Wall IE von Helmholz macht Sicherheit einfach
Security bei der Maschinenvernetzung umsetzen
Mit dem Industrial NAT/Gateway und Firewall Wall IE von Helmholz können Maschinen- und Anlagenbauer ihre Anwendungen sicher in übergeordnete Firmennetzwerke integrieren. Wir zeigen, wie die smarte Lösung von Helmholz funktioniert und zeigen, dass sich die kleinen Helfer auch im Praxiseinsatz bewähren - in unserem Beispiel bei dem Maschinenbauer MS Ultraschall Technologie mit Sitz im baden-württembergischen Spaichingen.
 Nicht nur die zuverlässige Hardware von Wall IE konnte überzeugen, sondern auch die Software und die Philosophie dahinter.
Nicht nur die zuverlässige Hardware von Wall IE konnte überzeugen, sondern auch die Software und die Philosophie dahinter.Bild: MS Ultraschall Technologie GmbH

Wall IE ist eine robuste und unkomplizierte Ethernet-Komponente, die eine einfache Integration von Maschinennetzen in das übergeordnete Produktionsnetz ermöglicht – unter Beachtung zentraler Sicherheitsregeln. Konkret schützt die Komponente die Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät kommunizieren und Daten austauschen darf. Wall IE passt sich durch eine individuelle Konfiguration über das Webinterface den jeweiligen Anforderungen des vorhanden Maschinennetzwerkes an. Die Beschränkung von Zugriffsrechten auf autorisierte Personen stellt dabei eine Grundvoraussetzung für den Schutz des Automatisierungsnetzwerkes dar. Dabei bleiben die hinter Wall IE liegenden Netze bzw. IP-Adressen verborgen und sind von außen nicht sichtbar. Wird das Firmennetzwerk nun durch einen Hackerangriff oder auch durch Unachtsamkeit eines Mitarbeiters von einer Viren- bzw. Schadsoftware bedroht, bleibt das Automatisierungsnetz hinter Wall IE davon unberührt und dementsprechend sicher.

Paketfilter regelt Datenverkehr

Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität: Mit dem Paketfilter wird die Sicherheit dahingehend erhöht, dass nur erwünschte Kommunikation stattfindet. Der unnötige Datenaustausch wird blockiert – Broadcast bzw. andere Protokolle und Ports. Folglich wird der Zugriff zwischen dem Fabriknetzwerk und dem Maschinennetzwerk optimiert. Als Filterkriterien auf Layer 3 und 4 stehen bisher IPv4-Adressen, Protokoll (TCP/UDP), Ports und MAC-Adressen zur Verfügung. Als weitere Besonderheit kann Wall IE im NAT-Betriebsmodus und gleichermaßen auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert Wall IE als Layer 2 Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart die Paketfilterung möglich. Dadurch kann die Einschränkung des Zugriffs zu einzelnen Bereichen Ihres Netzwerkes erreicht werden, ohne dass hierfür unterschiedliche Netzwerke verwendet werden müssen. Wall IE unterstützt Industrial Ethernet mit einer Übertragungsrate von bis zu 100MBit/s. Die zugrundeliegende Software ist Linux-basiert und wurde komplett von Helmholz selbst entwickelt. Die Hardware ist industrietauglich robust und geeignet für die Montage auf der Hutschiene. Die Konfiguration von Wall IE erfolgt schnell und einfach über ein responsives Webinterface. In die übersichtliche Benutzerführung haben die Helmholz Entwickler ihre langjährigen Erfahrungen aus der TB20-Toolbox einfließen lassen. Der Online-Zugang ist streng passwortgeschützt und läuft über eine verschlüsselte HTTPS-Verbindung.

