Im Test: Stormshield SNi40

Adminfreundliche Firewall für Industrie-Netzwerke

| Autor / Redakteur: Dr. Goetz Güttich / Peter Schmitz

Eine Industrie-Firewall muss verhindern, dass industrielle Systeme durch Angriffe kompromittiert werden, da dies schnell zu Produktionsausfällen führen kann.
Eine Industrie-Firewall muss verhindern, dass industrielle Systeme durch Angriffe kompromittiert werden, da dies schnell zu Produktionsausfällen führen kann. (Bild: Stormshield)

Industrielle Anlagen sind durch direkte Internet-Anbindung und TCP/IP-Integration heute viel größeren Risiken ausgesetzt als früher. Oft müssen sich die IT-Administratoren der Unternehmen jetzt auch um die Absicherung dieses Netzwerkbereichs kümmern. Deswegen werden viele froh sein, wenn sie für den Industriebereich eine Lösung einsetzen können, die sie aus der Absicherung ihrer IT-Netze bereits kennen – zum Beispiel Stormshields SNi40.

In der Vergangenheit war es üblich, dass die Anlagen nicht oder bestenfalls lokal vernetzt waren. Wenn überhaupt, kommunizierten sie über industrielle Bus-Technologien und verfügten über keinen Internet-Anschluss. Dies hat sich in den letzten Jahren gewandelt, da sich der TCP/IP-Standard immer mehr auch für die Vernetzung von Industriesystemen und -computern durchgesetzt hat. Abgesehen davon wurden aus den verschiedensten Gründen immer mehr Anlagen an das Internet angeschlossen.

Werden industrielle Systeme kompromittiert, führt das zu kritischen Situationen, die im Zweifelsfall sogar Produktionsausfälle mit sich bringen. Deswegen benötigen die Administratoren in diesem Umfeld eine Appliance, mit der sie ihre industriellen Aktivitäten absichern können. Eine "normale" Next-Generation-Firewall reicht hier nicht aus, da die Sicherheitslösung sämtliche im Industriebereich verwendeten Protokolle verstehen muss, nicht nur den klassischen IT-Netzwerkverkehr. Gleichzeitig sollte sie den IT-Sicherheitsprodukten aber vom Look-and-Feel des Konfigurationsinterfaces möglichst ähnlich sein, damit jeder Administrator ohne zusätzliche Schulung dazu in der Lage ist, mit seinem Produkt zu arbeiten.

Stormshield bietet für die genannte Problematik eine Lösung an. Das Unternehmen liefert nicht nur Firewall-Produkte für den IT-Bereich, sondern hat nun mit der SNi40 auch eine Industriefirewall im Angebot, die in einem Industriehardwareformat kommt und neben den IT-Protokollen auch viele Industrieprotokolle unterstützt. Das Managementwerkzeug ist bei allen Firewall-Lösungen identisch, so dass sie sich alle auf die gleiche Art verwalten lassen. Damit eignen sich die Produkte nicht nur für die Verwaltung durch die eigene IT-Abteilung, sondern auch durch Dienstleister.

Die Hardware

Was die SNi40-Hardware angeht, so wurde die Firewall speziell entwickelt, um den schwierigen Bedingungen in industriellen Umgebungen standhalten zu können. Sie ist stoßsicher, lässt sich durch elektromagnetische Interferenzen nicht aus der Ruhe bringen, das Gehäuse hält Staub von der Elektronik fern (hierfür wurde das Produkt IP30 zertifiziert) und die Lösung verkraftet Temperaturen von minus 40 bis plus 75 Grad Celsius sowie eine relative, nicht kondensierte Luftfeuchtigkeit von fünf bis 95 Prozent. Außerdem hat der Hersteller einen Hardware-Bypass zwischen den Ports eins und zwei implementiert. Tritt im Betrieb ein Problem mit der Firewall auf, so wird bei Bedarf über ein Relais eine physikalische Verbindung zwischen den beiden genannten Ports hergestellt, so dass der Datenverkehr weiterlaufen kann. In diesem Fall findet zwar keine Sicherheitsüberprüfung mehr statt, es wird aber garantiert, dass das Netz bei einem Firewall-Ausfall nicht zum Erliegen kommt, was insbesondere in Produktionsumgebungen von großer Bedeutung sein kann. Im Test funktionierte der Bypass ohne Probleme.

Abgesehen davon bringt die Hardware noch weitere Besonderheiten mit sich. Das Produkt verfügt über zwei Glasfaseranschlüsse und erlaubt an seinen USB-Ports den Einsatz generischer LTE-Modems. Es lassen sich also auch drahtlose Netzwerkverbindungen herstellen. Als Datenspeicher wurde eine 32 GByte große SSD implementiert, so dass genug Speicherplatz zur Verfügung steht, um lokal Logs aufzuzeichnen, was sehr sinnvoll ist, da in Industrieumgebungen oft kein Syslog-Server oder ähnliches zur Verfügung steht. Ein redundantes Netzteil schließt den Lieferumfang der Lösung ab.

Der Test

Im Test ließen wir die SNi40 ein paar Wochen lang laufen, machten uns mit ihrem Funktionsumfang vertraut und wickelten unseren Datenverkehr darüber ab. Außerdem nahmen wir die internen und externen Interfaces der SNi40 mit diversen Sicherheitsprodukten wie Nmap, Nessus und Metasploit unter die Lupe und führten zudem mehrere Angriffe auf die genannten Netzwerkanschlüsse aus, beispielsweise DoS-Attacken. Dabei analysierten wir, ob sich die Appliance aus dem Tritt bringen ließ und ob sie irgendwelche überflüssigen Informationen, die einem Angreifer helfen könnten, im Netz bereitstellte.

Das Web-Interface

Loggt sich ein Administrator während der Arbeit beim Konfigurationswerkzeug der SNi40 ein, so landet er in einem Dashboard, das ihm eine Übersicht über die Schnittstellen der Appliance, die aktuellen Alarme, die Ressourcenauslastung mit der aktuellen Temperatur und die Systemeigenschaften bietet. Außerdem weist das Dashboard auf vorhandene Konfigurationsprobleme hin, beispielsweise wenn das Konfigurationsinterface über die externe Schnittstelle erreichbar ist.

Das Konfigurationsmenü der Firewall enthält neben dem Dashboard Funktionen zum Verwalten der Administratorkonten, zum Managen der Lizenz, zum Einspielen von Updates, zum Sichern und Wiederherstellen der Konfiguration, zum Einrichten einer Hochverfügbarkeitskonfiguration und zum Aufrufen einer Kommandozeile über die die Administratoren direkt über ihren Browser CLI-Befehle auf der Appliance ausführen können.

Die Regeln

Der Bereich "Sicherheitsrichtlinie" stellt das Herzstück der Lösung dar, da hier die Regeln für den Datenverkehr festgelegt werden. An erster Stelle findet sich hier der Eintrag "Filter/NAT". Die Filterregeln dienen dazu, den Web-Verkehr durchzulassen oder zu blockieren. Ihre Abarbeitung erfolgt über eine Liste, das heißt, Regeln die sich in der Liste an einer tieferen Position befinden, berücksichtigt das System nur dann, wenn ihre Inhalte nicht bereits durch eine höherplatzierte Policy abgedeckt worden sind. Uns fiel im Test positiv auf, dass das Konfigurationswerkzeug selbstständig auf solche Sachen achtet und den zuständigen Mitarbeiter über Konfigurationsprobleme informiert, beispielsweise durch den Hinweis "Diese Regel wird nicht angewendet, weil sie bereits von der Regel 4 abgedeckt wird."

Während der Regeldefinition haben die Verantwortlichen auch Gelegenheit, für einzelne Regeln festzulegen, welche Sicherheitsfunktionen aktiviert werden sollen, beispielsweise Antivirus, IPS, Anti-Spam, Sandbox, URL-Filter, HTTP-Caching, SMTP-Filter, FTP-Filter und SSL-Filter. So ist es beispielsweise möglich, HTTP-Übertragungen nur mit aktiviertem Antivirus und IPS zuzulassen.

Im Menü zum Anwendungsschutz findet sich eine Liste mit den Protokollen, die die Lösung absichern kann. Diese lässt sich an gleicher Stelle auch bearbeiten. So ist es beispielsweise möglich, beim SSL-Protokoll anzugeben, ob die Appliance nicht unterstützte Encryption Methods zulassen soll und wie hoch die Verschlüsselungsstufe sein muss. Entsprechende Einstellungsmöglichkeiten gibt es logischerweise auch für alle anderen Protokolle.

