ABB MEASUREMENT & ANALYTICS SYSTEMHANDBUCH CEM-DAS Connect Sicherer Zugang zu CEM-DAS Systemen über ein öffentliches Netzwerk. Measurement made easy

Ähnliche Dokumente
EisBär SCADA 2.1 APP-Einrichtung

FGM1190 Glaskonus-Durchflussmesser

HANA CLOUD CONNECTOR

EisBär SCADA 2.1 ABB-Welcome

Nexinto Business Cloud - HAProxy Anleitung zum Aufsetzen eines HAProxy Images. Version: 1.0

FAM3200 Metallkonus-Schwebekörper-Durchflussmesser

Bedienungsanleitung Busch-Welcome. Tastatur-Modul 83171

ABB ME ASURE ME NT & AN AL YT ICS D AT ENB L ATT. Software für Contrac Regelantriebe Für Bedienung, Parametrierung und Service

Ersatzteilblatt SPL/FXE4000-DE43F-DE Rev. B. Magnetisch-induktiver Durchflussmesser FXE4000-DE43F

Bedienungsanleitung Busch-Welcome. Transponder-Modul 83172

Bedienungsanleitung Busch-Welcome. Fingerprint-Modul 83170

Docusnap X Discovery Service. Installation und Konfiguration

Version Deutsch In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IACBOX beschrieben.

IP System-Komponenten AUDIO VIDEO. CBM-300 IP Kamera-Modul. ab Firmware 4.4. Kurzanleitung Version 3.0. Kommunikation und Sicherheit

SaaS Exchange Handbuch. Version 2

IaaS Handbuch. Version 2

Proxy-Server Christoph Taborsky

Bestellsoftware ASSA ABLOY Matrix II

Absperrventile und Zubehör für Druckmessgeräte

MNS is Condition Monitoring Erhöhte Verfügbarkeit durch innovatives Design

terra CLOUD Hosting Handbuch Stand: 02/2015

Datenblatt 10/ DE. Linienschreiber LineMaster 300 Linienschreiber Minicomp MK Verbrauchsmaterial und Zubehör

BOL - Business OnLine Bequem online bestellen

ABB i-bus KNX IP-Schnittstelle, REG IPS/S 3.1.1, 2CDG110177R0011

Installationsanleitung für Haufe Advolux Kanzleisoftware ab Version 2.5 (Windows)

Niederdruck-Umschalthahn Mitteldruck-Umschalthahn

Technische Beschreibung. Drahlose Automatisierung Primärschleifenleiter WPC100

EisBär SCADA 2.1 Raumtemperaturregler

Dineso Software - Technische Daten

KNX Technisches Handbuch Busch-Installationsbus KNX. ETS-App "KNX Bus Update"

Einrichten der Mindbreeze InSpire Appliance Setzen einer statischen Netzwerkadresse von einem Microsoft Windows PC. Version 2017 Summer Release

BIT IT Cloudio. Konfigurationsanleitung

HowTo: VPN mit PPTP und dem Windows VPN-Client Version 2007nx Release 3

Netzwerke mit Windows

Präzise Luftregelung bei der Fließbetttrocknung durch kontinuierliche elektrische Regelantriebe der Contrac-Reihe

DigiVis500: Ihre Visualisierungslösung von ABB

Fernzugriff über Citrix Access Gateway (Campus Inselspital / Spitalnetz Bern AG) (Extern / Home Office)

1. Nutzung einer kabelgebundenen Verbindung (LAN) 2. Nutzung einer kabellosen Verbindung (Wireless Lan oder W-LAN)

Installation. Schulfilter Plus Installationsanleitung Debian 8 (Jessie) und Debian 9 (Stretch)

Einrichtung eines VPN (Vitual Private Network) mit einer FRITZ!Box als VPN-Server

ABB i-bus KNX Logik Controller ABA/S 1.2.1, 2CDG110192R0011

Schwachstellenanalyse 2012

PAIA2 und DAIA2. - der aktuelle Stand. Magdalena Roos Göttingen,

Einrichten einer Serverumgebung

Hinweise zur Nutzung des SSL- Gateways der BITBW für die Anmeldung an Systemen in der Landesverwaltung

Installation SelectLine API

Schnelleinstieg Agenda Anywhere

ABB i-bus KNX SUG/U 1.1 Split Unit Gateway

Cloud Extension nanoo.tv EDU

Systemanforderungen Manufacturing Execution System fabmes

PPPoE Passthrough. Dokument-ID PPPoE Passthrough Version 2.0. Ausgabedatum Konfigurationsanleitung. Centro Business. Swisscom (Schweiz) AG

PPPoE Passthrough. Dokument-ID PPPoE Passthrough Version 2.0. Ausgabedatum Konfigurationsanleitung. Centro Business. Swisscom (Schweiz) AG

Service Energietechnik. ABB Power Care Umfassende Unterstützung über den gesamten Lebenszyklus

Informationen zur Ersteinrichtung der Firewall/Router

ARCHIV- & DOKUMENTEN- MANAGEMENT-SERVER

Anleitung: Verwenden von Active Directory in der SPEXBOX

CARM-Server Zugriffsrechte für Modulkategorien

Sage Online-Backup. Installation und Einrichtung in Sage 50 Handwerk. Impressum Sage GmbH Emil-von-Behring-Str Frankfurt am Main

Präzise Luftregelung bei der Sprühtrocknung durch kontinuierliche elektrische Regelantriebe der Contrac-Reihe

Benutzerhandbuch. Workshops (Auszug) Sicherheits- und Administrations-Workshops. Benutzerhandbuch. bintec elmeg GmbH

Supportline für Mittelspannungsschutz und Schaltanlagenautomatisierung. - Wir lassen Sie nicht allein -

Technische Voraussetzungen

Installationsanleitung adsl Einwahl unter Windows 8

Partnerschaft für mehr Produktivität Bedarfsgerechtes Service Level Management für Prozessleitsysteme

Erweiterte Konfiguration Agenda Anywhere

Application Note. ipad. ipad Remote Desktop & WEB myhomecontrol. myhomecontrol Application Note: ipad Remote Desktop & WEB

Handbuch & FAQ für Payment Card Industry Data Security Standard (PCI)

Sage Online-Backup. Installation und Einrichtung in PC- Kaufmann

GFI-Mail mit Evolution

VPN-Zugang mit Cisco AnyConnect. Installation und Verwendung

Systemanforderungen AI Vergabemanager und AI Vergabeassistent

Firewall - Techniken & Architekturen

Einführung Internet Geschichte, Dienste, Intra /Extranet, Browser/Server, Website Upload. Dipl. Ing. Dr. Alexander Berzler

Systemvoraussetzungen für Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2

Bedingungen und Hinweise zur Nutzung des Internetzuganges in den Wohnanlagen des Studentenwerkes Leipzig

Handbuch WAS-Extension. Version 1.8.1

STRATO Mail Einrichtung iphone / ipad (ios 9)

STUN/TURN Server Topologien. Best Practice

PatientConcept ID - Mappingtool zur Verwaltung des ID-Codes. Bedienungsleitfaden PatientConceptID

NetMan Desktop Manager Quickstart-Guide

Collax Windows-L2TP/IPsec VPN Howto

estos UCServer Multiline TAPI Driver

Informationen zum. LANCOM Advanced VPN Client 3.10

Office Standardization. Encryption Gateway. Kurzinformation für externe Kommunikationspartner.

FOUNDATION fieldbus-kabel

CEM-DAS Digitale Schnittstelle Datenerfassungs- und Auswertesystem für die Emissionsüberwachung Softwareversion 1.2.0

e-design Benutzerhandbuch

Einrichten der WLAN Karte unter Open- Suse Leap 42.1

Einrichten der WLAN Karte unter Open- Suse 13.2

Ein Dienst für Hochschulen und Forschungsinstitutionen zum einfachen Synchronisieren und Teilen von Dokumenten

Vakuumvergossene Trockentransformatoren hi-t Plus

Veröffentlicht Januar 2017

Einfach, sicher, schnell & unkompliziert! Mieten Sie einfach Ihre komplette HotSpot-Installation

XEROX SICHERHEITSBULLETIN XRX Eine Schwachstelle im ESS/Netzwerkcontroller könnte potenziell unberechtigten Zugriff gewähren.

Mobile UI für ios und Android. SIMATIC WinCC Open Architecture

Transkript:

ABB MEASUREMENT & ANALYTICS SYSTEMHANDBUCH CEM-DAS Connect Sicherer Zugang zu CEM-DAS Systemen über ein öffentliches Netzwerk Measurement made easy

CEM-DAS CONNECT SYSTEMHANDBUCH TD/CEM-DAS-CONNECT-DE REV. A 3 Inhaltsverzeichnis 1 Einleitung... 4 1.1 Beschreibung... 4 1.2 Internetdresse... 4 2 Systemaufbau... 5 2.1 Übersicht... 5 2.2 Betreiber... 6 2.3 Connect Server... 6 2.4 Behörde... 6 3 Anmeldung... 7 4 Sicherheit... 8 4.1 Konzept... 8 4.2 Implementierung... 8 5 Zugehörige Unterlagen... 10 Abbildungsverzeichnis Abb. 1: Systemübersicht... 5 Abb. 2: Anmeldung... 7

