Damit alle nötigen Aufgaben von dem als Übertragungsmedium dienenden Netzwerk geleistet werden können, sollte das Netzwerk klar strukturiert beziehungsweise segmentiert werden. Eine Netzwerksegmentierung bietet zahlreiche Vorteile im Hinblick auf die Performance und IT-Sicherheit. Die Broadcast-Telegramme werden beispielsweise nicht in andere Segmente weitergeleitet, unnötiger Datenverkehr reduziert deren Performance also nicht.
Wichtige Produktionsanlagen lassen sich redundant ankoppeln, sodass die Kommunikation beim Ausfall einer nahtlos über die zweite Verbindung erfolgt. Durch das Segmentieren in kleinere Subnetze verringern sich potenzielle Angriffsvektoren. Betroffene Segmente können bei einem Angriff isoliert werden, eine Ausbreitung von Schadsoftware in weitere Segmente findet nicht statt. Die Administrierung und Überwachung von segmentierten Netzwerken zeigen sich als einfacher und genauer, bei Problemen lässt sich der betroffene Bereich leichter identifizieren.
Ganzheitliches Sicherheitskonzept für IT und OT
Im Rahmen der Planung einer Segmentierung des Fertigungsnetzwerks müssen die Verantwortlichen des IT- und OT-Bereichs bei der Erstellung eines ganzheitlichen Sicherheitskonzepts eng zusammenarbeiten. Als zertifizierter Security Service Provider gemäß IEC 62443-2-4 unterstützt das Expertenteam von Phoenix Contact entsprechend. Eine Produktion lässt sich lediglich durch eine umfassende Lösung schützen, Einzelmaßnahmen können oftmals über Umwege wieder ausgehebelt werden und stellen dann keine Sicherheit mehr zur Verfügung.
Auch Phoenix Contact stand vor der Herausforderung, den eigenen Fertigungsbereich mit teils großen, gewachsenen Subnetzen zu segmentieren. Dazu waren klare Verantwortlichkeiten abzustimmen: Bis zu welchem Übergabepunkt ist die IT für die Konfiguration und Wartung der Netzwerkinfrastruktur zuständig und wo beginnt die Verantwortlichkeit der OT?
Um eine optimale Netzwerkanbindung zwischen IT und OT umzusetzen, baute die IT ein Produktionsnetzwerk als Verbindungsnetzwerk zwischen IT und OT auf. Die einzelnen Segmente des Fertigungsbereichs wurden anschließend mit dem Produktionsnetzwerk verbunden. Damit die Fertigungsanlagen bestmöglich arbeiten können, ist die Kommunikation zwischen den Maschinen analysiert worden: Über welche Protokolle tauschen sie untereinander Daten aus? Layer-2-Protokolle lassen sich zum Beispiel nur innerhalb eines Segments übertragen, sodass sich Anlagen, die beispielsweise via Profinet miteinander kommunizieren, innerhalb eines Segments befinden müssen.
Die generierten Segmente werden von einer Firewall der Produktfamilie mGuard geschützt, die im Router-Modus laufen. Für das Erstellen der Firewall-Regeln lässt sich die Aufstellung mit den Kommunikationsbeziehungen nutzen. Die Segment-Firewall gibt die erforderlichen Verbindungen des Segments mit externen Teilnehmern frei. Über die 1:1-NAT-Funktion der mGuard-Firewall können die IP-Adressen, die außerhalb des Segments liegen, übersetzt werden. Aufgrund dieser Funktion sind an den Anlagen keine IP-Änderungen nötig, was spezielle Konfigurations-Tools oder sogar Anpassungen in den Anlagenprogrammen voraussetzt.
Lokalen Zugang auf das entsprechende Segment begrenzen
Zur Integration der zusätzlichen Netzwerkkomponenten in die Brownfield-Anlagen ist gemeinsam mit dem unternehmenseigenen Schaltschrankbau eine skalierbare Schaltschranklösung entwickelt worden. Auf diese Weise ließen sich die Anlagen problemlos umbauen. Bei der Erarbeitung des Schaltschrankkonzepts hat das Expertenteam weitere Funktionen beachtet und in die fertige Lösung eingebaut. Neben den bereits erwähnten Funktionalitäten der Firewall wurde über die Plattform mGuard Secure Cloud ein VPN-Zugang zu den einzelnen Segmenten geschaffen, der sich direkt vor Ort vom OT-Personal ein- und ausschalten lässt. Eine auf dem Schaltschrank angebrachte Leuchte informiert die Produktionsmitarbeitenden jederzeit über den aktuellen Status der Verbindung.
