SlideShare ist ein Scribd-Unternehmen logo
1 von 26
Downloaden Sie, um offline zu lesen
Port Security – Wir starten in Kürze
Westermo Cyber Security Webinar
Conny Kern & Erwin Lasinger
27. Mai 2020
2
Ultra Robuste Hardware in stahlblau
Kompaktes Metallgehäuse
Umgebungstemperatur
-40°C bis +70°C
Höchste Qualität und
sicheres Betriebssystem
Gebaut aus hochwertigen
Komponenten
Keine Lüfter und sonstige
beweglichen Teile
Ohne zusätzliche Öffnungen
zum Schutz vor Schmutz,
Staub und Spritzwasser
Zulassungen auf höchster
Ebene
3
Vortragender
Thema:
Port Security
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Erwin Lasinger
Industrial Cyber Security Expert
erwin.lasinger@westermo.at
+43 720 303920 11
+43 676 897262211
4
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
5
Live Stream
▪ Sie können den Live-Stream auch entsprechend stoppen und wieder starten
▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
Port Security
Erwin Lasinger
7
Was bedeutet Port Security?
▪ Anschluss an das Netzwerk verhindern
▪ Kritische Infrastrukturen sind sehr verteilt / dezentral
▪ Schaltschränke im Freien
▪ Einfacher Zugang zu Netzwerkanschlüssen
▪ Wo kann Port Security angewendet werden
▪ Verkabeltes Ethernet
▪ WLAN – als Netzwerkanschluss!
8
Wo beginnt Port Security?
▪ Port Security sind nicht nur Funktionen des Switches / Netzwerks
▪ Absicherung des physikalischen Zugriffs
▪ Zaun
▪ Gebäude
▪ Schaltschrankschlüssel
▪ Türkontakt
▪ Videoüberwachung
▪ Alarmanlage
9
Möglichkeiten – MAC Filter
▪ Der Switch lässt nur bekannte MAC-Adressen auf das Netzwerk zugreifen
▪ Kontrolle der Source-MAC im Datenpaket
▪ Vorteile:
▪ Einfache Absicherung des Anschlusses von industriellen Komponenten
▪ Vollständige Integration in WeConfig
▪ Für Endgeräte, welche keine anderen Möglichkeiten bieten, ideal
▪ Nachteile:
▪ Gerätetausch, wenn nicht mit Wildcards (*) gearbeitet wird
▪ Relativ einfach auszuhebeln, da Angreifer die MAC-Adresse am Angriffssystem verändern können
10
Was ist eine MAC-Adresse eigentlich?
▪ Geräte, die an ein Übertragungsmedium angeschlossen sind, müssen über ihre
eindeutige MAC-Adresse (Media Access Control) identifiziert werden können.
▪ Sie sind weltweit eindeutig und werden normalerweise vom Hersteller bei der
Produktion im Gerät programmiert.
▪ MAC der Netzwerkkarte
▪ (kann mit ipconfig /all ausgelesen werden –
DOS-Eingabeaufforderung)
▪ Spezielle MAC Adressen für Multicast / VRRP / HA, …
▪ So sieht ein Datenpaket aus:
Preamble
Destination MAC Source MAC
802.1Q
CRC/FCS
Preamble
Destination MAC Source MAC
EtherType
Size
Payload
11
Konfiguration in WeOS
Trunk Ports müssen ausgenommen werden
12
WeConfig
13
XRD Serie
14
Möglichkeiten – 802.1X
▪ Um auf das Netzwerk zugreifen zu können, muss man sich anmelden
▪ Anmeldung am Netzwerk über 802.1X auf RADIUS Server
▪ Vorteile:
▪ Anmeldung am Netzwerk mit User/Passwort
▪ Vollständige Integration in WeConfig
▪ Sehr gute Absicherung, da dies nicht von der MAC-Adresse abhängig ist
▪ Zentrale Userdatenbank
▪ Nachteile:
▪ Externer Server (RADIUS) erforderlich
▪ Externer Server muss entsprechend gewartet / gehärtet sein
15
Was ist 802.1X? LAN Netzwerk
Authenticator
Authentication Server
RADIUS
Supplicant
Port – Start
EAPoL – Start
EAP – Request/Identity
EAP – Response/Identity
Radius-Access-Request
Radius-Access-Challenge
EAP – Request (Credentials)
EAP – Response (Credentials)
Radius-Access-Request
Radius-Access-Challenge
EAP – Success
Zugriff geblockt
Zugriff gewährt
Client – Switch
Kommunikation
Switch – Radius Server
Kommunikation
EAP = Extensible Authentication Protocol
EAPoL = EAP over LAN
RADIUS = Remote Authentication Dial-In
User Service
Abkürzungen
16
Konfiguration in WeOS
Trunk Ports müssen ausgenommen werden
17
WeConfig
18
Ungenutzte Ports deaktivieren
▪ Alle nicht verwendeten Ports sollten deaktiviert werden
▪ Somit ist ein Zugriff über diese Ports nicht mehr möglich
▪ Port geht gar nicht auf UP – als wäre kein Netzwerkkabel gesteckt
▪ Vollständige Integration in WeConfig
▪ WeConfig bringt auch einen Hinweis dazu beim Security Scan
▪ Diese Art von Netzwerk-Härtung kann über einen Wizzard direkt in WeOS ausgeführt
werden
19
WeConfig
20
Ports deaktivieren – weitere Möglichkeiten
▪ Auto Disable
▪ Wenn ein Port auf Down geht, bleibt er down, bis dieser erneut manuell aktiviert wird
▪ Timeout ist einstellbar
▪ Kann für prozessrelevante Komponenten möglicherweise ein Problem darstellen
21
Ports deaktivieren – weitere Möglichkeiten
▪ Temporary Enable
▪ Ist ein Port deaktiviert, kann dieser temporär aktiviert werden
▪ Deaktiviert sich wieder automatisch, nachdem der Port auf Down gegangen ist
▪ Timeout ist einstellbar
22
Ports per SNMP monitoren
▪ Ports per Network Management System (NMS) oder vom Prozessleitsystem, sofern diese
SNMP unterstützt, überwachen
▪ Bei Port Down / Up auf jeden Fall Kontrolle, warum das Ereignis eingetreten ist
▪ OID-Nummer für ETH-Ports:
▪ 1.3.6.1.2.1.2.2.1.8.X
▪ Port 1: X = 4096
▪ Port 2: X = 4097
▪ Port 3: X = 4098
▪ …
▪ IF-Index Nummer kann in WeOS auch angepasst werden
23
Eigentlich ein „Muss“:
▪ Nicht genutzte Ports deaktivieren
▪ Port-Status per SNMP überwachen
Eigentlich ein „Soll“:
▪ Ports per 802.1X absichern, sofern die
Endgeräte es unterstützen
▪ Alle anderen Ports per MAC-Filter absichern
Generelle Empfehlungen
24
Fragen?
25
Weitere Webinare
▪ Alle Webinare / Aufzeichnungen sind zu finden unter:
▪ https://www.westermo.de/news-and-events/webinars
▪ Weitere Webinare der Cyber Security-Reihe:
▪ Zonierung & Firewalling (TbD)
▪ WAN Interfaces absichern (TbD)
▪ VPN (TbD)
▪ Logging & IDS (TbD)
▪ Einladungen werden über WeSecure Newsletter verteilt:
▪ https://www.westermo.de/news-and-
events/newsletters/wesecure
26

