SlideShare ist ein Scribd-Unternehmen logo
1 von 31
Webinar MRD update 1.8.0.1
Wir beginnen in Kürze
Conny Kern & Marcel Bühner
06.05.2020
2
Eine Hochtechnologiegruppe, die digitale
Lösungen zur Prozessoptimierung für Industrie,
Transport, Immobilien und Infrastruktur liefert
Die Beijer Gruppe
800
Mitarbeiteranzahl 2019
€145
Gruppenumsatz 2019
Millionen
3
Neue Westermo-Logos
▪ Firmenlogo
▪ Produktlogo
▪ Softwarelogo
4
D-A-CH
Westermo Data Communications GmbH
Zentrale DACH
▪ Waghäusel (DE)
▪ Marco Gerhard (Geschäftsführer)
Zuständig für:
▪ Management
▪ Vertrieb / Marketing
▪ Auftragsabwicklung
▪ Lager / Logistik
▪ Technischer Support
▪ Ausarbeitung von Netzwerklösungen
▪ Service Center (RMA)
5
Thema:
MRD update 1.8.0.1
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Referent
Marcel Bühner
Technical Account Manager
marcel.buehner@Westermo.ch
+41 43 508 31 79
+41 79 269 49 00
6
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
7
Live Stream
▪ Sie können den Live-Stream auch entsprechend stoppen und wieder starten
▪ Dazu verwenden Sie am besten die Pause / Play Button an der linken unteren Ecke
MRD allgemein
▪ Conny Kern & Marcel Bühner
9
Die MRD Familie
▪ MRD-455
(EMEA/APAC & NA)
▪ MRD-405
▪ MRD-415
10
CVE-2020-8579
▪ Was ist die Schwachstelle?
▪ In der Open-Source Library pppd wurde eine Schwachstelle gefunden
▪ Die Schwachstelle kann ein MRD zum Absturz bringen – beliebiger Code kann ausgeführt werden
▪ CVS-Score v3: 9,8 - kritisch​
▪ Wann bin ich von der Schwachstelle betroffen?​
▪ Wenn auf dem MRD eine PPP Verbindung auf der seriellen Schnittstelle konfiguriert wurde
▪ Wann wird die Schwachstelle geschlossen?
▪ Da dieser UseCase praktisch nicht vorkommt (uns sind zumindest keine Applikationen bekannt),
wird die Schwachstelle mit dem nächsten, regulären Firmwareupdate geschlossen. Es erfolgt kein
vorgezogenes Bug Fixing.
2 Netze
▪ Conny Kern & Marcel Bühner
12
Netzwerke bisher
Da auf dem MRD die beiden LAN Ports bis
anhin geswitched waren, und auch keine
Möglichkeit zur Konfiguration von VLAN’s
(Virtuelle LAN’s) bestand, konnte das MRD
nur ein lokales Netzwerk bedienen.
▪ Nur ein Teilnehmer
▪ 2 Netzwerk Teilnehmer im selben Netz
▪ Mehrere Adressbereich / 1 Netz
In Kombination mit einem Lynx 2xx Routing
Switch als OT Firewall Router können:
▪ Netze sauber getrennt werden
▪ VLAN’s eingerichtet werden
▪ Verkehr zwischen den Netzen
eingeschränkt werden (Firewall)
PQ PQ
14
Zweites Netzwerk
Mit der Firmware 1.8.0.1 haben wir nun
die Möglichkeit, auf dem zweiten Ethernet
Port ein separates Netzwerk zu
konfigurieren.
Dadurch können nun weitere Gewerke als
separates Netzwerk angebunden werden.
Zu beachten ist, dass auch weiterhin keine
VLAN’s konfiguriert werden können.
PQ
16
Lan Interfaces Konfigurieren
Neu kann auf dem zweiten Ethernet Port ein separates Interface
konfiguriert werden.
Dazu muss die Option «Make LAN ports independent» (1)
aktiviert werden.
Danach kann das zweite Interface konfiguriert werden.
➔Checkbox «Enabled» aktivieren
Dieses Interface kann nun für ein separates lokales Netz oder
aber als Transfernetz/WAN2 genutzt werden. Es wird in der
