Manchmal muss ein Zugang zum GA-Netzwerk von anderen Netzwerken oder umgekehrt möglich sein. In einem solchen Szenario ist der nichtautorisierte Zugang das höchste IT-Sicherheitsrisiko. So kann ein Angreifer z.B. einen korrupten Computer im Büronetzwerk des Kunden für den Angriff auf die Geräte im GA-Netzwerk verwenden.
Port-Scanning und Eindringversuche
Eindringlinge verwenden dazu typischerweise eine Port-Scanning-Software zum Durchsuchen von IP-Adressbereichen auf offene Kommunikations-Ports. Diese Software erzeugt einen Bericht, der zur weiteren Untersuchung der offenen Ports genutzt wird.
Schutz mittels Firewall
Um ein GA- oder Kundennetzwerk zu schützen, muss jedes Netzwerk mittels Firewall geschützt werden. Eine Firewall ist ein Gerät oder eine Software, welche den Datenverkehr gemäss vorkonfigurierten Regeln filtern. Normalerweise enthält der Managed-Switch oder Router die Firewall-Funktionalität.
Anweisungen zur Konfiguration der Firewall übersteigen den Geltungsbereich dieses Dokuments. Die Regeln werden fallweise zusammen mit der IT-Abteilung der Kunden erarbeitet.
Allow-list
Die Firewall-Konfiguration sollte die Allow-Liste verwenden, d.h. sämtlicher Datenverkehr wird standardmässig geblockt und nur explizit zulässiger Verkehr ist erlaubt. Jeder direkte Zugang zum GA-Netzerk über das Internet muss blockiert und der Zugang von anderen Kundennetzwerken auf spezifische Computer wie Managementstationen und die erforderlichen Ports eingeschränkt werden.
Liste der von Desigo verwendeten Ports: Grundlagen für Ethernet, TCP/IP, MS/TP und BACnet (CM110666).
Keine Ports müssen in der Firewall geöffnet werden, wenn kein Zugang zum GA-System benötigt wird. Dies ist die sicherste Variante, hat aber Auswirkungen auf Service und Systemmanagement.
Allgemein sind die GA-Protokolle auf die GA-Domäne zu beschränken und Zugang von aussen mittels GA-Protokollen zu vermeiden. Ist ein externer Zugriff wie Engineering-Zugriff über BACnet unabdingbar, ist der Zugriff auf das absolute Minimum zu beschränken und zusätzliche IT-Sicherheitsmassnahmen zu treffen.
Die Art der Firewall und die Regeln hängen vom Projekt ab und sind gemeinsam mit der IT-Abteilung auszuwählen. Eine einfache Router-Firewall kann mehrere Netzwerkschnittstellen für mehrere, getrennte Netzwerke enthalten. In typischen Kleinprojekten kann ein Router mit integrierter Firewall und DSL-Modem beim Einsatz eines DSL-Links ausreichen.
In grösseren Projekten kann eine dedizierte Router- oder Switch-Firewall zwischen GA-Domäne und das restliche Intranet platziert werden. Bei starken IT-Sicherheitsanforderungen kann eine interne DMZ für GA-Benutzerschnittstellen wie Managementstationen und Webserver umgesetzt werden. Hier wird eine Firewall zwischen interner DMZ und BACnet-Domäne und eine weitere zwischen DMZ und Intranet zwischengeschaltet.
Persönliche Firewall
Allgemeine PC-Betriebssysteme wie Windows enthalten eine integrierte Firewall (auch „persönliche Firewall“), die als zweite „Verteidigungslinie“ auch auf GA-PCs aktiviert werden sollte.
Zugriffspunkte ausserhalb der IT-Sicherheitsrichtlinie
Gemäss Sicherheits-Audits stellen Internet-Zugangspunkte, welche entgegen der Site-IT-Sicherheitsrichtlinie aufgesetzt wurden, und oft parallel zur offiziellen Internet-Verbindung in Betrieb sind, einen oft genutzten Angriffspunkt für Eindringlinge dar. Oft sind dies unzureichend geschützte DSL-Modems. Solche inoffiziellen Zugriffspunkte dürfen nicht verwendet werden. Jeder Zugang muss in enger Zusammenarbeit mit der IT-Abteilung des Kunden (wo vorhanden) umgesetzt werden und auf gleichem Niveau wie jeder andere Internet-Zugang des Standorts geschützt sein.
Systeme zur Erkennung und Verhinderung von Eindringversuchen
Ist eine erhöhte IT-Sicherheitsstufe notwendig, sind Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) zu verwenden. Die IT-Abteilung des Kunden ist dafür zuständig, nicht das GA-Personal.
Siehe https://en.wikipedia.org/wiki/Intrusion_detection_system.
Wireless LANs
Wireless LANs müssen mit den modernsten verfügbaren Verfahren geschützt sein, da sonst Angreifer die Firewall über das Wireless LAN überspringen.
- WPA3 verwenden.
- Ein starkes Passwort ist einzugeben oder das vorkonfigurierte Passwort abzuändern. Manche WLAN-Router und Access-Point-Provider verwenden Algorithmen mit vorhersagbaren Resultaten zur Passworterstellung. Beispiel: http://www.devttys0.com/2015/04/reversing-belkins-wps-pin-algorithm/.
- Hat ein WLAN-Router aber ein Wi-Fi Protected Setup (WPS) unabhänging von der Marke, ist WPS zu deaktivieren.
- Andere Methoden inklusive Einschränkung bekannter MAC-Adressen oder SSID-Unterdrückung sind kein Schutz gegen erfahrene Hacker.