SlideShare ist ein Scribd-Unternehmen logo
1 von 33
Firewall
Westermo Technologie Webinar
Erwin Lasinger
28. Juli 2022
2
Thema:
Firewall
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Erwin Lasinger
Industrial Cyber Security Expert
erwin.lasinger@westermo.com
+43 720 303920 11
+43 676 897262211
Vortrag
3
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
4
Live Stream
▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten
▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
5
▪ RedFox 7528 wurde vorgestellt
▪ WeOS5-Support
▪ 19‘‘ L2 Switch
▪ 4x 10G SFP+ Slot
▪ 12x 1G SFP Slot
▪ 12x 1G ETH Ports
▪ IEC62443-4-2 Compliant
▪ EN50121-4 und vieles mehr
https://www.westermo.de/products/ethernet-
switches/rack/redfox-7528-f4g10-f12g-t12g-lv
Anfragen unter info.de@westermo.com
RedFox 7528 –
Erster 10G Ethernet Switch
Grundlagen Firewall
7
Grundlagen Firewall – OSI Modell
Physical
Layer 1 WLAN, RJ-45, SHDSL
Data Link
Layer 2 ARP, MAC(-Adressen), PPP
Network
Layer 3 IP(-Adressen), ESP, OSPF, ICMP
Transport
Layer 4 TCP, UDP
Session
Layer 5 PPTP, SIP
Presentation
Layer 6 ASCII, SSL, TLS
Application
Layer 7 POP3, SSH, DHCP, FTP
Switch
Router, Firewall
8
▪ Überwacht den Datenverkehr
▪ Als Software am PC selbst
▪ Als HW-Firewall im Netzwerk zwischen 2 Subnetzen
▪ Es gibt unterschiedliche Typen von Firewalls
▪ Anhand eines Regel-Sets werden Datenpakete
durchgelassen oder blockiert
Grundlagen Firewall
192.168.1.0/24
192.168.2.0/24
9
Firewalls sind etwas neues für uns?
Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
10
Typen von Firewalls
▪ Paketfilter
▪ Schaut lediglich auf die Netzwerkadresse des Absenders bzw. Empfängers (IP-Adresse und Port)
▪ Stateful Inspection
▪ Hier wird der Verbindungsstatus überwacht. Somit ist es schwieriger unerlaubten Zugriff zu
gelangen.
▪ Per default deaktiviert und über die Console aktivierbar
▪ Deep Packet Inspection
▪ Analysiert zusätzlich zu den Funktionen oben auch den Inhalt des Datenpaketes.
Ist aber sehr rechenaufwendig und ggf. komplex einzustellen.
▪ WeOS unterstützt DPI Regeln für Modbus TCP
▪ Eine Hardware Firewall ersetzt keinen Virenschutz bzw. Software Firewall am PC
11
Unterschiede IT / OT Firewall-Anforderungen
IT
VS.
OT
Dynamisches Netzwerk Sehr starres Netzwerk
Ständig änderndes Userverhalten Kein Userverhalten und somit ist der
Datenverkehr nicht allzu variabel
Sehr ausgereifte Systeme Sehr oft ist eine Stateful Inspection
ausreichend
Eher Komplex Geringe Komplexität
Blacklisting-Ansatz Whitelisting-Ansatz
Platziert im Serverraum Verbaut im industriellen Umfeld
Laufende Updatekosten
Lebensdauer von einigen Jahren
Kurzer Einblick - Zonierung
13
▪ Zonierung = Aufteilung eigenständige Segmente
▪ Verhindert das Übergreifen von Problemen
▪ Zonen werden über Conduits verbunden
▪ So ein Conduit wird per Firewall überwacht
▪ Zonen ergeben sich nach Schutzbedarf &
geographischer Lage
▪ Lokales SPS Netzwerk
▪ Prozessleittechnik
▪ Management PCs
▪ Office Netzwerk
Was ist eine Zonierung? Zone 1
Zone 4
Zone 5
Zone 3
Zone 2
14
Zonierung etwas neues für uns?
Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
Weitere Firewall-
Funktionen
16
NA(P)T
▪ NAT (Network Address Translation)
▪ NAPT (Network Address and Port Translation)
▪ Bedeutet dass in der Regel die Absender-IP bzw. Port verändert wird
▪ Normalerweise auf die Adresse des Outgoing Interfaces
▪ Wird zum Beispiel benötigt damit das Paket den Weg retour finden kann
▪ Somit wird zum Beispiel auch kein Default Gateway in der SPS unten benötigt
192.168.1.10:36267
192.168.2.40:102
192.168.1.10:36267
192.168.2.40:102
192.168.2.254:48521
192.168.2.40:102
192.168.2.254:48521
192.168.2.40:102
192.168.1.0/24 192.168.2.0/24
NAPT
17
1-to-1 NAT (Stateless NAT)
▪ Gleich wie das NAPT, nur wird hier je nach
Richtung auch die Destination IP geändert
▪ Abfrage zum Ziel: Destination IP wird geändert
▪ Abfrage vom Ziel: Source IP wird geändert
▪ Wird verwendet um Anlagen mit
identischen IP-Adressen anzubinden
▪ WeOS Gerät hat die 1-TO-1 NAT Adresse
(parallel zur eigenen IP-Adresse) und leitet
alles an das eigentliche Ziel weiter
▪ Ggf. müssen noch Firewallregeln konfiguriert
werden
10.0.0.0/24
.40
.254
192.168.2.0/24
10.0.0.23/24
1-TO-1 NAT
.40
.254
192.168.2.0/24
10.0.0.22/24
1-TO-1 NAT
.40
.254
192.168.2.0/24
10.0.0.21/24
1-TO-1 NAT
Anlage 1: 10.0.0.21
Anlage 2: 10.0.0.22
Anlage 3: 10.0.0.23
18
Port Forwarding
▪ Hier wird im Gegensatz zum 1-TO-1 NAT nur ein spezieller Port an das Endgerät
weitergeleitet.
▪ WeOS besitzt hier keine separate IP-Adresse für das Endgerät am WAN Interface
192.168.1.10:36267
192.168.1.20:102
192.168.1.10:36267
192.168.1.20:102
192.168.1.10:36267
192.168.2.40:102
192.168.1.10:36267
192.168.2.40:102
192.168.1.0/24
192.168.2.0/24
192.168.1.10:54738
192.168.1.20:103
192.168.1.10:54738
192.168.2.41:102 192.168.1.10:54738
192.168.2.41:102
192.168.1.10:54738
192.168.1.20:103
19
ALG Helpers
▪ Application Layer Gateway Helper – Layer 7
▪ Firewall monitored den Datenverkehr
▪ Gibt dann bei Bedarf Ports für die
Verbindung frei
▪ Protokolle bei den ALG benötigt wird
▪ (T)FTP
▪ SIP
▪ PPTP
▪ …
FTP Server
20 Data 21 Cmd
FTP Client
5150 Cmd 5151 Data
Beispiel: Aktives FTP
Spezifikationen &
Konfiguration anhand
eines Beispiels
21
Wie ist nun so eine Firewall
aufgebaut?
▪ Es gibt unterschiedliche Chains denen die
Datenpakete zugeordnet werden
▪ Input-Chain
Datenpakete an die Firewall gerichtet (Bsp: Management)
▪ Output-Chain
Datenpakete von der Firewall (Bsp: DHCP Requests)
▪ Forward-Chain
Datenpakete durch die Firewall (Bsp: Modbus
TCP zwischen 2 Steuerungen)
▪ Ggf Chains für Logging, …
▪ Regelset wird von oben nach unten durchlaufen
▪ Die erst passende Regel wird herangezogen
▪ Ende ist immer die Default Regel
▪ Allow / Deny all | Black- / Whitelisting
Input
Fwd
Out
Logging
22
▪ 2 VLANs
▪ VLAN2 & VLAN3
▪ Bzw. beim XRD – LAN & LAN2
▪ Siemens PLC Kommunikation
▪ Leitsystem-Netzwerk: 192.168.2.0/24