weiteren Konfiguration des MRD’s, beispielsweise im Routing
oder in der Firewall, gleich behandelt wie die LAN Schnittstelle.
1
2
17
Zweites/alternatives Gateway: Varianten
Im MRD konnte schon immer ein zweites
Gateway konfiguriert werden. Dies
ermöglicht nun, in Kombination mit dem
zweiten LAN Anschluss, eine redundante
Anbindung der Aussenstation an die
Zentrale / das OT Netz.
Variante 1 Primäre Kommunikation über
LAN2 und Redundanz über WLS:
▪ Diese Version wird zur Zeit nicht
unterstützt.
▪ Es wird nur ein «Link Down» am lokalen
Anschluss erkannt ➔ Keine
Überwachung des gesamten Pfades!
Variante 2 Primäre Kommunikation über
WLS und Redundanz über LAN2
19
Zweites Gateway: Interface Metrik & Routing
X
!
Das aktive Default Gateway wird an Hand
der Metrik des Interfaces gewählt. Das
Interface mit der kleinsten Metrik stellt das
aktive Default Gateway.
➔So lange das Interface auf Up steht, ist
dieses aktive und somit gültig.
➔ Das sekundäre Gateway wird somit nie
aktiviert, so lange dieser «Link Up»
Status vorherrscht.
➔ Es findet keine Prüfung statt, ob das
Gateway auch erreichbar ist.
Dynamisches Routing (RIP) ist in diesem
Fall nicht hilfreich, da die «Distanz»über
den VPN Tunnel immer 1 Hop ist (=Metrik
2), und der Pfad über das Stationsnetzwerk
nicht kleiner sein kann.
21
WLS immer als primäres Gateway
Das zweite Gateway als Backup Pfad zu
gebrauchen macht besonders in der hier
gezeigten Kombination mit einer
vorhandenen aber leistungsschwachen DSL
Verbindung Sinn. Im «Normalzustand»
wird die Kommunikation über den
performanteren VPN Tunnel geführt und
nur im Störungsfall die zweite Verbindung
genommen.
Eine Umschaltung in dieser Situation kann
nur zu einem «Gewinn» führen, denn die
WLS Verbindung ist gebrochen und selbst
wenn trotz vorhandenem «Link Up» die
Verbindung zum Gateway unterbrochen
ist, bedeutet dies keine Verschlimmerung
der Situation.
23
Dual WAN
Das zweite Netzwerk bietet nun auch die
Möglichkeit, die Tunnels über eine
redundante Internetanbindung,
beispielsweise einem xDSL Anschluss oder
ein bestehendes Netzwerk, aufzubauen.
Es gelten die bekannten Einschränkungen:
WLS muss der primäre Pfad sein
Keine aktive Kontrolle, ob das Gateway
oder gar der Endpunkt erreichbar ist.
WAN2WAN1DMZ 15 4 3 267CONSOLEUSBDC+12VRESET
Master
(Primary)Backup
xDSL Mobilfunk
X
25
Statische Routen / dynamisches Routing (RIP)
Durch das Definieren von statischen
Routen wird festgelegt, über welches
Gateway die Kommunikation zu einem
bestimmten Teilnehmer oder Netz laufen
soll.
▪ Asynchrones Routing vermeiden beim
Einsatz von Firewalls
▪ Bei redundanten Einträgen gelten die
selben Einschränkungen wie bei den 2
Gateways
Wird mit dynamischem Routing RIP
gearbeitet, wird der jeweils beste
(«kürzeste») Pfad genommen. RIP zählt
dabei die Anzahl Hops (Sprünge) von
Router zu Router die benötigt werden, um
das Ziel zu erreichen.
Weitere Neuerungen
▪ Conny Kern & Marcel Bühner
28
Weitere Neuerungen in der FW 1.8.0.1
▪ Session based Web Interface mit erweitertem Authentisierensprozess
▪ LLDP (Link Layer Discovery Protokoll)
▪ mDNS (Multicast DNS) für das einfache Auffinden und Konfigurieren
