„Angesichts vernetzter Infrastruktur- und Automatisierungssysteme spielt CIP Security eine außerordentlich wichtige Rolle beim Schutz wertvoller Investitionen und der Produktion kritischer Erzeugnisse weltweit vor böswilligen Cyberangriffen“, erklärte Dr. Al Beydoun, President und Executive Director der ODVA. (Bild: ODVA)
Vorherige Veröffentlichungen der Spezifikationen für CIP Security (CIP, Common Industrial Protocol) beinhalteten wichtige Sicherheitsmerkmale, unter anderem eine umfassende Trust Domain für eine ganze Gruppe von Geräten, Datenvertraulichkeit, Geräteauthentifizierung, Geräteidentität und Geräteintegrität. Mit dieser Cybersecurity-Netzwerkerweiterung kommt jetzt eine eng nach Benutzer und Rolle gefasste Trust Domain, eine verbesserte Geräteidentität, die den Benutzer einschließt, und die Benutzerauthentifizierung hinzu. Netzwerkprotokoll.
Sicherheit für kleine und große Systeme
Das von CIP Security bereitgestellte Benutzerauthentifizierungsprofil ermöglicht eine Authentifizierung auf Benutzerebene mit einer festgelegten Benutzerzugriffsrichtlinie, die auf definierten Rollen und einfachen Genehmigungen per lokaler und zentraler Benutzerauthentifizierung basiert. Weil CIP Security in der Lage ist, die Authentifizierung über das Gerät oder über einen zentralen Server durchzuführen, lässt sie sich in kleineren, einfachen Systemen unkompliziert implementieren, bietet aber auch bei großen, komplexen Installationen hohe Effizienz.
„CIP Security ist Teil einer umfassenden Verteidigungsstrategie und wurde als wirksame Abschreckung gegen böswillige Cyber-Angreifer konzipiert, die nach geeigneten Zielen Ausschau halten, um ganze Betriebe lahmzulegen“, sagte Jack Visoky, stellvertretender Vorsitzender der EtherNet/IP System Architecture Special Interest Group (SIG). Dr. Al Beydoun, President und Executive Director der ODVA, erklärte: „Angesichts vernetzter Infrastruktur- und Automatisierungssysteme spielt CIP Security eine außerordentlich wichtige Rolle beim Schutz wertvoller Investitionen und der Produktion kritischer Erzeugnisse weltweit vor böswilligen Cyberangriffen.“ Die ODVA werde „auch weiterhin in die zukünftige Entwicklung von CIP Security und EtherNet/IP investieren“, betonte Bedoun, um Infrastruktur- und Automatisierungssysteme gegen Angriffe zu schützen.
Im Rahmen dieses Updates bietet CIP Security eine stärkere Sicherheit auf Geräteebene mit einer eng nach Benutzer und Rolle gefassten Trust Domain, einer verbesserten Geräteidentität, die den Benutzer einschließt, und einer festen Benutzerauthentifizierung.
Die Technik von CIP Security und des CIP-Profils
CIP Security ist mit Sicherheitstechnologien ausgestattet, unter anderem
- TLS (Transport Layer Security) und DTLS (Datagram Transport Layer Security),
- Kryptografie-Protokolle, die zur Bereitstellung einer sicheren Übertragung von EtherNet/IP-Verkehr genutzt werden,
- Hashes beziehungsweise HMAC (Keyed-Hash Message Authentication Code) als kryptografische Methode zur Bereitstellung von Datenintegrität und Nachrichtenauthentifizierung für den EtherNet/IP-Verkehr sowie
- Verschlüsselung als Mittel zur Codierung von Nachrichten oder Informationen in einer Weise, die das Lesen oder Anzeigen von EtherNet/IP-Daten durch unbefugte Parteien verhindert.
Das neue CIP-Profil zur Benutzerauthentifizierung bietet Authentifizierung auf Benutzerebene für die CIP-Kommunikation auf der Anwendungsschicht. In Zukunft kann CIP Security ein CIP-Autorisierungsprofil nutzen, das CIP mit weiteren Sicherheitsmerkmalen ausstattet, zum Beispiel mit einer allgemeinen, flexiblen Autorisierung, wobei die Zugriffsrichtlinie auf einem beliebigen Attribut des Benutzers und/oder Systems basieren kann. Außerdem kann CIP Security möglicherweise so ausgeweitet werden, dass auch andere Nicht-EtherNet/IP-Netzwerke unterstützt werden.
Das neue Benutzerauthentifizierungsprofil nutzt mehrere offene, gängige, ubiquitäre Technologien, u. a. OAuth 2.0 und OpenID Connect, für eine kryptografisch geschützte Token-basierte Benutzerauthentifizierung, JSON Web Tokens (JWT) als Authentifizierungsnachweise, Benutzernamen und Kennwörter sowie bereits vorhandene X.509-Zertifikate zur Bereitstellung kryptografisch sicherer Identitäten für Benutzer und Geräte. Es verwendet eine kryptografisch sichere Benutzerauthentifizierungs-Sitzungs-ID, die nach Vorlage eines gültigen JWT durch den Benutzer vom Ziel generiert wird, um eine Zuordnung zwischen einem Authentifizierungsereignis und den von einem Benutzer für die CIP-Kommunikation gesendeten Nachrichten herzustellen. Die Benutzerauthentifizierungs-Sitzungs-ID wird mithilfe von (D)TLS und einer Verschlüsselungssammlung mit aktivierter Vertraulichkeit gemäß dem EtherNet/IP-Vertraulichkeitsprofil von CIP Security über EtherNet/IP übertragen.
(dw)
