DE102004033624A1 - Sicherheitsmodul für Netzwerke - Google Patents

Sicherheitsmodul für Netzwerke Download PDF

Info

Publication number
DE102004033624A1
DE102004033624A1 DE200410033624 DE102004033624A DE102004033624A1 DE 102004033624 A1 DE102004033624 A1 DE 102004033624A1 DE 200410033624 DE200410033624 DE 200410033624 DE 102004033624 A DE102004033624 A DE 102004033624A DE 102004033624 A1 DE102004033624 A1 DE 102004033624A1
Authority
DE
Germany
Prior art keywords
network
interfaces
interface
security module
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200410033624
Other languages
English (en)
Inventor
Axel Gruner
Siegfried Richter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200410033624 priority Critical patent/DE102004033624A1/de
Publication of DE102004033624A1 publication Critical patent/DE102004033624A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Ein Sicherheitsmodul (1) mit einer ersten Schnittstelle (2) zum Anschluss an ein übergeordnetes Netzwerk (3), einer zweiten Schnittstelle (4) zum Anschluss an ein untergeordnetes Netzwerk (5) und mit einer Firewall (9) zwischen beiden Schnittstellen (2, 4) weist eine dritte Schnittstelle (7) zum Anschluss eines separaten Netzwerkteilnehmers (8) auf, die über die Firewall (9) mit der zweiten Schnittstelle (4) und über eine weitere Firewall (10) mit der ersten Schnittstelle (2) verbunden ist. Der Zugriff des Netzwerkteilnehmers (8) auf vorgegebene Komponenten (6) des untergeordneten Netzwerkes (5) ist projektierbar. DOLLAR A Das Sicherheitsmodul (1) ermöglicht so einen risikolosen Anschluss des potenziell unsicheren separaten Netzwerkteilnehmers (8) an das über- und untergeordnete Netzwerk (3, 5).