Industrieprotokolle

In diesem Zusammenhang ist es sinnvoll, auf die von der SNi40 unterstützten Industrieprotokolle einzugehen. Dazu gehören OPC UA, EtherNet/IP, Modbus, S7 und IEC 60870-5-104. Wichtig in diesem Zusammenhang ist, dass das Stormshield-Produkt für all diese Protokolle so genannte Custom Pattern unterstützt. Mit diesen verfügen die Administratoren über die Option, Grenzwerte zu hinterlegen, mit denen sich bei Bedarf bestimmte Funktionen blockieren lassen, ohne dabei den Datenverkehr an sich zu unterbinden. Es ist auf diese Weise zum Beispiel möglich, normale Datenübertragungen aufrecht zu erhalten, aber keine Werte weiterzuleiten, die über einem Limit, wie etwa sechs liegen. Drückt ein Mitarbeiter zwölf Mal auf einen Füllknopf und versucht so fälschlicherweise zwölf Liter in ein System einzufüllen, das nur sechs Liter fasst, so erkennt die Firewall das Überschreiten des Schwellwertes und blockiert den dazugehörigen Befehl an die Füllmaschine, ohne dass die anderen Datenübertragungen dadurch beeinträchtigt werden. Die genannte Funktion ist sehr mächtig und versetzt die Verantwortlichen dazu in die Lage, jedes Detail zuzulassen oder zu blockieren und so ihre Anlagen genau abzusichern.

Die Protokolle werden im Betrieb mit Plugins analysiert. Damit sorgt Stormshield dafür, dass die Firewall einen Alarm auslöst, wenn die Rahmenbedingungen, beispielsweise des IEC-Standards nicht erfüllt werden. Die Analyse geht folglich deutlich über eine reine Signaturerkennung hinaus.

Weitere Funktionen

Der "Vulnerability Manager" analysiert im Betrieb installierte und benutzte Applikationen auf den Hosts und überprüft sie auf Angreifbarkeiten, wie beispielsweise eine veraltete Perl-Version. Arbeitet im Netz zum Beispiel ein PLC (Programmable Logic Controller) mit veralteten Diensten, die Sicherheitslücken mit sich bringen, so erkennt der Vulnerability Manager dies und übernimmt den Schutz der Datenübertragungen. So kann er die betroffene Komponente auf Wunsch automatisch in Quarantäne verschieben, was im Test erwartungsgemäß ablief.

Die "Host Reputation" lässt sich im Gegensatz dazu einsetzen, um auf dynamische Veränderungen im Verhalten einzugehen. Überschreitet ein Client wie ein PLC oder ein Rechner im Betrieb bestimmte Schwellwerte, zum Beispiel, wenn das IPS meldet, dass der Client auf ungewöhnliche Art kommuniziert, so lässt sich die Host Reputation verwenden, um nicht den gesamten Verkehr zu dem betroffenen System zu unterbinden, sondern nur seinen Zugang zu bestimmten Diensten. Im Test funktionierte das einwandfrei. In Produktionsumgebungen bringt es den Vorteil, dass die Produktion weiterlaufen kann und das Netz trotzdem geschützt ist, da etwa der LAN-Zugang einer infizierten Komponente geblockt wird, nicht aber die Steuerung eines Produktionssystems.

Sicherheits-Test

Wie bereits angesprochen, nahmen wir im Test das interne und das externe Interface der SNi40 mit diversen Security-Tools wie Nessus, Metasploit, Nmap und dem Greenbone Security Manager unter die Lupe. Außerdem führten wir auch Angriffe mit DoS-Tools und ähnlichem durch, um die Firewall aus dem Tritt zu bringen. Dabei kamen wir zu der Erkenntnis, dass die Stormshield-Lösung praktisch keine überflüssigen Dienste und Informationen im Netz bereitstellte. Nmap fand lediglich heraus, dass auf dem Produkt FreeBSD lief. DoS-Angriffe ließen die ordnungsgemäß konfigurierte SNi40 ebenfalls kalt. Während unserer Analyse traten folglich keinerlei Sicherheitslücken zu Tage.

Fazit

Die SNi40 von Stormshield stellt eine leistungsstarke Firewall-Appliance für Industrieumgebungen mit. Sie bietet nicht nur eine große Zahl an "klassischen" Sicherheitsfunktionen wie Anti-Virus, IPS, Sandbox, Anwendungskontrolle und Anti-Spam, sondern "versteht" auch viele Industrieprotokolle wie Modbus, S7 und IEC 60870-5-104. Da das Benutzerinterface genauso funktioniert, wie bei den anderen Lösungen des gleichen Herstellers und sich vom Aufbau her auch nicht besonders von den Konfigurationswerkzeugen anderer Sicherheitsprodukte für den IT-Bereich unterscheidet, sollte kein Administrator bei der Konfiguration der Lösung vor besondere Hindernisse gestellt werden.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44653294 / Firewalls)