SlideShare a Scribd company logo

Firewall.pdf

Westermo Network Technologies
Westermo Network Technologies

Firewall – das hört sich doch sehr komplex an, oder? Nein, mit Hilfe des richtigen Verständnisses sind die nächsten Regeln kein Thema mehr für Sie. Erfahren Sie nur hier in unserem neuem Technologie Webinar was eine Firewall grundsätzlich ist und macht. Wo sind die Unterschiede zwischen IT und OT Firewalls. Weiters schauen wir uns kurz das Thema der viel diskutieren Zonierungen an.

Technology
1 of 33
Firewall Westermo Technologie Webinar Erwin Lasinger 28. Juli 2022
2 Thema: Firewall Dauer: 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Erwin Lasinger Industrial Cyber Security Expert erwin.lasinger@westermo.com +43 720 303920 11 +43 676 897262211 Vortrag
3 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
4 Live Stream ▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten ▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
5 ▪ RedFox 7528 wurde vorgestellt ▪ WeOS5-Support ▪ 19‘‘ L2 Switch ▪ 4x 10G SFP+ Slot ▪ 12x 1G SFP Slot ▪ 12x 1G ETH Ports ▪ IEC62443-4-2 Compliant ▪ EN50121-4 und vieles mehr https://www.westermo.de/products/ethernet- switches/rack/redfox-7528-f4g10-f12g-t12g-lv Anfragen unter info.de@westermo.com RedFox 7528 – Erster 10G Ethernet Switch
Grundlagen Firewall
7 Grundlagen Firewall – OSI Modell Physical Layer 1 WLAN, RJ-45, SHDSL Data Link Layer 2 ARP, MAC(-Adressen), PPP Network Layer 3 IP(-Adressen), ESP, OSPF, ICMP Transport Layer 4 TCP, UDP Session Layer 5 PPTP, SIP Presentation Layer 6 ASCII, SSL, TLS Application Layer 7 POP3, SSH, DHCP, FTP Switch Router, Firewall
8 ▪ Überwacht den Datenverkehr ▪ Als Software am PC selbst ▪ Als HW-Firewall im Netzwerk zwischen 2 Subnetzen ▪ Es gibt unterschiedliche Typen von Firewalls ▪ Anhand eines Regel-Sets werden Datenpakete durchgelassen oder blockiert Grundlagen Firewall 192.168.1.0/24 192.168.2.0/24
9 Firewalls sind etwas neues für uns? Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
10 Typen von Firewalls ▪ Paketfilter ▪ Schaut lediglich auf die Netzwerkadresse des Absenders bzw. Empfängers (IP-Adresse und Port) ▪ Stateful Inspection ▪ Hier wird der Verbindungsstatus überwacht. Somit ist es schwieriger unerlaubten Zugriff zu gelangen. ▪ Per default deaktiviert und über die Console aktivierbar ▪ Deep Packet Inspection ▪ Analysiert zusätzlich zu den Funktionen oben auch den Inhalt des Datenpaketes. Ist aber sehr rechenaufwendig und ggf. komplex einzustellen. ▪ WeOS unterstützt DPI Regeln für Modbus TCP ▪ Eine Hardware Firewall ersetzt keinen Virenschutz bzw. Software Firewall am PC
11 Unterschiede IT / OT Firewall-Anforderungen IT VS. OT Dynamisches Netzwerk Sehr starres Netzwerk Ständig änderndes Userverhalten Kein Userverhalten und somit ist der Datenverkehr nicht allzu variabel Sehr ausgereifte Systeme Sehr oft ist eine Stateful Inspection ausreichend Eher Komplex Geringe Komplexität Blacklisting-Ansatz Whitelisting-Ansatz Platziert im Serverraum Verbaut im industriellen Umfeld Laufende Updatekosten Lebensdauer von einigen Jahren
Kurzer Einblick - Zonierung