▪ Link Local Adresse auf LAN Interface (169.254.x.x)
Für das MRD 405:
▪ Neu können 4 Zertifikate geladen werden
▪ Es werden bis zu 3 IPSec Tunnels unterstützt
WeConfig Integration
▪ Conny Kern & Marcel Bühner
30
First Step MRD Integration in WeConfig
31
MRD’s können nun mit WeConfig gesucht und in das Projekt eingebunden werden.
Um die volle Funktionalität nutzen zu können, muss auf dem MRD das Passwort der API Schnittstelle
konfiguriert werden. Dies geschieht direkt in WeConfig.
Damit WeConfig diese Funktion ausführen kann, muss nach einem Firmware Upgrade das Gerät in die
Werkseinstellungen gesetzt werden.
Vorgehen:
Firmware Upgrade ausführen
Factory Reset durchführen (Büroklammer)
Suchen der MRD’s über mDNS (Button «Start Scan»)
oder manuellem Einfügen mittels IP Adresse
Einbinden eines MRD’s in WeConfig
32
Einbinden eines MRD’s in WeConfig
Das MRD ist nun im Projekt integriert, es kann momentan aber
noch nicht konfiguriert werden.
Dazu sind folgende Schritte notwendig:
Unter dem Punkt «Configuration» – «Password»
muss nun das Default Passwort geändert und ein
API-Passwort vergeben werden
Nach dem betätigen von «Apply» sollte eine Bestätigung
erfolgen, dass das Passwort erfolgreich geändert wurde.
➔ Das Projekt sollte nun gesichert werden
Jetzt muss im MRD noch LLDP aktiviert werden, damit die Links
erkannt werden können
33
WeConfig und die MRD’s
Im aktuellen Integrationsschritt werden folgende Funktionen
unterstützt:
Unter dem Menüpunkt «Selected Device» sind folgende
Funktionen aktive:
▪ Properties
Hier können nun diverse Informationen zur Hardware sowie
der Zustand der WLS Verbindung ausgelesen werden
▪ Configuration Files
▪ Backups ziehen
▪ Konfigurationen In- und Exportieren
▪ Konfiguration auf das MRD laden (Restore)
▪ ➔Die «Compare» Funktion ist möglich, allerdings
werden dabei nur die beiden Binärdateien verglichen,
was ohne Nutzen ist
34
WeConfig und die MRD’s
▪ Communication Details
Hier werden die Traffic Counters der LAN Schnittstelle
angezeigt
▪ Attachements
Auch zu den MRD’s können, wie zu allen anderen Geräten,
Anhänge im Projekt mitgegeben werden.
35
WeConfig und die MRD’s
Das Basic Setup konfiguriert die LAN (1) Schnittstelle mit:
▪ IP Adresse
▪ Subnetzmaske
▪ Hostname
▪ Location
▪ ➔ Die Konfiguration des Gateways wird nicht unterstützt!
Firmware Update:
Am interessantesten für viele dürfte die Unterstützung von
Firmware Updates sein. Diese können nun einfach mit WeConfig
durchgeführt werden.
Fragen?
▪ Conny Kern & Marcel Bühner
38
Weitere Webinare
▪ Cyber Security Webinarreihe – Port Security
▪ Vortragender: Erwin Lasinger
▪ Datum: 27.05.2020
▪ Kenntnisstand: Mittel
▪ Dauer: ca. 45 Minuten
▪ Anmeldelink zum WeSecure Newsletter:
https://www.westermo.de/news-and-events/newsletters/wesecure
▪ Webinar WeOS 4.28 (https://www.westermo.ch/news-and-events/webinars/weos-update-428-
webinar)
▪ Cyber Security Webinarreihe
▪ Sicheres Netzwerkmanagement
(https://www.westermo.ch/news-and-events/webinars/cyber-security-webinar-sicheres-netzwerkmanagement)
▪ Zonierung & Firewalling (TbD)
▪ WAN Interfaces absichern (TbD)
▪ VPN (TbD)
▪ Logging & IDS (TbD)
39

