Produktionsanlagen waren in der Vergangenheit meist isolierte, vom restlichen Firmennetzwerk getrennte, autonome Inseln. Dementsprechend kamen dort meist Netzwerkprotokolle zur Steuerung der Anlagen zum Einsatz, bei deren Design der Fokus auf Verfügbarkeit und Robustheit lag. Aspekte der sicheren Kommunikation kamen zu kurz. Auch heute basieren Netzwerkumgebungen in größeren Produktionslandschaften noch auf veralteten Sicherheitsstandards – sofern es welche gibt. Zudem sind dort Geräte verschiedenster Hersteller verbaut. Von der Anlagensteuerung über SPSen bis hin zu Engineering Workstations und Human Machine Interfaces – homogene Landschaften sind, anders als im IT-Umfeld, in der Operational Technology (OT) eine Seltenheit. Da in historisch gewachsenen Produktionsnetzwerken stetig neue Anlagen und Steuerungen hinzugekommen sind, ist deshalb häufig über die Jahre die Übersichtlichkeit der Kommunikationsbeziehungen und der im Einsatz befindlichen Protokolle verloren gegangen. Eine Netzwerksegmentierung findet meist nicht statt.
Flache Produktionsnetze kombiniert mit veralteten Protokollen machen es Cyberkriminellen heute einfach, Schwachstellen aufzuspüren und diese auszunutzen. Häufig werden beispielsweise Steuerungsanlagen, die auf Microsoft Windows basieren, nur in definierten Wartungszeiträumen gepached. In der Zwischenzeit sind sie möglichen Angreifern ausgesetzt. Garantievereinbarungen mit den Anlagenherstellern verbieten es Betreibern zudem häufig, notwendige Security Patches einzuspielen, da nur der Hersteller Änderungen vornehmen darf. Damit wirken sie oft erst mit deutlicher Verzögerung. Aus Security-Perspektive eine inakzeptable Situation.
Vorteile der Segmentierung
Um ein Mindestmaß an Sicherheit in Produktionsnetze zu bringen, sollten sie segmentiert werden. Dies hat folgende Vorteile:
- Einschränkung der Sichtbarkeit von Geräten untereinander
- Reduzierung der Broadcast-Last und dadurch eine höhere Leistung
- Einfachere Fehlerbehebung von falsch konfigurierten Geräten (zum Beispiel irrtümlich aktivierter DHCP-Server)
- Definierte Zugriffe zwischen einzelnen Segmenten
- Einfache Abgrenzung von Netzbereichen im Fall von Problemen
Dabei ist es nebensächlich, ob beispielsweise nach Fertigungsbereich, nach Anlage (logische Segmentierung) oder nach anderen Kriterien, wie nach Patchbarkeit von Systemen, segmentiert wird. Auch eine Mischung aus beidem ist denkbar.
Viele Hersteller von Netzwerkverteilern (Switches) können ein Netz heute in Subnetze per VLAN (Virtual LAN) segmentieren. Eine physikalische Umstrukturierung ist nicht nötig und die entsprechende Flexibilität für zukünftige Anforderungen und Änderungen bleibt im Netzwerk erhalten. Die Segmentierung erfolgt auf den Layern 2 und 3 des OSI-Modells (Referenzmodell für Netzwerkprotokolle, dargestellt in Schichten/Layers) und wird von modernen Switchen unterstützt. Im Gegensatz zu einer Segmentierung auf Layer 3, die mit einer Anpassung der IP-Adressstruktur verbunden ist, kann es in einzelnen Anwendungsfällen besser sein, auf Layer 2 zu segmentieren. Dies ist dann für die Anlage transparent, da sich die IP-Adressstruktur nicht verändert. In den meisten Fällen ist es jedoch nicht nötig, die Anlagenkomponenten anzupassen.
Firewalls – die nächste Generation
Doch wie lassen sich Kommunikationsbeziehungen und verwendete Protokolle sichtbar machen? Eine traditionelle Port-basierte Firewall ist hier kein zeitgemäßes Mittel mehr, da Kommunikationsbeziehungen erst einmal bekannt sein müssen, um diese gegebenenfalls blockieren zu können. Zudem würde dies dem grundlegenden Ansatz der Port-basierten Firewall ‚deny all, allow some‘ widersprechen. Auf ein bestehendes Produktionsnetzwerk übertragen, würde dies bedeuten, dass zuerst die komplette Produktion still steht, bevor ein entsprechendes Regelwerk implementiert ist, das alle Kommunikationsvorgaben berücksichtigt. Mit Blick auf die Verfügbarkeitsanforderung einer Anlage ist dies unmöglich, aus Sicherheitsgesichtspunkten aber eigentlich zwingend erforderlich. Helfen kann hier die aktuelle Generation der Next-Generation Firewalls (NGFW).
Ein Switch Port wird als Monitoring Port konfiguriert, um Netzwerkverkehr von einem, mehreren oder allen Ports des Switches zu spiegeln und bspw. zur weiteren Analyse auszuleiten.