13 ▪ Zonierung = Aufteilung eigenständige Segmente ▪ Verhindert das Übergreifen von Problemen ▪ Zonen werden über Conduits verbunden ▪ So ein Conduit wird per Firewall überwacht ▪ Zonen ergeben sich nach Schutzbedarf & geographischer Lage ▪ Lokales SPS Netzwerk ▪ Prozessleittechnik ▪ Management PCs ▪ Office Netzwerk Was ist eine Zonierung? Zone 1 Zone 4 Zone 5 Zone 3 Zone 2
14 Zonierung etwas neues für uns? Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
Weitere Firewall- Funktionen
16 NA(P)T ▪ NAT (Network Address Translation) ▪ NAPT (Network Address and Port Translation) ▪ Bedeutet dass in der Regel die Absender-IP bzw. Port verändert wird ▪ Normalerweise auf die Adresse des Outgoing Interfaces ▪ Wird zum Beispiel benötigt damit das Paket den Weg retour finden kann ▪ Somit wird zum Beispiel auch kein Default Gateway in der SPS unten benötigt 192.168.1.10:36267 192.168.2.40:102 192.168.1.10:36267 192.168.2.40:102 192.168.2.254:48521 192.168.2.40:102 192.168.2.254:48521 192.168.2.40:102 192.168.1.0/24 192.168.2.0/24 NAPT
17 1-to-1 NAT (Stateless NAT) ▪ Gleich wie das NAPT, nur wird hier je nach Richtung auch die Destination IP geändert ▪ Abfrage zum Ziel: Destination IP wird geändert ▪ Abfrage vom Ziel: Source IP wird geändert ▪ Wird verwendet um Anlagen mit identischen IP-Adressen anzubinden ▪ WeOS Gerät hat die 1-TO-1 NAT Adresse (parallel zur eigenen IP-Adresse) und leitet alles an das eigentliche Ziel weiter ▪ Ggf. müssen noch Firewallregeln konfiguriert werden 10.0.0.0/24 .40 .254 192.168.2.0/24 10.0.0.23/24 1-TO-1 NAT .40 .254 192.168.2.0/24 10.0.0.22/24 1-TO-1 NAT .40 .254 192.168.2.0/24 10.0.0.21/24 1-TO-1 NAT Anlage 1: 10.0.0.21 Anlage 2: 10.0.0.22 Anlage 3: 10.0.0.23
18 Port Forwarding ▪ Hier wird im Gegensatz zum 1-TO-1 NAT nur ein spezieller Port an das Endgerät weitergeleitet. ▪ WeOS besitzt hier keine separate IP-Adresse für das Endgerät am WAN Interface 192.168.1.10:36267 192.168.1.20:102 192.168.1.10:36267 192.168.1.20:102 192.168.1.10:36267 192.168.2.40:102 192.168.1.10:36267 192.168.2.40:102 192.168.1.0/24 192.168.2.0/24 192.168.1.10:54738 192.168.1.20:103 192.168.1.10:54738 192.168.2.41:102 192.168.1.10:54738 192.168.2.41:102 192.168.1.10:54738 192.168.1.20:103
19 ALG Helpers ▪ Application Layer Gateway Helper – Layer 7 ▪ Firewall monitored den Datenverkehr ▪ Gibt dann bei Bedarf Ports für die Verbindung frei ▪ Protokolle bei den ALG benötigt wird ▪ (T)FTP ▪ SIP ▪ PPTP ▪ … FTP Server 20 Data 21 Cmd FTP Client 5150 Cmd 5151 Data Beispiel: Aktives FTP
Spezifikationen & Konfiguration anhand eines Beispiels
21 Wie ist nun so eine Firewall aufgebaut? ▪ Es gibt unterschiedliche Chains denen die Datenpakete zugeordnet werden ▪ Input-Chain Datenpakete an die Firewall gerichtet (Bsp: Management) ▪ Output-Chain Datenpakete von der Firewall (Bsp: DHCP Requests) ▪ Forward-Chain Datenpakete durch die Firewall (Bsp: Modbus TCP zwischen 2 Steuerungen) ▪ Ggf Chains für Logging, … ▪ Regelset wird von oben nach unten durchlaufen ▪ Die erst passende Regel wird herangezogen ▪ Ende ist immer die Default Regel ▪ Allow / Deny all | Black- / Whitelisting Input Fwd Out Logging
