Ethernet vereint die Ebenen Administration, Geräte und Steuerung und erschließt neue Möglichkeiten zur Absicherung.

Industrieunternehmen decken unterschiedliche Geschäftsprozesse bislang mit unterschiedlichen Netzwerken ab: Abteilungen wie Personalwesen, Buchhaltung und Beschaffung sind untereinander vernetzt. Die Steuerungsebene verbindet Kontroll- und Monitoring-Geräte wie Programme-Logic-Controllers (PLCs), PC-basierte Controller, I/O-Racks und Human-Machine-Interfaces (HMIs). Auf der Feldebene werden I/O-Geräte wie Sensoren (Messfühler, Fotozellen, Strömungsmesser) und anderes Automations- und Bewegungsequipment, wie Robotertechnologien, variable Frequenztreiber oder Aktuatoren, miteinander verbunden. Der Betrieb von unterschiedlichen Netzen mit unterschiedlichen Technologien hat Nachteile: Effizienz und Produktivität sind niedrig, die Kosten sind hoch, das Netzwerk ist sehr komplex und erfordert entsprechende Schulungsmaßnahmen. Zudem sind Bandbreite und Netzwerkadressierung begrenzt. Mit einer Ethernet-Verkabelung werden diese Nachteile beseitigt, indem die Steuerungsebene mit Ethernet angebunden wird. Durch Ethernet werden die Ebenen Administration, Geräte und Steuerung in ein einzelnes System migriert und so eröffnen sich neue Möglichkeiten zur Absicherung.

Ein solches Industrial-Ethernet-Netzwerk kann verschiedene Daten übertragen: von üblicher Routineübertragung über geschäftskritische Steuerungs-Informationen bis hin zu bandbreitenintensiven Video- oder Sprachübertragungen. Dazu muss das Netzwerk in der Lage sein, den Datenstrom zu priorisieren. Quality-of-Service-Technologie sorgt dafür, dass der gesamte Datenverkehr die Bandbreite, Priorität und Latenzzeit erhält, die er benötigt, so dass das Netzwerk effizient und reibungslos funktioniert. Endgeräte in der Produktion haben eine Ethernet-Schnittstelle, die über die Ports eines Ethernet-Switches gesteuert werden. Der heutige Ethernet-Standard und intelligente Switches ermöglichen die Priorisierung der Echtzeit-Daten und die Skalierung der Bandbreite von 10 MBit/s auf 100 MBit/s oder 1 GBit/s und auch erste 10-Gigabit-Ethernet-Switches sind verfügbar.

Die Basis: Intelligente Switches

Die Grundlage für sichere Ethernet-Netzwerke schaffen intelligente Switches, die sich durch eine hohe Verfügbarkeit, Quality-of-Service (QoS) und Security-Funktionalitäten auszeichnen. Herkömmliche Hubs und ungemanagte Switches kommen den Anforderungen von Echtzeit-Anwendungen in modernen Produktionsnetzwerken nicht nach. Mit Ethernet-Switches können Unternehmen virtuelle LANs aufbauen (VLANs), um Endgeräte in logische Arbeitsgruppen zu unterteilen, so dass der Back-Office-Datenverkehr von dem auf der Steuerungsebene getrennt ist. Beispielsweise können Maschinenkontrolleure in einer Gruppe erfasst werden, auch wenn sie sich in verschiedenen Gebäuden aufhalten.

Auf Grund spezifischer Zeitverschiebungen in früheren Ethernet-Netzen entschieden sich Netzwerk-Manager von Produktionsbetrieben in der Regel gegen Ethernet. Da verschiedene Endgeräte Daten gleichzeitig übertrugen, kam es zu Datenkollisionen im Netzwerk. Wurde eine solche Kollision entdeckt, legte die entsprechende Netzwerk-Schnittstelle eine Warteschleife ein. Die Datenübertragung erfolgte mit ungemanagten Switches nicht in Echtzeit. Die Kommunikation auf der Feldebene lief bisher zumeist über Feldbusse, die für die Übertragung kleiner Datenmengen ausgelegt sind. Für eine durchgängige Datenübertragung ohne Gateways macht es Sinn, bestehende Feldbusprotokolle auf Ethernet und TCP/IP abzubilden.

