Moderne Sicherheitskonzepte folgen heute einem ganzheitlichen Ansatz, in dem sowohl die Prozesse, als auch die Menschen und die Technik berücksichtigt werden. Schon lange wird die Firewall daher nicht mehr als einzige Maßnahme zur Schaffung von Informationssicherheit in industriellen Anlagen beworben oder gar als Synonym für sichere Netzwerke gesehen. Dennoch stellen Firewalls auch weiterhin Kernelemente bei der Segmentierung von Netzwerken dar und sind damit ein essenzieller Teil jeder Netzwerk-Sicherheitsstrategie.

Generell sind Firewalls Systeme, die weitere Netzwerk-Geräte wie Industrie PCs, Steuerungen oder Kameras vor unbefugtem Zugriff schützen, indem Sie die Weiterleitung von Netzwerk-Verkehr zu oder von diesen Systemen unterbinden. Dabei kann man zunächst zwischen Host- und Netzwerk-Firewalls unterscheiden. Erstere werden als Softwarefunktion auf einem Rechner (Host) installiert oder bereits vom Betriebs­system bereitgestellt. Beispiele für diese Firewalls sind die Windows-System-Firewall oder die mit den meisten ­Linux-Systemen bereits mitgelieferte IPtables Firewall.

Im Gegensatz dazu sind Netzwerk-Firewalls Geräte, die speziell für die Funktion als Firewall entworfen wurden und nicht auf einem PC, sondern im Netzwerk platziert werden. Diese Netzwerk- oder Hardware-Firewalls stellen wichtige Elemente in industriellen Anlagen dar, insbesondere wenn diese mit weiteren Netzwerken verbunden sind (zum Beispiel mit Office-Netzwerken) oder die kabelgebundene Übertragung mit weniger sicheren Netzwerk-Technologien (zum Beispiel drahtloser Übertragung) kombiniert wird. Eine Netzwerk-Firewall hilft in diesen Fällen dabei, die Netzwerk-Grenze als erste Verteidigungslinie gegen Angriffe einzurichten und nur erwünschten Netzwerk-Verkehr in das Netz hinein und aus dem Netz heraus zuzulassen.

Die technische Grundfunktion jeder Firewall ist das Filtern von Paketen dahingehend, ob diese einem erwünschten Muster entsprechen. Eine Firewall an einer Netzwerk-Grenze kann diverse Regeln beinhalten – etwa „Ein Kommunikationsverbindungsaufbau von innerhalb des Netzwerkes darf nur zu einem bestimmten Server erfolgen“ oder „Von außerhalb des Netzwerkes sind nur die Login-PCs für die entfernte Wartung erreichbar, nicht die weiteren Geräte“. Auch Regeln für Industrieprotokolle wie beispielsweise Modbus/TCP sind möglich; eine solche könnte etwa lauten: „Schreibbefehle für das ModBus/TCP-Protokoll, Coil 56, sind nur vom Wartungsterminal erlaubt“.

Einsatzgebiete und ­Anforderungen

Firewalls kommen an verschiedenen Stellen des Netzwerks zum Einsatz. Zum einen können sie ein Unternehmens-Netzwerk nach außen hin absichern. Zum anderen können sie auch innerhalb einer Anlage verschiedene Maschinen voneinander abschotten beziehungsweise passgenau eine Kommunikation zwischen Maschinen erlauben. Dieses Konzept wird üblicherweise als ‚Defense in Depth‘ bezeichnet. Mit anderen Worten: Eine gestaffelte Verteidigung mit mehreren, hintereinander geschalteten Sicherheitsebenen.

Dieses Konzept ist nicht neu, sondern wurde bereits im Mittelalter beim Bau von Burgen und anderen Verteidigungsanlagen berücksichtigt. Besonders gefährdete Bereiche wurden mehrfach mit Mauerwerk gesichert, als letzte Rückzugslinie diente den Verteidigern der Burgfried im Inneren der Burg. Zur Erschwerung der Bewegung der Angreifer wurden die einzelnen Segmente der Burg durch Tore und Fallgitter vonei­nander getrennt.

