Skip to main content

Sicherheitshinweise zum Edge-Gateway

Wichtig

Aus Sicherheitsgründen ist beim Betreiben des CODESYS Edge Gateway zu beachten, dass es durch die darin enthaltene Funktionalität zu ungewünschten Angriffen kommen kann. Das Edge-Gateway stellt als zentrales Bindeglied zwischen dem CODESYS Automation Server und einem vorhandenen Steuerungsnetzwerk eine potentielle Gefahr für solche Angriffe dar und muss deshalb durch geeignete Maßnahmen des Betreibers gegen einen unerlaubten Zugriff geschützt werden.

Für einen wirksamen Schutz ist es erforderlich, dass bereits vor Aktivierung der Funktionalität (und damit vor dem Start des Edge-Gateways) die unten stehenden Maßnahmen zur Absicherung ergriffen werden.

Tipp

Für weitere Informationen zum Thema Security und CODESYS Automation Server siehe: Security für den CODESYS Automation Server

Das Edge-Gateway erlaubt dem CODESYS Automation Server und allen Clients, die über den CODESYS Automation Server eine Verbindung aufbauen (CODESYS, Web-Visualisierung/Browser), vollen Zugriff auf alle Dienste, die das Laufzeitsystem über Kommunikationsschnittstellen bereitstellt.

Firewall

  • Das Betreiben des Edge-Gateways darf nur in einem Steuerungsnetzwerk erfolgen. In diesem Netzwerk muss ein Zugriff auf die Steuerungen durch das Edge-Gateway möglich sein. Für einen Zugriff von außen (Internet) auf die Steuerungen und auf das Edge-Gateway muss jedoch ein wirksamer Schutz (Firewall) vorhanden sein.

  • Der Gateway-Port des Edge-Gateways (Standardeinstellung: 1217) darf nicht von außen (Internet) zugänglich sein.

Konfiguration

  • Die Konfiguration des Edge-Gateways darf nur in einer sicheren Umgebung durchgeführt werden. Der dafür verwendete CODESYS Automation Server Connector muss sich in einer vertrauenswürdigen Netzwerkumgebung befinden.

  • Während des Betriebs muss sicher gestellt werden, dass eine unauthorisierte Konfiguration des Edge-Gateways nicht möglich ist

Folgende Einstellungen erleichtern die Herstellung einer sicheren Umgebung für das Edge-Gateway. Beide Einstellungen werden in der Konfigurationsdatei Gateway.cfg, auch in Kombination, gesetzt.

  • Erreichbarkeit des Gateways einschränken: Normalerweise ist das Gateway auf jeder IP-Adresse des Computers erreichbar. Um eine sichere Konfiguration zu ermöglichen, ist es eventuell notwendig, dass das Gateway nur unter einer bestimmten IP-Adresse erreichbar ist. Dies kann über folgende Einstellung in Gateway.cfg erreicht werden:

    [CmpGwCommDrvTcp]

    LocalAddress=<IP address>

    Beispiel für IP address: 127.0.0.1

  • Erreichbarkeit des Gateways auf bestimmte Kommunikationspartner einschränken: Normalerweise nimmt das Gateway alle Verbindungsanfragen an. Um eine sichere Konfiguration zu ermöglichen ist es je nach Netzwerkkonfiguration sinnvoll, dass das Gateway Verbindungen nur von bestimmten Clients zulässt. Dies kann über die folgende Einstellung erreicht werden:

    [CmpGwCommDrvTcp]

    PeerAddress=<IP address or network base address>

    Dabei gibt es drei unterschiedliche Konfigurationsmöglichkeiten:

    • Die Einstellung ist nicht vorhanden: Das Gateway lässt Verbindungen von allen Clients zu

    • Die Einstellung wird auf eine bestimmte IP-Adresse gesetzt: Das Gateway lässt Verbindungen nur von dem Client zu, der diese IP-Adresse hat

    • Die Einstellung wird auf eine Netzwerkbasisadresse gesetzt: Das Gateway lässt Verbindungen von allen Clients aus diesem Netzwerk zu. Die Netzwerkbasisadresse ist die kleinste mögliche Adresse im lokalen Netzwerk. Die Adresse kann folgendermaßen berechnet werden:

      <local IP address> AND <subnet mask> = <network base address>

Zugriff auf das Edge-Gateway Gerät

Das Dateisystem auf dem Gerät, auf dem das Edge-Gateway betrieben wird, muss gegen unerlaubte Zugriffe geschützt sein. Dort werden vertrauenswürdige Informationen abgelegt (Konfiguration, Zertifikate, Zugangsdaten, etc.), die von Unberechtigten nicht ausgelesen oder verändert werden dürfen.

Verbindung zum CODESYS Automation Server

Nach einer erfolgreichen Verbindung zum CODESYS Automation Server erhält dieser über einen verschlüsselten Tunnel den vollständigen Zugriff auf alle erreichbaren Steuerungen im Netzwerk des Edge-Gateways. Sollten sich daraus für den Betrieb der Anlage weitere Sicherheitsrisiken ergeben, müssen diese gesondert bewertet und behandelt werden.

Für weitere Informationen siehe: Edge-Gateway mit dem Server verbinden und Steuerungen eintragen

In diesem Abschnitt: