Wall IE ist eine robuste und unkomplizierte Ethernet-Komponente, die eine einfache Integration von Maschinennetzen in das übergeordnete Produktionsnetz ermöglicht – unter Beachtung zentraler Sicherheitsregeln. Konkret schützt die Komponente die Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät kommunizieren und Daten austauschen darf. Wall IE passt sich durch eine individuelle Konfiguration über das Webinterface den jeweiligen Anforderungen des vorhanden Maschinennetzwerkes an. Die Beschränkung von Zugriffsrechten auf autorisierte Personen stellt dabei eine Grundvoraussetzung für den Schutz des Automatisierungsnetzwerkes dar. Dabei bleiben die hinter Wall IE liegenden Netze bzw. IP-Adressen verborgen und sind von außen nicht sichtbar. Wird das Firmennetzwerk nun durch einen Hackerangriff oder auch durch Unachtsamkeit eines Mitarbeiters von einer Viren- bzw. Schadsoftware bedroht, bleibt das Automatisierungsnetz hinter Wall IE davon unberührt und dementsprechend sicher.
Paketfilter regelt Datenverkehr
Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität: Mit dem Paketfilter wird die Sicherheit dahingehend erhöht, dass nur erwünschte Kommunikation stattfindet. Der unnötige Datenaustausch wird blockiert – Broadcast bzw. andere Protokolle und Ports. Folglich wird der Zugriff zwischen dem Fabriknetzwerk und dem Maschinennetzwerk optimiert. Als Filterkriterien auf Layer 3 und 4 stehen bisher IPv4-Adressen, Protokoll (TCP/UDP), Ports und MAC-Adressen zur Verfügung. Als weitere Besonderheit kann Wall IE im NAT-Betriebsmodus und gleichermaßen auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert Wall IE als Layer 2 Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart die Paketfilterung möglich. Dadurch kann die Einschränkung des Zugriffs zu einzelnen Bereichen Ihres Netzwerkes erreicht werden, ohne dass hierfür unterschiedliche Netzwerke verwendet werden müssen. Wall IE unterstützt Industrial Ethernet mit einer Übertragungsrate von bis zu 100MBit/s. Die zugrundeliegende Software ist Linux-basiert und wurde komplett von Helmholz selbst entwickelt. Die Hardware ist industrietauglich robust und geeignet für die Montage auf der Hutschiene. Die Konfiguration von Wall IE erfolgt schnell und einfach über ein responsives Webinterface. In die übersichtliche Benutzerführung haben die Helmholz Entwickler ihre langjährigen Erfahrungen aus der TB20-Toolbox einfließen lassen. Der Online-Zugang ist streng passwortgeschützt und läuft über eine verschlüsselte HTTPS-Verbindung.
NAT Betriebsmodus
Bei der Verwendung von NAT (Network Address Translation) bietet Wall IE die Möglichkeit, die IP-Adressen der vorhandenen Maschinen zu belassen, aber die Kommunikation zum Maschinennetzwerk mit eigenen IP-Adressen aus dem Produktionsnetzwerk zu ermöglichen. Im NAT-Betriebsmodus leitet Wall IE den Datenverkehr zwischen verschiedenen IPv4-Netzwerken (Layer 3) weiter und nutzt Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetzwerk. Dabei wird die Adressübersetzung mittels Network Address Translation (NAT) unterstützt. Kollisionen, die andernfalls durch die nicht eindeutigen Adressen im Gesamt-Netzwerk entstehen würden, sind damit ausgeschlossen. Für die Kommunikation mit anderen Automatisierungszellen kommen statische Routen zum Einsatz. Hierfür muss das Netzwerk sowie die Adresse des dafür zuständigen Routers (Next Hop) konfiguriert werden. Im Router-Betriebsmodus unterstützt Wall IE zwei NAT-Funktionalitäten: Basic NAT und NAPT. Basic NAT (auch 1:1 NAT oder Static NAT genannt) ist die Übersetzung von einzelnen IP-Adressen und auch ganzer Adressbereiche. Die Übersetzung geschieht ausschließlich auf IP-Ebene, wodurch alle Ports ohne explizite Weiterleitungen angesprochen werden können. Bei NAPT (Network Address and Port Translation, auch 1:N NAT oder Masquerading genannt) hingegen werden nicht nur die IP-Adressen, sondern auch Port-Nummern umgeschrieben. Alle Adressen der Automatisierungszelle werden in eine einzige Adresse des Produktionsnetzwerks übersetzt. Die Absender-Adressen von Paketen aus der Automatisierungszelle werden durch diese ersetzt. Das DHCP-Protokoll (Dynamic Host Configuration Protocol) ermöglicht per DHCP-Server auf der LAN- sowie DHCP-Client auf der WAN-Seite eine automatische Vergabe von Adressen und DNS-Namen. Zudem ist nun nicht mehr für jeden einzelnen Port eine eigene Regel erforderlich, denn über Wildcards können ganze Port-Ranges gebündelt werden.