▪ Siemens PLC: 192.168.3.40
▪ Port / Protokoll: 102/TCP
Unsere Beispiel Regel
PLS-Net
192.168.2.0/24
192.168.2.0/24
Siemens PLC
192.168.3.40
23
Firewall in WeOS4
▪ Per Default deaktiviert
▪ Unterstützt von der erweiterten WeOS-Version
▪ Gerätetypen mit 2XX | L210-F2G | DDW-242 | RFIR-227-F4G-T7G | …
▪ Achtung auf die Performance
▪ Je nach Hardware (Lynx, RedFox, …) und Paketgröße von einigen Mbit/s bis mehreren 100Mbit/s
▪ Es gibt versteckte Firewall-Regeln, welche das System automatisch anlegt
▪ IPSec / OpenVPN – Input
▪ DNS – Input
▪ DHCP – Input
▪ Management – Input
▪ Teilweise können diese Regeln umgangen werden, indem eine Deny-Regel für den Port / Protokoll
angelegt wird
▪ Teilweise DPI Firewallregeln möglich – Modbus TCP
24
Firewall in WeOS4
Wenn leer, dann Input Chain
Wenn leer, dann any-Interface
Position in der Liste der Regeln
Allow Regel oder Deny Regel
Muss-Feld, wenn Ports angegeben werden
Absender-Adresse / Subnetz
Absender-Port, in der Regel undefiniert
Ziel-Adresse / Subnetz
Ziel-Port, wenn angegeben, muss das
Protokoll definiert werden
Logging der Regel – Kernel.log
25
Firewall in WeOS5
▪ Per Default deaktiviert
▪ Unterstützt von der erweiterten WeOS-Version
▪ Gerätetypen -E- | L5512-E-F4G-T8G | RedFox-5528-E-… | …
▪ Achtung auf die Performance
▪ Performance liegt bei mehreren 100Mbit/s, abhängig von der Paketgröße
▪ Es gibt keine versteckten Firewall-Regeln
▪ Alle Regeln müssen von Hand angelegt werden
▪ Management - Input
▪ OpenVPN - Input
▪ OSPF - Input
26
Firewall in WeOS5
Input-Chain
Forwarding-Chain
Regeln selbst quasi ident zu WeOS4
27
Firewall MRD & BRD
▪ Per Default steht die Firewall auf Allow
▪ Firewall – Access Control
▪ Generelle Management Einstellungen für Zugriff
über WLS, VPN, …
▪ Kann durch Custom Filters überschrieben werden
▪ Custom Filters
▪ Firewallregeln selbst
▪ Chains sind hier wieder erkennbar
▪ Forwarded packets (Fwd)
▪ Locally destined packets (Lcl In)
▪ Locally generated packets (Lcl Out)
Access Control
28
Firewall MRD & BRD
Filter Rule
Custom Filters
Deny Regel als neue Default Regel
Muss ganz am Ende stehen!
29
Generelle Zoneneinstellungen
▪ Standard OpenWRT-Firewall
▪ Unterteilt in Zonen
▪ Zonen werden beim Anlegen der Interfaces definiert
Firewall Merlin & GW-Serie
Zonenübergreifende
Kommunikation
Default Input Chain NAPT
Default Output Chain
Default Fwd Chain
Innerhalb der Zone
Interface-Einstellungen
30
Traffic Rules – Ausnahmen zu den Default-Einstellungen
Firewall Merlin & GW-Serie
Definition – Traffic Rule
31
Fragen?
32
Weitere Webinare
▪ Alle Webinare / Aufzeichnungen finden Sie unter:
▪ https://www.westermo.de/news-and-events/webinars
▪ Weitere Webinare:
▪ Verschlüsselung & VPN – 13.09.2022
▪ Netzwerk Monitoring – 05.10.2022
▪ Geroutete Redundanzen – 08.11.2022
▪ Einladungen werden über Newsletter verteilt:
▪ https://www.westermo.de/news-and-
events/newsletters/newsletter
▪ https://www.westermo.de/news-and-
events/newsletters/wesecure
33

Weitere ähnliche Inhalte

Ähnlich wie Firewall.pdf

450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische InfrastrukturWestermo Network Technologies
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Maximilian Wilhelm
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecurityWestermo Network Technologies
 
Switches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldSwitches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldMacKenzie Regorsek
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackDaniel Schneller
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk BackbonesMaximilian Wilhelm
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk BackbonesMaximilan Wilhelm
 
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud StackInfracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud StackEdmund Siegfried Haselwanter
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimagBelsoft
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Gunther Pippèrr
 

Ähnlich wie Firewall.pdf (20)

450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
 
WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD Mobilfunkroutern
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber Security
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
 
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
 
Switches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldSwitches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins Feld
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
 
E Security
E SecurityE Security
E Security
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud StackInfracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimag
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
 
Layer 2 Redundanzen
Layer 2 RedundanzenLayer 2 Redundanzen
Layer 2 Redundanzen
 
Firewalls
FirewallsFirewalls
Firewalls
 

Mehr von Westermo Network Technologies

Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationWestermo Network Technologies
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWestermo Network Technologies
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo Network Technologies
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityWestermo Network Technologies
 

Mehr von Westermo Network Technologies (16)

Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
 
DHCP
DHCPDHCP
DHCP
 
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
 
Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
 
SHDSL & Glasfaser
SHDSL & GlasfaserSHDSL & Glasfaser
SHDSL & Glasfaser
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communications
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet Networking
 
How to build resilient industrial networks
How to build resilient industrial networksHow to build resilient industrial networks
How to build resilient industrial networks
 
Westermo solutions for trackside networks
Westermo solutions for trackside networksWestermo solutions for trackside networks
Westermo solutions for trackside networks
 
Westermo solutions for onboard rail networks
Westermo solutions for onboard rail networksWestermo solutions for onboard rail networks
Westermo solutions for onboard rail networks
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber Security
 