22 ▪ 2 VLANs ▪ VLAN2 & VLAN3 ▪ Bzw. beim XRD – LAN & LAN2 ▪ Siemens PLC Kommunikation ▪ Leitsystem-Netzwerk: 192.168.2.0/24 ▪ Siemens PLC: 192.168.3.40 ▪ Port / Protokoll: 102/TCP Unsere Beispiel Regel PLS-Net 192.168.2.0/24 192.168.2.0/24 Siemens PLC 192.168.3.40
23 Firewall in WeOS4 ▪ Per Default deaktiviert ▪ Unterstützt von der erweiterten WeOS-Version ▪ Gerätetypen mit 2XX | L210-F2G | DDW-242 | RFIR-227-F4G-T7G | … ▪ Achtung auf die Performance ▪ Je nach Hardware (Lynx, RedFox, …) und Paketgröße von einigen Mbit/s bis mehreren 100Mbit/s ▪ Es gibt versteckte Firewall-Regeln, welche das System automatisch anlegt ▪ IPSec / OpenVPN – Input ▪ DNS – Input ▪ DHCP – Input ▪ Management – Input ▪ Teilweise können diese Regeln umgangen werden, indem eine Deny-Regel für den Port / Protokoll angelegt wird ▪ Teilweise DPI Firewallregeln möglich – Modbus TCP
24 Firewall in WeOS4 Wenn leer, dann Input Chain Wenn leer, dann any-Interface Position in der Liste der Regeln Allow Regel oder Deny Regel Muss-Feld, wenn Ports angegeben werden Absender-Adresse / Subnetz Absender-Port, in der Regel undefiniert Ziel-Adresse / Subnetz Ziel-Port, wenn angegeben, muss das Protokoll definiert werden Logging der Regel – Kernel.log
25 Firewall in WeOS5 ▪ Per Default deaktiviert ▪ Unterstützt von der erweiterten WeOS-Version ▪ Gerätetypen -E- | L5512-E-F4G-T8G | RedFox-5528-E-… | … ▪ Achtung auf die Performance ▪ Performance liegt bei mehreren 100Mbit/s, abhängig von der Paketgröße ▪ Es gibt keine versteckten Firewall-Regeln ▪ Alle Regeln müssen von Hand angelegt werden ▪ Management - Input ▪ OpenVPN - Input ▪ OSPF - Input
26 Firewall in WeOS5 Input-Chain Forwarding-Chain Regeln selbst quasi ident zu WeOS4
27 Firewall MRD & BRD ▪ Per Default steht die Firewall auf Allow ▪ Firewall – Access Control ▪ Generelle Management Einstellungen für Zugriff über WLS, VPN, … ▪ Kann durch Custom Filters überschrieben werden ▪ Custom Filters ▪ Firewallregeln selbst ▪ Chains sind hier wieder erkennbar ▪ Forwarded packets (Fwd) ▪ Locally destined packets (Lcl In) ▪ Locally generated packets (Lcl Out) Access Control
28 Firewall MRD & BRD Filter Rule Custom Filters Deny Regel als neue Default Regel Muss ganz am Ende stehen!
29 Generelle Zoneneinstellungen ▪ Standard OpenWRT-Firewall ▪ Unterteilt in Zonen ▪ Zonen werden beim Anlegen der Interfaces definiert Firewall Merlin & GW-Serie Zonenübergreifende Kommunikation Default Input Chain NAPT Default Output Chain Default Fwd Chain Innerhalb der Zone Interface-Einstellungen
30 Traffic Rules – Ausnahmen zu den Default-Einstellungen Firewall Merlin & GW-Serie Definition – Traffic Rule
31 Fragen?
32 Weitere Webinare ▪ Alle Webinare / Aufzeichnungen finden Sie unter: ▪ https://www.westermo.de/news-and-events/webinars ▪ Weitere Webinare: ▪ Verschlüsselung & VPN – 13.09.2022 ▪ Netzwerk Monitoring – 05.10.2022 ▪ Geroutete Redundanzen – 08.11.2022 ▪ Einladungen werden über Newsletter verteilt: ▪ https://www.westermo.de/news-and- events/newsletters/newsletter ▪ https://www.westermo.de/news-and- events/newsletters/wesecure
33

