Firewall – das hört sich doch sehr komplex an, oder? Nein, mit Hilfe des richtigen Verständnisses sind die nächsten Regeln kein Thema mehr für Sie. Erfahren Sie nur hier in unserem neuem Technologie Webinar was eine Firewall grundsätzlich ist und macht. Wo sind die Unterschiede zwischen IT und OT Firewalls. Weiters schauen wir uns kurz das Thema der viel diskutieren Zonierungen an.
2. 2
Thema:
Firewall
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Erwin Lasinger
Industrial Cyber Security Expert
erwin.lasinger@westermo.com
+43 720 303920 11
+43 676 897262211
Vortrag
3. 3
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
4. 4
Live Stream
▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten
▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
5. 5
▪ RedFox 7528 wurde vorgestellt
▪ WeOS5-Support
▪ 19‘‘ L2 Switch
▪ 4x 10G SFP+ Slot
▪ 12x 1G SFP Slot
▪ 12x 1G ETH Ports
▪ IEC62443-4-2 Compliant
▪ EN50121-4 und vieles mehr
https://www.westermo.de/products/ethernet-
switches/rack/redfox-7528-f4g10-f12g-t12g-lv
Anfragen unter info.de@westermo.com
RedFox 7528 –
Erster 10G Ethernet Switch
8. 8
▪ Überwacht den Datenverkehr
▪ Als Software am PC selbst
▪ Als HW-Firewall im Netzwerk zwischen 2 Subnetzen
▪ Es gibt unterschiedliche Typen von Firewalls
▪ Anhand eines Regel-Sets werden Datenpakete
durchgelassen oder blockiert
Grundlagen Firewall
192.168.1.0/24
192.168.2.0/24
9. 9
Firewalls sind etwas neues für uns?
Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
10. 10
Typen von Firewalls
▪ Paketfilter
▪ Schaut lediglich auf die Netzwerkadresse des Absenders bzw. Empfängers (IP-Adresse und Port)
▪ Stateful Inspection
▪ Hier wird der Verbindungsstatus überwacht. Somit ist es schwieriger unerlaubten Zugriff zu
gelangen.
▪ Per default deaktiviert und über die Console aktivierbar
▪ Deep Packet Inspection
▪ Analysiert zusätzlich zu den Funktionen oben auch den Inhalt des Datenpaketes.
Ist aber sehr rechenaufwendig und ggf. komplex einzustellen.
▪ WeOS unterstützt DPI Regeln für Modbus TCP
▪ Eine Hardware Firewall ersetzt keinen Virenschutz bzw. Software Firewall am PC
11. 11
Unterschiede IT / OT Firewall-Anforderungen
IT
VS.
OT
Dynamisches Netzwerk Sehr starres Netzwerk
Ständig änderndes Userverhalten Kein Userverhalten und somit ist der
Datenverkehr nicht allzu variabel
Sehr ausgereifte Systeme Sehr oft ist eine Stateful Inspection
ausreichend
Eher Komplex Geringe Komplexität
Blacklisting-Ansatz Whitelisting-Ansatz
Platziert im Serverraum Verbaut im industriellen Umfeld
Laufende Updatekosten
Lebensdauer von einigen Jahren
13. 13
▪ Zonierung = Aufteilung eigenständige Segmente
▪ Verhindert das Übergreifen von Problemen
▪ Zonen werden über Conduits verbunden
▪ So ein Conduit wird per Firewall überwacht
▪ Zonen ergeben sich nach Schutzbedarf &
geographischer Lage
▪ Lokales SPS Netzwerk
▪ Prozessleittechnik
▪ Management PCs
▪ Office Netzwerk
Was ist eine Zonierung? Zone 1
Zone 4
Zone 5
Zone 3
Zone 2
14. 14
Zonierung etwas neues für uns?
Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
16. 16
NA(P)T
▪ NAT (Network Address Translation)
▪ NAPT (Network Address and Port Translation)
▪ Bedeutet dass in der Regel die Absender-IP bzw. Port verändert wird
▪ Normalerweise auf die Adresse des Outgoing Interfaces
▪ Wird zum Beispiel benötigt damit das Paket den Weg retour finden kann
▪ Somit wird zum Beispiel auch kein Default Gateway in der SPS unten benötigt
192.168.1.10:36267
192.168.2.40:102
192.168.1.10:36267
192.168.2.40:102
192.168.2.254:48521
192.168.2.40:102
192.168.2.254:48521
192.168.2.40:102
192.168.1.0/24 192.168.2.0/24
NAPT
17. 17
1-to-1 NAT (Stateless NAT)
▪ Gleich wie das NAPT, nur wird hier je nach
Richtung auch die Destination IP geändert
▪ Abfrage zum Ziel: Destination IP wird geändert
▪ Abfrage vom Ziel: Source IP wird geändert
▪ Wird verwendet um Anlagen mit
identischen IP-Adressen anzubinden
▪ WeOS Gerät hat die 1-TO-1 NAT Adresse
(parallel zur eigenen IP-Adresse) und leitet
alles an das eigentliche Ziel weiter
▪ Ggf. müssen noch Firewallregeln konfiguriert
werden
10.0.0.0/24
.40
.254
192.168.2.0/24
10.0.0.23/24
1-TO-1 NAT
.40
.254
192.168.2.0/24
10.0.0.22/24
1-TO-1 NAT
.40
.254
192.168.2.0/24
10.0.0.21/24
1-TO-1 NAT
Anlage 1: 10.0.0.21
Anlage 2: 10.0.0.22
Anlage 3: 10.0.0.23
18. 18
Port Forwarding
▪ Hier wird im Gegensatz zum 1-TO-1 NAT nur ein spezieller Port an das Endgerät
weitergeleitet.
