konzept rockwell - all-electronics.de · 3. vdma-technik-benchmark security, 8.11.2007 konzept...
Post on 05-Aug-2019
213 Views
Preview:
TRANSCRIPT
3. VDMA-TECHNIK-BENCHMARK SECURITY, 8.11.2007
Konzept Rockwell Frank Loew, Rockwell Automation GmbH, Haan Engineering Netzwerk-Infrastruktur Umbau ohne Störung der Produktion Ferndiagnose während und nach dem Umbau Administration Durch den Einsatz intelligenter und managebarer, in die SPS-Programmierumgebung integrierter Netzwerk-Switches lässt sich ein Produktionsnetzwerk in funktionale, logische oder Datenbezogene Segmente unterteilen. Dadurch wird eine gesteigerte Übersichtlichkeit sowie eine maximale Verfügbarkeit erreicht. Die eingesetzte Technologie erleichtert dem Maschinenbauer die Anbindung seiner Maschine an benachbarten Produktionszellen -/ bzw. Linen sowie an das Prozessleitsystem, ohne über tiefgreifendes Wissen im IT-Bereich zu verfügen. Frank Loew ist bei Rockwell Automation verantwortlich für strategische Vertriebsunterstützung. Er ist Initiativleiter für die NetLinx-Strategie (Netzwerke) in Deutschland. Zuvor sammelte er viele Erfahrungen in der Projektierung von Steuerungs- und Prozessleitsystemen, beispielweise für General Motors, Skoda, Ford, GE Plastics, GE Energy, Vattenfall Energy uvm. floew@ra.rockwell.com
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 1
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
IT-Sicherheit in Produktionsnetzwerken
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 2
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
IT-Sicherheit in Produktionsnetzwerken
3. Ferndiagnose während und nach dem Umbau3. Ferndiagnose während und nach dem Umbau
2. Umbau ohne Störung der Produktion2. Umbau ohne Störung der Produktion
4. Administration4. Administration
1. Engineering Netzwerk-Infrastruktur1. Engineering Netzwerk-Infrastruktur
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 3
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Netzwerk-Infrastruktur - Segmentierung
Modelle zur Netzwerksegmentierung• Steuerungsebene gegen Büroebene (ERP)• Funktionale Segmentierung• Logische Segmentierung• Segmentierung basierend auf Datentypen• Kombinationen aus diesen Modellen
Vorteile der Netzwerksegmentierung• Höhere Verfügbarkeit• Höhere Betriebssicherheit• Vereinfachung der Netzwerkadministration• Steigerung der Leistungsfähigkeit• Erhöhter Zugriffschutz• Überschaubare Segmentgrößen
Der konventionelle Ansatz, nämlich das Durchlaufen der Anlage und Ermitteln aller Netzwerkteilnehmer nach Standort, Typ, Bussystem und Busadresse, bietet zwar eine sichere Ist-Analyse, ist aber sehr zeitaufwendig und fehlerbehaftet. Erneute Nachprüfungen führen wiederum zu erhöhtem Zeitaufwand. Es ist jedes Mal ein Gang zum jeweiligen Standort erforderlich.Die Netzwerkkonfigurations- und Analyse-Software RSNetWorx ermöglicht es, alle Teilnehmer inklusive Feldbus und Busadresse, auch an physikalisch unterschiedlichen Netzwerken, automatisch zu erfassen und als Netzwerkkonfiguration zu speichern. Außerdem liefert RSNetWorx detaillierte Informationen über Datenmengen der einzelnen Teilnehmer sowie über die Gesamt-Netzwerklast.Das Ermitteln der Kommunikationsbeziehungen einzelner Teilnehmer am Netzwerk, also der Datenaustausch zwischen zwei Steuerungssystemen, lässt sich einfach unter Verwendung der Programmierumgebung RSLogix 5000 realisieren. Im jeweiligen Logikprogramm der Steuerungen sind zum Datenaustausch so genannte produzierte und konsumierte Variablen definiert. Diese sind in einer Zuordnungstabelle hinterlegt. Mittels dieser Zuordnungstabellen sind die Kommunikationsbeziehungen der einzelnen Teilnehmer durch einfaches Auslesen von einer zentralen Position im gesamten Netzwerk einfach zu ermitteln. Dieses Verfahren liefert die notwendige Information, welche Kommunikationsbeziehungen für den laufenden Betrieb erforderlich sind. Eine Skalierung ist somit auf einfache Weise auf das Gesamtsystem anwendbar.Die Einteilung der Erweiterungslinie in ein eigenständiges Netzwerksegment sowie die Segmentierung der einzelnen Produktionszellen in der Erweiterungslinie ermöglichen eine autarke Inbetriebnahme der neuen Linie. Der Einsatz eines Allen-Bradley Managed Switchermöglicht diese Segmentierung. Die einzelnen Produktionszellen werden jeweils mit einem Switch in Ringtopologie verbunden. Jede einzelne Zelle wird als physikalisch isoliertes Netzwerksegment ausgeführt. Somit lassen sich einzelne Anlagenteile sowie die gesamte neue Linie beliebig im Netzwerk zu- und abschalten. Die Segmentierung eines Netzwerks liefert viele Vorteile.
