Mit den entsprechenden Sicherheitsmaßnahmen spricht nichts gegen eine Vernetzung oder einen Fernzugriff auf verschiedene Systeme (Bild: Rohde & Schwarz)
Messgeräte und Testsysteme bieten schon seit Jahrzehnten Schnittstellen zur Fernsteuerung und Messdatenübertragung. In den letzten Jahren hat sich die IP-basierte Ethernet-Vernetzung als Industriestandard etabliert, sodass die vorhandene Unternehmens-IT-Infrastruktur dafür genutzt werden kann. Heutige Messtechnikprotokolle wie VXI-11 und HiSLIP setzen darauf auf.
OT vs. IT
Was nun aus OT-Sicht (Operation Technology) durch die problemlose Handhabung Vorteile bringt, bereitet der Unternehmens-IT unter Sicherheitsaspekten Kopfzerbrechen. Denn als gängige Praxis wird eine Messtechnik-Applikation an das normale Liegenschaftsnetz angeschlossen. Über die vorhandene IT-Infrastruktur erhalten die Geräte IP-Adresse und Netzwerkzugriff, ohne dass darüber hinaus besondere Sicherheitsvorkehrungen getroffen werden müssen. Natürlich sind die Hausnetze größerer Unternehmen in der Regel professionell aufgesetzt und durch Virenscanner und Firewalls geschützt. Dass die Schutzwirkung solcher Maßnahmen aber Grenzen hat, zeigen erfolgreiche Angriffe mit Cyberschädlingen wie WannaCry, Conficker und NotPetya. Ein einzelner befallener Datenträger oder eine infizierte Maschine, die in das System eingebracht wird, kann großen Schaden anrichten, etwa, wenn Compliance-Messsysteme oder Produktionsumgebungen betroffen sind und ein Unternehmen deshalb keinen Output mehr erzielt. Totale Abschottung ist aber keine Lösung, zumal der Bedarf nach standortübergreifender Vernetzung auch für messtechnische Einrichtungen und Applikationen stetig zunimmt. Die Lösung läuft deshalb auf eine strikte Datenflusskontrolle hinaus, bei der die Kommunikation aller vernetzten Komponenten permanent und Datenpaket für Datenpaket auf Regelkonformität überwacht wird. Das gelingt nur mit einem ganzheitlichen Ansatz über alle Netzwerk- und Protokollschichten hinweg. Und führt zur Unified Firewall der aktuellsten Generation als Secure Application Gateway, das speziell für den Einsatz im T&M-Umfeld entworfen wurde.
Schutz für die vernetzte Messtechnik
Messgeräte und Testsysteme bieten schon seit Jahrzehnten Schnittstellen zur Fernsteuerung und Messdatenübertragung. In den letzten Jahren hat sich die IP-basierte Ethernet-Vernetzung als Industriestandard etabliert, sodass die vorhandene Unternehmens-IT-Infrastruktur dafür genutzt werden kann. Allerdings sehen viele Unternehmen den Sicherheitsaspekt immernoch kritisch und sind besorgt um ihre Systeme und Daten. Oftmals reichen auch die firmeninternen Sicherheitsmaßnahmen nicht aus für die speziellen Anforderungen der Messtechnik. Der Sicherheitsansatz muss zudem ganzheitlich über alle Netzwerk- und Protokollschichten hinweg gesehen werden, was zur Unified Firewall der aktuellsten Generation als Secure Application Gateway führt.
Die Unified Firewall als zentrale Datenfluss-Kontrollinstanz im vernetzten Messlabor
In der Industrie steht die Stabilität und Ausfallsicherheit der betriebswichtigen Mess- und Steuerungstechnik im Vordergrund. Die IT-Sicherheit wurde demgegenüber in der Vergangenheit oft nachrangig behandelt oder hielt einer kritischen Prüfung nicht stand. Nachdem das OT-Personal, das an isolierte, proprietäre Mess- und Steuerungssysteme gewöhnt war, sich aufgrund der technischen Entwicklung mit IP-basierter Netzwerktechnik auseinandersetzen musste, konnten kulturelle Irritationen nicht ausbleiben. Entweder hatte sich ein Netzwerkexperte mit unbekannten Maschinen und Applikationen vertraut zu machen oder ein Testprofi mit fremdartigen Netzwerkarchitekturen und IT-Sicherheitskonzepten. Da die Betriebsmittel in der Regel nicht über ausgeprägte Sicherheitsarchitekturmerkmale verfügten, mussten Unternehmen die IT-Sicherheit durch externe Maßnahmen nachrüsten, im Zweifel mit einer veralteten oder aufwendig zu konfigurierenden Firewall.
Frühere Paketfilter-Firewalls nutzten lediglich den Header des Datenpakets, um anhand der Zieladresse den Zugang über Ports zu erlauben oder zu blockieren. Anwendungen wurden also nicht über ihren Inhalt, sondern lediglich über den Zielport der Pakete identifiziert. Deshalb ließen sich Software-Applikationen nicht ohne Weiteres von Trojanern unterscheiden. Auch die Administration solcher Legacy-Firewalls über ein komplexes tabellarisches Regelwerk ist aufwendig, fehleranfällig und erfordert eine kundige Hand.
Aktuelle Firewalls (Bild 5) hingegen sind auch gegen perfide Angriffsmuster gewappnet. Nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“ werten sie nicht nur den Header aus, sondern filtern mittels Deep Packet Inspection Informationen aus den transportierten Daten und dem Kommunikationsmuster der aufgebauten Verbindung. Damit nutzen sie den Datenstrom ganzheitlich, um die Zielapplikation verlässlich zu identifizieren.
Jedes Datenpaket wird zudem einer aktiven Session zugeordnet (Stateful-Firewall-Prinzip) und verworfen, wenn es Anzeichen für ein inkonsistentes Kommunikationsverhalten gibt. Darüber hinaus lassen sich Standarddateien (pdf, docx, etc.) sowie Makros und Executables, die einen Zero-Day-Exploit ausnutzen könnten, zunächst in einer abgeschlossenen Testumgebung ausführen und analysieren (Sandboxing), sodass Schadsoftware nicht ins Produktivnetz gelangt.
Das applikationsbasierte Filtern und Routen der Datenströme durch heutige Firewalls macht es möglich, Netze für dedizierte Anwendungen sehr sicher auszulegen. Denn je besser sich die zu übertragenden Datenstrukturen und -inhalte kategorisieren lassen, desto leichter ist es, alle übrigen auszugrenzen und zu verbieten. In einem konsequent für Messtechnik ausgelegten Netz sind nur Datenverkehre möglich, die auf messtechnischen Protokollen und typischen Daten wie SCPI-Fernsteuerbefehlen basieren.
Ein solches messtechnisches (Sub-)Netz ist durch Unbefugte selbst bei bekannter IP-Adresse und offenem Internet-Zugang nicht korrumpierbar. Der operative und administrative Zugriff auf die Netzwerkkomponenten unterliegt sicheren Authentifizierungs-Mechanismen. Für die lokale rollenbasierte Nutzerauthentifizierung wie auch für den Fernzugriff über einen VPN-On-Demand-Tunnel können vorhandene AD-LDAP-Server problemlos angebunden und genutzt werden.
Dank der zentralen Rolle der Firewall als „Türhüter“ ist das messtechnische Teilnetz vom Unternehmensnetzwerk leicht isolierbar. Je nach Konfiguration nimmt die Firewall eine weitergehende Segmentierung in kleinere Einheiten vor, etwa in ein Geräte-Subnetz, das nur Messgeräte umfasst, und ein Applikations-Subnetz mit den Rechnern, auf denen messtechnische Software läuft. Diese Segmentierungstechnik erlaubt es auch, ein Gerät für die Zeit einer Fernwartung in ein Quarantäne-Netz zu verschieben, und das innerhalb von Sekunden.
Der Weg zum sicheren Netz
Die Einrichtung der Unified Firewall erfolgt offline über ein Web-Interface und einen aktuellen Webbrowser (Bild 1). Dank der grafischen Abstraktion von Netz und Regelwerk auf einem Dashboard geht die Konfiguration schnell und sicher von der Hand.
Bild 2 zeigt den grundlegenden Aufbau eines so vernetzten Messlabors. In dieser Referenzkonfiguration sind das messtechnische Gerätenetz, das Netz für Labor-PCs und Applikationsdienste sowie das übergeordnete Hausnetz strikt voneinander getrennt. Alle Datenverbindungen sowohl innerhalb des Messtechnik-Subnetzes wie auch nach außen laufen über die Firewall und das dort hinterlegte Regelwerk. Um das zu gewährleisten, folgt der Netzaufbau einer Sterntopologie. Alle Komponenten sind entweder direkt oder indirekt (z. B. über einen Switch) mit der und über die Firewall als zentralem Knotenpunkt verbunden.
Das Regelwerk umfasst statische und dynamische Verbindungsregeln. Eine statische Regel wäre zum Beispiel die Festlegung, dass der Laborrechner einen Ping ins Gerätenetz senden und die Antwort empfangen darf. Ping-Anfragen von anderen Quellen, insbesondere von außerhalb des Messgerätenetzes, würden abgewiesen.
Anspruchsvoller als eine solche statische Regel ist das Managen und Echtzeit-Filtern von Fernsteuerverbindungen, was zum Tragen kommt, wenn ein Nutzer von außerhalb des Messlabors dessen Ressourcen nutzen möchte, sei es vom selben Standort aus oder übers Internet. Dann greift die Datenkontrolle durch den dynamischen Applikationsfilter der Firewall. Typische Protokolle, die das Regelwerk einbeziehen und überwachen muss, sind die Remote-Desktop-Protokolle VNC und RDP sowie die messtechnischen LAN-Protokolle VXI-11 und HiSLIP, über die SCPI-Fernsteuerkommandos übertragen werden.
Besonders VXI-11 ist aufgrund der dem Protokoll eigenen dynamischen Portzuweisung über statische Regeln kaum sicher in den Griff zu bekommen. Der für die Fernsteuerverbindung zu nutzende Port des adressierten Messgeräts wird per Remote Procedure Call (RCP) für jede Sitzung vom Portmapper-Dienst des Messgeräte-Betriebssystems neu zugewiesen. Der Applikationsfilter der Firewall extrahiert diese Information aus dem Datenstrom und gibt den Port nur für diese eine Session frei. Die Sicherheits- und Handhabungsprobleme bei permanenter Öffnung aller für VXI-11 in Frage kommenden Ports (die sich herstellerabhängig unterscheiden und bei geändertem Gerätepark u.U. nachgeführt werden müssen) sind damit passé.
Der letzte Baustein zum Secure Application Gateway
Woher weiß der Nutzer des Messlabors überhaupt, welche Ressourcen dort gerade zur Verfügung stehen? Diese Information liefert ein T&M-spezifisches Device-Discovery-and-Management-System. Es besteht aus den R&S-Softwaretools MINX (Measurement Instrument Network eXplorer) und MINION (Measurement Instrument Network Interactive Organisational Node). MINION ist ein Netzwerkscanner, der alle Messgeräte in einem Netz findet und listet. Weil solche Scans aus Sicherheitsgründen von außerhalb des Messlabors nicht erlaubt sind, läuft der Service innerhalb des geschützten Bereichs auf dem Applikationsrechner des Labors. MINX, auf dem Arbeitsplatzrechner des Nutzers installiert, holt sich diese Information und stellt sie auf einem Dashboard dar, wo weitere Aktionen stattfinden können und insbesondere der Messgerätefernzugriff über den MINION-Service gestartet wird (Bilder 3 und 4). (prm)