Description

  • Die Erfindung betrifft ein Sicherheitsmodul mit einer ersten Schnittstelle zum Anschluss an ein übergeordnetes Netzwerk, einer zweiten Schnittstelle zum Anschluss an ein untergeordnetes Netzwerk und mit einer Firewall zwischen beiden Schnittstellen.
  • Ein derartiges, aus der US 2004/0010712 A1 bekanntes Sicherheitsmodul ist zwischen dem Internet als übergeordnetem Netzwerk und einem Intranet als untergeordnetem Netzwerk geschaltet. Die Firewall filtert Datenpakete und sperrt bzw. lässt Kommunikationsverbindungen in beiden Richtungen zwischen den Netzwerken gemäß einer Filterliste zu. Zusätzlich sind Authentifizierungs- und Identifikationsdienste sowie Zugriffssteuerungen und -prüfungen vorgesehen.
  • Im industriellen Umfeld stellen beispielsweise einzelne Produktionsbereiche mit dort arbeitenden Automatisierungskomponenten untergeordnete Netzwerke dar, die mit Komponenten zur Produktionsleitung, wie Leitrechner und Bedien- und Beobachtungsgeräte, in einem übergeordneten Netzwerk kommunizieren. Das übergeordnete Netzwerk kann wiederum Verbindung zu weiteren Netzwerken, wie zum Beispiel dem Internet, haben. Es besteht das Erfordernis, für Programmierzwecke oder zum Bedienen und Beobachten separate authentifizierte und autorisierte Netzwerkteilnehmer, wie Programmiergeräte oder Notebooks, anschließen zu können, um je nach Zugriffsberechtigung auf bestimmte Automatisierungskomponenten in dem untergeordneten Netzwerk zugreifen zu können. Der separate Netzwerkteilnehmer stellt jedoch prinzipiell ein unsicheres Gerät dar, weil nicht sichergestellt ist, dass er frei von Computerviren oder -würmern ist.
    •
  • Der Erfindung liegt daher die Aufgabe zugrunde, einen risikolosen Anschluss des separaten Netzwerkteilnehmers an das über- und untergeordnete Netzwerk zu ermöglichen.
  • Gemäß der Erfindung wird die Aufgabe dadurch gelöst, dass bei dem Sicherheitsmodul der eingangs angegebenen Art eine dritte Schnittstelle zum Anschluss mindestens eines separaten Netzwerkteilnehmers über die Firewall mit der zweiten Schnittstelle und über eine weitere Firewall mit der ersten Schnittstelle verbunden ist, wobei die Firewall projektierbare Mittel zur Authentifizierung des mindestens einen Netzwerkteilnehmers und zur Festlegung seines Zugriffs auf vorgegebenen Komponenten des untergeordneten Netzwerkes aufweist.
  • Das erfindungsgemäße Sicherheitsmodul erlaubt es, mindestens einen unsicheren separaten Netzwerkteilnehmer ohne vorherigen zeitaufwendigen Sicherheitscheck an die beiden Netzwerke anzuschließen, wobei der separate Netzwerkteilnehmer nur im Rahmen einer zuvor definierten und projektierten Zugriffsberechtigung auf einzelne Komponenten in dem untergeordneten Netzwerk zugreifen kann. Dieses ist zudem durch die Firewall gegenüber Würmern und Viren von dem separaten Netzwerkteilnehmer oder aus dem übergeordneten Netzwerk geschützt. Die weitere Firewall erlaubt dem separaten Netzwerkteilnehmer einen in beiden Richtungen geschützten Zugriff auf das übergeordnete Netzwerk. Vorzugsweise ist dabei der Zugriff auf das übergeordnete Netzwerk auf datenbeschaffende Dienste beschränkt, so dass der separate Netzwerkteilnehmer aus dem übergeordneten Netzwerk Informationen beschaffen kann, die für die Ausführung der Aufgaben an den Komponenten des untergeordneten Netzwerkes erforderlich sind.
    •
  • Im Weiteren wird auf die einzige Figur der Zeichnung Bezug genommen, die ein Ausführungsbeispiel des erfindungsgemäßen Sicherheitsmoduls zeigt.
  • Das Sicherheitsmodul 1 ist über eine erste Schnittstelle 2 an ein übergeordnetes Netzwerk 3, z. B. ein Industrial Ethernet mit Leittechnikkomponenten, und über eine weitere Schnittstelle 4 an ein untergeordnetes Netzwerk 5, z. B. eine Automatisierungszelle mit Automatisierungskomponenten 6, angeschlossen. An einer dritten Schnittstelle 7 können separate Netzwerkteilnehmer 8, z. B. Programmier- oder Bedien- und Beobachtungsgeräte für die Automatisierungskomponenten 6, angeschlossen werden, bei denen nicht sichergestellt ist, ob sie wurm- oder virenfrei sind.
  • Eine projektierbare Firewall 9 zwischen den Schnittstellen 2 und 4 auf der einen und der Schnittstelle 7 auf der anderen Seite schützt das untergeordnete Netzwerk 5, indem sie nur einen vorher definierten und projektierten Zugriff auf die Automatisierungskomponenten 6 erlaubt und das Eindringen von Würmern oder Viren verhindert. Eine weitere Firewall 10 zwischen den Schnittstellen 2 und 7 schützt das übergeordnete Netzwerk 3 und ermöglicht dem separate Netzwerkteilnehmer 8 die Beschaffung von Informationen aus dem übergeordneten Netzwerk 3, z. B. Bedienungsanleitungen, um die Aufgaben an den Automatisierungskomponenten 6, wie Programmier-, Diagnose-, Bedien- und Beobachtungsaufgaben, ausführen zu können.
  • Die Schnittstelle 7 ist an dem Sicherheitsmodul 1 besonders gekennzeichnet, um dem Benutzer, z. B. Service-Personal, die Anschlussmöglichkeit für unsichere Geräte aufzuzeigen.

Claims (2)

  1. Sicherheitsmodul mit einer ersten Schnittstelle (2) zum Anschluss an ein übergeordnetes Netzwerk (3), einer zweiten Schnittstelle (4) zum Anschluss an ein untergeordnetes Netzwerk (5) und mit einer Firewall (9) zwischen beiden Schnittstellen (2, 4), dadurch gekennzeichnet, dass eine dritte Schnittstelle (7) zum Anschluss mindestens eines separaten Netzwerkteilnehmers (8) über die Firewall (9) mit der zweiten Schnittstelle (4) und über eine weitere Firewall (10) mit der ersten Schnittstelle (2) verbunden ist, wobei die Firewall (9) projektierbare Mittel zur Authentifizierung des mindestens einen Netzwerkteilnehmers (8) und zur Festlegung seines Zugriffs auf vorgegebenen Komponenten (6) des untergeordneten Netzwerkes (5) aufweist.
  2. Sicherheitsmodul nach Anspruch 1, dadurch gekennzeichnet, dass die weitere Firewall (10) dazu ausgebildet ist, den Zugriff des mindestens einen Netzwerkteilnehmers (8) auf das übergeordnete Netzwerk (3) auf datenbeschaffende Dienste zu beschränken.
DE200410033624 2004-07-12 2004-07-12 Sicherheitsmodul für Netzwerke Withdrawn DE102004033624A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200410033624 DE102004033624A1 (de) 2004-07-12 2004-07-12 Sicherheitsmodul für Netzwerke

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200410033624 DE102004033624A1 (de) 2004-07-12 2004-07-12 Sicherheitsmodul für Netzwerke

Publications (1)

Publication Number Publication Date
DE102004033624A1 true DE102004033624A1 (de) 2005-11-10

Family

ID=35140197

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200410033624 Withdrawn DE102004033624A1 (de) 2004-07-12 2004-07-12 Sicherheitsmodul für Netzwerke

Country Status (1)

Country Link
DE (1) DE102004033624A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011002717A1 (de) * 2011-01-14 2012-07-19 Siemens Aktiengesellschaft Netzwerkfiltereinrichtung und Verfahren zum Schutz eines Systemanlagennetzwerks
EP3733970A1 (de) * 2019-04-30 2020-11-04 Joseph Vögele AG Strassenfertiger oder beschickerfahrzeug mit einer firewall

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011002717A1 (de) * 2011-01-14 2012-07-19 Siemens Aktiengesellschaft Netzwerkfiltereinrichtung und Verfahren zum Schutz eines Systemanlagennetzwerks
DE102011002717B4 (de) * 2011-01-14 2015-05-28 Siemens Aktiengesellschaft Netzwerkfiltereinrichtung und Verfahren zum Schutz eines Systemanlagennetzwerks
EP3733970A1 (de) * 2019-04-30 2020-11-04 Joseph Vögele AG Strassenfertiger oder beschickerfahrzeug mit einer firewall
US11866889B2 (en) 2019-04-30 2024-01-09 Joseph Voegele Ag Road finisher or feeder vehicle with a firewall

Similar Documents

Publication Publication Date Title
DE60104876T2 (de) Prüfung der Konfiguration einer Firewall
EP3129888B2 (de) Übermittlung von daten aus einem gesicherten speicher
DE10211939A1 (de) Kopplungsvorrichtung zum Ankoppeln von Geräten an ein Bussystem
DE102011006668B3 (de) Schnittstellenmodul für ein modulares Steuerungsgerät
EP3798767B1 (de) Verfahren und anordnung zur kontrolle des datenaustauschs eines industriellen edge-gerätes
EP0823803A1 (de) Einrichtung zum Zugriff auf ein an ein lokales Netzwerk angeschlossenes Gerät über ein öffentliches Netzwerk
EP3266186B1 (de) Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz
EP2579540A1 (de) Computer-implementiertes Verfahren zur Kontrolle eines Kommunikations-Inputs einer speicherprogrammierbaren Steuerung einer Automatisierungskomponente einer technischen Anlage
DE102010045256B4 (de) Verfahren zum Betreiben eines Firewallgerätes in Automatisierungsnetzwerken
DE102016107450A1 (de) Sicheres Gateway
EP1646919B1 (de) Kopplungsvorrichtung für drei bussysteme
DE102004033624A1 (de) Sicherheitsmodul für Netzwerke
EP1798620A1 (de) System und Verfahren zur Fernanalyse, Fernwartung und/oder Fehlerbehebung eines technischen Gerätes
EP3106950B1 (de) Werkzeugsystem für eine montageanlage und verfahren für ein werkzeugsystem für eine montageanlage
EP3382478B1 (de) Verfahren, computer-programm-produkt und steuereinheit zum steuern von zugriffen auf it-systeme basierende netzwerke, insbesondere eingebettete systeme oder verteilte systeme umfassende automatisierungsnetzwerke, steuerungsnetzwerke oder kontrollnetzwerke
EP3418833B1 (de) Verfahren und anordnung zum zugriff eines ersten computers auf eine virtuelle maschine eines zweiten computers
EP1403749A1 (de) Automatisierungssystem sowie Verfahren zu dessen Betrieb
DE102013221955A1 (de) Sicherheitsrelevantes System
EP2618522A1 (de) Verfahren zum rechnergestützten Entwurf einer Automatisierungsanlage
EP3657285B1 (de) Einbindung von technischen modulen in eine übergeordnete steuerungsebene
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
DE102005004382B3 (de) Verfahren zum automatischen Aufbau einer Datenverbindung mit einem elektrischen Gerät
DE102018100879A1 (de) IoT-Computersystem sowie Anordnung mit einem solchen IoT-Computersystem und einem externen System
EP3479538A1 (de) Sicherheitseinrichtung mit ortsgebundenem schlüsselspeicher, system und verfahren
DE102006056566B3 (de) Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät

Legal Events

Date Code Title Description
OAV Applicant agreed to the publication of the unexamined application as to paragraph 31 lit. 2 z1
OP8 Request for examination as to paragraph 44 patent law
8130 Withdrawal