170118_etz_Fernwartung_SoIP.doc 1/6

Ähnliche Dokumente
ExtendedRouting Funktionsbeschreibung

Funktionsbeschreibung. Version: DE

mbnet.easy verfügbar: KW 48/13

Zielobjekt: Einfamilienhäuser und Wohnungen, bei denen. die Gebäudefunktionen über mobile Endgeräte gesteuert. werden sollen.

Vorstellung mwatcher Fernwartungskonzept. Christian Zedi

Technical Note 0409 ewon

Remotezugriff auf Router-Portal

IRF2000 Application Note Port - Weiterleitung

Fernwartung mit SINEMA Remote-Connect. Modul 7

Version Deutsch In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IACBOX beschrieben.

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 5.1 vom Kassenärztliche Vereinigung Niedersachsen

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 6.0 vom Kassenärztliche Vereinigung Niedersachsen

HowTo SoftEther VPN Server (global)

ENDIAN CONNECT PLATFORM FÜR INDUSTRIE 4.0

Fernwartung, was kann da schon schiefgehen? Erfahrungsberichte aus dem BSI

FIRMWARE V 5.0. Die wichtigsten Änderungen DE MDH800 MDH859

Implementierung einer universellen WLAN-Router-Lösung für die Filialvernetzung

Plattform MX6 Softwareoption SM109 VPN Client

Informationen zum. LANCOM Advanced VPN Client 3.10

Unsere Remote Solutions bringen Sie weiter voran. Viel weiter!

MC100 GERMAN ENGINEERING QUALITY. INNOVATIVE VPN-LÖSUNGEN Home & Business.

ESTOS XMPP Proxy

ESTOS XMPP Proxy

Kurz zu meiner Person: Michael Ziegler

Benutzerhandbuch. ABC-Industrial Panel. HMI Einrichtung in TIA

Einsatz des Facility Pilot Servers zur Fernwartung und Inbetriebnahme

Internet basiertes TeleService-System

Optionen im TIA Portal

V die wichtigsten Änderungen. MDH800 - MDH859 (ab HW 02) - V DE

Anbindung an die industrielle Cloud. Integration industrieller Netze in das Internet der Dinge und Anwendungen für Industrie 4.0

Web-based Engineering. SPS-Programmierung in der Cloud

PPPoE Passthrough. Dokument-ID PPPoE Passthrough Version 2.0. Ausgabedatum Konfigurationsanleitung. Centro Business. Swisscom (Schweiz) AG

PPPoE Passthrough. Dokument-ID PPPoE Passthrough Version 2.0. Ausgabedatum Konfigurationsanleitung. Centro Business. Swisscom (Schweiz) AG

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Unsere Remote Solutions bringen Sie weiter. Viel weiter!

NAT Network Adress Translation

HANA CLOUD CONNECTOR

Herausforderung Multicast IPTV

Separierung/Isolation Steffen Heyde secunet

Vorlesung: Virtualisierung und Rechenzentrumsinfrastrukturen. Lars Göbel & Christian Müller VL02: Einführung in die Virtualisierung

Informationen zum. LANCOM Advanced VPN Client 3.10

In den folgenden Kapiteln werden die Anschlussmöglichkeiten, die Internettelefonie und der Fernzugang erläutert.

Copyright MB Connect Line GmbH 2014

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Shared Device mit F-CPU S und SINAMICS

Verwendung des Applikationsprogramms. 1. Funktionsbeschreibung. Hinweis. GAMMA instabus Applikationsprogramm-Beschreibungen.