4 CEM-DAS CONNECT SYSTEMHANDBUCH TD/CEM-DAS-CONNECT-DE REV. A 1 Einleitung 1.1 Beschreibung Das Produkt CEM-DAS Connect stellt Anwendern den gesicherten Zugriff auf CEM-DAS Systeme (siehe /1/ und /2/) über das Internet bereit. CEM-DAS Connect erlaubt beispielsweise das Abrufen von behördenrelevanten Informationen wie Wertelisten oder Protokolle. Typische Anwender von CEM-DAS Connect sind Behörden oder Betreiber. Über CEM-DAS Connect kann der Anwender über einen Webbrowser indirekt auf CEM-DAS Betreibersystemdaten zugreifen, diese ansehen und abrufen. Auch wenn mehrere Betreiber einer Behörde zugeordnet sind, erfolgt der Zugriff der Behörde immer über den zentralen CEM-DAS Connect Server. Die Behörde benötigt folglich nur die Internetadresse dieses zentralen Servers. Auf dem zentralen Server wird hinterlegt, welche Betreibersystemdaten der Behörde zur Verfügung gestellt werden. Das Betreibersystem muss nicht aus dem Internet erreichbar sein. Es benötigt nur den Zugriff auf den zentralen CEM-DAS Connect Server. 1.2 Internetdresse Der zentrale CEM-DAS Connect Server ist unter der folgenden Adresse aus dem Internet erreichbar: https://www.cemdas.eu

CEM-DAS CONNECT SYSTEMHANDBUCH TD/CEM-DAS-CONNECT-DE REV. A 5 2 Systemaufbau 2.1 Übersicht In der folgenden Abbildung 1 ist der Aufbau von CEM-DAS Connect schematisch dargestellt. Abb. 1: Systemübersicht

6 CEM-DAS CONNECT SYSTEMHANDBUCH TD/CEM-DAS-CONNECT-DE REV. A 2.2 Betreiber Auf dem CEM-DAS Server des Betreibers wird das Programm Gateway Client als Windows Dienst installiert. Dieser baut eine Verbindung zum CEM-DAS Connect Server auf, ruft dort Anfragen der Behörde ab und bearbeitet und beantwortet diese. 2.3 Connect Server Der zentrale CEM-DAS Connect Server stellt Anfragen der Behörde für den entsprechenden CEM- DAS Server des Betreibers bereit. Der Gateway Client holt die Anfragen ab und bearbeitet diese, wofür dieser wiederum entsprechende Anfragen an den CEM-DAS Server stellt. Die bearbeiteten Anfragen werden vom CEM-DAS Connect Server zurück an die Behörde weitergeleitet. Der CEM-DAS Connect Server verfügt über eine Zugangsliste, in der festgelegt ist, welche CEM- DAS Serverdaten für die Behörde zugänglich sind. 2.4 Behörde Über einen Webbrowser meldet sich die Behörde am CEM-DAS Connect Web-Interface an. Nach erfolgreicher Anmeldung kann die Behörde die benötigten Daten abrufen.

CEM-DAS CONNECT SYSTEMHANDBUCH TD/CEM-DAS-CONNECT-DE REV. A 7 3 Anmeldung Zur Anmeldung am CEM-DAS Connect Web-Interface werden vom Betreiber für die Behörde Benutzername und Passwort vergeben. Die Anmeldung erfolgt auf der Webseite mit der Adresse https://www.cemdas.eu. Abb. 2: Anmeldung Nach der erfolgreichen Anmeldung wird die Web-Oberfläche des CEM-DAS Betreibersystems dargestellt. Zum Zugriff auf die benötigten Daten siehe /2/.