SNAT – einfache Integration
Mit der Funktion SNAT (Source NAT) gibt Wall IE den eingehenden Datenverkehr WAN-seitig transparent an das LAN Netzwerk weiter. Dabei werden alle ausgehenden Datenpakete mit der Absender-IP-Adresse des Wall IE versehen. Somit bleiben die festgelegten Parameter aller LAN-Teilnehmer unverändert und die Eintragung eines Gateways entfällt. Dies ist ein großer Vorteil bei der Integration in bestehende Netzwerkstrukturen. Alle Vorgaben können bei Wall IE anwenderspezifisch definiert und konfiguriert werden. Diesen Mehrwert durch Individualisierung bietet Helmholz seinen Kunden auch als Serviceleistung an. Die bereits anwendungsspezifisch konfigurierte Firewall wird dann einsatzbereit geliefert und muss dann nur noch mit Spannung versorgt werden.
Wall IE als leistungsstarker Helfer im Praxiseinsatz
Als weltweit aktiver Maschinenbauer ist MS Ultraschall Technologie Tag für Tag mit der Anforderungkonfrontiert, Maschinennetze sicher in übergeordnete Produktionsnetzwerke zu integrieren. Ultraschall bringt thermoplastische Kunststoffe durch hochfrequente Schwingungen mühelos zum Schmelzen und sorgt damit in kurzer Zeit für eine sehr feste Verbindung der Fügepartner. Mit gutem Grund setzen deshalb viele Automobilzulieferer, aber auch andere Kunststoffverarbeiter weltweit auf dieses Verfahren. Ein Technologieführer in diesem Bereich ist die MS Ultraschall Technologie GmbH: Rund 350 Sonder- und Serienmaschinen verlassen die Fertigung im schwäbischen Spaichingen jährlich. Der Siegeszug der Ethernet-Vernetzung, konkret der Wandel von Profibus zu Profinet, macht dabei selbstverständlich auch vor MS Ultraschall Technologie GmbH nicht halt, wie Herr Maucher aus der Abteilung Elektrokonstruktion erklärt: „In den letzten Jahren haben immer mehr Kunden die Anforderung an uns gestellt, dass unsere Maschinen bzw. deren Maschinennetze in ein übergeordnetes Produktionsnetzwerk integriert werden sollen.“ Technisch klingt das zunächst einmal machbar: Das Maschinennetz, also das Netzwerk einer Automatisierungszelle mit einer oder mehreren Maschinen, ist dabei als LAN (Local Area Network) zu betrachten, das Produktions- bzw. Firmennetzwerk als WAN (Wide Area Network). Aus Sicht der Cybersecurity stellt sich die Situation jedoch deutlich komplexer dar. Denn um Steuerungssysteme und Automatisierungsnetzwerke wirkungsvoll gegen Angriffe von außen zu schützen, muss das Maschinennetz sicher in das übergeordnete Produktionsnetz integriert bzw. von diesem abgegrenzt werden. Die Realisierung einer solchen Schnittstelle war bis vor einigen Jahren nur über den Umweg komplexer Firewall Lösungen möglich. Diese sind allerdings für diesen speziellen Einsatzzweck naturgemäß überdimensioniert, also auch dementsprechend teuer und kompliziert in der Handhabung. Für Maucher und seine Kollegen von MS Ultraschall Technologie GmbH war deshalb klar: „Wir brauchen eine praktikable Lösung.“ Fündig wurden sie 2015 auf der Messe SPS IPC Drives, wo Helmholz erstmals das NAT Gateway und Firewall Wall IE vorstellte. „Ein positiver Zufallsfund“, wie sich Herr Maucher erinnert.
Positive Praxiserfahrungen
MS Ultraschall Technologie liefert inzwischen rund die Hälfte der Sondermaschinen standardmäßig mit der Komponente aus, also im Durchschnitt eine pro Woche. Die Entscheidung für Wall IE von Helmholz hat sich aus Sicht von Herr Maucher damit längst bestätigt: „Das ist wirklich ein gutes Produkt“, resümiert der Elektrokonstrukteur, „und zwar nicht nur in Bezug auf die zuverlässige Hardware und die einfache Menüführung“. Auch die Philosophie dahinter überzeugt ihn: „Der Kunde bzw. der Anwender sieht anstelle der Ports, die wir hinter der Wall IE verschalten, nur eine einzige IP-Adresse – und damit kommt er sehr gut klar!“