Ralph Zinser Business Development Manager Industrie 4.0

Service & Support. Security Status des CP1628 über die Online-Ansicht des Security Configuration Tool (SCT) ermitteln

Knowledge Base IPSec-Tunnel zwischen Fortigate und Draytek Vigor

CLIQ Manager Installation im Netzwerk

Outsourcing virtueller Infrastrukturen. IT-Trends-Sicherheit

Port-Weiterleitung einrichten

Industrial Remote Communication Remote Networks mit SCALANCE und SINEMA Remote Connect Bauzentrum München

Ubiquiti Edge Router X

Bezpieczne rozwiązanie do zdalnego serwisowania minimalizuje czasy przestoju obrabiarek pracujących w takcie obrotowym

EIBPORT 3 VPN SSL Nutzung mit OpenVPN-Client

Pega Cloud: Netzwerke

Das Tor zu Industrie 4.0. Remote-I/O-Gateway für Ethernet-basierte Kommunikation in der Prozessautomation

Eigenschaften von IP-Netzen (1 / 2)

Gleichzeitige Nutzung eines Telekom DSL-Anschlusses sowie eines Glasfaser-Anschlusses der Deutschen Glasfaser mit einem Lancom Router 1783VA

Fernzugriff auf die Unternehmens-EDV: Grenzenlose Flexibilität oder hohes Sicherheitsrisiko? Tobias Rademann

Schnellstart. MX510 mit public.ip via OpenVPN

Fernwartung mit IPX/S Geräten Konfiguration mit Fritz!Box 7270

VPN-Zugang mit Cisco AnyConnect. Installation und Verwendung

terra CLOUD Hosting Handbuch Stand: 02/2015

VPN Konfigurationsanleitung. Telekom Digitalisierungsbox Premium

mbw-babywatch Datenschutzkonzept

Rolle der Körperschaften und Aktivitäten der KBV

Migrationsanleitung FDS BCM File Delivery Services Umstellung auf die Standort-redundante FDS-Plattform

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

mobile.lan Paket Konfiguration

meetwise für den Maschinenbau meetwise edition mb Dezember Seite 1

HowTo SoftEther Site-2-Site (Client-Bridge)

Netzwerklösungen für mittelständische Unternehmen

Vortrag zum Automation Day Einfach und sicher die Anforderung an die industrielle Fernwartung! Siegfried Müller, Geschäftsführer

Stand: Februar IT-Sicherheitsrichtlinie Externe Dienstleister

Wie verschlüsseln Sie die Verbindung zwischen SIMATIC Logon und einem Comfort Panel oder einer WinCC Runtime Advanced?

Die aktuellen Versionen des ConfigTools NEO und des AIO Creator NEO können Sie unter herunterladen.

Zusammenarbeit mit Partnern

Einrichten einer Serverumgebung

Erweiterte Konfiguration Agenda Anywhere

Collax Windows-L2TP/IPsec VPN Howto

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

ABB MEASUREMENT & ANALYTICS SYSTEMHANDBUCH CEM-DAS Connect Sicherer Zugang zu CEM-DAS Systemen über ein öffentliches Netzwerk. Measurement made easy

Benutzeranleitung HomeAgents Eingereicht von:

Daten Monitoring und VPN Fernwartung

Link:

Mit smarten Kommunikationslösungen Schritt-für-Schritt ins industrielle IoT

Maschinen für Draht und Rohr

Netzwerkaufnahme leicht gemacht

Zugriff auf owncloud per HTTPS über das Internet

Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich

Collax ios-vpn Howto. Inhalt

Anleitung zur Freigabe der CL-Studio-Version

Einrichten einer echten demilitarisierten Zone (DMZ) mit zwei FritzBoxen

Dr.-Ing. Kühn. KuehnOpt. Zuschnittoptimierung und Etikettendruck direkt an der Säge für Android/Apple Hardware, embedded Systeme und Gateways 3/2018

Transkript:

