Die Tücken des Webzugriffes

Für die Aufgabenstellung „Bedienen & Beobachten“ finden sich in der Automation mittlerweile immer mehr Komponenten, die Standard-Betriebssysteme mit Internet-Browsern aus dem IT-Umfeld verwenden – vom kleinen Bedienterminal mit 5-Zoll-QVGA-LC-Display über den Industrie-PC mit 15-Zoll-TFT-XGA-Monitor bis zum Schreibtisch-PC. Der Zugriff über das Web ist jedoch nicht ohne Tücken.

Für die Aufgabenstellung „Bedienen & Beobachten“ finden sich in der Automation mittlerweile immer mehr Komponenten, die Standard-Betriebssysteme mit Internet-Browsern aus dem IT-Umfeld verwenden – vom kleinen Bedienterminal mit 5-Zoll-QVGA-LC-Display über den Industrie-PC mit 15-Zoll-TFT-XGA-Monitor bis zum Schreibtisch-PC. Der Zugriff über das Web ist jedoch nicht ohne Tücken.

Zahlreiche B&B-Konzepte in der Automatisierung nutzen bereits die Vorteile einer durchgängigen Ethernet-Vernetzung und der Internet-Technologien (TCP/IP-Protokollstack, HTTP, Java, .NET). Häufig wird dabei per Webbrowser über ein Ethernet-Kabel auf die in Automatisierungskomponenten eingebetteten (Embedded-)Webserver zugegriffen.

Allerdings ist das webbasierte Bedienen und Beobachten von Maschinen und Anlagen nicht grundsätzlich an ein LAN (Local Area Network) auf Ethernet-Basis gebunden. Der Browser-Zugriff per HTTP (HyperText Transfer Protocol) auf einen Embedded-Webserver kann auch über eine Bluetooth- oder WLAN-Funkverbindung im Nahbereich oder – wenn es um den Fernzugriff geht – sogar mit GPRS (General Packet Radio Service) über GSM-Mobilfunknetze erfolgen. Dabei eignen sich besonders PDAs (Personal Digital Assistants) mit Windows-CE, Palm-OS oder Linux als mobile B&B-Einheiten. Diese Taschencomputer besitzen von Haus aus einen Webbrowser und – bei einigen Modellen als Optionen – die erforderlichen Funkschnittstellen. Doch: Wie ist es um die Datensicherheit bei diesen Verfahren bestellt und was gilt es zu beachten, wenn eine Verbindung mit dem Internet hergestellt werden soll?

Keine Geheimnisse in Funknetzen?

Was den Nahbereich betrifft, konkurrieren in punkto drahtloses Bedienen und Beobachten insbesondere Bluetooth und 802.11-WLANs, obwohl beide Technologien von Haus aus eigentlich nicht als Mitbewerber gedacht waren. Beide Verfahren eignen sich problemlos für die Übertragung von HTTP-Paketen zwischen Webbrowser und -server. Lediglich für die unteren Schichten (Bitübertragungs- und Sicherungsschicht) eines TCP/IP-Stacks sind spezielle Treiber erforderlich, die aber beispielsweise bei einem PDA mit WLAN-Interface als Zubehör zur Verfügung stehen (Bild 1).

Durch die geringe Sendeleistung (zirka 1 mW) ist Bluetooth besonders für mobile Geräte geeignet, da hier ein niedriger Strombedarf eine wichtige Rolle spielt. Eine minimale Abhörsicherheit ist bei Bluetooth bereits durch das schnelle Frequenz-Hopping gegeben. Bluetooth nutzt weiterhin ein recht sicheres Verfahren zur Datenverschlüsselung. Als Basis dient ein 128-Bit-Schlüssel, der niemals über die Funkstrecke übertragen wird. Allerdings: Als Weiterentwicklungen des derzeitigen Bluetooth-Standards 1.1 mit 1 Mbps sind Bluetooth 1.2 (2-3 Mbps) und Bluetooth 2 (4, 8 und 12 Mbps) geplant. Bluetooth 2 verzichtet auf das Frequenz-Hopping und ist so-mit nicht mehr abwärtskompatibel zu 1.1 und 1.2 und sicherlich etwas störan-fälliger.

WLANs nach dem aktuellen 802.11b- beziehungsweise 802.11g-Standards sind als mittelschnelle drahtlose Verbindung zur Gebäudevernetzung gedacht. Es werden 11 beziehungsweise 54 Mbps (brutto) mit maximal etwa 100 mW übertragen.

WLANs sind typischerweise als LAN-Erweiterungen konzipiert. Der Datenaustausch in Ethernet-LANs auf Basis der TCP/IP-Protokolle ist relativ einfach abhör- und manipulierbar. Die „Herausforderung“ für den potentiellen Angreifer besteht vielfach lediglich darin, an den richtigen Stellen in die Verkabelung des Netzwerks einzudringen beziehungsweise einen Agenten zu installieren, um den Datenverkehr aufzuzeichnen oder manipulierte Datenpakete einzuspielen. Durch die überwiegend sternförmige Ethernet-Verkabelung und den Einsatz von Sternkopplern (Ethernet-Switch) verbreiten sich die Ethernet-Datenpakete nur über bestimmte Pfade (Collision Domains). Sie können somit nicht im gesamten LAN „mitgehört“ werden.