Weitere ähnliche Inhalte

Was ist angesagt?

Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linuxmarkusmarkert
 
Sicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPSicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPGerrit Beine
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Maximilian Wilhelm
 
LMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonLMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonSven Nierlein
 
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionSicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionGerrit Beine
 
CheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaCheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaOpenNebula Project
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothThierry Zoller
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk BackbonesMaximilian Wilhelm
 
Out-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsOut-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsMaximilan Wilhelm
 
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Maximilan Wilhelm
 
TechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover ClusterTechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover Clusternine
 
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...NETWAYS
 
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim RiemannTim Riemann
 

Was ist angesagt? (15)

Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
 
Sicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPSicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMP
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
 
LMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonLMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool Daemon
 
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionSicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
 
CheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaCheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebula
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Out-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsOut-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-Boards
 
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
 
TechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover ClusterTechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
 
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
 
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
 
Wlan sicherheit
Wlan sicherheitWlan sicherheit
Wlan sicherheit
 

Ähnlich wie Port Security - Industrieller Cyber Security

Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackDaniel Schneller
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityWestermo Network Technologies
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk BackbonesMaximilan Wilhelm
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Gunther Pippèrr
 
Agorum Core Installation Netzlaufwerke
Agorum Core Installation NetzlaufwerkeAgorum Core Installation Netzlaufwerke
Agorum Core Installation Netzlaufwerkeguest41eb8bd
 
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...inovex GmbH
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der EnergiewirtschaftWestermo Network Technologies
 
WPC Wireless Pressure Control
WPC Wireless Pressure ControlWPC Wireless Pressure Control
WPC Wireless Pressure ControlGesaSrensen
 
