Verwalten des MS ISA Server/MS TMG. als Zugangspunkt SIMATIC. Prozessleitsystem PCS 7 Verwalten des MS ISA Server/MS TMG als Zugangspunkt.

Transkript

1 Verwalten des MS ISA Server/MS TMG als Zugangspunkt SIMATIC Vorwort 1 Verwalten des MS ISA Server/MS TMG als 2 Zugangspunkt Hinweise für die Praxis 3 Prozessleitsystem PCS 7 Verwalten des MS ISA Server/MS TMG als Zugangspunkt Inbetriebnahmehandbuch 12/2011 A5E

2 Rechtliche Hinweise Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Industry Sector Postfach NÜRNBERG DEUTSCHLAND A5E P 11/2011 Copyright Siemens AG Änderungen vorbehalten

3 Inhaltsverzeichnis 1 Vorwort Aufbau und Dokumentstruktur Besondere Hinweise Netzwerkpositionen Front-Firewall Back-Firewall Threehomed-Firewall Techniken und Konfigurationen Allgemeines Webveröffentlichung VPN-Server Geräte Direkteinwahl IPSec Anbindung Benutzerabhängige Regeln Spezialfall Trust zwischen ERP- und Perimeter-Netz Hinweise für die Praxis Allgemeine Informationen Weitere Informationen und Hinweise...28 Inbetriebnahmehandbuch, 12/2011, A5E

4 Inhaltsverzeichnis 4 Inbetriebnahmehandbuch, 12/2011, A5E

5 Vorwort Aufbau und Dokumentstruktur Das Sicherheitskonzept PCS 7 & WinCC besteht aus mehreren Teilen: Das Basisdokument ist der zentrale Überblick und Wegweiser durch das Sicherheitskonzept PCS 7 & WinCC. Dort werden die Grundprinzipien und Security-Strategien des Security-Konzepts in systematisierter Form beschrieben. Alle zusätzlichen Detaildokumente setzen die vollständige Kenntnis des Basisdokumentes voraus. Die Detaildokumente (dieses Dokument ist ein solches Detaildokument) erläutern die einzelnen Prinzipien, Lösungen und deren empfohlene Konfiguration in detaillierter Form, jeweils auf ein bestimmtes Detail-Thema fokussiert. Die Detaildokumente werden unabhängig voneinander ergänzt, aktualisiert und bereitgestellt, um eine hohe Aktualität zu gewährleisten. Inbetriebnahmehandbuch, 12/2011, A5E

6 Vorwort 1.2 Besondere Hinweise 1.2 Besondere Hinweise Ziel des Sicherheitskonzept PCS 7 & WinCC Oberste Priorität in der Automatisierung hat die Aufrechterhaltung der Kontrolle über Produktion und Prozess. Auch Maßnahmen, die die Ausbreitung einer Sicherheitsbedrohung verhindern sollen, dürfen dies nicht beeinträchtigen. Das Sicherheitskonzept PCS 7 & WinCC soll sicherstellen, dass nur authentifizierte Benutzer über die ihnen zugewiesenen Bedienmöglichkeiten an authentifizierten Geräten autorisierte (erlaubte) Bedienungen durchführen können. Diese Bedienungen sollen ausschließlich über eindeutige und geplante Zugriffswege erfolgen, um während eines Auftrages eine sichere Produktion oder Koordination ohne Gefahren für Mensch, Umwelt, Produkt, zu koordinierende Güter und das Geschäft des Unternehmens zu gewährleisten. Das Sicherheitskonzept PCS 7 & WinCC empfiehlt dazu den Einsatz der aktuell verfügbaren Sicherheitsmechanismen. Um die höchstmögliche Sicherheit zu erreichen, dürfen anlagenspezifisch skalierte Konfigurationen den Grundprinzipien dieses Sicherheitskonzepts nicht widersprechen. Das Sicherheitskonzept PCS 7 & WinCC soll die Zusammenarbeit der Netzwerkadministratoren von Unternehmensnetzen (IT-Administratoren) und Automatisierungsnetzen (Automatisierungsingenieuren) erleichtern, so dass die Vorteile der Vernetzung der Prozessleittechnik mit der Datenverarbeitung der anderen Produktionsebenen ohne beidseitig erhöhte Sicherheitsrisiken genutzt werden können. Erforderliche Kenntnisse Diese Dokumentation wendet sich an Personen, die in den Bereichen Projektierung, Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC tätig sind. Administrationskenntnisse der aus der Bürowelt bekannten IT-Techniken werden vorausgesetzt. Gültigkeitsbereich Das Sicherheitskonzept PCS 7 & WinCC löst die vorhergehenden Dokumente und Empfehlungen "Sicherheitskonzept PCS 7" und "Sicherheitskonzept WinCC" schrittweise ab und ist gültig ab WinCC V6.2 und PCS 7 V Inbetriebnahmehandbuch, 12/2011, A5E

