Sturmgeprüft

von Dr. Christian Knermann

Mit dem Zusammenwachsen von IT und OT steigt die Nachfrage nach sicherem Fernzugriff auf industrielle Anlagen und dies bei dramatisch zunehmender Bedrohungslage. Der europäische Anbieter von Produkten zur Cybersicherheit, Stormshield, adressiert dies mit speziellen Firewalls, die nicht nur physisch für den Einsatz im industriellen Umfeld gerüstet sind, sondern auch die dort üblichen Protokolle verstehen.

Gegenüber der Information Technology (IT) haben Admins klassischer Client-/Serverumgebungen den Begriff der Operation Technology (OT) erst in jüngerer Vergangenheit kennengelernt oder sind sich der Unterschiede zwischen diesen beiden Welten vielleicht noch gar nicht bewusst. OT umfasst sämtliche Technologien, Systeme und Protokolle, die in der Industrie produktionsnahe Prozesse und operative Abläufe kontrollieren.

Dabei kann es sich um Anlagen in produzierenden Unternehmen, in Logistik und Transport sowie im Rahmen kritischer Infrastrukturen (KRITIS) etwa um Verkehrsleittechnik oder Systeme der Energie- und Wasserversorgung handeln. Noch höhere Anforderungen stellen die Sektoren Luft- und Raumfahrt. Und der geopolitischen Lage geschuldet, wächst leider auch der Bedarf nach militärischen Anwendungen und deren Absicherung.

Zudem wirft die NIS2-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU ihre Schatten voraus, denn die Mitgliedsstaaten müssen diese bis zum Oktober 2024 in nationales Recht überführen. Sie wird entsprechend auch vielen Unternehmen neue Maßnahmen der Informationssicherheit auferlegen, die sich bislang noch nicht in der Tiefe damit beschäftigt haben.

IT versus OT

Während die IT-Abteilung eines Unternehmens sich typischerweise um die Versorgung der Endanwender mit Standardapplikationen und -diensten kümmert, sind die Aufgaben der OT traditionell in Fachabteilungen verortet. Die IT-Admins sprechen eine andere Sprache als die Automatisierungstechniker im industriellen Bereich und umgekehrt. Übertragen auf die Netzwerkprotokolle gilt dies auf technischer Ebene gleichermaßen für die beteiligten Maschinen und Netzwerkkomponenten. Doch mit dem Trend zur Automatisierung im Industrial Internet of Things (IIoT) nähern sich beide Welten zunehmend einander an.

Allerdings sind die Innovationszyklen in der OT deutlich langfristiger angelegt als in der schnelllebigen IT. Erlauben Systeme der OT direkte Netzwerkverbindungen, sind sie leichte Beute für Angreifer. Es ist keine Seltenheit, dass Anlagen über Jahrzehnte laufen und spezielle Hardware und Software erfordern, die nur mit veralteten Betriebssystemen harmonieren und noch dazu allergisch auf regelmäßige Updates oder Virenscanner reagieren.

Exemplarisch erwähnt sei hier die vielzitierte Stellenausschreibung eines Bahnausrüsters, der noch Anfang dieses Jahres nach Spezialisten für Microsoft Windows 3.11 suchte.

Herausforderungen industrieller Protokolle

Über die klassischen Betriebssysteme des IT-Bereichs hinaus müssen sich Admins im industriellen Umfeld mit Begriffen und Protokollen auseinandersetzen, die ihnen bislang noch nicht unbedingt geläufig waren. Die OT-Spezialisten in den Fachabteilungen bezeichnen ihre Systeme typischerweise als Supervisory Control and Data Acquisition (SCADA), programmierbare Logik (PLC) oder speicherprogrammierbare Steuerung (SPS). SCADA-Systeme sind zentrale Komponenten in der industriellen Automatisierung. Sie überwachen und steuern technische Prozesse in Echtzeit. PLC und SPS sind als Gehirne industrieller Maschinen für die Ausführung von Steuerungsprogrammen verantwortlich.