Firewall.pdf

  • 2. 2 Thema: Firewall Dauer: 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Erwin Lasinger Industrial Cyber Security Expert erwin.lasinger@westermo.com +43 720 303920 11 +43 676 897262211 Vortrag
  • 3. 3 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
  • 4. 4 Live Stream ▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten ▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
  • 5. 5 ▪ RedFox 7528 wurde vorgestellt ▪ WeOS5-Support ▪ 19‘‘ L2 Switch ▪ 4x 10G SFP+ Slot ▪ 12x 1G SFP Slot ▪ 12x 1G ETH Ports ▪ IEC62443-4-2 Compliant ▪ EN50121-4 und vieles mehr https://www.westermo.de/products/ethernet- switches/rack/redfox-7528-f4g10-f12g-t12g-lv Anfragen unter info.de@westermo.com RedFox 7528 – Erster 10G Ethernet Switch
  • 7. 7 Grundlagen Firewall – OSI Modell Physical Layer 1 WLAN, RJ-45, SHDSL Data Link Layer 2 ARP, MAC(-Adressen), PPP Network Layer 3 IP(-Adressen), ESP, OSPF, ICMP Transport Layer 4 TCP, UDP Session Layer 5 PPTP, SIP Presentation Layer 6 ASCII, SSL, TLS Application Layer 7 POP3, SSH, DHCP, FTP Switch Router, Firewall
  • 8. 8 ▪ Überwacht den Datenverkehr ▪ Als Software am PC selbst ▪ Als HW-Firewall im Netzwerk zwischen 2 Subnetzen ▪ Es gibt unterschiedliche Typen von Firewalls ▪ Anhand eines Regel-Sets werden Datenpakete durchgelassen oder blockiert Grundlagen Firewall 192.168.1.0/24 192.168.2.0/24
  • 9. 9 Firewalls sind etwas neues für uns? Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
  • 10. 10 Typen von Firewalls ▪ Paketfilter ▪ Schaut lediglich auf die Netzwerkadresse des Absenders bzw. Empfängers (IP-Adresse und Port) ▪ Stateful Inspection ▪ Hier wird der Verbindungsstatus überwacht. Somit ist es schwieriger unerlaubten Zugriff zu gelangen. ▪ Per default deaktiviert und über die Console aktivierbar ▪ Deep Packet Inspection ▪ Analysiert zusätzlich zu den Funktionen oben auch den Inhalt des Datenpaketes. Ist aber sehr rechenaufwendig und ggf. komplex einzustellen. ▪ WeOS unterstützt DPI Regeln für Modbus TCP ▪ Eine Hardware Firewall ersetzt keinen Virenschutz bzw. Software Firewall am PC
  • 11. 11 Unterschiede IT / OT Firewall-Anforderungen IT VS. OT Dynamisches Netzwerk Sehr starres Netzwerk Ständig änderndes Userverhalten Kein Userverhalten und somit ist der Datenverkehr nicht allzu variabel Sehr ausgereifte Systeme Sehr oft ist eine Stateful Inspection ausreichend Eher Komplex Geringe Komplexität Blacklisting-Ansatz Whitelisting-Ansatz Platziert im Serverraum Verbaut im industriellen Umfeld Laufende Updatekosten Lebensdauer von einigen Jahren
  • 12. Kurzer Einblick - Zonierung
  • 13. 13 ▪ Zonierung = Aufteilung eigenständige Segmente ▪ Verhindert das Übergreifen von Problemen ▪ Zonen werden über Conduits verbunden ▪ So ein Conduit wird per Firewall überwacht ▪ Zonen ergeben sich nach Schutzbedarf & geographischer Lage ▪ Lokales SPS Netzwerk ▪ Prozessleittechnik ▪ Management PCs ▪ Office Netzwerk Was ist eine Zonierung? Zone 1 Zone 4 Zone 5 Zone 3 Zone 2
  • 14. 14 Zonierung etwas neues für uns? Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
  • 16. 16 NA(P)T ▪ NAT (Network Address Translation) ▪ NAPT (Network Address and Port Translation) ▪ Bedeutet dass in der Regel die Absender-IP bzw. Port verändert wird ▪ Normalerweise auf die Adresse des Outgoing Interfaces ▪ Wird zum Beispiel benötigt damit das Paket den Weg retour finden kann ▪ Somit wird zum Beispiel auch kein Default Gateway in der SPS unten benötigt 192.168.1.10:36267 192.168.2.40:102 192.168.1.10:36267 192.168.2.40:102 192.168.2.254:48521 192.168.2.40:102 192.168.2.254:48521 192.168.2.40:102 192.168.1.0/24 192.168.2.0/24 NAPT
  • 17. 17 1-to-1 NAT (Stateless NAT) ▪ Gleich wie das NAPT, nur wird hier je nach Richtung auch die Destination IP geändert ▪ Abfrage zum Ziel: Destination IP wird geändert ▪ Abfrage vom Ziel: Source IP wird geändert ▪ Wird verwendet um Anlagen mit identischen IP-Adressen anzubinden ▪ WeOS Gerät hat die 1-TO-1 NAT Adresse (parallel zur eigenen IP-Adresse) und leitet alles an das eigentliche Ziel weiter ▪ Ggf. müssen noch Firewallregeln konfiguriert werden 10.0.0.0/24 .40 .254 192.168.2.0/24 10.0.0.23/24 1-TO-1 NAT .40 .254 192.168.2.0/24 10.0.0.22/24 1-TO-1 NAT .40 .254 192.168.2.0/24 10.0.0.21/24 1-TO-1 NAT Anlage 1: 10.0.0.21 Anlage 2: 10.0.0.22 Anlage 3: 10.0.0.23
