TOP
Ho-Ho-Ho!
OT/IT-Gateway IGW/936A: Domänenbildung und -isolation zwischen Ethernet-basierten IT- und OT-Netzwerken

IGW/936A: Sichere OT/IT-Integration

Verschiedene EU-Regularien, die überwiegend in 2022 auf den Weg gebracht wurden, beziehen sich nicht nur auf die Unternehmens-IT, sondern auch auf die vernetzten Maschinen und Anlagen in der Produktion, also alles, was man mittlerweile unter dem Oberbegriff "Operation Technology" (OT) zusammenfasst.

Im Umfeld vernetzter Maschinen und Anlagen ist der Schutz gegen Cyberangriffe besonders an den Verbindungspunkten zwischen IT- und OT-Netzwerken eine anspruchsvolle Herausforderung. Und genau dafür wurde das multifunktionale OT/IT-Gateway IGW/936A entwickelt.

Schwerpunkt Cybersicherheit

Das IGW/936A bietet vielfältige Konfigurationsmöglichkeiten, die sich individuell an die Besonderheiten einer OT/IT-Integration anpassen lassen.

Basierend auf einem innovativen Service-orientierten Gateway-Konzept, lässt sich daher die maximal mögliche Cybersicherheit für eine konkrete Aufgabenstellung realisieren.

Weitere Anwendungen für das IGW/936A sind:

  • Industrielle Layer4/Layer7-Firewall
  • VPN-Gateway mit MFA-Sicherheit
  • Unidirektionales Gateway (OT/IT-Datendiode)
  • Virtuelles OT-Patch-Management

Highlights

  • Physikalische und logische OT/IT-Segmentierung
  • Optional unidirektionaler Datenfluss vom OT-Netz in das IT-Netzwerk
  • Keine offenen TCP/UDP Ports vom IT-Netz in das OT-Netzwerk
  • Blockade des gesamten eingehenden ARP/ICMP-Verkehrs
  • Sensoroption zur Erkennung von Eindringlingen aus der IT-Richtung
  • Option zur Erkennung von anomalem Datenverkehr im OT-Netzwerk
  • Schnittstellen für externe Sensoren, z. B. für die Sabotageerkennung
  • A/B Dual Boot-Partitionen

Produkt das Jahres 2024

Produkt des Jahres 2024

Das IGW/936A wurde vom Fachmagazin Computer&Automation für das Produkt des Jahres 2024 in der Kategorie Kommunikation & Vernetzung nominiert!

Stimmen Sie noch bis zum 17. Februar ab – am besten natürlich für das IGW/936A ;) – und gewinnen Sie mit etwas Glück ganz nebenbei einen der Preise.

 

Jetzt abstimmen!

Infrastrukturmodul zur Domänenbildung und -isolation

Die nebenstehende Abbildung zeigt das IGW/936A als Infrastrukturmodul zur Domänenisolierung zwischen den Ethernet-basierten Netzwerken einer IT- und OT-Umgebung.

Darüber hinaus können verschiedene OT-Baugruppen in RS485-basierten Bussystemen, wie z. B. Modbus RTU, aus einem Ethernet-basierten IT-Netzwerk über ein IGW/936A angesprochen werden.
Dabei ist eine Zugriffsrechteverwaltung bis auf den einzelnen Modbus-Datenpunkt möglich.

Virtuelles Patchen

Ein virtueller Patch schließt nicht die Sicherheitslücke einer fehlerhaften Anwendung bzw. Firmware einer Baugruppe. Er sorgt stattdessen über eine externe Zwischen- bzw. Isolationsschicht dafür, dass sich die Sicherheitslücke nicht durch externe Zugriffe für Cyberattacken ausnutzen lässt. Die folgende Abbildung beschreibt ein fiktives Beispiel mit dem IGW/936A.

