Bevor der Steuerungsrechner einer CNC-Fräsmaschine durch fehlende Patches zum Problem werden konnte, isolierte Wiesemann & Theis ihn proaktiv.
Der Firewall-Router „Microwall Gigabit“ weist dem Steuerungsrechner der CNC-Fräsmaschine ein eigenes Netzwerksegment zu und schränkt die Kommunikation mit diesem Netzwerksegment durch Filterregeln stark ein. (Bild: Wiesemann & Theis)
2017 hat sich WannaCry durch Netzwerke und die Medienöffentlichkeit auf der ganzen Welt gefressen. Der Krypto-Trojaner nutzte eine Schwachstelle in der Datei- und Druckerfreigabe von Windows-Netzwerken aus. Die schädliche Wirkung war so massiv, dass Microsoft nicht nur die aktuellen Betriebssysteme patchte, sondern auch Sicherheitsupdates für Produkte bereitstellte, deren erweiterter Support bereits abgelaufen war.
Auf diese Weise hat WannaCry eindrucksvoll die Gefahrenpotentiale aufgezeigt, die sich aus dem Betrieb unnötiger Netzwerkdienste ergeben. Es scheint naheliegend, überflüssige Dienste einfach zu deaktivieren. Allerdings ist nicht immer klar, welche Dienste zwischen Teilkomponenten eines Systems wirklich benötigt werden. Zudem können Änderungen an Maschinen zum Verlust der Zertifizierung und damit zu einem Haftungsübergang auf den Betreiber führen.
Deshalb hat Wiesemann & Theis mit der Microwall Gigabit Small Firewall eine einfach zu handhabende Alternative zum Schutz von Produktionsanlagen entwickelt. Dies ist eine einfache 2-Port-Firewall, die nach dem Whitelist-Prinzip arbeitet. Das bedeutet: Alle erlaubten Verbindungen müssen explizit freigegeben werden.
Doch zurück zur Produktion: Dort ist die Fräsmaschine mit einem Windows-Steuerungsrechner verbunden, auf dem die CNC-Software läuft. Dieser PC ist mit zwei Netzwerkschnittstellen ausgestattet: Die eine verbindet den Computer mit der Fräsmaschine, die andere bindet ihn in das Produktionsnetzwerk ein. Sollte beim aktuellen Stand des Betriebssystems eine Sicherheitslücke entdeckt werden, ist in naher Zukunft mit einem Sicherheitsupdate von Microsoft zu rechnen. Nach dem Ende des erweiterten Supports im Jahr 2020 gibt es in der Regel keine Sicherheitsupdates mehr. Bei Bekanntwerden einer Sicherheitslücke könnte ein Angreifer versuchen, den Steuerungsrechner zu kompromittieren und würde im Erfolgsfall das Gerät selbst, aber auch das umgebende Netzwerk bedrohen.
Aus diesem Grund entschloss sich das Unternehmen, die Fräsmaschine durch Isolieren zu isolieren. Mit Hilfe der Microwall Gigabit wurde die Fräsmaschine in ein eigenes Netzwerksegment ausgelagert und die zulässige Kommunikation mit diesem Netzwerksegment durch Firewall-Regeln stark eingeschränkt.
Der Firewall-Router kann direkt auf dem zu isolierenden Rechner installiert werden. Wiesemann & Theis
Eine kurze Analyse der Ist-Situation mit dem nmap-Port-Scanner offenbarte einige Störfaktoren: Der Steuerrechner zeigte zwölf offene Ports, die im Netzwerk erreichbar sind, darunter ein Webserver. Ein zweiter, intensiver Scan fand insgesamt 24 offene TCP-Ports. Der Webserver ist ein unkonfigurierter Internet Information Server 7.5, der bekannte Schwachstellen aufweist, die zur Remotecodeausführung führen können. Dies bedeutet, dass ein Angreifer jedes beliebige Programm über das Netzwerk ausführen kann - ein Lotteriegewinn für Hacker. Ein pikantes Detail: Der Webserver scheint nichts anderes als eine Seite mit Informationen zu liefern, ist also aller Wahrscheinlichkeit nach genauso überflüssig wie die anderen offenen Ports.
