Firewalls, Firewalls und Firewalls

Dr. Oliver Kleineberg, Advance Development, Hirschmann Automation and Control GmbH, Neckartenzlingen

Moderne Sicherheitskonzepte folgen einem ganzheitlichen Ansatz, in dem sowohl die Prozesse als auch die Menschen und die Technik berücksichtigt werden. Schon lange wird die Firewall daher nicht mehr als ausreichende oder einzige Hauptmaßnahme zur Schaffung von Informationssicherheit in industriellen Anlagen beworben oder gar als Synonym für sichere Netzwerke gesehen. Dennoch stellen Firewalls auch weiterhin Kernelemente bei der Segmentierung von Netzwerken dar und sind damit ein essentieller Teil jeder Sicherheitsstrategie mit Bezug zur Netzwerksicherheit.

Firewalls sind Systeme, die weitere Netzwerkgeräte wie Industrie- PCs, Steuerungen, Kameras, etc. vor unbefugtem Zugriff schützen, indem Sie die Weiterleitung von Netzwerkverkehr zu oder von diesen Systemen unterbinden. Dabei kann man als erste grobe Unterscheidung zwischen Host-Firewalls und Netzwerk-Firewalls differenzieren. Erstere werden als Softwarefunktionalität auf einem Rechner (Host) installiert oder bereits vom Betriebssystem bereitgestellt. Beispiele für diese Firewalls sind die Windows-Systemfirewall oder die mit den meisten Linux Systeme bereits mitgelieferte IPtables und Netfilter-Firewall.

Im Gegensatz dazu sind Netzwerk-Firewalls Geräte, die speziell für die Funktion als Firewall entworfen wurden und nicht auf einem PC, sondern im Netzwerk platziert werden. Diese Hardware-Firewalls stellen wichtige Elemente in industriellen Anlagen dar, insbesondere wenn industrielle Anlagen mit weiteren Netzwerken verbunden sind (z.B. Office Netzwerken) oder die kabelgebundene Übertragung mit weniger sicheren Netzwerktechnologien (z.B. drahtloser Übertragung) kombiniert wird. Eine Netzwerk-Firewall hilft in diesen Fällen dabei, die Netzwerkgrenze als erste Verteidigungslinie gegen Angriffe einzurichten und nur erwünschten Netzwerkverkehr in das Netz hinein und aus dem Netz heraus zuzulassen.

Die technische Grundfunktion jeder Firewall ist das Filtern von Paketen. Dabei prüft sie die Datenpakete, die sie weiterleiten soll, ob diese einem erwünschten Muster entsprechen. Diese Muster werden in Form von Regeln modelliert. Eine Firewall an einer Netzwerkgrenze kann so zum Beispiel Regeln der Form „Ein Kommunikationsverbindungsaufbau von innerhalb des Netzwerkes darf nur zu einem bestimmten Server erfolgen“ oder „Von außerhalb des Netzwerkes sind nur die Login-PCs für die entfernte Wartung erreichbar, nicht die weiteren Geräte“ beinhalten. Auch Regeln wie für Industrieprotokolle wie z.B. Modbus/TCP sind möglich, sodass eine Regel lauten könnte: „Schreibbefehle für das ModBus/TCP Protokoll, Coil 56 sind nur vom Wartungsterminal erlaubt“.

Firewalls sind wichtige Grundbausteine heutiger Sicherheitskonzepte. Sie kommen dabei an verschiedenen Stellen des Netzwerks zum Einsatz. Sie können ein Unternehmensnetzwerk nach außen hin absichern. Sie können aber auch innerhalb einer Anlage verschiedene Maschinen voneinander abschotten bzw. passgenau Kommunika-tion zwischen Maschinen erlauben. Dieses Konzept der passgenauen Kommunikationsbeschränkungen zwischen Netzwerkteilnehmern in internen Netzwerken sowie der Abschottung verschiedener Netzwerkbereiche gegeneinander wird üblicherweise als „Defense in Depth“, kombiniert mit Zonen und Leitungen („Zones and Conduits) bezeichnet: Eine gestaffelte Verteidigung mit mehreren, hintereinander geschalteten Sicherheitsebenen.

So wird durch eine gestaffelte Verteidigung der Zugriff auf das zu schützende System oder Netzwerk erschwert – schließlich muss ein Angreifer mehrere Sicherheitsebenen überwinden und nicht nur eine einzelne Hürde. Außerdem hilft die Abschottung in mehrere Netzwerkbereiche für den Fall, das ein Netzwerkbereich tatsächlich durch einen Angreifer kompromittiert wird. In diesem Fall ist nicht sofort das komplette Netzwerk unsicher, sondern nur der abgeschottete Bereich, zu dem der Angreifer Zugriff erlangt hat. In Kommunikationsnetzwerken entspricht diese Segmentierung von Netzwerkteilnehmern dem Konzept von Zonen und Leitungen. Dieses Verfahren wird oft zusammen mit einer gestaffelten Verteidigung gemäß „Defense in Depth“ eingesetzt. „Zones and Conduits“ bedingt quasi stets den Einsatz von „Defense in Depth“, „Zones and Conduits“ ist ein zentraler Bestandteil der Internationalen NormIEC 62443.

Firewalls spielen bei der Abgrenzung von Netzwerkteilen verschiedene Rollen. Zum einen kann eine Firewall ein Unternehmen insgesamt nach außen absichern. Diese globale Absicherung ist in der Regel die Domäne von IT-Firewall-Lösungen, die im Rechenzentrum eines Unternehmens platziert werden. Zum anderen können diese jedoch auch in der Produktion eingesetzt werden, um diese wirkungsvoll vom Rest des Firmennetzwerks zu trennen.