7 Verwalten des MS ISA Server/MS TMG als 2 Zugangspunkt 2.1 Das Sicherheitskonzept PCS 7 & WinCC empfiehlt den "Microsoft Internet Security and Acceleration (ISA) Server" als leistungsfähige Firewall bzw. Zugangspunkt und das 2010 erschienene Nachfolgeprodukt "Microsoft Forefront Threat Management Gateway (TMG)". Dieses Dokument bezieht sich nur auf den Microsoft ISA Server\TMGISA Server\TMG\TMG, auf andere Produkte, wie z.b. Siemens SCALANCE S, wird in anderen Dokumenten eingegangen. Anstelle einer Aufzählung der Gründe warum der ISA Server\TMG das empfohlene Produkt ist, werden hier einige Security "Mythen" bezüglich des ISA Server\TMG aufgeklärt werden. 1. "Eine windowsbasierte Firewall, das ist doch ein Widerspruch in sich." Im Gegenteil, die Stärke des ISA Server\TMG liegt darin, dass er auf Windows Server 2003 aufsetzt und deshalb alle Stärken dieses Betriebssystems erbt. Es ist das meist genutzte Serverbetriebssystem und unterliegt sehr strengen Qualitäts- und Systemtestvorgaben. Durch die große Verbreitung werden mögliche Lücken zeitnah entdeckt und geschlossen. Da der ISA Server\TMG auf Windows basiert, kann er alle Dienste und Techniken dieser Umgebung nutzen und sich perfekt in ein bestehendes Windows Netzwerk integrieren. Die windowseigenen Authentifizierungs- und Kommunikationsmechanismen können direkt genutzt werden und müssen der Firewall nicht über "proprietäre" Schnittstellen, welche oft eigene Sicherheitslücken aufweisen, zur Verfügung gestellt werden. Damit wird die Erstellung benutzerabhängiger Regeln am ISA Server\TMG mit den dazugehörigen modernsten Authentifizierungsmöglichkeiten wie z.b. Kerberos erst ermöglicht. 2. "In Windows werden so viele Sicherheitslücken gefunden, da kann doch der ISA Server\TMG gar nicht sicher sein" Fast alle dieser Lücken sind Fehler in Programmen, die auf dem jeweiligen Windows Betriebssystem laufen, also Schwachstellen, die nur ausgenutzt werden können, wenn ein Benutzer am Betriebssystem angemeldet ist und ein solches Programm startet. Der Virus/Trojaner, der sie ausnutzt, muss dazu in die Applikation-Layer-Schicht des OSI-Referenzmodells gelangen. Der ISA Server\TMG arbeitet jedoch auf Layer 2 bis 5 dieses Modells. Dies sind die Transport- und Vermittlungsschichten (z.b. der TCP/IP Ebene) und können somit nicht durch solche Schadsoftware infiziert werden. Um diesen Vorteil durchgängig zu gewährleisten, darf der ISA Server\TMG nicht als Workstation oder Applikation-Server betrachtet werden. Er ist ein Netzwerkgerät. Nach der Installation und Erstkonfiguration arbeitet der ISA Server\TMG wie z.b. ein Router, ohne Tastatur, Mouse oder Bildschirm im ausgeloggten Zustand. Zur Wartung und Pflege kann man sich remote über die einzeln installierbare Management-Konsole oder eine abgesicherte Terminalsitzung auf den ISA Server\TMG verbinden und verhindert so die lokale Ausführung unsicherer Programme. Inbetriebnahmehandbuch, 12/2011, A5E