Die Konvergenz des Netzwerks ermöglicht das Fast-Spanning-Tree-Protokoll. Tritt ein Problem an einem Netzwerkknoten auf, wird sofort ein redundanter Link bereit gestellt. In weniger als einer Sekunde steht ein weiterer Netzwerkknoten bereit. Hohe Verfügbarkeit wird auch durch IGMP-Snooping (Internet-Group-Multicast-Protocol) realisiert. Diese Funktion erlaubt das einfache Management von Multicast-Datenverkehr in einem geswitchten Netzwerk. Statt alle Nutzer mit Informationen zu überfluten, erreicht der Datenverkehr durch den Einsatz von IGMP nur den gewünschten Empfänger. Das Protokoll schützt somit Packet-Line-Karten beziehungsweise I/O-Geräte, die eine Kapazitätsbeschränkung haben. Ohne IGMP ist die Überflutung von Kontroll-Netzen möglich. Darüber hinaus bieten die Switches QoS und Queue-Management. Damit sind sie in der Lage, zeitkritischen Datenverkehr zu priorisieren. Auch bei einer Netzwerküberlastung wird Datenverkehr mit hoher Priorität übertragen. Ohne diese beiden Funktionen können Datenpakete verloren gehen.

Ein Switch für raue Umgebungen

Ein Beispiel für einen solchen intelligenten, gemanagten Ethernet-Switch ist der Catalyst-2955 von Cisco. Der robuste Switch ist für den Einsatz in rauen Betriebsumgebungen wie Werkhallen oder Fertigungsstraßen optimiert und verfügt über zwölf LAN-Ports. Zu den intelligenten Switching-Diensten zählen auch redundante Stromversorgung, Netzwerk-Monitoring, einfacher Austausch von Ausrüstung, Multicast-Traffic-Management und QoS. Der Switch wird speziellen Anforderungen im Industrieumfeld gerecht, ist kompakt abgemessen, passiv gekühlt und verfügt über Relay-Output-Signalling. Er arbeitet bei Temperaturen zwischen – 40 und + 60 Grad Celsius, auch in Umgebungen mit extremer Vibration und Schockimpulsen. Durch die geringe Größe passt der Switch in Industrieanlagen und Schaltkästen.

Management via Web

Da Ethernet wie das Internet das TCP/IP-Protokoll nutzt, wird Web-basiertes Management automatischer Produktionsanlagen möglich. Für die Verwaltung des Industrial-Ethernet-Netzwerks bieten sich Management-Tools wie die Ciscoworks-LAN-Management-Lösung (LMS) an. Dieses Tool überwacht den Netzwerkverkehr im LAN, wartet das Netzwerk und verfügt über Funktionen zur Fehlererkennung und -behebung. Der Device-Fault-Manager identifiziert in vielen Fällen Engpässe und Probleme, bevor ein Netzwerkadministrator diese erkennt. Web-basiertes Management für die Konfiguration und Software-Updates bei Switches sind zunehmend kritische Faktoren in einem wachsenden Industrienetz. Eine LAN-Management-Lösung kann ein VLAN erstellen und modifizieren. Sie bietet Softwareverteilung, Autorisierung, Geräteauflistung und Syslog-Analysen für geswitchte Infrastrukturen. Netzwerke lassen sich damit effektiver und effizienter verwalten. Die Lösung lässt sich problemlos beispielsweise in eine VPN-/Security-Management-Lösung integrieren. Geräte müssen besonders bei konvergenten Sprach-Daten-Anwendungen immer verfügbar sein. Insgesamt umfasst eine vollständige LAN-Management-Lösung Fehlerbehebung, skalierbare Ansichten der Topologie, individuelle Konfigurationen, Layer-2/-3-Pfad-Analyse, Voice-gestütztes Pfad-Tracing, Monitoring des Datenverkehrs und Application-Workflow-Tracking.

