Beschreibung:
IoT-Geräte sind immer wieder von Sicherheitslücken wie "Ripple:20" oder "Amnesia:33" betroffen. Teils werden diese nicht behoben, da es keine Firmware-Updates für diese Geräte gibt. Daher ist es sinnvoll für diese Geräte entsprechende Sicherheitsmaßnahmen zu ergreifen.
In diesem Artikel werden geeignete Sicherheitsmaßnahmen beschrieben.
Voraussetzungen:
- LCOS ab Version 9.24 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
- Bereits eingerichtetes und funktionsfähiges Netzwerk samt Internet-Verbindung
Vorgehensweise:
Einrichtung eines separaten IoT-Netzwerks und Unterbinden der Kommunikation in andere lokale Netzwerke:
1. Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü Schnittstellen → LAN → Ethernet-Ports und wählen einen bisher nicht verwendeten Ethernet-Port aus (in diesem Beispiel ETH 2).
2. Weisen Sie dem Ethernet-Port ein bisher nicht verwendete logische Schnittstelle zu (in diesem Beispiel LAN-2).
3. Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke.
4. Klicken Sie auf Hinzufügen, um ein neues Netzwerk zu erstellen.
5. Passen Sie die folgenden Parameter an:
- Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel IOT-NETZWERK).
- IP-Adresse: Tragen Sie eine IP-Adresse aus einem bisher nicht verwendeten privaten IP-Adress-Bereich ein (in diesem Beispiel 192.168.10.254).
- Netzmaske: Tragen Sie die zu dem bisher nicht verwendeten Netzwerk zugehörige Subnetzmaske ein (in diesem Beispiel 255.255.255.0).
- Schnittstellen-Zuordnung: Wählen Sie im Dropdownmenü die in Schritt 2. zugewiesene logische Schnittstelle aus (in diesem Beispiel LAN-2).
6. Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.
7. Klicken Sie auf Hinzufügen, um den DHCP-Server für das in Schritt 5. erstellte Netzwerk zu aktivieren.
8. Wählen Sie im Dropdownmenü bei Netzwerkname das in Schritt 5. erstellte Netzwerk aus und bei DHCP-Server aktiviert die Option Ja.
Optional können Sie den DHCP-Adressbereich durch Anpassung der Ersten Adresse und Letzten Adresse einschränken.
9. Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
10. Vergeben Sie einen aussagekräftigen Namen der Regel.
11. Wechseln Sie in den Reiter Aktionen und stellen sicher, dass das Objekt REJECT hinterlegt ist.
12. Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
13. Stellen Sie sicher, dass die Option Alle Stationen im lokalen Netzwerk ausgewählt ist und wählen bei Netzwerk-Name das in Schritt 5. erstellte Netzwerk aus (in diesem Beispiel IOT-NETZWERK).
14. Wählen Sie bei Verbindungs-Ziel die Option Verbindungen an folgende Stationen, klicken auf Hinzufügen und wählen das Objekt LOCALNET aus.
15. Die Firewall-Regel muss anschließend wie folgt aussehen.
16. Die Konfiguration ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
Unterbinden der Kommunikation zum Internet für die IoT-Geräte (optional):
Nach Möglichkeit sollte die Internet-Kommunikation für die IoT-Geräte unterbunden werden. Häufig ist dies allerdings nicht möglich, wenn das entsprechende Gerät z.B. mit einem Server des Herstellers kommunizieren muss. Daher wird diese Maßnahme nur für vereinzelte Geräte in Frage kommen. Denkbar ist hier auch die Einrichtung eines zusätzlichen IoT-Netzwerks, sodass für einzelne Geräte der Internet-Zugang unterbunden und für andere Geräte der Internet-Zugang erlaubt werden kann.
- Minimize network exposure for all control system devices and/or systems, and ensure that they are not accessible from the Internet.
- Locate control system networks and remote devices behind firewalls, and isolate them from the business network.
- When remote access is required, use secure methods, such as Virtual Private Networks (VPNs), recognizing that VPNs may have vulnerabilities and should be updated to the most current version available. Also recognize that VPN is only as secure as the connected devices.
- Use an internal DNS server that performs DNS-over-HTTPS for lookups.
