Einfache und sichere Anbindung von Außenstationen über öffentliche Netze

Beispiele dafür sind die Kameraüberwachung von Gebäuden oder des Verkehrsflusses, die Laststeuerung von EEG-Anlagen (EEG = Erneuerbare-Energien-Gesetz), die Übertragung von Zählwerten oder die Überwachung und Steuerung von Ortsnetzstationen.

Solange diese Stationen über eine Anbindung über eigene Steuerkabel verfügen, gibt es vielfältige Möglichkeiten für den Anschluss an ein zentrales Leitsystem. In den meisten Fällen ist aber kein Kabel für die Datenübertragung vorhanden, entweder war die Überwachung und Steuerung zum Zeitpunkt der Planung nicht vorgesehen oder es sind neue Anlagen in privater Hand (Photovoltaik- oder Biogasanlagen, Windkraftanlagen, Zähler etc.) die angebunden werden müssen.
Für diese Stationen bieten sich zur Übertragung öffentliche Netze an, dazu zählen die Mobilfunknetze (GPRS, EDGE, UMTS, HSDPA, HSUPA oder LTE) und – soweit verfügbar – DSL-Anschlüsse zur Nutzung des Internets für die Stationsanbindung. Analoge oder digitale Telefonanschlüsse, sowie GSM-Verbindungen spielen durch die Umstellung der CSD-Dienste (CSD = Circuit Switched Data = Leitungsvermittelnde Übertragungstechnik) auf paketorientierte Übertragung durch die Netzbetreiber nur noch eine untergeordnete Rolle bei neu anzuschließenden Anlagen.

Die Vorteile der öffentlichen Netze liegen in der im Regelfall guten Abdeckung und somit auch guten Verfügbarkeit der Netze, die weltweite Erreichbarkeit, die geringen Kosten für die Infrastruktur, da diese beim Betreiber liegen und es können zum Teil sehr hohe Datenraten erzielt werden, in jedem Fall ausreichend für eine sichere Übertragung von Ethernet-Daten.
Die Nachteile liegen in der Abhängigkeit vom Provider im Falle einer Störung und den laufenden Gebühren. Mit den neuen Tarifstrukturen der Internet- und Mobilfunk-Anbieter (Flat Rate) werden die Kosten für die Datenübertragung allerdings so gering, dass sich für viele neue Anwendungen ein wirtschaftlich sinnvoller Einsatz ergibt.

Nutzung des Internets zur Datenübertragung
Zur Nutzung der internetbasierenden Steuerung und Überwachung, gibt es grundsätzlich zwei Hauptverfahren, die ADSL-Übertragung über vorhandene Telefonleitungen oder GPRS/UMTS Mobilfunk-Datendienste für Anwendungen, wo kein ADSL-Anschluß verfügbar ist. Für jedes dieser Verfahren benötigt man einen Router, der dafür sorgt, dass die Daten gezielt über das Internet zu der gewünschten Außenstation oder Anlage geleitet werden. Im Gegensatz zu den kommerziellen IT-Routern in der Bürovernetzung ist für den erfolgreichen Einsatz der Internet-Anbindung die einfache Handhabung und Inbetriebnahme wichtig, da zumeist keine IT-Spezialisten, sondern SPS-Programmierer oder Automatisierer die Konfiguration vornehmen.
Bei der Nutzung der Mobilfunk-Dienste kommen kompakte GPRS- oder UMTS-Router, wie z.B. der DSR-111-U zum Einsatz. Als DSL-Variante für den ADSL-Anschluß steht der DSR-111-N zur Verfügung.
Für die Anwendung selbst gibt es zwei unterschiedliche Einsatzarten, zum einen meldet sich die Außenstelle bei Störungen oder in zyklischen Intervallen selbst und übermittelt Ihre Daten an das Leitsystem oder an eine zentrale Servicestelle. Zum Anderen möchte die Zentrale oder ein mobiler Servicetechniker auf die Anlage zugreifen. Das ist im Bereich des Mobilfunk- und ADSL-Netzes schwierig, da den Geräten dynamische IP-Adressen zugewiesen werden, die sich stetig ändern können. Die Verbindung muss im Regelfall vom Endgerät zur Zentrale aufgebaut werden.

