Die Nutzung von VPN (virtuelles privates Netzwerk) ist mittlerweile eine der am meisten eingesetzten Technologien zur Einbindung von Fernwartern in das Betreibernetz. Das Ziel ist, wie bei anderen gängigen Fernwartungslösungen, dem Wartungspersonal Zugriff auf ein oder mehrere entfernte Zielsysteme zu ermöglichen. Oftmals existiert bereits eine VPN-Infrastruktur für den normalen Enterprise-Betrieb, z.B. für Homeoffices oder mobile Mitarbeiter. Auf den ersten Blick liegt es nahe, eine Fernwartungsverbindung auf Ihre Anlage direkt darüber mit abzubilden. Hier lohnt es sich aber genauer hinzuschauen, denn oftmals ist dieser unkomplizierte Weg nicht der, der Ihnen optimale IT-Sicherheit bietet.

VPN-Arten unterscheiden

Zunächst sollte aber geklärt werden, welche Arten von VPN-basiertem Zugriff existieren. Hierbei ist es in erster Linie unabhängig, ob der Fernwarter Ihre bereits bestehende VPN-Lösung nutzt oder eigene Systeme/Boxen in Ihr Netzwerk integriert.

1. Netzkopplung (Site-to-Site) – Layer 3

Bei einer Site-to-Site Netzkopplung werden zwei Netze (Fernwartungsanbieter, Kunde) mittels Routing-Mechanismen miteinander verbunden. Das heißt, alle Geräte im Netz des Fernwarters können mit allen Geräten des Kunden sprechen und andersherum. Einschränkungen können durch ausschließende Routing-Einträge und durch Firewall-Regeln realisiert werden.
Der Fernwarter kann damit die gewünschten Zielsysteme direkt per IP-Adresse und dem benötigten Port ansprechen, ohne weitere Anpassungen tätigen zu müssen. Die Verbindung wird hierbei durch dafür geeignete VPN-Router hergestellt.

Bei der Layer 3 Netzkopplung existieren eigenständige Layer 2 Broadcast Domains pro Netz (gestrichelte orangefarbene Ellipsen)

2. Netzkopplung (Site-to-Site) – Layer 2

Ähnlich zu der Netzkopplung auf Layer 3 (IP-Adressen), verläuft die Kopplung hier eine Ebene tiefer. Zusätzlich zum Datenverkehr auf IP-Ebene werden Layer-2 (Ethernet) Informationen vom einen Netz ins andere geschickt. Hierzu gehören u.a. Broadcasts, Spanning-Tree u.v.m. Der Fernwarter erreicht die Geräte nun auch per MAC-Adresse. Eine Firewall muss hier sowohl auf Layer-3 als auch auf Layer-2 Einschränkungen vornehmen.

Vorsicht:
Die Kopplung von Netzen auf Layer-2 ist oftmals nicht erforderlich, wird aber dennoch oft eingesetzt. Wenn keine Regulierung in Form einer Firewall bzw. anderen Beschränkungen stattfindet, dann kann Ihnen eine unbedachte Layer-2 Kopplung massive Probleme bereiten. Angefangen von einer großen Menge an Broadcasts, die durch Ihr Netz geistern, bis hin zur kompletten Auslastung Ihres Netzwerks. Gleichzeitig wird sämtliches Debugging von Layer-2 Verbindungen erschwert.
Hier ist es wirklich wichtig, dass Ihr Fernwartungsanbieter und vor allem Sie sich sicher sind, was dort genau passiert.

Die Layer 2 Broadcast-Domain erstreckt sich über die Netze des Wartungsanbieters und des Kunden (gestrichelte orangefarbene Ellipse)

3. Zugriff per VPN-Client

Neben der Kopplung ganzer Netze können ebenso gut VPN-Clients zum Einsatz kommen. Der Fernwarter verbindet sich hierzu von seinem eigenen PC/Notebook per VPN-Client mit Ihrer VPN-Infrastruktur. Alternativ zu Ihrer VPN-Infrastruktur kann der Fernwartungsanbieter einen eigenen VPN-Endpunkt bei Ihnen im LAN einbringen und sich damit verbinden. Mittels IP-Adresse und Port kann anschließend direkt auf die jeweilige Maschine zugegriffen werden.

Zugriff auf das VPN per Client

Durcheinander bei der Netzwerk-Kopplung

Es kann vorkommen, dass ein Fernwarter gleichzeitig einen VPN-Tunnel in verschiedene Kundennetze aufbaut. Zum Beispiel eine Verbindung zur Produktionsanlage eines Kunden in Südost-Asien und eine andere zu einer Roboter-Steuerung eines anderen Kunden in Europa.
Eine nicht ordentlich durchdachte bzw. implementierte Lösung kann dazu führen, dass Kunde A über das Netz des Fernwartungsanbieters mit dem Netzwerk von Kunde B sprechen kann. Ob dies der Fall ist, können Sie leider nur sehr schwer bis gar nicht feststellen. Eventuell entdecken Sie etwas in Ihren Netzwerkprotokollen oder in Ihrem Monitoring. Lassen Sie sich ggfs. von Ihrem Fernwartungsanbieter vertraglich zusichern, dass zu einem Zeitpunkt immer nur eine Fernwartungsverbindung zu einem Kunden aufgebaut wird oder dass er die Kopplung von Kundennetzen untereinander technisch ausschließt.
Die negativen Auswirkungen einer solchen Kopplung reichen von doppelt vergebenen IP-Adressen in den gekoppelten Netzen bis hin zum Verlust von Steuersignalen und potenziellen Störungen Ihrer Automatisierungslösung.

Eine unvorsichtige Layer 2 Kopplung mehrerer Zielnetze kann zu IP-Adresskonflikten zwischen Kunde A und B führen

Gehen Sie auf Nummer sicher

Beim Einsatz von VPN-Lösungen zu Fernwartungszwecken ist die Implementierung einer geeigneten Firewall-Lösung essentiell. Denn von Haus aus wird mittels VPN das gesamte Netz/Subnetz geöffnet. Durch die Verwendung einer Firewall können Sie die Netzwerkkommunikation auf das Nötigste reduzieren, indem sie den nicht benötigten Datenverkehr blockiert. Wir nennen das gerne Top-Down-Ansatz, da dadurch erst nachträglich der Zugriff reduziert wird.
Ohne den Einsatz einer Firewall und der damit verbundenen Kontrolle der Datenkommunikation ist eine Fernwartung über VPN, z.B. für die zentrale Produktion, nicht zu empfehlen.

Sollte bei Ihnen Site-to-Site VPN für Fernwartung genutzt werden, überprüfen Sie, ob es sich dabei um eine Layer 2 Kopplung handelt. Falls ja, sollten Sie unbedingt sicherstellen, dass keine Konflikte entstehen können!