Anlagenbau & Prozesstechnik

Firewalls, Firewalls und Firewalls

Von einfachen Paketfiltern bis zur Unterstützung spezieller Industrieprotokolle

22.03.2016 -

Die Firewall stellt heute einen nicht wegzudenkenden technischen Baustein für Netzwerksicherheitskonzepte dar. Dabei reicht die Spannweite verschiedener Firewalls von einfachen Paketfiltern bis hin zu mächtigen Lösungen mit direkter Unterstützung spezieller Industrieprotokolle. Ebenso vielfältig sind die Darreichungsformen von Firewalls, die von Softwarepaketen für PCs bis hin zu industriell gehärteten Produkten im Metallgehäuse für den Einsatz in Feldbereichen reichen.

Moderne Sicherheitskonzepte folgen heute einen ganzheitlichen Ansatz, in dem sowohl die Prozesse als auch die Menschen und die Technik berücksichtigt werden. Schon lange wird die Firewall daher nicht mehr als ausreichende oder einzige Hauptmaßnahme zur Schaffung von Informationssicherheit in industriellen Anlagen beworben oder gar als Synonym für sichere Netzwerke gesehen. Dennoch stellen Firewalls auch weiterhin Kernelemente bei der Segmentierung von Netzwerken dar und sind damit ein essentieller Teil jeder Sicherheitsstrategie mit Bezug zur Netzwerksicherheit.

Der Begriff „Firewall“ ist jedoch inzwischen sehr breit gesteckt. Dies führt dazu, dass verschiedenste Technologien, welche unterschiedliche Wirkungsweisen und Ziele haben, unter diesem Begriff verwendet werden. Beispiele für die Vielfältigkeit von Firewalls sind stateless und stateful Firewalls, transparente Firewalls, Firewalls auf verschiedenen Ebenen der Netzwerk-Referenzarchitekturen, Firewalls mit Deep Packet Inspection oder auch Firewalls mit Intrusion Detection-Funktionalität. Dazu kommen noch weitere Methoden, die ebenso Netzwerkverkehr limitieren, wie zum Beispiel Access Control Listen. Doch welche Firewall ist für welchen Zweck geeignet?

Generelle Funktion einer Firewall

Firewalls sind Systeme, die weitere Netzwerkgeräte wie Industrie PCs, Steuerungen, Kameras, etc. vor unbefugtem Zugriff schützen, indem Sie die Weiterleitung von Netzwerkverkehr zu oder von diesen Systemen unterbinden. Dabei kann man als erste grobe Unterscheidung zwischen Host-Firewalls und Netzwerk-Firewalls unterscheiden. Erstere werden als Softwarefunktionalität auf einem Rechner (Host) installiert oder bereits vom Betriebssystem bereitgestellt. Beispiele für diese Firewalls sind die Windows Systemfirewall oder die mit den meisten Linux Systeme bereits mitgelieferte IPtables Firewall.

Im Gegensatz dazu sind Netzwerk-Firewalls Geräte, die speziell für die Funktion als Firewall entworfen wurden und nicht auf einem PC, sondern im Netzwerk platziert werden. Diese Netzwerk- oder Hardware-Firewalls stellen wichtige Elemente in industriellen Anlagen dar, insbesondere wenn industrielle Anlagen mit weiteren Netzwerken verbunden sind (z.B. Office Netzwerken) oder die kabelgebundene Übertragung mit weniger sicheren Netzwerktechnologien (z.B. drahtloser Übertragung) kombiniert wird. Eine Netzwerk-Firewall hilft in diesen Fällen dabei, die Netzwerkgrenze als erste Verteidigungslinie gegen Angriffe einzurichten und nur erwünschten Netzwerkverkehr in das Netz hinein und aus dem Netz heraus zuzulassen.

