Eine Publikation der Swissprofessionalmedia AG
PDF download
Wall IE – Industrial Ethernet Bridge und Firewall : Ausgabe 11-12/2016, 07.07.2016

Industrienetze schützen und verbinden

Die Wall IE Industrial Ethernet Bridge und Firewall von Helmholz lässt sich speziell für Maschinen konfigurieren. Dabei verbindet die robuste Ethernet-Komponente Bridge- und Firewall-Funktionalitäten im 100-MBit-Industrial-Ethernet. Wesentliche Elemente für den sicheren Datenaustausch sind die Zugriffsbeschränkung durch Paketfilter sowie die Verwendung von NAT, NAPT und Portweiterleitung.

Bilder: gateweb

Mit dem Siegeszug der Ethernet-Vernetzung spielt die sichere Integration von Maschinennetzen in das übergeordnete Produktionsnetzwerk eine zentrale Rolle. Mit ihrer Firewall namens Wall IE bietet Systeme Helmholz eine Lösung, die Bridge- und Firewall-Funktionen verbindet: Ein Paketfilter schützt die Netze vor unerlaubtem Zugriff. Sollen dabei identische IP-Adressbereiche realisiert werden, fungiert Wall IE als Bridge.

In vernetzten Produktionsumgebungen und mit Blick auf Industrie 4.0 stellt sich auch die Maschinensicherheit als grosses Thema dar. Konkret geht es darum, Maschinennetze sicher in übergeordnete Produktionsnetze zu integrieren bzw. von diesen abzugrenzen. Das Netzwerk einer Automatisierungseinheit ist dabei als LAN (Local Area Network) zu betrachten, das gesamte Produktionsnetzwerk als WAN (Wide Area Network). Eine sichere Schnittstelle zwischen LAN und WAN war bisher nur via Umweg über komplexe Firewall-Lösungen möglich. Diese sind naturgemäss überdimensioniert und damit teuer und kompliziert in der Handhabung.

Paketfilter regelt Datenaustausch im Firewall- wie auch im Bridge-Modus

Eine unkomplizierte Alternative bietet die Industrial Ethernet Bridge und Firewall «Wall IE» von Helmholz. Sie ermöglicht die einfache Integration von Maschinennetzen in das übergeordnete Produktionsnetz. Mit dem Paketfilter lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken. Beispielsweise kann konfiguriert werden, dass nur bestimmte Teilnehmer aus dem Produktionsnetzwerk mit definierten Teilnehmern aus der Automatisierungszelle Daten austauschen dürfen. Andernfalls wird das Datenpaket zurückgewiesen bzw. verworfen. Als Filterkriterien auf Layer 3 und 4 sind bisher IPv4-Adressen, Protokoll (TCP/UDP) und Ports verfügbar. MAC-Adressen und Ethertype werden folgen. Als weitere Besonderheit kann die Wall IE sowohl im NAT-Betriebsmodus als auch als Bridge eingesetzt werden.

Im Bridge-Betriebsmodus agiert Wall IE als Layer-2-Switch. Im Gegensatz zu normalen Switches ist auch in dieser Betriebsart Paketfilterung möglich. So können Zugriffe zu einzelnen Bereichen des Netzwerkes beschränkt werden, ohne unterschiedliche Netzwerke einzurichten. Wall IE ist für 100-MBit-Industrial-Ethernet konzipiert. Die speziell entwickelte Software basiert auf Linux. Die Hardware ist industrietauglich robust und für die Montage auf der Hutschiene geeignet. Die Konfiguration der Wall IE erfolgt schnell und einfach über ein responsives Webinterface. In die übersichtliche Benutzerführung haben die Entwickler langjährige Erfahrungen aus der TB20-Toolbox einfliessen lassen. Der Onlinezugang ist passwortgeschützt und läuft über eine verschlüsselte HTTPS-Verbindung.

Router-Betriebsmodus und NAT-Funktionalität für Profis

Im Router-Betriebsmodus leitet die Wall IE den Datenverkehr zwischen verschiedenen IPv4-Netzwerken weiter und nutzt Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetzwerk. Dabei wird die Adressübersetzung mittels Network Adress Translation (NAT) unterstützt. Die Verwendung von NAT erlaubt es darüber hinaus, mehrere gleichartige Automatisierungszellen mit dem gleichen Adressbereich in das Produktionsnetz einzubinden. Als positiver Nebeneffekt können im Produktionsnetz IP-Adressen eingespart werden. Für die Kommunikation mit anderen Automatisierungszellen kommen statische Routen zum Einsatz. Hierfür muss das Netzwerk sowie die Adresse des dafür zuständigen Routers (Next Hop) konfiguriert werden.

Im Router-Betriebsmodus unterstützt Wall IE zwei NAT-Funktionalitäten: Basic NAT und NAPT. Basic NAT (auch 1:1 NAT oder Static NAT genannt) ist die Übersetzung von einzelnen IP-Adressen und in Zukunft auch ganzer Adressbereiche. Die Übersetzung geschieht auf IP-Ebene, wodurch alle Ports ohne explizite Weiterleitungen angesprochen werden können. Bei NAPT (Network Address and Port Translation, auch 1:N NAT oder Masquerading genannt) hingegen werden nicht nur die IP-Adressen, sondern auch Port-Nummern umgeschrieben. Alle Adressen der Automatisierungszelle werden in eine einzige Adresse des Produktionsnetzwerks übersetzt. 

Infoservice

Gateweb GmbH
Im Chrüzacher 11, 8306 Brüttisellen
Te. 044 833 37 13, Fax 044 833 70 05
info@gateweb.netwww.gateweb.net



Wall IE kann sowohl im NAT-Betriebsmodus als auch als Bridge eingesetzt werden


Im Router-Betriebsmodus unterstützt Wall IE zwei NAT-Funktionalitäten


Die Firewall Wall IE verbindet Bridge- und Firewall-Funktionalitäten in einem System