So sind NGFWs heute problemlos in vorhandene Infrastrukturen integrierbar. Hierbei spielt es keine Rolle, ob bereits eine Netzwerksegmentierung durch VLANs durchgeführt wurde oder ob es sich um ein flaches Produktionsnetz handelt. Lediglich ein sogenannter SPAN (Switched Port Analyzer) oder Monitoring Port sollte an einem Core Switch – dem zentralen Punkt, an dem jeglicher Netzwerkverkehr vorbeigeführt wird – zur Verfügung stehen, um der NGFW den entsprechenden Traffic im Netzwerk zuzuführen. Viele Hersteller bieten entsprechende Teststellungen an, um die Leistungsfähigkeit des Produkts im Live-Betrieb zu demonstrieren. Die NGFW wird zu Beginn im sogenannten Monitoring/TAP Mode betrieben. In diesem passiven Modus zeigt sie alle Kommunikationsbeziehungen sowie die eingesetzten Protokolle innerhalb des Netzes an, ohne dass der Datenverkehr manipuliert oder gar blockiert wird. Somit erlangen Betreiber zu Beginn einer Teststellung einen Einblick in den herrschenden Netzwerkverkehr. Gleichzeitig bekommen sie eine komplette Übersicht über die verwendeten Applikationen innerhalb des Netzwerkes sowie eine Ansicht, welche Anwendung über welche Kommunikationsverbindung kommuniziert und welche Teilnehmer daran beteiligt sind.
NGFWs unterteilen das Netzwerk in Security-Zonen, die einen logischen Container abbilden. Diese logischen Container bestehen wiederum aus den physikalischen Schnittstellen der Firewall, den definierten VLANs, IP-Adressbereichen oder einer Kombination daraus. Eine NGFW verwendet die definierten Security-Zonen dann, um die Quell- und Zieladresse eindeutig zu identifizieren. Bevor die Firewall nun beginnt, Netzwerkverkehr zu verarbeiten, muss zu Beginn jedes Interface einer definierten Security-Zone zugewiesen werden. Das heißt, dass jedes Netzsegment innerhalb der Firewall durch eine Security-Zone repräsentiert wird. Dadurch lässt es sich kontrollieren. Mithilfe eines Zonenmodells entsteht also ein übersichtliches Regelwerk zur Kontrolle der Kommunikation.
Aber es kommt noch eine weitere Stärke der Firewalls zum Tragen: NGFWs ermöglichen es, den Netzwerkverkehr auf der Ebene der Applikation und der Benutzer zu filtern. Administratoren können relativ einfach Regeln anhand der genutzten Applikation oder des eingesetzten Protokolls filtern, ohne dass Quell-IP, Ziel-IP und der verwendete TCP-Port bekannt sein müssen. Einige Hersteller unterstützen die im Produktions- und Automatisierungsumfeld relevanten Protokolle, zum Beispiel Modbus. Ist ein Microsoft Active Directory oder eine andere verzeichnisbasierte Benutzerverwaltung (zum Beispiel LDAP) in der Produktion vorhanden, ist eine direkte Kopplung zwischen der Firewall und dem Verzeichnisdienst möglich. Der Datenverkehr kann dann sogar auf Benutzer- und Gruppenebene gefiltert werden.
Neben den Filtermöglichkeiten, die eine NGFW bietet, können Betreiber sie auch einsetzen, um zwei oder mehrere Netzwerke miteinander zu verbinden. Hierbei steht Bridging auf Layer 2 und Layer 3 oder vollständiges Routing zur Verfügung. Administratoren erhalten so die Möglichkeit, bis auf die Ebene einzelner Produktionsanlagen zu segmentieren und den Netzwerkverkehr zu erlauben oder zu verbieten.
Aktive Angriffserkennung ohne SIEM
Neben der Netzwerksegmentierung und Filterung von Netzwerkverkehr sind aktuelle NGFWs auch in der Lage, Angriffe innerhalb des Netzwerks zu erkennen. Durch eine fortlaufende Analyse des Netzwerkverkehrs erfassen sie aktiv Viren, Würmer und Malware anhand spezifischer Signaturen. Dabei kann der Netzwerkverkehr von betroffenen Systemen direkt geblockt werden oder es wird je nach Konfiguration lediglich eine Warnung herausgegeben. Des Weiteren überprüft und analysiert ein integriertes Next-Generation Intrusion Prevention System (NGIPS) den kompletten Datenverkehr auf Unregelmäßigkeiten. Erkennt es Unregelmäßigkeiten oder Angriffe, kann es diese sofort blockieren. Hierdurch wird einer Infiltration der Anlage durch fehlerhaften Datenstrom oder durch Ausnutzen von Schwachstellen innerhalb der Anlagensoftware ein Riegel vorgeschoben, ohne dass die eigentliche Anlagenfunktion beeinträchtigt wird. All dies lässt sich wieder basierend auf Zonen definieren und ermöglicht damit einen Echtzeitschutz der Anlagenkomponenten. Um im Falle von Unregelmäßigkeiten oder Angriffen geeignete Maßnahmen treffen zu können, bieten Next-Generation Firewalls in der Regel umfangreiche Reports an.
Sichere Produktionsinfrastrukturen sind also machbar. Der Weg vom flachen Produktionsnetz der Vergangenheit hin zu einem strukturierten und in Security-Zonen aufgeteilten Produktionsnetz führt über den Einsatz moderner Next-Generation Firewalls. Flexibilität in der Bereitstellung, sei es auf Layer 2 oder Layer 3, sowie die Nutzung von anwendungs- und benutzerbasierter Kommunikationskontrolle ermöglichen eine einfache Integration in Bestandsumgebungen. Moderne Erkennungstechnologien für Angriff und Malware bringen einen zusätzlichen Echtzeitschutz in die Produktionsumgebung. So einfach lässt die Spinne im digitalen Produktionsnetz ihre Feinde ins Netz gehen.
Christopher Knöll
(mns)