Security-Erweiterung für EtherNet/IP
CIP Security jetzt mit gerätebasierter Firewall
Die Nutzerorganisation ODVA hat CIP Security, die Cybersecurity-Netzwerkerweiterung für EtherNet/IP, um eine gerätebasierte Firewall zur besseren Abwehr von Eindringlingen ergänzt. Dies gab die ODVA auf der Messe SPS 2023 bekannt.
Die gerätebasierte Firewall von CIP Security bietet Nutzern einen einfachen Traffic-Filter, ähnlich wie das IP Tables Program die Einrichtung einer Firewall in Linux ermöglicht. Die Firewall wird über ein neues CIP-Security-Profil aktiviert. Damit können Nutzer die Funktion je nach Wunsch aktivieren oder deaktivieren. CIP Security bietet mit der gerätebasierten Firewall jetzt einen noch robusteren Schutz auf Geräteebene. Die Firewall hält böswillige Akteure davon ab, in EtherNet/IP-Industrienetzwerke einzudringen.
Die gerätebasierte Firewall von CIP Security ist ein Mechanismus zur Filterung des Datenverkehrs auf der Grundlage von IP-Adresse, Port und Protokoll. Die Firewall wird über ein neues CIP-Objekt, das so genannte Ingress-Egress-Objekt, implementiert, das eine Zulassungsliste bekannter IP-Adressen, die Konfiguration verfügbarer Cipher Suites und die Definition von Routing-Regeln auf der Grundlage von IP-Adressen und Portnummern ermöglicht. Das bedeutet, dass EtherNet/IP-Geräte mit CIP Security bestimmen können, mit welchen Nodes sicher kommuniziert werden kann und ob TLS- oder DTLS-Verschlüsselung erforderlich ist. Außerdem können Nutzer entscheiden, ob andere Geräte die CIP-Kommunikation über das konfigurierte CIP-Sicherheitsgerät leiten können. Die neue gerätebasierte Firewall ist eine weitere Abschreckungsmaßnahme im Rahmen eines Defense-in-Depth-Ansatzes zum Schutz physischer und digitaler Ressourcen vor Schaden.
„CIP Security fügt zusätzliche Sicherheitsfunktionen wie die gerätebasierte Firewall hinzu, um EtherNet/IP-Geräte vor Missbrauch zu schützen, der zu kritischen Systemschäden oder Informationsverlusten führen könnte“, so Jack Visoky, stellvertretender Vorsitzender der EtherNet/IP System Architecture Special Interest Group (SIG). Dr. Al Beydoun, President und Executive Director der ODVA, stimmt dem zu: „Die Verhinderung des Zugriffs nicht autorisierter IP-Adressen und Port-Nummern auf CIP Security-fähige EtherNet/IP-Geräte stellt eine weitere Schutzschicht für kritische industrielle Automatisierungsanwendungen als Teil eines Defense-in-Depth-Ansatzes dar. Das Hinzufügen des gerätebasierten Firewall-Profils für CIP Security ist ein weiteres wichtiges Update, um den Kampf gegen bösartige Cyberangriffe fortzusetzen, die zu finanziellen und Reputationsverlusten führen können.“
Das neue CIP Security Device-Based Firewall Profile erlaubt nur bekannten IP-Adressen die Kommunikation über Standard-EtherNet/IP. Außerdem lässt sich das zulässige CIP-Routing auf der Grundlage einer Reihe von vertrauenswürdigen IP-Adressen, Ports und Verschlüsselungen konfigurieren. Durch die Implementierung der gerätebasierten Firewall werden Datenpakete verworfen, die nicht mit der IP-Adresse und/oder den Ports übereinstimmen, so dass sie die beabsichtigten bösartigen Aufgaben nicht erfüllen können. Die ODVA konzentriert sich darauf, sicherzustellen, dass EtherNet/IP-Anwender über robuste und ständig aktualisierte Gerätesicherheitsoptionen verfügen, die ihnen über CIP Security als Teil eines Defense-in-Depth-Ansatzes zur Verfügung stehen.
Lesen Sie mehr zum Thema