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]Dominik Obermaier
 

Ähnlich wie Port Security - Industrieller Cyber Security (20)

Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
 
E Security
E SecurityE Security
E Security
 
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
 
WLAN
WLANWLAN
WLAN
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber Security
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
 
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
 
Agorum Core Installation Netzlaufwerke
Agorum Core Installation NetzlaufwerkeAgorum Core Installation Netzlaufwerke
Agorum Core Installation Netzlaufwerke
 
Die beliebtesten kvm switches
Die beliebtesten kvm switchesDie beliebtesten kvm switches
Die beliebtesten kvm switches
 
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
 
WPC Wireless Pressure Control
WPC Wireless Pressure ControlWPC Wireless Pressure Control
WPC Wireless Pressure Control
 
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
 
20181018 stp
20181018 stp20181018 stp
20181018 stp
 

Mehr von Westermo Network Technologies

Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationWestermo Network Technologies
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWestermo Network Technologies
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo Network Technologies
 

Mehr von Westermo Network Technologies (16)

Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
 
DHCP
DHCPDHCP
DHCP
 
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
 
Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
 
SHDSL & Glasfaser
SHDSL & GlasfaserSHDSL & Glasfaser
SHDSL & Glasfaser
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communications
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet Networking
 
How to build resilient industrial networks
How to build resilient industrial networksHow to build resilient industrial networks
How to build resilient industrial networks
 
Westermo solutions for trackside networks
Westermo solutions for trackside networksWestermo solutions for trackside networks
Westermo solutions for trackside networks
 
Westermo solutions for onboard rail networks
Westermo solutions for onboard rail networksWestermo solutions for onboard rail networks
Westermo solutions for onboard rail networks
 

