Funktionen für die industrielle Cyber-Sicherheit
"mGuard Cybersecurity" jetzt mit "OPC Inspector" und "Conditional Firewall"
Das klassische OPC-Protokoll wird seit langem für seine Defizite im Bereich der IT-Security und seine als Folge der Abstammung von DCOM notorische Firewall-Unfreundlichkeit kritisiert
(02.05.14) - Erstmals stellte Innominate die Version "mGuard 8.1" ihrer Security-Appliance-Firmware mit Funktionen für die industrielle Cyber-Sicherheit vor. Deren neues Modul "mGuard OPC Inspector" beherrscht das schwierige "Connection Tracking" von OPC-Dialogen über ihre wechselnden Ports und Verbindungsrichtungen hinweg und ermöglicht damit eine wirksame Kontrolle und Filterung von OPC nach dem Firewall-Prinzip der Stateful Inspection. Für die OPC-Kommunikation über "mGuard"-Router können dabei dank einer speziellen "Deep Packet Inspection"-Technik sogar NAT-Verfahren wie Masquerading oder 1:1 NAT genutzt werden eine echte Weltneuheit und kleine Sensation für erfahrene OPC-Anwender.
Mit der neuen Conditional Firewall-Funktionalität können situationsgerecht vordefinierte Firewall-Regelwerke buchstäblich auf Knopfdruck aktiviert werden. Durch einfache auslösende Ereignisse kann damit zwischen Firewall-Regelwerken für verschiedene Betriebszustände umgeschaltet werden, etwa weil im Produktivbetrieb und während Instandhaltung oder Fernwartung einer Anlage unterschiedliche Verbindungen erlaubt bzw. unterbunden werden sollen.
Angesichts der Bedrohung industrieller Systeme durch zunehmend gezieltere Angriffe mit Malware stößt schließlich auch das in seiner Bedienung weiter verbesserte mGuard Integrity Monitoring zur Überwachung von Industrie-PCs gegen mögliche Infektionen auf zunehmendes Interesse der Anwender. Alle genannten Funktionen sind nicht nur für physische mGuard Geräte verfügbar sondern auch in Form der ebenfalls neuen embedded Virtual Appliance mGuard eVA für Windows PCs.
Hintergrundinformation
Das klassische OPC-Protokoll wird seit langem für seine Defizite im Bereich der IT-Security und seine als Folge der Abstammung von DCOM notorische Firewall-Unfreundlichkeit kritisiert. Ferner ist zwar eine OPC-Kommunikation über Router zulässig, das bei der Einbindung von Maschinen und Anlagen in übergeordnete Netze oft gewünschte Maskieren oder Umschreiben von Adressen per Network Address Translation (NAT) war dabei aber ohne die Hilfe zusätzlicher OPC-Tunnel bislang nicht möglich.
Mit der OPC Unified Architecture (OPC-UA) steht zwar eine aktuellere Generation von OPC auf neuen Grundlagen zur Verfügung, welche die o.g. Defizite vermeidet. Die Durchdringung der installierten Basis mit dieser neuen Technologie schreitet aber nur langsam voran. Insbesondere in Bestandsanlagen wird klassisches OPC noch viele Jahre weiter genutzt werden. Sofern nicht weitere Zusatzprodukte eingesetzt werden, bleiben Firewalls für OPC nutzlos und die Netzwerksicherheit dieser Anwendungen mangelhaft. (Innominate Security Technologies: ra)
Innominate Security Technologies: Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.