Sichere WLAN-Zugänge zu Maschinennetzwerken

Von |

Im Zentrum der Digitalisierung, des Zukunftsprojekts Industrie 4.0 und des Internet of Things (IoT) steht die komplett vernetzte Maschine. Doch wie lässt sich der Zugriff der Nutzer auf eine solch hochkommunikative Anwendung sicher gestalten? Mit dem Funkmodul WLAN 1100 stellt Phoenix Contact einen Access Point zur Verfügung, der diese Aufgabe anwenderfreundlich realisiert.

Ein Beitrag von Dipl. Ing. (FH) Jürgen Weczerek, Manager im Produktmarketing Network Technology

Wireless LAN-Passwort reicht bei vielen Nutzern nicht aus

Bei der Einrichtung eines WLAN-Zugriff auf Maschinen und Anlagen sind einige Sicherheitsrisiken zu bedenken

Die meisten Netzwerkgeräte erlauben einen Zugriffsschutz, indem sich der Nutzer über ein gemeinsames Gerätepasswort authentifiziert. An sich stellt ein solch sicheres Passwort eine hohe Abwehr von unerlaubten Schadhandlungen zur Verfügung. Allerdings führen die Generierung eines entsprechenden Passworts sowie dessen sichere Dokumentation für den Maschinenbediener zu einem großen Aufwand. Da die Nutzer oftmals davon ausgehen, dass der Zugang zum Netzwerk mechanisch geschützt ist, fehlt ihnen in der Praxis häufig das Problembewusstsein. Dies zeigt sich darin, dass die Netzwerkgeräte meist lediglich über das herstellerseitige oder ein einfaches maschinenbauerspezifisches Default-Passwort geschützt sind. Diese Aussage trifft oft ebenfalls für das Wireless LAN-Passwort (WPA-PSK) zu, welches den Zugriff über den WLAN Access Point auf das Maschinennetzwerk absichert. Wer die Passworte kennt oder weiß, wo sie abgespeichert sind, hat somit freien Zugang zu allen Geräten im Netzwerk.

WPA-PSK genügt zwar, um den Datenverkehr in Wireless LAN-Netzen sicher zu verschlüsseln. Doch mag sich ein Passwort für sämtliche Nutzer von Heimnetzwerken eignen, schützt das Verfahren in Maschinennetzen mit einer Vielzahl häufig wechselnder Nutzer nicht vor unbefugten Zugriffen. Denn durch die ständige Weitergabe ist das geheime Passwort schnell allgemein bekannt. Spätestens dann, wenn einem Nutzer oder Tablet-PC nur vorübergehend Zugang zum Netzwerk eingeräumt worden ist, muss das Passwort erneuert werden. Dies, weil sowohl Nutzer als auch Tablet-PC die Zugangsdaten kennen. Smart Devices merken sich diese zudem und verbinden sich automatisch mit dem Netzwerk, sobald sie in seiner Reichweite sind – und das selbst in dem Fall, wenn der Zugriff nicht mehr gewollt oder erlaubt ist.

Maschinensteuerung übernimmt die automatisierte Netzwerkadministration

In einem IT-Netzwerk werden den Nutzern hingegen individuelle Passwörter zentral von einem Administrator zugewiesen und durch einen Server – zum Beispiel einen Radius-Server – an die Netzwerkgeräte verteilt. Ändern sich die Zugriffsrechte eines Nutzers, passt der Administrator dies im zentralen Server an. Die IT-Netzwerke nutzen für das Wireless LAN daher statt WPA-PSK den Security-Mode WPA Enterprise. Bei diesem Verfahren handelt der WLAN Access Point die Verbindungsanfragen der Clients – beispielsweise eines Tablet-PCs – über das Protokoll IEEE 802.1x mit einem nachgelagerten Radius-Server aus. Maschinennetze werden nicht von Netzwerkadministratoren betreut. Die einmal eingerichteten Nutzerrechte und Passwörter bleiben deshalb in der Regel über die gesamte Einsatzdauer der Maschine unverändert gültig. Vor diesem Hintergrund stellt die Implementierung von IT-Diensten – wie die Integration eines Radius-Servers in die Maschine – ebenfalls keine Lösung dar, da sie nicht von einem Administrator gepflegt werden.