Weitere ähnliche Inhalte

Was ist angesagt?

Switches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldSwitches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldMacKenzie Regorsek
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPGerrit Beine
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linuxmarkusmarkert
 
Sicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPSicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPGerrit Beine
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Maximilian Wilhelm
 
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionSicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionGerrit Beine
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimagBelsoft
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk BackbonesMaximilian Wilhelm
 
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Maximilan Wilhelm
 
Out-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsOut-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsMaximilan Wilhelm
 
Funktechnologien im Smart Home - Möglichkeiten und Herausforderungen
Funktechnologien im Smart Home - Möglichkeiten und HerausforderungenFunktechnologien im Smart Home - Möglichkeiten und Herausforderungen
Funktechnologien im Smart Home - Möglichkeiten und HerausforderungenKai Kreuzer
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothThierry Zoller
 
LMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonLMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonSven Nierlein
 

Was ist angesagt? (17)

Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
 
Switches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldSwitches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins Feld
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMP
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
 
Sicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPSicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMP
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
 
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionSicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimag
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
 
Out-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsOut-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-Boards
 
Funktechnologien im Smart Home - Möglichkeiten und Herausforderungen
Funktechnologien im Smart Home - Möglichkeiten und HerausforderungenFunktechnologien im Smart Home - Möglichkeiten und Herausforderungen
Funktechnologien im Smart Home - Möglichkeiten und Herausforderungen
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
 
VIT 6-2014
VIT 6-2014VIT 6-2014
VIT 6-2014
 
LMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonLMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool Daemon
 
Vitorsworkshop
VitorsworkshopVitorsworkshop
Vitorsworkshop
 

Ähnlich wie Neuigkeiten von Westermos MRD Mobilfunkroutern

Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk BackbonesMaximilan Wilhelm
 
Trapeze WLAN-Lösung
Trapeze WLAN-LösungTrapeze WLAN-Lösung
Trapeze WLAN-Lösungnetlogix
 
Making the internet faster HTTP/3 und QUIC
Making the internet faster HTTP/3 und QUICMaking the internet faster HTTP/3 und QUIC
Making the internet faster HTTP/3 und QUICQAware GmbH
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Gunther Pippèrr
 
SSV Predictive Maintenance
SSV Predictive MaintenanceSSV Predictive Maintenance
SSV Predictive MaintenanceNorbert Redeker
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackDaniel Schneller
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der EnergiewirtschaftWestermo Network Technologies
 
Grundlagen der IP Kommunikation
Grundlagen der IP KommunikationGrundlagen der IP Kommunikation
Grundlagen der IP KommunikationKay Schönewerk
 
Citrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingCitrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingDigicomp Academy AG
 
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...NETWAYS
 
Grundlagen puppet
Grundlagen puppetGrundlagen puppet
Grundlagen puppetinovex GmbH
 
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud StackInfracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud StackEdmund Siegfried Haselwanter
 
Can2 Web Professional Handbuch
Can2 Web Professional HandbuchCan2 Web Professional Handbuch
Can2 Web Professional Handbuchguest3dd892
 

Ähnlich wie Neuigkeiten von Westermos MRD Mobilfunkroutern (20)

WLAN
WLANWLAN
WLAN
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
 
Trapeze WLAN-Lösung
Trapeze WLAN-LösungTrapeze WLAN-Lösung
Trapeze WLAN-Lösung
 
Making the internet faster HTTP/3 und QUIC
Making the internet faster HTTP/3 und QUICMaking the internet faster HTTP/3 und QUIC
Making the internet faster HTTP/3 und QUIC
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
 
SSV Predictive Maintenance
SSV Predictive MaintenanceSSV Predictive Maintenance
SSV Predictive Maintenance
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
 
Grundlagen der IP Kommunikation
Grundlagen der IP KommunikationGrundlagen der IP Kommunikation
Grundlagen der IP Kommunikation
 
Die beliebtesten kvm switches
Die beliebtesten kvm switchesDie beliebtesten kvm switches
Die beliebtesten kvm switches
 
Citrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingCitrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx Networking
 
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
 
E Security
E SecurityE Security
E Security
 
Grundlagen puppet
Grundlagen puppetGrundlagen puppet
Grundlagen puppet
 
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud StackInfracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
 
Can2 Web Professional Handbuch
Can2 Web Professional HandbuchCan2 Web Professional Handbuch
Can2 Web Professional Handbuch
 

Mehr von Westermo Network Technologies

Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationWestermo Network Technologies
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWestermo Network Technologies
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo Network Technologies
 

Mehr von Westermo Network Technologies (17)

Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
 
DHCP
DHCPDHCP
DHCP
 
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
 
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communications
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet Networking
 
