Fernwirken – aber sicher?!

Für die Steuerung von Prozessen, die Übertragung von Mess- und Zählwerten und die Erfüllung von Vorgaben durch den Gesetzgeber ist die Einbindung von entfernten Stationen und Messstellen ein zentrales Thema im Bereich der Fernwirktechnik. Durch die immer größer werdenden Anforderungen an Daten und die Umstellung der Endgeräte hat sich Ethernet als Transportprotokoll etabliert und muss bei der Planung neuer Anlagen berücksichtigt werden.

Der Betreiber dieser Fernwirkanlagen muss sich die Frage stellen, welches Übertragungsmedium am besten für solche Anwendungen geeignet ist, und stehen eigene Netze zur Verfügung oder sollen öffentliche Netze genutzt werden?

In punkto Sicherheit und Übertragungsgeschwindigkeit sind eigene Netze die erste Wahl, doch im Hinblick auf Kosten und schnelle Umsetzung wird in den vielen Fällen auf öffentliche Netze zurückgegriffen.

In der Regel gibt es einen Mix aus den unterschiedlichen Übertragungsnetzen und es müssen Lösungen gefunden werden, die die folgenden grundlegenden Bedingungen erfüllen:

1. Die Daten müssen sicher und dauerhaft über große Entfernungen übertragen werden.
2. Die Anforderungen der DIN 27001 müssen für die Betreiber von kritischen Infrastrukturen erfüllt sein.
3. Einfache Bedienung und Handhabung, da besonders im Bereitschaftsfall nicht immer geschultes IT-Personal zur Verfügung steht.

Wie bekommt man die Forderungen und Übertragungsnetze in ein Konzept ?

Am Markt gibt es diverse Lösungen wie Router-, Firewall- und/ oder oder Network-Access-Control-Systeme, die diesen Forderungen Rechnung tragen. In den meisten Fällen muss der Anwender auf Lösungen unterschiedlicher Hersteller zurückgreifen, die ein tiefes IT-Wissen voraussetzen. Zudem müssen noch organisatorische Hürden überwunden werden, da Fernwirktechnik und IT in unterschiedlichen Abteilungen angesiedelt sind.

Für diese Schnittstelle bietet die DigiComm GmbH eine bisher einzigartige Lösung zur Verknüpfung unterschiedlicher Netze auf höchsten Sicherheitsstandard.

Übertragung über eigene Kupferleitungen

Für diese Anforderungen werden in der Regel G.SHDSL.bis-Modems, z. B. der Serie SHDTU, eingesetzt, die mit hoher Reichweite und Übertragungsgeschwindigkeit eine passende Lösung für Ethernet-basierte Übertragung darstellen.

Die neuen Ethernetmodem SHDTU-06-is-pp (2-Draht) und SHDTU-09-is-pp (4-Draht) bieten Lösungen für die hochsichere, verschlüsselte Datenübertragung über eigene Kupferleitungen. Als Erweiterung zu der Datenverschlüsselung auf der Leitungsseite der Standardmodem der SHDTU-is Serie bieten diese Geräte die Möglichkeiten, pro Ethernet-Port eine eigene VPN-Verbindung zu schalten. Damit können komplett unabhängige, getrennte und hochverschlüsselte (AES256) Verbindungen zur Zentrale aufgebaut werden, die nach heutigem Stand der Technik nicht zu manipulieren sind.

Übertragung über eigene Glasfaserleitungen

Die Kopplungen von Kupfer- und Glasfasernetzen werden üblicherweise mittels Switch-Systemen realisiert, die unmanaged für einfache Plug-and-Play-Anwendungen oder managed mit Fernzugriff und allen Layer 2 Sicherheitsmerkmalen wie VLAN, Portabschaltung, IP-/MAC-Filter usw., betrieben werden.

Um den hohen Sicherheitsanforderungen gerecht zu werden, bietet die DigiComm GmbH mit ihrer ISD-Switch-Serie zusätzlich Layer3-Routing-Switche – eine Kombination aus Router und managed Switch – mit dem über jeden Port geroutet und unterschiedliche Netze miteinander verbunden werden können. Mit der Option VPN-per-Port können unabhängige VPN-Verbindungen über das Netzwerk aufgebaut werden.