Isolation bedeutet, besonders gefährdete Systeme im Netzwerk zu identifizieren und mit Hilfe kleiner Firewalls wie der Microwall in einem separaten Netzwerksegment zu isolieren. Die notwendigen Verbindungen zwischen Systemen auf der Insel und dem umgebenden Netz werden vorab erfasst und durch eine Positivliste von Regeln beschrieben. Nur ausdrücklich erlaubte Datenpakete werden weitergeleitet, alle anderen werden verworfen und ggf. protokolliert. Dies schützt isolierte Systeme vor Angriffen durch Hacker oder Malware sowie vor menschlichen Fehlern.
Schematischer Aufbau: Bevor die Fräsmaschine auf Produktionsdaten zugreift, baut der Steuerungsrechner über den Zielport 445 eine SMB-Verbindung zum Fileserver mit der bekannten IP-Adresse auf. Wiesemann & Theis
Um die Konfiguration so einfach wie möglich zu halten, betreibt W&T die Microwall im NAT-Modus. Der Steuerungsrechner der Fräsmaschine taucht nicht einmal auf, die Microwall schlüpft sozusagen in ihre Rolle als Akteur im Netzwerk.
Eigentlich gibt es nur einen Fall, in dem die Fräsmaschine über das Netzwerk kommunizieren soll: um auf Produktionsdaten zuzugreifen. Anschließend muss es erlaubt sein, eine Verbindung zum zentralen Windows-Dateiserver aufzubauen. Alle anderen Verbindungen werden von der Firewall blockiert.
Da der Steuerrechner selbst keine Ressourcen im Netzwerk bereitstellt, können eingehende Verbindungen komplett blockiert werden. Weiterhin ist bekannt und eindeutig, auf welches Fileserver-Release die CNC-Software zugreifen soll. Außerdem war die IP-Adresse des Fileservers bekannt, weshalb keine Namensauflösung erforderlich ist. Komfortfunktionen wie die Suche nach Computern und Freigaben über das Netzwerk sind ebenso überflüssig wie die NetBios-Transportprotokolle. Die entsprechenden Ports 137, 138 und 139 können daher ignoriert und somit gesperrt werden. UDP-Port 123 könnte für automatische Zeitaktualisierungen freigegeben werden und UPD-Port 53 für Namensauflösung über DNS. Da diese Funktionen aber auch für die Funktion der Fräsmaschine nicht notwendig sind, bleiben sie ebenfalls geschlossen. Das Patchmanagement erfolgt durch die IT-Abteilung, weshalb auch die Ports für ein automatisches Update geschlossen bleiben. Ansonsten sollte die Möglichkeit von TCP-Verbindungen zum Windows Server Update Services (WSUS)-Server bestehen.
Der Steuerrechner benötigt lediglich die Möglichkeit, mit der bekannten IP-Adresse eine SMB-Verbindung zum Fileserver aufzubauen. Dies geschieht über den Zielport 445. Da diese Kommunikation über TCP erfolgt, wird der Rückkanal direkt in die Verbindung miteinbezogen. Mit der Vorgabe nur einer einzigen Regel ist die Fräsmaschine langfristig geschützt. Gleichzeitig ist ihre Funktion gewährleistet.
Mitte Mai 2019 hat Microsoft ein Sicherheitsupdate für eine Schwachstelle veröffentlicht, die laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnlich drastisch wirken könnte wie WannaCry. Aus diesem Grund hat Microsoft erneut ein Sicherheitsupdate für längst nicht mehr unterstützte Versionen veröffentlicht. Die Schwachstelle lässt sich nach Angaben des Unternehmens aus der Ferne und ohne Zutun des Nutzers ausnutzen und ermöglicht somit einen Angriff mit Schadsoftware, die sich wurmartig selbstständig verbreitet. Das BSI empfiehlt daher, den entsprechenden Patch so bald wie möglich aufzubringen. Betroffen sind alle Windows- und Windows Server-Versionen bis einschließlich Windows 7 und Windows Server 2008. Alternativ schützt die Microwall veraltete Systeme – sofern die Ports TCP/3389 und UDP/3389 nicht explizit für den Remote-Desktop-Zugriff freigegeben wurden.
