Anzeige
Anzeige
Beitrag drucken

IT-Sicherheit per Appliance

Modbus und OPC sicher nebeneinander

Modbus TCP und OPC Classic werden in zahlreichen industriellen Applikationen verwendet. Da die zugrunde liegende COM/DCOM-Technologie vor mehr als zehn Jahren abgekündigt wurde, lassen sich Aspekte der IT-Security oft nur unzureichend umsetzen. Mit seinen Geräten der Produktfamilie FL Mguard will Hersteller Phoenix Contact dennoch den abgesicherten Systembetrieb ermöglichen.



Bild: Phoenix Contact Deutschland GmbH

Neben der Prozess- und Fertigungsautomation setzen viele weitere Industriebereiche OPC Classic (OLE for Process Control) ein. Das Protokoll zählt mit über 20.000 OPC-Produkten von mehr als 3.500 Herstellern zu einem der international erfolgreichsten Standards für den interoperablen Datenaustausch zwischen den Anwendungen unterschiedlicher Anbieter. Bei Modbus, und hier speziell der Version Modbus TCP, handelt es sich um eine Client/Server-Architektur, in der jeder Teilnehmer den Bus zur Kommunikation nutzen darf. Die Übertragung wird typischerweise über einen Master initiiert und moduliert. In sämtlichen Phasen der Weiterentwicklung von Modbus sind der grundsätzliche Aufbau der Datenbereiche sowie die Adressierungsmechanismen unverändert beibehalten worden. Diese rückwärtskompatible Vorgehensweise hat zu einer hohen Akzeptanz des Protokolls bei den Anwendern geführt.

Abkündigung des COM/DCOM-Protokolls

Durch die Implementierung von OPC Classic und Modbus TCP auf Steuerungen und Feldgeräte lassen sich die Unterschiede zwischen den einzelnen Automatisierungskomponenten überwinden. Außerdem können Daten über die Grenzen verschiedener Systeme weitergeleitet werden. Die beiden Standards fungieren somit als Kommunikationsstrang zur Datenerfassung, Prozessvisualisierung sowie für das Datenmanagement. Über sie werden Parametersätze, Steuerungssequenzen, Programme und Produktionsdaten ausgetauscht. Zur Datenübertragung zwischen dem OPC-Server und -Client dient das COM/DCOM-Protokoll von Microsoft, das allerdings 2002 zugunsten des .NET-Frameworks abgekündigt wurde. Derzeit unterstützen jedoch alle aktuellen und vermutlich auch zukünftigen Betriebssysteme COM/DCOM. Microsoft entwickelt die Basistechnologie aber nicht weiter, sodass sie insbesondere im Hinblick auf Security-Aspekte unweigerlich veraltet.

Schutz ausgehebelt

OPC/Modbus-Server verhalten sich transparent. Das bedeutet, dass sich der Zugriff auf lokale Kommunikationsdaten nicht von dem auf entfernte Daten unterscheidet. Dabei erweisen sich die Sicherheitseinstellungen des DCOM-Protokolls als kompliziert. Darüber hinaus haben sich Inkompatibilitäten zwischen den Produkten unterschiedlicher Hersteller gebildet. Deshalb sind weitreichende Zugriffsrechte erforderlich, um den Datenaustausch überhaupt zu ermöglichen. Diese hebeln allerdings die vorhandenen Schutzmechanismen aus. Beim Einsatz von DCOM gibt es also kein durchgängiges und belastbares Security-Konzept zur Absicherung der Kommunikation. Nutzt der Anwender OPC, kommt erschwerend hinzu, dass dieses Protokoll zahlreiche Kommunikationsports benötigt. Dazu gehören Ports beispielsweise für die Initiierung der Datenübertragung, die Authentisierung sowie das Senden der Daten. Im Gegensatz zu HTTP, das stets über Port 80 kommuniziert, oder FTP auf Port 21, sind die zu verwendenden Ports nicht festgelegt, sondern werden zufällig von OPC definiert. Steht ein Port nicht zur Verfügung, wählt das Protokoll automatisch einen anderen aus. Firewall müssen somit zahlreiche Ports offenhalten und büßen an Wirksamkeit ein. Denn aus Security-Sicht stellt jeder offene Port einen potenziellen Angriffsvektor dar. Diese Vektoren werden gezielt von Angreifern und Hackern gesucht, zum Beispiel über Port-Scans, um über sie in das Zielsystem einzudringen. Hinzu kommt, dass sich unter Einsatz des OPC-Standards keine Vorteile einer Network Address Translation-Applikation (NAT) nutzen lassen.



Conditional Firewall zur situationsgerechten Umschaltung; gezeigt werden zwei unterschiedliche Einstellungen der Firewall. Bild: Phoenix Contact Deutschland GmbH


Security Appliances

Durch den Einsatz der Security Appliances der Produktfamilie FL Mguard von Phoenix Contact mit dem kürzlich vorgestellten OPC/Modbus-Inspector sollen sich die genannten Herausforderungen lösen lassen. Die Deep Packet Inspection für OPC Classic/Modbus analysiert die übermittelten Pakete und nimmt gegebenenfalls Anpassungen an ihnen vor. Durch die Konfiguration kann der Anwender festlegen, dass über den OPC Classic-Port 135 ausschließlich OPC-Pakete versendet werden dürfen. Die Deep Packet Inspection erkennt die TCP-Ports, die die Teilnehmer während der ersten geöffneten Verbindung untereinander aushandeln. Im Anschluss werden genau diese Ports durch die Firewall geöffnet und für die OPC-Kommunikation freigegeben. Findet innerhalb des einstellbaren Timeouts kein Versand von OPC-Paketen statt, schließen sich die Ports wieder.