NAT Betriebsmodus

Bei der Verwendung von NAT (Network Address Translation) bietet Wall IE die Möglichkeit, die IP-Adressen der vorhandenen Maschinen zu belassen, aber die Kommunikation zum Maschinennetzwerk mit eigenen IP-Adressen aus dem Produktionsnetzwerk zu ermöglichen. Im NAT-Betriebsmodus leitet Wall IE den Datenverkehr zwischen verschiedenen IPv4-Netzwerken (Layer 3) weiter und nutzt Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetzwerk. Dabei wird die Adressübersetzung mittels Network Address Translation (NAT) unterstützt. Kollisionen, die andernfalls durch die nicht eindeutigen Adressen im Gesamt-Netzwerk entstehen würden, sind damit ausgeschlossen. Für die Kommunikation mit anderen Automatisierungszellen kommen statische Routen zum Einsatz. Hierfür muss das Netzwerk sowie die Adresse des dafür zuständigen Routers (Next Hop) konfiguriert werden. Im Router-Betriebsmodus unterstützt Wall IE zwei NAT-Funktionalitäten: Basic NAT und NAPT. Basic NAT (auch 1:1 NAT oder Static NAT genannt) ist die Übersetzung von einzelnen IP-Adressen und auch ganzer Adressbereiche. Die Übersetzung geschieht ausschließlich auf IP-Ebene, wodurch alle Ports ohne explizite Weiterleitungen angesprochen werden können. Bei NAPT (Network Address and Port Translation, auch 1:N NAT oder Masquerading genannt) hingegen werden nicht nur die IP-Adressen, sondern auch Port-Nummern umgeschrieben. Alle Adressen der Automatisierungszelle werden in eine einzige Adresse des Produktionsnetzwerks übersetzt. Die Absender-Adressen von Paketen aus der Automatisierungszelle werden durch diese ersetzt. Das DHCP-Protokoll (Dynamic Host Configuration Protocol) ermöglicht per DHCP-Server auf der LAN- sowie DHCP-Client auf der WAN-Seite eine automatische Vergabe von Adressen und DNS-Namen. Zudem ist nun nicht mehr für jeden einzelnen Port eine eigene Regel erforderlich, denn über Wildcards können ganze Port-Ranges gebündelt werden.

SNAT – einfache Integration

Mit der Funktion SNAT (Source NAT) gibt Wall IE den eingehenden Datenverkehr WAN-seitig transparent an das LAN Netzwerk weiter. Dabei werden alle ausgehenden Datenpakete mit der Absender-IP-Adresse des Wall IE versehen. Somit bleiben die festgelegten Parameter aller LAN-Teilnehmer unverändert und die Eintragung eines Gateways entfällt. Dies ist ein großer Vorteil bei der Integration in bestehende Netzwerkstrukturen. Alle Vorgaben können bei Wall IE anwenderspezifisch definiert und konfiguriert werden. Diesen Mehrwert durch Individualisierung bietet Helmholz seinen Kunden auch als Serviceleistung an. Die bereits anwendungsspezifisch konfigurierte Firewall wird dann einsatzbereit geliefert und muss dann nur noch mit Spannung versorgt werden.

Wall IE als leistungsstarker Helfer im Praxiseinsatz

Als weltweit aktiver Maschinenbauer ist MS Ultraschall Technologie Tag für Tag mit der Anforderungkonfrontiert, Maschinennetze sicher in übergeordnete Produktionsnetzwerke zu integrieren. Ultraschall bringt thermoplastische Kunststoffe durch hochfrequente Schwingungen mühelos zum Schmelzen und sorgt damit in kurzer Zeit für eine sehr feste Verbindung der Fügepartner. Mit gutem Grund setzen deshalb viele Automobilzulieferer, aber auch andere Kunststoffverarbeiter weltweit auf dieses Verfahren. Ein Technologieführer in diesem Bereich ist die MS Ultraschall Technologie GmbH: Rund 350 Sonder- und Serienmaschinen verlassen die Fertigung im schwäbischen Spaichingen jährlich. Der Siegeszug der Ethernet-Vernetzung, konkret der Wandel von Profibus zu Profinet, macht dabei selbstverständlich auch vor MS Ultraschall Technologie GmbH nicht halt, wie Herr Maucher aus der Abteilung Elektrokonstruktion erklärt: „In den letzten Jahren haben immer mehr Kunden die Anforderung an uns gestellt, dass unsere Maschinen bzw. deren Maschinennetze in ein übergeordnetes Produktionsnetzwerk integriert werden sollen.“ Technisch klingt das zunächst einmal machbar: Das Maschinennetz, also das Netzwerk einer Automatisierungszelle mit einer oder mehreren Maschinen, ist dabei als LAN (Local Area Network) zu betrachten, das Produktions- bzw. Firmennetzwerk als WAN (Wide Area Network). Aus Sicht der Cybersecurity stellt sich die Situation jedoch deutlich komplexer dar. Denn um Steuerungssysteme und Automatisierungsnetzwerke wirkungsvoll gegen Angriffe von außen zu schützen, muss das Maschinennetz sicher in das übergeordnete Produktionsnetz integriert bzw. von diesem abgegrenzt werden. Die Realisierung einer solchen Schnittstelle war bis vor einigen Jahren nur über den Umweg komplexer Firewall Lösungen möglich. Diese sind allerdings für diesen speziellen Einsatzzweck naturgemäß überdimensioniert, also auch dementsprechend teuer und kompliziert in der Handhabung. Für Maucher und seine Kollegen von MS Ultraschall Technologie GmbH war deshalb klar: „Wir brauchen eine praktikable Lösung.“ Fündig wurden sie 2015 auf der Messe SPS IPC Drives, wo Helmholz erstmals das NAT Gateway und Firewall Wall IE vorstellte. „Ein positiver Zufallsfund“, wie sich Herr Maucher erinnert.

