Die neue Firmware für Ihr WeOS4 Produkt steht zum Download bereit. Neben neuen DHCP Optionen haben wir auch die Anzahl der statischen DNS-Einträge in WeOS erhöht. Natürlich haben wir die verwendeten Open Source Codes auf Stand gebracht und einige Schwachstellen somit behoben.

1. Update WeOS 4.30.0 – Wir starten in Kürze
Westermo Webinar
Lisa Heiler, Erwin Lasinger
15. Juli 2021

2. 2
Thema:
Update WeOS 4.30.0
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Erwin Lasinger
Industrial Cyber Security Expert
erwin.lasinger@westermo.com
+43 720 303920 11
+43 676 897262211
Vortragender

3. 3
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet

4. 4
Live Stream
▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten
▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke

5. 5
▪ RedFox 5700 Serie
▪ IEC 61850-3, Class 2 Zertifizierung auf allen Ports
▪ Höchste MTBF Zeiten
▪ Made Easy und Powered by WeOS
▪ Ideal für Ihre Energieanwendung!
https://www.westermo.de/industries/energy/subs
tation-automation
Anfragen unter info.de@westermo.com
KEMA Gold Zertifizierung

6. DHCP Option 121/249

7. 7
DHCP Grundlagen
▪ Dynamic Host Configuration Protocol
▪ Port 68 (Client) / 67 (Server) UDP
▪ Zur automatischen Vergabe von
IP-Adressen an Clients im Netzwerk
▪ Möglichkeit eines DHCP Relay Agenten –
Gibt die DHCP Anfrage dann an den eigentlichen
DHCP Server weiter
CLIENT SERVER

8. 8
DHCP Optionen in WeOS
▪ Übergabe von zusätzlichen Parametern
▪ Subnetzmaske (Option 1)
▪ Gateway (Option 3)
▪ DNS-Server (Option 6)
▪ Log Server (Option 7)
▪ Hostname (Option 12)
▪ Domain (Option 15)
▪ NTP-Server (Option 42)
▪ Classless Static Routes (Option 121) – NEU
▪ Microsoft Classless Static Routes (Option 249) - NEU
▪ Übersicht über alle Optionen:
https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-
parameters.xhtml#options

9. 9
Option 121/249 – WeOS als Server
▪ Statische Routen werden von WeOS an den Client übergeben
▪ Dabei werden die Optionen 121 und 249 identisch gesendet
Statische Routen

10. 10
Option 121/249 – WeOS als Client
▪ Statische Routen können so an WeOS vom DHCP Server übergeben werden
▪ Sollten beide Optionen 121 und 249 an WeOS gesendet werden
▪ Inhalt ist identisch: Nur eine Option wird übernommen, die andere verworfen
▪ Inhalt ist unterschiedlich: Beide Optionen werden übernommen
▪ Generell sollten aber beide Informationen identisch sein

11. 11
Optionen – WeOS als Client
DHCP Optionen
▪ DHCP Optionen, welche von Server angenommen werden, müssen spezifiziert werden
▪ Alle anderen Optionen werden von WeOS nicht angenommen und verworfen

12. Erhöhung der Anzahl an
statischen DNS Einträgen

13. 13
DNS Grundlagen
▪ In der Regel basiert die Kommunikation auf IP-Adress-Ebene
▪ Die Namensauflösung generiert nun einen Namen zu einer IP-Adresse
▪ Die wichtigsten öffentlichen DNS Server sind
▪ 8.8.8.8 (Google DNS A)
▪ 8.8.4.4 (Google DNS B)
▪ 1.1.1.1 (DNS Cloudflare)
▪ …
▪ Zum Beispiel ist so keine Anpassung
bei Änderung der IP-Adresse
erforderlich

14. 14
DNS in WeOS
▪ Auch WeOS kann sich an einem DNS-Server bedienen bzw. auch selbst DNS Server sein
▪ DNS Service = Port 53 UDP / TCP
▪ Diese Ports sind in WeOS 4 per default Offen und
müssen bei Bedarf manuell geschlossen werden
▪ Bzw. ist der Service zu deaktivieren
Deny DNS Ports
DNS Dienst
deaktivieren
DNS Server
für WeOS

15. 15
Statische DNS Einträge in WeOS
▪ Statische Einträge, wenn WeOS DNS Server ist
▪ Statt 512 Einträge sind nun 1024 Einträge möglich

