Schutz von Produktionsrechnern mit Windows XP - Am 8. April 2014 beendet Microsoft den Support - Phoenix Contact
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Schutz von Produktionsrechnern mit Windows XP Am 8. April 2014 beendet Microsoft den Support
Schutz von Produktionsrechnern
mit Windows XP
Anwendung
Am 8. April 2014 endete der erweiterte
Support für Microsoft Windows XP, und
im Januar 2016 endet ebenfalls der Sup-
port für Windows XP Embedded. Nach
dem Support-Ende stellt Microsoft keine
Updates mehr zur Verfügung, um neue
Sicherheitslücken zu schließen. Dadurch
steigt täglich das Sicherheitsrisiko, dass
Angreifer in Produktionsrechner mit
Windows XP-Betriebssystem eindringen,
oder dass diese von Viren, Trojanern
oder Würmern befallen werden. Da
häufig die gesamte Sicherheitsarchitektur
dieser betagten Betriebssysteme nicht
mehr dem aktuellen Stand der Technik IT-Sicherheit für Produktionsanlagen mit dem mGuard-Security-Modul
entspricht, warnt Microsoft – ebenso
wie Sicherheitsexperten – vor einem
ungeschützten Weiterbetrieb. Aktuelle Anforderungen für das neue Betriebs- Security-Modul, einer industriellen
Umfragen zeigen jedoch auch, dass spezi- system, oder aber notwendige Treiber Security Appliance. Das mGuard
ell in der Produktion auf den Einsatz von sind nicht mehr verfügbar. Oft sind Security-Modul wird einfach vor dem
Steuerungsrechnern mit Windows XP zudem die Auswirkungen eines ent- gefährdeten Windows-PC in das Netz-
auch nach dem Support-Ende häufig sprechenden Updates auf das Echtzeit- werk integriert und sichert diesen gleich
nicht verzichtet werden kann. Es stellt verhalten des Rechners als kritisch durch mehrere aufeinander abgestimmte
sich also die Frage, wie diese Anwendun- einzustufen oder es sind seitens des Sicherheitsfunktionen ab. Es verfügt über
gen zukünftig abgesichert werden Maschinenherstellers gar keine Update- einen patentierten Stealth Mode, der
können. Möglichkeiten vorgesehen. In allen Fällen dafür sorgt, dass keine Änderungen am
stehen der potentiellen Steigerung der abzusichernden System durchgeführt
IT-Sicherheit hohe Kosten und Risiken werden müssen: weder an der Netz-
Lösung bezüglich der Produktivität der Maschine werkinfrastruktur, noch an dem
gegenüber. Erschwerend hinzu kommt, eigentlichen Windows-Rechner. Das
IT-Sicherheit für
dass diese Maßnahme oft trotzdem nicht mGuard-Security-Modul kann somit auch
Produktionsanlagen
über die gesamte Rest-Maschinenlaufzeit nachträglich völlig transparent in ein be-
Grundsätzlich sollten natürlich aus- ausreicht, die häufig mindestens zwanzig stehendes Netzwerk integriert werden.
schließlich sichere Systeme an das Jahre beträgt – nach aktueller Planung Da es dabei automatisch die MAC- und
Produktionsnetzwerk angeschlossen läuft der erweiterte Support für die IP-Adresse des zu schützenden
werden. Die meisten Firmen verfügen Windows 7 im Januar 2020 aus. Aus Systems übernimmt, müssen nicht einmal
bereits über entsprechende IT-Sicher- diesem Grund ist es vorteilhaft, Sicher- zusätzliche Adressen für das Manage-
heitsrichtlinien. Jedoch gilt gerade für heitsmaßnahmen durchzuführen, die ment der mGuard-Security-Module
Produktionsanlagen auch der Grundsatz ohne einen Eingriff in das zu schützende vergeben werden. Auch sonst bleibt die
„Never change a running System“ – das System funktionieren und einfach Netzwerkkonfiguration unverändert. Auf
bedeutet, dass größere Änderungen an nachgerüstet werden können. diese Weise lässt sich eine Produktions-
der Netzwerkinfrastruktur oder eben maschine mit Windows XP-Steuerungs-
ein Wechsel des Betriebssystems auf rechner schnell, einfach und risikolos
eine neuere Windows-Version in den Schutz durch Nachrüstung
absichern.