8 "Der ISA Server\TMG ist keine richtige Firewall und kann nur innerhalb der Netzstruktur, aber nicht als Schutz nach außen verwendet werden." Richtig konfiguriert kann der ISA Server\TMG an jeder Netzwerkposition verwendet werden. Microsoft schützt sein komplettes weltumspannendes Netzwerk einzig mit dem ISA Server\TMG, und dies an jeder Stelle, wo eine Firewall zum Einsatz kommt. 4. "Da der ISA\TMG auf Windows basiert, ist er ohne lokalen Virenscanner nicht einsetzbar." Trotz seines modernen und sicheren Designs ist der ISA Server\TMG verletzbar, wenn er unzweckmäßig konfiguriert oder falsch verwendet wird. Unter anderem stellt der Einsatz eines lokalen Virenscanners eine potentielle Gefahr für die Sicherheit des ISA Server\TMG dar. Es gibt derzeit keinen Virenscan-Client, der für den ISA Server\TMG entwickelt und freigegeben ist. Dies ist auch nicht notwendig, da auf Firewalls allgemein kein lokaler Datenaustausch, Ausführung von Drittprogrammen, keine lokale Anmeldung o.ä. erfolgen sollte. 5. Es gibt eine Vielzahl von Modulen namhafter Virenscanner Hersteller, die es dem ISA Server\TMG ermöglichen, eingehenden Netzwerk-Datenverkehr auf Viren zu prüfen. Diese Überprüfung und Weitergabe erfolgen hier bereits auf Layer 2-5, ein lokaler Virenscan-Client arbeitet allgemein erst auf Layer 6-7 und benötigt eine lokale Ausführung und Anmeldung. "Die Microsoft-Produkte sind unsicher und müssen viel zu oft gepatcht werden." 6. Seit Erscheinen des ISA Server 2004 wurde, anders als bei anderen Firewall-Herstellern, noch keine Sicherheitslücke gefunden. Außer zwei Service-Packs, die die Funktionalität und den Funktionsumfang verbesserten, wurden für den ISA Server 2004 und den später veröffentlichten ISA Server 2006 keine sicherheitsrelevanten Patches veröffentlicht. 7. "Der ISA Server\TMG ist eine Office-Firewall und nicht für die Industrie geeignet." Ja, es ist richtig, dass der ISA Server\TMG viele Optionen und Schnittstellen mitbringt, die besonders für Web-Server, Mailserver und andere Office-Applikationen ausgelegt sind. Dies bedingt aber keinerlei Einschränkungen für den industriellen Einsatz und Betrieb dieser Firewall-Lösung. Im Gegenteil, diese Schnittstellen werden auch immer häufiger im industriellen Umfeld genutzt, um z.b. sichere webbasierte Bedien- und Beobachtungslösungen zu realisieren. Auch immer mehr Appliance- Hersteller (Hersteller von ISA Server\TMG /Hardware-Bundle-Systemen) bieten den ISA Server\TMG in industrietauglichen Gehäusen, also Staub-, Spritzwasser- und Explosionsgeschützt an. Die hohe Performance und die Vielfalt der möglichen Regelkonfigurationen machen ihn daher auch für die Industrie sehr interessant. 8 Inbetriebnahmehandbuch, 12/2011, A5E