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 4
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Netzwerk-Infrastruktur - Segmentierung
Kombination von Segmentierungsmodellen
Bild 1
Bild 3
Bild 2
Durch die Kombination von Segmentierungsmodellen lässt sich die für die jeweilige Anforderung bestmögliche Segmentierung erreichen.
Bild 1 zeigt eine logische Segmentierung.
Bild 2 zeigt eine funktionale Segmentierung.
Bild 3 zeigt eine Segmentierung nach Datentypen.
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 5
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Netzwerk-Infrastruktur - Segmentierungsmethoden
Enterprise Network
Router
Bestehendes Produktionsnetzwerk
Neue Linie
Enterprise Netzwerk
Switch Switch
Segmentierung durchPhysikalische Trennung
• Keine Verbindung zwichen alter und neuerLinie
• Jede Linie stellt ein separates Teilnetz dar
Switch
Physikalische Trennung
Zum Einsatz kommen unterschiedliche Segmentierungsmethoden, wie die
Segmentierung durch physikalische Trennung
Keine Verbindung zwischen alter und neuer Linie
Jede Linie stellt ein separates Teilnetz dar
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 6
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Netzwerk-Infrastruktur - Segmentierungsmethoden
= Grünes VLAN
= Rotes VLAN
= Blaues VLAN
B
2
73
4
15
6
• Ports am Switch sind einem VLAN zugeordnet• Daten werden nur zu Ports im selben VLAN
weitergeleitet• Ein Layer 3 Switch oder Router kann Daten
zwischen unterschiedlichen VLAN’s versenden• Router – Teilnetze, IP• Switch – VLAN, MAC
• Geräte können VLAN’s zugeordnet werden, wennDatenkommunikationswege bekannt sind
• Limitierung von Producer-Consumer Datenverkehr ausserhalb der entsprechendenGeräte (Beispiel: Ein VLAN pro Zelle oder Zone)
Virtual Local Area Networks (VLAN’s)
Segmentierung durch Verwendung von VLANs
Einzelne Ports auf einem Switch werden unterschiedlichen VLANs zugeordnet
Daten werden ausschließlich auf Ports innerhalb des selben VLAN gesendet
Ein Router (subnets, IP) oder ein Layer 3 Switch (VLAN, MAC) schafft die Kommunikationsschnittstelle zwischen unterschiedlichen VLANs
Teilnehmer können einem VLAN zugewiesen werden
Limitierung der Datenmenge von Producer/ Consumer Kommunikation und Beschränkung auf ausschließlich relevante Teilnehmer
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 7
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Netzwerk-Infrastruktur - Segmentierungsmethoden
ENBT
ENBT
TeilnetzTeilnetz #1 (#1 (z.Bz.B. HMI). HMI)
TeilnetzTeilnetz #2 (#2 (z.Bz.B. E/A). E/A)
ControlLogix Gateway
Segmentierung durch ControlLogix Gateway
• CIP-Gateway erlaubt nur CIP-Daten zu dezentralen Segmenten• Segmente sind durch ControlLogix Backplane separiert• CIP-Nachrichten werden durch ControlLogix Gateway geroutet• Sämtlicher weiterer Datenverkehr wird blockiert (HTTP, FTP, etc…)
Segmentierung durch ControlLogix Gateway
CIP-Gateway erlaubt nur CIP-Datenverkehr zu dezentralen Segmenten
Segmente sind durch die ControlLogix Backplane separiert
CIP Nachrichten werden durch den ControlLogix Gateway geroutet
Sämtlicher weiterer Datenverkehr wird blockiert (HTTP, FTP, etc.)
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 8
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Netzwerk-Infrastruktur - Segmentierungsmethoden
VLAN #1VLAN #1 VLAN #2VLAN #2
• Netzwerk ist segmentiert zwischen E/A und HMI
• Beide ENBT-Module gehörenunterschiedlichen VLANs an
• Obwohl die beiden VLANs getrennt sind, hat der Logix-Controler zugang zu beiden
Kombination zweier Segmentierungsmodelle
ENBT
ENBT
Beispiel einer Kombination zweier Segmentierungsmethoden
Segmentierung von E/A-Ebene zu Visualisierung
Jede der zwei ControlLogix Netzwerkkarten ist einem unterschiedlichen VLAN zugeordnet. Eine Karte ist an das HMI-VLAN angebunden, die zweite an das E/A-VLAN
Während das E/A- und das HMI-VLAN separiert sind, kann die ContolLogix Steuerung auf beide VLANs zugreifen
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 9
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
2. Umbau ohne Störung der Produktion2. Umbau ohne Störung der Produktion
1. Engineering Netzwerk-Infrastruktur1. Engineering Netzwerk-Infrastruktur
IT-Sicherheit in Produktionsnetzwerken
3. Ferndiagnose während und nach dem Umbau3. Ferndiagnose während und nach dem Umbau
4. Administration4. Administration
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 10
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Segmentierung - Zellen-Architektuer
Ring Topologie<2ms Schaltzeit
Optional einen Switch imRing zum verbindenmehrerer Maschinen und fürUplinks
ControlLogix, Point I/O & ArmorPoint
Safety- und Standard E/A möglich
Ring Ethernet Tap ermöglicht Rockwell 3rd Party Geräte
Umbau ohne Störung der Produktion
Das Hinzufügen neuer Netzwerkteilnehmer in das bestehende Produktionsnetzwerk kann zu unvorhersehbaren Störungen führen. Zum Beispiel die doppelte Vergabe einer IP-Adresseoder das Anschalten einer fehlerhaften Netzwerkkomponente sowie fehlerhafte Konfiguration für Kommunikationseinstellungen eines neuen Teilnehmers führt zwangsläufig zu erhöhter Netzwerkbelastung bis hin zur Netzwerküberlast.
Durch den Einsatz von Allen-Bradley Managed Switches lassen sich diese ungewollten Risiken jedoch völlig eliminieren. Durch die Segmentierung der Produktionslinie in einzelne Produktionszellen ergeben sich Vorteile wie Vielfach-Topologien, Echtzeit-Datenverkehr innerhalb der einzelnen Produktionszellen sowie Daten-Routing zwischen den Zellen. Hieraus ergeben sich Merkmale wie Security in unterschiedlichen Layern, CIP-Unterstützung (Common Industrial Protocol), Quality of Service (QoS) sowie Multicast Control (IGMP).
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 11
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Segmentierung - Linien-Architektuer
Ring-Topologie~300ms Schaltzeit
Lokaler E/A-Datenverkehrbeschränkt auf den lokalenRing
Physikalisch isolierteNetzwerke arbeiten wie einintegriertes Netzwerk
Integriert in Logix5000 und vorkonfiguriert
Verriegelungs-, Programmier- und Visualisierungsdaten innerhalbder Linie
Die Störung der Produktion durch die Inbetriebnahme der neuen Anlagenteile kann weitestgehend ausgeschlossen werden.
Durch das funktionale Unterteilen der neuen Linie in einzelne Netzwerksegmente kann die Programmierung autark für jede Produktionszelle durchgeführt werden. Mittels der Allen-Bradley Managed Switches lassen sich die einzelnen Segmente physikalisch separieren oderverbinden.
Nach erfolgter Inbetriebnahme einer Produktionszelle kann diese einzeln in der neuen Produktionslinie frei geschaltet werden. So werden schrittweise alle Zellen fehlerfrei zu einer Produktionslinie verbunden.
Die neue Produktionslinie ist nun vollständig funktional und fehlerfrei in Betrieb genommen und kann nun der bestehenden Produktionsanlage aufgeschaltet werden.
Ebenfalls möglich ist das Zuschalten der Kommunikation einzelner Zellen - nach erfolgter Funktionsprüfung - auf die bereits produzierenden Anlagenteile. Durch Verwendung dieser Methode können eventuell auftretende Störungen oder Fehler sofort erkannt und beseitigt werden. Das Risiko von auftretenden Fehlern ist durch das schrittweise Zuschalten kleiner überschaubarer Segmente minimiert. Im Fehlerfall ist der zu durchsuchende Bereich der Fehlerquelle auf ein Minimum reduziert.
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 12
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Diagnose - Lokal oder zentral?
Program Logixcontroller andconfigure the
drive node
Integration von FU-Antrieben in die SPS-Programmiersoftware
Die Diagnose-Möglichkeiten der Teilnehmer, insbesondere bezogen auf ihre technische Funktion, sind von großer Wichtigkeit um die Anlagenverfügbarkeit zu maximieren. Zur Auswahl stehen lokale oder zentrale Diagnose. Am Betrachtungsbeispiel Frequenzumrichterergeben sich folgende Möglichkeiten.
Unter lokal ist zu verstehen, dass weder der Frequenzumrichter noch das Bedienpanel an das Kommunikationsnetz angebunden sind. Es besteht lediglich eine Kommunikation zwischen dem Frequenzumrichter und dem Bedienpanel. Das lokale Bedienpanel ermöglicht die Steuerung sowie die Diagnose für den jeweils angebundenen Antrieb. Die Netzwerklast wird durch die lokale Diagnose reduziert.
Der entscheidende Nachteil dieser Verfahrensweise liegt allerdings darin, dass das Erkennen von Störungen sowie das Einstellen von Parametern ausschließliche vor Ort vorgenommen werden kann. Es ist also erforderlich, sich stets vor Ort, direkt am Gerät, und mit der gerätespezifischen Konfigurationssoftware zu befinden.
Die zentrale Diagnose von Frequenzumrichtern hingegen bietet entscheidende Vorteile. Antriebe werden als Netzwerkteilenehmer am Netzwerk angebunden und können von jeder beliebigen Stelle am Netzwerk angesprochen werden.
Die Integration der Frequenzumrichterantriebe in der SPS-Programmiersoftware ermöglicht
- Aufruf, Konfiguration und Speichern der Parameterlisten im Offline-Zustand- Automatische Generierung einer Datenstruktur (SPS-Tags) mit allen vorhandenen
Betriebs-, Diagnose- und Störungsinformationen des Antriebs- Einfache Verwendung der Betriebs-, Diagnose- und Störungstags im SPS-Programm- Visualisierung der Betriebs-, Diagnose- und Störungstags im HMI- Download und Upload der Parameterlisten von jeder beliebigen Stelle im Netzwerk
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 13
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Diagnose - Lokal oder zentral?
Integration von Antrieben in die SPS-Programmiersoftware
Innerhalb des Netzwerksegmentes in dem sich der Antrieb befindet können alle Diagnosetags zur Kommunikation freigegeben werden. Zur Ring-Topologie, also zu dem Netzwerk, dass die einzelnen Produktionszellen zum Liniensegment verbindet, werden ausschließlich die zwingend notwendigen Diagnose- und Störungstags freigegeben.
Mittels der produced und consumed Funktion wird eine Punkt-zu-Punkt-Kommunikationzwischen Antrieb und Visualisierung oder Antrieb und Steuerung garantiert. Diese beschränkt sich ausschließlich auf die zu übertragenden Tags. Alle nicht gewünschten Informationen verbleiben im Zellensegment und können somit das Liniennetz nicht belasten.
Die Integration der Antriebe in die SPS-Programmiersoftware ermöglicht eine zentrale Diagnose und Parametrierung dieser bei gleichzeitiger Gewährleistung der Minimierung der Netzwerklast.
Die zwangsläufig auftretenden Komplikationen durch unterschiedliche Versionen der Parametriersoftware für die Antriebe werden durch die Integration in die SPS-Programmiersoftware eliminiert. Von dieser lassen sich Antriebe parametrieren, konfigurieren und es lässt sich die Firmware-Version flashen. Inkompatibilität durch unterschiedliche Software-Revisionen zwischen Konfigurationssoftware und Antrieb gehören somit der Vergangenheit an. Eine separate Software zur Konfiguration der Antriebe ist ebenfalls nicht mehr erforderlich.
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 14
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Sicherheit – Was soll gesichert werden?
• Enterprise- und Produktionsnetzwerk getrennt• Was soll gesichert werden?• Wo gegen ist zu sichern?• Welche Sicherheitsaspekte muss das Netzwerk liefern?
– Schutz der Netzwerk-Infrastruktur– Trust & Identity– Identität der Teilnehmer– Durchsetzung von Policies– Erkennen von fehlerhaften Teilnehmern– Sichern der Segmentschnittstellen– Security Management– Sicherheit für die Applikationen
• Demilitarisierte Zone (DMZ)
Ein weiterer wichtiger Punkt ist die Sicherheit im Netzwerk im Hinblick auf externe Firmen während der Inbetriebnahme. Diese nehmen in der Regel einzelne Anlagenteile, also eine Produktionszelle innerhalb eines Netzwerksegments, in Betrieb.
Sie sollten bedingt Datenzugriff auf die Segmente vor und hinter deren Bereich, jedoch keinen Zugriff auf das bestehende Produktionsnetzwerk haben.
Diese wichtigen Merkmale werden durch den Einsatz von Allen-Bradley Managed Switchesund die dadurch zur Verfügung stehende Netzwerksicherheit gewährleistet. Bei der Definition der Netzwerksicherheit sollten folgende Geschichtspunkte betrachtet werden.
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 15
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Sicherheit - Zu sichernde Bereiche
Automation und ProduktionsgerätAutomation und Produktionsgerät
KommunikationKommunikation
Produkt und MaterialienProdukt und Materialien
Netzwerk-infrastrukturNetzwerk-infrastruktur
MenschMenschComputer, Server und LaptopsComputer, Server und Laptops
SteuerungsdatenSteuerungsdaten
EnterpriseNetzwerk
Automatisierungs-applikationenAutomatisierungs-applikationen
Bei der Planung der Sicherheit in einem Netzwerk ermittelt der Planer, was zu sichern ist. Im Security-Konzept zu sichernde Bestandteile sind unter anderem:
Personen
Netzwerk-Infrastruktur
Produkt und Materialen
Automatisierungs- und Produktionsgeräte
Steuerungsdaten
Steuerungs- und Computer-Hardware
Netzwerk-Kommunikation
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 16
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
DiebstahlDiebstahl
Sicherheit - Bedrohungen
UnbeabsichtigteAktionen durchMitarbeiter
UnbeabsichtigteAktionen durchMitarbeiter
Störung / KatastropheStörung / Katastrophe
Unerlaubte Aktionendurch externe FirmenUnerlaubte Aktionendurch externe Firmen
SicherheitslückenSicherheitslücken
Würmer und VirenWürmer und Viren
Mangelnde WartungMangelnde WartungSabotageSabotage
Unerlaubter ZugriffUnerlaubter Zugriff
Unerlaubte Aktionendurch MitarbeiterUnerlaubte Aktionendurch Mitarbeiter
Netzwerke werden zum Schutz vor den unterschiedlichsten Einflüssen bzw. Bedrohungen gesichert. Mögliche Bedrohungen sind unter anderem
Viren und Würmer
Sicherheitslücken
Unerlaubte bzw. ungewollte Aktionen durch externe Firmen
Unbeabsichtigte Aktionen von Mitarbeitern
Unerlaubte Aktionen von Mitarbeitern
Unerlaubter Zugriff
Diebstahl oder Sabotage
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 17
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Sicherheit - Port Security
√√1 MAC-Addresse
XX
Funktion:Beschränkt Anzahl der MAC-Adressen die sich mit dem Switch verbinden dürfen and ensures only approved MAC addresses are able to access the switch
Nutzen:Garantiert, dass sich ausschliesslich registrierte Geräte am Netzwerk anmelden können
ZusätzlicheMAC-Addresse
Das unerlaubte bzw. unkontrollierte Anbinden von externen Firmen an das Produktionsnetzwerk birgt ein hohes Risiko und kann zu unvorhersehbaren Problemen im Netzwerk führen.
Um dieses Risiko zu eliminieren, verwenden Allen-Bradley Managed Switches Port Security. Diese Funktion begrenzt die Anzahl der MAC-Adressen, also der Programmiergeräte, die gleichzeitig mit dem Switch verbunden sein dürfen. Außerdem stellt Port Security sicher, dass alle nicht registrierten MAC-Adressen vom Switch abgewiesen werden, also keinen Zugang zum Netzwerk erhalten. Der entscheidende Vorteil liegt darin, dass ausschließlich bekannte Teilnehmer Zugang zum Netzwerk haben.
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 18
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Sicherheit – Zugangskontroll-Tabellen
Zugangskontroll-Tabellen definieren bzw. beschränken den Zugang zueinem Netzwerksegment basierend auf Parametern wie:• Port-Nummer• MAC-Adresse• IP-Adresse• TCP/UDP Kennung
Zugangskontroll-Tabellen werden im Allen-Bradley Managed Switchkonfiguriert um die Einhaltung von Security Policies zu unterstützen.Dies geschieht mittels:• Zugang auf ungenutzten Ports unterbinden• Zugang von unbekannten Teilnehmern verhindern (MAC, IP)• Zugang auf bekannte Programme beschränken (TCP/UDP)
Eine weitere Sicherheit im Umgang mit externen Firmen am Produktionsnetzwerk bieten Zugangskontroll-Tabellen. Diese definieren bzw. beschränken den Zugang zu einem Netzwerksegment.
Zugangskontroll-Tabellen werden im Allen-Bradley Managed Switch konfiguriert um die Einhaltung von Security Policies zu unterstützen. Ethernet/IP mit seinem CIP-Protokoll unterstützt das Verfahren mit Zugangskontroll-Tabellen. CIP-Datenverkehr hat eine einzigartige TCP/UDP Kennung. UDP Port 2222 für E/A-Daten und TCP Port 44818 für Nicht-E/A-Daten. Die Beschränkung auf ausschließlich CIP-Datenverkehr verriegelt das Netzwerk gegen Standard-Protokolle wie DHCP, ARP und HTTP. Diese Standard-Protokolle erhöhen die Netzwerklast um ein Vielfaches, sind in Produktionsnetzwerken aber keineswegs notwendig.
Ethernet/IP mit seinem CIP-Protokoll unterstützt das Verfahren mit Zugangskontroll-Tabellen in idealer Weise. CIP-Datenverkehr hat eine einzigartige TCP/UDP Kennung. UDP Port 2222 für E/A-Daten und TCP Port 44818 für Nicht-E/A-Daten. Die Beschränkung auf ausschließlich CIP-Datenverkehr verriegelt das Netzwerk gegen Standard-Protokolle wie DHCP, ARP und HTTP. Diese Standard-Protokolle erhöhen die Netzwerklast um ein Vielfaches, sind in Produktionsnetzwerken aber keineswegs notwendig.
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 19
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Sicherheit – 3-Wege Firewall
• CIP-Datenkommunikation verbleibt innerhalb des entsprechenden Segments
• Separate Netzwerksicherheit auf Segmentebene
• Kein direkter unkontrollierter Datenverkehr zwischen der neuen Linie und der bestehenden Produktionsanlage
• Selektive Kontrolle für Datenverkehr für unterschiedliche DMZ und VLANs
Durch das Einführen einer so genannten demilitarisierten Zone (DMZ) wird ein Pufferbereich bereitgestellt, in dem Daten und Dienste zwischen unterschiedlichen Teilnehmergruppen bzw. unterschiedlichen Netzwerksegmenten verwendet werden können. Die DMZ bildet die Grenze oder den Grenzbereich zwischen zwei oder mehr Teilnehmergruppen bzw. Netzwerksegmenten, wo Datenverkehr limitiert werden soll. Eine DMZ wird vorwiegend an Risiko-Grenzbreichen installiert, also zwischen der neuen Linie und der bestehenden Produktionsanlage. Dies bedeutet:
CIP-Datenkommunikation verbleibt innerhalb des entsprechenden Segments
Separate Netzwerksicherheit auf Segmentebene
Kein direkter unkontrollierter Datenverkehr zwischen der neuen Linie und der bestehenden Produktionsanlage
Selektive Kontrolle für Datenverkehr für unterschiedliche DMZ und VLANs
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 20
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Sicherheit – Security Design
• Security-Dienste dürfen die kommunikative Funktion innerhalb eines Segments sowie nach außen nicht behindern (CIP-E/A-Datenverkehr)
• Die DMZ dient als Daten-Puffer zwischen neuem und bestehendem Anlagenteil
• Schutzmechanismen wie Firewalls und Schutz gegen ungewolltes Eindringen müssen an Schlüsselpunkten für Sicherheit implementiert werden
• Einrichten von–Security Management–End-Point Security–Netzwerk-Infrastruktur Security–Port Security–VLANs
Bei der Planung der Security durch das Einrichten einer DMZ für die Produktionsanlage muss auf folgende Punkte geachtet werden:
Security-Dienste dürfen die kommunikative Funktion innerhalb eines Segments sowie nach außen nicht behindern (CIP-E/A-Datenverkehr)
Die DMZ dient als Daten-Puffer zwischen neuem und bestehendem Anlagenteil
Schutzmechanismen wie Firewalls und Schutz gegen ungewolltes Eindringen müssen an Schlüsselpunkten für Sicherheit implementiert werden
Einrichten von
Security Management
End-Point Security
Netzwerk-Infrastruktur Security
Port Security
VLANs
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 21
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
2. Umbau ohne Störung der Produktion2. Umbau ohne Störung der Produktion
1. Engineering Netzwerk-Infrastruktur1. Engineering Netzwerk-Infrastruktur
IT-Sicherheit in Produktionsnetzwerken
3. Ferndiagnose während und nach dem Umbau3. Ferndiagnose während und nach dem Umbau
4. Administration4. Administration
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 22
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Ferndiagnose
Security Funktion des 9300-RADES Ethernet Modem:
• Bis zu zehn Einwahl-Benutzerkonten möglich• Nur zuvor definierte Telefonnummern werden als Anrufer akzeptiert• Passwort mit Rückruffunktion• VLAN-Funktionalität zur Reduzierung von Datenverkehr• Fehlersuche mittels Port Mirrorring und Port Diagnose• IGMP-Snooping zur Reduzierung des Datenverkehrs
Kombiniert ein 56K-Modem mit der Funktionalität einesVier-Port Managed Switch. Unterstützt werden:
• Programmänderungen • Uploads und Downloads• Firmware Updates• Datentransfer• Diagnose
Ferndiagnose während und nach dem Umbau
Eine gut funktionierende und netzwerkmäßig sichere Ferndiagnose während und auch nach dem Umbau der Produktionsanlage ist ein wichtiger Effizienz- und Kostenfaktor. Idealerweise ist das gesamte Netzwerk und somit jeder Teilnehmer von einem zentralen Einwahlpunkt aus erreichbar. Der Einwahlpunkt, in der Regel ein Ethernet-Modem, muss die installierte Netzwerksicherheit unterstützen und gleiches nach außen zur Verfügung stellen. Das Rockwell Ethernet-Modem bietet all diese Eigenschaften:Bis zu zehn Einwahl-Benutzerkonten möglich
Nur zuvor definierte Telefonnummern werden als Anrufer akzeptiert
Passwort mit Rückruffunktion
VLAN-Funktionalität zur Reduzierung von Datenverkehr
Fehlersuche mittels Port Mirror Ring und Port Diagnose
IGMP Snooping zur Reduzierung des Datenverkehrs
Das 9300-RADES Dial-in Ethernet Modem kombiniert ein 56K-Modem mit der Funktionalität eines Vier-Port Managed Switch.
