Aktive Komponenten - Industrial Security Router
Weidmüller

Aktive Komponenten - Industrial Security Router

Aktive Komponenten - Industrial Security Router

Inhalt Industrial Security Router Übersicht Industrial Security Router Industrial Security Router Einleitung  C.2 Industrial Security Router  C.6 C Indus trial Secur ity R out er C.1 1460830000 – 2014/2015

Industrial Security Router Einleitung Gigabit Industrial Security Router Sichere Datenkommunikation mit integrierter VPN-Technologie Sie möchten sicher, zuverlässig und standortunabhängig  mit Ihren Maschinen und Anlagen kommunizieren?  Ausschließlich legitimierte Daten sollen Zugang zu Ihrem  Industrienetzwerk erhalten? Dann ist der neue Industrial  Security Router von Weidmüller die richtige Wahl. Ausgehend von der stetig zunehmenden Daten- und  Informationsvernetzung in der Bürokommunikation, gibt es  einen starken Trend, die Vorteile der Ethernetkommunikation  auch in der industriellen Automatisierungstechnik zu nutzen. Neben der Standardisierung durch die Ethernettechnologie  ist die vertikale Datenintegration von der Feld-/ Produktionsebene über das Büronetzwerk bis hin zum  Internet ein wichtiger Treiber für die rasante Ausbreitung von  Ethernet in industriellen Applikationen. Dabei gewinnt – neben den LAN-Switching-Technologien –  die Verwendung von industriellen Routern aus Sicherheits- gründen und zum effizienten Management des Daten­ verkehrs zwischen LANs immer mehr an Bedeutung. Zudem sind Router mit integrierten VPN-Technologien  bestens geeignet für den gesicherten Fernzugriff auf  Komponenten und Systeme im LAN-Netzwerk, wahlweise  über eine kabelgebundene oder mobilfunkgestützte  Internetanbindung. Leistungsmerkmale der Weidmüller Router auf einen BlickKompaktes und robustes Industriegehäuse aus  Metall (Aluminiumdruckguss) Gigabit Ethernet Interfaces (LAN/WAN) für  hohen Datendurchsatz Digitale Ein-/Ausgänge (24 V DC) für  die Funktionen Abschalten WAN-Port,  Signalisierung  Alarmzustand, Start/Stopp  konfigurierter VPN-Verbindungen und  Signalisierung eines aktiven VPN-Tunnels Unterstützung aller Standardrouter- funktionen wie Static/Dynamic Routing,  SNMP, DHCP-Server, Dynamic DNS,  Eventlogging oder DSL-Anbindung (PPPoE)  über externes DSL-Modem Flexibel konfigurierbare Stateful-Inspection- Firewall mit Filterfunktionen sowohl auf  Layer 3 (IP-Ebene) als auch auf Layer 2  (MAC-address-Ebene) Umfangreiche Konfigurationsmöglichkeiten des  IP-Address-Mappings (1:1 NAT, Virtual Mapping / NAT-Masquerading / Port-Forwarding / IP- Address-Forwarding) z. B. zur Anbindung mehrerer  Maschinennetze mit denselben IP-Adressen in ein  übergeordnetes Produktionsnetzwerk Integrierte VPN-Funktionalität (OpenVPN und IPsec)  für den gesicherten Fernzugriff durch das Internet;  Verwendung des Routers bei beiden VPN-Technologien  sowohl als VPN-Client als auch als VPN-Server Variables Bandbreitenmanagement durch Priorisierung  und Limitierung des Netzwerkverkehrs auf IP- und  Ethernet-Protokollebene Variables Benutzermanagement über unterschiedliche  Anwenderprofile mit detaillierter Rechtevergabe Integrierter Modbus/TCP-Server zur Steuerung und  Statusabfrage der digitalen Ein-/Ausgänge und  vorkonfigurierter VPN-Verbindungen durch Modbus/ TCP-fähige Endgeräte (z. B. SPS) Client-Monitoring zur Überwachung von  Netzwerkteilnehmern „Remote Capture“-Funktion zur Überwachung des  Netzwerkverkehrs mittels Wireshark Variante IE-SR-2GT-UMTS/3G  Zusätzlich integriertes „UMTS/3G/HSPA+“-Modem  für Internetanbindung über Mobilfunk (max.  Downlink 21,2 Mbit/s, max. Uplink 5,8 Mbit/s) C Indus trial Secur ity R out er C.2 1460830000 – 2014/2015

Industrial Security Router Einleitung Maschinen sicher in ein Produktionsnetz integrieren  mit Gigabit-Ethernet Der Router ermöglicht den kontrollierten und  gesicherten Datenaustausch zwischen „geswitchten”  Ethernetnetzwerken (IP-Routing). Über die verschiedenen  Ausprägungen der Funktion Network Address Translation  (1:1 NAT, Masquerading, Virtual Mapping, Port- und IP- Weiterleitung) kann der Zugriff sowohl auf Sub-Netze  als auch individuell auf einzelne Ethernetgeräte geregelt  werden. Zudem können über die Funktion 1:1 NAT  Maschinennetze mit denselben IP-Adressbereichen sehr  einfach in ein übergeordnetes Produktionsnetzwerk  eingebunden werden, so wie es typischerweise im Serien- Maschinenbau der Fall ist. Aufgrund der Highspeed- Performance der Gigabit-Interfaces ist der Router ideal  geeignet, die zukünftig zunehmende Datenlast in den  Ethernetnetzwerken problemlos zu bewältigen. Maschinennetz 1 Maschinennetz 2 Produktions-  netz Fernzugriff über sichere VPN-Verbindungen Weidmüller Industrial-Ethernet-Router ermöglichen mittels  verschlüsselter VPN-Verbindungen (OpenVPN und IPsec) den  gesicherten Zugriff auf Maschinen und Anlagen. Diagnose  und Fehlerbehebung sind so unabhängig vom Standort  möglich. Dadurch kann in vielen Fällen auf den Vororteinsatz  eines Servicetechnikers verzichtet werden. Der Router unterstützt die Standard-VPN-Technologien  OpenVPN und IPsec und kann jeweils als VPN-Client oder als  VPN-Server (ohne Limitierung gleichzeitig nutzbarer Clients)  betrieben werden. Maschinennetz Produktions-  netz VPN-Tunnel C Indus trial Secur ity R out er C.3 1460830000 – 2014/2015

Steuerung und Überwachung über integrierte digitale  Ein-/Ausgänge Der Router ist ausgestattet mit zwei digitalen Eingängen  („Cut“ und „VPN initiate“) und zwei digitalen Ausgängen  („Alarm“ und „VPN active“). Über den 24-V-Eingang „Cut“  kann der RJ45-WAN-Port temporär deaktiviert werden,   um z. B. bei Wartungsarbeiten im LAN-Netzwerk einen  unbefugten Zugriff durch Dritte auf das WAN-Netz zu  unterbinden. Der 24-V-Eingang „VPN initiate“ ermöglicht  das Starten und Stoppen einer vorkonfigurierten VPN­ Instanz (Client oder Server). Eine Initiierung kann z. B.  über einen externen Schlüsselschalter oder über einen  digitalen Ausgang einer Steuerung (SPS) erfolgen. Ist  ein VPN-Tunnel erfolgreich aufgebaut und aktiv, so wird  dies über den digitalen Ausgang „VPN active“ signalisiert.  Der 24-V-Ausgang „Alarm“ kann verwendet werden,  um konfigurierbare Alarmzustände des Routers extern  anzuzeigen. Ein Alarm kann ausgelöst werden durch eine  Firewall-Regel oder wenn ein Netzwerkteilnehmer nicht  mehr erreichbar ist (Client-Monitoring). Intelligente Firewall: Stateful Packet Inspection Die integrierte Stateful-Inspection-Firewall kann verwendet  werden für die Kontrolle des ein- und ausgehenden Verkehrs  auf allen Router-Interfaces (LAN, WAN, UMTS, VPN-Tunnel)  sowohl auf Layer 2 (Ethernet-Frames) als auch auf Layer 3  (IP-basiert). Zusätzlich ist eine „Auto-Learning”-Funktion („SecureNow!”)  implementiert, die eine automatische Analyse des  Netzwerkverkehrs durchführen kann und als Ergebnis ein  Regelwerk erstellt, welches der Anwender übernehmen oder  bedarfsweise modifizieren kann. Industrial Security Router Einleitung C Indus trial Secur ity R out er C.4 1460830000 – 2014/2015

Benutzerfreundliche Konfiguration über Web- Interface Für die Konfiguration des Routers kann ein beliebiger  Standardbrowser verwendet werden. Die übersichtliche  Menüstruktur unterstützt eine schnell zu erlernende und  intuitive Benutzerführung. Das Benutzer-Interface ist  zweisprachig, es kann zwischen Deutsch und Englisch  umgeschaltet werden.  Zur Unterstützung des Anwenders bei der Konfiguration ist  eine Onlinehilfe (Tool Tips) mit detaillierten Hinweisen zu  den Einstellungsmöglichkeiten implementiert. Für unterschiedliche Anwender (Administratoren,  eingeschränkte Benutzer etc.) können beliebig viele  Nutzerprofile mit detaillierter Rechtevergabe erstellt werden. Router-Search-Utility – Finden von Routern im  Netzwerk Das frei verfügbare Softwaretool  Weidmüller Router- Search-Utility erlaubt das Finden von Weidmüller Routern  im lokalen Netzwerk bei unbekannter IP-Adresse. Zu allen  gefundenen Geräten werden die wichtigsten Basisdaten wie  Netzwerkparameter, Seriennummer, Gerätename etc. zur  Geräteidentifikation angezeigt. Zudem kann die IP­Adresse  eines Routers geändert oder das Web-Interface eines  ausgewählten Routers direkt geöffnet werden. Industrial Security Router Einleitung C Indus trial Secur ity R out er C.5 1460830000 – 2014/2015