Port Security - Industrieller Cyber Security

  • 1. Port Security – Wir starten in Kürze Westermo Cyber Security Webinar Conny Kern & Erwin Lasinger 27. Mai 2020
  • 2. 2 Ultra Robuste Hardware in stahlblau Kompaktes Metallgehäuse Umgebungstemperatur -40°C bis +70°C Höchste Qualität und sicheres Betriebssystem Gebaut aus hochwertigen Komponenten Keine Lüfter und sonstige beweglichen Teile Ohne zusätzliche Öffnungen zum Schutz vor Schmutz, Staub und Spritzwasser Zulassungen auf höchster Ebene
  • 3. 3 Vortragender Thema: Port Security Dauer: 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Erwin Lasinger Industrial Cyber Security Expert erwin.lasinger@westermo.at +43 720 303920 11 +43 676 897262211
  • 4. 4 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
  • 5. 5 Live Stream ▪ Sie können den Live-Stream auch entsprechend stoppen und wieder starten ▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
  • 7. 7 Was bedeutet Port Security? ▪ Anschluss an das Netzwerk verhindern ▪ Kritische Infrastrukturen sind sehr verteilt / dezentral ▪ Schaltschränke im Freien ▪ Einfacher Zugang zu Netzwerkanschlüssen ▪ Wo kann Port Security angewendet werden ▪ Verkabeltes Ethernet ▪ WLAN – als Netzwerkanschluss!
  • 8. 8 Wo beginnt Port Security? ▪ Port Security sind nicht nur Funktionen des Switches / Netzwerks ▪ Absicherung des physikalischen Zugriffs ▪ Zaun ▪ Gebäude ▪ Schaltschrankschlüssel ▪ Türkontakt ▪ Videoüberwachung ▪ Alarmanlage
  • 9. 9 Möglichkeiten – MAC Filter ▪ Der Switch lässt nur bekannte MAC-Adressen auf das Netzwerk zugreifen ▪ Kontrolle der Source-MAC im Datenpaket ▪ Vorteile: ▪ Einfache Absicherung des Anschlusses von industriellen Komponenten ▪ Vollständige Integration in WeConfig ▪ Für Endgeräte, welche keine anderen Möglichkeiten bieten, ideal ▪ Nachteile: ▪ Gerätetausch, wenn nicht mit Wildcards (*) gearbeitet wird ▪ Relativ einfach auszuhebeln, da Angreifer die MAC-Adresse am Angriffssystem verändern können
  • 10. 10 Was ist eine MAC-Adresse eigentlich? ▪ Geräte, die an ein Übertragungsmedium angeschlossen sind, müssen über ihre eindeutige MAC-Adresse (Media Access Control) identifiziert werden können. ▪ Sie sind weltweit eindeutig und werden normalerweise vom Hersteller bei der Produktion im Gerät programmiert. ▪ MAC der Netzwerkkarte ▪ (kann mit ipconfig /all ausgelesen werden – DOS-Eingabeaufforderung) ▪ Spezielle MAC Adressen für Multicast / VRRP / HA, … ▪ So sieht ein Datenpaket aus: Preamble Destination MAC Source MAC 802.1Q CRC/FCS Preamble Destination MAC Source MAC EtherType Size Payload
  • 11. 11 Konfiguration in WeOS Trunk Ports müssen ausgenommen werden
  • 14. 14 Möglichkeiten – 802.1X ▪ Um auf das Netzwerk zugreifen zu können, muss man sich anmelden ▪ Anmeldung am Netzwerk über 802.1X auf RADIUS Server ▪ Vorteile: ▪ Anmeldung am Netzwerk mit User/Passwort ▪ Vollständige Integration in WeConfig ▪ Sehr gute Absicherung, da dies nicht von der MAC-Adresse abhängig ist ▪ Zentrale Userdatenbank ▪ Nachteile: ▪ Externer Server (RADIUS) erforderlich ▪ Externer Server muss entsprechend gewartet / gehärtet sein
  • 15. 15 Was ist 802.1X? LAN Netzwerk Authenticator Authentication Server RADIUS Supplicant Port – Start EAPoL – Start EAP – Request/Identity EAP – Response/Identity Radius-Access-Request Radius-Access-Challenge EAP – Request (Credentials) EAP – Response (Credentials) Radius-Access-Request Radius-Access-Challenge EAP – Success Zugriff geblockt Zugriff gewährt Client – Switch Kommunikation Switch – Radius Server Kommunikation EAP = Extensible Authentication Protocol EAPoL = EAP over LAN RADIUS = Remote Authentication Dial-In User Service Abkürzungen
  • 16. 16 Konfiguration in WeOS Trunk Ports müssen ausgenommen werden
  • 18. 18 Ungenutzte Ports deaktivieren ▪ Alle nicht verwendeten Ports sollten deaktiviert werden ▪ Somit ist ein Zugriff über diese Ports nicht mehr möglich ▪ Port geht gar nicht auf UP – als wäre kein Netzwerkkabel gesteckt ▪ Vollständige Integration in WeConfig ▪ WeConfig bringt auch einen Hinweis dazu beim Security Scan ▪ Diese Art von Netzwerk-Härtung kann über einen Wizzard direkt in WeOS ausgeführt werden
  • 20. 20 Ports deaktivieren – weitere Möglichkeiten ▪ Auto Disable ▪ Wenn ein Port auf Down geht, bleibt er down, bis dieser erneut manuell aktiviert wird ▪ Timeout ist einstellbar ▪ Kann für prozessrelevante Komponenten möglicherweise ein Problem darstellen
  • 21. 21 Ports deaktivieren – weitere Möglichkeiten ▪ Temporary Enable ▪ Ist ein Port deaktiviert, kann dieser temporär aktiviert werden ▪ Deaktiviert sich wieder automatisch, nachdem der Port auf Down gegangen ist ▪ Timeout ist einstellbar
  • 22. 22 Ports per SNMP monitoren ▪ Ports per Network Management System (NMS) oder vom Prozessleitsystem, sofern diese SNMP unterstützt, überwachen ▪ Bei Port Down / Up auf jeden Fall Kontrolle, warum das Ereignis eingetreten ist ▪ OID-Nummer für ETH-Ports: ▪ 1.3.6.1.2.1.2.2.1.8.X ▪ Port 1: X = 4096 ▪ Port 2: X = 4097 ▪ Port 3: X = 4098 ▪ … ▪ IF-Index Nummer kann in WeOS auch angepasst werden
  • 23. 23 Eigentlich ein „Muss“: ▪ Nicht genutzte Ports deaktivieren ▪ Port-Status per SNMP überwachen Eigentlich ein „Soll“: ▪ Ports per 802.1X absichern, sofern die Endgeräte es unterstützen ▪ Alle anderen Ports per MAC-Filter absichern Generelle Empfehlungen
  • 25. 25 Weitere Webinare ▪ Alle Webinare / Aufzeichnungen sind zu finden unter: ▪ https://www.westermo.de/news-and-events/webinars ▪ Weitere Webinare der Cyber Security-Reihe: ▪ Zonierung & Firewalling (TbD) ▪ WAN Interfaces absichern (TbD) ▪ VPN (TbD) ▪ Logging & IDS (TbD) ▪ Einladungen werden über WeSecure Newsletter verteilt: ▪ https://www.westermo.de/news-and- events/newsletters/wesecure
  • 26. 26