Segmentierung des Netzes

Angreifer nutzen verschiedene Wege, um Zugang zu den Produktionsanlagen zu erlangen. Der Computerwurm Stuxnet hat beispielsweise gezeigt, dass Angriffe mittels kompromittierter USB-Sticks selbst aus dem Inneren von Anlagen möglich sind. In diesem Umfeld schafft die Anwendung des auf dem ISA 99-Standard basierenden ‘Defense in Depth’-Konzepts Abhilfe. Der Ansatz setzt auf die netzwerktechnische Segmentierung von Anlagen und die dezentrale Absicherung der so entstehenden Teilbereiche. Mit dem OPC Inspector soll sich Defense in Depth nun ebenfalls in Applikationen umsetzen lassen, in denen OPC Classic eingesetzt wird. Zur Segmentierung von OPC-basierenden Netzen unterstützt die Deep Packet Inspection des FL Mguard zudem die Nutzung von NAT-Verfahren wie Masquerading oder 1:1-NAT.

Flexibles Firewall-Regelwerk

Außerdem verfügen die Security-Appliances über eine Conditional Firewall. Sie ermöglicht eine situationsbasierte definierte Umschaltung des Firewall-Regelwerks. So kann der Anwender die Festlegungen seiner Firewall durch Ereignisse an unterschiedliche Betriebszustände adaptieren. Beispielsweise lässt sich der gesamte Datenverkehr vom oder in das überlagerte Netzwerk automatisch blockieren, wenn eine Schaltschranktür geöffnet wird. Damit ist der Service-Techniker, der vor Ort am System arbeitet, einfach und wirkungsvoll vom überlagerten Netzwerk abgeschnitten.

Sichere Automatisierung

Die Appliances ermöglichen mit ihrem dreistufigen Security-Konzept bestehend aus Conditional Firewall, Demilitarized Zone und CIFS Integrity Monitoring (CIM) beherrschbare Sicherheitsarchitekturen, um Automatisierungs- und Fernwartungslösungen verlässlich zu betreiben.


Das könnte Sie auch interessieren:

IDS Imaging Development Systems hat das Embedded-Vision-System IDS NXT Ocean erweitert. Neu ist etwa das Multi-Region Of Interest für KI-basierte Objektdetektion und die Möglichkeit, per App verschiedene neuronale Netze für verschiedene Aufgaben in einem Bild zu nutzen.‣ weiterlesen

Telefónica Tech erwirbt BE-terna und will damit seine Position als Technologie-Dienstleister stärken.‣ weiterlesen

Tim van Wasen tritt die Nachfolge von Stéphane Paté an und wird Geschäftsführer von Dell Technologies Deutschland.‣ weiterlesen

Überwachungssysteme, die vor Einbrüchen schützen sollen und sich per Smartphone-App steuern lassen, sollen die Nutzer in Sicherheit wiegen. Dass dieses Gefühl trügen kann, haben Studierende aus dem Studiengang Informatik an der Hochschule Emden/Leer im Rahmen eines Forschungsprojektes aufgedeckt.‣ weiterlesen

Das IT-Unternehmen Checkmarx hat das Tool Supply Chain Security vorgestellt. Das Programm zielt aber nicht auf die physische Lieferkette eines Produktionsunternehmens ab, sondern überwacht im Zusammenspiel mit Checkmarx Software Composition Analysis (SCA) den Health- und Security-Status von Open-Source-Projekten mit Blick auf mögliche Anomalien.‣ weiterlesen

Unternehmen haben bezüglich der Digitalisierung ihrer Qualitätsprozesse heute mehr Möglichkeiten denn je. Beim Blick auf klassische Produktionsunternehmen und deren Systemlandschaften kommen ERP- und CRM-Systeme, MES-Software und CAQ-Lösungen zum Vorschein, die durch offene Schnittstellenkonzepte wie OpenAPI in Summe wesentlich mehr Integrationsmöglichkeiten als früher mitbringen.‣ weiterlesen

Mit der weltgrößten Spaltrohrmotorpumpe mit Explosionsschutz konnte Hermetic-Pumpen für Aufsehen sorgen. Um bei der Entwicklung und Fertigung der Spezialpumpen erforderliche Normen und Vorgaben möglichst effizient umzusetzen, setzt der Hersteller aus Gundelfingen auf ein Integriertes Managementsystem.‣ weiterlesen

Mit einem Manufacturing Execution System (MES) können mittelständische Fertigungsbetriebe ihre Produktion digitalisieren und sie so auf komplexere Marktanforderungen ausrichten. Auf welche Funktionalitäten Fertiger achten sollten, zeigt der folgende Beitrag.‣ weiterlesen

Das Maschinenbauunternehmen Schenck Process hat die serverlose, modulare IoT-Plattform Coniq Cloud auf den Markt gebracht. Das System ist als IoT-Backbone für die eigenen Maschinen gedacht und bietet Anwendungsprogramme etwa zu Optimierung von Produktionszeiten und für Datenauswertungen.‣ weiterlesen

Komplexe Fertigung in Kombination mit hohem Termindruck führten beim Maschinenbauer Knoll dazu, dass lediglich 53 Prozent der Liefertermine zu halten waren. Nach der Einführung der PPS-Lösung von LF Consult liegt die Termintreue bei über 90 Prozent - bei kürzeren Durchlaufzeiten.‣ weiterlesen

Wenn sich am 30. Mai die Hallentore zum Flagschiff der Deutschen Messe öffnen, kann das als Startschuss für das postpandemische Messegeschehen gelten. Denn die Hannover Messe nimmt traditionell eine Sonderrolle unter den Industrieausstellungen ein. Grund dafür ist auch das hochkarätige Begleitprogramm, das diesmal mit 600 Vorträgen auf sechs Bühnen die Angebote der 2.500 Aussteller einrahmt.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige