Das Webinar zur Port-Sicherheit am 27. Mai 2020 behandelt Strategien zur Absicherung von Netzwerkanschlüssen in kritischen Infrastrukturen, einschließlich der Verwendung von MAC-Filtern und 802.1x für den Zugriffsschutz. Es werden Best Practices für die Deaktivierung ungenutzter Ports und deren Überwachung per SNMP vorgestellt. Fragen können über das Chatfenster gestellt werden, und die Präsentation wird aufgezeichnet.

1. Port Security – Wir starten in Kürze
Westermo Cyber Security Webinar
Conny Kern & Erwin Lasinger
27. Mai 2020

2. 2
Ultra Robuste Hardware in stahlblau
Kompaktes Metallgehäuse
Umgebungstemperatur
-40°C bis +70°C
Höchste Qualität und
sicheres Betriebssystem
Gebaut aus hochwertigen
Komponenten
Keine Lüfter und sonstige
beweglichen Teile
Ohne zusätzliche Öffnungen
zum Schutz vor Schmutz,
Staub und Spritzwasser
Zulassungen auf höchster
Ebene

3. 3
Vortragender
Thema:
Port Security
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Erwin Lasinger
Industrial Cyber Security Expert
erwin.lasinger@westermo.at
+43 720 303920 11
+43 676 897262211

4. 4
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet

5. 5
Live Stream
▪ Sie können den Live-Stream auch entsprechend stoppen und wieder starten
▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke

6. Port Security
Erwin Lasinger

7. 7
Was bedeutet Port Security?
▪ Anschluss an das Netzwerk verhindern
▪ Kritische Infrastrukturen sind sehr verteilt / dezentral
▪ Schaltschränke im Freien
▪ Einfacher Zugang zu Netzwerkanschlüssen
▪ Wo kann Port Security angewendet werden
▪ Verkabeltes Ethernet
▪ WLAN – als Netzwerkanschluss!

8. 8
Wo beginnt Port Security?
▪ Port Security sind nicht nur Funktionen des Switches / Netzwerks
▪ Absicherung des physikalischen Zugriffs
▪ Zaun
▪ Gebäude
▪ Schaltschrankschlüssel
▪ Türkontakt
▪ Videoüberwachung
▪ Alarmanlage

9. 9
Möglichkeiten – MAC Filter
▪ Der Switch lässt nur bekannte MAC-Adressen auf das Netzwerk zugreifen
▪ Kontrolle der Source-MAC im Datenpaket
▪ Vorteile:
▪ Einfache Absicherung des Anschlusses von industriellen Komponenten
▪ Vollständige Integration in WeConfig
▪ Für Endgeräte, welche keine anderen Möglichkeiten bieten, ideal
▪ Nachteile:
▪ Gerätetausch, wenn nicht mit Wildcards (*) gearbeitet wird
▪ Relativ einfach auszuhebeln, da Angreifer die MAC-Adresse am Angriffssystem verändern können

10. 10
Was ist eine MAC-Adresse eigentlich?
▪ Geräte, die an ein Übertragungsmedium angeschlossen sind, müssen über ihre
eindeutige MAC-Adresse (Media Access Control) identifiziert werden können.
▪ Sie sind weltweit eindeutig und werden normalerweise vom Hersteller bei der
Produktion im Gerät programmiert.
▪ MAC der Netzwerkkarte
▪ (kann mit ipconfig /all ausgelesen werden –
DOS-Eingabeaufforderung)
▪ Spezielle MAC Adressen für Multicast / VRRP / HA, …
▪ So sieht ein Datenpaket aus:
Preamble
Destination MAC Source MAC
802.1Q
CRC/FCS
Preamble
Destination MAC Source MAC
EtherType
Size
Payload

11. 11
Konfiguration in WeOS
Trunk Ports müssen ausgenommen werden

12. 12
WeConfig

13. 13
XRD Serie

14. 14
Möglichkeiten – 802.1X
▪ Um auf das Netzwerk zugreifen zu können, muss man sich anmelden
▪ Anmeldung am Netzwerk über 802.1X auf RADIUS Server
▪ Vorteile:
▪ Anmeldung am Netzwerk mit User/Passwort
▪ Vollständige Integration in WeConfig
▪ Sehr gute Absicherung, da dies nicht von der MAC-Adresse abhängig ist
▪ Zentrale Userdatenbank
▪ Nachteile:
▪ Externer Server (RADIUS) erforderlich
▪ Externer Server muss entsprechend gewartet / gehärtet sein

15. 15
Was ist 802.1X? LAN Netzwerk
Authenticator
Authentication Server
RADIUS
Supplicant
Port – Start
EAPoL – Start
EAP – Request/Identity
EAP – Response/Identity
Radius-Access-Request
Radius-Access-Challenge
EAP – Request (Credentials)
EAP – Response (Credentials)
Radius-Access-Request
Radius-Access-Challenge
EAP – Success
Zugriff geblockt
Zugriff gewährt
Client – Switch
Kommunikation
Switch – Radius Server
Kommunikation
EAP = Extensible Authentication Protocol
EAPoL = EAP over LAN
RADIUS = Remote Authentication Dial-In
User Service
Abkürzungen

16. 16
Konfiguration in WeOS
Trunk Ports müssen ausgenommen werden

17. 17
WeConfig

18. 18
Ungenutzte Ports deaktivieren
▪ Alle nicht verwendeten Ports sollten deaktiviert werden
▪ Somit ist ein Zugriff über diese Ports nicht mehr möglich
▪ Port geht gar nicht auf UP – als wäre kein Netzwerkkabel gesteckt
▪ Vollständige Integration in WeConfig
▪ WeConfig bringt auch einen Hinweis dazu beim Security Scan
▪ Diese Art von Netzwerk-Härtung kann über einen Wizzard direkt in WeOS ausgeführt
werden

19. 19
WeConfig

20. 20
Ports deaktivieren – weitere Möglichkeiten
▪ Auto Disable
▪ Wenn ein Port auf Down geht, bleibt er down, bis dieser erneut manuell aktiviert wird
▪ Timeout ist einstellbar
▪ Kann für prozessrelevante Komponenten möglicherweise ein Problem darstellen

21. 21
Ports deaktivieren – weitere Möglichkeiten
▪ Temporary Enable
▪ Ist ein Port deaktiviert, kann dieser temporär aktiviert werden
▪ Deaktiviert sich wieder automatisch, nachdem der Port auf Down gegangen ist
▪ Timeout ist einstellbar

22. 22
Ports per SNMP monitoren
▪ Ports per Network Management System (NMS) oder vom Prozessleitsystem, sofern diese
SNMP unterstützt, überwachen
▪ Bei Port Down / Up auf jeden Fall Kontrolle, warum das Ereignis eingetreten ist
▪ OID-Nummer für ETH-Ports:
▪ 1.3.6.1.2.1.2.2.1.8.X
▪ Port 1: X = 4096
▪ Port 2: X = 4097
▪ Port 3: X = 4098
▪ …
▪ IF-Index Nummer kann in WeOS auch angepasst werden

23. 23
Eigentlich ein „Muss“:
▪ Nicht genutzte Ports deaktivieren
▪ Port-Status per SNMP überwachen
Eigentlich ein „Soll“:
▪ Ports per 802.1X absichern, sofern die
Endgeräte es unterstützen
▪ Alle anderen Ports per MAC-Filter absichern
Generelle Empfehlungen

24. 24
Fragen?

25. 25
Weitere Webinare
▪ Alle Webinare / Aufzeichnungen sind zu finden unter:
▪ https://www.westermo.de/news-and-events/webinars
▪ Weitere Webinare der Cyber Security-Reihe:
▪ Zonierung & Firewalling (TbD)
▪ WAN Interfaces absichern (TbD)
▪ VPN (TbD)
▪ Logging & IDS (TbD)
▪ Einladungen werden über WeSecure Newsletter verteilt:
▪ https://www.westermo.de/news-and-
events/newsletters/wesecure

26. 26