firewall durch Ereignisse an unterschiedliche Betriebszustände adaptieren. Beispielsweise lässt sich der gesamte Datenverkehr vom oder in das überlagerte Netzwerk automatisch blockieren, wenn eine Schaltschranktür geöffnet wird. Damit ist der Service-Techniker, der vor Ort am System arbeitet, einfach und wirkungsvoll vom überlagerten Netzwerk abgeschnitten.

Sichere Automatisierung

Die Appliances ermöglichen mit ihrem dreistufigen Security-Konzept bestehend aus Conditional Firewall, Demilitarized Zone und CIFS Integrity Monitoring (CIM) beherrschbare Sicherheitsarchitekturen, um Automatisierungs- und Fernwartungslösungen verlässlich zu betreiben.


Das könnte Sie auch interessieren:

Mixaco stellt Industriemischer für Chemikalien, Farben und Kunststoffe her. Jetzt hat die Firma ihr Angebot um eine IoT-Lösung erweitert, mit der Anlagenbetreiber die Leistung ihrer Maschinen online überwachen und sie vorausschauend warten können. In Verbindung mit anderen Bausteinen der IoT-Plattform sind aber noch viel mehr Anwendungen möglich.‣ weiterlesen

Im 23. Global CEO Survey von PWC rechnet mehr als die Hälfte der 1.581 befragten CEOs mit einem Rückgang des Weltwirtschaftswachstums. Auf lange Sicht zeigen sich die Befragten jedoch optimistischer.‣ weiterlesen

Weit mehr als 200 Aussteller auf werden auf der All About Automation im am 4. und 5. März am Bodensee erwartet. Bei der aktuellen Auflage sind die Themen Robotik und MRK zunehmend stark vertreten.‣ weiterlesen

Trendthemen wie künstliche Intelligenz oder Nachhaltigkeit haben Auswirkungen auf die gesamte Supply Chain. Auf der diesjährigen Logimat, die vom 10. bis zum 12. März in Stuttgart stattfindet, zeigen mehr als 1.650 Aussteller, wo die Reise in der Intralogistik in den nächsten Jahren hingehen könnte.‣ weiterlesen

Mit der Übernahme der Data One GmbH will Orbis das eigene SAP- und Microsoft- Beratungsangebot stärken.‣ weiterlesen

Ein neuer Trend in der Marketing-Kommunikation ist die KI-gestützte Stimmungsanalyse der Gesprächspartner: Sentimentanalysen in Verbindung mit Spracherkennung wie bei Amazons Alexa, IBM Watson, oder Google Speech API geben viele neue Aufschlüsse über Kundenverhalten. Im Beitrag geht es um die Nutzung dieser Techniken für das Verkaufsgespräch.‣ weiterlesen

In einer aktuellen Studie hat das Wirtschaftprüfungs- und Beratungsunternehmen Deloitte weltweit mehr als 2000 C-Level-Führungskräfte zum Thema Industrie 4.0 befragt, 125 davon aus Deutschland. Die Analyse zeigt, dass für die Unternehmen neben Wertschöpfung und Wachstum zunehmend auch Nachhaltigkeit und soziale Verantwortung an Bedeutung gewinnen.‣ weiterlesen

Für 30 Prozent organisches Wachstum muss in einem Unternehmen einiges richtig laufen. Vor allem wenn das Ergebnis im umkämpften ERP-Markt erzielt wird. Softwareanbieter IFS hat genau das geschafft. Wir haben mit Europachef Glenn Arnesen über das Erfolgsrezept der Firma gesprochen.‣ weiterlesen

Bosch Rexroth hat mit ActiveCockpit eine interaktive Kommunikationsplattform im Portfolio, die Fertigungsdaten in Echtzeit aus verschiedenen Systemen und Datenquellen verarbeitet und visualisiert. Der Einsatz bei Bosch Thermotechnik in Wetzlar zeigt, dass die Lösung Transparenz in die Lagerlogistik bringen kann.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige