Der Firewall-Router “Microwall Gigabit” weist dem Steuerrechner der CNC-Fräse ein dediziertes Netzwerksegment zu und schränkt die Kommunikation mit diesem Netzwerksegment durch Filterregeln stark ein. (Bild: Wiesemann & Theis)
Im Jahr 2017 fraß sich WannaCry weltweit durch Netzwerke und die mediale Öffentlichkeit. Der Kryptotrojaner nutzte eine Schwachstelle in der Datei- und Druckerfreigabe von Windows-Netzwerken aus. Er war in seiner Schadwirkung so massiv, dass Microsoft nicht nur die aktuellen Betriebssysteme patchte, sondern auch Sicherheitsupdates für Produkte bereitstellte, die bereits aus dem erweiterten Support gelaufen waren.
Damit zeigte WannaCry auf eindrucksvolle Weise, welche Gefahrenpotenziale sich aus dem Betrieb nicht notwendiger Netzwerkdienste ergeben. Es scheint naheliegend, überflüssige Dienste einfach zu deaktivieren. Nicht immer ist jedoch klar, welche Dienste es zwischen Teilkomponenten einer Anlage wirklich braucht. Darüber hinaus können Veränderungen an Maschinen unter Umständen zu einem Verlust der Zertifizierung und somit zu einem Haftungsübergang auf den Betreiber führen.
Deshalb hat Wiesemann & Theis mit der Kleinfirewall Microwall Gigabit eine einfach handzuhabende Alternative für den Schutz von Produktionssystemen entwickelt. Hierbei handelt es sich um eine einfache 2-Port-Firewall, die nach dem Whitelist-Prinzip arbeitet. Das bedeutet: Alle zulässigen Verbindungen müssen explizit freigegeben werden.
Ende des Supports droht
Doch zurück in die Fertigung: Dort ist die Fräse an einen Windows-Steuerrechner angeschlossen, auf dem die CNC-Software läuft. Dieser PC ist mit zwei Netzwerkschnittstellen ausgestattet: Eine verbindet den Rechner mit der Fräse, die andere bindet ihn in das Produktionsnetzwerk ein. Sollte für den gegenwärtigen Stand des Betriebssystems eine Sicherheitslücke entdeckt werden, ist mit einem zeitnahen Sicherheitsupdate durch Microsoft zu rechnen. Nach dem Ende des erweiterten Supports im Jahr 2020 gibt es im Normalfall jedoch keine Sicherheitsupdates mehr. Bei Bekanntwerden einer Sicherheitslücke könnte ein Angreifer versuchen, den Steuerrechner zu kompromittieren und würde im Erfolgsfall das Gerät selbst, aber auch das umgebende Netzwerk bedrohen.
Aus diesem Grund beschloss das Unternehmen die Fräse durch die Verinselung isolieren. Dabei wurde mit Hilfe der Microwall Gigabit die Fräse in ein eigenes Netzwerksegment ausgelagert und die zulässige Kommunikation mit diesem Netzwerksegment über Firewallregeln stark eingegrenzt.
Offene Ports als Sicherheitslücken
Der Firewall-Router lässt sich direkt am zu isolierenden Computer installieren. Wiesemann & Theis
Eine kurze Analyse der gegenwärtigen Situation mit dem Portscanner nmap offenbarte Beunruhigendes: Der Steuerrechner zeigte zwölf offene Ports, die im Netzwerk erreichbar sind, unter anderem einen Webserver. Ein zweiter, intensiver Scan fand insgesamt 24 offene TCP-Ports. Bei dem Webserver handelt es sich um einen unkonfigurierten Internet-Information-Server 7.5, der bekannte Schwachstellen aufweist, die zur Remote-Code-Execution führen können. Das bedeutet, dass ein Angreifer über das Netzwerk beliebige Programme ausführen kann – ein Lottogewinn für Hacker. Pikantes Detail: Der Webserver scheint nichts anderes auszuliefern als eine Informationsseite, ist also aller Wahrscheinlichkeit nach ebenso überflüssig wie die anderen offenen Ports.
