Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Sicherheit per Appliance

Modbus und OPC sicher nebeneinander

Modbus TCP und OPC Classic werden in zahlreichen industriellen Applikationen verwendet. Da die zugrunde liegende COM/DCOM-Technologie vor mehr als zehn Jahren abgekündigt wurde, lassen sich Aspekte der IT-Security oft nur unzureichend umsetzen. Mit seinen Geräten der Produktfamilie FL Mguard will Hersteller Phoenix Contact dennoch den abgesicherten Systembetrieb ermöglichen.



Bild: Phoenix Contact Deutschland GmbH

Neben der Prozess- und Fertigungsautomation setzen viele weitere Industriebereiche OPC Classic (OLE for Process Control) ein. Das Protokoll zählt mit über 20.000 OPC-Produkten von mehr als 3.500 Herstellern zu einem der international erfolgreichsten Standards für den interoperablen Datenaustausch zwischen den Anwendungen unterschiedlicher Anbieter. Bei Modbus, und hier speziell der Version Modbus TCP, handelt es sich um eine Client/Server-Architektur, in der jeder Teilnehmer den Bus zur Kommunikation nutzen darf. Die Übertragung wird typischerweise über einen Master initiiert und moduliert. In sämtlichen Phasen der Weiterentwicklung von Modbus sind der grundsätzliche Aufbau der Datenbereiche sowie die Adressierungsmechanismen unverändert beibehalten worden. Diese rückwärtskompatible Vorgehensweise hat zu einer hohen Akzeptanz des Protokolls bei den Anwendern geführt.

Abkündigung des COM/DCOM-Protokolls

Durch die Implementierung von OPC Classic und Modbus TCP auf Steuerungen und Feldgeräte lassen sich die Unterschiede zwischen den einzelnen Automatisierungskomponenten überwinden. Außerdem können Daten über die Grenzen verschiedener Systeme weitergeleitet werden. Die beiden Standards fungieren somit als Kommunikationsstrang zur Datenerfassung, Prozessvisualisierung sowie für das Datenmanagement. Über sie werden Parametersätze, Steuerungssequenzen, Programme und Produktionsdaten ausgetauscht. Zur Datenübertragung zwischen dem OPC-Server und -Client dient das COM/DCOM-Protokoll von Microsoft, das allerdings 2002 zugunsten des .NET-Frameworks abgekündigt wurde. Derzeit unterstützen jedoch alle aktuellen und vermutlich auch zukünftigen Betriebssysteme COM/DCOM. Microsoft entwickelt die Basistechnologie aber nicht weiter, sodass sie insbesondere im Hinblick auf Security-Aspekte unweigerlich veraltet.

Schutz ausgehebelt

OPC/Modbus-Server verhalten sich transparent. Das bedeutet, dass sich der Zugriff auf lokale Kommunikationsdaten nicht von dem auf entfernte Daten unterscheidet. Dabei erweisen sich die Sicherheitseinstellungen des DCOM-Protokolls als kompliziert. Darüber hinaus haben sich Inkompatibilitäten zwischen den Produkten unterschiedlicher Hersteller gebildet. Deshalb sind weitreichende Zugriffsrechte erforderlich, um den Datenaustausch überhaupt zu ermöglichen. Diese hebeln allerdings die vorhandenen Schutzmechanismen aus. Beim Einsatz von DCOM gibt es also kein durchgängiges und belastbares Security-Konzept zur Absicherung der Kommunikation. Nutzt der Anwender OPC, kommt erschwerend hinzu, dass dieses Protokoll zahlreiche Kommunikationsports benötigt. Dazu gehören Ports beispielsweise für die Initiierung der Datenübertragung, die Authentisierung sowie das Senden der Daten. Im Gegensatz zu HTTP, das stets über Port 80 kommuniziert, oder FTP auf Port 21, sind die zu verwendenden Ports nicht festgelegt, sondern werden zufällig von OPC definiert. Steht ein Port nicht zur Verfügung, wählt das Protokoll automatisch einen anderen aus. Firewall müssen somit zahlreiche Ports offenhalten und büßen an Wirksamkeit ein. Denn aus Security-Sicht stellt jeder offene Port einen potenziellen Angriffsvektor dar. Diese Vektoren werden gezielt von Angreifern und Hackern gesucht, zum Beispiel über Port-Scans, um über sie in das Zielsystem einzudringen. Hinzu kommt, dass sich unter Einsatz des OPC-Standards keine Vorteile einer Network Address Translation-Applikation (NAT) nutzen lassen.



Conditional Firewall zur situationsgerechten Umschaltung; gezeigt werden zwei unterschiedliche Einstellungen der Firewall. Bild: Phoenix Contact Deutschland GmbH


Security Appliances

Durch den Einsatz der Security Appliances der Produktfamilie FL Mguard von Phoenix Contact mit dem kürzlich vorgestellten OPC/Modbus-Inspector sollen sich die genannten Herausforderungen lösen lassen. Die Deep Packet Inspection für OPC Classic/Modbus analysiert die übermittelten Pakete und nimmt gegebenenfalls Anpassungen an ihnen vor. Durch die Konfiguration kann der Anwender festlegen, dass über den OPC Classic-Port 135 ausschließlich OPC-Pakete versendet werden dürfen. Die Deep Packet Inspection erkennt die TCP-Ports, die die Teilnehmer während der ersten geöffneten Verbindung untereinander aushandeln. Im Anschluss werden genau diese Ports durch die Firewall geöffnet und für die OPC-Kommunikation freigegeben. Findet innerhalb des einstellbaren Timeouts kein Versand von OPC-Paketen statt, schließen sich die Ports wieder.

