Gesicherter und flexibler Zugriff auf Anlagen mit gleichen IP-Konfigurationen
Fernzugriffsnetze für Serienmaschinen
Getrieben durch die Anforderungen der wachsenden Digitalisierung vernetzen Hersteller heute zunehmend auch kleinere Anlagen und Serienmaschinen. Die Anforderungen an industrielle Sicherheit und den Schutz firmenvertraulicher Daten bei gleichzeitig wachsendem Bedarf nach gesichertem Fernzugriff auf Anlagen und Maschinen führt dabei häufig zu komplexen, wenig flexiblen Lösungen. Hier schaffen zentrale Konzepte mithilfe von Server-Applikationen Abhilfe.
Bild: Siemens AGSoll der gesicherte Fernzugriff für eine Vielzahl von Zellen im Netzwerk erfolgen, bietet sich ein zentrales Konzept an, das sich von allen Zellen auf die gleiche Art und Weise nutzen lässt. Dies erfolgt stets unter der Vorgabe, dass die Anlagen den Verbindungsaufbau bei Bedarf lokal initiieren und die Verbindung von innen nach außen aufgebaut wird. Auf der anderen, der zentralen Seite, bietet sich dadurch die Möglichkeit, die entgegenzunehmenden Verbindungen zentral zu verwalten und identische Anlagen ein-eindeutig abzubilden. Damit lassen sich grundlegende Anforderungen an die Vernetzung von Automatisierungszellen in einem Netzwerk ableiten. Im Falle von Serienmaschinen oder mehreren identischen Zellen gilt dies beispielsweise für das zentrale Management, das die einfache Verwaltung einer Vielzahl identischer, lokaler IP-Subnetze ermöglicht. Aus dem Management der Zellen leiten sich entsprechend auch die Möglichkeiten der Gegenstellen für den Fernzugriff im Netzwerk ab. Der Servicetechniker, der versucht, die Zelle zur Wartung zu erreichen, ist so in der Lage, innerhalb kurzer Zeit verschiedene Zellen nacheinander oder gleichzeitig zu erreichen. Dabei spielt es eine entscheidende Rolle, dass das ohne großen Aufwand und IT-Fachkenntnisse möglich ist. Der Servicetechniker benötigt also ein einfaches Werkzeug, über das er die Fernwartungsendpunkte der Automatisierungszelle im Netzwerk erreicht. Da sich die Zellen zentral an einer Plattform melden, ist es also naheliegend, dass der Servicetechniker ebenfalls in der Lage ist, die zentrale Stelle bei Bedarf zu erreichen. Bei der Wahl der Verschlüsselungstechnik für den Verbindungsaufbau ist zu beachten, dass sie entsprechend einfach und flexibel an die unterschiedlichen Bedürfnisse der industriellen Netze anpassbar, aber dennoch sicher ist. Es bieten sich z.B. zertifikatbasierte Mechanismen auf Basis von Open VPN oder auch IPsec an. Die Themen der Zugriffskontrolle, Authentisierung und Autorisierung sind ebenfalls kritischer zu betrachten als im täglichen Büroalltag. So bietet es sich an, genau zu analysieren, wer zu welchem Zeitpunkt mit welchem Teilnehmer verbunden sein darf und welche Berechtigungen er dort besitzt. Daraus lässt sich die Planung von beispielsweise Firewall-Regeln, Benutzer- und Gerätegruppen sowie deren Kommunikationsbeziehungen zueinander ableiten. Sinema Remote Connect von Siemens ist eine Server-Applikation, mit der Anwender die Möglichkeit haben, weitverteilte Anlagen oder Maschinen über Fernzugriff komfortabel und sicher zu warten, auch wenn die Maschinen in fremden Netzwerken eingebunden sind, es sich um Serienmaschinen oder mobile Anlagen handelt.