Die technische Grundfunktion jeder Firewall ist das Filtern von Paketen. Dabei prüft die Firewall für Pakete, die sie weiterleiten soll, ob diese einem erwünschten Muster entsprechen. Diese Muster werden in Form von Regeln modelliert. Eine Firewall an einer Netzwerkgrenze kann so zum Beispiel Regeln der Form „Ein Kommunikationsverbindungsaufbau von innerhalb des Netzwerkes darf nur zu einem bestimmten Server erfolgen“ oder „Von außerhalb des Netzwerkes sind nur die Login PCs für die entfernte Wartung erreichbar, nicht die weiteren Geräte“ beinhalten. Auch Regeln wie für Industrieprotokolle wie z.B. Modbus/TCP sind möglich, sodass eine Regel lauten könnte: „Schreibbefehle für das ModBus/TCP Protokoll, Coil 56 sind nur vom Wartungsterminal erlaubt“.

Die Firewall im industriellen Umfeld: Einsatzgebiete und Anforderungen

Firewalls sind wichtige Grundbausteine heutiger Sicherheitskonzepte. Sie kommen dabei an verschiedenen Stellen des Netzwerks zum Einsatz. Zum einen können sie ein Unternehmensnetzwerk nach außen hin absichern. Zum anderen können sie auch innerhalb einer Anlage verschiedene Maschinen voneinander abschotten bzw. passgenau Kommunikation zwischen Maschinen erlauben.

Dieses Konzept der passgenauen Konfiguration zwischen Netzwerkteilnehmern in internen Netzwerken sowie der Abschottung verschiedener Netzwerkbereiche gegeneinander wird üblicherweise als „Defense in Depth“, kombiniert mit Zonen und Leitungen („Zones and Conduits) bezeichnet: Eine gestaffelte Verteidigung mit mehreren, hintereinander geschalteten Sicherheitsebenen.

Zum einen wird durch eine gestaffelte Verteidigung der Zugriff auf das zu schützende System oder Netzwerk erschwert – schließlich muss ein Angreifer mehrere Sicherheitsebenen überwinden und nicht nur eine einzelne Hürde. Zum anderen hilft die Abschottung in mehrere Netzwerkbereiche für den Fall, dass ein Netzwerkbereich tatsächlich durch einen Angreifer kompromittiert wird. In diesem Fall ist nicht sofort das komplette Netzwerk unsicher, sondern nur der abgeschottete Bereich, zu dem der Angreifer Zugriff erlangt hat.

Dieses Konzept ist nicht neu, sondern wurde bereits im Mittelalter beim Bau von Burgen und anderen Verteidigungsanlagen berücksichtigt. Besonders gefährdete Bereiche wurden mehrfach mit Mauerwerk gesichert, als letzte Rückzugslinie diente den Verteidigern der Burgfried im Inneren der Burg. Zur Erschwerung der Bewegung der Angreifer wurden die einzelnen Segmente der Burg durch Tore und Fallgitter voneinander getrennt.

In Kommunikationsnetzwerken entspricht die Segmentierung durch Tore und Fallgitter dem Konzept der passgenauen Konfiguration von Netzwerkteilnehmern in Zonen und Leitungen. Dieses Verfahren wird oft zusammen mit einer gestaffelten Verteidigung gemäß „Defense in Depth“ eingesetzt. „Zones and Conduits“ bedingt quasi stets den Einsatz von „Defense in Depth“, da Tore und Fallgitter ohne Mauern und Wände nutzlos sind. „Zones and Conduits“ ist ein zentraler Bestandteil der Internationalen Norm IEC 62443 (früher ISA99). Um diese erprobte Verfahren in Kommunikationsnetzen umzusetzen, werden Firewalls in größerer Zahl an unterschiedlichen Orten im Netzwerk eingesetzt.

Firewall an der Firmengrenze

Firewalls spielen bei der Abgrenzung von Netzwerkteilen verschiedene Rollen. Zum einen kann eine Firewall ein Unternehmen insgesamt nach außen absichern. Diese globale Absicherung ist in der Regel die Domäne von IT-Firewall-Lösungen, die im Rechenzentrum eines Unternehmens platziert werden. Zum anderen können diese jedoch auch beispielsweise in der Produktion eingesetzt werden, um diese wirkungsvoll vom Rest des Firmennetzwerks zu trennen.

Firewall in einer kleinen Zelle oder einer Außenstelle

Für kleinere Außenstellen eignen sich Industrielle Firewalls mit Router Funktion. So lassen sich z.B. Verteilerstationen über ein WWAN (Wireless Wide Area) Netzwerk mit der restlichen Firmeninfrastruktur verbinden. Die Firewall übernimmt dabei die Beschränkung des Netzwerkverkehrs aus und in das lokale Netzwerk der Außenstelle. Da eine solche Firewall zur Anbindung einer Außenstelle den Übergang vom unternehmenseigenen Netzwerk (die Außenstelle) hin zu einem fremden Netzwerk (ein Provider- Netzwerk oder das Internet) darstellt, muss diese Firewall um vollumfängliche Möglichkeiten zur Paketfilterung verfügen und Verkehr zwischen verschiedenen Netzwerken filtern können. Eine solche Firewall nennt sich IP Firewall, da sie Verkehr des Internet Protokolls (IP) bearbeitet. Da diese Firewalls oft auch sehr nahe an den eigentlichen Anlagen installiert ist muss auch auf eine industrielle Härtung geachtet werden. Erweiterte Temperaturbereiche bzw. Anwendungszulassungen für spezielle Einsatzgebiete (z.B. Energieversorgung und Transportwesen) sind hier ausschlaggebend.

 

Firewall auf der Feldebene

Es ist selten ausreichend nur die äußeren Grenzen des Netzwerkes gegen Angreifer zu schützen. Häufig finden auch Angriffe aus dem Inneren eines Netzwerkes statt. Auch innerhalb eines lokalen Netzwerkes können Firewalls die Kommunikation gemäß dem Sicherheitskonzept begrenzen. Soll nur die Kommunikation zu einem einzelnen Gerät einer Anlage von außerhalb der Anlage möglich sein, so kann die Firewall diese Verbindungen spezifisch zulassen während alle anderen Kommunikationsversuche unterbunden werden. Die Anforderungen einer Firewall unterscheiden sich jedoch beim Einsatz innerhalb eines Netzwerks im Vergleich zum Einsatz zwischen Netzwerken. So wird eine transparente Layer 2 Firewall auf Ethernet Ebene benötigt und keine IP Firewall. Da die Firewalls hier auf der Feldebene eingesetzt werden sind ebenfalls die Einsatzparameter (Temperaturbereiche, Vibration, etc.) sowie die benötigten Zulassungen zu beachten.

Firewall im Bereich WLAN

Auch Übergänge von drahtlosen zu drahtgebundenen Netzwerken lassen sich durch Firewalls schützen. So kann z.B. die Kommunikation eines Tablets, das sich mit dem WLAN einer Maschine verbunden hat so eingeschränkt werden, dass es nur auf die Daten der Bedienungsschnittstelle, jedoch nicht auf weitere Subsysteme oder mit der Maschine verbundenen Geräte zugreifen kann. Wird ein Client in ein WLAN eingebunden, ist es prinzipiell möglich mit allen weiteren Geräten im selben (Sub)-Netz direkt zu kommunizieren. Ein Angreifer kann so einen erfolgreichen Angriff auf ein WLAN Client Gerät auf beliebige mit dem Ethernet Netzwerk verbundene Geräte ausweiten. Diesem Problem kann begegnet werden indem man die Weiterleitung von Nachrichten zwischen WLAN Clients am WLAN Access Point durch eine Firewall begrenzt. Auch hier ist eine transparente Layer 2 Firewall nötig, die innerhalb eines Netzwerks (direkt zwischen den WLAN Geräten im Netzwerk) filtern kann. Diese Firewallfunktion muss dazu direkt auf dem Access Point implementiert sein. Auch hier sind industriell gehärtete Geräte von Bedeutung.

An jeder anderen Stelle in einem Netzwerk kann es darüber hinaus sinnvoll sein die Kommunikation auf die gewünschten Kommunikationsbeziehungen zu begrenzen. Da Firewalls jedoch auch negative Auswirkungen auf die Übertragungslatenz (die Kommunikationsverzögerung) und den Netzwerkdurchsatz haben können, ist der Einsatz einer dedizierten Firewall jedoch nicht immer möglich. In einem solchen Fall können höherwertige Netzwerkswitches jedoch auch weniger mächtige zustandslose Filterregeln anwenden. Diese Regeln werden dann üblicherweise nicht als Firewall-Regeln sondern als Access Control Lists (ACL) bezeichnet. ACLs bieten sich immer da an, wo innerhalb eines Netzwerks schnell gefiltert werden muss.

Unterschiede im Filtering

Nicht nur die Umgebung und die Einsatzorte bestimmen die Anforderungen an eine Firewall. Auch bei den Fähigkeiten der Filtermechanismen gibt es große Unterschiede. Hierbei ist zu unterscheiden wie tief eine Firewall die Kommunikationsbeziehungen der Geräte betrachten kann. Auch hier besteht eine enorme Spannbreite. Das Spektrum beginnt mit Firewalls die nur einfache Mustererkennung auf Paketen durchführen können und erstreckt sich bis hin zu Firewalls, die auch die Funktionen und Abläufe in Industrieprotokollen verstehen können und so gezielt einzelne Kommunikationsmuster unterbinden können.

Die gleichzeitige Kombination von unterschiedlichen Sicherheitsmerkmalen, wie beispielsweise Firewall-Mechanismen, kann bei der Umsetzung eines Defense in Depth Konzeptes für zusätzliche Sicherheit sorgen. Wieder einmal liefern die mittelalterlichen Baumeister die Inspiration für dieses Konzept der Diversität der Verteidigungsmechanismen: In Burgen und anderen Verteidigungsanlagen wurden oft hohe Mauern mit anderen Verteidigungskonzepten kombiniert, beispielsweise einem Wassergraben. So musste ein Angreifer eine wesentlich ausgefeiltere Strategie entwickeln, um sowohl den Wassergraben als auch die Mauer zu überwinden.

In modernen Kommunikationsnetzen ist es ebenso sinnvoll, unterschiedliche Firewall-Mechanismen einzusetzen und in einem Defense in Depth Konzept miteinander oder mit anderen Sicherheitsmechanismen zu kombinieren. Die folgenden Filtermechanismen sind allgemein bekannt:

Stateless Firewalls

Kommunikationsbeziehungen zwischen Geräten können sich in verschiedenen Phasen (Zuständen) befinden. Zum Beispiel wird in der Regel in einer ersten Phase die Kommunikationsbeziehung aufgebaut. In einer zweiten Phase wird aktiv kommuniziert bevor in einer dritten Phase die Verbindung beendet wird. Ein konkretes Beispiel für ein Protokoll, das dieses Verfahren einsetzt ist das Transmission Control Protocol (TCP), das sehr oft zusammen mit dem IP zu TCP/IP kombiniert wird.

Stateless (zustandslose) Firewalls können, wie der Name schon ausdrückt, nicht auf den Zustand einer Kommunikationsverbindung reagieren und die verschiedenen Phasen nicht unterscheiden. So kann beispielsweise zwar festgelegt werden, dass einzelne Geräte oder Anwendung miteinander kommunizieren dürfen, jedoch kann nicht überprüft werden, ob sich die Kommunikationsteilnehmer an den normalen Ablauf einer solchen Kommunikation halten. Insbesondere kann die Firewall keine Angriffe die sich aus einem abnormalen Protokollverhalten ergeben erkennen und unterbinden. Besonders verwundbare Industriegeräte mit minimalem eigenen Schutz werden dadurch einer Gefahr ausgesetzt, beispielsweise einem so genannten Denial of Service, in dem die Kommunikationsschnittstelle eines Industriegerätes gezielt mit Kommunikationsanforderungen geflutet und überlastet wird.

Stateful Firewalls

Im Gegensatz zu Stateless Firewalls können Stateful (zustandsbewusste) Firewalls den Kommunikationsverlauf der Kommunikationspartner überwachen und so auch das Verhalten der Partner bei grundlegenden Kommunikationsoperationen, wie dem Verbindungsauf- oder -abbau als Grundlage für die Paketfilterung verwenden. So können auch Anriffe erkannt und verhindert werden, die versuchen über bereits abgebaute Verbindungen zu kommunizieren. Ebenso können Angriffe vermieden werden, die einen bewusst fehlerbehafteten Verbindungsaufbau verwenden um Opfersysteme zu belasten und zu überlasten.

Deep Packet Inspection

Deep Packet Inspection ist eine Weiterentwicklung der Stateful Packet Inspection. Stateful Firewalls untersuchen die Pakete im Netzwerk üblicherweise bis in den so genannten Header am Anfang des Paketes, denn in diesem Header befinden sich die Informationen, durch die die Firewall den Kommunikationszustand ermitteln und überwachen kann. Dies können beispielsweise Sequenznummern und Kommunikationsflags für das weit verbreitete TCP sein.

Stateful Packet Inspection geht einen Schritt weiter und ermöglicht die Untersuchung über die Kommunikationsheader hinaus bis hinein in die Nutzlast (z.B. den Steuerungsprotokollen der Industrieanwendungen) eines Paketes. So können hochspezialisierte Angriffsmuster, die tief in den Kommunikationsströmen versteckt sind, entdeckt werden.

Die Firewall muss allerdings hierzu das jeweilige Kommunikationsprotokoll „verstehen“, um ein wohlgeformtes, „gutes“ Paket von einem schlechten Paket oder schlechter Nutzlast unterscheiden zu können. Somit werden Deep Packet Inspection Firewalls oft als zusätzliche Komponenten einer Stateful Packet Inspection Firewall eingesetzt und nur für ganz bestimmte Protokolle und Einsatzzwecke, beispielsweise für Industrieprotokolle.

Eine Deep Packet Inspection Firewall bietet ein hohes Maß an Sicherheit mit einem oft sehr individuell und feingranular konfigurierbaren Regelsatz, erfordert aber ein hohes Maß an Rechenleistung auf der Netzwerkfirewall. Ebenso notwendig ist eine ausgefeilte Konfigurationsschnittstelle, um die gegebene Komplexität zu beherrschen.

Diese Tatsache, kombiniert mit der jeweils individuellen Anpassung an einzelne Protokolle hat zur Folge, dass Deep Packet Inspection Firewalls meist nicht flächendeckend eingesetzt werden, sondern nur an bestimmten, sorgfältig ausgewählten Punkten im Netzwerk. Dort wo sie sinnvoll eingesetzt werden schaffen sie aber eine deutlich stärkere Härtung der industriellen Kommunikation.

Management von Firewalls

Genauso wie es beim Anwendungsgebiet und der Leistungsfähigkeit des Paketfilters Unterschiede gibt, so zeigen sich auch Unterschiede bei den weiteren Funktionen einer Firewall. Insbesondere bei den Managementfunktionen einer Firewall, ob sie eine praktikable Lösung oder eher ein Hindernis für die Umsetzung einer Sicherheitsstrategie ist. Dies lässt sich gut an zwei typischen Managementaufgaben zeigen: der Einbindung einer neuen Firewall in ein bestehendes Industrienetzwerk und der Verwaltung mehrerer Firewalls durch Netzwerkmanagement-Tools.

Lernende Firewalls

Die Einbindung einer neuen Firewall in ein bestehendes Industrienetzwerk ist keineswegs trivial. In Industrienetzwerken gibt es in der Regel eine Vielzahl von Kommunikationsbeziehungen, die in den seltensten Fällen komplett und korrekt erfasst und dokumentiert sind. Da die Hauptfunktion einer Firewall das Unterbinden von unbekanntem Netzwerkverkehr ist gestaltet sich daher die initiale Konfiguration dieses Gerätes in einem solchen Fall besonders schwer. Wird die Firewall zu liberal konfiguriert, so lässt sie zwar den Steuerungs- und Überwachungsverkehr der Anlage problemlos passieren, jedoch stellt sie auch kein großes Hindernis für einen eventuellen Angreifer dar. Wird die Firewall zu restriktiv konfiguriert, so blockiert sie zwar die Kommunikation eines möglichen Angreifers, behindert jedoch auch den Verkehr der Anlage, sodass diese nicht mehr in allen Situationen fehlerfrei funktioniert. Das kann zu Standzeiten und erhöhten Wartungskosten führen. Es kommt daher auf die passgenaue Konfiguration der Firewall an, um genau den gewünschten Verkehr zuzulassen und zeitgleich den nicht gewünschten Verkehr zu unterbinden. Ohne eine komplette Sicht auf alle Kommunikationsbeziehungen wird daher die Integration einer Firewall in ein bestehendes Netzwerk zu einer Zitterpartie.

