SlideShare ist ein Scribd-Unternehmen logo
Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy
Webinar Teil 1:
Sicheres Netzwerkmanagement
Erwin Lasinger
2
Westermo Gruppe 2020
▪ 1975 gegründet
▪ Hersteller von sicheren Routern
und Switchen für die kritische
Infrastruktur
▪ Entwicklung und Produktion in
Schweden, Irland und der Schweiz
▪ Niederlassungen und
Vertriebspartner weltweit
▪ Niederlassung Deutschland, auch
verantwortlich für Österreich und
Schweiz
3
Referent
Erwin Lasinger
Industrial Cyber Security Expert
Thema:
Sicheres Netzwerkmanagement
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
4
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy
Sicheres Netzwerkmanagement
Erwin Lasinger
Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy
Umfrage
Erwin Lasinger
7
Umfrage
Hatten Sie bereits praktische Erfahrung mit sicherem Netzwerkmanagement?
www.menti.com
Code: 11 22 97
Ergebnis
8
Warum Cyber Security?
9
Versuchen wir uns doch mal als Angreifer!
PC zum
Management des
Netzwerks
Router in der OT
Umgebung
192.168.2.11/24
Angreifer
192.168.2.10/24
HTTP Management Zugriff
10
Stimmt – Passwort mitlesen – Langweilig!
PC zum
Management des
Netzwerks
Router in der OT
Umgebung
192.168.2.11/24 192.168.2.10/24
Konfiguration des IPSec Tunnels
Angreifer
11
Zurück zur Umfrage
Hatten Sie bereits praktische Erfahrung mit sicherem Netzwerkmanagement?
Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy
Möglichkeiten der Konfiguration?
Erwin Lasinger
13
Webinterface
▪ HTTP (Hypertext Transfer Protocol) –
▪ Protokoll zur Übertragung der
Daten einer Webseite
▪ HTTPS (Sicheres HTTP)
▪ HTTP wird nicht mehr im
Klartext übertragen
▪ Verschlüsselung ist
Zertifikatsbasierend
▪ Schutz für Integrität und
Vertraulichkeit
▪ Gleich wie bei E-Banking
14
Console / SSH
▪ Zugriff auch die Secure Shell des Gerätes
▪ Putty oder anderes Terminal
notwendig
▪ 100%iger Funktionsumfang
steht zur Verfügung
▪ Verschlüsselung ist
Zertifikatsbasierend
▪ Schutz für Integrität und
Vertraulichkeit
15
WeConfig
▪ Westermo Konfigurationstool
▪ Konfiguration von VLANs,
Interfaces, Ringen, SNMP
▪ Sicherung von Geräte-
Konfigurationen
▪ Netzwerkdokumentation
▪ Security Funktionen
▪ Firmware Update
Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy
Was sind nun Zertifikate?
Erwin Lasinger
17
Zertifikate
▪ Ein Zertifikat besteht aus 2 Schlüssel
▪ Einen öffentlichen Schlüssel - Verschlüsseln
▪ Einen privaten Schlüssel – Entschlüsseln
▪ Signatur von Telegrammen
▪ Signatur wird mit privatem Schlüssel erstellt
▪ Überprüfung erfolgt mit öffentlichem Schlüssel
▪ CA als Zertifizierungsstelle
▪ CA muss vertrauenswürdig sein
▪ CA erstellt dann die Zertifikate für die
Teilnehmer / Geräte
▪ Gültigkeit von Zertifikaten beachten
▪ Privater Schlüssel / CA besonders
schützenswert
Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy
Wie mache ich es nun richtig?
Erwin Lasinger
19
Goldene Regeln für Ihre Netzwerksicherheit
▪ Achten Sie auf das „S“ in den Protokollen
▪ HTTPS statt HTTP
▪ SSH statt Telnet
▪ SNMPv3 statt SNMPv2
20
Das goldene „S“
▪ Deaktivierung von unsicheren Protokollen am einfachsten mit WeConfig
▪ HTTP & IPConfig deaktivieren
▪ Zugriff per SNMPv3 aktivieren
▪ Telnet ist per default bereits deaktiviert!
21
Goldene Regeln für Ihre Netzwerksicherheit
▪ Achten Sie auf das „S“ in den Protokollen
▪ HTTPS statt HTTP
▪ SSH statt Telnet
▪ SNMPv3 statt SNMPv2
▪ Ändern Sie zwingend das Passwort Ihrer Komponenten
▪ Achten Sie auf ausreichend Komplexität in Ihrem Passwort
▪ Vergeben Sie unterschiedliche Passwörter auf den Geräten
▪ Verwenden Sie für sichere Passwortablage einen Passwort-Manager
22
Ihr sicheres Passwort
▪ Wie ist ein Passwort sicher?
▪ Mindestens 8 Zeichen (je mehr desto besser)
▪ Mix aus Buchstaben, Zahlen und Sonderzeichen
▪ Verwenden Sie keine Passwort-Generatoren aus
dem Internet
▪ Unterschiedliche Passwörter / Passwort-Manager
▪ Übertragen Sie Ihre Passwörter im Netzwerk
immer verschlüsselt! – HTTPS, SSH
23
Beispiele gefällig?
https://hpi.de/pressemitteilungen/2019/die-beliebtesten-deutschen-passwoerter-2019.html
24
Goldene Regeln für Ihre Netzwerksicherheit
▪ Achten Sie auf das „S“ in den Protokollen
▪ HTTPS statt HTTP
▪ SSH statt Telnet
▪ SNMPv3 statt SNMPv2
▪ Ändern Sie zwingend das Passwort Ihrer Komponenten
▪ Achten Sie auf ausreichend Komplexität in Ihrem Passwort
▪ Vergeben Sie unterschiedliche Passwörter auf den Geräten
▪ Verwenden Sie für sichere Passwortablage einen Passwort-Manager
▪ Limitierung des Zugriffs
▪ Führen Sie ein eigenes VLAN für das Management der Geräte ein
▪ Limitieren Sie den Zugriff auf IP-Adressen sofern möglich
25
Management VLAN?
▪ VLANs generell separieren den Datenverkehr
über die Netzwerkinfrastruktur
▪ VLAN für Office IT
▪ VLAN für die Leittechnikebene
▪ Steuerungs VLAN
▪ Management VLAN
▪ Das Management der Infrastruktur kann
somit nur über das entsprechende VLAN
vorgenommen werden
▪ Nur in diesem VLAN sind die Management
Services aktiviert
▪ Jedoch lediglich die sicheren Services
26
Management Services
▪ Mangagement Services sind:
▪ HTTP
▪ HTTPS
▪ SSH
▪ SNMP
▪ Telnet (deaktiviert per default)
▪ IPConfig
▪ Management Services können pro Interface
definiert werden
▪ Ping auf das Interface ist in der Firewall einzustellen
27
Zugriff limitieren – aber sicher!
▪ Auf Routern mit integrierter Firewall haben Sie die Möglichkeit, den Zugriff auf
bestimmte IP-Adressen zu limitieren
▪ Firewall aktivieren
▪ Filterregel erstellen
▪ Management Services im Interface
deaktivieren
Die Konfiguration muss zwingend über HTTPS / SSH
erfolgen., bzw. kann in WeConfig das Advanced
User Interface aktiviert und so die SSH
Befehle an mehrere Geräte gesendet werden.
28
Sichere Netzwerkkonfiguration – leicht gemacht
▪ WeConfig
▪ Einfacher Zugriff auf die Geräte per HTTPS, SSH, SNMPv3
▪ Firmwareupdate leicht und schnell
▪ Made Easy Konfiguration der Geräte
▪ Management der Konfigurationen direkt im Tool (inkl. Diff-Viewer)
▪ Integrierte Hardening Funktionen
▪ Unsichere Protokolle deaktivieren
▪ Scan nach Standard Passwörtern
▪ Benachrichtigung bei Schwachstellen /
Firmwareupdates
Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy
Umfrage
Erwin Lasinger
30
Umfrage
Welche Maßnahmen haben Sie bereits Umgesetzt?
www.menti.com
Code: 40 33 53
Ergebnis
Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy
Zusammenfassung
Erwin Lasinger
32
Goldene Regeln für Ihre Netzwerksicherheit
▪ Achten Sie auf das „S“ in den Protokollen
▪ HTTPS statt HTTP
▪ SSH statt Telnet
▪ SNMPv3 statt SNMPv2
▪ Ändern Sie zwingend das Passwort Ihrer Komponenten
▪ Achten Sie auf ausreichend Komplexität in Ihrem Passwort
▪ Vergeben Sie unterschiedliche Passwörter auf den Geräten
▪ Verwenden Sie für sichere Passwortablage einen Passwort-Manager
▪ Limitierung des Zugriffs
▪ Führen Sie ein eigenes VLAN für das Management der Geräte ein
▪ Limitieren Sie den Zugriff auf IP-Adressen sofern möglich
33
Zurück zur Umfrage
Welche Maßnahmen haben Sie bereits Umgesetzt?
Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy
Fragen?
Erwin Lasinger
35
Kontaktdaten
Erwin Lasinger
Industrial Cyber Security Expert
erwin.lasinger@westermo.at
+43 720 303920 11
36
Folgende Webinare & WeSecure
1. Sicheres Netzwerkmanagement
2. Port Security
3. Zonierung & Firewalling
4. WAN Interfaces absichern
5. VPN
6. Logging & IDS
Ihre Einladung erhalten Sie am einfachsten über den WeSecure Newsletter.
Registrierung unter https://www.westermo.de/news-and-events/newsletters/wesecure
37
Creating the World’s Most
Robust Networks
Creating the World’s Most
Robust Networks