Recommended

Port Security - Industrieller Cyber Security
Port Security - Industrieller Cyber SecurityPort Security - Industrieller Cyber Security
Port Security - Industrieller Cyber Security
Westermo Network Technologies
 
Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Neuigkeiten von Westermos Betriebssystem WeOS 4.28Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Westermo Network Technologies
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
Westermo Network Technologies
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
Westermo Network Technologies
 
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
Westermo Network Technologies
 
WLAN
WLANWLAN
WLAN
Westermo Network Technologies
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
Westermo Network Technologies
 
WeOS 4.30.0
WeOS 4.30.0WeOS 4.30.0
WeOS 4.30.0
Westermo Network Technologies
 

Recommended

Port Security - Industrieller Cyber Security
Port Security - Industrieller Cyber SecurityPort Security - Industrieller Cyber Security
Port Security - Industrieller Cyber Security
Westermo Network Technologies
 
Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Neuigkeiten von Westermos Betriebssystem WeOS 4.28Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Westermo Network Technologies
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
Westermo Network Technologies
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
Westermo Network Technologies
 
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
Westermo Network Technologies
 
WLAN
WLANWLAN
WLAN
Westermo Network Technologies
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
Westermo Network Technologies
 
WeOS 4.30.0
WeOS 4.30.0WeOS 4.30.0
WeOS 4.30.0
Westermo Network Technologies
 
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
Westermo Network Technologies
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
Westermo Network Technologies
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Maximilian Wilhelm
 
WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1
Westermo Network Technologies
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD Mobilfunkroutern
Westermo Network Technologies
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
Westermo Network Technologies
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Westermo Network Technologies
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Westermo Network Technologies
 
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Network Technologies
 
Switches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldSwitches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins Feld
MacKenzie Regorsek
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
Daniel Schneller
 
E Security
E SecurityE Security
E Security
Udo Ornik
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
Maximilian Wilhelm
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
Maximilan Wilhelm
 
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud StackInfracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Edmund Siegfried Haselwanter
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimag
Belsoft
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
Westermo Network Technologies
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
Gunther Pippèrr
 
Layer 2 Redundanzen
Layer 2 RedundanzenLayer 2 Redundanzen
Layer 2 Redundanzen
Westermo Network Technologies
 
Firewalls
FirewallsFirewalls
Firewalls
guest9012e3f
 
Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
Westermo Network Technologies
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
Westermo Network Technologies
 

More Related Content

Similar to Firewall.pdf

Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Maximilian Wilhelm
 
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Network Technologies
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
Daniel Schneller
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
Maximilian Wilhelm
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
Maximilan Wilhelm
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
Gunther Pippèrr
 

Similar to Firewall.pdf (20)

450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
 
WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD Mobilfunkroutern
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber Security
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
 
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
 
Switches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldSwitches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins Feld
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
 
E Security
E SecurityE Security
E Security
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud StackInfracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
Infracoders Graz, smartOS - vom Netzwerk in der Box - zum Software Cloud Stack
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimag
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
 
Layer 2 Redundanzen
Layer 2 RedundanzenLayer 2 Redundanzen
Layer 2 Redundanzen
 
Firewalls
FirewallsFirewalls
Firewalls
 

More from Westermo Network Technologies

Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
Westermo Network Technologies
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
Westermo Network Technologies
 

More from Westermo Network Technologies (16)

Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
 
DHCP
DHCPDHCP
DHCP
 
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
 
Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
 
SHDSL & Glasfaser
SHDSL & GlasfaserSHDSL & Glasfaser
SHDSL & Glasfaser
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communications
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet Networking
 
How to build resilient industrial networks
How to build resilient industrial networksHow to build resilient industrial networks
How to build resilient industrial networks
 
Westermo solutions for trackside networks
Westermo solutions for trackside networksWestermo solutions for trackside networks
Westermo solutions for trackside networks
 