Zahlreiche Gefahren

Für das Industrienetzwerk sind nicht nur Hacker, sondern auch Wirtschaftsspione eine Gefahr. Zu den Angriffsmustern zählen Exploit-Aktivitäten wie Back-Orifice, Login-Fehlversuche oder TCP-Hijacking. Ein Hacker versucht, auf das Netzwerk oder wichtige Systeme zuzugreifen. Eine weitere Bedrohung sind Denial-of-Service-Aktivitäten (DoS). Server werden mit einer Vielzahl von Anfragen lahmgelegt. Zu den DoS-Attacken zählen unter anderem Trinoo, TFN oder Syn-Floods. Reconnaissance-Aktivitäten bezeichnen das Mapping des Netzwerks durch Eindringlinge, die mögliche Ziele auszumachen versuchen. Die Möglichkeiten sind hier Ping-Sweeps oder Port-Sweeps. Dies stellt üblicherweise die Vorstufe eines Angriffes dar. Eine weitere Kategorie von Angriffen sind sonstige Missbrauchs-Aktivitäten, wenn beispielsweise jemand versucht, die Unternehmens-Policy auszuhebeln. Dies kann entdeckt werden, indem nach Custom-Text-Strings im Netzwerkverkehr gefahndet wird. Weitere Angriffe sind das Abfangen von Datenpaketen an bestimmten Stellen im Netzwerk, wenn Netzwerke unzureichend konfiguriert sind (Packet-Sniffer), die Vortäuschung falscher Schlüssel in Public-Key-Infrastrukturen (PKI, so genannte Man-in-the-Middle-Attacken), die Vortäuschung von IP-Adressen (IP-Spoofing) und Kennwort-Angriffe wie Brute-Force-Attacken.

Umfassender Schutz

Ethernet-Switches weisen gegenüber Hubs und ungemanagten Switches eine Vielzahl von Sicherheitsmechanismen auf. Dazu zählen unter anderem 802.1x, Port-Sicherheit, MAC-Address-Notification und DHCP-Schnittstellen-Tracking. Jede dieser Maßnahmen kann individuell gemäß den Anforderungen der jeweiligen Produktionsumgebung konfiguriert werden. ACLs sorgen dafür, dass bestimmte Traffic-Patterns zu spezifischen Ports umgeleitet werden. Dies verhindert, dass Netzwerkeindringlinge auf geschäftskritische Daten zugreifen können. Die ACLs und einige der QoS-Funktionalitäten auf den intelligenten Ethernet-Switches verhindern auch, dass Eindringlinge das Netzwerk überfluten. Die Switches können heute zusammen mit einfachen, grafischen Schnittstellen-Tools, einem Standard-PC-Browser und Network-Management-Tools wie HP-Openview oder Cisco-Works implementiert werden, um ein stabiles und verwaltbares Netzwerk zu schaffen.

In einen intelligenten Switch wie den Cisco-Catalyst-2955 sind diese Sicherheitsfunktionen integriert. Unternehmen können die Sicherheit des Industrienetzwerks mit Maßnahmen zum Schutz von Passwörtern und entsprechenden Konfigurationen des Geräts verbessern. Die Netzwerksicherheit basiert auf Informationen über Ports, Nutzer und MAC-Adressen und sofortiger Reaktion auf Aktionen durch Hacker und Eindringlinge. Secure-Shell (SSH) und SNMPv3 sind Protokolle, die Informationen im Netzwerk verschlüsseln und Datenverkehr vor Spionage oder Manipulation schützen. Private-VLAN-Edge isoliert Ports auf einem Switch und stellt sicher, dass Datenverkehr über einen virtuellen Pfad direkt vom Eintrittspunkt zum Aggregationsgerät und nicht zu einem anderen Port übertragen wird. Port-basierte Zugangskontrollparameter (ACPs) begrenzen sensitive Teile des Netzes, indem sie Pakete auf Basis der Quell- oder Ziel-MAC-Adresse, IP-Adresse oder TCP-/UDP-Ports verweigern. Die Einsicht in die ACPs erfolgt in der Hardware, somit wird die Performance der Weiterleitung durch die Implementierung dieser Sicherheitsfunktion nicht beeinträchtigt. Darüber hinaus erlauben zeitlich einstellbare ACPs die Konfiguration von unterschiedlichen Services je nach Zeitintervallen. ACPs können auch angewendet werden, um Datenverkehr auf Basis verschiedener Service-Code-Point-Werten (DSCP) zu filtern. Mit Port-Security wird festgestellt, ob der richtige Nutzer angemeldet ist. Dies geschieht durch Einschränkung des Zugriffs auf Basis der MAC-Adressen.

Fazit

Durch den Einsatz von intelligenten, gemanagten Switches können Industrieunternehmen bislang unabhängig von einander arbeitende Netzwerke miteinander verbinden und die Vorteile der Ethernet-Verkabelung nutzen: hohe Verfügbarkeit, Quality-of-Service, Multicast-Datenverkehr und Sicherheitsfunktionen wie VLAN.

Isabel Schmidt, Marketing Manager Vertical, Cisco Systems