Zur Lösung dieses Problems kann der Anwender auf verschiedene Datendienste wie MDex, Marcant, IP-Mobile, etc. zugreifen, die gegen eine monatliche Gebühr der Außenstation eine feste IP-Adresse zuordnen. Diese ist dann durch einen gesicherten Zugang am Portal des jeweiligen Dienstleisters direkt aus dem Internet erreichbar.
Einfacher ist allerdings ein Zugang über den VPN-Server VSS-01 der DigiComm, über den sich registrierte Teilnehmer mit Standarddatenkarten anmelden – und dann über eine einheitliche IP-Adresse von der Zentrale oder vom Servicetechniker erreicht werden können. Der VPN-Server VSS-01 kann lokal oder in einem Rechenzentrum im Internet aufgebaut werden und bietet neben den hochsicheren VPN-Verbindungen eine sehr einfach zu bedienende Oberfläche über Webbrowser und die simpelste Art der Konfiguration der Router und Teilnehmer. Bei dem Anlegen einer neuen Verbindung erstellt der VSS-01 automatisch die Sicherheitszertifkate, Firewallregeln und die Konfigurationsdateien für die Router. Diese werden heruntergeladen, mit zwei Klicks in die Router eingespielt und fertig ist die gesamte Konfiguration. Tiefergehendes IT-Wissen ist nicht erforderlich.

Ein weiterer Vorteil bei einem lokalen Aufbau im Hause ist die Unabhängigkeit von Drittanbietern. Automatische Sicherung der Konfiguration und automatische Redundanzschaltung für den Ausfall solch einer zentralen Komponente sind selbstverständlich. Der VSS-01 unterstützt im Endausbau bis zu 2.000 VPN-Tunnel, ist aber schon in einer Größe ab 50 Tunnel verfügbar und kann bei Bedarf hochgerüstet werden.

Eine Frage der Sicherheit
Die einzige sichere Lösung für die Übertragung über das Internet ist der Aufbau eines VPN-Tunnels (virtual private network). Damit ist durch sichere Authentifizierung und einer starken Verschlüsselung garantiert, dass nur Befugte auf die vertraulichen Firmendaten zugreifen können. VPN sind eine seit vielen Jahren erprobte Technik und es gibt unterschiedliche Technologien und Protokolle mit ebenso unterschiedlichen Sicherheitsstandards. Am Markt haben sich zwei, als sicher geltende, VPN-Vertreter durchgesetzt: Das standardisierte IPSec-Protokoll und das inzwischen sehr populäre OpenVPN-Protokoll.
Clientseitig, also auf der Seite der Außenstelle oder des mobilen Benutzers, ist OpenVPN sehr einfach in der Handhabung: Software laden, installieren, Zertifikat einspielen: läuft.
IPSec dagegen hat eine Fülle von abzustimmenden Konfigurationsparameter und eine einfache Client-Implementierung ist nur mit Drittsoftware möglich.
Auf der Serverseite des VPN (zentraler Router / VPN-Server) ist die Situation ähnlich, beide Systeme bieten die Möglichkeit sowohl mit Zertifikaten (geeignet für größere Infrastrukturen und vor allem bei ändernden Teilnehmern) als auch mit sogenannten PSKs – Pre-Shared-Keys oder VPN-Geheimnissen zu arbeiten.
Die Konfiguration ist bei OpenVPN auf dem Server erheblich einfacher als bei IPSec und hat weniger Probleme mit NAT-Routern, also Clients, die hinter einem Router stehen und keine eigene offizielle IP-Adresse besitzen. So ist z.B. der Einsatz von IPSec-VPNs im UMTS-Netz von Base (betrieben von E-Plus) nicht möglich.
In Punkto Sicherheit sind beide Protokolle in etwa gleichwertig, sie verwenden im Grunde den gleichen Algorithmus, bieten Authentifizierung und Verschlüsselung beim Datenaustausch.

OpenVPN wird vom BSI (Bundesministerium für Sicherheit in der Informationstechnik) als sicher anerkannt (M 5.148 Sichere Anbindung eines externen Netzes mit OpenVPN).
Der VSS-01 unterstützt VPN-Verbindungen nach dem OpenVPN-Standard.
Zusammenfassend kann festgehalten werden, dass das Internet und die Mobilfunknetze viele Möglichkeiten der sicheren Übertragung bieten und die Anwendungsbereiche der Fernwirktechnik vervielfacht haben. Für den Einsatz dieser Techniken sind in der Regel jedoch ein spezielles IT-Wissen oder ausgefeilte Konfigurationstools notwendig.
Mit der neuen Generation von kompakten Industrie-Routern und des VPN-Servers VSS-01 hat die DigiComm sich dieser Thematik konsequent angenommen und bietet Lösungen an, die von jedem Anwender gehandhabt und in Betrieb genommen werden können.

Autor: Theo Bongartz – Geschäftsführer der DigiComm GmbH in Kaarst

www.digicomm.de
 

ähnliche Beiträge