:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Im Test: Stormshield SNi40 Adminfreundliche Firewall für Industrie-Netzwerke
Industrielle Anlagen sind durch direkte Internet-Anbindung und TCP/IP-Integration heute viel größeren Risiken ausgesetzt als früher. Oft müssen sich die IT-Administratoren der Unternehmen jetzt auch um die Absicherung dieses Netzwerkbereichs kümmern. Deswegen werden viele froh sein, wenn sie für den Industriebereich eine Lösung einsetzen können, die sie aus der Absicherung ihrer IT-Netze bereits kennen – zum Beispiel Stormshields SNi40.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
In der Vergangenheit war es üblich, dass die Anlagen nicht oder bestenfalls lokal vernetzt waren. Wenn überhaupt, kommunizierten sie über industrielle Bus-Technologien und verfügten über keinen Internet-Anschluss. Dies hat sich in den letzten Jahren gewandelt, da sich der TCP/IP-Standard immer mehr auch für die Vernetzung von Industriesystemen und -computern durchgesetzt hat. Abgesehen davon wurden aus den verschiedensten Gründen immer mehr Anlagen an das Internet angeschlossen.
Werden industrielle Systeme kompromittiert, führt das zu kritischen Situationen, die im Zweifelsfall sogar Produktionsausfälle mit sich bringen. Deswegen benötigen die Administratoren in diesem Umfeld eine Appliance, mit der sie ihre industriellen Aktivitäten absichern können. Eine "normale" Next-Generation-Firewall reicht hier nicht aus, da die Sicherheitslösung sämtliche im Industriebereich verwendeten Protokolle verstehen muss, nicht nur den klassischen IT-Netzwerkverkehr. Gleichzeitig sollte sie den IT-Sicherheitsprodukten aber vom Look-and-Feel des Konfigurationsinterfaces möglichst ähnlich sein, damit jeder Administrator ohne zusätzliche Schulung dazu in der Lage ist, mit seinem Produkt zu arbeiten.
:quality(80)/images.vogel.de/vogelonline/bdb/1219400/1219457/original.jpg "Das Dashboard warnt die Administratoren vor potentiellen Konfigurationsfehlern, wie hier einem über den externen Netzwerkanschluss erreichbaren Konfigurationswerkzeug.")
:quality(80)/images.vogel.de/vogelonline/bdb/1219400/1219458/original.jpg "Die Regeldefinition der Stormshield-Lösung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1219400/1219459/original.jpg "Bei den Industrieprotokollen, deren Überwachung die SNi40 über Plugins umsetzt, unterstützt das System auch Custom Pattern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1219400/1219460/original.jpg "Die Konfiguration der Host Reputations-Funktion.")
Stormshield bietet für die genannte Problematik eine Lösung an. Das Unternehmen liefert nicht nur Firewall-Produkte für den IT-Bereich, sondern hat nun mit der SNi40 auch eine Industriefirewall im Angebot, die in einem Industriehardwareformat kommt und neben den IT-Protokollen auch viele Industrieprotokolle unterstützt. Das Managementwerkzeug ist bei allen Firewall-Lösungen identisch, so dass sie sich alle auf die gleiche Art verwalten lassen. Damit eignen sich die Produkte nicht nur für die Verwaltung durch die eigene IT-Abteilung, sondern auch durch Dienstleister.
Die Hardware
Was die SNi40-Hardware angeht, so wurde die Firewall speziell entwickelt, um den schwierigen Bedingungen in industriellen Umgebungen standhalten zu können. Sie ist stoßsicher, lässt sich durch elektromagnetische Interferenzen nicht aus der Ruhe bringen, das Gehäuse hält Staub von der Elektronik fern (hierfür wurde das Produkt IP30 zertifiziert) und die Lösung verkraftet Temperaturen von minus 40 bis plus 75 Grad Celsius sowie eine relative, nicht kondensierte Luftfeuchtigkeit von fünf bis 95 Prozent. Außerdem hat der Hersteller einen Hardware-Bypass zwischen den Ports eins und zwei implementiert. Tritt im Betrieb ein Problem mit der Firewall auf, so wird bei Bedarf über ein Relais eine physikalische Verbindung zwischen den beiden genannten Ports hergestellt, so dass der Datenverkehr weiterlaufen kann. In diesem Fall findet zwar keine Sicherheitsüberprüfung mehr statt, es wird aber garantiert, dass das Netz bei einem Firewall-Ausfall nicht zum Erliegen kommt, was insbesondere in Produktionsumgebungen von großer Bedeutung sein kann. Im Test funktionierte der Bypass ohne Probleme.
Abgesehen davon bringt die Hardware noch weitere Besonderheiten mit sich. Das Produkt verfügt über zwei Glasfaseranschlüsse und erlaubt an seinen USB-Ports den Einsatz generischer LTE-Modems. Es lassen sich also auch drahtlose Netzwerkverbindungen herstellen. Als Datenspeicher wurde eine 32 GByte große SSD implementiert, so dass genug Speicherplatz zur Verfügung steht, um lokal Logs aufzuzeichnen, was sehr sinnvoll ist, da in Industrieumgebungen oft kein Syslog-Server oder ähnliches zur Verfügung steht. Ein redundantes Netzteil schließt den Lieferumfang der Lösung ab.
Der Test
Im Test ließen wir die SNi40 ein paar Wochen lang laufen, machten uns mit ihrem Funktionsumfang vertraut und wickelten unseren Datenverkehr darüber ab. Außerdem nahmen wir die internen und externen Interfaces der SNi40 mit diversen Sicherheitsprodukten wie Nmap, Nessus und Metasploit unter die Lupe und führten zudem mehrere Angriffe auf die genannten Netzwerkanschlüsse aus, beispielsweise DoS-Attacken. Dabei analysierten wir, ob sich die Appliance aus dem Tritt bringen ließ und ob sie irgendwelche überflüssigen Informationen, die einem Angreifer helfen könnten, im Netz bereitstellte.
Das Web-Interface
Loggt sich ein Administrator während der Arbeit beim Konfigurationswerkzeug der SNi40 ein, so landet er in einem Dashboard, das ihm eine Übersicht über die Schnittstellen der Appliance, die aktuellen Alarme, die Ressourcenauslastung mit der aktuellen Temperatur und die Systemeigenschaften bietet. Außerdem weist das Dashboard auf vorhandene Konfigurationsprobleme hin, beispielsweise wenn das Konfigurationsinterface über die externe Schnittstelle erreichbar ist.
Das Konfigurationsmenü der Firewall enthält neben dem Dashboard Funktionen zum Verwalten der Administratorkonten, zum Managen der Lizenz, zum Einspielen von Updates, zum Sichern und Wiederherstellen der Konfiguration, zum Einrichten einer Hochverfügbarkeitskonfiguration und zum Aufrufen einer Kommandozeile über die die Administratoren direkt über ihren Browser CLI-Befehle auf der Appliance ausführen können.
Die Regeln
Der Bereich "Sicherheitsrichtlinie" stellt das Herzstück der Lösung dar, da hier die Regeln für den Datenverkehr festgelegt werden. An erster Stelle findet sich hier der Eintrag "Filter/NAT". Die Filterregeln dienen dazu, den Web-Verkehr durchzulassen oder zu blockieren. Ihre Abarbeitung erfolgt über eine Liste, das heißt, Regeln die sich in der Liste an einer tieferen Position befinden, berücksichtigt das System nur dann, wenn ihre Inhalte nicht bereits durch eine höherplatzierte Policy abgedeckt worden sind. Uns fiel im Test positiv auf, dass das Konfigurationswerkzeug selbstständig auf solche Sachen achtet und den zuständigen Mitarbeiter über Konfigurationsprobleme informiert, beispielsweise durch den Hinweis "Diese Regel wird nicht angewendet, weil sie bereits von der Regel 4 abgedeckt wird."
Während der Regeldefinition haben die Verantwortlichen auch Gelegenheit, für einzelne Regeln festzulegen, welche Sicherheitsfunktionen aktiviert werden sollen, beispielsweise Antivirus, IPS, Anti-Spam, Sandbox, URL-Filter, HTTP-Caching, SMTP-Filter, FTP-Filter und SSL-Filter. So ist es beispielsweise möglich, HTTP-Übertragungen nur mit aktiviertem Antivirus und IPS zuzulassen.
Im Menü zum Anwendungsschutz findet sich eine Liste mit den Protokollen, die die Lösung absichern kann. Diese lässt sich an gleicher Stelle auch bearbeiten. So ist es beispielsweise möglich, beim SSL-Protokoll anzugeben, ob die Appliance nicht unterstützte Encryption Methods zulassen soll und wie hoch die Verschlüsselungsstufe sein muss. Entsprechende Einstellungsmöglichkeiten gibt es logischerweise auch für alle anderen Protokolle.
Industrieprotokolle
In diesem Zusammenhang ist es sinnvoll, auf die von der SNi40 unterstützten Industrieprotokolle einzugehen. Dazu gehören OPC UA, EtherNet/IP, Modbus, S7 und IEC 60870-5-104. Wichtig in diesem Zusammenhang ist, dass das Stormshield-Produkt für all diese Protokolle so genannte Custom Pattern unterstützt. Mit diesen verfügen die Administratoren über die Option, Grenzwerte zu hinterlegen, mit denen sich bei Bedarf bestimmte Funktionen blockieren lassen, ohne dabei den Datenverkehr an sich zu unterbinden. Es ist auf diese Weise zum Beispiel möglich, normale Datenübertragungen aufrecht zu erhalten, aber keine Werte weiterzuleiten, die über einem Limit, wie etwa sechs liegen. Drückt ein Mitarbeiter zwölf Mal auf einen Füllknopf und versucht so fälschlicherweise zwölf Liter in ein System einzufüllen, das nur sechs Liter fasst, so erkennt die Firewall das Überschreiten des Schwellwertes und blockiert den dazugehörigen Befehl an die Füllmaschine, ohne dass die anderen Datenübertragungen dadurch beeinträchtigt werden. Die genannte Funktion ist sehr mächtig und versetzt die Verantwortlichen dazu in die Lage, jedes Detail zuzulassen oder zu blockieren und so ihre Anlagen genau abzusichern.
Die Protokolle werden im Betrieb mit Plugins analysiert. Damit sorgt Stormshield dafür, dass die Firewall einen Alarm auslöst, wenn die Rahmenbedingungen, beispielsweise des IEC-Standards nicht erfüllt werden. Die Analyse geht folglich deutlich über eine reine Signaturerkennung hinaus.
Weitere Funktionen
Der "Vulnerability Manager" analysiert im Betrieb installierte und benutzte Applikationen auf den Hosts und überprüft sie auf Angreifbarkeiten, wie beispielsweise eine veraltete Perl-Version. Arbeitet im Netz zum Beispiel ein PLC (Programmable Logic Controller) mit veralteten Diensten, die Sicherheitslücken mit sich bringen, so erkennt der Vulnerability Manager dies und übernimmt den Schutz der Datenübertragungen. So kann er die betroffene Komponente auf Wunsch automatisch in Quarantäne verschieben, was im Test erwartungsgemäß ablief.
Die "Host Reputation" lässt sich im Gegensatz dazu einsetzen, um auf dynamische Veränderungen im Verhalten einzugehen. Überschreitet ein Client wie ein PLC oder ein Rechner im Betrieb bestimmte Schwellwerte, zum Beispiel, wenn das IPS meldet, dass der Client auf ungewöhnliche Art kommuniziert, so lässt sich die Host Reputation verwenden, um nicht den gesamten Verkehr zu dem betroffenen System zu unterbinden, sondern nur seinen Zugang zu bestimmten Diensten. Im Test funktionierte das einwandfrei. In Produktionsumgebungen bringt es den Vorteil, dass die Produktion weiterlaufen kann und das Netz trotzdem geschützt ist, da etwa der LAN-Zugang einer infizierten Komponente geblockt wird, nicht aber die Steuerung eines Produktionssystems.
Sicherheits-Test
Wie bereits angesprochen, nahmen wir im Test das interne und das externe Interface der SNi40 mit diversen Security-Tools wie Nessus, Metasploit, Nmap und dem Greenbone Security Manager unter die Lupe. Außerdem führten wir auch Angriffe mit DoS-Tools und ähnlichem durch, um die Firewall aus dem Tritt zu bringen. Dabei kamen wir zu der Erkenntnis, dass die Stormshield-Lösung praktisch keine überflüssigen Dienste und Informationen im Netz bereitstellte. Nmap fand lediglich heraus, dass auf dem Produkt FreeBSD lief. DoS-Angriffe ließen die ordnungsgemäß konfigurierte SNi40 ebenfalls kalt. Während unserer Analyse traten folglich keinerlei Sicherheitslücken zu Tage.
Fazit
Die SNi40 von Stormshield stellt eine leistungsstarke Firewall-Appliance für Industrieumgebungen mit. Sie bietet nicht nur eine große Zahl an "klassischen" Sicherheitsfunktionen wie Anti-Virus, IPS, Sandbox, Anwendungskontrolle und Anti-Spam, sondern "versteht" auch viele Industrieprotokolle wie Modbus, S7 und IEC 60870-5-104. Da das Benutzerinterface genauso funktioniert, wie bei den anderen Lösungen des gleichen Herstellers und sich vom Aufbau her auch nicht besonders von den Konfigurationswerkzeugen anderer Sicherheitsprodukte für den IT-Bereich unterscheidet, sollte kein Administrator bei der Konfiguration der Lösung vor besondere Hindernisse gestellt werden.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
(ID:44653294)
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")