9 2.2 Netzwerkpositionen 2.2 Netzwerkpositionen Die sicherste und effektivste Konfiguration ist eine Front-/Back-Firewall Lösung und sollte für große und mittlere Anlagen gewählt werden, siehe folgendes Bild. Die Back-Firewall schützt das Produktions-Netz und das MON-Netz. Die Front-Firewall schützt das Perimeter-Netz und alle dahinterliegenden Netze. ECN (Büro-Netzwerk) WAN Intranet Support Station extern Einwahl Router ISDN ISDN 1 Firewall ISA Server Front-Firewall Perimeter Network Manufacturing Operations Network MES Einwahl Firewall ISA Server intern Back-Firewall Process Control Network Router ISDN ISDN 2 Für Kleinanlagen kann, auf Grund des Kosten und Verwaltungsaufwandes der o.g. Lösung, auch mit einer "Ein-Firewall-Strategie", der Threehomed-Firewall, eine ausreichende Sicherheit gewährleistet werden. Inbetriebnahmehandbuch, 12/2011, A5E

10 2.2 Netzwerkpositionen Front-Firewall Die Front-Firewall im Folgenden Bild schützt das Perimeter-Netzwerk der Anlage und damit auch alle anderen dahinterliegende Produktionsnetzwerke gegen unberechtigte Zugriffe von außen, unabhängig, ob es sich dabei um das Unternehmens-Netzwerk (Intranet/ Office Netzwerk) oder das Internet direkt handelt. Die Front-Firewall kann somit als Zugangspunkt für alle Sicherheits-Zonen der Produktionsebene (MCS nach ISA S95) und auch der Produktionsplanungsebene (MES nach ISA S95) fungieren. Sie hat im Wesentlichen folgende Aufgaben: Veröffentlichung der Webserver im Perimeter-Netz für das Inter-/Intranet (Office Netzwerk) HTTP/HTTPS Zugriff der im Perimeter stehenden Server auf das Inter-/Intranet (z.b. Download neuer Updates durch WSUS oder Virenscanserver) VPN-Server Veröffentlichung der Back-Firewall (z.b. für Supporteinwahl) Zugriff und Weiterleitung notwendige Dienste des Inter-/Intranet (z.b. DNS, NTP) Verweigerung aller anderen Zugriffe 10 Inbetriebnahmehandbuch, 12/2011, A5E

11 2.2 Netzwerkpositionen Back-Firewall Die Back-Firewall im Folgenden Bild schützt unmittelbar das Process Control Network PCN. Ein Netzwerk für Manufacturing Execution Systeme MES (das Manufacturing Operation Network, MON) sollte ebenfalls an die Back-Firewall angebunden und durch diese geschützt werden. Die Back-Firewall fungiert somit als unmittelbarer Zugangspunkt für die Sicherheits- Zone der Produktionsebene und reglementiert die Anbindung von abgesetzten Computern an diese Sicherheits-Zone. Sie hat im Wesentlichen folgende Aufgaben: IPSec-Anbindung von Computern aus anderen Security-Zellen Veröffentlichung der Webserver im Perimeter-Netz in das PCN und MON (z.b. für Security-Patch- oder Virenpatternupdates) Zugriffe auf Dienste im und vom PCN (z.b. DNS, WINS, NTP) Zugriffe auf Dienste im und vom MON (z.b. DNS, WINS, NTP) VPN-Server für PCN und MON HTTP/HTTPS Zugriff der im Perimeter stehenden Server auf das MON (z.b. WSUS oder Virenscanserver) Remote-Support Zugriffe Active Directory Replikation zwischen PCN und MON Inbetriebnahmehandbuch, 12/2011, A5E

12 2.2 Netzwerkpositionen Threehomed-Firewall Für kleine Anlagen, die keine Anbindung an ein eigenständiges MON besitzen und nur über ein sehr kleines Perimeter-Netzwerk verfügen, kann eine Threehomed-Firewall (siehe folgendes Bild) eine ausreichende Lösung darstellen. Sie kombiniert, je nach Bedarf, die Aufgaben der Front- und Back-Firewall. Einzelne MES-Komponenten könnten direkt ins PCN integriert sein. 12 Inbetriebnahmehandbuch, 12/2011, A5E