170118_etz_Fernwartung_SoIP.doc 1/6 Industrie-Router ermittelt erreichbare Steuerungen 5 10 15 Fernwartung soll nicht nur sicher sein, sie soll auch möglichst viele Anwendungsfälle abdecken. Unter funktionalen Lücken, beispielsweise wenn auf Steuerungen mit unbekannter IP-Adresse nicht zugegriffen werden kann, leiden Rentabilität und damit auch die Akzeptanz. Der Fernwartungsbaukasten um das Remote-Service-Portal mbconnect24 bietet hier neue Möglichkeiten, ohne auf Security zu verzichten. Wenn das Servicepersonal eines Maschinebauers zum Kunden reisen muss, obwohl eine IP-basierte Fernwartungslösung im Einsatz ist, ist das ärgerlich. Beispielsweise muss der SPS-Programmierer bei einer Fernwartungsverbindung über das Internet die genaue IP-Adressen der Teilnehmer kennen. Es kommt in der Praxis aber immer wieder vor, dass an der Anlage eine SPS in Betrieb genommen oder ersetzt werden soll, deren IP-Adresse auf 0.0.0.0. steht oder nicht bekannt ist. Dann benötigt der Servicetechniker entweder Kollegen vor Ort, welche die Grundkonfiguration einrichten können, oder er ist dazu gezwungen, doch selber zur Anlage reisen. Beides ist mit Zeitaufwand verbunden und stört den Workflow eines effizienten Serviceablaufs erheblich. Hintergrund Discovery-Funktionen 20 25 Steuerungen werden häufig Out-of-the-box in die Anlage eingebaut. Das bedeutet: aus der Verpackung nehmen - einbauen - fertig. Das spart Zeit und hat keine hohen Ansprüche an das Personal. Zur Inbetriebnahme haben die SPS-Hersteller in ihren Programmiertools die sogenannten Discovery-Möglichkeiten integriert. Per Broadcast oder Multicast wird das Netzwerk auf vorhandene Steuerung gescannt, um die für die Inbetriebnahme relevanten Steuerungen zu finden. In der Regel sind diese Möglichkeiten jedoch auf das lokale Netzwerk beschränkt. Multicast funktioniert nicht über die Layer3-Kommunikation, auf der geroutete VPN-Verbindungen basieren. SERACHoverIP 30 Mit der neuen Funktion SEARCHoverIP bietet das Remote-Service-Portal mbconnect24 diese Arbeitserleichterung jetzt auch für den Fernzugriff. Sobald der Programmierer über das Portal mit einem Industrie-Router verbunden ist, wird die Multicast-Anfrage an den Router weitergeleitet und dort ausgeführt. Die Antwort wird an die Programmiersoftware zurückgegeben und der Anwender kann die Steuerung auswählen und parametrieren. Damit hat der Anwender über die Fernwartung die selben komfortablen Möglichkeiten wie im lokalen Netz. Neben den S7-Steuerungen