Als Router verbindet die Microwall das umgebende Netzwerk mit einem isolierten Segment. Die Microwall benötigt eine IP-Konfiguration für die Schnittstellen zu beiden Netzwerken, denn
Konfiguration der Netzwerkschnittstelle der Mircowall und Verwaltung der eingehenden Dienste Wiesemann & Theis
Der Steuerrechner erhält die IP 192.168.1.10. Ihm ist als Standard-Gateway die Microwall Gigabit zugeordnet. Im letzten Schritt richtet das Unternehmen die notwendige Firewall-Regel ein. Der Steuerungsrechner muss über Port 445 eine TCP-Verbindung zum Produktionsdatenserver mit der IP-Adresse 10.10.10.100 aufbauen können.
Mit dieser Maßnahme wurde die CNC-Fräsmaschine innerhalb weniger Minuten mittels einer Microwall in ein separates Netzwerksegment isoliert. Um die Funktionalität zu gewährleisten, reichte es aus, eine einzige Firewall-Regel anzugeben. Als Nebeneffekt wurden unter anderem die NetBIOS-Protokolle für Datei- und Druckerfreigabe unterdrückt und damit Details zur Fräsmaschine hinter der Firewall versteckt.
Eine weitere gängige Technik zur Verbesserung der Sicherheit in Unternehmensnetzwerken besteht darin, sie nach Abteilungen in kleinere Segmente aufzuteilen. Die Kommunikation zwischen diesen Subnetzen wird durch Firewall-Router überwacht, gesteuert und protokolliert. Paketfilter verhindern, dass sich Angreifer und Malware, die es schaffen, in eines der Subnetze einzudringen, weiter ausbreiten. Eine Maßnahme zur weiteren Erhöhung der Sicherheit ist die gezielte Isolierung einzelner Systeme und Funktionseinheiten in einem eigenen Netzsegment. So können auch besonders gefährdete Geräte effektiv geschützt werden. Möglich macht dies das Internetprotokoll IP, mit dem Daten über Netzwerkgrenzen hinweg ausgetauscht werden können. Verschiedene Router leiten die in IP-Paketen gekapselten Informationen an ihr Ziel. Diese Routingeigenschaft wird von Netzwerkadministratoren verwendet, um Unternehmensnetzwerke in miteinander verbundene Subnetze zu unterteilen. Beispielsweise werden die Verwaltungscomputer dem Verwaltungssubnetz zugewiesen; Maschinen in der Produktion haben ebenso ein eigenes Netzwerksegment wie die Arbeitsrechner im Bereich Forschung & Entwicklung. Jedes dieser Netzsegmente ist über einen Router mit dem umliegenden Firmennetz verbunden. Die gesamte Kommunikation zwischen den Subnetzen erfolgt über den Router.
Ich habe die AGB, die Informationen zum Widerrufsrecht und zum Datenschutz gelesen und akzeptiere diese.
Dank Konnektivität, fortschrittlichen Fahrersicherheitssystemen und mehr Verbraucherkomfort wird das softwaredefinierte Fahrzeug bald die Automobilindustrie revolutionieren.
Andere Aussteller der SPS in Nürnberg haben ihre Teilnahme abgesagt, darunter auch große Namen. Doch die Messe reagiert und veröffentlicht eine Stellungnahme. Weiterlesen ...
Mechanische Sicherheitsschalter in eine elektronische Reihenschaltung integrieren und durch Bereitstellung von Diagnosedaten sogar Industrie 4.0-fähig machen – Bernstein präsentiert seinen Kunden die Lösung für diese Anforderung.
OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung
OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung