Whitepaper Schutz von Produktionsrechnern mit Windows 7 - Am 14. Januar 2020 beendet Microsoft den Support
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Whitepaper Schutz von Produktionsrechnern mit Windows 7 – Am 14. Januar 2020 beendet Microsoft den Support Autor: Andreas Fuss Produktmarketing Security Phoenix Contact Electronics GmbH afuss@phoenixcontact.com AI 05-19.000.L6 © PHOENIX CONTACT 2019
Schutz von Produktionsrechnern mit Windows 7
Anwendung
Am 14. Januar 2020 endet der erweiterte Support für Microsoft Windows 7 und am 13. Oktober
2020 endet ebenfalls der Support für Windows 7 Embedded. Nach dem Support-Ende stellt
Microsoft keine Updates mehr zur Verfügung, um neue Sicherheitslücken zu schließen. Dadurch
steigt täglich das Sicherheitsrisiko, dass Angreifer in Produktionsrechner mit Windows 7-
Betriebssystem eindringen, oder dass diese von Viren, Trojanern oder Würmern befallen werden.
Da häufig die gesamte Sicherheitsarchitektur dieser betagten Betriebssysteme nicht mehr dem
aktuellen Stand der Technik entspricht, warnt Microsoft – ebenso wie Sicherheitsexperten – vor
einem ungeschützten Weiterbetrieb. Aktuelle Umfragen zeigen jedoch auch, dass speziell in der
Produktion auf den Einsatz von Steuerungsrechnern mit Windows 7 auch nach dem Support-
Ende häufig nicht verzichtet werden kann. Es stellt sich also die Frage, wie diese Anwendungen
zukünftig abgesichert werden können.
Lösung
IT-Sicherheit für Produktionsanlagen mit dem mGuard-Security-Modul
IT-Sicherheit für Produktionsanlagen
Grundsätzlich sollten natürlich ausschließlich sichere Systeme an das Produktionsnetzwerk
angeschlossen werden. Die meisten Firmen verfügen bereits über entsprechende IT-
Sicherheitsrichtlinien. Jedoch gilt gerade für Produktionsanlagen auch der Grundsatz „Never
change a running System“. Das bedeutet, sowohl größere Änderungen an der
Netzwerkinfrastruktur als auch ein Wechsel des Betriebssystems auf eine neuere Windows-
Version sind in den meisten Anwendungen ausgeschlossen. Entweder erfüllen die Rechnersysteme
gar nicht erst die nötigen Anforderungen für das neue Betriebssystem, oder aber notwendige
Treiber sind nicht mehr verfügbar. Oft sind zudem die Auswirkungen eines entsprechenden
Updates auf das Echtzeitverhalten des Rechners als kritisch einzustufen oder seitens des
Maschinenherstellers sind gar keine Update-Möglichkeiten vorgesehen. In allen Fällen stehen der
PHOENIX CONTACT 2
potenziellen Steigerung der IT-Sicherheit hohe Kosten und Risiken bezüglich der Produktivität
der Maschine gegenüber. Aus diesem Grund ist es vorteilhaft, Sicherheitsmaßnahmen
durchzuführen, die ohne einen Eingriff in das zu schützende System funktionieren und einfach
nachgerüstet werden können.
Schutz durch Nachrüstung von Security Appliances
Eine sichere und preiswerte Lösung ist die Nachrüstung mit einem mGuard-Security-Modul, einer
industriellen S ecurity-Appliance. Das mGuard-Security-Modul wird einfach vor dem gefährdeten
Windows-PC in das Netzwerk integriert und sichert diesen PC gleich durch mehrere aufeinander
abgestimmte S icherheitsfunktionen ab. Dank einem patentierten Stealth-Modus müssen keine
Änderungen am abzusichernden System durchgeführt werden: weder an der Netzwerk
infrastruktur, noch an dem e igentlichen Windows-Rechner. Das mGuard-Security-Modul kann
somit auch nachträglich völlig transparent in ein bestehendes Netzwerk integriert werden. Da es
dabei automatisch die MAC- und die IP-Adresse des zu schützenden S ystems übernimmt, müssen
nicht einmal zusätzliche Adressen für das Management der mGuard-Security-Module vergeben
werden. Auch sonst bleibt die Netzwerkkonfiguration unverändert. Auf diese Weise lässt sich
eine Produktionsmaschine mit Windows 7-Steuerungsrechner schnell, einfach und risikolos
absichern.
Produktionsnetzwerk (192.168.1.0/24)
Firewall
192.168.1.1
Multi-Stealth Mode
Sichere Automatisierungszelle
192.168.1.100 192.168.1.101 192.168.1.102
Transparente Integration in bestehende Netzwerke dank patentiertem Stealth-Modus
Isolierung des Windows-Rechners durch eine Firewall
Vielen Sicherheitsrisiken ist gemeinsam, dass sie Schwachstellen von Protokollen oder Diensten
ausnutzen. Schad-Software wird dann über bereits infizierte Systeme im IP-basierten Netzwerk
weiter verbreitet. Um absolut sicher zu gehen, müssen also unsichere Systeme kommunikativ
vollständig vom Produktionsnetzwerk abgekoppelt sein. In einer modernen Fertigung ist diese
Entkopplung allerdings nicht praktikabel. Das S icherheitsrisiko durch einen Windows 7-Rechner
lässt sich aber minimieren, indem dieser Rechner so weit wie möglich vom restlichen Netzwerk
isoliert wird. Die integrierte Firewall im mGuard kontrolliert und filtert die Kommunikation von
und zu den zu schützenden Systemen anhand eines konfigurierbaren Regelwerks. Dadurch wird
PHOENIX CONTACT 3
die Kommunikation auf die Partner, Protokolle, Ports und Verbindungsrichtungen begrenzt, die
für das Funktionieren der Gesamtanlage erforderlich sind. Verbindungen, die nicht vom System
selbst initiiert werden, sondern von außen dort eingehen, werden größtenteils unterbunden.
Auch die Kommunikation von innen nach außen lässt sich auf die notwendigen Dienste und
Partner beschränken. Ein Zugriff auf das Internet sollte in jedem Fall geblockt werden.
Schutz vor Viren durch CIFS-Integrity-Monitoring
Selbst die beste Firewall kann einem Windows 7-Rechner keinen 100 %-Schutz vor einer
Virusinfektion bieten. Eine Schad-Software kann schließlich auch unbeabsichtigt durch einen
Servicetechniker mittels Laptop oder USB-Stick d irekt auf den PC gebracht werden. Daher ist
eine kontinuierliche Überwachung des Windows 7-Rechners auf Befall durch Schad-Software
notwendig. Jedoch stellt der Einsatz eines üblichen Viren-Scanner hohe Anforderungen an die
Ressourcen des Steuerungsrechners, die die Echtzeiteigenschaften des S ystems erheblich
beeinträchtigen können. Zudem müssen kontinuierlich neue Virenpattern nachgeladen werden,
um den Viren-Scanner auf einem aktuellen Stand zu halten.
Eine bessere Alternative ist das CIFS-Integrity-Monitoring (CIM) des mGuard.
CIFS (Common Internet File System) bezeichnet dabei das von Windows genutzte File-Sharing-
Verfahren inklusive des Server Message Block-Protokolls SMB.
Bei CIFS-Integrity-Monitoring handelt es sich um einen Sensor, der das Dateisystem des
Windows-Rechners auf Veränderungen überwacht und erkennt, ob dieser verändert wurde.
Wird eine Veränderung festgestellt, alarmiert der mGuard den verantwortlichen Mitarbeiter
sofort durch eine E-Mail oder per SNMP-Trap. CIFS-Integrity-Monitoring ist daher eine
industrietaugliche Alternative zu herkömmlicher Antivirus-Software. Ihr besonderer Vorteil liegt
darin, dass der Windows-Rechner kaum belastet wird und die Echtzeiteigenschaften des Systems
nicht beeinflusst werden. Ein regelmäßiges Nachladen von Virenpattern ist mit dem mGuard nicht
erforderlich.
mGuard
Firewall/Router
1:1 NAT
Ethernet
CIFS
Integrity Monitoring
Windows
Scan
Windows Windows Windows Programme
Industrieller Virensensor: CIFS-Integrity-Monitoring
PHOENIX CONTACT 4
Unser Service –
Ihr Security-Konzept
Bei Bedarf überprüfen unsere Spezialisten Ihr
Netzwerk und erarbeiten auf B asis Ihrer
Anforderungen ein individuelles Security-
Konzept für Ihre Anlage. D arüber hinaus
schulen wir Ihre Mitarbeiter im Hinblick auf
industrielle Netzwerksicherheit.
Fazit
Der mGuard schützt den Produktionsrechner durch mehrere Sicherheitsfunktionen, ohne dass
dessen Echtzeitfähigkeit beeinflusst wird:
1. Die integrierte Firewall isoliert den Windows 7-Rechner so weit wie m
öglich vom restlichen
Netzwerk und lässt nur noch die benötigte Kommunikation zu.
2. Das CIFS-Integrity-Monitoring (CIM) bietet Schutz vor Viren.
3. Durch den patentierten Stealth-Modus kann das mGuard-Security-Modul einfach und ohne
Änderungen an der Netzwerkkonfiguration nachgerüstet werden.
Unser Tipp
Der mGuard ist ausreichend leistungsfähig, um einen Fertigungsbereich mit mehreren Maschinen
und Windows-Steuerungsrechnern zu schützen. Auf den ersten Blick erscheint dies als sehr
kostengünstige Lösung. Eine Produktion muss jedoch flexibel bleiben und über die Jahre an neue
Gegebenheiten oder Produkte angepasst werden, sodass Maschinen und ihre Standorte sich
verändern können. Wird also über ein mGuard-Security-Modul ein ganzer Fertigungsbereich
abgesichert, muss bei jeder Veränderung auch das S ecurity-Konzept angepasst werden. Daher
empfehlen wir, jede Maschine mit einem eigenen mGuard-Security-Modul abzusichern. Auf diese
Weise bleibt der Schutz einzelner Maschinen auch bei Veränderungen in der Fertigung ohne
zusätzlichen Aufwand erhalten.
Ihre Vorteile
DžDžKeine Änderungen an der Netzwerkkonfiguration oder an den zu schützenden Systemen
DžDžSchont die Ressourcen des geschützten/überwachten Systems
(CPU-Leistung, Netzwerkbelastung)
DžDž Kein Nachladen von Viren-Pattern erforderlich
DžDž Keine Fehlalarme/False Positives bei der Integritätsprüfung
DžDž Keine Beeinflussung des zu schützenden Systems
PHOENIX CONTACT 5Weltweit im Dialog mit Kunden und Partnern
Phoenix Contact ist ein weltweit agierender Marktführer mit Unternehmenszentrale in
Deutschland. Die Unternehmensgruppe steht für zukunftsweisende Komponenten, Systeme und
Lösungen in der Elektrotechnik, Elektronik und Automation. Ein globales Netzwerk in mehr als
100 Ländern mit 17.400 Mitarbeitenden garantiert die wichtige Nähe zum Kunden.
Mit einem breitgefächerten und innovativen Produktportfolio bieten wir unseren Kunden
zukunftsfähige Lösungen für unterschiedliche Applikationen und Industrien. Das gilt besonders für
die Bereiche Energie, Infrastruktur, Prozess- und Fabrikautomation.
Iceland Finland
Norway
Sweden Estonia
Latvia
Denmark Lithuania
Ireland Belarus
Netherlands Poland
United Kingdom
Blomberg, Germany Russia
Canada Belgium
Luxembourg Czech Republic
France Austria Slovakia Ukraine Kazakhstan Mongolia
Switzerland Hungary Moldova
Slovenia
Croatia Romania South Korea
USA Bosnia and
Spain Italy Serbia
Herzegovina Kosovo Japan
Montenegro Bulgaria Georgia Uzbekistan
Portugal Armenia China
Macedonia Turkey Azerbaijan
Greece
Tunisia Iraq
Lebanon
Morocco Cyprus Pakistan Taiwan, China
Kuwait Bangladesh
Mexico Israel
Algeria India Myanmar
Dominican Republic Jordan Bahrain
Guatemala Egypt Qatar Sri Lanka
Honduras Saudi Arabia
Nicaragua Thailand Philippines
Trinidad and Tobago UAE
Costa Rica
Panama Venezuela Nigeria Oman Malaysia Vietnam
Ghana
Colombia Cameroon Uganda Singapore
Kenya
Ecuador
Indonesia
Brazil
Peru Tanzania
Zambia
Bolivia Mozambique Mauritius
Namibia Zimbabwe
Botswana
Paraguay
South Africa
Chile
Uruguay
Australia
Argentina
New Zealand
Dieses Dokument inklusive seiner Logos, Kennzeichen, Daten, Darstellungen, Zeichnungen, technischen Dokumentationen und
Informationen ist – soweit nicht anders angegeben durch eingetragene oder nicht eingetragene Rechte geschützt. Jegliche Veränderung
des Inhaltes oder eine auszugsweise Veröffentlichung ohne Nennung der Quelle „Phoenix Contact“ sind nicht erlaubt.
PHOENIX CONTACT Deutschland GmbH
Flachsmarktstraße 8
32825 Blomberg, Deutschland
Tel.: +49 5235 3-12000
Fax: +49 5235 3-12999
E-Mail: info@phoenixcontact.de
phoenixcontact.deSie können auch lesen