Weitere ähnliche Inhalte

Was ist angesagt?

SHDSL & Glasfaser
SHDSL & GlasfaserSHDSL & Glasfaser
WLAN
WLANWLAN
Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
Westermo Network Technologies
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
markusmarkert
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimag
Belsoft
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMP
Gerrit Beine
 
E Security
E SecurityE Security
E Security
Udo Ornik
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
Thierry Zoller
 
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
Tim Riemann
 
AKCP securityProbe 5E-X60 - Überwachung von bis zu 60 potentialfreien Kontakten
AKCP securityProbe 5E-X60 - Überwachung von bis zu 60 potentialfreien KontaktenAKCP securityProbe 5E-X60 - Überwachung von bis zu 60 potentialfreien Kontakten
AKCP securityProbe 5E-X60 - Überwachung von bis zu 60 potentialfreien Kontakten
Didactum
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Maximilian Wilhelm
 
LMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonLMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool Daemon
Sven Nierlein
 
Wlan sicherheit
Wlan sicherheitWlan sicherheit
Wlan sicherheit
Michael Semper
 
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionSicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Gerrit Beine
 
Sicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPSicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMP
Gerrit Beine
 
Funktechnologien im Smart Home - Möglichkeiten und Herausforderungen
Funktechnologien im Smart Home - Möglichkeiten und HerausforderungenFunktechnologien im Smart Home - Möglichkeiten und Herausforderungen
Funktechnologien im Smart Home - Möglichkeiten und Herausforderungen
Kai Kreuzer
 
CheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaCheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebula
OpenNebula Project
 

Was ist angesagt? (17)

SHDSL & Glasfaser
SHDSL & GlasfaserSHDSL & Glasfaser
SHDSL & Glasfaser
 
WLAN
WLANWLAN
WLAN
 
Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimag
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMP
 
E Security
E SecurityE Security
E Security
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
 
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
 
AKCP securityProbe 5E-X60 - Überwachung von bis zu 60 potentialfreien Kontakten
AKCP securityProbe 5E-X60 - Überwachung von bis zu 60 potentialfreien KontaktenAKCP securityProbe 5E-X60 - Überwachung von bis zu 60 potentialfreien Kontakten
AKCP securityProbe 5E-X60 - Überwachung von bis zu 60 potentialfreien Kontakten
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
 
LMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonLMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool Daemon
 
Wlan sicherheit
Wlan sicherheitWlan sicherheit
Wlan sicherheit
 
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionSicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
 
Sicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPSicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMP
 
Funktechnologien im Smart Home - Möglichkeiten und Herausforderungen
Funktechnologien im Smart Home - Möglichkeiten und HerausforderungenFunktechnologien im Smart Home - Möglichkeiten und Herausforderungen
Funktechnologien im Smart Home - Möglichkeiten und Herausforderungen
 
CheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaCheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebula
 

Ähnlich wie Sicheres Netzwerkmanagement - Industrieller Cyber Security

Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
Westermo Network Technologies
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
Westermo Network Technologies
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
Westermo Network Technologies
 
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Trivadis
 
Firewall.pdf
Firewall.pdfFirewall.pdf
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
Westermo Network Technologies
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
Westermo Network Technologies
 
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk EMEA
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Westermo Network Technologies
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
Gunther Pippèrr
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
Westermo Network Technologies
 
