Netzwerke an der Duale Hochschule Baden-Württemberg

Perform unabhängig

• Embedded Hardware (Windows..)
• Skalierbar-definierte Profile auf den Geräten-> UA-Server mitteineln welche Funktionaliät sie unterstützen

Layer 2: Die Bridge

Eine Bridge teilt ein Netzwerk in zwei Kollisionsbereiche. Somit ist es möglich, die Netzwerkbelastung zu reduzieren.

• Die Bridge merkt sich an jedem ihrer Ports die jeweils angeschlossenen Geräte (MAC-Adresse) per ARP-Requests.
• Ein Rundsenden an alle (Broadcast), wie z.B. ein ARP-Request wird an allen Ports ausgegeben. Ebenso das Senden an noch unbekannte Adressen und Multicasts.
• Die Bridge speichert die ankommenden Informationen zwischen und packt diese bis zum OSI-Layer 2 aus, um die MAC-Adresse lesen zu können. Dies ermöglicht es, den Layer 1 zu erneuern und zwischen unterschiedlichen Zugriffsverfahren zu verbinden, z.B. Token-Ring-Segment mit Ethernet.
• Bei Verbindung zweier Netzwerke unterschiedlicher Geschwindigkeiten muss durch einen Steuermechanismus sichergestellt werden, dass die Zwischenspeicher nicht überlaufen.

Layer 4: Die Firewall – Intelligenz bei der Weiterleitung

• Eine Firewall blockt auch Verkehr, wenn er vom Regelset her erlaubt wäre, aber nicht vertrauenswürdig ist. 
• Treffen Beispielsweise TCP-ACK-Pakete ein, obwohl vorher kein SYN-Paket ausgetauscht wurde, oder treffenPaketeein,dieAdressentragen,dieeigentlich hinter anderen Interfaces der Firewall angesiedelt sein sollten, blockt die Firewall den Verkehr.
• Die Firewall führt genau Buch über Datenpakete und Verbindungen und beurteilt sie (Stateful Firewall). 
• Einen Verkehr, der logisch nicht einwandfrei ist, verwirft sie aus Sicherheitsgründen.
• Diese Protokollierung muss sie schon alleine daher durchführen, damit das Regelset nicht zu extrem wird.
• Beispiel: Wer einen Webserver (Port 80) anfragt, bekommt natürlich auch eine Antwort, welche die Firewall hereinlassen muss. Sie muss also feststellen, ob der Datenstrom des Webservers im Internet hereindarf, weil er von innen angefordert wurde, oder ob ein Angreifer versucht einzudringen.

Industrie 4.0

• Beschreibt die vierte Industrielle Revolution 
• 1. IR -> Dampfmaschienen
• 2. IR -> Fließbandvertigung
• 3. IR -> IT und Elektronik für Automatisierung
• 4. IR auf Basis von Cyber physical systems (CPS)
• Hoffnungen durch Industrie 4.0: Individuelle Massenfertigung, höhere Produktivität, Kürzere Innovationszyklen, Komplexere Produkte, Voltaile Märkte (sich sehr schnell ändernde Märkte).
• Industrie 4.0 soll aus Produktionssystemen (Physische Objekte, Datensicherung und dynamische Informationszwecke, Dienste und Algorithmen) und CPS(Cyber-Physische Produktionsnetzwerke) bestehen (Digitales Produktgedächntis und digitale Spiegelung der Produktion)
• Dabei verändert sich die Automatisierungspyramide zu einem komplxen Netz, in dem die einzelnen Ebenen keine feste Zuordnung mehr haben sondern von allen und zu beliebiger Zeit zur Verfügung stehen. Muss zb eine Steuerung eine aufwändige Berechnung durchführen kann sie sich ohne Zwischenschritt an die MES richten. Zudem haben wir unten immernoch die Feldebene mit den Maschienen seber 
• Produkte sollen selber wissen was mit ihnen geschehen ist und handeln dementsprechend und kommunizieren mieinandere (IoT)
• Auswirkungen von Industrie 4.0: Dezentralisierung von Intelligenz, steigender Kommunikationsbedarf, zwingende Security Konzepte