Für kleinere Außenstellen eignen sich Industrielle Firewalls mit Router-Funktion. So lassen sich z.B. Verteilerstationen über ein WWAN-Netzwerk mit der restlichen Firmeninfrastruktur verbinden. Die Firewall übernimmt dabei die Beschränkung des Netzwerkverkehrs aus und in das lokale Netzwerk der Außenstelle. Da eine solche Firewall zur Anbindung einer Außenstelle den Übergang vom unternehmenseigenen Netzwerk (die Außenstelle) hin zu einem fremden Netzwerk (ein Provider-Netzwerk oder das Internet) darstellt, muss diese Firewall um vollumfängliche Möglichkeiten zur Paketfilterung verfügen und Verkehr zwischen verschiedenen Netzwerken filtern können. Eine solche Firewall bearbeitet den Verkehr des Internet Protokolls (IP).

Häufig finden Angriffe aus dem Inneren eines Netzwerkes statt. Auch innerhalb eines lokalen Netzwerkes können Firewalls die Kommunikation gemäß dem Sicherheitskonzept begrenzen. Soll nur die Kommunikation zu einem einzelnen Gerät einer Anlage von außerhalb der Anlage möglich sein, so kann die Firewall diese Verbindungen spezifisch zulassen, während alle anderen Kommunikationsversuche unterbunden werden. Die Anforderungen einer Firewall unterscheiden sich jedoch beim Einsatz innerhalb eines Netzwerks im Vergleich zum Einsatz zwischen Netzwerken. So wird eine transparente Layer-2-Firewall auf Ethernet-Ebene benötigt und keine IP-Firewall.

Auch Übergänge von drahtlosen zu drahtgebundenen Netzwzerken lassen sich durch Firewalls schützen. So kann z.B. die Kommunika-tion eines Tablets, das sich mit dem WLAN einer Maschine verbunden hat, so eingeschränkt werden, dass es nur auf die Daten der Bedienungsschnittstelle, jedoch nicht auf weitere Subsysteme oder mit der Maschine verbundenen Geräte zugreifen kann. Wird ein Client in ein WLAN eingebunden, ist es prinzipiell möglich, mit allen weiteren Geräten im selben (Sub)-Netz direkt zu kommunizieren. Ein Angreifer kann so einen erfolgreichen Angriff auf ein WLAN-Client-Gerät auf beliebige mit dem Ethernet-Netzwerk verbundene Geräte ausweiten. Diesem Problem kann begegnet werden indem man die Weiterleitung von Nachrichten zwischen WLAN-Clients am WLAN-Access-Point durch eine Firewall begrenzt. Auch hier ist eine transparente Layer-2-Firewall nötig, die innerhalb eines Netzwerks (direkt zwischen den WLAN Geräten im Netzwerk) filtern kann. Diese Firewallfunktion muss dazu direkt auf dem Access-Point implementiert sein.

Nicht nur die Umgebung und die Einsatzorte bestimmen die Anforderungen an eine Firewall. Auch bei den Fähigkeiten der Filtermechanismen gibt es große Unterschiede. Hierbei ist zu unterscheiden wie tief eine Firewall die Kommunikationsbeziehungen der Geräte betrachten kann. Auch hier besteht eine enorme Spannbreite. Das Spektrum beginnt mit Firewalls die nur einfache Mustererkennung auf Paketen durchführen können und erstreckt sich bis hin zu Firewalls, die auch die Funktionen und Abläufe in Industrieprotokollen verstehen können und so gezielt einzelne Kommunikationsmuster unterbinden können.

Genauso wie es beim Anwendungsgebiet und der Leistungsfähigkeit des Paketfilters Unterschiede gibt, so zeigen sich auch Unterschiede bei den weiteren Funktionen einer Firewall. Insbesondere bei den Managementfunktionen einer Firewall, ob sie eine praktikable Lösung oder eher ein Hindernis für die Umsetzung einer Sicherheitsstrategie ist. Dies lässt sich gut an zwei typischen Managementaufgaben zeigen: a) der Einbindung einer neuen Firewall in ein bestehendes Industrienetzwerk und b) der Verwaltung mehrerer Firewalls durch Netzwerkmanagement-Tools. In Industrienetzwerken gibt es in der Regel eine Vielzahl von Kommunikationsbeziehungen, die in den seltensten Fällen komplett und korrekt erfasst und dokumentiert sind. Da die Hauptfunktion einer Firewall das Unterbinden von unbekanntem Netzwerkverkehr ist, gestaltet sich daher die initiale Konfiguration dieses Gerätes in einem solchen Fall besonders schwer. Wird die Firewall zu liberal konfiguriert, lässt sie zwar den Steuerungs- und Überwachungsverkehr der Anlage problemlos passieren, stellt jedoch auch kein großes Hindernis für einen Angreifer dar. Wird die Firewall zu restriktiv konfiguriert, so blockiert sie zwar die Kommunikation eines möglichen Angreifers, behindert jedoch auch den Verkehr der Anlage, sodass diese nicht immer fehlerfrei funktioniert. Über das Thema „Filtering“ berichten wir in einem weiteren Teil in der nächsten Ausgabe von elektro AUTOMATION.

Hirschmann Automation and Control

Neckartenzlingen

Tel. 07127 140

www.hirschmann.de

Hannover Messe:

Halle 9, Stand D11

Fließtext std, betont3, fett

Liste Punkt

www.Zusatz Contentverweis.de