13 2.3 Techniken und Konfigurationen 2.3 Techniken und Konfigurationen In der nachfolgenden Beschreibung wird nur auf die Konfiguration der Front- und Back Firewall eingegangen. Die Threehomed-Firewall stellt eine sinngemäße Kombination beider Konfigurationen dar Allgemeines Der Microsoft ISA Server\TMG ist ein Netzwerk-Gerät, wie zum Beispiel ein Switch oder ein Router, aber kein Arbeitsplatz-PC, und muss auch als solches gesehen werden. Das heißt, dass er nach der Erstkonfiguration an einem sicheren Ort platziert werden muss. Es sollte sich niemals ein einfacher Benutzer lokal am ISA Server\TMG anmelden dürfen oder können. Für Wartungs- und Konfigurationszwecke sollte die remotefähige ISA Management- Konsole verwendet werden. Es dürfen niemals andere Programme als die ISA Server\TMG- Dienste auf dem Rechner installiert oder gestartet werden. Ebenso dürfen keine Speichermedien (z.b. USB-Sticks, CD s/dvd s) verbunden oder abgespielt werden. Der Front-Firewall stellt die erste Verteidigungs-Linie nach außen dar. Daher wird dieser ISA Server\TMG den meisten Angriffen ausgesetzt sein. Aus diesem Grund sollte er niemals Mitglied einer Domäne sein oder lokal Informationen über interne Benutzer und deren Passwörter speichern. Benutzerkonten, die auf dem ISA Server\TMG administrative Rechte besitzen, sollten weder auf einem anderen Rechner in der Anlage angelegt sein, noch Zugriff haben. Somit wird es einem Angreifer, dem es gelingen sollte, die Front-Firewall zu übernehmen, unmöglich gemacht bzw. erschwert, Zugriff auf andere Rechner innerhalb der Anlage zu erhalten. Die Back-Firewall muss nicht so restriktiv gehandhabt werden. Sie gehört zur MCS Security- Zone und kann als Mitglied der Produktions-Domäne (MCS-Domain) bei Bedarf auch Benutzerauthentifizierungen dieser Domäne abfragen. Im weiteren Verlauf wird nur auf Techniken und deren Konfigurationen näher eingegangen, die im Umfeld von PCS 7- und WinCC-Anlagen benötigt werden. Es werden nicht alle herkömmlichen "Regeln" im Detail erklärt, die am ISA Server\TMG erstellt werden müssen, z.b. Regeln für DNS-, NTP-oder WINS-Kommunikation sind nicht in jedem Fall notwendig, sondern ergeben sich aus dem jeweiligem Netzwerkaufbau. Die Details einer solchen herkömmlichen Regel sind in der Dokumentation des ISA Server\TMG erklärt. Inbetriebnahmehandbuch, 12/2011, A5E

14 2.3 Techniken und Konfigurationen Webveröffentlichung Um auf einen Webserver im Perimeter-Netzwerk aus dem MON oder aus externen Netzwerken zuzugreifen, muss dieser über die Front-Firewall veröffentlicht werden. Die Web-Bridging-Technik, welche vom ISA Server\TMG unterstützt wird und hierbei zum Einsatz kommt, bietet eine viel bessere Sicherheit als die veraltete Technik des Web- Tunneling. Das Öffnen der Ports 80 oder 443 und somit ein einfaches Durchreichen der Anfragen durch den ISA Server\TMG direkt zum Webserver, sollte deshalb nicht mehr angewendet werden. Beim Web-Bridging (siehe nachfolgende Bilder) greift der Web-Client nicht direkt auf den Webserver zu, sondern stellt seine Anfrage an den ISA Server\TMG (1.). Der ISA Server\TMG reicht diese Anfrage überprüft an den Webserver weiter (2.), bekommt die gewünschten Informationen (3.) zurück und leitet diese an den Web-Client weiter (4.). Zwischen dem Web-Client und dem ISA Server\TMG sollte nur HTTPS erlaubt werden. So kann die Authentizität des ISA Server\TMG per Server-Zertifikat garantiert werden. Für den Zugriff des ISA Server\TMG auf den Web-Server kann, je nach gewünschter interner Sicherheit, entweder http oder HTTPS verwendet werden. Sollen Web-Clients aus einem externen Netz auf den Web-Server zugreifen, muss dieser an der Front-Firewall veröffentlicht werden. Sollen hingegen Web-Clients aus einem MES-Netz (MON) zugreifen können, erfolgt die Veröffentlichung an der Back Firewall. Bild 2-1 Web-Bridging 14 Inbetriebnahmehandbuch, 12/2011, A5E