Industrial Security Router Technische Daten Betriebsarten IP-Router Statisches oder dynamisches Routing, unterstützt RIPv2 / OSPF Transparent Bridge 2-Port-Switch mit zusätzlichem Layer-2 Filter Netzwerkdienste •  DHCP Server / DHCP Relay•   DNS-Relay•   NTP-Client•  DynDNS (DHCP-Client nach RFC 2136) Firewall •  IPv4 Stateful Packet Inspection Firewall (ein-/ausgehend)•  NAT-Masquerading, 1:1 NAT, Portforwarding•  Layer-2/3-Filter (VLAN ID, VLAN QoS Tag,   MAC-Adresse, Ethertype Frame) •  „Auto-Learning“-Funktion zur Erstellung von Paket-Filterregeln   (Analyse Netzwerkverkehr) •  Layer 2/3-basierte Paketpriorisierung   (Ethernet Frame, IP Header, VLAN Tag) VPN OpenVPN •  Konfigurierbar als OpenVPN-Server oder -Client (Layer 2 und Layer 3)•  Authentifizierung über X.509 Zertifikate•  Tunnel-Unterstützung via HTTP-Proxy•  Maximal 10 unterschiedliche Client- oder Serverkonfigurationen•  Unbegrenzte Anzahl von Client-Verbindungen im Server-Modus IPsec •  Konfigurierbar als IPsec-Server oder -Client•  Authentifizierung über PSK   (Benutzerkennung, Passwort) oder X.509 Zertifikate •  Hardware-basierte Verschlüsselung für beschleunigten Datendurchsatz•  Maximal 64 gleichzeitige Verbindungen   (Sub-Netz zu Sub-Netz oder als IPsec-Server) •   Verschlüsselungsalgorithmen    DES-56, 3DES-168, AES-128, AES-192, AES-256 Management •  Konfiguration über WEB-Interface (HHTP/HTTPS)•  Sprach-Interface umschaltbar in deutsch oder englisch•  Konfigurationsunterstützung durch detaillierte   Hilfe-Informationen (Tooltip) •  Konfigurierbarer Multi-User-Zugang mit frei definierbaren Rechten•  Unterstützung von SNMP v1/v2/v3, Eventlog/Syslog Sonstiges Modbus/TCP Integrierter Modbus-TCP-Server für Statusabfragen und softwarebasierter Aktivierung/De-Aktivierung von VPN-Verbindungen  Diagnose „Remote Capture“-Funktion zur Netzwerkdiagnose über einen angeschlossenen PC (Wireshark) Überwachung Client-Monitoring (per ICMP) mit Alarmfunktion im Fehlerfall Schnittstellen RJ45-Ports 2x10/100/1000BaseT(X) USB-Port Option für zukünftige Erweiterungen SCM-Kartenleser Speichern und Wiederherstellen der Konfiguration mittels  Smart Card (Speicherchip) LED-Anzeigen Signalisierung der Zustände für Spannung, Status, Cut, Alarm,  aktiver VPN-Verbindung und aktiver UMTS-Verbindung Digitale Ausgänge •  „Alarm“ — Signalisiert einen konfigurierbaren Netzwerkzustand   oder Fehler (24 V out) •  „VPN-active“ — Signalisiert eine aktive VPN-Verbindung (24 V out) Digitale Eingänge •  „Cut“ — Trennt physikalisch (Link Down) den WAN-Port (24 V in)•  „VPN-initiate“ — Aktiviert eine vorkonfigurierte VPN-Verbindung (24 V in) Reset-Button Wiederherstellen der Werkseinstellung Spannungsversorgung Eingangsspannung 1x 24 V DC (7 bis 36 Volt) Stromaufnahme max. 600 mA @ 24 V DC Technische Daten (Gehäuse) Gehäuse Metall, Schutzart IP 20 Abmessungen (B x H x T) 35 x 159 x 134 mm (ohne Antenne) 35 x 255 x 134 mm (mit UMTS-Antenne) Montage TS 35 Umgebungsbedingungen Betriebstemperatur –20 °C bis +70 °C Lagertemperatur –20 °C bis +85 °C Umgebungsluftfeuchte 6 bis 90 % nicht kondensierend DSL und UMTS/HSPA DSL Anschluss des DSL-Modems über LAN- oder WAN-Port Freie Konfiguration der PPPoE-Zugangsdaten DynDNS Unterstützung der automatischen Registrierung UMTS/3G •  Integriertes Quad-Band UMTS/HSPA Modem   (nur Variante IE-SR-2GT-UMTS/3G) •  Peak Downlink 21.1 Mbps, Peak Uplink 5.76 Mbps•   GSM/GPRS/EDGE: 850 Mhz, 900 Mhz, 1800 Mhz, 1900 Mhz   UMTS/WCDMA/HSDPA/HSUPA: 850 Mhz, 900 Mhz, 1900 Mhz, 2100 Mhz •  FCC, CE, IC, NCC, PTCRB, Bell, AT&T Zulassungen Sicherheit UL508 EMV EN301 489-1/-7/-24, FCC Part 15 Class A, EN 55022 Class A, EN61000-4-2 (ESD), EN61000-4-3 (RS) EN61000-4-4 (EFT), EN61000-4-5 (Surge), EN61000-4-6 (CS) Schock DIN EN 60068-2-27 Vibration DIN EN 60068-2-6 Gewährleistung Zeitraum 3 Jahre Bestelldaten Modelle Typ Best.-Nr. LAN/WAN-Router IE-SR-2GT-LAN 1345270000 LAN/WAN-Router mit integriertem UMTS/3G Modem IE-SR-2GT-UMTS/3G 1345250000 Gigabit Industrial Security Router •  2 Gigabit Ports (LAN/WAN)•  Integrierte Firewall•  NAT masquerading, 1:1 network mapping und Port-Weiterleitung•  Fernzugriff via VPN (OpenVPN, IPsec, L2TP)•  Schlüsselschalterfunktion für De/Aktivierung der WAN/VPN-Verbindung•  Variante mit integriertem 3G/UMTS-Modem für schnellen, internetbasierten  Mobilfunkzugriff •  Speicherung und Wiederherstellung der Gerätekonfiguration mittels SIM-Karte  \  C Indus trial Secur ity R out er C.6 1460830000 – 2014/2015