  • 18. 18 Port Forwarding ▪ Hier wird im Gegensatz zum 1-TO-1 NAT nur ein spezieller Port an das Endgerät weitergeleitet. ▪ WeOS besitzt hier keine separate IP-Adresse für das Endgerät am WAN Interface 192.168.1.10:36267 192.168.1.20:102 192.168.1.10:36267 192.168.1.20:102 192.168.1.10:36267 192.168.2.40:102 192.168.1.10:36267 192.168.2.40:102 192.168.1.0/24 192.168.2.0/24 192.168.1.10:54738 192.168.1.20:103 192.168.1.10:54738 192.168.2.41:102 192.168.1.10:54738 192.168.2.41:102 192.168.1.10:54738 192.168.1.20:103
  • 19. 19 ALG Helpers ▪ Application Layer Gateway Helper – Layer 7 ▪ Firewall monitored den Datenverkehr ▪ Gibt dann bei Bedarf Ports für die Verbindung frei ▪ Protokolle bei den ALG benötigt wird ▪ (T)FTP ▪ SIP ▪ PPTP ▪ … FTP Server 20 Data 21 Cmd FTP Client 5150 Cmd 5151 Data Beispiel: Aktives FTP
  • 21. 21 Wie ist nun so eine Firewall aufgebaut? ▪ Es gibt unterschiedliche Chains denen die Datenpakete zugeordnet werden ▪ Input-Chain Datenpakete an die Firewall gerichtet (Bsp: Management) ▪ Output-Chain Datenpakete von der Firewall (Bsp: DHCP Requests) ▪ Forward-Chain Datenpakete durch die Firewall (Bsp: Modbus TCP zwischen 2 Steuerungen) ▪ Ggf Chains für Logging, … ▪ Regelset wird von oben nach unten durchlaufen ▪ Die erst passende Regel wird herangezogen ▪ Ende ist immer die Default Regel ▪ Allow / Deny all | Black- / Whitelisting Input Fwd Out Logging
  • 22. 22 ▪ 2 VLANs ▪ VLAN2 & VLAN3 ▪ Bzw. beim XRD – LAN & LAN2 ▪ Siemens PLC Kommunikation ▪ Leitsystem-Netzwerk: 192.168.2.0/24 ▪ Siemens PLC: 192.168.3.40 ▪ Port / Protokoll: 102/TCP Unsere Beispiel Regel PLS-Net 192.168.2.0/24 192.168.2.0/24 Siemens PLC 192.168.3.40
  • 23. 23 Firewall in WeOS4 ▪ Per Default deaktiviert ▪ Unterstützt von der erweiterten WeOS-Version ▪ Gerätetypen mit 2XX | L210-F2G | DDW-242 | RFIR-227-F4G-T7G | … ▪ Achtung auf die Performance ▪ Je nach Hardware (Lynx, RedFox, …) und Paketgröße von einigen Mbit/s bis mehreren 100Mbit/s ▪ Es gibt versteckte Firewall-Regeln, welche das System automatisch anlegt ▪ IPSec / OpenVPN – Input ▪ DNS – Input ▪ DHCP – Input ▪ Management – Input ▪ Teilweise können diese Regeln umgangen werden, indem eine Deny-Regel für den Port / Protokoll angelegt wird ▪ Teilweise DPI Firewallregeln möglich – Modbus TCP
  • 24. 24 Firewall in WeOS4 Wenn leer, dann Input Chain Wenn leer, dann any-Interface Position in der Liste der Regeln Allow Regel oder Deny Regel Muss-Feld, wenn Ports angegeben werden Absender-Adresse / Subnetz Absender-Port, in der Regel undefiniert Ziel-Adresse / Subnetz Ziel-Port, wenn angegeben, muss das Protokoll definiert werden Logging der Regel – Kernel.log
  • 25. 25 Firewall in WeOS5 ▪ Per Default deaktiviert ▪ Unterstützt von der erweiterten WeOS-Version ▪ Gerätetypen -E- | L5512-E-F4G-T8G | RedFox-5528-E-… | … ▪ Achtung auf die Performance ▪ Performance liegt bei mehreren 100Mbit/s, abhängig von der Paketgröße ▪ Es gibt keine versteckten Firewall-Regeln ▪ Alle Regeln müssen von Hand angelegt werden ▪ Management - Input ▪ OpenVPN - Input ▪ OSPF - Input
  • 27. 27 Firewall MRD & BRD ▪ Per Default steht die Firewall auf Allow ▪ Firewall – Access Control ▪ Generelle Management Einstellungen für Zugriff über WLS, VPN, … ▪ Kann durch Custom Filters überschrieben werden ▪ Custom Filters ▪ Firewallregeln selbst ▪ Chains sind hier wieder erkennbar ▪ Forwarded packets (Fwd) ▪ Locally destined packets (Lcl In) ▪ Locally generated packets (Lcl Out) Access Control
  • 28. 28 Firewall MRD & BRD Filter Rule Custom Filters Deny Regel als neue Default Regel Muss ganz am Ende stehen!
  • 29. 29 Generelle Zoneneinstellungen ▪ Standard OpenWRT-Firewall ▪ Unterteilt in Zonen ▪ Zonen werden beim Anlegen der Interfaces definiert Firewall Merlin & GW-Serie Zonenübergreifende Kommunikation Default Input Chain NAPT Default Output Chain Default Fwd Chain Innerhalb der Zone Interface-Einstellungen
  • 30. 30 Traffic Rules – Ausnahmen zu den Default-Einstellungen Firewall Merlin & GW-Serie Definition – Traffic Rule
  • 32. 32 Weitere Webinare ▪ Alle Webinare / Aufzeichnungen finden Sie unter: ▪ https://www.westermo.de/news-and-events/webinars ▪ Weitere Webinare: ▪ Verschlüsselung & VPN – 13.09.2022 ▪ Netzwerk Monitoring – 05.10.2022 ▪ Geroutete Redundanzen – 08.11.2022 ▪ Einladungen werden über Newsletter verteilt: ▪ https://www.westermo.de/news-and- events/newsletters/newsletter ▪ https://www.westermo.de/news-and- events/newsletters/wesecure
  • 33. 33