Westermo solutions for onboard rail networks
Westermo solutions for onboard rail networksWestermo solutions for onboard rail networks
Westermo solutions for onboard rail networks
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber Security
 

Firewall.pdf

  • 2. 2 Thema: Firewall Dauer: 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Erwin Lasinger Industrial Cyber Security Expert erwin.lasinger@westermo.com +43 720 303920 11 +43 676 897262211 Vortrag
  • 3. 3 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
  • 4. 4 Live Stream ▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten ▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
  • 5. 5 ▪ RedFox 7528 wurde vorgestellt ▪ WeOS5-Support ▪ 19‘‘ L2 Switch ▪ 4x 10G SFP+ Slot ▪ 12x 1G SFP Slot ▪ 12x 1G ETH Ports ▪ IEC62443-4-2 Compliant ▪ EN50121-4 und vieles mehr https://www.westermo.de/products/ethernet- switches/rack/redfox-7528-f4g10-f12g-t12g-lv Anfragen unter info.de@westermo.com RedFox 7528 – Erster 10G Ethernet Switch
  • 7. 7 Grundlagen Firewall – OSI Modell Physical Layer 1 WLAN, RJ-45, SHDSL Data Link Layer 2 ARP, MAC(-Adressen), PPP Network Layer 3 IP(-Adressen), ESP, OSPF, ICMP Transport Layer 4 TCP, UDP Session Layer 5 PPTP, SIP Presentation Layer 6 ASCII, SSL, TLS Application Layer 7 POP3, SSH, DHCP, FTP Switch Router, Firewall
  • 8. 8 ▪ Überwacht den Datenverkehr ▪ Als Software am PC selbst ▪ Als HW-Firewall im Netzwerk zwischen 2 Subnetzen ▪ Es gibt unterschiedliche Typen von Firewalls ▪ Anhand eines Regel-Sets werden Datenpakete durchgelassen oder blockiert Grundlagen Firewall 192.168.1.0/24 192.168.2.0/24
  • 9. 9 Firewalls sind etwas neues für uns? Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
  • 10. 10 Typen von Firewalls ▪ Paketfilter ▪ Schaut lediglich auf die Netzwerkadresse des Absenders bzw. Empfängers (IP-Adresse und Port) ▪ Stateful Inspection ▪ Hier wird der Verbindungsstatus überwacht. Somit ist es schwieriger unerlaubten Zugriff zu gelangen. ▪ Per default deaktiviert und über die Console aktivierbar ▪ Deep Packet Inspection ▪ Analysiert zusätzlich zu den Funktionen oben auch den Inhalt des Datenpaketes. Ist aber sehr rechenaufwendig und ggf. komplex einzustellen. ▪ WeOS unterstützt DPI Regeln für Modbus TCP ▪ Eine Hardware Firewall ersetzt keinen Virenschutz bzw. Software Firewall am PC
  • 11. 11 Unterschiede IT / OT Firewall-Anforderungen IT VS. OT Dynamisches Netzwerk Sehr starres Netzwerk Ständig änderndes Userverhalten Kein Userverhalten und somit ist der Datenverkehr nicht allzu variabel Sehr ausgereifte Systeme Sehr oft ist eine Stateful Inspection ausreichend Eher Komplex Geringe Komplexität Blacklisting-Ansatz Whitelisting-Ansatz Platziert im Serverraum Verbaut im industriellen Umfeld Laufende Updatekosten Lebensdauer von einigen Jahren
  • 12. Kurzer Einblick - Zonierung