Definiert wie transportiert wird und nicht was

Das Hirschmann Modell

• Ein Komplexes Gesamtsystem wird anhand der unterschiedlichen Kommunikationsprotokollen und den unterschiedlichen Sicheheitsanforderungen in verschiedene Compartments untergliedert -> Compartments wirken nach außen weniger komplex (->Sicherheitsgeräte müssen möglichst unsichtbar sein)
• Teilanlagen müssen aus Sicherheitverantwortung getrennt werden, dabei muss betreiber noch Handlungs-/ Entscheidungsspielräume haben,
• Verantwortung d. Produktion dard nicht von der Sicherheitversantwortung getrennt werden 
• Randbedingungen für Compartments
  • Unterteilung sollte keinen Eingriff auf das vorhandene Netzwerk haben
  • Wenn Topologie beibehalten werden soll -> Security Device muss nahezu unsichtbar sein/rückwirkungsfrei
  • Tzdm soll der Datenverkeher entsprechenden Sicherheitsregeln unterworfen werden

• Der Primärbereich verbindet einzelne Gebäude untereinander. Jedes Gebäude besitzt einen Gebäudeverteiler, der das Netzwerk innerhalb des Gebäudes verteilt.
• Der Sekundärbereich verbindet die einzelnen Etagen miteinander. Vom Gebäude- bzw. Standortverteiler wird das Netzwerk sternförmig zu den einzelnen Etagen verbunden.
• Der Tertiärbereich beschreibt die Verbindung vom Etagenverteiler zu den einzelnen Arbeitsplätzen, an denen Datenendgeräte angeschlossen werden können.

• TCP ist ein verbindungsorientiertes Protokoll, es wird bewusst eine virtuelle Verbindung zwischen Sender und Empfänger etabliert.
• Bevor Daten ausgetauscht werden, ist zunächst ein Verbindungsaufbau notwendig: 
  1. Prüfen, ob Partner erreichbar ist. 
  2. Wenn dieser bestätigt, wird in einem Mehrschritt-Verfahren diesem rückbestätigt, dass die Verbindung möglich ist.
  3. Nun können Daten ausgetauscht werden.
  4. Am Ende der Übertragung wird die Verbindung gezielt abgebaut.
• Während der Übertragung findet eine Flusskontrolle statt. Laufen die Pufferspeicher des Empfängers voll, sendet dieser eine Nachricht, der Sender hört daraufhin auf zu senden, bis er die Mitteilung bekommt, dass der Empfänger wieder bereit ist.
• Eine TCP-Verbindung wird gezielt auf- und abgebaut. 
• Jedes Datagram hat eine Sequenznummer, die es eindeutig im Datenstrom charakterisiert.
• Der Empfänger quittiert jeweils den Empfang eines Paketes.
• Fehlende oder korrumpierte Pakete werden nochmals gesendet.
• TCP sammelt die Pakete in einem Zwischenspeicher, setzt den Datenstrom wieder korrekt zusammen und reicht ihn an die Portnummer weiter, für die er bestimmt ist.
• Hinter dem Port wartet die entsprechende Applikation auf die Daten.
• Da mehrere Applikationen gleichzeitig miteinander kommunizieren können, verteilt TCP die verschiedenen Datenströme, macht also ein Multiplexing.

Schematischer Verlauf einer TCP-Verbindung. Die Verbindung wird mit einer Anfrage aufgebaut. Haben beide Partner wechselseitig bestätigt, dass sie kommunizieren können, wird begonnen zu senden. Jedes Paket wird mit seiner Sequenznummer quittiert. Am Ende wird die Verbindung mit wechselseitiger Bestätigung gezielt wieder abgebaut. Fehlende Pakete werden neu angefordert. 

• Da es sehr zeitraubend wäre, wirklich jedes Paket einzeln zu bestätigen, gibt es die Möglichkeit, die Pakete im Block zu quittieren.
• Ein Block von Paketen wird versendet. Das letzte wird quittiert, wenn alle vorhergehenden korrekt angekommen sind.
• Wenn ein Paket in diesem Block fehlerhaft war, dann wird das letzte korrekte Paket quittiert.
• Die Größe der Blöcke wird ausgehandelt.
• Verlorene Pakete werden so lange nochmals gesendet, bis ein Timeout auftritt oder eine Bestätigung eintrifft.