170118_etz_Fernwartung_SoIP.doc 2/6 35 von Siemens werden auch die SPSen von SchneiderElectric, Rockwell, Beckhoff und Pilz unterstützt. Eine weitere Neuheit ist das Extended Routing, das eine Fernwartung und Datenerfassung über verschiedene Netzwerksegmente hinweg erlaubt. Die neue Funktion bietet die Möglichkeit, unterschiedliche Netze über die an der LAN- Schnittstelle angeschlossenen Router zu erreichen. 40 45 50 55 60 65 Treiber für S7-Software Jede manuelle Änderung von Einstellungen und IP-Adresse kostet Zeit und gibt dem Anwender eine Möglichkeit, Fehler zu machen. Aus diesem Grund wurde der mbnet- S7-Treiber entwickelt, mit dem die Industrierouter mbnet optimal in die S7-Software von Siemens integriert werden. Der Treiber klinkt sich direkt in die "PG/PC Schnittstelle ein. Damit ist der Aufbau einer Fernwartungsverbindung ohne Änderung im S7-Projekt möglich. Dank Source-NAT sind am Anlagennetzwerk keinerlei netzwerktechnischen Konfigurationsänderungen erforderlich. Die mbnet-router sorgen im bestehenden Anlagen-Netzwerk für die Übersetzung der IP-Adressen zwischen dem privaten Netz und dem Internet. Eine Rekonfiguration der Geräte wegen des Standard-Gateway-Eintrags oder gar ein Neustart der SPS oder der ganzen Anlage während der Installation sind damit Vergangenheit. Für die Anbindungen von S7-Steuerungen über MPI- und Profibus dienen die Router als RFC 1006-Gateway einschließlich Routing über RFC 1006. Unterstützt werden auch das TIA-Portal V11 bis V13 sowie die neuen S7-1200- und S7-1500-CPUs. Fernwartung von USB-Geräten Mit der Funktion USBoverIP unterstützt das Remote-Service-Portal in Verbindung mit den Industrie-Routern mbnet.mini den Fernzugriff auf USB-Geräte. Damit lassen sich beispielsweise Steuerungen der Hersteller Schneider und Rockwell in moderne Fernwartungskonzepte integrieren ebenso Sensoren, Regler oder Kameras mit USB- Anschluss. Die Komponenten werden mit dem USB-Port eines Industrierouters mbnet.mini verbunden. Über USB over IP werden die selben hohen Sicherheitsstandards erfüllt wie bei direkten IP-Verbindungen. Die Übertragung der Daten erfolgt verschlüsselt über gesicherte Verbindungen. Die Verschlüsselung erfolgt anhand des Sicherheitsprotokolls TLS (SSL). Zugriff haben nur Benutzer, die auf dem zentralen Portal mit der entsprechenden Berechtigung registriert sind. Ist das auch sicher?

170118_etz_Fernwartung_SoIP.doc 3/6 70 75 80 85 90 95 100 Aus der Sicht der Automatisierungstechnik sind die Vorteile und der Nutzen von Fernwartung unbestritten, zumal die hier vorgestellten Funktionen und Dienste die Möglichkeiten der Fernwartung erweitert haben. Unabhängig davon, ob es sich um eine Anlagenstörung, um eine Umrüstung oder schlicht um Bedienfragen handelt, das Servicepersonal des Maschinenbauers kann per Fernwartung innerhalb von Minuten unterstützen. Was im Störungsfall eine tolle Sache ist, kann im Fall eines Missbrauchs zu großen Problemen führen. Verschafft sich jemand in böser Absicht Zugang zu technischen Anlagen, egal ob Produktionsanlagen, Gebäudetechnik oder Infrastruktur, können Schäden in bedeutender Höhe entstehen. Beispielsweise durch die Ausspähung von Rezeptur- und Produktionsdaten oder durch eine Manipulation der Anlage, die zur Zerstörung führt etwa durch Übertemperatur oder mechanische Überlastung. Das Thema Sicherheit und Zugriffsschutz fällt in der Regel in die Zuständigkeit der IT (Informationstechnik). Dort steht die Sicherheit an erster Stelle und damit über der Funktionalität und der Verfügbarkeit. Im Gegensatz dazu steht an einer Produktionsanlage die Verfügbarkeit über allem anderen. Das lässt sich mit einem einfachen Vergleich erklären: Die Steuerung eines Bearbeitungszentrums oder einer Abfüllanlage muss innerhalb von Millisekunden reagieren. Dagegen spielt es an einem Büro-PC keine Rolle, wenn der Benutzer einmal fünf Sekunden auf einen Virenscanner wartet. In der Praxis haben sich Lösungen bewährt, die auf einer zentralen Plattform wie mbconnect24 basieren. Diese erfüllen die Anforderungen der IT und der Automatisierungstechnik. Sowohl das Servicepersonal als auch die Maschinen und Anlagen verbinden sich mit der Remote Service Plattform. Der große Vorteil ist, dass Verbindungen von innen nach außen ohne Änderungen an bereits vorhandenen Firewalls funktionieren. Eingehende Verbindungsanfragen an den Maschinen kommen prinzipbedingt nicht vor. Bei den Kunden bereits eingeführte Sicherheitsstrategien bleiben unberührt. Die Übertragung der Daten erfolgt verschlüsselt über gesicherte VPN-Verbindungen. Als Verschlüsselungsprotokoll kommt TSL (SSL) zum Einsatz. Die Authentifikation erfolgt mittels Zertifikat und zusätzlicher Zwei-Faktor-Authentifizierung. Diese hohen Sicherheitsstandards ermöglichen den Einsatz auch in geschäftskritischen Anwendungen. Wo liegen die Daten?