Hintergrundwissen Netzwerksicherheit I
Verinselung bedeutet, besonders gefährdete Systeme im Netzwerk zu identifizieren und mit Hilfe von Kleinfirewalls wie der Microwall in einem eigenen Netzwerksegment zu isolieren. Die notwendigen Verbindungen zwischen Systemen auf der Insel und dem umgebenden Netzwerk werden im Vorfeld erfasst und durch eine Positivliste von Regeln beschrieben. So werden nur ausdrücklich zugelassene Datenpakete weitergeleitet, alle anderen verworfen und bei Bedarf protokolliert. Das schützt verinselte Systeme vor Angriffen durch Hacker oder Malware sowie vor menschlichen Fehlern.
Betriebsart und Firewall-Regeln bestimmen
Schematischer Aufbau: Bevor die Fräse auf Produktionsdaten zugreift, baut der Steuerrechner über den Zielport 445 eine SMB-Verbindung zum Fileserver mit der bekannten IP-Adresse auf. Wiesemann & Theis
Um die Konfiguration möglichst einfach zu halten, betreibt W&T die Microwall im NAT-Modus. So tritt der Steuerrechner der Fräse gar nicht erst in Erscheinung, die Microwall schlüpft sozusagen in dessen Rolle als Akteur im Netzwerk.
Eigentlich gibt es nur einen Fall, in dem die Fräse über das Netzwerk kommunizieren soll: um auf Produktionsdaten zuzugreifen. Dann muss sie eine Verbindung zum zentralen Windows-Dateiserver aufbauen dürfen. Alle anderen Verbindungen werden von der Firewall unterbunden.
Da der Steuerrechner selbst keine Ressourcen im Netzwerk bereitstellt, können eingehende Verbindungen komplett geblockt werden. Weiterhin ist die Fileserver-Freigabe, auf den die CNC-Software Zugriff erhalten soll, bekannt und eindeutig. Zudem war die IP-Adresse des Fileservers bekannt, weshalb es keine Namensauflösung braucht. Auch Komfortfunktionen wie die Suche nach Rechnern und Freigaben über das Netzwerk sind überflüssig, ebenso wie die Netbios-Transportprotokolle. Die entsprechenden Ports 137, 138 und 139 lassen sich also ignorieren und damit blocken. Für automatische Zeit-Updates könnte der UDP-Port 123, für die Namensauflösung über DNS der UPD-Port 53 freigegeben werden. Da diese Funktionen jedoch für die Funktion der Fräse ebenfalls nicht notwendig sind, bleiben auch diese geschlossen. Das Patchmanagement erfolgt über die IT-Abteilung, weshalb auch die Ports für ein automatisches Update geschlossen bleiben. Andernfalls müsste es hier die Möglichkeit zu TCP-Verbindungen zum Windows Server Update Services (WSUS)-Server geben.
Der Steuerrechner braucht einzig die Möglichkeit, eine SMB-Verbindung zum Fileserver mit der bekannten IP-Adresse aufzubauen. Das geschieht über den Zielport 445. Da diese Kommunikation über TCP erfolgt, ist der Rückkanal in der Verbindung direkt enthalten. Mit der Angabe nur einer einzigen Regel wird die Fräse nachhaltig abgesichert. Gleichzeitig ist ihre Funktion sichergestellt.
Droht ein WannaCry 2.0?
Mitte Mai 2019 gab Microsoft ein Sicherheitsupdate für eine Lücke heraus, die laut Bundesamt für Sicherheit in der Informationstechnik (BSI) eine ähnlich drastische Wirkung haben könnte wie WannaCry. Aus diesem Grund gab Microsoft abermals ein Sicherheitsupdate für längst aus dem Support gelaufene Versionen frei. Nach Angaben des Konzerns ist die Schwachstelle aus der Ferne und ohne Zutun des Nutzers ausnutzbar und ermöglicht daher einen Angriff mit Schadsoftware, die sich wurmartig selbstständig weiterverbreitet. Daher rät das BSI, den jeweiligen Patch möglichst umgehend einzuspielen. Betroffen sind alle Windows- und Windows-Server-Versionen bis einschließlich Windows 7 und Windows-Server 2008. Alternativ schützt die Microwall veraltet Systeme – wenn die Ports TCP/3389 and UDP/3389 nicht zum Zweck des Remote-Desktop-Zugriffs ausdrücklich freigegeben wurden.
Konfiguration des Firewall-Routers
Die Microwall verbindet als Router das umgebende Netzwerk mit einem isolierten Segment. Für die Schnittstellen zu beiden Netzwerken braucht die Microwall jeweils eine IP-Konfiguration, denn
- die Angabe einer Netzwerkbezeichnung erleichtert dem Administrator später die Zuordnung von Regeln.
- die ursprüngliche IP-Konfiguration des Steuerrechners wird für das öffentliche Interface übernommen. Abgesehen von der Hardware-Adresse ändert sich im umgebenden Netzwerk nichts.
- auf der Inselseite wird der Einfachheit halber das klassische 192.168.1.0/24-Netz gewählt. Für dieses Netzwerk dient die Microwall als Standardgateway und erhält die Adresse 192.168.1.1
IP-Konfiguration des Steuerrechners
Konfiguration des Netzwerk-Interfaces der Mircowall und Management der eingehenden Dienste Wiesemann & Theis
Der Steuerrechner erhält die IP 192.168.1.10. Als Standardgateway wird ihm die Microwall Gigabit zugewiesen. Im letzten Schritt richtet das Unternehmen die notwendige Firewall-Regel ein. Der Steuerrechner muss eine TCP-Verbindung über Port 445 zu dem Produktionsdatenserver mit der IP-Adresse 10.10.10.100 aufbauen können.
Mit dieser Maßnahme wurde per Microwall die CNC-Fräse innerhalb weniger Minuten in einem eigenen Netzwerksegment verinselt. Um die Funktion sicherzustellen, reichte die Angabe einer einzigen Firewall-Regel aus. Im Nebeneffekt wurden unter anderem die NetBIOS-Protokolle für die Datei- und Druckerfreigabe unterdrückt und so Details über die Fräse hinter der Firewall verborgen.
Hintergrundwissen Netzwerksicherheit II
Eine weitere verbreitete Technik zur Verbesserung der Sicherheit in Unternehmensnetzwerken ist, diese nach Abteilungen in kleinere Segmente zu untergliedern. Die Kommunikation zwischen diesen Subnetzen wird von Firewallroutern überwacht, gesteuert und protokolliert. Paketfilter hindern Angreifer und Schadsoftware, denen es gelingt, in eines der Subnetze einzudringen, sich weiter auszubreiten. Eine Maßnahme zur weiteren Steigerung der Sicherheit ist das gezielte Isolieren einzelner Systeme und Funktionseinheiten in einem jeweils eigenen Netzwerksegment. So lassen sich auch besonders gefährdete Geräte effektiv schützen. Möglich macht dies das Internetprotokoll IP, mit dem sich Daten über Netzwerkgrenzen hinweg austauschen lassen. Dabei leiten verschiedene Router die in IP-Paketen gekapselten Informationen zu ihrem Ziel. Diese Routing-Eigenschaft machen sich Netzwerkadministratoren zu Nutze, um Unternehmensnetze in miteinander verbundene Subnetze zu unterteilen. Dabei werden z.B. die Rechner der Verwaltung dem Subnetz der Verwaltung zugewiesen, auch Maschinen in der Produktion erhalten ein eigenes Netzwerksegment, genauso wie die Arbeitscomputer in der Abteilung Forschung & Entwicklung. Jedes dieser Netzsegmente wird über einen Router an das umgebende Unternehmensnetz angebunden. Jegliche Kommunikation zwischen den Subnetzen läuft über die Router.
Martin Reimann
(ml)