Waren solche Systeme früher streng abgekapselt, sollen sie heute komfortabel auch über herkömmliche IP-Netzwerke zu bedienen sein. Dass jedoch ein ungefilterter Fernzugriff auf SCADA-Systeme fatal enden kann, hat bereits vor über zehn Jahren der Wurm Stuxnet am Beispiel industrieller Steuerungen auf Basis von Siemens Simatic S7 eindrucksvoll demonstriert. Zur Steuerung der S7-Produktfamilie kommt mit dem Process Field Network (ProfiNet) ein Protokoll zum Einsatz, dessen Absicherung neue Herausforderungen mit sich bringt.

Der Vorläufer Process Field Bus (ProfiBus) als serieller Feldbus-Standard mit eigener Verkabelung für die Kommunikation in der Automatisierungstechnik erblickte bereits im Jahr 1989 das Licht der Welt. Als sich die Industrie jedoch von Feldbussen zu Industrial-Ethernet bewegte, vollzog sich auch die Weiterentwicklung zum ProfiNet, das als Industrial-Ethernet-Protokoll in der IT übliche Verkabelungsstandards verwendet und über IP-Netzwerke funktioniert.

Gleiches gilt für weitere Protokolle, wie etwa OPC Unified Architecture (OPC UA) oder Modbus, die ebenfalls über IP-Netzwerke kommunizieren, aber insbesondere auf Anwendungsebene nach besonderen Maßnahmen zu ihrer Absicherung verlangen. An dieser Stelle kommt nun Stormshield als europäischer Anbieter von Lösungen für die Cybersicherheit ins Spiel.

Geräteübergreifend aufrüstbar

Stormshield hat seine Wurzeln in Frankreich. Auch wenn das Unternehmen als solches noch nicht so lange existiert, blickt es doch auf eine bereits über zwanzigjährige Geschichte zurück. So erblickten die ebenfalls französischen und auf Firewalls spezialisierten Unternehmen Netasq und Arkoon bereits Anfang des Jahrtausends das Licht der Welt. Sie schlossen sich dann im Jahr 2012 nach einigen weiteren Übernahmen unter dem Dach der Airbus Defence & Space, heute als Airbus CyberSecurity firmierend, zu Stormshield zusammen. Als Ergebnis dieser Fusion erschienen ab 2014 die ersten Cybersicherheitsprodukte des neuen Anbieters auf dem Markt.

Heute offeriert Stormshield eine umfangreiche Palette an Produkten, im Bereich Stormshield Network Security (SNS) insbesondere ein breites Spektrum physischer und virtueller Firewalls für Unternehmen jeder Größenordnung. So stehen die Firewalls als Elastic Virtual Appliance (EVA) in Form von Images für im Unternehmen betriebene Virtualisierungsplattformen auf Basis von VMware, Microsoft Hyper-V, OpenStack, Citrix XenServer und KVM bereit. Die EVA findet sich für hybride und Cloudszenarien ebenso auf den Marktplätzen der Cloudprovider AWS, Azure, 3DS Outscale und Orange.

Die physischen Firewalls gliedern sich primär in vier Familien, unterteilt nach Konfektionsgrößen. Die XL- und L-Serien adressieren die Zentralen großer Unternehmen, die M-Serien mittelgroße Unternehmen und große Niederlassungen sowie die S-Serien kleine Unternehmen und Zweigstellen. Der Hersteller bietet die Industrial-Option als zubuchbare Mietlizenz für alle virtuellen und physischen Firewalls an. Über die grundlegenden Funktionen hinaus können Admins folglich jede beliebige Stormshield-Firewall mit den erweiterten Funktionen für Industrieprotokolle aufrüsten, auf die wir gleich im Detail zurückkommen werden.

Die physische Firewall SN160, die in Kürze vom Nachfolger SN170 abgelöst werden wird, positioniert Stormshield als Lösung des Unified Threat Managements (UTM) für sehr kleine Unternehmen und Zweigstellen. UTM umfasst dabei einen ganzheitlichen Ansatz aus klassischer Netzwerksegmentierung, Filterrichtlinien, Schutz vor Spam und Viren, Endpunkt für IPSec-VPN sowie Intrusion Detection / Prevention System (IDS/IPS). Mit der Industrial-Option eignet sich dieses Modell bereits grundsätzlich auch zur Absicherung von Systemen der OT.

Spezialisiert auf den industriellen Einsatz

Am oberen Ende des Leistungsspektrums bringt Stormshield das Modell SNxr1200 in Stellung, das mit der Schutzklasse IP67 physisch auch äußerst extremen Bedingungen, wie sehr hoher Luftfeuchtigkeit, Höhenlagen, Wasser, Staub, Salznebel sowie Betriebstemperaturen von -40 bis +71 Grad Celsius, gewachsen ist. Diese Firewall eignet sich für den mobilen Einsatz in Luft- und Raumfahrt sowie im militärischen Bereich und ist nach den dort üblichen Standards DO-160G, MIL-STD-461F und MIL-STD-810G zertifiziert.

Während die SNxr1200 auf einer Flughöhe von bis zu 15.000 Metern operieren kann, bleiben wir jedoch auf dem Boden. In unserem Fokus stand daher der stationäre Betrieb unter etwas weniger extremen Umwelteinflüssen, für den sich die Firewall-Modelle SNi40 und SNi20 qualifizieren.

Die Firewall SNi40 hat Stormshield bereits seit 2016 im Angebot. Die französische Behörde für Informationssicherheit ANSSI hat das System nach CSPN (Certification de Sécurité de Premier Niveau) für den Einsatz in Bereichen der Kritischen Infrastruktur zertifiziert. Als schlankere Lösung unterhalb davon reiht sich die Firewall SNi20 ins Produktportfolio ein.

Beide Modelle eignen sich für widrige Bedingungen im industriellen Einsatz. Der Hersteller hat sie zudem auf einen in diesem Umfeld üblichen Lebenszyklus von mindestens zehn Jahren ausgelegt. Beide Geräte entsprechen der Schutzklasse IP30 und kommen ohne aktive Lüfter aus. Beide zeichnen sich weiterhin durch ihre kompakte Bauform aus und eignen sich zur Montage auf DIN-Schienen mit 35 mm Breite.

Optional mit Bypass im Fehlerfall

Die beiden Firewalls unterscheiden sich primär durch ihre Ausstattung an Schnittstellen sowie durch die ab Werk gebotenen Funktionen. Die SNi40 verfügt über fünf RJ45-Schnittstellen mit einer Geschwindigkeit von bis zu 4,8 GBit/s und zwei SFP-Steckplätze. Die SNi20 bringt je nach Ausstattung zwei bis vier RJ45-Schnittstellen mit einer Geschwindigkeit von bis zu 2,4 GBit/s und ebenfalls zwei SFP-Steckplätze mit. Wichtiger als die maximale Übertragungsrate ist bei der Ansteuerung industrieller Anlagen aber vor allem die Latenz. Hier garantiert Stormshield einen Wert von maximal zehn Millisekunden.

Beide Geräte verfügen über eine redundante Stromversorgung. Im Hinblick auf besonders hohe Verfügbarkeit verbindet das Modell SNi40 zudem von Haus aus zwei der RJ45-Schnittstellen über eine optional zu aktivierende Bypass-Funktion. Auch im Fall der SNi20 beherrschen zwei RJ45-Ports physisch diese Funktion, interessierte Unternehmen müssen sie aber mittels einer zusätzlichen Lizenz kostenpflichtig freischalten.

Die Bypass-Funktion kann zum Einsatz kommen, wenn die Firewall über die beiden Ethernet-Ports eine Netzwerkverbindung im Bridge-Modus transparent durchschleift. Dann können Admins abwägen, ob sie Sicherheit oder Verfügbarkeit höher priorisieren. In letzterem Szenario sorgt die Bypass-Funktion bei Stromausfall oder anderweitigem Defekt der Firewall für eine physische Kopplung der beiden Ports, die Kommunikation mit der angeschlossenen Anlage läuft dann ohne die Sicherheitsfunktionen der Firewall weiter.

Intuitive Grundkonfiguration

Nachdem wir online ein Konto im MyStormshield-Portal angelegt und uns dort angemeldet hatten, registrierten wir unsere Firewall dort und erzeugten eine Lizenzdatei zur späteren Aktivierung der Firewall. Weiterhin fanden wir im Download-Bereich des Portals auch die aktuelle Firmware für die verschiedenen Produktfamilien sowie Images zur Inbetriebnahme einer EVA für die Plattformen KVM, OpenStack, VMware und Hyper-V.