Die geschilderte Herausforderung lässt sich umgehen, indem die Netzwerkadministrierung automatisiert und durch die Maschinensteuerung übernommen wird. Ein solcher Ansatz ist nicht nur kostenneutral und praktikabel, sondern ermöglicht dem Maschinenbauer darüber hinaus die volle Kontrolle und Flexibilität bei der Umsetzung. Wichtige Voraussetzung ist jedoch, dass das Netzwerkgerät – in diesem Fall der WLAN Access Point – eine Schnittstelle umfasst, über welche es die Maschinensteuerung zur Laufzeit steuern kann. Daher hat Phoenix Contact ein Web-API-Interface in seine speziell für den Maschinenbau entwickelten Netzwerkkomponenten eingebaut. Einzelne Funktionen der Netzwerkgeräte lassen sich durch das Versenden von HTTP-GET-Nachrichten zur Laufzeit steuern.

Das kompakte WLAN-Funkmodul WLAN 1100 auf einer Maschine

Ferner kann das komplette Modul so einfach durch die Maschinensteuerung konfiguriert werden. Die Syntax der Kommandos entspricht dabei der des Standard Command Line Interface (CLI). Der WLAN Access Point der Baureihe WLAN 1100 verfügt über eine entsprechende Schnittstelle.

 

 

Einmalpasswort wird bei jedem Verbindungsaufbau generiert

Der Nutzer, der sich über seinen Tablet-PC mit dem Maschinennetzwerk verbinden möchte, meldet seinen Zugangswunsch zum Beispiel über ein Bedienen-und-Beobachten-Terminal an. Die Steuerung generiert daraufhin ein zufälliges Einmalpasswort. Anschließend konfiguriert und aktiviert sie einen virtuellen Access Point im WLAN 1100 per HTTP-GET-Nachricht. Das Einmalpasswort zum neuen WLAN-Netz wird dem Nutzer danach über das Bedienen-und-Beobachten-Terminal mitgeteilt. Als komfortablere Möglichkeit erweist sich die Ausgabe als QR-Code, der mit der Kamera des Tablet-PCs eingelesen und so automatisch die WLAN-Verbindung eingerichtet werden kann. Benötigt der Nutzer die Verbindung nicht mehr, deaktiviert die Steuerung den virtuellen Access Point. Die Kenntnis des WLAN-Passworts sowie die automatische Speicherung im Tablet-PC zeigen sich zukünftig also nicht mehr als Sicherheitsrisiko, weil beim nächsten Verbindungsaufbau ein neues Einmalpasswort erstellt und verwendet wird.

Automatische Einmal-Passwort-Vergabe mit dem WLAN 1100

Der WLAN 1100 bietet weitere Möglichkeiten für einen einfachen und trotzdem sicheren Zugang zum Maschinenetzwerk. So lassen sich gleichzeitig bis zu zwei virtuelle Access Points mit individuellen WLAN-Sicherheitseinstellungen aufbauen. Neben einem einzigartigen WLAN-Passwort kann der Maschinenbetreiber die Anzahl der gleichzeitigen Verbindungen für jeden Zugang begrenzen sowie den Zugriff auf im Netzwerk installierte Geräte durch einen konfigurierbaren IP-Filter einschränken. Auf diese Weise stellt er zum Beispiel einen vollständigen Netzwerkzugang für den Servicetechniker und gleichzeitig einen Zugriff für den Maschinenbediener bereit, der lediglich Einsicht in den Visualisierungsserver nehmen darf. Darüber hinaus vergibt ein Port-basierter DHCP-Server individuelle und unabhängige IP-Adressen für jeden virtuellen WLAN Access Point an die WLAN-Clients.

Mehr Informationen

www.phoenixcontact.com/webcode/1373

2 Gedanken zu „Sichere WLAN-Zugänge zu Maschinennetzwerken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.