Sicherheit von Remote Access Tools

Sobald ein Tools-Applet-Client mit einem Runtime-Client verbunden ist, kann eine VPN-Verbindung hergestellt werden, je nachdem, wie einem Benutzer auf einem bestimmten Gerät die Berechtigung „VPN-Zugriff“ erteilt wird.

Das

FactoryTalk® Remote Access™

VPN arbeitet auf Ebene 2 des ISO/OSI-Protokollstapels, das heißt, es kapselt Ethernet-Frames anstelle von IP-Paketen. Dies erfolgt im Hinblick auf beste Kompatibilität mit gängigen industriellen Szenarien, in denen Nicht-IP-Protokolle oder Broadcast-Meldungen verwendet werden.

Das VPN wird durch die Installation eines virtuellen Ethernet-Adapters auf dem Frontend-PC implementiert.

FactoryTalk® Remote Access™

Runtime kann den Low-Level-Netzwerkverkehr ausgewählter physischer Schnittstellen abfangen und an den virtuellen Ethernet-Adapter des Frontends weiterleiten. Sowohl für den Frontend-Rechner als auch für das

FactoryTalk® Remote Access™

Runtime-Gerät sieht es so aus, als ob der Frontend-Rechner physisch mit dem ausgewählten Runtime-LAN verbunden ist.

Selbst wenn Ebene 2 unterhalb der IP liegt, weist der Runtime-Dienst dem virtuellen Front-End-VPN-Adapter standardmäßig automatisch eine freie IP-Adresse zu. Dies geschieht aus Gründen der Bequemlichkeit, da die meisten nützlichen Protokolle IP-basiert und somit einsatzbereit sind. Darüber hinaus werden IP-Adressen aus den tatsächlichen physischen Subnetzen verwendet. Es werden keine virtuellen IP-Subnetze und die daraus resultierenden Routingregeln erstellt.

Die Runtime fragt durch Senden von ARP-Meldungen regelmäßig ab, ob Geräte im Netzwerk vorhanden sind. Es ermittelt „freie“ IP-Adressen, die später VPN-Verbindungen zugewiesen werden können. Diese Richtlinie ist praktisch, kann aber geändert werden, wenn eine strengere und kontrolliertere Konfiguration erforderlich ist. Ein IP-Pool kann auf dem Gerät konfiguriert werden, sodass die Runtime nur IP-Adressen aus diesem Pool zuweist. In diesem Fall wird keine ARP-Ermittlung durchgeführt.

Die virtuelle Verbindung des Frontend-PCs mit dem physischen Gerätenetzwerk ist leistungsstark und nützlich, kann jedoch auf verschiedene Weise konfiguriert und eingeschränkt werden, um die ICT-Richtlinien einzuhalten.

VPN-Firewallregeln können in der

FactoryTalk® Remote Access™

-Organisation

konfiguriert werden, um zu steuern, welche Art von Datenverkehr einer bestimmten Kombination aus Gerät/Untergerät/Benutzer/Protokoll remote verwendet werden kann. Diese Regeln können durch Konfigurieren von Firewallregeln in der gesamten Organisationshierarchie abgerufen werden. Regeln sind hierarchisch, benutzer-, ressourcen- oder ressourcengruppenabhängig und können nach dem Prinzip ZULASSEN – VERWEIGERN auf eine bestimmte Remote-MAC-Adresse, Remote-IP-Adressen, Subnetze und Ethernet- oder IP-Protokolle beschränkt werden. Die resultierenden Regeln werden vom Server berechnet, bevor eine VPN-Verbindung gestartet wird, und werden sowohl im Frontend als auch in der Runtime durchgesetzt.

Die bewährte Methode in Bezug auf Sicherheit besteht darin, nur die Protokolle und das erreichbare Ziel zu aktivieren, die von einem bestimmten Remotebenutzer oder einer bestimmten Remotebenutzergruppe benötigt werden. Dadurch ist die VPN-Verbindung noch sicherer als eine tatsächliche physische lokale Verbindung, denn bei einer physischen Verbindung ist die lokale PC-Firewall der einzige Mechanismus, um den Datenverkehr zu begrenzen. In unserem Fall kümmert sich die

FactoryTalk® Remote Access™

-Infrastruktur um die Durchsetzung der vom Administrator festgelegten Sicherheitsregeln.

Remote-Dateiaktionen (Herunterladen, Hochladen, Umbenennen, Löschen) werden über den

FactoryTalk® Remote Access™

-Service-Prozess bedient. Dieser Prozess wird standardmäßig mit lokalen Systemrechten ausgeführt. In jedem Fall kann der Administrator der

FactoryTalk® Remote Access™

-Organisation diese Aktion für Remotebenutzer aktivieren oder deaktivieren, je nachdem, wie die Dateiübertragungsberechtigung an ein bestimmtes Gerät für einen bestimmten Benutzer weitergegeben wird.

Die Registrierung in einer Domäne oder die Konfiguration kann über spezielle Applets erfolgen, die im lokalen Netzwerk funktionieren. Diese Applets verwenden einen AES-256 GCM-Algorithmus, um den Netzwerkverkehr zu verschlüsseln.