DE102004033624A1 - Sicherheitsmodul für Netzwerke - Google Patents
Sicherheitsmodul für Netzwerke Download PDFInfo
- Publication number
- DE102004033624A1 DE102004033624A1 DE200410033624 DE102004033624A DE102004033624A1 DE 102004033624 A1 DE102004033624 A1 DE 102004033624A1 DE 200410033624 DE200410033624 DE 200410033624 DE 102004033624 A DE102004033624 A DE 102004033624A DE 102004033624 A1 DE102004033624 A1 DE 102004033624A1
- Authority
- DE
- Germany
- Prior art keywords
- network
- interfaces
- interface
- security module
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Ein Sicherheitsmodul (1) mit einer ersten Schnittstelle (2) zum Anschluss an ein übergeordnetes Netzwerk (3), einer zweiten Schnittstelle (4) zum Anschluss an ein untergeordnetes Netzwerk (5) und mit einer Firewall (9) zwischen beiden Schnittstellen (2, 4) weist eine dritte Schnittstelle (7) zum Anschluss eines separaten Netzwerkteilnehmers (8) auf, die über die Firewall (9) mit der zweiten Schnittstelle (4) und über eine weitere Firewall (10) mit der ersten Schnittstelle (2) verbunden ist. Der Zugriff des Netzwerkteilnehmers (8) auf vorgegebene Komponenten (6) des untergeordneten Netzwerkes (5) ist projektierbar. DOLLAR A Das Sicherheitsmodul (1) ermöglicht so einen risikolosen Anschluss des potenziell unsicheren separaten Netzwerkteilnehmers (8) an das über- und untergeordnete Netzwerk (3, 5).
Description
- Die Erfindung betrifft ein Sicherheitsmodul mit einer ersten Schnittstelle zum Anschluss an ein übergeordnetes Netzwerk, einer zweiten Schnittstelle zum Anschluss an ein untergeordnetes Netzwerk und mit einer Firewall zwischen beiden Schnittstellen.
- Ein derartiges, aus der US 2004/0010712 A1 bekanntes Sicherheitsmodul ist zwischen dem Internet als übergeordnetem Netzwerk und einem Intranet als untergeordnetem Netzwerk geschaltet. Die Firewall filtert Datenpakete und sperrt bzw. lässt Kommunikationsverbindungen in beiden Richtungen zwischen den Netzwerken gemäß einer Filterliste zu. Zusätzlich sind Authentifizierungs- und Identifikationsdienste sowie Zugriffssteuerungen und -prüfungen vorgesehen.
- Im industriellen Umfeld stellen beispielsweise einzelne Produktionsbereiche mit dort arbeitenden Automatisierungskomponenten untergeordnete Netzwerke dar, die mit Komponenten zur Produktionsleitung, wie Leitrechner und Bedien- und Beobachtungsgeräte, in einem übergeordneten Netzwerk kommunizieren. Das übergeordnete Netzwerk kann wiederum Verbindung zu weiteren Netzwerken, wie zum Beispiel dem Internet, haben. Es besteht das Erfordernis, für Programmierzwecke oder zum Bedienen und Beobachten separate authentifizierte und autorisierte Netzwerkteilnehmer, wie Programmiergeräte oder Notebooks, anschließen zu können, um je nach Zugriffsberechtigung auf bestimmte Automatisierungskomponenten in dem untergeordneten Netzwerk zugreifen zu können. Der separate Netzwerkteilnehmer stellt jedoch prinzipiell ein unsicheres Gerät dar, weil nicht sichergestellt ist, dass er frei von Computerviren oder -würmern ist.
- Der Erfindung liegt daher die Aufgabe zugrunde, einen risikolosen Anschluss des separaten Netzwerkteilnehmers an das über- und untergeordnete Netzwerk zu ermöglichen.
- Gemäß der Erfindung wird die Aufgabe dadurch gelöst, dass bei dem Sicherheitsmodul der eingangs angegebenen Art eine dritte Schnittstelle zum Anschluss mindestens eines separaten Netzwerkteilnehmers über die Firewall mit der zweiten Schnittstelle und über eine weitere Firewall mit der ersten Schnittstelle verbunden ist, wobei die Firewall projektierbare Mittel zur Authentifizierung des mindestens einen Netzwerkteilnehmers und zur Festlegung seines Zugriffs auf vorgegebenen Komponenten des untergeordneten Netzwerkes aufweist.
- Das erfindungsgemäße Sicherheitsmodul erlaubt es, mindestens einen unsicheren separaten Netzwerkteilnehmer ohne vorherigen zeitaufwendigen Sicherheitscheck an die beiden Netzwerke anzuschließen, wobei der separate Netzwerkteilnehmer nur im Rahmen einer zuvor definierten und projektierten Zugriffsberechtigung auf einzelne Komponenten in dem untergeordneten Netzwerk zugreifen kann. Dieses ist zudem durch die Firewall gegenüber Würmern und Viren von dem separaten Netzwerkteilnehmer oder aus dem übergeordneten Netzwerk geschützt. Die weitere Firewall erlaubt dem separaten Netzwerkteilnehmer einen in beiden Richtungen geschützten Zugriff auf das übergeordnete Netzwerk. Vorzugsweise ist dabei der Zugriff auf das übergeordnete Netzwerk auf datenbeschaffende Dienste beschränkt, so dass der separate Netzwerkteilnehmer aus dem übergeordneten Netzwerk Informationen beschaffen kann, die für die Ausführung der Aufgaben an den Komponenten des untergeordneten Netzwerkes erforderlich sind.
- Im Weiteren wird auf die einzige Figur der Zeichnung Bezug genommen, die ein Ausführungsbeispiel des erfindungsgemäßen Sicherheitsmoduls zeigt.
- Das Sicherheitsmodul
1 ist über eine erste Schnittstelle2 an ein übergeordnetes Netzwerk3 , z. B. ein Industrial Ethernet mit Leittechnikkomponenten, und über eine weitere Schnittstelle4 an ein untergeordnetes Netzwerk5 , z. B. eine Automatisierungszelle mit Automatisierungskomponenten6 , angeschlossen. An einer dritten Schnittstelle7 können separate Netzwerkteilnehmer8 , z. B. Programmier- oder Bedien- und Beobachtungsgeräte für die Automatisierungskomponenten6 , angeschlossen werden, bei denen nicht sichergestellt ist, ob sie wurm- oder virenfrei sind. - Eine projektierbare Firewall
9 zwischen den Schnittstellen2 und4 auf der einen und der Schnittstelle7 auf der anderen Seite schützt das untergeordnete Netzwerk5 , indem sie nur einen vorher definierten und projektierten Zugriff auf die Automatisierungskomponenten6 erlaubt und das Eindringen von Würmern oder Viren verhindert. Eine weitere Firewall10 zwischen den Schnittstellen2 und7 schützt das übergeordnete Netzwerk3 und ermöglicht dem separate Netzwerkteilnehmer8 die Beschaffung von Informationen aus dem übergeordneten Netzwerk3 , z. B. Bedienungsanleitungen, um die Aufgaben an den Automatisierungskomponenten6 , wie Programmier-, Diagnose-, Bedien- und Beobachtungsaufgaben, ausführen zu können. - Die Schnittstelle
7 ist an dem Sicherheitsmodul1 besonders gekennzeichnet, um dem Benutzer, z. B. Service-Personal, die Anschlussmöglichkeit für unsichere Geräte aufzuzeigen.
Claims (2)
- Sicherheitsmodul mit einer ersten Schnittstelle (
2 ) zum Anschluss an ein übergeordnetes Netzwerk (3 ), einer zweiten Schnittstelle (4 ) zum Anschluss an ein untergeordnetes Netzwerk (5 ) und mit einer Firewall (9 ) zwischen beiden Schnittstellen (2 ,4 ), dadurch gekennzeichnet, dass eine dritte Schnittstelle (7 ) zum Anschluss mindestens eines separaten Netzwerkteilnehmers (8 ) über die Firewall (9 ) mit der zweiten Schnittstelle (4 ) und über eine weitere Firewall (10 ) mit der ersten Schnittstelle (2 ) verbunden ist, wobei die Firewall (9 ) projektierbare Mittel zur Authentifizierung des mindestens einen Netzwerkteilnehmers (8 ) und zur Festlegung seines Zugriffs auf vorgegebenen Komponenten (6 ) des untergeordneten Netzwerkes (5 ) aufweist. - Sicherheitsmodul nach Anspruch 1, dadurch gekennzeichnet, dass die weitere Firewall (
10 ) dazu ausgebildet ist, den Zugriff des mindestens einen Netzwerkteilnehmers (8 ) auf das übergeordnete Netzwerk (3 ) auf datenbeschaffende Dienste zu beschränken.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200410033624 DE102004033624A1 (de) | 2004-07-12 | 2004-07-12 | Sicherheitsmodul für Netzwerke |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200410033624 DE102004033624A1 (de) | 2004-07-12 | 2004-07-12 | Sicherheitsmodul für Netzwerke |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102004033624A1 true DE102004033624A1 (de) | 2005-11-10 |
Family
ID=35140197
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200410033624 Withdrawn DE102004033624A1 (de) | 2004-07-12 | 2004-07-12 | Sicherheitsmodul für Netzwerke |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102004033624A1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011002717A1 (de) * | 2011-01-14 | 2012-07-19 | Siemens Aktiengesellschaft | Netzwerkfiltereinrichtung und Verfahren zum Schutz eines Systemanlagennetzwerks |
EP3733970A1 (de) * | 2019-04-30 | 2020-11-04 | Joseph Vögele AG | Strassenfertiger oder beschickerfahrzeug mit einer firewall |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
-
2004
- 2004-07-12 DE DE200410033624 patent/DE102004033624A1/de not_active Withdrawn
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011002717A1 (de) * | 2011-01-14 | 2012-07-19 | Siemens Aktiengesellschaft | Netzwerkfiltereinrichtung und Verfahren zum Schutz eines Systemanlagennetzwerks |
DE102011002717B4 (de) * | 2011-01-14 | 2015-05-28 | Siemens Aktiengesellschaft | Netzwerkfiltereinrichtung und Verfahren zum Schutz eines Systemanlagennetzwerks |
EP3733970A1 (de) * | 2019-04-30 | 2020-11-04 | Joseph Vögele AG | Strassenfertiger oder beschickerfahrzeug mit einer firewall |
US11866889B2 (en) | 2019-04-30 | 2024-01-09 | Joseph Voegele Ag | Road finisher or feeder vehicle with a firewall |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60104876T2 (de) | Prüfung der Konfiguration einer Firewall | |
EP3129888B2 (de) | Übermittlung von daten aus einem gesicherten speicher | |
DE10211939A1 (de) | Kopplungsvorrichtung zum Ankoppeln von Geräten an ein Bussystem | |
DE102011006668B3 (de) | Schnittstellenmodul für ein modulares Steuerungsgerät | |
EP3798767B1 (de) | Verfahren und anordnung zur kontrolle des datenaustauschs eines industriellen edge-gerätes | |
EP0823803A1 (de) | Einrichtung zum Zugriff auf ein an ein lokales Netzwerk angeschlossenes Gerät über ein öffentliches Netzwerk | |
EP3266186B1 (de) | Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz | |
EP2579540A1 (de) | Computer-implementiertes Verfahren zur Kontrolle eines Kommunikations-Inputs einer speicherprogrammierbaren Steuerung einer Automatisierungskomponente einer technischen Anlage | |
DE102010045256B4 (de) | Verfahren zum Betreiben eines Firewallgerätes in Automatisierungsnetzwerken | |
DE102016107450A1 (de) | Sicheres Gateway | |
EP1646919B1 (de) | Kopplungsvorrichtung für drei bussysteme | |
DE102004033624A1 (de) | Sicherheitsmodul für Netzwerke | |
EP1798620A1 (de) | System und Verfahren zur Fernanalyse, Fernwartung und/oder Fehlerbehebung eines technischen Gerätes | |
EP3106950B1 (de) | Werkzeugsystem für eine montageanlage und verfahren für ein werkzeugsystem für eine montageanlage | |
EP3382478B1 (de) | Verfahren, computer-programm-produkt und steuereinheit zum steuern von zugriffen auf it-systeme basierende netzwerke, insbesondere eingebettete systeme oder verteilte systeme umfassende automatisierungsnetzwerke, steuerungsnetzwerke oder kontrollnetzwerke | |
EP3418833B1 (de) | Verfahren und anordnung zum zugriff eines ersten computers auf eine virtuelle maschine eines zweiten computers | |
EP1403749A1 (de) | Automatisierungssystem sowie Verfahren zu dessen Betrieb | |
DE102013221955A1 (de) | Sicherheitsrelevantes System | |
EP2618522A1 (de) | Verfahren zum rechnergestützten Entwurf einer Automatisierungsanlage | |
EP3657285B1 (de) | Einbindung von technischen modulen in eine übergeordnete steuerungsebene | |
DE202015004439U1 (de) | Überwachungsvorrichtung und Netzwerkteilnehmer | |
DE102005004382B3 (de) | Verfahren zum automatischen Aufbau einer Datenverbindung mit einem elektrischen Gerät | |
DE102018100879A1 (de) | IoT-Computersystem sowie Anordnung mit einem solchen IoT-Computersystem und einem externen System | |
EP3479538A1 (de) | Sicherheitseinrichtung mit ortsgebundenem schlüsselspeicher, system und verfahren | |
DE102006056566B3 (de) | Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OAV | Applicant agreed to the publication of the unexamined application as to paragraph 31 lit. 2 z1 | ||
OP8 | Request for examination as to paragraph 44 patent law | ||
8130 | Withdrawal |