  • 13. 13 ▪ Zonierung = Aufteilung eigenständige Segmente ▪ Verhindert das Übergreifen von Problemen ▪ Zonen werden über Conduits verbunden ▪ So ein Conduit wird per Firewall überwacht ▪ Zonen ergeben sich nach Schutzbedarf & geographischer Lage ▪ Lokales SPS Netzwerk ▪ Prozessleittechnik ▪ Management PCs ▪ Office Netzwerk Was ist eine Zonierung? Zone 1 Zone 4 Zone 5 Zone 3 Zone 2
  • 14. 14 Zonierung etwas neues für uns? Quelle: http://www.kurpfalzarchiv.de/wp-content/uploads/2016/10/SP_Mauerkarte14Jh.jpg
  • 16. 16 NA(P)T ▪ NAT (Network Address Translation) ▪ NAPT (Network Address and Port Translation) ▪ Bedeutet dass in der Regel die Absender-IP bzw. Port verändert wird ▪ Normalerweise auf die Adresse des Outgoing Interfaces ▪ Wird zum Beispiel benötigt damit das Paket den Weg retour finden kann ▪ Somit wird zum Beispiel auch kein Default Gateway in der SPS unten benötigt 192.168.1.10:36267 192.168.2.40:102 192.168.1.10:36267 192.168.2.40:102 192.168.2.254:48521 192.168.2.40:102 192.168.2.254:48521 192.168.2.40:102 192.168.1.0/24 192.168.2.0/24 NAPT
  • 17. 17 1-to-1 NAT (Stateless NAT) ▪ Gleich wie das NAPT, nur wird hier je nach Richtung auch die Destination IP geändert ▪ Abfrage zum Ziel: Destination IP wird geändert ▪ Abfrage vom Ziel: Source IP wird geändert ▪ Wird verwendet um Anlagen mit identischen IP-Adressen anzubinden ▪ WeOS Gerät hat die 1-TO-1 NAT Adresse (parallel zur eigenen IP-Adresse) und leitet alles an das eigentliche Ziel weiter ▪ Ggf. müssen noch Firewallregeln konfiguriert werden 10.0.0.0/24 .40 .254 192.168.2.0/24 10.0.0.23/24 1-TO-1 NAT .40 .254 192.168.2.0/24 10.0.0.22/24 1-TO-1 NAT .40 .254 192.168.2.0/24 10.0.0.21/24 1-TO-1 NAT Anlage 1: 10.0.0.21 Anlage 2: 10.0.0.22 Anlage 3: 10.0.0.23
  • 18. 18 Port Forwarding ▪ Hier wird im Gegensatz zum 1-TO-1 NAT nur ein spezieller Port an das Endgerät weitergeleitet. ▪ WeOS besitzt hier keine separate IP-Adresse für das Endgerät am WAN Interface 192.168.1.10:36267 192.168.1.20:102 192.168.1.10:36267 192.168.1.20:102 192.168.1.10:36267 192.168.2.40:102 192.168.1.10:36267 192.168.2.40:102 192.168.1.0/24 192.168.2.0/24 192.168.1.10:54738 192.168.1.20:103 192.168.1.10:54738 192.168.2.41:102 192.168.1.10:54738 192.168.2.41:102 192.168.1.10:54738 192.168.1.20:103
  • 19. 19 ALG Helpers ▪ Application Layer Gateway Helper – Layer 7 ▪ Firewall monitored den Datenverkehr ▪ Gibt dann bei Bedarf Ports für die Verbindung frei ▪ Protokolle bei den ALG benötigt wird ▪ (T)FTP ▪ SIP ▪ PPTP ▪ … FTP Server 20 Data 21 Cmd FTP Client 5150 Cmd 5151 Data Beispiel: Aktives FTP
  • 21. 21 Wie ist nun so eine Firewall aufgebaut? ▪ Es gibt unterschiedliche Chains denen die Datenpakete zugeordnet werden ▪ Input-Chain Datenpakete an die Firewall gerichtet (Bsp: Management) ▪ Output-Chain Datenpakete von der Firewall (Bsp: DHCP Requests) ▪ Forward-Chain Datenpakete durch die Firewall (Bsp: Modbus TCP zwischen 2 Steuerungen) ▪ Ggf Chains für Logging, … ▪ Regelset wird von oben nach unten durchlaufen ▪ Die erst passende Regel wird herangezogen ▪ Ende ist immer die Default Regel ▪ Allow / Deny all | Black- / Whitelisting Input Fwd Out Logging