Der DMZ-Port (Demilitarized Zone) der mGuard-Firewall ist für den lokalen Service konfiguriert. Ein an diesen Port angekoppeltes Service-Notebook kann lediglich mit den Komponenten innerhalt des Segments kommunizieren, eine Verbindung mit anderen Segmenten oder dem Produktionsnetz ist nicht möglich. Dieser Zugang lässt sich ebenfalls vor Ort ein- und ausschalten. Eine integrierte redundante unterbrechungsfreie Spannungsversorgung erhöht die Verfügbarkeit. Ferner meldet der eingebaute Türschalter das Öffnen der Schaltschranktür. Diagnoseinformationen und Alarme werden von der mGuard-Firewall und dem integrierten Managed Switch über das SNMP-Protokoll als sogenannte SNMP-Traps verschickt, um zum Beispiel einen Spannungsausfall, den Anschluss weiterer Komponenten oder das Öffnen der Tür anzuzeigen.
Management-Software zur zentralen Gerätekonfiguration und -verwaltung
Die Fertigungsanlagen sind sukzessive mit Hilfe der selbst entwickelten Schaltschranklösung sowie in Zusammenarbeit mit der IT an das neue Produktionsnetzwerk der OT angebunden worden. Firewall-Regelsätze wurden auf der Grundlage der Protokolldateien der mGuard-Firewall so angepasst, dass nur die benötigten Verbindungen umsetzbar sind. Nicht erforderliche Verbindungen werden verworfen, aber trotzdem im Firewall-Protokoll aufgeführt. Das Firewall-Protokoll identifiziert somit notwendige ebenso wie nicht-notwendige Verbindungen, wenn sich die Herstellerdokumentation der Komponenten als lückenhaft erweist.
Nach der ersten Inbetriebnahme im Fertigungsbereich wurden die einzelnen Firewalls in die zentrale Geräte-Management-Software mGuard Device Manager integriert. Durch die Software vereinfacht sich die Verwaltung der verschiedenen Geräte im Feld. Über einen Template-Mechanismus lassen sich alle mGuard-Geräte zentral konfigurieren und administrieren. Die gewünschten Firewall-Regeln und NAT-Einstellungen werden erstellt und per Mausklick über die Upload-Funktion auf sämtliche mGuard-Geräte im Netzwerk geladen. Die Software FL Network Manager unterstützt bei der Erstinbetriebnahme und dem Management der in den Schaltschranklösungen verwendeten Switches der Baureihe FL 2000 – von der IP-Adressvergabe über Firmware-Updates bis zur VLAN-Konfiguration. Über Menüs in der Oberfläche oder mit dem eingebauten SNMP-Scripting lassen sich Konfigurationen gleichzeitig auf ausgewählten Switches ändern, archivieren oder wiederherstellen.
Fazit
Durch den Einsatz der eigenen Komponenten hat Phoenix Contact die Sicherheit in der Produktion signifikant erhöht. Die Segmentierung des Fertigungsnetzwerks steigert dessen Performance und Wartungsfreundlichkeit. Alle genutzten Geräte sind für den OT-Bereich entwickelt, will heißen das Fehlen von Lüftern und der weite Umgebungstemperaturbereich von -40°C bis 70°C wirken sich positiv auf deren Lebensdauer aus. Über das Web-based Management können sämtliche Geräteparameter eingestellt werden, es sind also keine speziellen Befehle für die Kommandozeile erforderlich, um die Komponenten zu konfigurieren. Fehler und Logs stellt das Web-based Management ebenfalls in Klartext dar. Für eine zentrale Überwachung lassen sich alle Diagnosen auch über das SNMPv3-Protokoll abrufen