Die neue Firmware für Ihr WeOS4 Produkt steht zum Download bereit. Neben neuen DHCP Optionen haben wir auch die Anzahl der statischen DNS-Einträge in WeOS erhöht. Natürlich haben wir die verwendeten Open Source Codes auf Stand gebracht und einige Schwachstellen somit behoben.
Zonierung und firewalling - Industrieller Cyber Security
WeOS 4.30.0
1. Update WeOS 4.30.0 – Wir starten in Kürze
Westermo Webinar
Lisa Heiler, Erwin Lasinger
15. Juli 2021
2. 2
Thema:
Update WeOS 4.30.0
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Erwin Lasinger
Industrial Cyber Security Expert
erwin.lasinger@westermo.com
+43 720 303920 11
+43 676 897262211
Vortragender
3. 3
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
4. 4
Live Stream
▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten
▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
5. 5
▪ RedFox 5700 Serie
▪ IEC 61850-3, Class 2 Zertifizierung auf allen Ports
▪ Höchste MTBF Zeiten
▪ Made Easy und Powered by WeOS
▪ Ideal für Ihre Energieanwendung!
https://www.westermo.de/industries/energy/subs
tation-automation
Anfragen unter info.de@westermo.com
KEMA Gold Zertifizierung
7. 7
DHCP Grundlagen
▪ Dynamic Host Configuration Protocol
▪ Port 68 (Client) / 67 (Server) UDP
▪ Zur automatischen Vergabe von
IP-Adressen an Clients im Netzwerk
▪ Möglichkeit eines DHCP Relay Agenten –
Gibt die DHCP Anfrage dann an den eigentlichen
DHCP Server weiter
CLIENT SERVER
8. 8
DHCP Optionen in WeOS
▪ Übergabe von zusätzlichen Parametern
▪ Subnetzmaske (Option 1)
▪ Gateway (Option 3)
▪ DNS-Server (Option 6)
▪ Log Server (Option 7)
▪ Hostname (Option 12)
▪ Domain (Option 15)
▪ NTP-Server (Option 42)
▪ Classless Static Routes (Option 121) – NEU
▪ Microsoft Classless Static Routes (Option 249) - NEU
▪ Übersicht über alle Optionen:
https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-
parameters.xhtml#options
9. 9
Option 121/249 – WeOS als Server
▪ Statische Routen werden von WeOS an den Client übergeben
▪ Dabei werden die Optionen 121 und 249 identisch gesendet
Statische Routen
10. 10
Option 121/249 – WeOS als Client
▪ Statische Routen können so an WeOS vom DHCP Server übergeben werden
▪ Sollten beide Optionen 121 und 249 an WeOS gesendet werden
▪ Inhalt ist identisch: Nur eine Option wird übernommen, die andere verworfen
▪ Inhalt ist unterschiedlich: Beide Optionen werden übernommen
▪ Generell sollten aber beide Informationen identisch sein
11. 11
Optionen – WeOS als Client
DHCP Optionen
▪ DHCP Optionen, welche von Server angenommen werden, müssen spezifiziert werden
▪ Alle anderen Optionen werden von WeOS nicht angenommen und verworfen
13. 13
DNS Grundlagen
▪ In der Regel basiert die Kommunikation auf IP-Adress-Ebene
▪ Die Namensauflösung generiert nun einen Namen zu einer IP-Adresse
▪ Die wichtigsten öffentlichen DNS Server sind
▪ 8.8.8.8 (Google DNS A)
▪ 8.8.4.4 (Google DNS B)
▪ 1.1.1.1 (DNS Cloudflare)
▪ …
▪ Zum Beispiel ist so keine Anpassung
bei Änderung der IP-Adresse
erforderlich
14. 14
DNS in WeOS
▪ Auch WeOS kann sich an einem DNS-Server bedienen bzw. auch selbst DNS Server sein
▪ DNS Service = Port 53 UDP / TCP
▪ Diese Ports sind in WeOS 4 per default Offen und
müssen bei Bedarf manuell geschlossen werden
▪ Bzw. ist der Service zu deaktivieren
Deny DNS Ports
DNS Dienst
deaktivieren
DNS Server
für WeOS
15. 15
Statische DNS Einträge in WeOS
▪ Statische Einträge, wenn WeOS DNS Server ist
▪ Statt 512 Einträge sind nun 1024 Einträge möglich
22. 22
Profinet in WeOS 4.30.0
▪ Geschichte:
▪ Für Profinet musste vor Version 4.23.0 IGMP
deaktiviert werden
▪ Unbekannte Multicasts wurden geblockt
▪ Menüpunkt Profinet generierte statische MAC
Einträge
▪ Unbekannte Multicasts werden nicht mehr
blockiert und somit wird auch Profinet per
Default nicht mehr blockiert
▪ Jedoch wurde das Entfernen des nun nicht
mehr benötigten Parameters auf ein späteres
Release verschoben
24. 24
Generelle Bugfixes
Problem Kategorie Beschreibung
#18321 WEB WebGUI Problem bei DHCP Option 7 (Log Server)
#17862 LED LED des blocking Ports nicht „Gelb“ bei FRNTv0, MRP
und RSTP
#14858 Ports Ports mit fixierter MDI/MDIX und fixen Speed/Duplex
Einstellungen kommen gelegentlich nicht Up
26. 26
Erweiterung DHCP Option 121/249
▪ Erweiterung auf bis zu 512 Routen gesamt
▪ Achtung auf Limitierung mit DHCP-Paketgrößen
▪ WeOS als DHCP Server: ca. 15 Routen pro Client
▪ WeOS als DHCP Client: ca. 33 Routen, sofern nicht 121 und 249 gesendet werden
▪ DHCP Host Reservierungen inkl. Option 121/249 möglich
▪ Limitierung pro DHCP-Subnet auf 16 Routen aufgehoben
28. 28
Generelle Bugfixes
Problem Kategorie Beschreibung
#18361 Logging Syslog Datum ist nach NTP Sync falsch
#18359 IGMP Unterbrechung am Access Port, wenn keine Verbindung zu
IGMP Querier
#18354 802.1X Autorisierter Supplicant bleibt blockiert
#18350 NTP NTP startet 5-6 mal während Reboot / IP-Änderung
#17922 DHCP DHCP Offers via Relay Agent und Option 82 werden
untagged auf tagged Ports gesendet
#17838 802.1X Radius Server FQDN bringt 802.1X zum Absturz
#14838 DHCP DHCP Option tftp-server werden immer untagged gesendet