Die integrierte Security

Gängige Firewall-Konzepte können die Anforderung einer Industrie-gerechten IT – der Schutz jedes Endgerätes – nicht erfüllen. Ein Konzept auf Basis einer zentralen Management-Software und verteilter Security-Funktionen löst das Problem.

Gängige Firewall-Konzepte können die Anforderung einer Industrie-gerechten IT – der Schutz jedes Endgerätes – nicht erfüllen. Ein Konzept auf Basis einer zentralen Management-Software und verteilter Security-Funktionen löst das Problem.

Security-Konzepte basieren meistens auf einer Segmentierung der Netze mit Firewalls. Diese Struktur verringert zwar das Risiko einer unkontrollierten Ausbreitung von Sicherheitsproblemen, die Endgeräte selbst (Controller, Remote-I/Os, HMIs) bleiben jedoch unsicher. Und genau diese Automatisierungskomponenten weisen oft eklatante Schwachstellen auf: Beispielsweise führen schlecht implementierte oder veraltete Protokoll-Stacks bei einer hohen Netzlast oder einer Verfälschung der Datenpakete zu System-Abstürzen. Zudem sind nicht alle auf den Geräten implementierten Services beziehungsweise offenen Ports dokumentiert, was bei der Konfiguration einer Firewall zu Problemen führt.

Da die Automatisierungskomponenten über keine eigenen Sicherheitsfunktionen verfügen, müssen diese zumindest übergangsweise mit separaten Security-Devices im Netzwerk realisiert werden (siehe Kasten „Das ‘eigensichere’ Netzwerk“). Hier setzt das Konzept einer integrierten Security-Architektur an – im Wesentlichen abgestufte Funktionen, die hinter jedem einzelnen Port eines Switch zur Verfügung stehen.

Die Port-genaue Security

Ideal wäre, für jeden Port eine eigene Firewall mit integrierter Angriffserkennnung per IDS (Intrusion Detection System) und Anti-Viren-Funktion zu installieren. In diesem Fall ließe sich jede Schwachstelle des angeschlossenen Endgerätes kompensieren. Allerdings wären Konfiguration und Administration des Netzes extrem komplex und die Netzwerk-Performance inakzeptabel. Das Konzept von Hirschmann sieht deshalb vor, diese Security-Funktionen im Netzwerk an geeigneten Stellen und passend zur Leistungsfähigkeit der dort installierten Netzwerk-Komponenten (Switches/ Router/Firewalls)) zu realisieren. Virtuell stehen die Security-Funktionen jedoch an jedem einzelnen Port zur Verfügung. Dazu ist es notwendig, den bisherigen Ansatz zur Netzwerk-Verwaltung zu modifizieren. Realisiert wird das über eine interaktive Managementsoftware, die dafür sorgt, dass das Netzwerk auf sicherheitsrelevante Ereignisse bis hinunter auf die Portebene reagieren kann.

Die Vorteile des Konzepts werden am Beispiel der Authentifizierung eines Netzwerk-Teilnehmers deutlich: Am Netzwerk-Zugang, das heißt an den Switch-Ports, muss sichergestellt sein, dass nur zuvor definierte Geräte mit dem Netzwerk verbunden werden können. Für die notwendige Authentifizierung existiert mit dem Standard IEEE 802.1X (Port based Network Access Control) bereits ein Mechanismus. Allerdings ist dessen praktische Umsetzung, speziell im Automatisierungsumfeld, nur begrenzt möglich. Die Gründe hierfür liegen einerseits in der fehlenden Client-Software für viele Industriegeräte und andererseits an der nicht vorhandenen Zertifikats-Infrastruktur, wie es der Arbeitskreis Security der Benutzergruppe Netzwerke (BGNW e.V.) in seinem Positionspapier 802.1X bereits im Herbst 2006 festgestellt hat. Deshalb ist es notwendig, die Identifizierung und Klassifizierung der Endgeräte auch mit anderen Mechanismen zu unterstützen, beispielsweise mit einer Web-Anmeldung, einer Identifizierung anhand der MAC-Adresse oder einer automatischen Erkennung mit einer interaktiven Managementsoftware. Basierend auf dieser Authentifizierung können Standard-Switches (Layer-2) bereits erste Einstellungen bezüglich der zu verwendenden virtuellen LANs, Prioritäten sowie Bandbreiten-Limitierungen vornehmen.

Fortsetzung (Seite 1/3)12 | 3nächste Seite >>

Firewalls sind in industriellen Netzen nur schwer zu konfigurieren, weil der benötigte Funktionsumfang (Netzwerk-Protokolle und -Ports) der Endgeräte (Controller, I/Os, HMIs) unbekannt ist. Ein „Typenschild“ für jede Maschine, wie es die SecIE (Security und Administration in Industrial Ethernet e.V.) in Form des Security Data Sheets propagiert, wäre eine Lösung. Da dieses Sicherheitsdatenblatt in der Maschinensteuerung als XML-File gespeichert ist, könnten die entsprechenden Parameter während des Authentifizierungsprozesses zentral abgefragt werden und die Konfiguration des Netzwerkes teilweise automatisch erfolgen. (Stefan Kuppinger)

Nähere Informationen:

www.isa.org

www.bgnw.de/dokumente

www.secie.org