15 2.3 Techniken und Konfigurationen Bild 2-2 Web-Bridging Der größte Vorteil des Web-Bridging ist, dass kein direkter Zugriff von außen auf das Ziel- Netzwerk erfolgen kann. Die Verbindung der Web-Client endet immer an der externen Schnittstelle des ISA Server\TMG. Der ISA Server\TMG prüft diese Zugriffe durch verschiedene Anwendungsfilter und kann somit "schädliche" Anfragen verhindern. Beim Web-Tunneling muss der Web-Server selbst "schädliche" Anfragen erkennen und konnte dadurch in seiner Funktionsweise beeinträchtigt werden. Ein weiterer Vorteil besteht darin, dass mit Hilfe von Web-Bridging extern öffentliche Namen verwendet werden können. Das bedeutet, der Web-Server heißt im Perimeter-Netz z.b. PRM29.prm.plant.com ist aber im externen Netz über den Namen erreichbar. Bei einer solchen Webveröffentlichung in Zusammenhang mit dem SIMATIC WebNavigator Server ist eine Besonderheit zu beachten, siehe Kapitel Hinweise für die Praxis (Seite 25) VPN-Server Dieser Abschnitt beschreibt die Positionierung und Konfiguration des VPN-Servers. Wie ein VPN-Zugriff auf die Anlage durchgeführt werden sollte, ist im Detailbericht "Support & Remote Access" beschrieben. Bei der Platzierung des VPN-Servers gibt es ebenfalls zwei Möglichkeiten (Front- oder Back- Firewall). Hier ist nicht das Quell-Netz verantwortlich für die Positionierung des VPN- Servers, sondern das Ziel-Netzwerk. Es ist unwahrscheinlich, dass VPN-Zugriffe aus dem MON-Netz kommen, da das MON-Netz ein "bekanntes" und potentiell vertrauenswürdiges Netzwerk sein sollte, das dem Anlagenbetreiber gehört. Ist dies nicht der Fall, handelt es sich nicht um ein vertrauenswürdiges Netzwerk im herkömmlichen Sinn, sondern um ein weiteres externes Netz. Erfolgen über die VPN-Verbindung nur Zugriffe auf Rechner im Perimeter-Netzwerk, dann sollte der VPN-Server auf der Front-Firewall (siehe folgendes Bild) platziert werden. Inbetriebnahmehandbuch, 12/2011, A5E

16 2.3 Techniken und Konfigurationen Der VPN-Client baut eine Verbindung zum ISA Server\TMG auf (1.). Nach der erfolgreichen Authentifizierung erhält er, bei entsprechender Konfiguration über die Quarantäne-Funktion des ISA Server\TMG, Zugriff in ein speziell abgeschottetes Quarantänenetzwerk. Dort werden Kundenspezifische Überprüfungen des Client-Rechners durchgeführt. Werden diese Überprüfungen erfolgreich abgeschlossen, wird der Tunnel in das VPN-Netz des ISA Server\TMG fertig aufgebaut (2.) und dem VPN-Client wird der Zugriff auf festgelegte Rechner im Perimeter-Netz (3.) gewährt. Ohne Quarantäne-Funktion wird der Zugriff des VPN-Clients sofort nach erfolgreicher Authentifizierung gewährt. 16 Inbetriebnahmehandbuch, 12/2011, A5E

17 2.3 Techniken und Konfigurationen Ist ein direkter Zugriff auf Rechner im MON oder PCN erforderlich, also ein Zugriff ohne Remote Desktop, NetMeeting oder ähnlichem, muss der VPN-Server auf der Back-Firewall (siehe folgendes Bild) platziert werden und an der Front-Firewall veröffentlicht werden. Dies ist nötig, da der Front-Firewall aus Sicherheitsgründen das PCN und CSN nicht "bekannt" ist und sie keine Routing-Informationen dorthin besitzen sollte. Falls ein Angreifer die Front- Firewall "übernehmen" könnte, hat er zwar Zugriff auf das Perimeter-Netzwerk, aber immer noch nicht auf die Anlage selbst. Die Anlage wird weiterhin zuverlässig durch die Back- Firewall geschützt. Inbetriebnahmehandbuch, 12/2011, A5E

18 2.3 Techniken und Konfigurationen Der VPN-Client (siehe vorheriges Bild) baut eine Verbindung zur Front-Firewall auf (1.), diese Anfrage wird an die Back-Firewall durch die VPN-Veröffentlichung weitergeleitet (2.). Nach erfolgreicher Authentifizierung und Bestätigung und durch Back- und Front-Firewall (3.) (4.), baut der VPN-Client einen Tunnel durch die Front-Firewall ins VPN-Netz der Back- Firewall auf (siehe folgendes Bild) (5.) und erhält definierten Zugriff auf die Netze (siehe folgendes Bild) (6.). Es sollte für jede VPN-Einwahl immer eine zertifikatbasierende L2TP Verbindung benutzt werden. 18 Inbetriebnahmehandbuch, 12/2011, A5E

19 2.3 Techniken und Konfigurationen Die Nutzung von PPTP ist nur für Verbindungen ausreichend, die zusätzlich über VPN gesichert werden. Zur Authentifizierung des VPN-Benutzers empfiehlt sich der Einsatz eines Radius-Servers, der entweder im Perimeter-Netz platziert wird, oder falls der VPN-Server auf der Back- Firewall eingerichtet wurde, direkt auf den Domänen Kontrollern im PCN-Netz installiert ist. Des Weiteren sollte bei jeder VPN-Verbindung die Quarantäne-Funktion des ISA Server\TMG genutzt werden Sie ermöglicht eine Überprüfung des einwählenden Clients, zum Beispiel ob alle Securityupdates installiert sind, ob ein Virenscanner auf dem Client installiert und aktuell ist und ähnliches. Inbetriebnahmehandbuch, 12/2011, A5E

20 2.3 Techniken und Konfigurationen Geräte Direkteinwahl Da man zur Erhöhung der Sicherheit bei einer Geräte Direkteinwahl immer eine VPN Verbindung benutzen sollte, gibt es bei der Platzierung der Einwahl-Geräte keine Unterschiede gegenüber der vorherig beschriebenen Vorgehensweise. Abhängig davon auf welche Netze man zugreifen muss, wird das Einwahl-Gerät entweder an der Front- oder der Back-Firewall angeschlossen. Im folgenden Bild ist das Einwahlgerät über einen ISDN- Router an die Back-Firewall angeschlossen. Zuerst bauen die Geräte eine Verbindung zueinander auf (1.), danach wird ein VPN-Tunnel zwischen dem z.b. Support-PC und dem ISA Server\TMG aufgebaut (2.) und der Support-PC erhält Zugriff auf die jeweiligen Netze (3.). Bei einer Geräte Direkteinwahl ist besonders zu beachten, dass das Einwahl-Gerät niemals direkt mit dem ISA Server\TMG verbunden werden darf. Würde das Gerät, zum Beispiel eine ISDN-Karte, direkt im ISA Server\TMG installiert, kann der ISA Server\TMG sich nicht vor möglichen Angriffen über dieses Gerät schützen. Deshalb sollte immer externes Gerät z.b. ein ISDN-Router zur Einwahl genutzt werden. Der Router wird mit dem ISA Server\TMG verbunden und dort als gesondertes Netzwerk eingebunden. Somit kann der ISA Server\TMG jeglichen Verkehr mit seinen eingebauten Firewall-Mechanismen kontrollieren 20 Inbetriebnahmehandbuch, 12/2011, A5E

