# NAC (Network Access Control) + Automatisierung



## Zonder (10 Dezember 2021)

Hallo,

die IT möchte in unserem Unternehmen eine NAC appliance einsetzen.
Was ich generell nicht für verkehrt halte.

Jedoch bereitet mir das große Bauchschmerzen, weil davon auch alle Anlagen betroffen sind die über das Netzwerk kommunizieren.
Wir haben >100 diverse Steuerungen die entweder miteinander oder mit dem Prozessleitsystem kommunizieren müssen.

So ein NAC System schaut ja als erstes auf die MAC-Adressen, wenn diese nicht bekannt sind, so wird die IP oder SwitchPort gleich gesperrt.
Vor allem geht es mir darum, wenn ein Gerät ausfällt und in der Nacht durch den Schichtelektriker getauscht wird, kann es ja nicht mehr über das Netzwerk kommunizieren. Obwohl man z.B. die Speicherkarte der alten CPU in die neue einsteckt und theoretisch alles laufen sollte.
Das wird doch bestimmt bloß zur Verzweiflung führen!


Was haltet Ihr davon?
Gibt es da bei euch Erfahrungen mit diesen Systemen in Kombination mit laufenden Anlagen?


----------



## Blockmove (10 Dezember 2021)

Ist ein riskantes Spiel.
Wir bevorzugen - wo möglich - für Anlagen ein Zonierungskonzept mit Firewalls.


----------



## PN/DP (10 Dezember 2021)

Der Feldbus und andere Kommunikation von SPS sollte nicht über die Switche der IT gehen, und wenn doch nötig, dann dürfen die solche Sperren wegen sich ändernder MAC-Adressen nicht machen. Oder ein IT-Mitarbeiter muß Bereitschaft haben, wenn Produktion ist bzw. allgemein immer wenn die Arbeit einer vernetzten SPS-Anlage nötig ist (z.B. 24/7 Tiefkühllager) - dann lassen die das irgendwann freiwillig wieder sein 

Harald


----------



## ducati (10 Dezember 2021)

Zonder schrieb:


> Das wird doch bestimmt bloß zur Verzweiflung führen!


Du hast es erfasst 👍


----------



## maxder2te (11 Dezember 2021)

Das mit der Freischaltung auf Mac-Ebene kenne ich im Industriebereich vor allem im WLAN. Bei AGV-Flotten werden da typisch die Ersatz-WLAN-Geräte bereits beim Einlagern als Ersatzteil im WLAN freigeschaltet. 

Bei stationären Systemen kenne ich das so gar nicht und halte es auch für brandgefährlich. Eine Lösung die z.b. ein Autobauer in Niedersachsen einsetzt ist, dass pro Ethernet-Port nur 1 Mac zulässig ist (bzw. 3 bei SPSen welche in Relation zueinander stehen). Wird diese Bedingung verletzt wird der Port abgeschaltet. Ändert sich die Mac, wird eine Industriebereich aktiviert und ggf. Alarm geschlagen. Innerhalb der Anlage ist meist alles offen, nach außen hin läuft alles über Vlan und Firewalls.
Echtzeit - Kommunikation läuft über physikalisch getrennte Netze. D.h. Lieferanten können sich recht gefahrlos auf der Echtzeit-Seite (vgl. Profinet) anstöpseln, steckt man sich zusätzlich zur oder statt der SPS an fällt das sofort auf.


----------



## Cyber_max (13 Dezember 2021)

Kann Blockmove nur zustimmen.
Sollet ihr zur kritischen Infrastuktur gehören, wäre da sowieso noch die IEC62443 bzw. Kritis-Verordnung zu beachten.
Such mal nach "Zones and Conduids"
lg
Max


----------

