Netzwerksicherheit
Aus OL
Inhaltsverzeichnis |
Sicherheitskonzept Fernwartungsnetzwerk Offenes Lager
Da das Internet als unsichres Netzwerk anzusehen ist,
(vgl. Artikel: Schutzwall für die Produktion aus Markt und Mittelstand 6/2007)
wird bei den Fernwartungsnetzwerken des Offenes Lager eine spezielle Sicherheitstechnik
eingesetzt.
Diese Sicherheitstechnik basiert auf dem Einsatz von OpenVPN und geeigneten Firewalls.
OpenVPN
OpenVPN eignet sich zum Herstellen einer Verschlüsselten TLS-Verbindung zu einem Virtuellem
Privaten Netzwerk. Durch die Verschlüsselung (TLS/SSL) ist ein Zugreifen auf die Netzwerke von Unbefugten nicht möglich.
Webseite von OpenVPN http://www.openvpn.net
Funktionsweise Routing
Eine Form der sicheren Kommunikation ist der Routing-Modus. Er stellt einen verschlüsselten
Tunnel zwischen zwei Gegenstellen her, über welchen nur IP-Pakte geleitet werden.
Jeder Gegenstelle wird dazu eine virtuelle IP-Adresse eines fiktiven Subnets zugewiesen
(z.B. 10.8.0.1 und 10.8.0.2).
Authentifikation Preshared Key
Beim Austausch eines „preshared key“ (ein statischer Schlüssel/Passwort) werden die Daten mit diesem ent- und verschlüsselt. Das Verfahren ist einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhanden kommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden. Daher sollte man einen „vertrauenswürdigen“ Installationsort (z.B. PGP-Disk Container) wählen, damit der Schutz der Schlüssel garantiert ist. Der Schlüssel kann über ein automatisiertes Verfahren durch eine laufende Verbindung hindurch ausgetauscht werden.
Geeignete Sicherheitsprotokolle (z.B. SSH) werden bereitgestellt.
Firewalls
Hardware Firewalls
Werden eingesetzt um die Kundennetzwerke vom Fernwartungsnetz
der Krananlagen zu trennen. Dies wird durch zwei Netzwerkkarten in den Kranservern
erreicht wobei die erste Netzwerkkarte das Krannetzwerk mit dem Kundennetzwerk verbindet
und die zweite Netzwerkkarte für die Fernwartung benutzt wird.
Software Firewall
Die eingesetzte Software Firewall kann erwünschten von unerwünschtem Netzwerkverkehr
unterscheiden.
Die Firewall ist so aufgebaut, dass grundsätzlich jeder Netzwerk-Verkehr verboten ist
und nur die erwünschten Verbindungen erlaubt werden.
| Tel.:+49 (0) 4209 4699 | Fax.:+49 (0) 4209 4644 | (http://www.kranautomatisierung.de) |