Industry 4.0 in a box
Industry 4.0 in a boxIndustry 4.0 in a box
Industry 4.0 in a box
Tillmann Eitelberg
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
BCC - Solutions for IBM Collaboration Software
 
IP-Schutz im Siemens TIA Portal
IP-Schutz im Siemens TIA PortalIP-Schutz im Siemens TIA Portal
IP-Schutz im Siemens TIA Portal
team-WIBU
 
conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014
conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014
conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014
mVISEAG
 
Domino HTTP Security - Neuerungen
Domino HTTP Security - NeuerungenDomino HTTP Security - Neuerungen
Domino HTTP Security - Neuerungen
Belsoft
 
ServHouse
ServHouseServHouse
ServHouse
CamData
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
NoCodeHardening
 
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Splunk EMEA
 

Ähnlich wie Sicheres Netzwerkmanagement - Industrieller Cyber Security (20)

Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
 
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
 
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
 
Industry 4.0 in a box
Industry 4.0 in a boxIndustry 4.0 in a box
Industry 4.0 in a box
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
 
IP-Schutz im Siemens TIA Portal
IP-Schutz im Siemens TIA PortalIP-Schutz im Siemens TIA Portal
IP-Schutz im Siemens TIA Portal
 
conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014
conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014
conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014
 
Domino HTTP Security - Neuerungen
Domino HTTP Security - NeuerungenDomino HTTP Security - Neuerungen
Domino HTTP Security - Neuerungen
 
ServHouse
ServHouseServHouse
ServHouse
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
 

Mehr von Westermo Network Technologies

Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Network Technologies
 
Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
Westermo Network Technologies
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
Westermo Network Technologies
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
Westermo Network Technologies
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
Westermo Network Technologies
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
Westermo Network Technologies
 
DHCP
DHCPDHCP
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
Westermo Network Technologies
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
Westermo Network Technologies
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
Westermo Network Technologies
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Westermo Network Technologies
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo Network Technologies
 
How to build resilient industrial networks
How to build resilient industrial networksHow to build resilient industrial networks
How to build resilient industrial networks
Westermo Network Technologies
 
Westermo solutions for trackside networks
Westermo solutions for trackside networksWestermo solutions for trackside networks
Westermo solutions for trackside networks
Westermo Network Technologies
 
Westermo solutions for onboard rail networks
Westermo solutions for onboard rail networksWestermo solutions for onboard rail networks
Westermo solutions for onboard rail networks
Westermo Network Technologies
 

Mehr von Westermo Network Technologies (15)

Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
 
Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
 
DHCP
DHCPDHCP
DHCP
 
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communications
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet Networking
 
How to build resilient industrial networks
How to build resilient industrial networksHow to build resilient industrial networks
How to build resilient industrial networks
 
Westermo solutions for trackside networks
Westermo solutions for trackside networksWestermo solutions for trackside networks
Westermo solutions for trackside networks
 
Westermo solutions for onboard rail networks
Westermo solutions for onboard rail networksWestermo solutions for onboard rail networks
Westermo solutions for onboard rail networks
 

