Die Firewall im Switch

Das Management-Tool ist die zentrale Instanz zur interaktiven Steuerung der verteilten Security-Funktionen

Leistungsfähigere Switches (Layer-3) auf Hallenverteiler-Ebene mit tieferen Eingriffsmöglichkeiten in den Protokollstack stellen die erweiterten Security-Mechanismen zur Verfügung – im Wesentlichen Netzwerk-Filter, deren Funktionalität von einfachen Access-Control-Listen bis zu einer „Stateful Inspection Firewall“ reichen. Sie verhindern, dass sich Fehler einzelner Geräte oder Teilnetze auf das gesamte Netzwerk auswirken. Zusätzlich prüfen intelligente IDS-Agenten (Intrusion Detection Systems) im Zentrum des Netzes die Datenströme auf verdächtige Angriffs-Signaturen.

An den Stellen, an denen das Automatisierungsnetzwerk mit anderen Netzen (zum Beispiel Büro-Netzwerk, Internet) oder Einzelgeräten wie dem Laptop eines Service-Technikers verbunden ist, spielen eigenständige Firewalls (Perimeter Security Devices) auch weiterhin eine Rolle.

Zentrales Security-Management

Die verschiedenen Security-Funktionen und deren komplexes Zusammenspiel müssen über mehrere Netzwerk-Instanzen zentral verwaltet und administriert werden. Diese Funktion wird in die Version 4.1 (Release-Datum: Q4/2008) der Netzmanagement-Software Industrial HiVision integriert und unterstützt – beispielsweise Multikonfigurations-Dialoge, mit denen mehrere Firewalls gemeinsam zu konfigurieren sind. Weiterhin ermöglicht das Tool, Filterregeln für Firewalls mit Alias-Namen zu versehen und mit Templates zu arbeiten.

Darüber hinaus ist es für ein effektives Security-Management wichtig, einen Rückkopplungspfad zu implementieren, über den das System auch Informationen über die Wirksamkeit der implementierten Security-Funktionen bereitstellt (Monitoring & Logging). Im Rahmen der integrierten Security-Lösung stehen zu diesem Zweck verschiedenste Informationen (zum Beispiel Statusmeldungen und Logfiles) aus den einzelnen Infrastrukturgeräten wie Switches und Router sowie den IDS-Agenten zur Verfügung. Um diese Einzel-Information zu korrelieren und entsprechend zu konsolidieren, wird wiederum die Unterstützung der zentralen Management-Software benötigt.

Security und Netzwerk werden eins: Mit der nächsten Version der Management-Software Hi-Vision sind erste Security-Funktionen administrierbar.

Mit Hilfe diverser Standard-Daten der Switches und Netzwerk-Teilnehmer ist es bereits heute möglich, über SNMP (Simple Network Management Protocol) ein aktuelles Abbild der Netzkonfiguration zu erstellen. Diese Alarme und Statusmeldungen können in der Managementsoftware dazu genutzt werden, potenziellen Sicherheitsproblemen auf die Spur zu kommen. Ferner werden jederzeit Informationen darüber vorgehalten, welche Geräte über ihre Hardware- und IP-Adressen an den Ports im Netzwerk angeschlossen sind.

Der Vorteil dieser Gesamtlösung liegt darin, die dezentrale Erfassung securityrelevanter Daten von der zentralen Auswertung räumlich zu trennen. Das beseitigt das große Manko singulärer Security-Appliances, deren Reaktion auf einen Sicherheitsvorfall in der Regel auf das jeweilige Security-Device beschränkt bleibt: Erkennt ein klassisches Intrusion Detection System (Firewall) eine Angriffs-Signatur, sperrt es lediglich die zugehörige Kommunikation zu dem dahinter liegenden Netzwerk-Segment. Dies hält Angreifer oder Schadsoftware jedoch nicht davon ab, Endgeräte im ungeschützten Netzwerk-Segment weiter zu attackieren. Bei einer verteilten Security-Lösung lässt sich über das Management-Tool dagegen ermitteln, an welchem Port der Angriff erfolgt, um diesen Netzwerk-Zugang dann gezielt abzuschalten.