Segmentierung des Netzes

Angreifer nutzen verschiedene Wege, um Zugang zu den Produktionsanlagen zu erlangen. Der Computerwurm Stuxnet hat beispielsweise gezeigt, dass Angriffe mittels kompromittierter USB-Sticks selbst aus dem Inneren von Anlagen möglich sind. In diesem Umfeld schafft die Anwendung des auf dem ISA 99-Standard basierenden ‘Defense in Depth’-Konzepts Abhilfe. Der Ansatz setzt auf die netzwerktechnische Segmentierung von Anlagen und die dezentrale Absicherung der so entstehenden Teilbereiche. Mit dem OPC Inspector soll sich Defense in Depth nun ebenfalls in Applikationen umsetzen lassen, in denen OPC Classic eingesetzt wird. Zur Segmentierung von OPC-basierenden Netzen unterstützt die Deep Packet Inspection des FL Mguard zudem die Nutzung von NAT-Verfahren wie Masquerading oder 1:1-NAT.

Flexibles Firewall-Regelwerk

Außerdem verfügen die Security-Appliances über eine Conditional Firewall. Sie ermöglicht eine situationsbasierte definierte Umschaltung des Firewall-Regelwerks. So kann der Anwender die Festlegungen seiner Firewall durch Ereignisse an unterschiedliche Betriebszustände adaptieren. Beispielsweise lässt sich der gesamte Datenverkehr vom oder in das überlagerte Netzwerk automatisch blockieren, wenn eine Schaltschranktür geöffnet wird. Damit ist der Service-Techniker, der vor Ort am System arbeitet, einfach und wirkungsvoll vom überlagerten Netzwerk abgeschnitten.

Sichere Automatisierung

Die Appliances ermöglichen mit ihrem dreistufigen Security-Konzept bestehend aus Conditional Firewall, Demilitarized Zone und CIFS Integrity Monitoring (CIM) beherrschbare Sicherheitsarchitekturen, um Automatisierungs- und Fernwartungslösungen verlässlich zu betreiben.


Das könnte Sie auch interessieren:

Um Produktionsdaten per Manufacturing Execution System auswerten zu können, müssen die Daten aus der Maschine in das System gelangen - bei alten Maschinen ein Problem. Doch können Fertiger nicht einfach so in einen neuen Maschinenpark investieren. Der Retrofit-Ansatz kann dabei helfen, auch ältere Maschinen Industrie 4.0-Ready zu machen.‣ weiterlesen

Auf Basis einer PC-basierten Automatisierungsplattform hat Cretec bei einem deutschen Automobilzulieferer die Taktraten bei Prüfungen von Turboaggregaten deutlich gesenkt. Inklusive vollständiger Rückverfolgbarkeit der Produkte.‣ weiterlesen

Wollen Fertigungsunternehmen die Vorteile einer vernetzten Produktion erschließen, kommen sie an der Einführung eines firmenweiten IIoT-Netzwerks kaum vorbei. Der Weg bis zum Betrieb einer solchen zentralen Steuerungsinstanz lässt sich in drei Schritte gliedern.‣ weiterlesen

Unternehmensprozesse können nicht in einem Schritt digitalisiert werden. Es kommt auf die Priorisierung an. Beim Pumpenhersteller KSB halfen dabei eine Wertstromanalyse sowie agiles Projektmanagement.‣ weiterlesen

Nahezu die Hälfte der für eine Reichelt Elektronik-Studie befragten Unternehmen würde Implementierung von künstlicher Intelligenz nach heutigem Stand anders angehen. Beispielsweise würden sie Mitarbeiter stärker einbeziehen.‣ weiterlesen

Die Auftragseingänge der deutschen Maschinen- und Anlagenbauer sind im Oktober zweistellig gewachsen. Die Wachstumsraten fallen jedoch geringer aus als im Sommer dieses Jahres.‣ weiterlesen

Viele MES-Anwendungen unterscheiden sich in ihren Leitideen, Anforderungsschwerpunkten und Steuerungsansätzen deutlich voneinander. Zusammen mit ihren Branchen- und Funktionsschwerpunkten lassen sich die Angebote am Markt schwer vergleichen. Der neue MES-Marktspiegel hilft dabei, indem er unternehmerische Zielgrößen mit MES-Funktionalitäten korreliert und marktverfügbare Lösungen auf ihre Abdeckung untersucht.‣ weiterlesen

Lieferketten waren in der letzten Zeit von gleich mehreren unvorhersehbaren Ereignissen mit solcher Tragweite betroffen, dass vielerorts die Produktionsplanung darunter leidet oder die Fertigung sogar zum Stillstand kommt. Solche Ereignisse können Algorithmen zwar nicht vorhersagen, wohl aber wie Firmen bestmöglich darauf reagieren können.‣ weiterlesen

Um Produktionssysteme in der Automobilindustrie schneller, flexibler und effizienter zu gestalten soll im Forschungsprojekt ’Software-Defined Manufacturing für die Fahrzeug- und Zulieferindustrie (SDM4FZI)‘ eine neue technologische Grundlage entwickelt werden.‣ weiterlesen

Erstmals seit Februar ist die Zahl der Kurzarbeitenden in Deutschland wieder gestiegen. Wie das Ifo Institut mitteilt, waren im November 10.000 Beschäftigte mehr in Kurzarbeit als noch im Oktober.‣ weiterlesen

Geht es um Datenspeicher und ihre Verarbeitungsoptionen, gibt es zahlreiche Plattformen: Edge-, On-Premise- oder Cloudbasierte Server sollen den unterschiedlichen Anforderungen gerecht werden. Doch was erfüllen diese Ansätze im Fabrikumfeld besonders gut, und wie setzen Firmen diese um?‣ weiterlesen

Anzeige
Anzeige
Anzeige