Sicherheit für industrielle Ethernet-Netzwerke
17.06.2011 -
Ein einheitlicher, anwendungsneutraler Kommunikationsstandard bietet Vorteile für die Industrie. Der Einsatz erfordert jedoch besondere Sorgfalt bei der Planung, insbesondere aus Sicht der Netzwerksicherheit. Was sich für einen solchen Einsatz anbietet, das stellt jetzt ein Unternehmen aus Nordrhein-Westfalen vor.
Der Aspekt Sicherheit gewinnt zunehmend an Bedeutung für industrielle Netzwerke - und dies nicht erst seit dem Medienrummel um den Stuxnet-Wurm. Aus einer Studie des Telekommunikationskonzerns AT&T geht hervor, dass über 80 % aller unbefugten Übergriffe auf Firmennetzwerke intern stattfinden. Neben den unerlaubten Zugriffen direkt über PCs oder Workstations, wie es bei Stuxnet der Fall war, erfolgen die Zugriffe auch unmittelbar über das Netzwerk. Offene und nicht abgeschaltete Ethernet-Ports bieten freien Zugriff und sind ein großes Problem für die Netzwerkintegrität. Die lokale und portbezogene Absicherung auf Layer 2, bei der nur bestimmte MAC-Adressen auf einem Port erlaubt sind, stellt nur eine vermeintliche Sicherheit dar und erfordert einen hohen administrativen Aufwand. Diese reine Layer-2-Absicherung kann also nicht die Lösung für das Sicherheitsproblem sein. Auch eine administrative Deaktivierung von Ports ist aus Sicht des Anwenders eine unbefriedigende Lösung.
Standardisierte Sicherheit
Industrielle Ethernet-Netzwerke brauchen Authentifizierungsmethoden für Endgeräte, die hohe Sicherheit garantieren, aber nicht an den physischen Ort eines Ports gebunden sind. Der IEEE Standard 802.1X in Verbindung mit einem Authentifizierungsserver bietet die Möglichkeit der Authentifizierung und Autorisierung in Rechnernetzen. 802.1X definiert eine Client-Server basierte Zugriffskontrolle auf der Basis eines Authentifizierungs-Protokolls. Mittels Authentifizierung und Autorisierung von Geräten, die an einen Switch-Port angeschlossen werden, wird der Zugang zum Netzwerk für nicht autorisierte Clients gesperrt und verhindert. Jedes angeschlossene Endgerät muss sich also im Netzwerk erfolgreich anmelden, sonst ist weder das Senden noch das Empfangen von Daten über den Switch-Port möglich.
Schließt man ein Endgerät an einen Switch an, auf dem 802.1x aktiviert ist, so werden automatisch die nötigen Authentifizierungsinformationen, die sogenannten Credentials übermittelt. Häufig sind dies der Benutzername und das dazugehörige Passwort. Der Standard empfiehlt hierfür das Extensible-Authentication-Protocol over LAN (EAPOL). Wenn ein externer Server verwendet wird, arbeitet der Switch als eine Art Relaisstation. Dieser sogenannte Authenticator hat die Aufgabe, die vom Client erhaltenen Credentials an den Authentifizierungsserver weiterzuleiten. In der Praxis kommt für diesen Zweck sehr häufig ein Radius-Server zum Einsatz. Wurden die Benutzerdaten vom Server als zulässig identifiziert, wird diese Information an den Switch gesendet und der entsprechende Port wird freigeschaltet. Wird das Endgerät vom Port entfernt oder erfolgt eine Abmeldung durch den Nutzer, kehrt der Port automatisch in den nicht autorisierten Modus zurück und verhindert somit das Übertragen von Daten bis zur einer erneuten erfolgreichen Anmeldung.
Solch ein Verbund von verschiedenen Systemen und Funktionen, die den Zugriff und Berechtigungen innerhalb des Netzwerks steuern und verwalten, wird auch als Triple-A-System oder kurz AAA-System bezeichnet. Diese Abkürzung steht dabei für das Identifizieren (Authentifizierung), die Erteilung der Befugnis, bestimmte Dienste nutzen zu dürfen (Autorisierung), und die Überwachung, welche Dienste in welchem Umfang genutzt werden (Abrechnung, Accounting). Einfach ausgedrückt ist die Aufgabe die Überwachung und Kontrolle von „wer?" darf „was?" und „wie viel?".
Zusätzliche Sicherheit
Harting erweitert die in der IEEE 802.1X spezifizierten Funktionen, um die Integration von Sicherheitsmerkmalen noch flexibler und umfangreicher gestalten zu können.
Alle Switche der mCon-3000-Familie verfügen über einen integrierten Radius-Server, der die Authentifizierung und Autorisierung der lokal angeschlossenen Clients überwacht. Es ist also nicht erforderlich, einen zusätzlichen Server zu betreiben, insbesondere in dezentralen oder weniger komplexen Applikationen ist dies sehr hilfreich. Es ist also freigestellt, ob eine Anmeldung von Endgeräten über eine lokale (auf dem Switch) oder über eine externe (Radius-Server) Datenbank erfolgt.
Als zweite Besonderheit wurde der Authentifizierungsmechanismus von 802.1X durch die zusätzliche Überwachung der MAC-Adressen der angeschlossenen Teilnehmer erweitert. Durch diese optional zuschaltbare Funktion wird ein Switch-Port nicht mehr global geöffnet, sondern ist nur für MAC-Adressen, die zuvor über 802.1X authentifiziert wurden, freigegeben. Befinden sich also mehrere Teilnehmer über ein Shared-Media an einem Switch-Port, werden diese selektiv authentifiziert.
Sicherheitskonzepte
Die Absicherung des Netzwerks durch ein AAA-System garantiert längst keine absolute Sicherheit. Neben der Zugriffskontrolle auf das Netzwerk müssen weitere Punkte berücksichtigt werden, um eine umfassende Sicherheitsstrategie für die Netzintegrität zu erarbeiten. Diese mehrschichtigen Sicherheitsmaßnahmen werden häufig auch als „Defense in Depth" bezeichnet.
Eine zentrale Komponente in einem Ethernet-Netzwerk stellen die Switche dar; über sie wird der Zugriff auf das Netzwerk ermöglicht. Die Harting Ha-VIS mCon 3000 Switche bieten über die integrierten Sicherheitsmechanismen einen umfassenden Schutz für das Netzwerk und bilden somit einen Eckpfeiler innerhalb eines Netzsicherheitskonzepts von industriellen Netzwerken.(gro)