In Kommunikations-Netzwerken entspricht die Segmentierung durch Tore und Fallgitter dem Konzept der pass­genauen Konfiguration von Netzwerk-Teilnehmern in Zonen und Leitungen (Zones and Conduits). Dieses Verfahren wird oft zusammen mit einer gestaffelten Verteidigung gemäß ‚Defense in Depth‘ eingesetzt. ‚Zones and Conduits‘ bedingt quasi stets den Einsatz von ‚Defense in Depth‘, da Tore und Fall­gitter ohne Mauern und Wände nutzlos sind. ‚Zones and Conduits‘ ist ein zen­traler Bestandteil der Internationalen Norm IEC 62443 (früher ISA99). Um diese erprobte Verfahren in Kommunikationsnetzen umzusetzen, kommen Firewalls in größerer Zahl an unterschiedlichen Orten im Netzwerk zum Einsatz.

Firewall innerhalb eines lokalen Netzwerks: Verschiedene Netzwerk-Teile oder auch einzelne Maschinen können passgenau voneinander isoliert werden. Die ­Konfiguration der Maschinen kann dabei unangetastet bleiben.

© Belden

Die globale Absicherung eines Unternehmens nach außen ist in der Regel die Domäne von IT-Firewall-Lösungen, die im Rechenzentrum eines Unternehmens platziert werden. Daneben lassen sie sich jedoch in der Produktion einsetzen, um diese wirkungsvoll vom Rest des Firmen-Netzwerks zu trennen. Für ­kleinere Außenstellen eignen sich industrielle Firewalls mit Router-Funk­tion. So lassen sich zum Beispiel Verteilerstationen über ein WWAN-Netzwerk mit der restlichen Firmen-Infrastruktur verbinden. Die Firewall übernimmt dabei die Beschränkung des Netzwerk-Verkehrs aus und in das lokale Netzwerk der Außenstelle.

Da eine Firewall zur Anbindung einer Außenstelle den Übergang vom unternehmenseigenen Netzwerk (die Außenstelle) hin zu einem fremden Netzwerk (ein Provider-Netzwerk oder das Internet) darstellt, muss diese Firewall um vollumfängliche Möglichkeiten zur Paketfilterung verfügen und den Verkehr zwischen verschiedenen Netzwerken filtern können. Eine derartige Firewall nennt sich IP-Firewall, da sie den Verkehr des Internet-Protokolls (IP) bearbeitet. Da die Installation derartiger Firewalls oft auch sehr nahe an den ­eigentlichen Anlagen erfolgt, ist dabei auf eine industrielle Härtung zu achten (erweiterte Temperaturbereiche/Anwendungszulassungen für spezielle Einsatzgebiete).

Selten reicht es aus, nur die äußeren Grenzen des Netzwerks zu schützen. Denn häufig finden auch Angriffe aus dem Inneren eines Netzwerks statt. Soll nur die Kommunikation zu einem einzelnen Gerät einer Anlage von außerhalb der Anlage möglich sein, so kann die Firewall diese Verbindungen spezifisch zulassen, wohingegen sie andere Kommunikationsversuche unterbindet. Die Anforderungen einer Firewall unterscheiden sich jedoch beim Einsatz innerhalb eines Netzwerks im Vergleich zum Einsatz zwischen Netzwerken. So wird hier eine transparente ‚Layer2-Firewall‘ auf Ethernet-Ebene benötigt und keine IP-Firewall.

Auch Übergänge von drahtlosen zu drahtgebundenen Netzwerken lassen sich durch Firewalls schützen. So kann etwa die Kommunikation eines Tablets, das sich mit dem WLAN einer Maschine verbunden hat, so eingeschränkt werden, dass es nur auf die Daten der Bedienschnittstelle zugreifen kann, jedoch nicht auf weitere Subsysteme oder auf mit der Maschine verbundene Geräte. Wird ein Client in ein WLAN eingebunden, ist es prinzipiell möglich, mit allen weiteren Geräten im selben (Sub-)Netz direkt zu kommunizieren. Dem Problem, dass sich ein erfolgreicher Angriff auf einen WLAN-Client auf beliebige mit dem Ethernet-Netzwerk verbundene Geräte ausweitet, lässt sich begegnen, indem man die Weiterleitung von Nachrichten zwischen WLAN-Clients am WLAN-Access-Point durch eine Firewall begrenzt. Auch hier ist eine transparente Layer2Firewall nötig, die innerhalb eines Netzwerks (direkt zwischen den WLAN-Geräten im Netzwerk) filtern kann. Diese Firewall-Funktion muss dazu direkt auf dem Access Point implementiert sein.

An jeder anderen Stelle in einem Netzwerk kann es darüber hinaus sinnvoll sein, die Kommunikation auf die gewünschten Kommunikationsbeziehungen zu begrenzen. Da Firewalls jedoch auch negative Auswirkungen auf die Übertragungslatenz und den Netzwerk-Durchsatz haben können, ist der Einsatz einer dedizierten Firewall nicht immer möglich. In einem solchen Fall können höherwertige Netzwerk-Switches jedoch auch weniger mächtige zustandslose Filterregeln anwenden. Diese Regeln werden üblicherweise als Access Control Lists (ACL) bezeichnet. ACLs bieten sich immer dort an, wo innerhalb eines Netzwerks schnell gefiltert werden muss.

Unterschiede im Filtering

Neben Umgebung und Einsatzort der Firewall kommt den Filtermechanismen eine wichtige Bedeutung zu. Und diesbezüglich gibt es große Unterschiede:

Stateless Firewalls:
Kommunikationsbeziehungen zwischen Geräten können sich in verschiedenen Phasen (Zuständen) befinden. Zum Beispiel wird in der Regel in einer ersten Phase die Kommunikationsbeziehung aufgebaut. In einer zweiten Phase findet eine aktive Kommunikation statt, bevor in einer dritten Phase die Verbindung beendet wird. Ein konkretes Beispiel für ein Protokoll, das dieses Verfahren einsetzt, ist das Transmission Control Protocol (TCP), welches meist zusammen mit dem IP zu TCP/IP kombiniert wird.

Stateless (zustandslose) Firewalls können, wie der Name schon ausdrückt, nicht auf den Zustand einer Kommunikationsverbindung reagieren und die verschiedenen Phasen nicht unterscheiden. So lässt sich zwar festlegen, dass einzelne Geräte oder Anwendungen miteinander kommunizieren dürfen; jedoch kann nicht überprüft werden, ob sich die Kommunikationsteilnehmer an den normalen Ablauf einer solchen Kommunikation halten. Insbesondere kann die Firewall keine Angriffe, die sich aus einem ab­normalen Protokollverhalten ergeben, erkennen und unterbinden. Speziell verwundbare Industriegeräte mit minimalem eigenen Schutz werden dadurch einer Gefahr ausgesetzt – zum Beispiel einem so genannten Denial-of-Service-Angriff – indem die Kommunikationsschnitt­stelle eines Industriegerätes gezielt mit Kommunikationsanforderungen geflutet und überlastet wird.

Stateful Firewalls:
Im Gegensatz zu Stateless Firewalls können Stateful (zustandsbewusste) Firewalls den Kommunikationsverlauf der Kommunikationspartner überwachen und so auch das Verhalten der Partner bei grundlegenden Kommunikationsoperationen, wie dem Verbindungsauf oder -abbau als Grundlage für die Paketfilterung verwenden. So sind auch Angriffe erkennbar, die ver­suchen, über bereits abgebaute Ver­bindungen zu kommunizieren. Ebenso können Angriffe vermieden werden, die einen bewusst fehlerbehafteten Verbindungsaufbau verwenden um ‚Opfersysteme‘ zu belasten und zu überlasten.

Deep Packet Inspection:
Deep Packet Inspection ist eine Weiterentwicklung der Stateful Packet Inspection. Stateful Firewalls untersuchen die Pakete im Netzwerk üblicherweise bis in den sogenannten Header am Anfang des Paketes. In diesem Header befinden sich die Informationen, durch die die Firewall den Kommunikationszustand ermitteln und überwachen kann. Dies können beispielsweise Sequenznummern und Kommunikationsflags für das weit verbreitete TCP sein.