• Will man einen Webserver nur im internen eigenen Netzwerk zugreifbar machen, andere Services aber erreichbar lassen (z.B. FTP), muss man im Router, der den Zugriff von außen ermöglicht, den Zugriff auf den Port 80 der IP-Adresse des Servers blockieren.
• Auf Layer 3 kann man den Router nach IP-Adressen filtern lassen, damit werden jedoch alle Verbindungen verboten, auch die auf den FTP-Server.
• Auf Layer 4 kann man über die Kombination auf IP-Adresse und Port nur bestimmte Services blockieren.
• Diese Blockierung kann für UDP und TCP getrennt erfolgen. Es ist also Möglich einen Port für UDP zu sperren, für TCP jedoch offen zu halten.
• Die Geräte, an denen die Sperre angebracht werden können, sind Router und Firewalls.
• Der Unterschied zwischen Router und Firewall besteht in der Weiterleitungsphilosophie.
  1. Der Router ist maximal offen, strebt also nach dem Ziel, so viel als möglich Daten weiter zu transportieren. Man muss Beschränkungen bewusst konfigurieren (Access-Control-Lists).
  2. Die Firewall verbietet von vornherein jeden Verkehr, will man bestimmte Daten weiterleiten, muss dies explizit durch Konfiguration erlaubt werden.
• Die Interfaces einer Firewall sind in der Regel - im Unterschied zum Router - nicht alle gleichberechtigt. Es gibt oft ein „Security-Gefälle“, das konfigurierbar ist.
• Generell gilt (sofern nicht anders konfiguriert), dass der Verkehr von Zonen höherer in Zonen niedrigerer Sicherheit erlaubt ist.
• Durch eine richtige Positionierung der Firewall (oder mehrerer) innerhalb eines Netzwerks, lässt sich dieses sehr viel effektiver schützen als durch die einfache Einrichtung von Access-Controll-Listen an Routern.
• In Umgebungen, die sicher sein sollen oder müssen, sollte der Einsatz von Firewalls auf jeden Fall überlegt werden. Auf jeden Fall dann, wenn das eigene Netzwerk direkt am Internet angeschlossen und nicht anderweitig vor Zugriffen von außen geschützt ist. 

In der Regel wird bei einer Firewall Verkehr von Zonen höherer Sicherheit in solche niedrigerer Sicherheit erlaubt. So soll von dem Unternehmen aus auf andere Netze zugegriffen werden können, aber nicht andersherum. Ein Router macht diese Unterschiede nicht, er hält sich an seine Access-Controll-Listen und behandelt die Interfaces gleichwertig.

Produktionsgrobplanung, Kostenrechnung ,Bestellabwicklung, Finanzbuchführung

• Für bestimmte Zwecke, Tests, Adresstranslation, isolierte Netzwerke ohne Internetanbindung.
• Private Adressen werden im Internet normalerweise nicht geroutet.
• „Private Adressen“ sind niemandem zugeteilt, jeder darf sie frei verwenden. Daher dürfen sie im Internet nicht verwendet werden, da ein weltweites Routing nur funktioniert, wenn die Adressen eindeutig lokalisierbar sind.
• Private Adressen sind in jeder Klasse vorzufinden:
  Klasse A (10.0.0.0 bis 10.255.255.255)
  Klasse B (172.16.0.0 bis 172.31.0.0)
   Klasse C (192.168.0.0 bis 192.168.255.255)

Kommunikation der Ebenen hat unterschiedliche Anforderungen

Leitebene: Keine Echtzeitanforderungen. Hohe Datenmengen

Prozessebene: Teilweise Echtzeit Richtung Sensor/Aktor-Ebene. Größere Datenmenge, insbesondere zur Leitebene

Sensor-/Aktor-Ebene: Echtzeitanforderungen mit wenig Daten

Zwischen den Ebenen sind Übersetzer (Gateways) notwendig, um zwischen unterschiedlichen Feldbussen die Kommunikation zu gewährleisten.

Linientopologie

Eingesetzt bei räumlich ausgedehnten, linear aufgebauten Systemen und bei Verbindung mehrerer Teilnehmer innerhalb einer Maschine

Vorteile: 

• Kostengünstig bei weiträumigen Systemen.
• Gleiche Topologie wie bei Feldbussen.
• Aktive Netzwerkkomponenten und Teilnehmer sind im selben Schaltschrank untergebracht.
• Einfache Stromversorgung.
• Schutz gegen Umwelteinflüsse.

Nachteile: 

• Eine Unterbrechung innerhalb der Linie teilt diese in zwei Segmente, die nicht mehr miteinander kommunizieren können.