Übertragung über öffentliche Netze (GPRS/UMTS/LTE & DSL-Festanschluß)

Die hier eingesetzten Router müssen über eine große Funktionsbreite verfügen, um allen Anforderungen gerecht zu werden. Im Bereich der Netzauswahl sollten die 4G/LTE Variante wie auch 3G und 2G bedient werden können, mit der Option, bei Ausfall des Netzes automatisch auf das nächstbeste Netz zu wechseln. Ebenfalls sollten die Router mit zwei SIM-Karten betrieben werden können, um bei Störungen im Provider-Netz automatisch in ein anderes Netz zu wechseln.

Für den Zugang zu den öffentlichen DSL-Netzen muss ebenfalls ein Ethernet-Port (WAN) zur Verfügung stehen.

Alle WAN-Zugänge sollten als Haupt- oder Backup-Pfad genutzt werden können, um eine möglichst sichere Anbindung der Station an ein zentrales Leitsystem zu gewährleisten.

Die DSR-200-Familie bietet eine integrierte Firewall mit höchsten Sicherheitsanforderungen und ermöglicht die Verwendung verschiedener statischer und dynamischer VPN Protokolle für eine sichere Vernetzung. Dabei kann der Anwender sowohl Pre-Shared-Key oder Zertifikate nutzen.

Mit dem Virtual Router Redundancy Protocol (VRRP) steht ein Verfahren zur Steigerung der Verfügbarkeit wichtiger Gateways in lokalen Netzen durch redundante Router zur Verfügung, das mehrere physische Router zu einer logischen Gruppe zusammenfasst, die sich im Netzwerk unter einer Gateway-Adresse erreichen lässt.

Zentrale Einheit

Als zentrales Verbindungsgateway steht der VPN-Server VSS-01 der DigiComm zur Verfügung, über den sich registrierte Teilnehmer anmelden können. Der VSS-01 kann lokal oder in einer virtualisierten Umgebung aufgebaut werden und bietet neben den hochsicheren VPN-Verbindungen eine sehr einfach zu bedienende Oberfläche über Webbrowser und die simpelste Art der Konfiguration der Teilnehmer. Bei dem Anlegen einer neuen Verbindung erstellt er automatisch die Sicherheitszertifkate, Firewallregeln und die Konfigurationsdateien für die Router. Diese werden heruntergeladen, mit zwei Klicks eingespielt und fertig ist die gesamte Konfiguration. Tiefergehendes IT-Wissen ist nicht erforderlich.

Ein weiterer Vorteil bei einem lokalen Aufbau in Ihrem Hause ist die Unabhängigkeit von Drittanbietern. Automatische Sicherung der Konfiguration und Redundanzschaltung für den Ausfall solch einer zentralen Komponente sind selbstverständlich.

Der VSS-01 unterstützt im Endausbau bis zu 2.000 VPN-Tunnel, ist aber schon in einer Größe ab 50 Tunnel verfügbar und kann bei Bedarf hochgerüstet werden.

Sicherheit

Die grundlegenden Forderungen der DIN-27001 für kritische Infrastrukturen, wie eine integrierte Firewall, Management im eigenen VLAN, HTTPS/SSH/SNMPv3, Abschalten nicht genutzter LAN-Ports, unterschiedliche Berechtigungen (User/Passwort) und Portfreigabe über MAC-Adresse,  sind selbstverständlich in alle Produkte integriert.

Darüber hinaus wird im Bereich VPN TLS1.2 unterstützt und alle Router, Modem und Switche verfügen über die neue Option Port-Control. Eine zusätzliche Sicherheitsmaßnahme, durch die verhindert werden soll, dass ein unbefugter Nutzer Zugriff auf das Gerät bekommt. Wird das Netzwerkkabel im laufenden Betrieb gezogen, erfolgt die sofortige Abschaltung des Ports und eine entsprechende Meldung an den Operator oder das Netzwerk-Management-System.

Mit der Kombination dieser Lösungen können geschlossene Netze vom Leitsystem bis zum Ethernet-Port, über eigene  Kabel (Kupfer oder LWL) oder öffentliche Netze  an der Außenstation aufgebaut werden