Stateful Packet Inspection geht einen Schritt weiter und ermöglicht die Untersuchung bis hinein in die Nutzlast eines Paketes (zum Beispiel in die Steuerungsprotokolle der Industrie-Anwendungen). Auf diese Weise lassen sich hochspezialisierte Angriffsmuster, die tief in den Kommunikationsströmen versteckt sind, entdecken. Die Firewall muss hierzu allerdings das jeweilige Kommunikationsprotokoll verstehen, um ein ‚gutes‘ von einem ‚schlechten‘ Paket oder ‚schlechter‘ Nutzlast unterscheiden zu können. Somit kommen Deep-Packet-Inspection-Firewalls oft als zusätzliche Komponenten einer Stateful-Packet-Inspection-Firewall zum Einsatz.

Eine Deep-Packet-Inspection-Firewall bietet ein hohes Maß an Sicherheit mit einem oft sehr individuell und feingranular konfigurierbaren Regelsatz, erfordert aber ein hohes Maß an Rechenleistung auf der Netzwerk-Firewall. Ebenso notwendig ist eine ausgefeilte Konfigurationsschnittstelle, um die gegebene Komplexität zu beherrschen.

Management von Firewalls

Mit­lernende Firewalls können es dem Administrator leichter machen, viele Verkehrs­situationen zu berücksichtigen.

© Belden

Die Einbindung einer neuen Firewall in ein bestehendes Industrie-Netzwerk ist keineswegs trivial, da hier in der Regel eine Vielzahl von Kommunikationsbeziehungen existiert, die in den seltensten Fällen komplett und korrekt erfasst und dokumentiert sind. Da die Hauptfunktion einer Firewall das Unterbinden von unbekanntem Netzwerk-Verkehr ist, gestaltet sich die initiale Konfiguration des Gerätes in einem solchen Fall besonders schwer. Wird die Firewall zu liberal konfiguriert, so lässt sie zwar den Steuerungs- und Überwachungsverkehr der Anlage problemlos passieren; jedoch stellt sie auch kein großes Hindernis für einen eventuellen Angreifer dar. Wird die Firewall zu restriktiv konfiguriert, so blockiert sie zwar die Kommunikation eines möglichen Angreifers, behindert jedoch auch den Verkehr der Anlage, so dass diese nicht mehr in allen Situationen fehlerfrei funktioniert. Das kann zu Standzeiten und erhöhten Wartungskosten führen. Kurzum: Ohne eine komplette Sicht auf alle Kommunikationsbeziehungen wird die Integra­tion einer Firewall in ein bestehendes Netzwerk zu einer Zitterpartie.

Moderne industrielle Firewalls unterstützen daher die Mitarbeiter bei der Inbetriebnahme, indem sie spezielle Analysemodi anbieten. Im ‚Firewall Learning Mode‘ beispielsweise zeichnet die Firewall während einer frei bestimmbaren Lernphase alle Kommunikationsbeziehungen auf, ohne sie zu beschränken. Ein Administrator kann mit Hilfe der analysierten Verbindungen schnell und einfach die gewünschten beziehungsweise unerwünschten Kommunikationsbeziehungen erkennen und eine passgenaue Konfiguration der Firewall (semi-)automatisch erstellen.

Der Einsatz von Firewalls, um verschiedene Maschinen und Anlagenteile voneinander zu isolieren, ist ein wichtiger Aspekt der Defense-in-Depth-Strategie. Hat ein Angreifer eine erste Hürde genommen, indem er ins Netzwerk eingedrungen ist, so können weitere Firewalls mit stets spezifischeren Regeln ein Vordringen in weitere und sensitivere Anlagenteile verhindern. Ein solcher Einsatz von IP-Firewalls und transparenten Layer2Firewalls bedingt jedoch die Verwaltung und Konfiguration mehrerer Firewalls. Ohne ein mächtiges Verwaltungswerkzeug zur einfachen (Massen-)Konfiguration von Firewalls kann sich eine solche Konfiguration bei Änderungen in der Netzwerk-Infrastruktur sehr aufwendig gestalten. Abhilfe schaffen hier Firewalls, die durch Netzwerk-Management-Tools zentral verwaltet und überwacht werden können. So lassen sich Standardkonfigurationen schnell auf neu installierte Firewalls ausrollen und Änderungen an den Konfigurationen durchführen.

Autoren:
Prof. Dr. Tobias Heer ist Spezialist für sichere industrielle Kommunika­tion bei Hirschmann Automation and Control;
Dr. Oliver Kleineberg leitet die Abteilung Advance Development bei Hirschmann Automation and Control.