Fachartikel 2017

Schützen Sie Ihr Netzwerk

Presseanfragen

HBI
Agnes Kultzen
oder Alexandra Janetzko
Stefan-George-Ring 2
81929 München
Deutschland
Tel: +49 (0) 89 / 99 38 87 29

Automation Today kostenlos bestellen

Registrieren Sie sich über folgenden Link um automatisch über aktuelle Ausgaben der Automation Today per E-Mail informiert zu werden:

Mai 2017

Drahtlose Netzwerke angemessen schützenDrahtlose Netzwerke angemessen schützen


Standard-basierte Sicherheitsverfahren gewährleisten sichere und zuverlässige Drahtlos-Netzwerke für systemkritische Anwendungen

Der Einzug des Informationszeitalters im Bereich der Fertigung wirft nicht nur die Frage auf, auf welche Produktionsdaten Unternehmen zugreifen, sondern auch wie diese verfügbar werden.

Das größte Potential birgt die “wireless“-Technologie. Sie sprengt die Grenzen der Verkabelung und ermöglicht es Betriebsabläufe auf eine neue, vollkommen andere Weise anzugehen.

Beispielsweise können Betriebsabläufe per Mobilgerät von jedem Ort in der Anlage überwacht werden. Der Wartungstechniker kann Fachleute kontaktieren, die sich an einem anderen Ort befinden, um so Ausfallzeiten zu verkürzen. Auch funkbasierte IP-fähige Kameras können zum Einsatz kommen, welche die Betriebsabläufe in schwer zugänglichen Bereichen überwachen. Die Anbindung drahtlos vernetzter Geräte im stetig wachsenden industriellen Internet der Dinge (IIoT) ermöglicht es zudem, beispielsweise Qualitäts-, Sicherheits- sowie andere Daten aus den Fertigungsprozessen zu erfassen.

Da die Funktechnologie mit weniger Hardware und Kabel auskommt, verringert sie darüber hinaus die Installationskosten und den Wartungsaufwand.

Neue Anforderungen

Der drahtlose Datenaustausch im industriellen Umfeld ist nicht neu. Er wird seit Jahren in Anwendungen wie der Punkt-zu-Punkt-Datenübertragung und in SCADA-Systemen eingesetzt. Da die drahtlose Kommunikation jedoch immer mehr in systemkritischen Anwendungen und zur Produktionssteuerung in Echtzeit verwendet wird, ändern sich auch die technischen Anforderungen.

Eine zunehmende Anzahl an Herstellern setzt ein Connected Enterprise um und integriert im Zuge dessen ihre Industrie- und Unternehmenssysteme in einer Ethernet-basierten Netzwerkarchitektur. Insbesondere hier ist für eine störungsfreie Steuerung und den ungehinderten, kontinuierlichen Datenzugriff eine zuverlässige drahtlose Kommunikation mit niedriger Latenz und geringem Jitter notwendig. Darüber hinaus müssen Hersteller sicherstellen, dass die Funkkommunikation sicher ist.

Vor dem Hintergrund, dass die drahtlose Kommunikation besonderen Risiken ausgesetzt ist – wie z. B. das Abfangen und Überwachen von Daten, Wireless Frame Spoofing und Denial-of-Service-Angriffe – hat Sicherheit hier höchste Priorität. Zur Sicherheit gehören Methoden zur Geräteauthentifizierung und Datenverschlüsselung gemäß IEEE 802.11, einer Norm, die sich immer mehr als Standard für den Einsatz zuverlässiger und sicherer Funknetzwerke für industrielle Automatisierungs- und Steuerungssysteme (IACS) etabliert

Autonome vs. einheitliche Architektur

Zuerst einmal sind die beiden unterschiedlichen, in den IACS-Einstellungen verwendeten WLAN-Architekturtypen zu betrachten, da sich die Sicherheitsanforderungen der beiden Typen unterscheiden.

In einem autonomen Architekturtyp kommen für die Implementierung der WLAN-Funktionen eigenständige Wireless Access Points (drahtlose Zugangspunkte) zum Einsatz. Jeder autonome Access Point wird individuell konfiguriert und verwaltet.

Eine autonome Architektur wird typischerweise für kleinere Systeme oder eigenständige drahtlose Anwendungen verwendet. Sie zeichnet sich durch geringere Anschaffungskosten für die Hardware, vereinfachtes Design und Bereitstellung sowie granulare Kontrolle der Servicequalität aus, damit der IACS-Datenverkehr im Netzwerk priorisiert werden kann.

