Die Netzwerkinfrastruktur in der Operational Technology (OT) muss hohen Anforderungen für Sicherheit und Verfügbarkeit gerecht werden. Für die Umsetzung konformer Architekturen liefert die Industrienorm IEC 62443 eine gute Orientierung. Neben komplexen Themen, wie beispielsweise Netzwerksegmentierung, müssen jedoch auch die Basics im Fokus stehen. Dazu zählen eine gute VLAN- und IPAM-Hygiene. Beide Basisthemen unterstützen eine strukturierte, skalierte und sichere Netzwerkverwaltung und damit einen sicheren Betrieb.
Dieser Artikel beschreibt, warum es wichtig ist, Ihren Status Quo dafür zu optimieren und wie Sie mit Best Practices bei der Umsetzung gängige Fallstricke vermeiden.
Klären wir zunächst wichtige Begriffe.
Was versteht man unter IPAM?
IP Address Management (IPAM) ist die zentrale Verwaltung und Zuweisung von IP-Adressen in einem Netzwerk. Ziel ist es, die Nutzung von IP-Adressen zu optimieren und die Netzwerkadressierung effizient zu organisieren. Zu den Kernfunktionen gehören die automatische oder manuelle Adressvergabe, die Reservierung bestimmter IPs für spezielle Geräte oder Dienste, das Subnetting zur besseren Segmentierung sowie das Management von Adressen und nicht zuletzt Adresskonflikten.
Zur Umsetzung werden IPAM-Softwarelösungen eingesetzt. Diese Systeme arbeiten oft mit DHCP-Servern zusammen, um die dynamische Zuweisung von IP-Adressen zu automatisieren und zu überwachen.
Was sind eigentlich VLANs?
VLANs (Virtual Local Area Network) sind logische Unterteilungen eines physischen Netzwerks , die eine flexible Segmentierung ermöglichen, ohne dass Hardware physisch geändert werden muss. Mit anderen Worten: VLANs sind eine Segmentierung der Hardware auf Layer 2. Sie trennen Broadcast-Domänen, verbessern die Sicherheit und optimieren das Netzwerkmanagement.
Durch VLANs können Netzwerksegmente nach Funktion, Abteilung oder Sicherheitsanforderungen isoliert werden, wodurch sich der Datenverkehr innerhalb eines VLANs nicht mit anderen überschneidet. Diese Isolation wird über den IEEE 802.1Q-Standard erreicht, der VLAN-Tags in Ethernet-Frames einfügt, um den Datenverkehr zu kennzeichnen.
Zu den Vorteilen gehören eine höhere Sicherheit durch getrennten Datenverkehr sowie eine erleichterte Verwaltung und Fehlersuche im Netzwerk.
Bedeutung von IPAM in der OT
In der OT können unkontrollierte IP-Adressen schnell zu Störungen oder Sicherheitsrisiken führen. IPAM ist ein zentraler Baustein für ein sicheres und effizientes Netzwerkmanagement.
Herausforderungen beim IP-Adressmanagement
- Komplexität: Die Vielzahl an Geräten wie Sensoren, Steuerungen und PLCs sowie dynamische Netzwerke mit häufigen Änderungen machen die IP-Verwaltung anspruchsvoll.
- Sicherheit: Unzureichende Segmentierung und IP-Adresskonflikte können zu erheblichen Netzwerkstörungen und Sicherheitsrisiken führen.
- Skalierbarkeit: Die steigende Anzahl an Geräten und die wachsende Netzwerkkomplexität erschweren die Skalierung der IP-Verwaltung, insbesondere, wenn veraltete IPAM-Systeme keine ausreichende Visualisierung ermöglichen.
- Kompatibilität: Die Integration von IPAM in bestehende IT- und OT-Infrastrukturen ist oft schwierig, da es an Standardisierung für eine einheitliche IP-Verwaltung fehlt.