Positive Praxiserfahrungen

MS Ultraschall Technologie liefert inzwischen rund die Hälfte der Sondermaschinen standardmäßig mit der Komponente aus, also im Durchschnitt eine pro Woche. Die Entscheidung für Wall IE von Helmholz hat sich aus Sicht von Herr Maucher damit längst bestätigt: „Das ist wirklich ein gutes Produkt“, resümiert der Elektrokonstrukteur, „und zwar nicht nur in Bezug auf die zuverlässige Hardware und die einfache Menüführung“. Auch die Philosophie dahinter überzeugt ihn: „Der Kunde bzw. der Anwender sieht anstelle der Ports, die wir hinter der Wall IE verschalten, nur eine einzige IP-Adresse – und damit kommt er sehr gut klar!“

Das könnte Sie auch Interessieren

Bild: Smartblick
Bild: Smartblick
Software für KI-gestützte Maschinendatenanalyse

Software für KI-gestützte Maschinendatenanalyse

Mit einer neuen Software für die KI-gestützte Maschinendatenanalyse kann die unkomplizierte Produktionsplanung und -optimierung auch für kleine und mittlere Fertigungsunternehmen Realität werden. Agile Prozesse sind für die Verantwortlichen auf dem Shopfloor mittlerweile entscheidend für die Produktivität. Die Corona-Pandemie und der Krieg in der Ukraine zeigen deutlich, wie schnell sich ein Produktionsunternehmen auf neue Rahmenbedingungen einstellen muss. Nahezu unerlässlich dafür sind Software-Tools, die dabei unterstützen, den Ist-Zustand der Maschinen auszuwerten, in Echtzeit Störungen in der Produktion aufzuspüren sowie Potentiale für Optimierungen zu erkennen. Um informierte strategische Entscheidungen zu treffen, müssen alle zur Verfügung stehenden Daten des Maschinenparks und der Prozesse ausgewertet werden.

Bild: ebm-papst Mulfingen GmbH & Co. KG
Bild: ebm-papst Mulfingen GmbH & Co. KG
Retrofit-Event rund um effiziente Gebäudetechnik

Retrofit-Event rund um effiziente Gebäudetechnik

Das RLT-Event Retrofitvesper von EBM-papst geht in eine neue, vierte Runde. Passend zur Nummerierung 4.0 nehmen die Experten das Publikum mit in die Welt der fortschrittlichen Gebäudetechnik und -automation, die effizient für beste Raumluftqualität sorgt und sofort alle wichtigen Daten und Energiebilanzen darstellt. Das Event findet am 30. September 2022 auf der digitalen Eventplattform von EBM-papst statt.

Bild: Indu-Sol GmbH
Bild: Indu-Sol GmbH
Verschleiß dauerhaft überwachen, Schäden frühzeitig erkennen

Verschleiß dauerhaft überwachen, Schäden frühzeitig erkennen

Nicht nur Motoren und Pumpen sind in Produktionsanlagen dem Verschleiß unterworfen, sondern auch die Datenleitungen der Maschinen- und Anlagennetzwerke einschließlich der Kabel und Stecker. Dauernde Wechselbiegebeanspruchungen, Erschütterungen sowie Oxidation und Korrosion lassen der Alterung und dem Verschleiß ungehinderten Lauf. Doch während der mechanische Verschleiß mit den Sinnesorganen analog wahrnehmbar ist, macht sich der Verschleiß einer Datenleitung erst im Extremfall bemerkbar: dem Ausfall. Um dem entgegenzuwirken, sind intelligente managed Switches vonnöten, mit denen der physikalische Zustand der Datenleitung digitalisiert und somit sichtbar wird.

Bild: ©Chlorophylle/stock.adobe.com
Bild: ©Chlorophylle/stock.adobe.com
Steigendes Interesse an Ersatzteilmanagement auf Knopfdruck

Steigendes Interesse an Ersatzteilmanagement auf Knopfdruck

Volle Auftragsbücher und dennoch Sorgenfalten im mittelständischen Maschinen- und Anlagenbau aufgrund brüchiger Lieferketten, dazu Entlassungswellen und zunehmende Zurückhaltung bei Investitionen in junge Technologieunternehmen: Der Wind wird rauer. Zugleich aber zeigen vor allem junge B2B-Plattformanbieter wie PartsCloud auch in der Krise ein robustes Wachstum, da sie viele der aktuell im Fokus stehenden Herausforderungen adressieren.