Installation wird zum Kinderspiel

Ethernet - Ethernet hat sich in der Feldebene etabliert. Der Anwender möchte jetzt weitere Vereinfachungen bei der Installation. Security-Maßnahmen und Power over Ethernet machen dies möglich.

09. Oktober 2006

Der deutschsprachige Begriff ›Sicherheit‹ kann sowohl mit ›Safety‹ wie auch mit ›Security‹ übersetzt und entsprechend unterschiedlich interpretiert werden. Mit ›Safety‹ ist die funktionale Sicherheit von Kommunikationssystemen gemeint, deren zentrales Anliegen der Ausschluss von Fehlfunktionen auf Basis technischer Eigenschaften ist. Im Gegensatz dazu handelt es sich bei ›Security‹ um den Schutz vor unberechtigtem Zugriff auf Komponenten, Maschinen oder Anlagen. Die beiden Begriffe stehen also für unterschiedliche Aufgabenbereiche. Safety-Lösungen wie das sichere Feldbussystem ›Interbus-Safety‹ werden schon seit einigen Jahren für Automatisierungssysteme angeboten. Aufgrund der stetig wachsenden Nutzung des Ethernet-Protokolls gewinnt nun auch das Thema ›Security‹ an Bedeutung.

Von der Offenheit zur kontrollierten Sicherheit

Zwei wichtige Gründe sprechen für eine Ethernet-basierte Automatisierungslösung: der steigende Datenbedarf der Aktorik und Sensorik und die Kostenersparnis durch Verwendung einer einzigen unternehmensweiten Kommunikationstechnologie. Ein durchgängig verwendbarer Kommunikationsstandard, der dazu auf einer ausgereiften und kostengünstigen Mainstream-Technologie basiert, birgt das Risiko eines unberechtigten Zugriffs auf das Produktions-Netzwerk und die einzelnen Automatisierungskomponenten. Das Ausmaß der Gefährdung hängt davon ab, inwieweit Verbindungen zu überlagerten Netzwerken, Fernwartungs-Zugängen, Intranet oder Internet bestehen. Vollständig isolierte und autark arbeitende Netzwerke sind weniger gefährdet.

Die am Markt vertriebenen managebaren Layer 2-Switches bieten eine Reihe von Security-Funktionen, die Zugriffe regeln, unerwünschten Datenverkehr unterbinden oder das Abhören von Daten erschweren. Zu diesen Funktionen zählen beispielsweise die Segmentierung durch Switches, die Einrichtung von VLANs (Virtual Local Area Network), spezielle Mechanismen zur Multicast-Filterung oder die Beschränkung von Zugriffen über Port-Based-Security. Die Aktivierung dieser Funktionen erfordert allerdings eine entsprechende Parametrierung der Switches, die über Konfigurations-Tools oder WBM (Web Based Management) durchgeführt wird und Expertenwissen sowie eine Netzwerkplanung voraussetzt.

Mechanische Schutzfunktion

In der Praxis lassen sich diese Rahmenbedingungen oft nicht erfüllen, sodass die in der Gerätetechnik vorhandenen Sicherheitsfunktionen selten zum Einsatz kommen.

Eine der entscheidenden Schutzfunktionen ist die Unterbindung eines nicht-berechtigten Zugriffs auf Netzwerke und Geräte. Wie alle bereits genannten Security-Maßnahmen wird sie bei managebaren Layer 2-Switches über die Software aktiviert - was viele Anwender als zu kompliziert erachten. Mechanische Verriegelungen schützen ebenso wirkungsvoll vor unberechtigten oder unbeabsichtigten Zugriffen. Bei der einfach handhabbaren mechanischen Lösung wird jeder offene RJ45-Port mit einem Stopfen verschlossen und das Abziehen gesteckter Patchkabel wird verhindert. Zu diesem Zweck bieten die SFN-Switches von Phoenix Contact Aufnahmemöglichkeiten für entsprechende Kunststoffrahmen. Die in die Rahmen gesteckten Blindstopfen oder Patchkabel können nur mit Hilfe eines speziellen Werkzeugs wieder entfernt werden, sodass ein hohes Maß an Sicherheit gegeben ist.

Mit der IEEE 802.3af ›DTE Power via MDI‹ - auch bekannt als Power over Ethernet (PoE), ›Power over LAN‹ oder ›Active Ethernet‹ - wurde Mitte 2003 ein neuer internationaler Standard eingeführt. Auf Basis dieser Technologie lassen sich Energieversorgung und Datenübertragung über die standardisierte LAN-Kabelstruktur (Local Area Network) kombinieren. So können Netzwerk-Geräte wie IP-Telefone und -Kameras, Lesegeräte für RFID-Tags, WLAN- oder Bluetooth-Access Points sowie intelligente Sensoren und Aktoren schnell und kostengünstig an das LAN angebunden werden. Ferner kann bei der Montage an schwer zugänglichen Stellen wie Wänden oder Decken auf einen separaten Versorgungsspannungs-Anschluss verzichtet werden. Die Investitionskosten für Netzteile und der damit verbundene Installationsaufwand zur Energieversorgung der Endgeräte können dabei eingespart werden. Darüber hinaus wird die Ausfallsicherheit der Endgeräte durch die Verwendung einer zentralen unterbrechungsfreien Stromversorgung (USV) erhöht.

Prinzip von Power over Ethernet

In der IEEE 802.3af wird zwischen Energieversorgern und Energieverbrauchern unterschieden. Energieversorger, auch Power Sourcing Equipment (PSE) genannt, speisen die benötigte Energie (48 V) in das LAN ein. Hierbei handelt es sich zumeist um aktive Netzkomponenten mit direkter PoE-Unterstützung wie das Interface-Modul FL IF 2PSE-F für den modularen, managebaren Switch MMS von Phoenix Contact. Die als Powered Devices (PD) bezeichneten Energieverbraucher können als PoE-fähige Geräte im DTE-Power-via-MDI-Modus betrieben werden. Sie werden über die Datenleitung mit Energie ferngespeist und nicht über den meist optional vorhandenen externen Netzteilanschluss versorgt.

Die PSE-Geräte zur Energieeinspeisung exisitieren ebenfalls in zwei Varianten:

? Endspan Insertion

Bei Endspan Insertion speisen die PSE-Komponenten die Endgeräte (Powered Devices) direkt über ihre Ports mit Energie und versorgen sie gleichzeitig mit Daten. Als PSE-Komponenten werden dabei fast ausschließlich Switches genutzt.

? Midspan Insertion

Hierbei handelt es sich um Geräte, die die Daten der aktiven Komponenten durchleiten und gleichzeitig die Energie in die Ethernet-Leitung einspeisen (aktive Patch-Felder). Midspan Insertion wird in der Regel als Nachrüstmöglichkeit für bestehende Netzwerk-Infrastruktur eingesetzt oder verwendet, wenn nur ein kleiner Teil der benötigten Ports PoE-tauglich sein muss. Phoenix Contact hat dazu das industrietaugliche Zwei-Port-PoE-Modul FL PSE 2TX entwickelt.

Oliver Puls, Business Unit Automation Systems,Phoenix Contact

FAKTEN

- Ethernet wird immer häufiger zur Automatisierung von Maschinen und Anlagen verwendet.

- Zum Schutz des Netzwerks und der Geräte vor unbefugtem Zugriff stehen Security-Funktionen zur Verfügung.

- Die Power-over-Ethernet-Technologie reduziert den Installationsaufwand insbesondere bei Wireless LANs.

Erschienen in Ausgabe: 07/2006