Best Practices für IPAM
Strukturierte IP-Adressierung
IP-Ranges sollten gezielt für verschiedene Zonen und Zellen aufgeteilt werden (z.B. getrennte Adressbereiche für Produktionssysteme und Verwaltungsnetzwerke). Zusätzlich verbessert ein durchdachtes Subnetzmanagement die Segmentierung und erleichtert die Verwaltung der IP-Adressen.
Automatisierung der Adressvergabe
Die Integration von DHCP und IPAM ermöglicht eine effiziente Verwaltung. Beispielsweise können kritische Systeme feste IPs erhalten und weniger kritische Geräte dynamisch zugewiesen werden.
Monitoring und Protokollierung
Überwachungstools helfen bei der frühzeitigen Erkennung von IP-Konflikten, während eine lückenlose Dokumentation aller Änderungen Transparenz schafft und Fehler reduziert.
Sicherheit und Zugriffskontrollen
Lokale oder zentrale, rollenbasierte Zugriffskontrollen auf IPAM-Systeme verhindern unbefugte Änderungen und Missbrauch. Zudem sollten alle Änderungen und Zuweisungen von IP-Adressen protokolliert werden, um Probleme zu vermeiden und Nachvollziehbarkeit zu gewährleisten.
Dokumentation und regelmäßige Audits
IPAM-Systeme unterstützen eine regelmäßige Pflege und Aktualisierung von Adressplänen und Netzwerkdiagrammen, um veraltete oder ungenutzte Adressen zu bereinigen und eine effiziente Fehlerbehebung zu ermöglichen. Für eine verbesserte Übersicht kann auch die Visualisierung durch IP-Quadranten sinnvoll sein.
Beispiel: Visualisierung durch IP-Quadranten
Betrachten wir als Anwendungsbeispiel die Einführung eines strukturierten IP-Adressmanagement (IPAM) für OT-Netzwerke mit dem Ziel, die Übersichtlichkeit, Skalierbarkeit und Sicherheit zu verbessern:
- Verwendung privater IP-Adressen (siehe RFC 1918)
- Optische Trennung von IT- und OT-Adressen:
– IT verwendet 172.x.x.x-Netze
– OT verwendet 10.x.x.x-Netze - IP-Quadranten für bessere Übersichtlichkeit:
– IP-Adressen werden logisch in Quadranten aufgeteilt
– Visualisierung: Freie und belegte Adressen auf einen Blick erkennbar
Erklärung
Das große Raster stellt einen bestimmten Adressbereich visuell dar. Jede Zelle repräsentiert einen IP-Bereich innerhalb des definierten Netzwerks. Die farbliche Markierung zeigt, welche Adressen welcher Funktion zugeordnet werden und ob diese bereits genutzt werden oder noch frei sind.
Vorteile dieser Struktur:
- Einfache optische Trennung zwischen IT und OT
- Schnelles Troubleshooting dank klarer Struktur
- Skalierbarkeit und Erweiterbarkeit durch reservierte Adressbereiche
- Bessere Dokumentation und einfachere Verwaltung
VLAN-Design für sichere OT-Netzwerke
Virtuelle LANs (VLANs) sind ein betriebswirtschaftlich sinnvolles Werkzeug, um OT-Netzwerke zu segmentieren und Sicherheitsrisiken zu minimieren.
Best Practices um VLANs zu designen
Trennung kritischer Systeme
Sicherheitskritische OT-Systeme wie SCADA- und Steuerungssysteme sollten in separate VLANs ausgelagert werden. Dies verhindert laterale Angriffe und schützt sensible Netzbereiche vor unautorisiertem Zugriff. Die Trennung kann dabei beispielsweise nach Funktionalität oder Sicherheitsstufe erfolgen (z.B. Trennung von Produktionsnetzwerk, Managementsystemen und Gastzugängen).
VLAN-Planung und -Verwaltung
Eine sorgfältige Planung der VLAN-Zuordnung basierend auf Sicherheitsanforderungen und Netzwerkarchitektur ist essenziell. Zudem erleichtert eine detaillierte Dokumentation von VLAN-IDs, Zuweisungen und Zugriffsrichtlinien das Netzwerkmanagement. Empfehlenswert ist außerdem die Definition von einheitlichen VLAN-Strukturen, die für alle Netzwerke und Standorte gelten. Tipp: VLAN-IDs dürfen im Rahmen von Zellen recycelt werden!
