Wiesemann & Theis GmbH

Netzwerk-, Sensor- & Schnittstellentechnik für Industrie, Office & IT

Anwendungsbeispiel Microwall Gigabit:

Verinselung einer CNC-Fräse


CNC-Fräse verinseln

Für die Fertigung von Prototypen und Kleinserien kommt in unserem Unternehmen eine CNC-Fräse zum Einsatz. Auf dem Steuerrechner, der in unser Produktionsnetz eingebunden ist, läuft ein Windows 7 Embedded Standard auf aktuellem Patchstand. Da Microsoft im Jahr 2020 den erweiterten Support für dieses Betriebssystem einstellt, wird diese Fräse präventiv verinselt. Mit Hilfe des Firewall-Routers “Microwall Gigabit” wird ihr ein dediziertes Netzwerksegment zugewiesen und die Kommunikation mit diesem Netzwerksegment durch Filterregeln stark eingeschränkt.


Höhere Netzwerksicherheit durch Verinselung

Im Jahr 2017 fraß sich WannaCry weltweit durch Netzwerke und die mediale Öffentlichkeit. Der Kryptotrojaner nutzte eine Schwachstelle in der Datei- und Druckerfreigabe von Windows-Netzwerken aus. Er war in seiner Schadwirkung so massiv, dass Microsoft nicht nur die aktuellen Betriebssysteme patchte, sondern auch Sicherheitsupdates für Produkte bereitstellte, die bereits aus dem erweiterten Support gelaufen waren.

WannaCry zeigte auf eindrucksvolle Weise, welche Gefahrenpotentiale sich aus dem Betrieb nicht notwendiger Netzwerkdienste ergeben.

Es scheint naheliegend, überflüssige Dienste einfach zu deaktivieren. Nicht immer ist jedoch klar, welche Dienste zwischen Teilkomponenten einer Anlage wirklich benötigt werden. Darüber hinaus können Veränderungen an Maschinen unter Umständen zu einem Verlust der Zertifizierung und somit zu einem Haftungsübergang auf den Betreiber führen.

Deshalb haben wir mit der Kleinfirewall Microwall Gigabit eine einfach handzuhabende Alternative für den Schutz von Produktionssystemen entwickelt. Hierbei handelt es sich um eine einfache 2-Port-Firewall, die nach dem Whitelist-Prinzip arbeitet. Das bedeutet: Alle zulässigen Verbindungen müssen explizit freigegeben werden.


Aufgabenstellung

Die Fräse ist mit einem Windows-Steuerrechner ausgestattet, auf dem die CNC-Software läuft. Dieser ist mit zwei Netzwerkschnittstellen ausgestattet: Eine verbindet den Rechner mit der Fräse selbst, die andere bindet ihn in das Produktionsnetzwerk ein. Sollte für den gegenwärtigen Stand des Betriebssystems eine Sicherheitslücke entdeckt werden, ist mit einem zeitnahen Sicherheitsupdate durch Microsoft zu rechnen. Nach dem Ende des erweiterten Supports im Jahr 2020 werden im Normalfall jedoch keine Sicherheitsupdates mehr bereitgestellt. Ein Angreifer könnte versuchen, den Steuerrechner zu kompromittieren und würde im Erfolgsfall das Gerät selbst, aber auch das umgebende Netzwerk bedrohen.

Aus diesem Grund soll die Fräse durch Anwendung der Verinselungsstrategie isoliert werden. Mit Hilfe der Microwall wird die Fräse in ein eigenes Netzwerksegment ausgelagert und die zulässige Kommunikation mit diesem Netzwerksegment über Firewallregeln stark eingegrenzt.

Gefährdungslage

Eine kurze Analyse der gegenwärtigen Situation mit dem Portscanner nmap [Tutorial: Offene Ports im Netzwerk finden] offenbart Beunruhigendes: Der Steuerrechner zeigt zwölf offene Ports, die über Netzwerk erreichbar sind, unter anderem einen Webserver.

Ein zweiter, intensiver Scan findet insgesamt 24 offene TCP-Ports. Bei dem Webserver handelt es sich um einen unkonfigurierten Internet-Information-Server 7.5, der bekannte Schwachstellen aufweist, die zur Remote-Code-Execution führen können. Das bedeutet, dass ein Angreifer über das Netzwerk beliebige Programme ausführen kann. Ein Lottogewinn für Cyber-Krieger. Pikantes Detail: Der Webserver scheint nichts anderes auszuliefern als eine Informationsseite, ist also aller Wahrscheinlichkeit nach ebenso überflüssig wie die anderen offenen Ports. Wir sind froh, dass wir uns die Zeit zum intensiven Scannen genommen haben und beginnen unverzüglich mit der Verinselung.


Vorgehen

Schritt 1: Bestimmung der Betriebsart und der notwendigen Firewall-Regeln

Um die Konfiguration möglichst einfach zu halten, betreiben wir die Microwall im NAT-Modus. Der Steuerrechner der Fräse tritt so gar nicht erst in Erscheinung, die Microwall schlüpft sozusagen in dessen Rolle als Akteur im Netzwerk.

Eigentlich gibt es nur einen Fall, in dem die Fräse über das Netzwerk kommunizieren soll. Um auf Produktionsdaten zugreifen zu können, muss Sie eine Verbindung zum zentralen Windows-Dateiserver aufbauen dürfen. Alle anderen Verbindungen werden unterbunden.

Da der Steuerrechner selber keine Ressourcen im Netzwerk bereitstellt, können eingehende Verbindungen komplett geblockt werden. Weiterhin ist die Fileserver-Freigabe, auf den die CNC-Software Zugriff erhalten soll, bekannt und eindeutig. Da die IP-Adresse des Fileservers ebenfall bekannt ist, wird keine Namensauflösung benötigt. Auch Komfortfunktionen wie die Suche nach Rechnern und Freigaben über das Netzwerk sind überflüssig, ebenso wie die Netbios-Transportprotokolle. Die Ports 137, 138 und 139 können also ignoriert und damit geblockt werden. Für automatische Zeit-Updates könnte UDP-Port 123, für die Namensauflösung über DNS der UPD-Port 53 freigegeben werden. Da diese Funktionen jedoch für die Funktion der Fräse ebenfalls nicht notwendig sind, bleiben auch diese geschlossen.

Das Patchmanagement erfolgt über unsere IT-Abteilung, weshalb auch die Ports für ein automatisches Update geschlossen bleiben. Andernfalls müssten wir hier TCP-Verbindungen zum WSUS-Server erlauben.

Der Steuerrechner braucht einzig die Möglichkeit, eine SMB-Verbindung zum Fileserver mit der bekannten IP-Adresse aufzubauen. Das geschieht über den Zielport 445. Da diese Kommunikation über TCP erfolgt, ist der Rückkanal in der Verbindung direkt enthalten. Mit der Angabe nur einer einzigen Regel wird die Fräse nachhaltig abgesichert. Gleichzeitig ist ihre Funktion sichergestellt!


CNC-Fräse im Netz


Schritt 2: Gerätekonfiguration

Die Microwall verbindet als Router das umgebende Netzwerk mit einem isolierten Segment. Für die Schnittstellen zu beiden Netzwerken braucht die Microwall jeweils eine IP-Konfiguration.

CNC-Fräse im Netz Screen 1

  • 1 Die Angabe einer Netzwerkbezeichnung erleichtert dem Administrator später die Zuordnung von Regeln.

  • 2 Die ursprüngliche IP-Konfiguration des Steuerrechners (also 10.10.10.20) wird für das öffentliche Interface übernommen. Abgesehen von der Hardware-Adresse ändert sich im umgebenden Netzwerk nichts.

  • 3 Auf der Inselseite wählen wir der Einfachheit halber das klassische 192.168.1.0/24-Netz. Für dieses Netzwerk dient die Microwall als Standardgateway und erhält die Adresse 192.168.1.1

IP-Konfiguration des Steuerrechners
Der Steuerrechner erhält die IP 192.168.1.10. Als Standardgateway wird ihm die Microwall mit der IP-Adresse 192.168.1.1 zugewiesen.

Firewallregel für den Dateiserverzugriff
Im letzten Schritt richten wir die notwendige Firewall-Regel ein. Der Steuerrechner mit der IP-Adresse 192.168.1.10 muss eine TCP-Verbindung über Port 445 zu dem Produktionsdatenserver mit der IP-Adresse 10.10.10.100 aufbauen können.

CNC-Fräse im Netz Screen 2

Schritt 3: Testlauf

Der Testbetrieb von mittlerweile mehreren Wochen zeigt, dass die Fräse wie gewohnt ihren Dienst verrichtet.


Zusammenfassung

Mit Hilfe der Microwall konnte die CNC-Fräse innerhalb weniger Minuten in einem eigenen Netzwerksegment verinselt werden. Um die Funktion sicherzustellen reichte die Angabe einer einzigen Firewall-Regel. Im Nebeneffekt wurden unter anderem die NetBIOS-Protokolle für die Datei- und Druckerfreigabe unterdrückt und so Details über die Fräse hinter der Microwall verborgen.

Sie erreichen unsere Techniker telefonisch unter 0202/2680-110 (Mo-Fr. 8-17 Uhr)

^