  • 22. 22 ▪ 2 VLANs ▪ VLAN2 & VLAN3 ▪ Bzw. beim XRD – LAN & LAN2 ▪ Siemens PLC Kommunikation ▪ Leitsystem-Netzwerk: 192.168.2.0/24 ▪ Siemens PLC: 192.168.3.40 ▪ Port / Protokoll: 102/TCP Unsere Beispiel Regel PLS-Net 192.168.2.0/24 192.168.2.0/24 Siemens PLC 192.168.3.40
  • 23. 23 Firewall in WeOS4 ▪ Per Default deaktiviert ▪ Unterstützt von der erweiterten WeOS-Version ▪ Gerätetypen mit 2XX | L210-F2G | DDW-242 | RFIR-227-F4G-T7G | … ▪ Achtung auf die Performance ▪ Je nach Hardware (Lynx, RedFox, …) und Paketgröße von einigen Mbit/s bis mehreren 100Mbit/s ▪ Es gibt versteckte Firewall-Regeln, welche das System automatisch anlegt ▪ IPSec / OpenVPN – Input ▪ DNS – Input ▪ DHCP – Input ▪ Management – Input ▪ Teilweise können diese Regeln umgangen werden, indem eine Deny-Regel für den Port / Protokoll angelegt wird ▪ Teilweise DPI Firewallregeln möglich – Modbus TCP
  • 24. 24 Firewall in WeOS4 Wenn leer, dann Input Chain Wenn leer, dann any-Interface Position in der Liste der Regeln Allow Regel oder Deny Regel Muss-Feld, wenn Ports angegeben werden Absender-Adresse / Subnetz Absender-Port, in der Regel undefiniert Ziel-Adresse / Subnetz Ziel-Port, wenn angegeben, muss das Protokoll definiert werden Logging der Regel – Kernel.log
  • 25. 25 Firewall in WeOS5 ▪ Per Default deaktiviert ▪ Unterstützt von der erweiterten WeOS-Version ▪ Gerätetypen -E- | L5512-E-F4G-T8G | RedFox-5528-E-… | … ▪ Achtung auf die Performance ▪ Performance liegt bei mehreren 100Mbit/s, abhängig von der Paketgröße ▪ Es gibt keine versteckten Firewall-Regeln ▪ Alle Regeln müssen von Hand angelegt werden ▪ Management - Input ▪ OpenVPN - Input ▪ OSPF - Input
  • 27. 27 Firewall MRD & BRD ▪ Per Default steht die Firewall auf Allow ▪ Firewall – Access Control ▪ Generelle Management Einstellungen für Zugriff über WLS, VPN, … ▪ Kann durch Custom Filters überschrieben werden ▪ Custom Filters ▪ Firewallregeln selbst ▪ Chains sind hier wieder erkennbar ▪ Forwarded packets (Fwd) ▪ Locally destined packets (Lcl In) ▪ Locally generated packets (Lcl Out) Access Control
  • 28. 28 Firewall MRD & BRD Filter Rule Custom Filters Deny Regel als neue Default Regel Muss ganz am Ende stehen!
  • 29. 29 Generelle Zoneneinstellungen ▪ Standard OpenWRT-Firewall ▪ Unterteilt in Zonen ▪ Zonen werden beim Anlegen der Interfaces definiert Firewall Merlin & GW-Serie Zonenübergreifende Kommunikation Default Input Chain NAPT Default Output Chain Default Fwd Chain Innerhalb der Zone Interface-Einstellungen
  • 30. 30 Traffic Rules – Ausnahmen zu den Default-Einstellungen Firewall Merlin & GW-Serie Definition – Traffic Rule
  • 32. 32 Weitere Webinare ▪ Alle Webinare / Aufzeichnungen finden Sie unter: ▪ https://www.westermo.de/news-and-events/webinars ▪ Weitere Webinare: ▪ Verschlüsselung & VPN – 13.09.2022 ▪ Netzwerk Monitoring – 05.10.2022 ▪ Geroutete Redundanzen – 08.11.2022 ▪ Einladungen werden über Newsletter verteilt: ▪ https://www.westermo.de/news-and- events/newsletters/newsletter ▪ https://www.westermo.de/news-and- events/newsletters/wesecure
  • 33. 33