Industrial-Ethernet-Protokolle: Sicherheitsrisiko Layer-2-Switch

MITM bei Profinet IO

Ein Angreifer gelangt an die für ihn relevanten Informationen (MAC-/IP-Adressen, Geräterolle, d. h. Controller oder Device) über das Discovery and Configuration Protocol (DCP). Dabei schickt dieser einen DCPIdentifyRequest an alle Teilnehmer eines Netzwerkssegements (Broadcast) und erhält von jedem eine DCPIdentifyResponse-Nachricht mit den benötigten Informationen. Anschließend kann er das in Abb. 3 beschriebene Szenario ausführen und besitzt die volle Kontrolle über den Datenverkehr.

Auswahl an Schutzmaßnahmen

Um einen effektiven Schutz zu gewährleisten, sollte ein mehrstufiges Sicherheitskonzept (vgl. Abbildung 4) implementiert werden. Basis dieses Konzepts ist ein wirksamer Zugriffsschutz. Mit Hilfe von Zutrittskontrollen muss Unbefugten der unmittelbare, physische Zugang zu Steuerungskomponenten und Netzwerkhardware verwehrt bzw. erschwert werden. Moderne Switches bieten zudem ein Sicherheitsfeature (MAC-Locking), dass es ermöglicht, die SAT statisch zu schalten und an eine MAC-Adresse zu binden. Meist erlauben diese auch die ungenutzten Ports zu deaktivieren. Sollte ein Angreifer trotz Zutrittskontrollen sich physischen Zugang zum System verschaffen, müsste dieser ein angeschlossenes Gerät vom Netz trennen und mit dessen MAC-Adresse das Angriffsszenario ausführen. Im Regelfall wird das (wenn auch nur kurzzeitige) Entfernen eines Geräts protokolliert. Damit lässt sich ein Angriff zwar nicht verhindern, aber besser zurückverfolgen. Ist zusätzlich portbasierte Authentifizierung nach IEEE 802.1X konfiguriert, setzt man eine hohe Hürde für den Angreifer. Mit Hilfe dieser Technologie wird ein Port vom Switch erst dann für die Kommunikation freigegeben, nachdem sich das angeschlossene Gerät authentisiert hat. Hierzu übermittelt das Gerät vor dem Verbindungsaufbau vorher festgelegte Authentisierungsdaten an ein zentrale Instanz, die diese Informationen überprüft. Ist die Verifizierung nicht erfolgreich, verwehrt der Switch den Zugriff zum Netzwerk. Gelangt ein Angreifer nicht an die Authentisierungsdaten, erhält er keinen Zugang und kann damit das Port-Stealing-Szenario nicht ausführen. Eine Möglichkeit Angriffe zu erkennen, ist der Einsatz eines Intrusion Detection Systems (IDS). Das IDS wird mittels Sensoren in das industrielle Netzwerk integriert und überwacht kontinuierlich den Datenverkehr. Dabei nimmt ein Sensor einzelne Pakete im Netzwerkfluss auf und untersucht diese mit geeigneten Algorithmen auf Abweichungen. Im beschriebenen MITM-Szenario werden fortlaufend ARP-Pakete verschickt. Diese stellen eine Anomalie dar und sind ein Angriffsindikator. Tritt eine derartige Abweichung im System auf, wird dies dem Operator gemeldet und er kann entsprechende Gegenmaßnahmen einleiten. Eine weitere Schutzmöglichkeit ist die Absicherung der Kommunikationswege. Hierzu wird das im IEEE 802.1AE-Standard beschriebene MACsec-Verfahren angewandt und bietet neben erweiterten Integritätsschutzmechanismen, zudem die Möglichkeit den Datenverkehr auf Layer 2 zu verschlüsseln. Wird ein Automationssystem mit den erläuterten Methoden abgesichert, bietet es einem potentielle Angreifer eine recht geringe Angriffsfläche. Port-Stealing-Szenarien werden damit

Datum:3. November 2016

Autoren:

Themen:

Webseite:

Downloads:

Das könnte Sie auch interessieren

Messen und Veranstaltungen

Webinar 1

Fehler in Maschinen und Anlagen früh per VIBN zu finden, spart Kosten und beschleunigt die Auftragsabwicklung. Doch der Aufwand für die Modellerstellung darf den Nutzen nicht übersteigen. ‣ weiterlesen

Messen und Veranstaltungen

Webinar 2

Wer die Effizienz erhöhen will, braucht erst einmal Transparenz – das gilt auch für den Ressourcenverbrauch. In dieser Veranstaltung informieren Experten über bewährte Lösungen, um die Nachhaltigkeit der Produktion und ihrer Produkte erst zu bemessen und dann zu reduzieren. ‣ weiterlesen

Messen und Veranstaltungen