How to build resilient industrial networks
How to build resilient industrial networksHow to build resilient industrial networks
How to build resilient industrial networks
 
Westermo solutions for trackside networks
Westermo solutions for trackside networksWestermo solutions for trackside networks
Westermo solutions for trackside networks
 
Westermo solutions for onboard rail networks
Westermo solutions for onboard rail networksWestermo solutions for onboard rail networks
Westermo solutions for onboard rail networks
 

Neuigkeiten von Westermos MRD Mobilfunkroutern

  • 1. Webinar MRD update 1.8.0.1 Wir beginnen in Kürze Conny Kern & Marcel Bühner 06.05.2020
  • 2. 2 Eine Hochtechnologiegruppe, die digitale Lösungen zur Prozessoptimierung für Industrie, Transport, Immobilien und Infrastruktur liefert Die Beijer Gruppe 800 Mitarbeiteranzahl 2019 €145 Gruppenumsatz 2019 Millionen
  • 3. 3 Neue Westermo-Logos ▪ Firmenlogo ▪ Produktlogo ▪ Softwarelogo
  • 4. 4 D-A-CH Westermo Data Communications GmbH Zentrale DACH ▪ Waghäusel (DE) ▪ Marco Gerhard (Geschäftsführer) Zuständig für: ▪ Management ▪ Vertrieb / Marketing ▪ Auftragsabwicklung ▪ Lager / Logistik ▪ Technischer Support ▪ Ausarbeitung von Netzwerklösungen ▪ Service Center (RMA)
  • 5. 5 Thema: MRD update 1.8.0.1 Dauer: 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Referent Marcel Bühner Technical Account Manager marcel.buehner@Westermo.ch +41 43 508 31 79 +41 79 269 49 00
  • 6. 6 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
  • 7. 7 Live Stream ▪ Sie können den Live-Stream auch entsprechend stoppen und wieder starten ▪ Dazu verwenden Sie am besten die Pause / Play Button an der linken unteren Ecke
  • 8. MRD allgemein ▪ Conny Kern & Marcel Bühner
  • 9. 9 Die MRD Familie ▪ MRD-455 (EMEA/APAC & NA) ▪ MRD-405 ▪ MRD-415
  • 10. 10 CVE-2020-8579 ▪ Was ist die Schwachstelle? ▪ In der Open-Source Library pppd wurde eine Schwachstelle gefunden ▪ Die Schwachstelle kann ein MRD zum Absturz bringen – beliebiger Code kann ausgeführt werden ▪ CVS-Score v3: 9,8 - kritisch​ ▪ Wann bin ich von der Schwachstelle betroffen?​ ▪ Wenn auf dem MRD eine PPP Verbindung auf der seriellen Schnittstelle konfiguriert wurde ▪ Wann wird die Schwachstelle geschlossen? ▪ Da dieser UseCase praktisch nicht vorkommt (uns sind zumindest keine Applikationen bekannt), wird die Schwachstelle mit dem nächsten, regulären Firmwareupdate geschlossen. Es erfolgt kein vorgezogenes Bug Fixing.
  • 11. 2 Netze ▪ Conny Kern & Marcel Bühner
  • 12. 12 Netzwerke bisher Da auf dem MRD die beiden LAN Ports bis anhin geswitched waren, und auch keine Möglichkeit zur Konfiguration von VLAN’s (Virtuelle LAN’s) bestand, konnte das MRD nur ein lokales Netzwerk bedienen. ▪ Nur ein Teilnehmer ▪ 2 Netzwerk Teilnehmer im selben Netz ▪ Mehrere Adressbereich / 1 Netz In Kombination mit einem Lynx 2xx Routing Switch als OT Firewall Router können: ▪ Netze sauber getrennt werden ▪ VLAN’s eingerichtet werden ▪ Verkehr zwischen den Netzen eingeschränkt werden (Firewall) PQ PQ
  • 13. 14 Zweites Netzwerk Mit der Firmware 1.8.0.1 haben wir nun die Möglichkeit, auf dem zweiten Ethernet Port ein separates Netzwerk zu konfigurieren. Dadurch können nun weitere Gewerke als separates Netzwerk angebunden werden. Zu beachten ist, dass auch weiterhin keine VLAN’s konfiguriert werden können. PQ