21 2.3 Techniken und Konfigurationen IPSec Anbindung Um vertrauenswürdige Geräte aus bekannten Netzwerken, wie dem MON, anzubinden, wird IPSec verwendet. Da es sich meistens um die Anbindung einzelner Geräte handelt, müssen die dafür benötigten Firewall-Regeln sehr feingranular erstellt werden. Es sollte nicht generell IPSec zwischen MON und PCN erlaubt werden, sondern z.b. nur der Zugriff einzelner Geräte im MON über IPSec zu einzelnen Geräten im PCN gestattet werden Benutzerabhängige Regeln Der ISA Server\TMG bietet als eine der wenigen Firewalls die Möglichkeit, benutzerabhängige Regeln zu erstellen. Das bedeutet, dass nicht das Protokoll oder die IP- Adresse des Clients ausschlaggebend ist, ob ein Zugriff gewährt wird, sondern der am Client eingeloggte Benutzer. Allerdings müssen dafür einige Rahmenbedingungen erfüllt sein. Am Client muss der ISA-Firewall-Client installiert und konfiguriert sein und die Applikation, die den Zugriff versucht, muss eine WinSocket-Applikation sein. Der ISA Server\TMG muss Mitglied der Domäne sein, in der der zugreifende Benutzer angelegt ist, oder über einen Trust verlinkt wurde. Näheres siehe Detaildokument "Verwaltung von Computern und Benutzern". Inbetriebnahmehandbuch, 12/2011, A5E

22 2.4 Spezialfall Trust zwischen ERP- und Perimeter-Netz 2.4 Spezialfall Trust zwischen ERP- und Perimeter-Netz Ein Trust zwischen dem ECN, also dem Firmen- oder Office Netzwerk, welches sich (siehe folgendes Bild) ebenfalls durch eine eigene Firewall (GateCorp) schützt, und dem Perimeter- Netz der Anlage ist vom Standpunkt der maximalen Absicherung der Front-Firewall nicht zu empfehlen, aus betriebswirtschaftlichen Gründen und zur Vermeidung von doppelter Benutzerkontenführung jedoch sehr oft notwendig. Der Sinn eines solchen Trusts ist, dass Benutzerkonten der ERP-Domäne im Office Netzwerk auf z.b. Ressourcen des Perimeter-Netzes zugreifen können. Allerdings müssen dafür mehrere Konfigurationen vorgenommen werden, von denen in den vorrangegangenen Abschnitten abgeraten wurde. Das ECN (Office Netzwerk) muss der Front-Firewall bekannt gemacht werden und die Back-Firewall benötigt eigene Routinginformationen, um dieses Netz zu erreicht. Normalerweise ist das ECN, wie alle anderen externen Netze, den Firewalls nicht bekannt und wird über das ISA Server\TMG spezifische Standard-Netz "Extern" abgedeckt und so mit den strengsten Regeln geprüft. Zusätzlich muss eine eigene Produktions-Domäne aufgebaut werden. Falls auch benutzerabhängige Regeln für Office Benutzerkonten erstellt werden sollen, muss der Front-Firewall ISA Server\TMG Mitglied der Produktions-Domäne werden oder über das Radius-Protokoll diese Informationen der Produktions-Domäne abfragen können. Anschließend muss mindestens ein einseitiger Trust zwischen der Produktions-Domäne und der ERP-Domäne erstellt werden (siehe Detaildokument "Verwaltung von Computern und Benutzern"). Nun können sich Benutzer der ERP-Domäne durch die Produktions-Domäne authentifizieren lassen (1.) und es kann ihnen der Zugriff auf festgelegte Ressourcen in der Anlage gewährt werden (2.). 22 Inbetriebnahmehandbuch, 12/2011, A5E

23 2.4 Spezialfall Trust zwischen ERP- und Perimeter-Netz Inbetriebnahmehandbuch, 12/2011, A5E

24 2.4 Spezialfall Trust zwischen ERP- und Perimeter-Netz 24 Inbetriebnahmehandbuch, 12/2011, A5E

25 Hinweise für die Praxis Allgemeine Informationen Anleitungen und Beschreibungen Ausführliche Anleitungen und Beschreibungen wie die obigen Konfigurationen eingerichtet und konfiguriert werden, sind unter den folgenden Links zugänglich: ISA: TMG: Inbetriebnahmehandbuch, 12/2011, A5E