1

Innerhalb des OT-Netzwerks befindet sich eine Baugruppe, mit einer bekannten Schwachstelle im TCP/IP-Protokollstack. Über diese Sicherheitslücke lässt sich die Baugruppe in einen inaktiven Zustand versetzen, der nur mittels Unterbrechung der Versorgungsspannung wieder verlassen wird.
Ein Software-Update steht für diese Baugruppe nicht zur Verfügung. Da die Baugruppe aber besondere Eigenschaften für den gesamten Anlagenbetrieb hat, kann sie auch nicht einfach durch ein anderes Modell ersetzt werden.

2

Der Datenfluss des Verbindungsprozesses wird hinsichtlich der externen Zugriffe auf die betroffene Baugruppe analysiert.

Es stellt sich heraus, dass eine IT-Anwendung existiert, um die Konfigurations- und Betriebsdaten für die Baugruppe zu managen. Dabei kommt HTTP(S) zum Einsatz. Insofern kann nicht auf die Zugriffsmöglichkeit aus dem IT-Netzwerk auf die Baugruppe im OT-Netzwerk verzichtet werden.

3

Es wird eine Softwarekomponente mit einer HTTP(S)-Proxy-Serverfunktion für den Verbindungsprozess entwickelt und über einen Patch Management Server auf dem IGW/936A installiert. Dadurch wird der direkte Zugriff aus dem IT-Netzwerk auf die betroffene Baugruppe unterbunden; es ist nun nur noch ein indirekter Proxy-Zugriff möglich.

4

Durch den Datenfluss der Proxy-Serverfunktion auf dem IGW/936A entstehen zwei HTTP(S)-Verbindungen:
In Richtung des IT-Netzwerks bildet die Proxy-Serverfunktion einen HTTP(S)-Server, in Richtung der fehlerhaften OT-Baugruppe einen HTTP(S)-Client.

Technische Daten

Single Board Computer
Modell DIL/NetPC DNP/8331
Prozessor
Hersteller / Typ Sochip S3 mit ARM Cortex-A7-CPU
Taktgeschwindigkeit 1008 MHz
Speicher
RAM 128 MB DDR3 SDRAM
Flash 8 GB NAND-Flash-Massenspeicher für Betriebssystem und Anwendungen
Schnittstellen
Ethernet 2x 10/100 Mbps (RJ45)
USB 1x USB 2.0 Host
Serielle I/Os 1x RS485 serieller Port (Schraubklemme)
1x RS232/RS485 serieller Port (Schraubklemme)
Spezialfunktionen
Echtzeituhr (RTC) 1x Echtzeituhr
Watchdog 1x Timer Watchdog
(Hardware-basiert, Software-konfigurierbar)
1x Power Supervisor (Hardware-basiert)
Anzeigen / Kontrollelemente
LEDs 1x Power
1x Status
1x Systemstatus (programmierbar)
1x VPN-Status (programmierbar)
Elektrische Eigenschaften
Spannungsversorgung 12 .. 24 VDC über externes Netzteil
Leistungsaufnahme < 10 W
Mechanische Eigenschaften
Schutzart IP20 Industriegehäuse für 35 mm Hutschiene
Masse < 270 g
Maße 112 mm x 100 mm x 45 mm
Betriebstemperatur 0 .. 60 °C
Standards und Zertifikate
EMC CE
Umweltstandards RoHS, WEEE

Softwareausstattung

Software
Betriebssystem SSV Debian Buster Linux
Bootloader U-Boot Bootloader mit A/B Dual-Boot-Partitionen
Administration SSV/WebUI plus Firmware
Security TCP/IP Protokoll-Stack mit IPv4- und IPv6-Support und diversen Security-Protokollen
Firewall netfilter + iptables, UDP/TCP-/Application-Firewall

SSV Software Systems GmbH

Dünenweg 5
30419 Hannover

Fon: +49(0)511 · 40 000-0
Fax: +49(0)511 · 40 000-40

sales@ssv-embedded.de


Impressum    ·    Datenschutz    ·    AGB

© 2024 SSV SOFTWARE SYSTEMS GmbH. Alle Rechte vorbehalten.

ISO 9001:2015