  • 14. 16 Lan Interfaces Konfigurieren Neu kann auf dem zweiten Ethernet Port ein separates Interface konfiguriert werden. Dazu muss die Option «Make LAN ports independent» (1) aktiviert werden. Danach kann das zweite Interface konfiguriert werden. ➔Checkbox «Enabled» aktivieren Dieses Interface kann nun für ein separates lokales Netz oder aber als Transfernetz/WAN2 genutzt werden. Es wird in der weiteren Konfiguration des MRD’s, beispielsweise im Routing oder in der Firewall, gleich behandelt wie die LAN Schnittstelle. 1 2
  • 15. 17 Zweites/alternatives Gateway: Varianten Im MRD konnte schon immer ein zweites Gateway konfiguriert werden. Dies ermöglicht nun, in Kombination mit dem zweiten LAN Anschluss, eine redundante Anbindung der Aussenstation an die Zentrale / das OT Netz. Variante 1 Primäre Kommunikation über LAN2 und Redundanz über WLS: ▪ Diese Version wird zur Zeit nicht unterstützt. ▪ Es wird nur ein «Link Down» am lokalen Anschluss erkannt ➔ Keine Überwachung des gesamten Pfades! Variante 2 Primäre Kommunikation über WLS und Redundanz über LAN2
  • 16. 19 Zweites Gateway: Interface Metrik & Routing X ! Das aktive Default Gateway wird an Hand der Metrik des Interfaces gewählt. Das Interface mit der kleinsten Metrik stellt das aktive Default Gateway. ➔So lange das Interface auf Up steht, ist dieses aktive und somit gültig. ➔ Das sekundäre Gateway wird somit nie aktiviert, so lange dieser «Link Up» Status vorherrscht. ➔ Es findet keine Prüfung statt, ob das Gateway auch erreichbar ist. Dynamisches Routing (RIP) ist in diesem Fall nicht hilfreich, da die «Distanz»über den VPN Tunnel immer 1 Hop ist (=Metrik 2), und der Pfad über das Stationsnetzwerk nicht kleiner sein kann.
  • 17. 21 WLS immer als primäres Gateway Das zweite Gateway als Backup Pfad zu gebrauchen macht besonders in der hier gezeigten Kombination mit einer vorhandenen aber leistungsschwachen DSL Verbindung Sinn. Im «Normalzustand» wird die Kommunikation über den performanteren VPN Tunnel geführt und nur im Störungsfall die zweite Verbindung genommen. Eine Umschaltung in dieser Situation kann nur zu einem «Gewinn» führen, denn die WLS Verbindung ist gebrochen und selbst wenn trotz vorhandenem «Link Up» die Verbindung zum Gateway unterbrochen ist, bedeutet dies keine Verschlimmerung der Situation.
  • 18. 23 Dual WAN Das zweite Netzwerk bietet nun auch die Möglichkeit, die Tunnels über eine redundante Internetanbindung, beispielsweise einem xDSL Anschluss oder ein bestehendes Netzwerk, aufzubauen. Es gelten die bekannten Einschränkungen: WLS muss der primäre Pfad sein Keine aktive Kontrolle, ob das Gateway oder gar der Endpunkt erreichbar ist. WAN2WAN1DMZ 15 4 3 267CONSOLEUSBDC+12VRESET Master (Primary)Backup xDSL Mobilfunk X
  • 19. 25 Statische Routen / dynamisches Routing (RIP) Durch das Definieren von statischen Routen wird festgelegt, über welches Gateway die Kommunikation zu einem bestimmten Teilnehmer oder Netz laufen soll. ▪ Asynchrones Routing vermeiden beim Einsatz von Firewalls ▪ Bei redundanten Einträgen gelten die selben Einschränkungen wie bei den 2 Gateways Wird mit dynamischem Routing RIP gearbeitet, wird der jeweils beste («kürzeste») Pfad genommen. RIP zählt dabei die Anzahl Hops (Sprünge) von Router zu Router die benötigt werden, um das Ziel zu erreichen.
  • 20. Weitere Neuerungen ▪ Conny Kern & Marcel Bühner