Bild: Siemens AGZugriff auf identische Anlagen im Feld
Eine der Herausforderungen für Serienmaschinenbauer ist es, identische Maschinen und Anlagen, die auch die gleiche Netzwerkkonfiguration aufweisen (z.B. identische IP-Adressen, da immer das gleiche TIA-Projekt geladen wird) über Fernzugriff zu erreichen. Zu einem virtuellen Netzwerk zusammengeschaltet, würden die gleichen Adressen zu Konflikten führen - mit dem Resultat, dass die Anlagen nicht erreichbar wären. Hier hilft die Lösung mit 1:1 NAT - diese Art der Adressübersetzung erlaubt es, Maschinen mit gleichen lokalen IP-Adressen unterschiedliche virtuelle Adressen zuzuweisen. Die Verwaltung der lokalen und virtuellen Adressen erfolgt zentral in der Server-Applikation. Sie unterstützt das 1:1-NAT-Szenario, wählt die identischen Anlagen mit ihren zugehörigen virtuellen Adressen direkt aus und verbindet diese. Die Telefonbuchfunktion erlaubt zudem die übersichtliche Darstellung der Maschinen, sodass sich per Mausklick die richtige Maschine auswählen und via VPN verbinden lässt.
Anbinden mobiler und entlegener Anlagen
Solange der Fernzugriff auf Anlagen und Maschinen innerhalb einer Fabrik erfolgt, steht meist eine Internetverbindung über das Firmennetzwerk zur Verfügung. Hier kommt das Security-Modul Scalance S615 von Siemens zum Einsatz. Sollte eine solche Anbindung nicht möglich sein, lässt sich meist eine eigene DSL-Leitung nutzen. Hierzu dient der DSL-Router Scalance M816. Liegen die Anlagenteile aber in entlegenen Gegenden (z.B. bei Wasser- und Abwasseranlagen) oder sind mobil (z.B. Abfallcontainer oder -pressen) kommen Mobilfunkgeräte zum Einsatz. Hier bietet Siemens mit dem Scalance M876-4 ein LTE-Gerät zur breitbandigen Anbindung. Für den weltweiten Einsatz sind auch 2G und 3G sowie ein Gerät für den US-Markt verfügbar. Alle Mobilfunk-Router lassen sich an die Managementplattform Sinema Remote Connect anbinden. Je nach Ausführung stehen zwei oder vier lokale LAN-Ports zur Verfügung, über die sich entsprechende Geräte wie Automatisierungsgeräte oder Kameras anbinden lassen. Der Verbindungsaufbau vom Gerät zum Server kann wie bei drahtgebundenen Geräten über digitale Eingänge, aber auch über den Versand einer SMS an das Gerät erfolgen. Auch in diesem Fall - bei Anbindung identischer Anlagen über unterschiedliche Medien - hilft die zentrale Verwaltung aller Geräte und Nutzer. Über die Telefonbuchfunktion im Client sind die zu erreichenden Teilnehmer eindeutig selektierbar. Weiter sind im Client die Geräte sichtbar, sodass es beispielsweise möglich ist, einen Knoten hinter einem Mobilfunkgerät, z.B. per SMS-Weckruf an das Gerät, auf Anforderung zu erreichen.
Fazit: einfach, transparent, gesichert
Die Dezentralisierung von Produktionsstätten und der schnelle wie auch gesicherte Zugriff auf diese ist für Unternehmen auch in Zukunft eine wichtige Maßnahme, um im globalen Wettbewerb Marktanteile zu sichern bzw. auszubauen. Daher wird der Bedarf an einfachen, aber zugleich immer performanteren Fernzugriffsszenarien weiter steigen. Industrie-Router bilden eine robuste Grundlage für das Fernzugriffsnetzwerk. Moderne Security-Mechanismen wie Firewall, IPsec und OpenVPN gehören ebenso wie die Mobilfunkstandards bis 4G zu heutigen Lösungen von Siemens. Abgerundet wird die Fernzugriffslösung durch die Managementplattform für Remote Networks. Sie ermöglicht den IP-basierten, transparenten Fernzugriff - einfach, gesichert, jederzeit und nahezu überall.