Sicheres Netzwerkmanagement - Industrieller Cyber Security

  • 1. Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy Webinar Teil 1: Sicheres Netzwerkmanagement Erwin Lasinger
  • 2. 2 Westermo Gruppe 2020 ▪ 1975 gegründet ▪ Hersteller von sicheren Routern und Switchen für die kritische Infrastruktur ▪ Entwicklung und Produktion in Schweden, Irland und der Schweiz ▪ Niederlassungen und Vertriebspartner weltweit ▪ Niederlassung Deutschland, auch verantwortlich für Österreich und Schweiz
  • 3. 3 Referent Erwin Lasinger Industrial Cyber Security Expert Thema: Sicheres Netzwerkmanagement Dauer: 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt
  • 4. 4 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
  • 5. Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy Sicheres Netzwerkmanagement Erwin Lasinger
  • 6. Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy Umfrage Erwin Lasinger
  • 7. 7 Umfrage Hatten Sie bereits praktische Erfahrung mit sicherem Netzwerkmanagement? www.menti.com Code: 11 22 97 Ergebnis
  • 9. 9 Versuchen wir uns doch mal als Angreifer! PC zum Management des Netzwerks Router in der OT Umgebung 192.168.2.11/24 Angreifer 192.168.2.10/24 HTTP Management Zugriff
  • 10. 10 Stimmt – Passwort mitlesen – Langweilig! PC zum Management des Netzwerks Router in der OT Umgebung 192.168.2.11/24 192.168.2.10/24 Konfiguration des IPSec Tunnels Angreifer
  • 11. 11 Zurück zur Umfrage Hatten Sie bereits praktische Erfahrung mit sicherem Netzwerkmanagement?
  • 12. Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy Möglichkeiten der Konfiguration? Erwin Lasinger
  • 13. 13 Webinterface ▪ HTTP (Hypertext Transfer Protocol) – ▪ Protokoll zur Übertragung der Daten einer Webseite ▪ HTTPS (Sicheres HTTP) ▪ HTTP wird nicht mehr im Klartext übertragen ▪ Verschlüsselung ist Zertifikatsbasierend ▪ Schutz für Integrität und Vertraulichkeit ▪ Gleich wie bei E-Banking
  • 14. 14 Console / SSH ▪ Zugriff auch die Secure Shell des Gerätes ▪ Putty oder anderes Terminal notwendig ▪ 100%iger Funktionsumfang steht zur Verfügung ▪ Verschlüsselung ist Zertifikatsbasierend ▪ Schutz für Integrität und Vertraulichkeit
  • 15. 15 WeConfig ▪ Westermo Konfigurationstool ▪ Konfiguration von VLANs, Interfaces, Ringen, SNMP ▪ Sicherung von Geräte- Konfigurationen ▪ Netzwerkdokumentation ▪ Security Funktionen ▪ Firmware Update
  • 16. Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy Was sind nun Zertifikate? Erwin Lasinger
  • 17. 17 Zertifikate ▪ Ein Zertifikat besteht aus 2 Schlüssel ▪ Einen öffentlichen Schlüssel - Verschlüsseln ▪ Einen privaten Schlüssel – Entschlüsseln ▪ Signatur von Telegrammen ▪ Signatur wird mit privatem Schlüssel erstellt ▪ Überprüfung erfolgt mit öffentlichem Schlüssel ▪ CA als Zertifizierungsstelle ▪ CA muss vertrauenswürdig sein ▪ CA erstellt dann die Zertifikate für die Teilnehmer / Geräte ▪ Gültigkeit von Zertifikaten beachten ▪ Privater Schlüssel / CA besonders schützenswert
  • 18. Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy Wie mache ich es nun richtig? Erwin Lasinger
  • 19. 19 Goldene Regeln für Ihre Netzwerksicherheit ▪ Achten Sie auf das „S“ in den Protokollen ▪ HTTPS statt HTTP ▪ SSH statt Telnet ▪ SNMPv3 statt SNMPv2
  • 20. 20 Das goldene „S“ ▪ Deaktivierung von unsicheren Protokollen am einfachsten mit WeConfig ▪ HTTP & IPConfig deaktivieren ▪ Zugriff per SNMPv3 aktivieren ▪ Telnet ist per default bereits deaktiviert!
  • 21. 21 Goldene Regeln für Ihre Netzwerksicherheit ▪ Achten Sie auf das „S“ in den Protokollen ▪ HTTPS statt HTTP ▪ SSH statt Telnet ▪ SNMPv3 statt SNMPv2 ▪ Ändern Sie zwingend das Passwort Ihrer Komponenten ▪ Achten Sie auf ausreichend Komplexität in Ihrem Passwort ▪ Vergeben Sie unterschiedliche Passwörter auf den Geräten ▪ Verwenden Sie für sichere Passwortablage einen Passwort-Manager