In WLANs gibt es dieses Problem für den Angreifer nicht. Da Funkwellen sich bekanntlich über Gebäude- und Grundstücksgrenzen hinweg ausbreiten, ist es auch vom Firmenparkplatz aus möglich, die webbasierte Kommunikation zwischen dem Browser des Anlagenbetreuers und dem Webserver einer Automatisierungskomponente abzuhören und aufzuzeichnen. Minimal reicht dafür ein Notebook mit WLAN-Schnittstelle.

Bild 2 zeigt die Aufzeichnung der unverschlüsselten WLAN-Kommunikation eines PDA-Webbrowsers mit dem Webserver einer Automatisierungskomponente, der über einen eingebetteten Access Point mit dem Funknetzwerk verbunden ist.

Als Abhörwerkzeug diente hier ein Programm mit dem Namen Ethereal. Es steht im Internet kostenlos für Windows- und Linux-Rechner zur Verfügung, sogar der Quellcode kann geladen werden. Ethereal ist von Haus aus ein so genanntes Sniffer-Programm. Es zeichnet jedes Datenpaket einer LAN- oder WLAN-Verbindung auf und ermöglicht die detaillierte Betrachtung auf TCP/IP-Protokoll und Byte-Ebene. Dabei werden alle Geheimnisse wie MAC- sowie IP-Adressen und darüber hinaus auch Passwörter sichtbar.

Für den unberechtigten Zugriff auf den Access Point müsste man nur das WLAN-Interface eines beliebigen Computers mit den abgehörten Adressen konfigurieren. Webbasierte Zugriffe in einem WLAN sollten daher auf keinen Fall unverschlüsselt erfolgen. Mit WEP (Wired Equivalent Privacy) bietet WLAN ein Verschlüsselungsverfahren mit 64-Bit- (effektiv 40 Bit) und 124-Bit-Schlüsseln (effektiv 104 Bi). Allgemein gilt: je länger der Schlüssel, desto sicherer die Übertragung im Hinblick auf die Abhörsicherheit. Obwohl das WLAN-WEP nur einen recht einfachen Schutz bietet, muss ein Angreifer doch schon deutlich mehr Aufwand treiben.

Fernzugriff über Mobilfunknetze

Um mit einem GPRS-fähigen PDA auf einen Embedded-Webserver zuzugreifen, ist in jedem Fall das Internet als Verbindungsglied einzuschalten. GPRS ist ein Zusatzdienst zur Übertragung von IP-Paketen in GSM-Mobilfunknetzen. Der Webserver muss für den GPRS-Fernzugriff daher eine Verbindung zum Internet besitzen. Das kann zum Beispiel der gemeinsame DSL-Zugang eines Firmen-LANs sein. Der Embedded-Webserver ist dann in das LAN eingebunden. Das LAN selbst besitzt einen DSL-Router als Gateway in das Internet.

HTTP – Die Basis des Webzugriffes
Die Grundlage sämtlicher webbasierter Zugriffe ist das HTTP-Protokoll. HTTP ist ein Protokoll im Applikations-Layer eines TCP/IP-Stacks. Es funktioniert, wie die meisten Protokolle auf dieser Ebene, nach den Client/Server-Prinzipien. Als Client kommt üblicherweise ein Webbrowser, wie zum Beispiel der Internet Explorer unter Microsoft-PC-Windows oder der Windows-CE Pocket Internet Explorer, zum Einsatz. Dieser beginnt eine HTTP-Transaktion mit dem Versenden eines HTTP-Requests an einen Web-Server. Der Request wird vom Server mit einer HTTP-Response beantwortet. <//font>

HTTP kennt unterschiedliche Request- und Response-Typen. Diese werden durch einfache Textinformationen gebildet. Besonders wichtig sind der GET-, HEAD- und POST-Request. Von diesen drei Typen ist wiederum GET die am häufigsten verwendete HTTP-Transaktion. Diese Request-Typen muss jeder Webserver unterstützen.

HTTP ist ein sehr universell einsetzbares Kommunikationsprotokoll. Es lässt sich problemlos in einem schnellen LAN oder über eine langsame Modem-Verbindung nutzen. Die einzige Anforderung an den Kommunikationskanal ist das Vorhandensein eines TCP/IP-Protokollstacks. HTTP-Request- und Response-Daten nutzen TCP. TCP-Pakete werden innerhalb von IP-Datenpakete übertragen. IP wiederum kann praktisch über fast jedes Übertragungsmedium kommunizieren.

Klaus-D. Walter ist Mitglied der Geschäftsleitung von SSV in Hannover und dort als Business Development Manager im Produktbereich „Embedded Systems“ tätig.

Günter Herkommer, Computer&Automation