Getrieben durch die Anforderungen der wachsenden Digitalisierung vernetzen Hersteller heute zunehmend auch kleinere Anlagen und Serienmaschinen. Die Anforderungen an industrielle Sicherheit und den Schutz firmenvertraulicher Daten bei gleichzeitig wachsendem Bedarf nach gesichertem Fernzugriff auf Anlagen und Maschinen führt dabei häufig zu komplexen, wenig flexiblen Lösungen. Hier schaffen zentrale Konzepte mithilfe von Server-Applikationen Abhilfe.
Bild: Siemens AGSoll der gesicherte Fernzugriff für eine Vielzahl von Zellen im Netzwerk erfolgen, bietet sich ein zentrales Konzept an, das sich von allen Zellen auf die gleiche Art und Weise nutzen lässt. Dies erfolgt stets unter der Vorgabe, dass die Anlagen den Verbindungsaufbau bei Bedarf lokal initiieren und die Verbindung von innen nach außen aufgebaut wird. Auf der anderen, der zentralen Seite, bietet sich dadurch die Möglichkeit, die entgegenzunehmenden Verbindungen zentral zu verwalten und identische Anlagen ein-eindeutig abzubilden. Damit lassen sich grundlegende Anforderungen an die Vernetzung von Automatisierungszellen in einem Netzwerk ableiten. Im Falle von Serienmaschinen oder mehreren identischen Zellen gilt dies beispielsweise für das zentrale Management, das die einfache Verwaltung einer Vielzahl identischer, lokaler IP-Subnetze ermöglicht. Aus dem Management der Zellen leiten sich entsprechend auch die Möglichkeiten der Gegenstellen für den Fernzugriff im Netzwerk ab. Der Servicetechniker, der versucht, die Zelle zur Wartung zu erreichen, ist so in der Lage, innerhalb kurzer Zeit verschiedene Zellen nacheinander oder gleichzeitig zu erreichen. Dabei spielt es eine entscheidende Rolle, dass das ohne großen Aufwand und IT-Fachkenntnisse möglich ist. Der Servicetechniker benötigt also ein einfaches Werkzeug, über das er die Fernwartungsendpunkte der Automatisierungszelle im Netzwerk erreicht. Da sich die Zellen zentral an einer Plattform melden, ist es also naheliegend, dass der Servicetechniker ebenfalls in der Lage ist, die zentrale Stelle bei Bedarf zu erreichen. Bei der Wahl der Verschlüsselungstechnik für den Verbindungsaufbau ist zu beachten, dass sie entsprechend einfach und flexibel an die unterschiedlichen Bedürfnisse der industriellen Netze anpassbar, aber dennoch sicher ist. Es bieten sich z.B. zertifikatbasierte Mechanismen auf Basis von Open VPN oder auch IPsec an. Die Themen der Zugriffskontrolle, Authentisierung und Autorisierung sind ebenfalls kritischer zu betrachten als im täglichen Büroalltag. So bietet es sich an, genau zu analysieren, wer zu welchem Zeitpunkt mit welchem Teilnehmer verbunden sein darf und welche Berechtigungen er dort besitzt. Daraus lässt sich die Planung von beispielsweise Firewall-Regeln, Benutzer- und Gerätegruppen sowie deren Kommunikationsbeziehungen zueinander ableiten. Sinema Remote Connect von Siemens ist eine Server-Applikation, mit der Anwender die Möglichkeit haben, weitverteilte Anlagen oder Maschinen über Fernzugriff komfortabel und sicher zu warten, auch wenn die Maschinen in fremden Netzwerken eingebunden sind, es sich um Serienmaschinen oder mobile Anlagen handelt.
Siemens AG
Dieser Artikel erschien in SPS-MAGAZIN 5 2017 - 22.05.17.Für weitere Artikel besuchen Sie www.sps-magazin.de