Eine einheitliche Architektur wird für große, werksweite Systeme mit zahlreichen Clients und Anwendungen verwendet. Sie bietet grundlegende Funktionen, wie z. B. Schutz vor Angriffen und drahtlosen Gastzugang, sowie die Grundlage, eine werksweite Mobilität zu ermöglichen.

Eine einheitliche Architekturlösung teilt die Funktionen zwischen den Lightweight Access Points (LWAP) und den Wireless LAN Controllern (WLC) auf. Sie zeichnet sich durch einen Zero-Touch-Einsatz und Zero-Touch-Austausch der Access Points, einen geringeren Aufwand beim Aktualisieren der Konfiguration und der Firmware sowie durch eine zentralisierte Steuerung und Übersicht aus.

Sicherheitsaspekte der autonomen Architektur

Der Sicherheitsstandard WPA2 (Wi-Fi Protected Access 2) mit AES-Verschlüsselung (Advanced Encryption Standard) ist der einzige Sicherheitsmechanismus, der für industrielle WLAN-Anwendungen empfohlen wird. WPA2 bietet die derzeit höchste Sicherheit für WLAN-Netzwerken in industriellen Umgebungen. Die AES-Verschlüsselung wird auf Hardwareebene implementiert und hat keine Auswirkungen auf die Leistungsfähigkeit einer Anwendung.

In einer autonomen Architektur unterstützt der WPA2-Standard sowohl die Authentifizierung mit Pre-Shared Key also auch die Authentifizierung gemäß 802.1X/Extensible Authentication Protocol (EAP). Welche der beiden Authentifizierungsmethoden für das autonome WLAN am besten geeignet ist, hängt u. a. von folgenden Faktoren im Unternehmen ab: Sicherheitsrichtlinien, Infrastrukturunterstützung und einfache Bereitstellung.

Unternehmen können sich auch für mehrere Authentifizierungsmethoden in einer autonomen Architektur entscheiden, um verschiedene Client-Typen zu unterstützen.

Bei der Authentifizierung mit Pre-Shared Key wird ein gemeinsames Passwort für alle Geräte innerhalb der Architektur verwendet. Zu beachten ist, dass diese Methode den Zugriff auf bestimmte Clients nicht einschränken kann. Jeder, der das Passwort kennt, kann sich im WLAN authentifizieren.

Daher ist die Authentifizierung mit Pre-Shared Key ideal für kleinere WLAN-Netzwerke, bei denen die Clients streng kontrolliert werden. Dazu gehört beispielsweise eine Anwendung mit einer festen Anzahl drahtloser Maschinen auf der Basis von Workgroup Bridges (WGB).

Die 802.1X/EAP-Authentifizierung nutzt ein EAP-Framework für den Zugriff auf ein WLAN. Mit dem IEEE-Standard 802.1X für die Port-basierte Zugangskontrolle bietet diese Authentifizierungsmethode eine hohe Sicherheit. Die Zugangskontrolle basiert dabei auf den Anmeldedaten der einzelnen Benutzer. Diese Methode wird dann empfohlen, wenn die Sicherheitsanforderungen durch die Authentifizierung mit Pre-Shared Key nicht erfüllt werden.

Zu den Konfigurationsempfehlungen für diesen Ansatz gehört die Verwendung des EAP-FAST-Protokolls zur Authentifizierung der WGBs im autonomen WLAN. Der zugehörige Access Point sollte als RADIUS-Server (Remote Access Dial-In User Service) konfiguriert werden, um die Anmeldedaten der WGBs zu speichern. Er darf jedoch keine Wireless Clients akzeptieren.

Eine dritte Authentifizierungsmethode ist die Authentifizierung über MAC-Adressen. Der Einsatz dieser Methode allein ist jedoch nicht sicher, da MAC-Adressen erkannt und manipuliert werden können. Anstatt diese Methode als einziges Sicherheitskonzept zu verwenden, sollte sie lediglich eine Ergänzung zur Authentifizierung mit Pre-Shared Key oder 802.1X/EAP darstellen, als zusätzlicher Schutz gegen versehentliche Verbindungen in kritischen Steuerungsanwendungen.

Sicherheitsaspekte der einheitlichen Architektur

Eine einheitliche WLAN-Architektur benötigt für die Authentifizierung Zertifikate und andere EAP-Protokolle, die über die Möglichkeiten der 802.1X/EAP-Authentifizierung hinausgehen. Außerdem lässt sich eine Authentifizierung mit Pre-Shared Key in einer einheitlichen Architektur nicht einsetzen, da sie keine Fast-Roaming-Sicherheit bieten kann, wie sie eine einheitliche Architektur erfordert.

Für die werksweite WLAN-Sicherheit sollte in gemeinsamen Architekturen die EAP-TLS-Authentifizierung (Transport Layer Security) zum Einsatz kommen. Bei dieser Methode muss sich ein RADIUS-Server in der Industrial Zone Level 3 befinden und die Steuerung die lokalen EAP-Zertifikate unterstützen.

Für Non-Roaming-Anwendungen ist eine EAP-TLS-Authentifizierung möglicherweise nicht notwendig. Sie kann jedoch sowohl für Fast-Roaming als auch für Non-Roaming eingesetzt werden und vereinfacht dadurch die Anwendung und führt zu weniger Verwirrung, wenn es um die Frage geht, welche Sicherheitsmethode für welche Geräte verwendet wird.

Weitere Überlegungen

Die für die WLAN-Architektur ausgewählte Hardware sollte eine sichere und zuverlässige drahtlose Kommunikation ermöglichen. Dazu gehören ein Wireless Access Point (WAP) und WGB-Hardware, wie z. B. der Allen-Bradley Wireless Access Point (WAP) Stratix 5100, der den weit verbreiteten Standards IEEE 802.11 a/b/g/n entspricht und eine Frequenz von 2,4 GHz und 5 GHz unterstützt, um ein breites Spektrum an betrieblichen Anforderungen abzudecken.

Neuere Hardwarelösungen, die als Access Point in autonomen Architekturen sowie als WGB in autonomen und einheitlichen Architekturen verwendet werden können, erlauben die Umsetzung sicherer und zuverlässiger Funknetzwerke mit nur einem Gerät. Wenn diese Geräte als Access Point eingesetzt werden, dienen sie als Router und können drahtlose Clients sicher mit einem drahtgebundenen Netzwerk verbinden. Als WGB können sie bis zu 19 drahtgebundene IP-Adressen sicher mit einem drahtlosen Netzwerk verbinden.

In einer einheitlichen Architektur sollte außerdem sichergestellt sein, dass der WLC eine vollständige Verschlüsselung vom Access Point zur Steuerung über das CAPWAP-Protokoll (Control and Provisioning of Wireless Access Points) bietet. Weiterhin sollte der WLC die Erkennung von nicht-autorisierten Access Points und Denial-of-Service-Angriffen unterstützen.

Schließlich kann auch eine Netzwerksegmentierung eine Trennung zwischen dem Steuerungs- und Unternehmensnetzwerk herstellen. Dadurch lassen sich in jedem Netzwerk verschiedene Sicherheitsmethoden einsetzen und es wird gewährleistet, dass Mitarbeiter im Fertigungsbereich nur auf fertigungsbezogene Daten zugreifen können, während Daten von unternehmensbezogenen Anwendungen davon getrennt bleiben.

Egal, ob Unternehmen ein kleineres drahtloses Netzwerk mit nur einem Access Point oder ein größeres werksweites Netzwerk realisieren. Mit den erörterten Standard-basierten Sicherheitsverfahren können sie die drahtlose Netzwerktechnologie und das IIoT nutzen und gleichzeitig ihre Betriebsabläufe und ihr geistiges Eigentum vor funkbasierten Bedrohungen schützen.

Erfahren Sie mehr über die Network & Security Services von Rockwell Automation.

 

Über Rockwell Automation


Rockwell Automation, Inc. (NYSE: ROK) ist der weltweit größte, spezialisierte Hersteller von Automatisierungs- und Informationslösungen für die industrielle Produktion. Ziel von Rockwell Automation ist es, die Produktivität seiner Kunden zu steigern. Darüber hinaus verpflichtet sich das Unternehmen zur Nachhaltigkeit. Der Firmensitz von Rockwell Automation befindet sich in Milwaukee, Wisconsin, U.S.A. Das Unternehmen beschäftigt etwa 22.000 Mitarbeiter in mehr als 80 Ländern.

Für weitere Informationen kontaktieren Sie bitte unser Media-Team.