Moderne hochqualitative industrielle Firewalls unterstützen daher die Mitarbeiter bei der Inbetriebnahme, in dem sie spezielle Analysemodi anbieten. Ein solcher Modus (z.B. Firewall Learning Mode) erlaubt es der Firewall die Kommunikationsbeziehungen in einem Netzwerk während einer Lernphase zu analysieren. Während einer frei bestimmbaren Lernphase zeichnet dabei die Firewall alle Kommunikationsbeziehungen auf, ohne sie zu beschränken. Ein Administrator kann mit Hilfe der analysierten Verbindungen schnell und einfach die gewünschten bzw. unerwünschten Kommunikationsbeziehungen erkennen und eine passgenaue Konfiguration der Firewall (semi-)automatisch erstellen. Dies spart Zeit und ermöglicht es eine funktionierende und sichere Konfiguration zu finden, ohne Ausfälle und Fehlfunktionen zu riskieren. Die Dauer der Lernperiode muss frei wählbar sein, da währen der Lernperiode alle Kommunikationsbeziehungen von der Firewall wahrgenommen werden. Insbesondere bei sporadischen Kommunikationsvorgängen, wie z.B. während einer regelmäßigen Wartung muss daher der Zeitraum angemessen gewählt werden.

 

Management von mehreren Firewalls

Der Einsatz von Firewalls um verschiedene Maschinen und Anlagenteile voneinander zu isolieren, ist ein wichtiger Aspekt der Defense in Depth Strategie. Hat ein Angreifer eine erste Hürde genommen indem er z.B. ins Netzwerk eingedrungen ist, so können weitere Firewalls mit stets spezifischeren Regeln ein Vordringen in weitere und sensitivere Anlagenteile verhindern.

Ein solcher Einsatz von IP-Firewalls und transparenten Layer-2 Firewalls bedingt die Verwaltung und Konfiguration mehrerer Firewalls. Ohne ein mächtiges Verwaltungswerkzeug zur einfachen (Massen-)Konfiguration von Firewalls kann sich eine solche Konfiguration bei Änderungen in der Netzwerkinfrastruktur sehr aufwändig gestalten. Abhilfe schaffen Firewalls, die durch Netzwerkmanagement-Tools zentral verwaltet und überwacht werden können. So lassen sich Standardkonfigurationen schnell auf neu installierte Firewalls ausrollen und Änderungen an den Konfigurationen durchführen. Ein Beispiel für eine solche Änderung kann ein neuer Logserver sein, den alle Geräte im Produktionsnetzwerk erreichen können. Müssen nun alle Firewalls einzeln konfiguriert werden, so muss die IP Adresse und der Port des Logservers einzeln auf allen Firewalls gesetzt werden. Dies ist zeitaufwändig und fehleranfällig. Durch eine Massenkonfiguration mithilfe eines Netzwerkmanagement-Tools kann diese Aufgabe gleichzeitig und zuverlässig für alle Firewalls durchgeführt werden.

Zusammenfassung

Auch wenn moderne Sicherheitskonzepte weit mehr beinhalten als Firewalls, so sind diese immer noch ein zentrales Element, ohne die kein solches Sicherheitskonzept auskommen kann. Für die Umsetzung wichtiger Konzepte aus internationalen Standards und bewährten Vorgehensweisen (Best Practices) wie „Defense in Depth“ und „Zones and Conduits“ sind Firewalls absolut betriebsnotwendig.

Die technische Entwicklung der letzten Jahre hat gezeigt, dass sich Firewalls nicht nur in den technischen Eigenschaften mittlerweile stark unterscheiden, sondern auch in der Ausgestaltung der Hardware, den Zulassungen sowie der Handhabung und damit in der Einsatzfähigkeit im industriellen Umfeld.

Die Wahl der richtigen Firewall für die unterschiedlichen Aufgaben im Industrienetz kommt somit auch in Zeiten hochkomplexer Security Konzepte mit zahlreichen unterschiedlichen Technologien eine zentrale Bedeutung zu.