170118_etz_Fernwartung_SoIP.doc 4/6 105 110 115 120 125 Ein zentraler Punkt, der im Rahmen der vielen Diskussionen um die Sicherheit immer wieder auf den Tisch kommt, ist die Frage, wo die Daten physikalisch gespeichert werden. Wo steht der Server? Wie ist dieser gesichert? Welche nationalen Gesetze gelten am Serverstandort? Hier bietet MB Connect Line mit mbconnect24.virtual eine passende Lösung. Die neue Remote Service Plattform für VMware vsphere kann direkt auf der Server-Infrastruktur des Anwenders betrieben werden. Damit befindet sich kein Tunnel-Endpunkt außerhalb des eigenen Hoheitsgebiets. Zudem sind alle Vorteile einer virtualisierten Umgebung wie Skalierbarkeit, Verfügbarkeit, Performance, Datensicherung und schnelle Wiederherstellung nutzbar. Über verschiedene Lizenzmodelle von Free bis Advanced wächst die Leistungsfähigkeit der Plattform mit den Kundenanforderungen mit. Dank regelmäßiger Sicherheitsupdates ist die Kundenplattform stets auf dem aktuellsten Stand. Mit dieser Lösung hat der Anwender nicht nur die Daten im Haus, er ist auch unabhängig von der Servicequalität externer Dienstleister. Fazit Industrial Security ist keine rein technische Angelegenheit. Auch organisatorische Umstände und der Faktor Mensch spielen eine wichtige Rolle. Allgemein bekannte Abteilungspasswörter müssen ebenso der Vergangenheit angehören wie die kleinen gelben Haftnotizen, welche die Passwörter für jedermann zugänglich machen. Die Anforderungen an Qualifikationen und Ausbildung der Mitarbeiter werden steigen. Während im Produktionsumfeld und in der Automatisierungstechnik grundlegende Kenntnisse in Sachen Security erforderlich sind, werden sich Verantwortliche der IT- Sicherheit, wie der Chief Information Security Officer (CISO), mit den Anforderungen der Produktionstechnik befassen müssen. Und nicht zuletzt sollte dem Management klar sein, dass es Industrial Security nicht zum Nulltarif geben kann. MB Connect Line zeigt den Fernwartungsbaukasten auf allen all about automation-veranstaltungen, auf der Elektrotechnik 2017 in Dortmund und auf der HMI 2017 in Hannover. 9.164 Anschläge 130 Autor: Siegfried Müller, Geschäftsführer, MB Connect Line

170118_etz_Fernwartung_SoIP.doc 5/6 MB_SEARCHoverIP_Aufbau.png Nach dem erfolgreichen Verbindungsaufbau ist SEARCHover IP bereit. 135 MB_SEARCHoverIP_gefunden.png Nachdem die Steuerung gefunden wurde, kann sie aus der Ferne konfiguriert werden.

170118_etz_Fernwartung_SoIP.doc 6/6 140 MB_Produktfamilie.png Das breite Programm an Industrie-Routern und Datenmodems ermöglicht den sicheren Zugriff auf Anlagen, Steuerungen, Prozessparameter und Betriebsdaten. 145 MB_SEARCHoverIP_Schema.png Die Industrie-Router mbnet und mbnet.mini können vorhandene Steuerungen auch ohne bekannte IP-Adresse finden.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback