Schwerpunkte

IT-Sicheres Messlabor

Vernetzung, aber sicher!

12. April 2021, 17:00 Uhr   |  Von Katja Hohrath und Christian Wicke


Fortsetzung des Artikels von Teil 1 .

Der Weg zum sicheren Netz

 Die Bedienoberfläche der Unified Firewall visualisiert sämtliche Funktionen zur Netzkonfiguration und Definition der Filterregeln. Befehlszeilen und Tabellen haben ausgedient
© Rohde & Schwarz

Bild 2. Die Bedienoberfläche der Unified Firewall visualisiert sämtliche Funktionen zur Netzkonfiguration und Definition der Filterregeln. Befehlszeilen und Tabellen haben ausgedient.

Die Einrichtung der Unified Firewall erfolgt offline über ein modernes Web-Interface und einen aktuellen Webbrowser (Bild 2). Dank der grafischen Abstraktion von Netz und Regelwerk auf einem Dashboard geht die Konfiguration schnell und sicher von der Hand. Bild 3 zeigt den grundlegenden Aufbau eines so vernetzten Messlabors. In dieser Referenzkonfiguration sind das messtechnische Gerätenetz, das Netz für Labor-PCs und Applikationsdienste sowie das übergeordnete Hausnetz strikt voneinander getrennt. Alle Datenverbindungen sowohl innerhalb des Messtechniksubnetzes wie auch nach außen laufen über die Firewall und das dort hinterlegte Regelwerk. Um das zu gewährleisten, folgt der Netzaufbau einer Sterntopologie. Alle Komponenten sind entweder direkt oder indirekt (z. B. über einen Switch) mit der und über die Firewall als zentralem Knotenpunkt verbunden.

Aufbau eines Messtechniknetzes mit getrennten Teilnetzen für Geräte und Applikationsrechner
© Rohde & Schwarz

Bild 3. Aufbau eines Messtechniknetzes mit getrennten Teilnetzen für Geräte und Applikationsrechner.

Das Regelwerk umfasst statische und dynamische Verbindungsregeln. Eine statische Regel wäre zum Beispiel die Festlegung, dass der Laborrechner einen Ping ins Gerätenetz senden und die Antwort empfangen darf. Ping-Anfragen von anderen Quellen, insbesondere von außerhalb des Messgerätenetzes, würden abgewiesen.

Anspruchsvoller als eine solche statische Regel ist das Managen und Echtzeitfiltern von Fernsteuerverbindungen, was zum Tragen kommt, wenn ein Nutzer von außerhalb des Messlabors dessen Ressourcen nutzen möchte, sei es vom selben Standort aus oder übers Internet. Dann greift die Datenkontrolle durch den dynamischen Applikationsfilter der Firewall. Typische Protokolle, die das Regelwerk einbeziehen und überwachen muss, sind die Remote-Desktop-Protokolle VNC und RDP sowie die messtechnischen LAN-Protokolle VXI-11 und HiSLIP, über die SCPI-Fernsteuerkommandos übertragen werden.

Besonders VXI-11 ist aufgrund der dem Protokoll eigenen dynamischen Portzuweisung über statische Regeln kaum sicher in den Griff zu bekommen. Der für die Fernsteuerverbindung zu nutzende Port des adressierten Messgeräts wird per Remote Procedure Call (RCP) für jede Sitzung vom Portmapper-Dienst des Messgerätebetriebssystems neu zugewiesen. Der Applikationsfilter der Firewall extrahiert diese Information aus dem Datenstrom und gibt den Port nur für diese eine Session frei. Die Sicherheits- und Handhabungsprobleme bei permanenter Öffnung aller für VXI-11 infrage kommenden Ports (die sich herstellerabhängig unterscheiden und bei geändertem Gerätepark u.U. nachgeführt werden müssen) sind damit passé.

Sicheres Gateway zur Applikation

nformationen über den Messgerätepark, der hier aus vier Einheiten besteht, fließen im MINX-Dashboard zusammen
© Rohde & Schwarz

Bild 4. Informationen über den Messgerätepark, der hier aus vier Einheiten besteht, fließen im MINX-Dashboard zusammen.

Doch woher weiß der Nutzer des Messlabors überhaupt, welche Ressourcen dort gerade zur Verfügung stehen? Diese Information liefert ein T&M-spezifisches Device-Discovery-and-Management-System. Es besteht aus den R&S-Softwaretools MINX (Measurement Instrument Network eXplorer) und MINION (Measurement Instrument Network Interactive Organisational Node). MINION ist ein Netzwerkscanner, der alle Messgeräte in einem Netz findet und listet.

Die Funktion Fingerabdruck in einer MINX-Kachel generiert eine Liste aller auf dem betreffenden Gerät installierten Optionen
© Rohde & Schwarz

Bild 5. Die Funktion Fingerabdruck in einer MINX-Kachel generiert eine Liste aller auf dem betreffenden Gerät installierten Optionen. Über das Känguru (»Skippy«/sSCPI) und frei belegbare Funktionstasten lassen sich Fernsteuer-befehlssätze speichern und ausführen.

Weil solche Scans aus Sicherheitsgründen von außerhalb des Messlabors nicht erlaubt sind, läuft der Service innerhalb des geschützten Bereichs auf dem Applikationsrechner des Labors. MINX, auf dem Arbeitsplatzrechner des Nutzers installiert, holt sich diese Information und stellt sie auf einem Dashboard dar, wo weitere Aktionen stattfinden können und insbesondere der Messgerätefernzugriff über den MINION-Service gestartet wird (Bilder 4 und 5).

Außerdem kann der authentifizierte Nutzer über MINX auch auf den Laborrechner zugreifen (per RDP, VNC oder HTML5-basiert) und die darauf installierten messtechnischen Software-Suiten wie gewohnt einsetzen. Ob und welche Daten aus dem Labor aber nach außen transferiert werden dürfen, lässt sich wie vieles andere im Regelwerk genau einstellen.

Damit ist das sichere fernbediente Messlabor Realität und der räumlich verteilten Projektarbeit steht nichts mehr im Wege. Weitere naheliegende Anwendungen sind Kundendemos und Schulungen, die nun auch in Pandemiezeiten ohne persönlichen Kontakt gehaltvoll durchgeführt werden können.

Die Autoren

Katja-Hohrath von Rohde-&-Schwarz
© Rohde & Schwarz

Katja Hohrath, Rohde-&-Schwarz.

Katja Hohrath

ist Senior Product Manager bei der R&S Tochter LANCOM Systems. Ihr Schwerpunkt liegt auf der strategischen Weiterentwicklung der Produktsparte Next-Generation-Firewalls. Sie ist seit 2015 bei Rohde & Schwarz und war davor bei verschiedenen Technologieunternehmen im Strategie- und Marketing-Bereich tätig.

Christian-Wicke von Rohde-&-Schwarz
© Rohde & Schwarz

Christian Wicke, Rohde-&-Schwarz

Christian Wicke

ist Wirtschaftsingenieur und arbeitet seit 2016 bei Rohde & Schwarz in München als Applikationsingenieur für Wireless Communication. Sein Schwerpunkt liegt auf angewandter Mobilfunkmesstechnik (4G-LTE,5G-NR) und Softwareapplikationen für Test- und Messtechnik sowie Infrastruktur und sichere Netzwerke. Zuvor war er als Produktmanager bei einer R&S Tochtergesellschaft tätig.

Seite 2 von 2

1. Vernetzung, aber sicher!
2. Der Weg zum sicheren Netz

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

Rohde&Schwarz Messgerätebau GmbH, Rohde & Schwarz GmbH & Co. KG