ODVA hat auf der SPS in Nürnberg eine gerätebasierte Firewall als Erweiterung von CIP Security, der Cybersecurity-Netzwerkerweiterung für Ethernet/IP, vorgestellt. Die gerätebasierte Firewall von CIP Security bietet Benutzern einen einfachen Traffic-Filter, ähnlich wie das IP-Tables-Programm die Einrichtung einer Firewall in Linux ermöglicht. Die Firewall wird über ein neues CIP-Security-Profil aktiviert und hält böswillige Akteure davon ab, in Ethernet/IP-Industrienetzwerke einzudringen.
CIP Security ist ein Mechanismus zur Filterung des Datenverkehrs auf der Grundlage von IP-Adresse, Port und Protokoll. Die gerätebasierte Firewall wird über ein neues CIP-Objekt, das so genannte Ingress-Egress-Objekt, implementiert, das eine Zulassungsliste bekannter IP-Adressen, die Konfiguration verfügbarer Cipher Suites und die Definition von Routing-Regeln auf der Grundlage von IP-Adressen und Portnummern ermöglicht. Das bedeutet, dass Ethernet/IP-Geräte mit CIP Security bestimmen können, mit welchen Nodes sicher kommuniziert werden kann und ob TLS- oder DTLS-Verschlüsselung erforderlich ist. Außerdem kann der Benutzer/die Benutzerin entscheiden, ob andere Geräte die CIP-Kommunikation über das konfigurierte CIP-Sicherheitsgerät leiten können. Die neue gerätebasierte Firewall ist eine weitere Abschreckungsmaßnahme im Rahmen eines Defense-in-Depth-Ansatzes zum Schutz physischer und digitaler Ressourcen vor Schaden.
“CIP Security fügt zusätzliche Sicherheitsfunktionen wie die neue gerätebasierte Firewall hinzu, um Ethernet/IP-Geräte vor Missbrauch zu schützen, der zu kritischen Systemschäden oder Informationsverlusten führen könnte”, so Jack Visoky, stellvertretender Vorsitzender der Ethernet/IP System Architecture Special Interest Group (SIG). Dr. Al Beydoun, Präsident und Geschäftsführer der ODVA, stimmt dem zu: “Die Verhinderung des Zugriffs nicht autorisierter IP-Adressen und Port-Nummern auf CIP Security-fähige Ethernet/IP-Geräte stellt eine weitere Schutzschicht für kritische industrielle Automatisierungsanwendungen als Teil eines Defense-in-Depth-Ansatzes dar. Das Hinzufügen des gerätebasierten Firewall-Profils für CIP Security ist ein weiteres wichtiges Update, um den Kampf gegen bösartige Cyberangriffe fortzusetzen, die zu finanziellen und Reputationsverlusten führen können.”
Nur bekannten IP-Adressen dürfen kommunizieren
Das neue CIP Security Device-Based Firewall Profile erlaubt nur bekannten IP-Adressen die Kommunikation über Standard-Ethernet/IP. Außerdem kann das zulässige CIP-Routing auf der Grundlage einer Reihe von vertrauenswürdigen IP-Adressen, Ports und Verschlüsselungen konfiguriert werden. Durch die Implementierung der gerätebasierten Firewall werden Datenpakete, die nicht mit der IP-Adresse und/oder den Ports übereinstimmen, verworfen, so dass sie nicht in der Lage sind, die beabsichtigten bösartigen Aufgaben zu erfüllen.
Mehr zu CIP Security bei odva.org