meisten Anwendungen ausgeschlossen von Security Appliances
ist. Entweder erfüllen die Rechner- Eine sichere und preiswerte Lösung ist
systeme gar nicht erst die nötigen die Nachrüstung mit einem mGuard
PHOENIX CONTACT
Produktionsnetzwerk (192.168.1.0/24)
Veränderung festgestellt, alarmiert der
mGuard den verantwortlichen Mitarbei-
ter sofort durch eine E-Mail oder per
Firewall SNMP-Trap. CIFS Integrity Monitoring ist
192.168.1.1 Multi-Stealth Mode daher eine industrietaugliche Alternative
zu herkömmlicher Antivirus-Software.
Sichere Automatisierungszelle
Ihr besonderer Vorteil liegt darin, dass
der Windows-Rechner kaum belastet
wird und die Echtzeiteigenschaften des
Systems nicht beeinflusst werden. Ein re-
gelmäßiges Nachladen von Virenpattern
ist mit dem mGuard nicht erforderlich.
192.168.1.100 192.168.1.101 192.168.1.102
Virenscan mit dem Anti Virus Scan
Transparente Integration in bestehende Netzwerke dank patentiertem Stealth Mode
Connector
Der Anti Virus Scan Connector ermög-
Isolierung des Windows-Rechners direkt auf den PC gebracht werden.
licht einen regulären Viren-Scan auf
durch eine Firewall Daher ist eine kontinuierliche Überwa-
Windows-Laufwerken hinter der
Vielen Sicherheitsrisiken ist gemeinsam, chung des Windows XP-Rechners auf
mGuard-Firewall, die normalerweise von
dass sie Schwachstellen von Protokollen Befall durch Schadsoftware notwendig.
außen nicht erreichbar sind. Dabei fasst
oder Diensten ausnutzen, um Schad- Jedoch stellt der Einsatz eines üblichen
der mGuard alle Netzlaufwerke zusam-
software über bereits infizierte Systeme Virenscanners hohe Anforderungen an
men und spiegelt diese als ein Laufwerk
im IP-basierten Netzwerk weiter zu die Ressourcen des Steuerungsrechners,
mit Unterverzeichnissen nach außen, um
verbreiten. Um absolut sicher zu gehen, die die Echtzeiteigenschaften des
sie dort von einem externen Viren-
müssten also unsichere Systeme kom- Systems erheblich beeinträchtigen
scanner überprüfen zu lassen. Dieser
munikativ vollständig vom Produktions- können. Zudem müssen kontinuierlich
Virenscanner hat lediglich einen
netzwerk abgekoppelt sein. In einer neue Virenpattern nachgeladen werden,
Read-Only-Zugriff und somit keine
modernen Fertigung ist diese Entkopp- um den Virenscanner auf einem aktuellen
Möglichkeit, Dateien auf den Windows-
lung allerdings nicht praktikabel. Das Stand zu halten.
Laufwerken zu löschen oder in Quaran-
Sicherheitsrisiko durch einen Windows Eine bessere Alternative ist das CIFS täne zu schicken. Des Weiteren kann die
XP-Rechner lässt sich aber minimieren, Integrity Monitoring (CIM) des mGuard. Belastung des Netzwerks hinter dem
indem dieser so weit wie möglich vom CIFS (Common Internet File System) be- mGuard und der CPU des geschützten
restlichen Netzwerk isoliert wird. Die zeichnet dabei das von Windows genutz- Windows-Rechners mittels QoS (Quality
integrierte Firewall im mGuard kontrol- te File-Sharing-Verfahren inklusive des of Service) so eingestellt werden, dass
liert und filtert die Kommunikation von Server Message Block-Protokolls SMB. die Echtzeitfähigkeit nicht beeinflusst
und zu den zu schützenden Systemen an- wird. Dieses Verfahren erfordert zusätz-
Bei CIFS Integrity Monitoring handelt es
hand eines konfigurierbaren Regelwerks. lich eine Antivirus-Software bzw. einen
sich um einen industriellen Virensensor,
Dadurch wird die Kommunikation auf die externen Virenscanner.