Firewalls sind in industriellen Netzen nur schwer zu konfigurieren, weil der benötigte Funktionsumfang (Netzwerk-Protokolle und -Ports) der Endgeräte (Controller, I/Os, HMIs) unbekannt ist. Ein „Typenschild“ für jede Maschine, wie es die SecIE (Security und Administration in Industrial Ethernet e.V.) in Form des Security Data Sheets propagiert, wäre eine Lösung. Da dieses Sicherheitsdatenblatt in der Maschinensteuerung als XML-File gespeichert ist, könnten die entsprechenden Parameter während des Authentifizierungsprozesses zentral abgefragt werden und die Konfiguration des Netzwerkes teilweise automatisch erfolgen.

Autor

Ralf Kaptur ist Produktmanager Industrial Networking bei Hirschmann Automation and Control in Neckartenzlingen.

Das „eigensichere“ Netzwerk

Automatisierungskomponenten haben oft eklatante Security-Schwachstellen: Schlecht implementierte oder veraltete Protokoll-Stacks können bei einer hohen Netzlast oder einer Verfälschung der Datenpakete System-Abstürze verursachen. Zudem sind nicht alle auf den Geräten implementierten Services beziehungsweise offenen Ports dokumentiert. Dies führt zu Problemen bei der Konfiguration einer Firewall.

Aus derartigen Gründen fordern Anwender und Organisationen wie die NAMUR (Interessengemeinschaft Automatisierungstechnik der Prozessindustrie) und NERC (North American Electric Reliability Corporation) von sich aus sichere Automatisierungssysteme und -netzwerke.

Das Thema Eigensicherheit betrifft nicht nur neue Steuerungsgenerationen, bei denen Security bereits im Designprozess berücksichtigt werden sollte.Auch für die bereits installierten Systeme muss eine Lösung gefunden werden.

Ziel ist eine Klassifizierung der Security-Eigenschaften industrieller Steuerungen und Anlagen – analog zu den SIL-Klassen (Safety Integrity Level) bei sicherheitsgerichteten Steuerungsaufgaben in der Prozesstechnik. Die Arbeitsgruppe SP99 „Security for Industrial Automation and Control Systems“ der ISA (The Instrumentation, Systems and Automation Society) arbeitet zurzeit an einem Standard, der unter anderem diese Security-Klassen zum Inhalt hat (ANSI/ISA-99.00.01… 04 Security for Industrial Automation and Control Systems). Teil 1 befasst sich mit der Strukturierung des Netzes mit Hilfe verschiedener Sicherheitsmaßnahmen sowie deren Abstufung. Ebenso werden bereits Security Level (SL 1 bis SL 3) definiert, die für bestimmte Zonen des Netzwerkes gelten sollen. Die Teile 2 und 3 geben Empfehlungen zur Einrichtung eines industriellen Security-Programms (Regeln, Abläufe) sowie dessen Betrieb. Der noch nicht fertig gestellte vierte Teil spezifiziert die technischen Anforderungen, die Netzwerk-Teilnehmer eines bestimmten Security Levels erfüllen müssen. Mit dem ISA Security Compliance Institute wurde Ende 2007 bereits ein Institut zur neutralen Prüfung dieser Eigenschaften gegründet.

Basisschutz mit Security Level 1

Da in einer Sicherheitszone alle installierten Automatisierungskomponenten die entsprechenden Anforderungen erfüllen müssen, erhöht sich die Robustheit der Gesamtlösung. Der Nachweis dieser Grundsicherheit bildet den Ausgangspunkt für alle weiteren Betrachtungen hinsichtlich Security.

Stand heute müssen Anwender allerdings davon ausgehen, dass Endgeräte die Anforderungen des Security Level 1 ohne externe Maßnahmen nicht einhalten.