  • 21. 28 Weitere Neuerungen in der FW 1.8.0.1 ▪ Session based Web Interface mit erweitertem Authentisierensprozess ▪ LLDP (Link Layer Discovery Protokoll) ▪ mDNS (Multicast DNS) für das einfache Auffinden und Konfigurieren ▪ Link Local Adresse auf LAN Interface (169.254.x.x) Für das MRD 405: ▪ Neu können 4 Zertifikate geladen werden ▪ Es werden bis zu 3 IPSec Tunnels unterstützt
  • 22. WeConfig Integration ▪ Conny Kern & Marcel Bühner
  • 23. 30 First Step MRD Integration in WeConfig
  • 24. 31 MRD’s können nun mit WeConfig gesucht und in das Projekt eingebunden werden. Um die volle Funktionalität nutzen zu können, muss auf dem MRD das Passwort der API Schnittstelle konfiguriert werden. Dies geschieht direkt in WeConfig. Damit WeConfig diese Funktion ausführen kann, muss nach einem Firmware Upgrade das Gerät in die Werkseinstellungen gesetzt werden. Vorgehen: Firmware Upgrade ausführen Factory Reset durchführen (Büroklammer) Suchen der MRD’s über mDNS (Button «Start Scan») oder manuellem Einfügen mittels IP Adresse Einbinden eines MRD’s in WeConfig
  • 25. 32 Einbinden eines MRD’s in WeConfig Das MRD ist nun im Projekt integriert, es kann momentan aber noch nicht konfiguriert werden. Dazu sind folgende Schritte notwendig: Unter dem Punkt «Configuration» – «Password» muss nun das Default Passwort geändert und ein API-Passwort vergeben werden Nach dem betätigen von «Apply» sollte eine Bestätigung erfolgen, dass das Passwort erfolgreich geändert wurde. ➔ Das Projekt sollte nun gesichert werden Jetzt muss im MRD noch LLDP aktiviert werden, damit die Links erkannt werden können
  • 26. 33 WeConfig und die MRD’s Im aktuellen Integrationsschritt werden folgende Funktionen unterstützt: Unter dem Menüpunkt «Selected Device» sind folgende Funktionen aktive: ▪ Properties Hier können nun diverse Informationen zur Hardware sowie der Zustand der WLS Verbindung ausgelesen werden ▪ Configuration Files ▪ Backups ziehen ▪ Konfigurationen In- und Exportieren ▪ Konfiguration auf das MRD laden (Restore) ▪ ➔Die «Compare» Funktion ist möglich, allerdings werden dabei nur die beiden Binärdateien verglichen, was ohne Nutzen ist
  • 27. 34 WeConfig und die MRD’s ▪ Communication Details Hier werden die Traffic Counters der LAN Schnittstelle angezeigt ▪ Attachements Auch zu den MRD’s können, wie zu allen anderen Geräten, Anhänge im Projekt mitgegeben werden.
  • 28. 35 WeConfig und die MRD’s Das Basic Setup konfiguriert die LAN (1) Schnittstelle mit: ▪ IP Adresse ▪ Subnetzmaske ▪ Hostname ▪ Location ▪ ➔ Die Konfiguration des Gateways wird nicht unterstützt! Firmware Update: Am interessantesten für viele dürfte die Unterstützung von Firmware Updates sein. Diese können nun einfach mit WeConfig durchgeführt werden.
  • 29. Fragen? ▪ Conny Kern & Marcel Bühner
  • 30. 38 Weitere Webinare ▪ Cyber Security Webinarreihe – Port Security ▪ Vortragender: Erwin Lasinger ▪ Datum: 27.05.2020 ▪ Kenntnisstand: Mittel ▪ Dauer: ca. 45 Minuten ▪ Anmeldelink zum WeSecure Newsletter: https://www.westermo.de/news-and-events/newsletters/wesecure ▪ Webinar WeOS 4.28 (https://www.westermo.ch/news-and-events/webinars/weos-update-428- webinar) ▪ Cyber Security Webinarreihe ▪ Sicheres Netzwerkmanagement (https://www.westermo.ch/news-and-events/webinars/cyber-security-webinar-sicheres-netzwerkmanagement) ▪ Zonierung & Firewalling (TbD) ▪ WAN Interfaces absichern (TbD) ▪ VPN (TbD) ▪ Logging & IDS (TbD)
  • 31. 39