16. CVE fixes

17. 17
Fixes für folgende CVEs wurden implementiert
▪ CVE-2020-25681 - CVE-2020-25687
▪ Schwachstelle in Open-Source dnsmasq
▪ Schwachstellen sind vorwiegend Buffer Overflows
https://en.wikipedia.org/wiki/Dnsmasq#/media/File:Dnsmasq_icon.svg
0,0
Low
10,0
High
3,7 8,1

18. Abkündigung –
RedFox Generation 1 (Atlas)

19. 19
Abkündigung ATLAS Plattform
▪ FW Support der ATLAS Plattform (RedFox Generation 1) abgekündigt
Artikelnummer Gerät
3641-3110 RFI-10
3641-3100 RFI-18
3641-3210 RFI-6-F4G
3641-3310 RFI-10-F4G-T4G
3641-3200 RFI-14-F4G
3641-3410 RFI-10-F8
3641-3400 RFI-18-F8
3641-3300 RFI-18-F4G-T4G
3641-3420 RFI-18-F16
3641-3220 RFI-14-F4G-F8
3641-3320 RFI-18-F4G-T4G-F8

20. Abkündigung –
Profinet Einstellungen

21. 21
Rückblick - WeOS 4.29.0 Webinar

22. 22
Profinet in WeOS 4.30.0
▪ Geschichte:
▪ Für Profinet musste vor Version 4.23.0 IGMP
deaktiviert werden
▪ Unbekannte Multicasts wurden geblockt
▪ Menüpunkt Profinet generierte statische MAC
Einträge
▪ Unbekannte Multicasts werden nicht mehr
blockiert und somit wird auch Profinet per
Default nicht mehr blockiert
▪ Jedoch wurde das Entfernen des nun nicht
mehr benötigten Parameters auf ein späteres
Release verschoben

23. Generelle Bugfixes

24. 24
Generelle Bugfixes
Problem Kategorie Beschreibung
#18321 WEB WebGUI Problem bei DHCP Option 7 (Log Server)
#17862 LED LED des blocking Ports nicht „Gelb“ bei FRNTv0, MRP
und RSTP
#14858 Ports Ports mit fixierter MDI/MDIX und fixen Speed/Duplex
Einstellungen kommen gelegentlich nicht Up

25. Update – WeOS 4.30.1

26. 26
Erweiterung DHCP Option 121/249
▪ Erweiterung auf bis zu 512 Routen gesamt
▪ Achtung auf Limitierung mit DHCP-Paketgrößen
▪ WeOS als DHCP Server: ca. 15 Routen pro Client
▪ WeOS als DHCP Client: ca. 33 Routen, sofern nicht 121 und 249 gesendet werden
▪ DHCP Host Reservierungen inkl. Option 121/249 möglich
▪ Limitierung pro DHCP-Subnet auf 16 Routen aufgehoben

27. 27
Fixes für folgende CVEs wurden implementiert
▪ CVE-2014-3686, CVE-2015-4142, CVE-2015-4143, CVE-2015-4144, CVE-2015-4145, CVE-
2015-4146, CVE-2015-8041, CVE-2016-4476, CVE-2016-10743, CVE-2019-5061, CVE-
2019-5062, CVE-2019-9495, CVE-2019-9497, CVE-2019-9498, CVE-2019-9499, CVE-2019-
10064, CVE-2019-11555, CVE-2019-13377, CVE-2019-16275
▪ Schwachstellen betreffen die 802.1X Implementierung (wpa_supplicant, …)
0,0
Low
10,0
High
3,3 6,8

28. 28
Generelle Bugfixes
Problem Kategorie Beschreibung
#18361 Logging Syslog Datum ist nach NTP Sync falsch
#18359 IGMP Unterbrechung am Access Port, wenn keine Verbindung zu
IGMP Querier
#18354 802.1X Autorisierter Supplicant bleibt blockiert
#18350 NTP NTP startet 5-6 mal während Reboot / IP-Änderung
#17922 DHCP DHCP Offers via Relay Agent und Option 82 werden
untagged auf tagged Ports gesendet
#17838 802.1X Radius Server FQDN bringt 802.1X zum Absturz
#14838 DHCP DHCP Option tftp-server werden immer untagged gesendet

29. 29
Fragen?

30. 30
Weitere Webinare
▪ Alle Webinare / Aufzeichnungen finden Sie unter:
▪ https://www.westermo.de/news-and-events/webinars
▪ Weitere Webinare:
▪ WLAN Applikationen – 23.09.2021
▪ L2 Redundanzen – 02.12.2021
▪ Einladungen werden über Newsletter verteilt:
▪ https://www.westermo.de/news-and-
events/newsletters/newsletter
▪ https://www.westermo.de/news-and-
events/newsletters/wesecure

31. 31