Sobald wir uns mit dem Management-Interface verbunden hatten, konnten wir per Browser HTTPS-gesichert auf die mit einem selbstsignierten Zertifikat ausgestattete Weboberfläche der Firewall zugreifen und das Zertifikat gegen ein eigenes tauschen. Die Oberfläche erlaubt in der Kopfzeile den Wechsel zwischen den beiden zentralen Bereichen "Überwachung" und "Konfiguration". Die weitere Bedienung gibt keine Rätsel auf und orientiert sich an einer klassischen Aufteilung mit einem vertikalen Hauptmenü am linken Rand sowie einem größeren Hauptfenster, das je nach gewählten Menüpunkt die weiteren Optionen auf Registerkarten verteilt.

Unsere ersten Schritte bestanden darin, im Bereich "System / Administratoren" auf der Registerkarte "Administratoraccount" das Passwort des initialen Admin-Kontos zu ändern, im Bereich "System / Lizenz" unsere Lizenz einzuspielen und schließlich im Bereich "System / Wartung" auf der Registerkarte "Systemupdate" die neueste Firmware hochzuladen. Das Vorgehen ist in beiden Fällen gleich. Nach dem Upload einer Datei mit der Endung ".maj" installiert die Firewall Lizenz und Update, jeweils gefolgt von einem obligatorischen Neustart.

Ebenfalls im Bereich der Wartung finden sich die Optionen für Backup und Wiederherstellung der Konfiguration. Die Sicherung konnten wir auch zur täglichen, wöchentlichen oder monatlichen Ausführung automatisieren und mit einem Passwort schützen. Die Firewall bietet hier wahlweise ein vollautomatisches Cloudbackup auf Server des Herstellers oder einen angepassten Webserver als Ziel zum Upload der Sicherung an.

Über die lokale Konfiguration hinaus hat der Hersteller mit dem Stormshield Management Center (SMC) für die zentrale Verwaltung, Backups und Updates sowie dem Stormshield Log Supervisor (SLS) für die einheitliche Überwachung zusätzlich zu lizenzierende Server im Programm. Alternativ zum SLS unterstützt Stormshield auch die Verzahnung mit anderweitigen zentralen SIEM-Systemen zur Überwachung per Syslog, IPFIX, SNMP sowie die Alarmierung per E-Mail. Wir beließen es jedoch bei der lokalen Administration und Überwachung unserer Firewall.

Personenbezogene Daten besonders geschützt

Die weitere Konfiguration führte uns zunächst in den Bereich "Benutzer / Verzeichniskonfiguration", wo wir den Zugriff auf unser Active Directory (AD) konfigurierten. Alternativ zum AD versteht sich die Firewall auch mit anderweitigen LDAP-Verzeichnissen. Unsere Domänenbenutzer und -Gruppen fanden wir anschließend im Bereich "Benutzer / Benutzer" wieder. In dem weiteren Menü "Benutzer / Zugangsberechtigungen" ist der VPN-Zugriff für Benutzer auf der Registerkarte "Standardzugriff" zunächst für alle deaktiviert. Wir konnten diese Voreinstellung ändern oder auf der Registerkarte "Detaillierter Zugriff" für einzelne AD-Benutzer und -Gruppen individuelle Berechtigungen festlegen. Die grundlegende Konfiguration der Funktionen für IPSec- und SSL-VPN sowie PPTP-Server bringt das Webfrontend im separaten Bereich "VPN" des Hauptmenüs unter.

Doch zurück zur grundlegenden Konfiguration des Systems. Sobald die Verbindung zum AD bestand, fanden wir unsere Domänenbenutzer auch im Bereich "System / Administratoren" wieder, wo wir sie granular mit Leseberechtigungen oder Vollzugriff auf die Bereiche System, Netzwerk, Benutzer, temporäre Benutzer, Firewall und Überwachung ausstatten konnten. Hier sei erwähnt, dass Stormshield im Bereich der Überwachung die Möglichkeit bietet, personenbezogene Daten besonders zu schützen. Mit dem eingeschränkten Zugriff auf Logs und Berichte anonymisiert das System solche Daten zunächst und gibt den Vollzugriff nur befristet frei. Dazu muss ein übergeordneter Admin auf der Registerkarte "Ticketmanagement" ein Ticket erzeugen, das aus einer eindeutigen ID, einem Zeitfenster mit Start und Ende sowie einem Freischaltcode besteht.