  • 22. 22 Ihr sicheres Passwort ▪ Wie ist ein Passwort sicher? ▪ Mindestens 8 Zeichen (je mehr desto besser) ▪ Mix aus Buchstaben, Zahlen und Sonderzeichen ▪ Verwenden Sie keine Passwort-Generatoren aus dem Internet ▪ Unterschiedliche Passwörter / Passwort-Manager ▪ Übertragen Sie Ihre Passwörter im Netzwerk immer verschlüsselt! – HTTPS, SSH
  • 24. 24 Goldene Regeln für Ihre Netzwerksicherheit ▪ Achten Sie auf das „S“ in den Protokollen ▪ HTTPS statt HTTP ▪ SSH statt Telnet ▪ SNMPv3 statt SNMPv2 ▪ Ändern Sie zwingend das Passwort Ihrer Komponenten ▪ Achten Sie auf ausreichend Komplexität in Ihrem Passwort ▪ Vergeben Sie unterschiedliche Passwörter auf den Geräten ▪ Verwenden Sie für sichere Passwortablage einen Passwort-Manager ▪ Limitierung des Zugriffs ▪ Führen Sie ein eigenes VLAN für das Management der Geräte ein ▪ Limitieren Sie den Zugriff auf IP-Adressen sofern möglich
  • 25. 25 Management VLAN? ▪ VLANs generell separieren den Datenverkehr über die Netzwerkinfrastruktur ▪ VLAN für Office IT ▪ VLAN für die Leittechnikebene ▪ Steuerungs VLAN ▪ Management VLAN ▪ Das Management der Infrastruktur kann somit nur über das entsprechende VLAN vorgenommen werden ▪ Nur in diesem VLAN sind die Management Services aktiviert ▪ Jedoch lediglich die sicheren Services
  • 26. 26 Management Services ▪ Mangagement Services sind: ▪ HTTP ▪ HTTPS ▪ SSH ▪ SNMP ▪ Telnet (deaktiviert per default) ▪ IPConfig ▪ Management Services können pro Interface definiert werden ▪ Ping auf das Interface ist in der Firewall einzustellen
  • 27. 27 Zugriff limitieren – aber sicher! ▪ Auf Routern mit integrierter Firewall haben Sie die Möglichkeit, den Zugriff auf bestimmte IP-Adressen zu limitieren ▪ Firewall aktivieren ▪ Filterregel erstellen ▪ Management Services im Interface deaktivieren Die Konfiguration muss zwingend über HTTPS / SSH erfolgen., bzw. kann in WeConfig das Advanced User Interface aktiviert und so die SSH Befehle an mehrere Geräte gesendet werden.
  • 28. 28 Sichere Netzwerkkonfiguration – leicht gemacht ▪ WeConfig ▪ Einfacher Zugriff auf die Geräte per HTTPS, SSH, SNMPv3 ▪ Firmwareupdate leicht und schnell ▪ Made Easy Konfiguration der Geräte ▪ Management der Konfigurationen direkt im Tool (inkl. Diff-Viewer) ▪ Integrierte Hardening Funktionen ▪ Unsichere Protokolle deaktivieren ▪ Scan nach Standard Passwörtern ▪ Benachrichtigung bei Schwachstellen / Firmwareupdates
  • 29. Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy Umfrage Erwin Lasinger
  • 30. 30 Umfrage Welche Maßnahmen haben Sie bereits Umgesetzt? www.menti.com Code: 40 33 53 Ergebnis
  • 31. Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy Zusammenfassung Erwin Lasinger
  • 32. 32 Goldene Regeln für Ihre Netzwerksicherheit ▪ Achten Sie auf das „S“ in den Protokollen ▪ HTTPS statt HTTP ▪ SSH statt Telnet ▪ SNMPv3 statt SNMPv2 ▪ Ändern Sie zwingend das Passwort Ihrer Komponenten ▪ Achten Sie auf ausreichend Komplexität in Ihrem Passwort ▪ Vergeben Sie unterschiedliche Passwörter auf den Geräten ▪ Verwenden Sie für sichere Passwortablage einen Passwort-Manager ▪ Limitierung des Zugriffs ▪ Führen Sie ein eigenes VLAN für das Management der Geräte ein ▪ Limitieren Sie den Zugriff auf IP-Adressen sofern möglich
  • 33. 33 Zurück zur Umfrage Welche Maßnahmen haben Sie bereits Umgesetzt?
  • 34. Robust Industrial Data Communications – Made EasyRobust Industrial Data Communications – Made Easy Fragen? Erwin Lasinger
  • 35. 35 Kontaktdaten Erwin Lasinger Industrial Cyber Security Expert erwin.lasinger@westermo.at +43 720 303920 11
  • 36. 36 Folgende Webinare & WeSecure 1. Sicheres Netzwerkmanagement 2. Port Security 3. Zonierung & Firewalling 4. WAN Interfaces absichern 5. VPN 6. Logging & IDS Ihre Einladung erhalten Sie am einfachsten über den WeSecure Newsletter. Registrierung unter https://www.westermo.de/news-and-events/newsletters/wesecure
  • 37. 37 Creating the World’s Most Robust Networks Creating the World’s Most Robust Networks