Sicherheit im Ethernet-Produktionsnetz
Mehr als Zugriffsschutz
Mit der Einführung eines Industrie-Ethernets setzen Unternehmen ihr Netz zwangsläufig auch vielen aus dem Office-Umfeld bekannten Gefahren aus. Ohne eine vernünftige Zugangskontrolle geht nichts, bei Bedarf muss sie bis auf die Port-Ebene reichen. Nexans setzt bei seinen Systemen unter anderem auf einen Radius-Server.
Die weltweite Akzeptanz von Ethernet als zukunftssicheres Kommunikationssystem im Office-Bereich führt heute zweifellos ebenso auch in die Welt der Fabrik- und Prozessautomation. Fakt ist: Ethernet ist aus dem industriellen Bereich nicht mehr wegzudenken. Konsequent angewendet eröffnet es dem Anwender Chancen zur Produktivitätssteigerung, Reduzierung von Montage- und Wartungszeiten oder Erhöhung von System- und Prozessübersicht. Dies haben auch die Hersteller erkannt, und so bietet etwa Nexans eine Systemfamilie für die industrielle Kommunikation an. Diese umfasst neben der aktiven Technik (intelligente Switches und Medienkonverter) auch die passive Verkabelung: Industrie-Twisted-Pair (Lanmark), GG45 und Fiber-Optic.
Physikalische Sicherheit
Die Durchgängigkeit eines Daten- und Kommunikationsnetzwerks erfolgt zunehmend dezentral. Von der Zentrale über die technischen Abteilungen bis hin zur Fertigung oder sogar zu einzelnen Ethernet-fähigen Endgeräten ist auf diese Weise eine einheitliche transparente Kommunikation möglich. Die beteiligten Systeme müssen dazu auf die Belange der Industrie sowie bezüglich der Kompatibilität der Schnittstellen abgestimmt sein. Anforderungen für den Einsatz in rauen Betriebsumgebungen sind:
Redundanzfunktionen,
robuste Ausführung,
passive Kühlung,
erweiterter Temperaturbereich,
kompakte Abmessungen,
mehrfach redundante Stromversorgung,
Meldekontakte zur Signalisierung und
einfache Handhabung.
Verschiedene Ausführungen der Systeme ermöglichen den Einsatz über mehrere Verteilebenen.
Zugriffssicherheit: Planung notwendig
Der Ausbau der Netzwerke zum multifunktionalen Übertragungsmedium erfordert bereits bei der Planung weit reichende Entscheidungen. Sicherheitsanforderungen und das Bestreben nach Zukunftssicherheit machen bisweilen ein Redesign der bisherigen Kommunikationskonzepte nötig: Eine bei Bedarf bis auf den Zugangs-Port differenzierbare Sicherheit verhindert einen nicht autorisierten Zugriff auf das Netzwerk und bildet gleichzeitig die Grundlage für eine Verrechnung der vom Netz erbrachten Leistungen. Alle Unternehmen, die den Zugriff auf ein Netzwerk erlauben, stehen dabei prinzipiell vor demselben großen Problem: Viele Benutzer müssen im Unternehmensnetz arbeiten können; zur Gewährleistung der Sicherheit ist daher genauestens zu prüfen, wer Zugang bekommt, um bereits im Vorfeld einen Missbrauch von Diensten auszuschließen. Dazu dienen Sicherheitsmechanismen wie IEEE 802.1x und eine MAC-basierende Zugangskontrolle.
In Verbindung mit einem zentralen Authenticationserver (zum Beispiel Radius) lässt sich die Sicherheit in Unternehmensnetzen erheblich steigern. Für einen maximalen Schutz kann eine Zugangskontrolle direkt am Teilnehmer-Port des Industrie-Switches sorgen. Dabei wird die Identität des Clients unmittelbar am Anschlusspunkt abgefragt und nicht erst am gebündelten Port des zentralen Switches.
Ein Missbrauch des Netzwerkanschlusses etwa durch Mithören von Traffic ist so grundsätzlich ausgeschlossen. Jeder Switch-Port lässt sich unabhängig auf die gewünschte Authentifizierungsmethode konfigurieren. Im Falle einer fehlerhaften Authentifizierung ist es außerdem möglich, entsprechende SNMP-Traps zu senden, die die Security-Verletzung an das zentrale Netzwerkmanagement melden. Das System überträgt dabei die MAC-Adresse des unberechtigten Clients mit und dokumentiert dies. Zusätzliche Sicherheit bieten zuschaltbare SNMP-Traps.
Lesen Sie mehr zum Thema