Granulare Protokollüberwachung

Unter dem Menüpunkt "Sicherheitsrichtlinie / Filter – NAT" bietet die Firewall die Möglichkeit, grundlegende Regeln zu definieren, die auf Basis von Quell- und Zieladressen die Kommunikation auf bestimmten Ports sowie mit bestimmten Protokollen erlauben oder verbieten. Aufgrund des Designs vieler Industrieprotokolle greift eine pauschale Erlaubnis jedoch zu kurz. Protokolle, wie etwa S7 oder Modbus, stellen die Funktionalität in den Vordergrund und verfügen nicht über Sicherheitsmechanismen wie Authentifizierung oder Autorisierung des Absenders einer Nachricht.

So können Clientcomputer, die auf Netzwerkebene zugreifen dürfen, auf Applikationsebene ohne Weiteres nahezu beliebigen Code ausführen und so eine Anlagensteuerung manipulieren oder schlicht außer Betrieb setzen.

Hier kommt nun die Sicherheitsinspektion von Stormshield zum Zug, die eine Firewallregel je nach Konfiguration um Funktionen eines IDS oder IPS ergänzt. Die Betriebsart des IDS lässt bestimmte Aktionen auf Anwendungsebene zu, protokolliert diese aber. Das IPS geht einen Schritt weiter und blockiert unerwünschte Funktions-codes. Dazu versteht sich die Firewall auf Deep Packet Inspection (DPI) und die spezifischen Befehle der Industrieprotokolle.

Die zugehörigen Konfigurationsoptionen fanden wir im Menübereich "Anwendungsschutz". Sie erlauben mit mehreren verknüpften Profilen sehr feingranulare Einstellungen darüber, welche Funktions-codes welcher Protokolle zulässig sind und welche nicht. Im ersten Schritt navigierten wir in den Bereich "Anwendungsschutz / Protokolle". Stormhield überzeugte uns hier mit der Vielfalt an Protokollen, die die DPI inhaltlich versteht. Der Hersteller sortiert die Protokolle nach Kategorien, darunter insgesamt 19 Einträge im Bereich der Industrieprotokolle.

Jedes dieser Protokolle verfügt über zehn teils bereits vorkonfigurierte Profile, die wir übernehmen oder nach unseren Wünschen anpassen konnten. So teilt Stormshield dem Modbus-Protokoll Profile mit sprechenden Namen zu, etwa "admin_incoming", "read_write" oder "read_only". Im Hauptbereich des Fensters konnten wir pro Profil individuell einzelne Funktionscodes zulassen oder blockieren. Analog gelang die Konfiguration der übrigen Protokolle, darunter Siemens S7 (Bild 2). Auch hier versteht die Firewall die Funktionscodes des Anwendungsprotokolls, die wir einzeln oder nach Funktionsgruppen zulassen oder blockieren konnten. Der nächste Schritt bestand nun darin, die protokollspezifischen Anwendungsprofile einem der übergeordneten Profile des IPS zuzuweisen.

Fortgeschrittene Analyse von Funktionscodes

Auch das IPS verwendet zehn Profile, die wir unter dem Menüpunkt "Anwendungsschutz / Prüfprofil" fanden. Hier definiert die Firewall im Hauptbereich der Seite zunächst zwei Standardprüfprofile für ankommenden und abgehenden Verkehr. Über die Schaltfläche "Zu Profilen" wechselten wir zur Detailansicht der Prüfprofile, wo wir pro Prüfprofil des IPS und darin wiederum pro Protokoll eines der zuvor konfigurierten Anwendungsprofile auswählten.

Unter dem Punkt "Anwendungsschutz / Anwendungen und Schutzfunktionen" bringt Stormshield zudem Erkennungen bekannter Fehler sowie unerwünschter Befehlsfolgen mit, im Fall von Modbus etwa Ereignisse wie "invalid header of function code" oder "function code denied", beim S7-Protokoll "invalid protocol" oder auch "response without corresponding request".