▪ WeOS besitzt hier keine separate IP-Adresse für das Endgerät am WAN Interface
192.168.1.10:36267
192.168.1.20:102
192.168.1.10:36267
192.168.1.20:102
192.168.1.10:36267
192.168.2.40:102
192.168.1.10:36267
192.168.2.40:102
192.168.1.0/24
192.168.2.0/24
192.168.1.10:54738
192.168.1.20:103
192.168.1.10:54738
192.168.2.41:102 192.168.1.10:54738
192.168.2.41:102
192.168.1.10:54738
192.168.1.20:103
19. 19
ALG Helpers
▪ Application Layer Gateway Helper – Layer 7
▪ Firewall monitored den Datenverkehr
▪ Gibt dann bei Bedarf Ports für die
Verbindung frei
▪ Protokolle bei den ALG benötigt wird
▪ (T)FTP
▪ SIP
▪ PPTP
▪ …
FTP Server
20 Data 21 Cmd
FTP Client
5150 Cmd 5151 Data
Beispiel: Aktives FTP
21. 21
Wie ist nun so eine Firewall
aufgebaut?
▪ Es gibt unterschiedliche Chains denen die
Datenpakete zugeordnet werden
▪ Input-Chain
Datenpakete an die Firewall gerichtet (Bsp: Management)
▪ Output-Chain
Datenpakete von der Firewall (Bsp: DHCP Requests)
▪ Forward-Chain
Datenpakete durch die Firewall (Bsp: Modbus
TCP zwischen 2 Steuerungen)
▪ Ggf Chains für Logging, …
▪ Regelset wird von oben nach unten durchlaufen
▪ Die erst passende Regel wird herangezogen
▪ Ende ist immer die Default Regel
▪ Allow / Deny all | Black- / Whitelisting
Input
Fwd
Out
Logging
22. 22
▪ 2 VLANs
▪ VLAN2 & VLAN3
▪ Bzw. beim XRD – LAN & LAN2
▪ Siemens PLC Kommunikation
▪ Leitsystem-Netzwerk: 192.168.2.0/24
▪ Siemens PLC: 192.168.3.40
▪ Port / Protokoll: 102/TCP
Unsere Beispiel Regel
PLS-Net
192.168.2.0/24
192.168.2.0/24
Siemens PLC
192.168.3.40
23. 23
Firewall in WeOS4
▪ Per Default deaktiviert
▪ Unterstützt von der erweiterten WeOS-Version
▪ Gerätetypen mit 2XX | L210-F2G | DDW-242 | RFIR-227-F4G-T7G | …
▪ Achtung auf die Performance
▪ Je nach Hardware (Lynx, RedFox, …) und Paketgröße von einigen Mbit/s bis mehreren 100Mbit/s
▪ Es gibt versteckte Firewall-Regeln, welche das System automatisch anlegt
▪ IPSec / OpenVPN – Input
▪ DNS – Input
▪ DHCP – Input
▪ Management – Input
▪ Teilweise können diese Regeln umgangen werden, indem eine Deny-Regel für den Port / Protokoll
angelegt wird
▪ Teilweise DPI Firewallregeln möglich – Modbus TCP
24. 24
Firewall in WeOS4
Wenn leer, dann Input Chain
Wenn leer, dann any-Interface
Position in der Liste der Regeln
Allow Regel oder Deny Regel
Muss-Feld, wenn Ports angegeben werden
Absender-Adresse / Subnetz
Absender-Port, in der Regel undefiniert
Ziel-Adresse / Subnetz
Ziel-Port, wenn angegeben, muss das
Protokoll definiert werden
Logging der Regel – Kernel.log
25. 25
Firewall in WeOS5
▪ Per Default deaktiviert
▪ Unterstützt von der erweiterten WeOS-Version
▪ Gerätetypen -E- | L5512-E-F4G-T8G | RedFox-5528-E-… | …
▪ Achtung auf die Performance
▪ Performance liegt bei mehreren 100Mbit/s, abhängig von der Paketgröße
▪ Es gibt keine versteckten Firewall-Regeln
▪ Alle Regeln müssen von Hand angelegt werden
▪ Management - Input
▪ OpenVPN - Input
▪ OSPF - Input
27. 27
Firewall MRD & BRD
▪ Per Default steht die Firewall auf Allow
▪ Firewall – Access Control
▪ Generelle Management Einstellungen für Zugriff
über WLS, VPN, …
▪ Kann durch Custom Filters überschrieben werden
▪ Custom Filters
▪ Firewallregeln selbst
▪ Chains sind hier wieder erkennbar
▪ Forwarded packets (Fwd)
▪ Locally destined packets (Lcl In)
▪ Locally generated packets (Lcl Out)
Access Control
28. 28
Firewall MRD & BRD
Filter Rule
Custom Filters
Deny Regel als neue Default Regel
Muss ganz am Ende stehen!
29. 29
Generelle Zoneneinstellungen
▪ Standard OpenWRT-Firewall
▪ Unterteilt in Zonen
▪ Zonen werden beim Anlegen der Interfaces definiert
Firewall Merlin & GW-Serie
Zonenübergreifende
Kommunikation
Default Input Chain NAPT
Default Output Chain
Default Fwd Chain
Innerhalb der Zone
Interface-Einstellungen
30. 30
Traffic Rules – Ausnahmen zu den Default-Einstellungen
Firewall Merlin & GW-Serie
Definition – Traffic Rule