der das Dateisystem des Windows-
Partner, Protokolle, Ports und Verbin-
Rechners auf Veränderungen überwacht Für das CIFS Integrity Monitoring und
dungsrichtungen begrenzt, die für das
und erkennt, ob dieser von einer Schad- den Anti Virus Scan Connector ist eine
Funktionieren der Gesamtanlage erfor-
software befallen wurde. Wird eine Lizenz erforderlich.
derlich sind. Verbindungen, die nicht vom
System selbst initiiert werden, sondern
von außen dort eingehen, werden größ-
tenteils unterbunden. Auch die Kommu-
Ethernet
nikation von innen nach außen lässt sich mGuard
auf die notwendigen Dienste und Partner Firewall/Router
1:1 NAT
beschränken. Ein Zugriff auf das Internet
sollte in jedem Fall geblockt werden.
CIFS
Integrity Monitoring
Schutz vor Viren durch Windows
CIFS Integrity Monitoring Scan
Selbst die beste Firewall kann einem
Windows XP-Rechner keinen 100 %
Windows Windows Windows Programme
Schutz vor einer Virusinfektion bieten.
Eine Schadsoftware kann schließlich auch
unbeabsichtigt durch einen Servicetech-
niker mittels Laptop oder USB-Stick Industrieller Virensensor: CIFS Integrity Monitoring
PHOENIX CONTACT
Unser Service – 1. Die integrierte Firewall isoliert den
Ihr Security-Konzept Windows XP-Rechner so weit wie Unser Tipp:
Bei Bedarf überprüfen unsere Spezia möglich vom restlichen Netzwerk und Der mGuard ist ausreichend leis-
listen Ihr Netzwerk und erarbeiten auf lässt nur noch die benötigte tungsfähig, um einen Fertigungsbe-
Basis Ihrer Anforderungen ein individu Kommunikation zu. reich mit mehreren Maschinen und
elles Security-Konzept für Ihre Anlage. 2. Das CIFS Integriety Monitoring (CIM) Windows-Steuerungsrechnern zu
Darüber hinaus schulen wir Ihre Mit bietet Schutz vor Viren. schützen. Auf den ersten Blick er-
arbeiter im Hinblick auf industrielle 3. Durch den patentierten Stealth Mode scheint dies als sehr kostengünstigste
Netzwerksicherheit. kann das mGuard-Security-Modul ein- Lösung. Eine Produktion muss jedoch
fach und ohne Änderungen an der flexibel bleiben und über die Jahre an
Netzwerkkonfiguration nachgerüstet neue Gegebenheiten oder Produkte
Fazit angepasst werden, so dass Maschi-
werden.
Der mGuard schützt den Produktions- nen und ihre Standorte sich verän-
rechner durch mehrere Sicherheits dern können. Wird also über ein
funktionen, ohne dass dessen mGuard-Security-Modul ein ganzer
Echtzeitfähigkeit beeinflusst wird: Fertigungsbereich abgesichert, muss
bei jeder Veränderung auch das
Security-Konzept angepasst werden.
Daher empfehlen wir, jede Maschine
mit einem eigenen mGuard-Security-
Modul abzusichern. Auf diese Weise
bleibt der Schutz einzelner Maschi-
nen auch bei Veränderungen in der
Fertigung ohne zusätzlichen Aufwand
erhalten.
Unser Service: individuelle Security-Konzepte
Ihre Vorteile
Keine Änderungen an der Netzwerkkonfiguration oder an den zu schützenden
Systemen
Schont die Ressourcen des geschützten/überwachten Systems (CPU-Leistung,
Netzwerkbelastung)
Kein Nachladen von Viren-Pattern e rforderlich
© PHOENIX CONTACT 2014
Keine Fehlalarme/False Positives bei der Integritätsprüfung
Printed in Germany
Überwacht dynamische Systeme
Keine Beeinflussung des zu schützenden Systems
MNR 52005784/2014-04-01/00
PHOENIX CONTACT GmbH & Co. KG
Flachsmarktstraße 8
32825 Blomberg, Deutschland
ION01-14.000.L2
Tel.: +49 (0) 52 35 3-00
Fax: +49 (0) 52 35 3-4 12 00
E-Mail: info@phoenixcontact.com
phoenixcontact.net
Sie können auch lesen
