IGW/936A: Sichere OT/IT-Integration

Verschiedene EU-Regularien, die überwiegend in 2022 auf den Weg gebracht wurden, beziehen sich nicht nur auf die Unternehmens-IT, sondern auch auf die vernetzten Maschinen und Anlagen in der Produktion, also alles, was man mittlerweile unter dem Oberbegriff "Operation Technology" (OT) zusammenfasst.

Im Umfeld vernetzter Maschinen und Anlagen ist der Schutz gegen Cyberangriffe besonders an den Verbindungspunkten zwischen IT- und OT-Netzwerken eine anspruchsvolle Herausforderung. Und genau dafür wurde das multifunktionale OT/IT-Gateway IGW/936A entwickelt.

Schwerpunkt Cybersicherheit

Das IGW/936A bietet vielfältige Konfigurationsmöglichkeiten, die sich individuell an die Besonderheiten einer OT/IT-Integration anpassen lassen.

Basierend auf einem innovativen Service-orientierten Gateway-Konzept, lässt sich daher die maximal mögliche Cybersicherheit für eine konkrete Aufgabenstellung realisieren.

Weitere Anwendungen für das IGW/936A sind:

Industrielle Layer4/Layer7-Firewall
VPN-Gateway mit MFA-Sicherheit
Unidirektionales Gateway (OT/IT-Datendiode)
Virtuelles OT-Patch-Management

Highlights

Physikalische und logische OT/IT-Segmentierung
Optional unidirektionaler Datenfluss vom OT-Netz in das IT-Netzwerk
Keine offenen TCP/UDP Ports vom IT-Netz in das OT-Netzwerk
Blockade des gesamten eingehenden ARP/ICMP-Verkehrs
Sensoroption zur Erkennung von Eindringlingen aus der IT-Richtung
Option zur Erkennung von anomalem Datenverkehr im OT-Netzwerk
Schnittstellen für externe Sensoren, z. B. für die Sabotageerkennung
A/B Dual Boot-Partitionen

Produkt des Jahres 2024

Das IGW/936A wurde vom Fachmagazin Computer&Automation für das Produkt des Jahres 2024 in der Kategorie Kommunikation & Vernetzung nominiert!

Stimmen Sie noch bis zum 17. Februar ab – am besten natürlich für das IGW/936A ;) – und gewinnen Sie mit etwas Glück ganz nebenbei einen der Preise.

Jetzt abstimmen!

Infrastrukturmodul zur Domänenbildung und -isolation

Die nebenstehende Abbildung zeigt das IGW/936A als Infrastrukturmodul zur Domänenisolierung zwischen den Ethernet-basierten Netzwerken einer IT- und OT-Umgebung.

Darüber hinaus können verschiedene OT-Baugruppen in RS485-basierten Bussystemen, wie z. B. Modbus RTU, aus einem Ethernet-basierten IT-Netzwerk über ein IGW/936A angesprochen werden.
Dabei ist eine Zugriffsrechteverwaltung bis auf den einzelnen Modbus-Datenpunkt möglich.

Schema Domänenbildung und -isolation mit dem IGW/936A

Virtuelles Patchen

Ein virtueller Patch schließt nicht die Sicherheitslücke einer fehlerhaften Anwendung bzw. Firmware einer Baugruppe. Er sorgt stattdessen über eine externe Zwischen- bzw. Isolationsschicht dafür, dass sich die Sicherheitslücke nicht durch externe Zugriffe für Cyberattacken ausnutzen lässt. Die folgende Abbildung beschreibt ein fiktives Beispiel mit dem IGW/936A.

Schema virtueller Patch einer OT-Baugruppe mit dem IGW/936A

1

Innerhalb des OT-Netzwerks befindet sich eine Baugruppe, mit einer bekannten Schwachstelle im TCP/IP-Protokollstack. Über diese Sicherheitslücke lässt sich die Baugruppe in einen inaktiven Zustand versetzen, der nur mittels Unterbrechung der Versorgungsspannung wieder verlassen wird.
Ein Software-Update steht für diese Baugruppe nicht zur Verfügung. Da die Baugruppe aber besondere Eigenschaften für den gesamten Anlagenbetrieb hat, kann sie auch nicht einfach durch ein anderes Modell ersetzt werden.

2

Der Datenfluss des Verbindungsprozesses wird hinsichtlich der externen Zugriffe auf die betroffene Baugruppe analysiert.

Es stellt sich heraus, dass eine IT-Anwendung existiert, um die Konfigurations- und Betriebsdaten für die Baugruppe zu managen. Dabei kommt HTTP(S) zum Einsatz. Insofern kann nicht auf die Zugriffsmöglichkeit aus dem IT-Netzwerk auf die Baugruppe im OT-Netzwerk verzichtet werden.

3

Es wird eine Softwarekomponente mit einer HTTP(S)-Proxy-Serverfunktion für den Verbindungsprozess entwickelt und über einen Patch Management Server auf dem IGW/936A installiert. Dadurch wird der direkte Zugriff aus dem IT-Netzwerk auf die betroffene Baugruppe unterbunden; es ist nun nur noch ein indirekter Proxy-Zugriff möglich.

4

Durch den Datenfluss der Proxy-Serverfunktion auf dem IGW/936A entstehen zwei HTTP(S)-Verbindungen:
In Richtung des IT-Netzwerks bildet die Proxy-Serverfunktion einen HTTP(S)-Server, in Richtung der fehlerhaften OT-Baugruppe einen HTTP(S)-Client.

Technische Daten

Single Board Computer
Modell	DIL/NetPC DNP/8331
Prozessor
Hersteller / Typ	Sochip S3 mit ARM Cortex-A7-CPU
Taktgeschwindigkeit	1008 MHz
Speicher
RAM	128 MB DDR3 SDRAM
Flash	8 GB NAND-Flash-Massenspeicher für Betriebssystem und Anwendungen
Schnittstellen
Ethernet	2x 10/100 Mbps (RJ45)
USB	1x USB 2.0 Host
Serielle I/Os	1x RS485 serieller Port (Schraubklemme) 1x RS232/RS485 serieller Port (Schraubklemme)
Spezialfunktionen
Echtzeituhr (RTC)	1x Echtzeituhr
Watchdog	1x Timer Watchdog (Hardware-basiert, Software-konfigurierbar) 1x Power Supervisor (Hardware-basiert)
Anzeigen / Kontrollelemente
LEDs	1x Power 1x Status 1x Systemstatus (programmierbar) 1x VPN-Status (programmierbar)
Elektrische Eigenschaften
Spannungsversorgung	12 .. 24 VDC über externes Netzteil
Leistungsaufnahme	< 10 W
Mechanische Eigenschaften
Schutzart	IP20 Industriegehäuse für 35 mm Hutschiene
Masse	< 270 g
Maße	112 mm x 100 mm x 45 mm
Betriebstemperatur	0 .. 60 °C
Standards und Zertifikate
EMC	CE
Umweltstandards	RoHS, WEEE

Softwareausstattung

Software
Betriebssystem	SSV Debian Buster Linux
Bootloader	U-Boot Bootloader mit A/B Dual-Boot-Partitionen
Administration	SSV/WebUI plus Firmware
Security	TCP/IP Protokoll-Stack mit IPv4- und IPv6-Support und diversen Security-Protokollen
Firewall	netfilter + iptables, UDP/TCP-/Application-Firewall

Dokumente

System Reference IGW/936A

HWR DIL/NetPC DNP/8331