Der Hersteller aktualisiert die Liste der als potenziell schädlich oder ungewollt eingestuften Aktionen im Rahmen der Active-Update-Funktion der Firewall regelmäßig. Je nach Prüfprotokoll blockiert die Firewall solche Aktionen und löst einen Alarm aus. Dazu mussten wir im letzten Schritt nur noch die Prüfprotokolle unseren Filterregeln zuweisen.

IDS und IPS schnell aktiviert

Wir öffneten die Detailansicht einer unserer Filterregeln und legten im Bereich "Inspektion" die gewünschte Inspektionsebene fest. "FW – Nicht inspizieren" entspricht hier dem grundlegenden Betrieb als Paketfilter ohne erweiterte Funktionen, "IDS – Erkennen" protokolliert dem jeweiligen Prüfprofil entsprechende Aktionen lediglich und "IPS – Erkennen und blockieren" verhindert zuverlässig sämtliche Funktionscodes, die dem im Feld darunter per Dropdown-Liste gewählten Inspektionsprofil entsprechen. Mittels weiterer Einstellungen in den Bereichen "Quelle" und "Ziel" konnten wir unsere Regeln zu guter Letzt über reine Prüfung von IP-Adressen und -Adressbereichen hinaus weiter verfeinern und etwa für bestimmte Benutzer die Authentifizierung verlangen, Netzwerke und VPN-Verbindungen vorgeben oder Geolokalisierung und Host-Reputation als zusätzliche Anforderung hinzufügen (Bild 3).

Der Bereich "Überwachung / Protokolle – Syslog" des Webfrontends erlaubte anschließend eine detaillierte Analyse des von der Firewall überwachten Verkehrs. Stormshield listet hier global sämtliche Ereignisse auf und unterteilt diese auch in Kategorien, darunter Netzwerkverkehr, Alarme und Gefährdungen.

Fazit

Mit den Modellen SNi40 und SNi20 bringt Stormshield Firewalls in Stellung, die nicht nur physisch für den industriellen Einsatz gerüstet sind, sondern auch per DPI auf Anwendungsebene die dort üblichen Protokolle verstehen. Die Systeme empfehlen sich damit für sensible Einsatzbereiche, in denen Admins Zugriff auf Maschinen und Anlagensteuerungen zulassen und gleichzeitig ein möglichst hohes Sicherheitsniveau gewährleisten möchten.

Hier wusste Stormshield insbesondere damit zu überzeugen, dass die Firewalls die Industrieprotokolle nicht nur inhaltlich verstehen und somit einzelne Funktions-codes zulassen oder blockieren können, sondern mit dem Anwendungsschutz sogar ungewollte Folgen von Funktionscodes erkennen und abfangen.

Die weiteren Funktionen, wie die transparente Authentifizierung für Benutzer, VPN-Zugänge, Schutz vor Viren und Spam sowie Integration mit übergeordneten SIEM-Systemen, im Detail zu betrachten, hätte leider den Umfang unseres Artikels bei Weitem gesprengt. Da grundsätzlich alle physischen und virtuellen Firewalls des Herstellers all diese Funktionen beherrschen, bietet Stormshield eine umfassende Plattform für die Netzwerk-sicherheit für Organisationen nahezu jeder Größenordnung.

Produkt	Firewall-Appliances speziell zum Schutz von Industrieanlagen.
Hersteller	Stormshield https://www.stormshield.com/de/produkte/sni20/ https://www.stormshield.com/de/produkte/sni40/
Preis	Der Listenpreis für die Firewallhardware und Lizenz mit Industrial-Option für ein Jahr beträgt 1925 Euro für das Modell SNi20 und 3306 Euro für das Modell SNi40.
Systemanforderungen	Stromversorgung 2x12-48V DC (SNi20), 2×12-36V DC (SNi40), RJ45/Ethernet, aktueller Browser zur Konfiguration.
Technische Daten	https://www.it-administrator.de/downloads/datenblaetter/

Hardwareeigenschaften	7
Filterregeln	6
Unterstützte Protokolle	8
Anwendungsschutz	8
IDS/IPS	8
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik/

Stormshield SNi20 und SNi40 Industrial Firewalls