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 23
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
2. Umbau ohne Störung der Produktion2. Umbau ohne Störung der Produktion
1. Engineering Netzwerk-Infrastruktur1. Engineering Netzwerk-Infrastruktur
IT-Sicherheit in Produktionsnetzwerken
3. Ferndiagnose während und nach dem Umbau3. Ferndiagnose während und nach dem Umbau
4. Administration4. Administration
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT ROCKWELL 24
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Administration - Wartungsanleitung
Die Anleitung sollte sich auf Einzelkomponenten beziehenund folgende Punkte umfassen:
• Übersicht über Netzwerk, Segmente und Teilnehmer
• Hochfahren der Anlage
• Betrieb der Anlage
• Runterfahren der Anlage
• Diagnose für Netzwerk und Teilnehmer
• Fehlersuche für Netzwerk und Teilnehmer
• Fehlerbehebung für Netzwerk und Teilnehmer
• Gerätetausch
Administration
Die Administration des komplexen Produktionsnetzwerks, welches in einzelne Segmente unterteilt ist, ist die Grundlage für Sicherheit im Netz. Um solch ein komplexes Netzwerk in Pflege und Wartung, also im täglichen Umgang mit diesem, so einfach wie möglich zu halten, ermöglicht es, dass das Instandhaltungspersonal diese Administration einfach durchführen kann. In der Planungsphase wird das Produktionsnetz in Form von Segmentierung, Teilnehmer sowie segmentübergreifender Kommunikation definiert, in der Inbetriebnahmephase administriert. Nach erfolgreicher Durchführung dieser Aufgaben verbleiben für die Administration des Netzwerks in laufender Produktion lediglich das Ersetzen defekter Teilnehmer, das Ersetzen defekter Switches sowie das Anmelden neuer MAC-Adressen am Segment. All diese Aufgaben werden mittels der SPS-Programmiersoftware ausgeführt.
Bezüglich Pflege und Wartung der Systeme und des Netzwerks sollte der Maschinenbauer dem Anlagenbetreiber im günstigsten Fall ein Handbuch übergeben. Dieses Handbuch soll dem Anlagenbetreiber eine präzise schrittweise Anleitung zur Administration des Netzwerks und seiner Teilnehmer liefern.
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
Copyright © 2007 Rockwell Automation, Inc. All rights reserved.
Wo und wann immer Sie uns brauchen.Wo und wann immer Sie uns brauchen.Wo und wann immer Sie uns brauchen.
Rockwell Automation - Firmenprofil
• Application Center
• Produktentwicklung
• Fertigung
• Produktbeschaffung
• Komponentenbeschaffung
• Forschung
• Systementwicklung
• Kunden-Support
• Vertrieb
USA
300 Vertriebs- & Support-Standorte
Mehr als 14.000 Mitarbeiter
Lateinamerika:
30 Vertriebs- & Support-Standorte
Etwa 800 Mitarbeiter
Europa, Naher O sten & Afrika:
Mehr als 90 Vertriebs- & Support-Standorte
In mehr als 50 Ländern
Mehr als 3.000 Mitarbeiter
Asien-Pazifik-Raum:
Mehr als 50 Vertriebs- & Support-Standorte
In mehr als 20 Ländern
Mehr als 1.200 Mitarbeiter
Rockwell Automation GmbHRockwell Automation GmbHDDüüsselbergersselberger Strasse 15Strasse 15
42781 42781 HaanHaan
ReferentReferentFrank Frank LoewLoew
Email: Email: floew@ra.rockwell.comfloew@ra.rockwell.comTel.: 0151 / 58957 305Tel.: 0151 / 58957 305
Copyright © 2005 Rockwell Automation, Inc. All rights reserved.
Rockwell Automation - Firmenprofil
• Weltweit führender Anbieter
• Umsatz: 5 Mrd. $
• 20.000 Mitarbeiter
• Über 450 Vertriebs / Support-
Standorte in mehr als 80 Ländern
• Mehr als 100-jährige Tradition
top related