8 CEM-DAS CONNECT SYSTEMHANDBUCH TD/CEM-DAS-CONNECT-DE REV. A 4 Sicherheit 4.1 Konzept CEM-DAS Connect wurde von Grund auf mit den aktuell empfohlenen besten Sicherheitspraxen entwickelt. Das Produkt ist darauf ausgelegt, die beste Kombination von Sicherheit und Funktionalität zu ermöglichen. Dabei hat die Sicherheit der Integrität und Verfügbarkeit des CEM-DAS Betreibersystems den höchsten Stellenwert. Insofern ist das zentrale CEM-DAS Connect Server Konzept so ausgelegt, dass selbst bei einem Angriff mit den ungünstigsten Randbedingungen (ein Angreifer bekommt kompletten administrativen Zugriff auf den zentralen Server) die Betreibersysteme bestmöglich geschützt sind. Dieser Schutz wird dadurch erreicht, dass der Gateway Client Dienst außerhalb des Betreibersystems nicht sichtbar ist. Es kann keine Verbindung zu ihm aufgebaut werden. Die Kommunikation zwischen Gateway Client Dienst und CEM-DAS Connect Server wird ausschließlich vom Gateway Client Dienst initiiert und aufgebaut. Dadurch werden Angriffe auf das Betreibersystem, z.b. über den CEM-DAS Connect Server oder das Internet, unterbunden. Da der CEM-DAS Connect Server nur als Vermittler zwischen Betreiber und Behörde dient, werden die Daten des CEM-DAS Servers nicht gespeichert, sondern nur durchgereicht. 4.2 Implementierung Bei der Implementierung wurden folgende sicherheitsrelevante Konzepte und Aspekte verfolgt bzw. umgesetzt: Durchgehende TLS 1.2 Standard basierende Verschlüsselung von allen per Netzwerk ausgetauschten Daten. Begrenzung der Angriffsfläche durch die bewusste Minimierung der verfügbaren Funktionalitäten. Das Betreibersystem darf nicht dem Internet ausgesetzt sein. Der betreiberseitige Gateway Client Dienst nimmt keine Verbindungen an, weder vom Internet noch anderweitig. Der betreiberseitige Gateway Client Dienst enthält und speichert keine Zugangsdaten. Nur der CEM-DAS Connect Server akzeptiert eingehende Verbindungen. Dadurch werden Betreibersysteme von allen internetseitigen Angriffen (wie z.b. Schwachstellenausnutzung und DDoS) isoliert. Der CEM-DAS Connect Server läuft auf einer gehärteten Minimalinstallation von Debian Linux, das zyklisch mit Sicherheitsupdates aktualisiert wird. Der CEM-DAS Connect Server läuft als Gast in einem VMware ESXi Cluster innerhalb von einem mit einer Firewall gesicherten DMZ-Netz. Der CEM-DAS Connect Server wird zusätzlich mit einer Firewall gesichert (Ferm, Konfiguration für iptables). Der betreiberseitige Gateway Client Dienst benötigt keinen direkten Zugang zum Internet, er kann über einen oder mehrere Proxy Server (HTTP, SOCKS und Proprietär) auf das Internet zugreifen.

CEM-DAS CONNECT SYSTEMHANDBUCH TD/CEM-DAS-CONNECT-DE REV. A 9 Die Standardeinstellungen des betreiberseitigen CEM-DAS Servers müssen nicht angepasst werden (es muss keine eingehende Verbindung freigegeben sein). Der CEM-DAS Connect Server wurde mit.net Core 2.2 implementiert. Dadurch werden die meisten Angriffsvektoren (z.b. Buffer Overflow) schon vor der Ausführung unterbunden. Zudem wurde eine umfassende Protokollierung realisiert, die eine ausführliche Nachforschung von Ereignissen erlaubt. Die Anmeldeinformationen und die Zugangsliste werden per individuell gesalzenem SH512 Hash irreversible verschlüsselt gespeichert.

10 CEM-DAS CONNECT SYSTEMHANDBUCH TD/CEM-DAS-CONNECT-DE REV. A 5 Zugehörige Unterlagen Nr. Unterlagennr. Titel /1/ TD/CEM-DAS-DE CEM-DAS Systemhandbuch /2/ OI/CEM-DAS-DE CEM-DAS Bedienhandbuch

ABB Automation GmbH Measurement & Analytics Stierstädter Str. 5 60488 Frankfurt am Main Germany E-Mail: cga@de.abb.com abb.de/analysentechnik Technische Änderungen sowie Inhaltsänderungen dieses Dokuments behalten wir uns jederzeit ohne Vorankündigung vor. Bei Bestellungen gelten die vereinbarten detaillierten Angaben. ABB übernimmt keinerlei Verantwortung für eventuelle Fehler oder Unvollständigkeiten in diesem Dokument. Wir behalten uns alle Rechte an diesem Dokument und den darin enthaltenen Themen und Abbildungen vor. Vervielfältigung, Bekanntgabe an Dritte oder Verwendung des Inhaltes, auch auszugsweise, ist ohne vorherige schriftliche Zustimmung durch ABB verboten. ABB 2019 3KXG141104R2903 TD/CEM-DAS-CONNECT-DE Rev. A 03.2019

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback