Gaspipelines erstrecken sich oft über mehrere tausend Kilometer. Das Überwachen dieser kritischen Infrastruktur ist dementsprechend komplex.

Gaspipelines erstrecken sich oft über mehrere tausend Kilometer. Das Überwachen dieser kritischen Infrastruktur ist dementsprechend komplex.Moxa

Die Kommunikation zwischen den Übernahmestationen läuft typischerweise über ein Netzwerk, dessen Architektur den Pipelines folgt. Das heißt, dass die zum Teil weit voneinander entfernten Gasübernahmestationen durch Kabel entlang der Pipeline miteinander verbunden sind. Für diese Langstreckenübertagungen werden Glasfaserleitungen verlegt, die als Backbone die Übernamestationen verbinden. Die Geräte innerhalb einer Gasübernahmestation, wie SPSen, Lüftung, Klimaanlage und Feueralarmsystem, werden über klassische Ethernet-Kabel an einen Switch und dann an das Backbone angeschlossen. Ziel ist es die Daten dieser Geräte zeitaktuell und akkurat zu übertragen.

Doch pure Datenübertragung alleine reicht nicht. In verteilten Kommunikationsstrukturen wie dieser ist die Sicherheit ein kritischer Faktor. Während sich die Daten innerhalb einer Gasübernahmestation einfach physikalisch schützen lassen, ist dies entlang des Glasfaser-Backbones nicht möglich. In manchen Fällen müssen die Daten des Backbones auch durch öffentliche Netze laufen bis sie in einem zentralen Remote-Management-Systems (Scada) aggregiert werden können.

Router als Schlüssel zur sicheren Kommunikation

Um hier für Sicherheit zu sorgen, läuft die Kommunikation im Backbone über VPN-Tunnel, die zwischen den Gasübernahmestationen und der Überwachungszentrale aufgebaut sind. Aus Sicht dieser Zentrale handelt es sich um einen sicheren Remote Control Access (RCA), einem der beiden der klassischen Einsatzszenarien für Router. In jeder Gasübernahmestation ist ein Router installiert, der einen VPN-Tunnel aufbaut, der durch das Backbone führt und in der Zentrale endet. Der Router sollte deshalb neben zwei Glasfaseranschlüssen auch VPN-Tunnel unterstützen. Starke Authentifizierung, Verschlüsselung und Integritätssicherung sind dabei die entscheidenden Parameter, die das Sicherheitsniveau bestimmen.

Darüber hinaus sollten Router noch eine Firewall besitzen, die Schutz gegen unerwünschte Datenpakete liefert. Das ist insbesondere in großen Gasübernahmestationen empfehlenswert, in denen viele unterschiedliche Netzwerkteilnehmer vorhanden sind. Firewalls helfen hier den Datenverkehr innerhalb einer Station auf bestimmte Bereiche zu beschränken. So lassen sich Geräte mit einer lebenswichtigen Funktion wie SPSen durch das Vorschalten eines Routers vor Paketüberflutung durch ein defektes Netzwerkgerät der gleichen Station schützen. Dieser Schutz kritischer Geräte (Critical Device Protection) ist die zweite typische Funktion eines Routers. Es können also durchaus mehrere Router innerhalb einer Station zum Einsatz kommen.

Industrial Secure Router sichern in den Zonen den Gasübernahmestationen des Pipeline-Systems durch VPN-Tunnel gegen unerlaubte Zugriffe über das WAN ab.

Industrial Secure Router sichern in den Zonen den Gasübernahmestationen des Pipeline-Systems durch VPN-Tunnel gegen unerlaubte Zugriffe über das WAN ab.Moxa

Sicherheit durch Zonen

Eine Architektur, in der Netzwerke über Router ineinander verschachtelt werden, beschreibt ein Defense-in-depth-Konzept. Es besteht typischerweise aus Cells, Zones und Sites: Die Cell steht für die Geräteebene, Einzelgeräte wie die Gasanalysegeräte. Eine Zone ist ein Netzwerk innerhalb einer einzelnen Gasübernahmestation (LAN). Eine Site ist das Gesamtnetzwerk aller Stationen mit Anbindung an die Leitstelle, ein WAN. Sowohl das LAN in den Zonen als auch die sichere Kommunikation über das öffentliche Netzwerk, das WAN, muss vor nicht-autorisiertem Zugriff geschützt werden. So lässt sich für die Echtheit der Daten und damit für den Schutz der Stationen vor Ort sorgen. Deshalb kommen industrielle Secure Router zum Einsatz, um die Übernahmestationen über sichere VPN-Tunnel an das Scada-System in der Leitstelle anzubinden. Moxas EDR-G903 ist ein Firewall/NAT/VPN-Gerät, das nicht nur die Geräte im internen LAN vor nicht-autorisiertem Zugriff schützt, sondern auch die sichere Kommunikation über öffentliche Netzwerke aufrecht erhält. Neben hoher Gigabit-Bandbreite über Kupfer- oder Glasfaser-Kombi-Schnittstellen bietet der Router auch duale WAN-Port-Redundanz für eine höhere Zuverlässigkeit bei Datenversand über öffentliche Netzwerke.

Das American National Standards Institute (Ansi) und die International Society of Automation (ISA) tragen mit ihren Standards Ansi/ISA-99 (IEC 62443) den Sicherheitsanforderungen von Steuer- und Regelungsnetzwerken Rechnung. Im Zentrum dieses Standards steht das Zone-and-Conduit-Sicherheitsmodell (Zone und Leitung), das mit einer Defense-in-Depth-Strategie implementiert wird.

Im Ansi/ISA-99-Modell werden die Geräte in Steuer- und Regelungsnetzwerken in voneinander unabhängige Zonen segmentiert, die aus miteinander verbundenen Geräten bestehen, die zusammenarbeiten, um eine spezifischen Funktion zu erfüllen. Während die Kommunikation innerhalb einer Zone weniger restriktiv behandelt wird, gilt für die verschiedenen Zonen, dass sie nur durch einen einzigen Punkt – Conduit (Leitung) genannt – miteinander kommunizieren dürfen. Diesen Punkt schützen üblicherweise ein Secure Router oder eine Firewall. Conduits sind so konzipiert, dass sie nur spezifische Daten, die für die Koordination von Funktionen der verschiedenen Zonen erforderlich sind, durchlassen. Jegliche Kommunikation, die für die Funktion einer bestimmten Zone irrelevant ist, zum Beispiel HTTP-Verkehr zu einer Modbus-TCP-Zone, wird vom Secure Router blockiert. Dazu ist eine tiefe Datenanalyse jedes Pakets notwendig (Deep Packet Inspection).

Technik im Detail

Gigabit Firewall/VPN Secure Router EDR-G903

Moxas EDR-G903 ist ein industrieller Gigabit Firewall/VPN/Router für Ethernet-Security Anwendungen in sensiblen Fernwirk- und Fernüberwachungsnetzwerken mit Sicherheitsfunkionen, wie Firewall/NAT und IPsec Virtual Private Networking (VPN). Der Router unterstützt eine WAN-, eine LAN- und eine benutzerkonfigurierbare WAN/DMZ-Schnittstelle, die zum Beispiel WAN-Redundanz oder FTP-Server-Sicherheit unterstützt. Er verfügt mit der Quick-Automation-Profile-Funktion über die Fähigkeit zur die Deep Packet Inspection für die Feldbusprotokolle Ethercat, Ethernet/IP, Foundation Fieldbus, Modbus/TCP und Profinet. Den Router gibt es als Modell mit erweiterter Betriebstemperatur von -40 bis 75 °C. Sein Datendurchsatz  beträgt von 40.000 FPS oder 500 Mbps; bei VPN 15.000 FPS oder 150 Mbps. Er kann bis zu 25 VPN-Tunnel aufbauen und beherrscht Netzwerk-Adressübersetzung (N-zu-1, 1-zu-1, und Port-Weiterleitung). Außerdem entspricht der den Anforderungen der Nerc CIP, der Regelung der Critical Infrastructure Protection des North American Electric Reliability Corporation.