Zugriffssteuerung
Die Conduits zwischen den VLANs, realisiert durch Firewall Policies, ermöglichen eine feingranulare Kontrolle des Datenverkehrs. Inter-VLAN-Routing sollte nur über Firewalls oder dedizierte Router erfolgen, um eine sichere Kommunikation zu gewährleisten.
Netzwerkperformance
Die Minimierung von Broadcast-Domänen durch kleinere VLANs hilft, Broadcast-Stürme zu vermeiden. Zudem sollte das VLAN-Design so optimiert werden, dass es eine effiziente Lastverteilung ermöglicht und die Netzwerkleistung stabil bleibt.
Überwachung und Management
Eine kontinuierliche Überwachung des VLAN-Verkehrs ist notwendig, um Unregelmäßigkeiten oder Sicherheitsvorfälle frühzeitig zu erkennen. Regelmäßige Überprüfungen der VLAN-Konfiguration stellen sicher, dass Sicherheitsrichtlinien aktuell und wirksam bleiben.
Beispiel: Einheitliche VLAN-Strukturen für OT-Netzwerke
Als Beispiel dient uns ein Projekt, bei dem eine einheitliche VLAN-Struktur in den OT-Netzwerken mehrerer Produktionsstandorte etabliert werden soll. Ziel ist dabei, die Skalierbarkeit, Sicherheit und ein einfaches Management zu unterstützten.
Vorgaben für das VLAN-Design:
- Standardisierte VLAN-IDs: Jeder Standort verwendet dieselben VLAN-Nummern für gleiche Funktionen.
- Zellendesign mit 255 Adressen pro Subnetz: Erleichtert Wartung und Dokumentation.
- Skalierbarkeit sicherstellen: VLAN IDs in ausreichend großen Blöcken reservieren, um zukünftige Erweiterungen problemlos zu ermöglichen.
Beispiel für eine VLAN-Struktur:
Vorteile dieser Struktur:
- Einfaches Troubleshooting: VLAN-10 ist immer Safety, VLAN-20 immer Produktion – keine individuellen Sonderlösungen pro Standort.
- Bessere Dokumentation: Gleiches Schema an allen Standorten reduziert Fehler und verbessert Übersichtlichkeit.
- Zukunftssicherheit: VLAN-IDs und IP-Adressbereiche sind skalierbar, sodass Erweiterungen einfach möglich sind.
Fazit
Ein durchdachtes IPAM- und VLAN-Design bildet die Grundlage für sichere und stabile OT-Netzwerke. Doch eine isolierte Betrachtung reicht nicht aus. Stattdessen muss die Umsetzung interdisziplinär zwischen OT und IT erfolgen. Ausgehend von der unternehmensindividuellen Schnittstelle zwischen IT und OT macht es beispielsweise Sinn, dass die OT die betrieblichen Anforderungen und Rahmenparameter (z.B. Netzgröße oder -anzahl) definiert, während die IT für eine praktikable und sichere Integration sorgt.
Obwohl VLAN- und IPAM-Management keine Rocket Science ist, tauchen immer wieder dieselben Fallstricke auf – von inkonsistenter Adressvergabe bis hin zu unzureichender Segmentierung. Unternehmen sollten daher auf ein strukturiertes, für beide Seiten funktionierendes System setzen und eine kontinuierliche Überprüfung etablieren. So lässt sich die Netzwerksicherheit nachhaltig verbessern.
IEC 62443 Guide: Besser diskutieren mit Herstellern
CEO & Founder
Die IEC 62443 nimmt weiter mehr Fahrt auf und wird immer öfters auch von Herstellern, Lieferanten und auch Betreibern referenziert.
In unserem Guide helfen wir Ihnen als Betreiber, wie sie die IEC 62443 zur besseren Diskussion mit Ihren Lieferanten und Komponentenherstellern nutzen können.
