Security Appliances mit OPC Inspector

Zuverlässige Absicherung von Systemen, die bislang als nicht wirksam schützbar galten

Anzeige
OPC Classic (OLE for Process Control) wird sowohl in der Fertigungs- und Prozessindustrie wie auch in vielen anderen industriellen Bereichen genutzt. Mit mehr als 20 000 OPC-Produkten von über 3500 Herstellern zählt der Standard zu den erfolgreichsten Lösungen für den interoperablen Austausch von Daten zwischen den Applikationen unterschiedlicher Anbieter.

Verfügen Steuerungen und Feldgeräte über eine OPC-Schnittstelle, lassen sich die Unterschiede zwischen den verschiedenen Automatisierungskomponenten überwinden. Darüber hinaus ist ein performanter Datentransfer über die Grenzen der einzelnen Systeme hinweg möglich. Vor diesem Hintergrund stellt OPC einen Kommunikationsstrang für die Datenerfassung, Prozessvisualisierung und das Datenmanagement dar, über den Parametersätze, Steuerungssequenzen, Programme und Produktionsdaten übertragen werden. Das COM/DCOM-Protokoll von Microsoft dient hier dem Datenaustausch zwischen dem OPC-Server und -Client. Allerdings ist dieses Protokoll bereits 2002 zugunsten des .Net-Frameworks abgekündigt worden.

Firewall müsste viele Ports offenhalten
Weil Automatisierungsprojekte komplexer werden und sich nicht mehr auf einzelne Maschinen oder Anlagen beschränken, ist die Ausbreitung der OPC-Übertragung in gleichem Maße gewachsen, wie sich die Anlagen ausgedehnt haben. Die vorhandenen Sicherheitseinstellungen des DCOM-Protokolls erweisen sich als kompliziert. Gleichzeitig treten Inkompatibilitäten zwischen den Geräten unterschiedlicher Hersteller auf. Deshalb sind weitreichende Zugriffsrechte erforderlich, die einerseits die Voraussetzung für den Datenaustausch bilden, auf der anderen Seite aber die bestehenden Schutzmechanismen aushebeln. Bei der Nutzung von DCOM lässt sich ein belastbares Security-Konzept zur Absicherung der Kommunikation somit nicht realisieren. Wird OPC eingesetzt, kommt erschwerend hinzu, dass der Standard zahlreiche Kommunikations-Ports benötigt. Die Ports dienen beispielsweise der Initiierung der Datenübertragung, der Authentisierung oder zum Senden der Daten. Im Gegensatz zu HTTP oder FTP sind sie nicht definiert, sondern werden per Zufallsprinzip festgelegt. Steht ein Port nicht zur Verfügung, wird automatisch ein anderer ausgewählt. Aus den genannten Gründen müsste eine Firewall viele Ports offenhalten und würde damit in der Praxis keine Wirksamkeit erzielen können.
Aus Security-Sicht stellt jeder offene Port einen potenziellen Angriffsvektor dar. Da Industriespionage und Sabotage immer weiter um sich greifen, kommt der Absicherung der OPC-Anwendungen eine stetig steigende Bedeutung zu. Wird OPC in der Applikation verwendet, lassen sich die Vorteile einer NAT-Anwendung (Network Address Translation) zudem nicht mehr nutzen. Zu den Vorzügen von NAT oder 1:1-NAT gehören:
  • die Reduzierung der Komplexität aufgrund einer Gleichteile-Strategie der Automatisierungskomponenten
  • Einsparung von Zeit und Geld durch die Vermeidung einer Individual-Konfiguration
  • die einfachere Fehlerbehebung
  • kein Gewährleistungsverlust
  • ein restriktiver Verbrauch von IP-Adressen.
Datenaustausch lässt sich exakt definieren
Die Probleme und Security-Risiken lassen sich durch den Einsatz des FL  MGuard mit dem OPC-Inspector lösen. Eine Deep Packet Inspection für OPC Classic analysiert die übermittelten Pakete und ändert sie bei Bedarf ab. Die Deep Packet Inspection erkennt die TCP-Ports, die innerhalb der ersten geöffneten Verbindung zwischen den Teilnehmern ausgehandelt worden sind. Anschließend öffnet die Firewall die jeweiligen Ports und gibt sie für die Kommunikation frei. Werden innerhalb des konfigurierbaren Timeouts über die ausgehandelten Ports keine Pakete verschickt, schließen sie sich wieder. Mit einstellbaren Firewall-Regeln lässt sich so definieren, welche Clients mit welchen Servern Daten austauschen dürfen. Diese Funktion erhöht das Sicherheitsniveau. Angreifer nutzen verschiedene Wege, um Zugang zu Produktionsanlagen zu erlangen. Stuxnet hat zum Beispiel gezeigt, dass selbst innerhalb der Anlagen Angriffe mittels USB-Sticks möglich sind. Abhilfe schafft hier die Anwendung des auf dem Standard ISA-99 gründenden Defense-in-Depth-Konzepts. Der Ansatz basiert auf der netzwerktechnischen Segmentierung von Anlagen und der dezentralen Absicherung dieser einzelnen Segmente. Damit profitiert der Anwender ebenfalls von den Vorteilen der NAT-Verfahren.
Die Security Appliances FL MGuard bieten zudem eine Conditional Firewall, die eine situationsgerechte vordefinierte Umschaltung des Firewall-Regelwerks ermöglicht. Auf diese Weise kann eine Firewall erstmalig durch einfache auslösende Ereignisse zwischen den jeweiligen Regelwerken für unterschiedliche Betriebszustände wechseln. Dies, weil im Produktivbetrieb und während der Instandhaltung der Anlage verschiedene Verbindungen erlaubt respektive unterbunden werden sollen. Denkbar ist zum Beispiel, dass der gesamte Datenverkehr vom sowie in das überlagerte Netzwerk automatisch blockiert wird, wenn sich eine Schaltschranktür öffnet. So lässt sich der Servicetechniker, der vor Ort am System arbeitet, einfach und wirkungsvoll vom überlagerten Netzwerk trennen. Als weiteres Szenario dürfen Updates der Maschinen und Anlagen nur dann durchgeführt werden, sofern ein geeigneter Zeitpunkt vorliegt. In diesem Fall könnte eine autorisierte Person die Firewall mithilfe eines mitgeführten Schlüssels umschalten und so den Update-Server erreichen. Eine Änderung der Konfiguration erweist sich folglich als unnötig, was Zeit und damit Geld spart. Gleichzeitig wird das Security-Niveau angehoben, da spontane Konfigurationsänderungen fehlerträchtig sind.
Schadsoftware ohne Nachladen erkannt
Im Zeitalter des auf Automatisierungssysteme zugeschnittenen Wurms Stuxnet erhöht die dynamische Überwachung der im produktiven Umfeld betriebenen Windows-Systeme das Sicherheitsniveau. Deshalb ist mit dem sogenannten CIFS (Common Internet File) Integrity Monitoring (CIM) ein industrietauglicher Antivirenschutz als zusätzliche Lizenz für die RS4004-Geräte der Produktfamilie FL MGuard erhältlich. Das wie ein Antivirensensor arbeitende CIM erkennt ohne Nachladen von Viren-Pattern, ob ein aus Steuerung, Bedieneinheit und PC bestehendes Windows-System von einer Schadsoftware befallen wurde. Die parallele Nutzung von Firewalls und CIM sichert Netzwerke, die bisher nicht als wirksam zu schützen galten, optimal ab.

Ingo Hilgenkamp, Marketing Network Technology, Phoenix Contact Electronics GmbH, Bad Pyrmont
Anzeige

Aktuelles Heft

Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de