Werbung
Zertifikate und Schlüssel
• Im Gerät ist ein vorinstalliertes Webserver-Zertifikat (RSA, 2048 Bit-Schlüssellänge) und ein
SSH Private Key vorhanden. Ersetzen Sie dieses Zertifikat durch ein selbst erstelltes
höherwertiges Zertifikat mit Schlüssel. Verwenden Sie ein Zertifikat, das entweder durch
eine zuverlässige externe oder interne Zertifizierungsstelle signiert ist. Sie können das
Zertifikat im WBM über "System > Laden und Speichern" installieren.
• Nutzen Sie eine Zertifizierungsstelle inklusive Schlüsselwiderruf und -verwaltung, um die
Zertifikate zu signieren.
• Verwenden Sie passwortgeschützte Zertifikate im Format "PKCS #12".
• Verwenden Sie Zertifikate mit einer Schlüssellänge von 4096 Bit.
• Stellen Sie sicher, dass benutzerdefinierte private Schlüssel geschützt und unzugänglich für
unbefugte Personen sind.
• Ändern Sie bei Verdacht auf eine Sicherheitsverletzung sofort alle Zertifikate und Schlüssel.
• SSH- und SSL-Schlüssel stehen Admin-Benutzern zur Verfügung. Stellen Sie sicher, dass Sie
geeignete Sicherheitsvorkehrungen ergreifen, wenn Sie das Gerät außerhalb der vertrauten
Umgebung versenden:
– Ersetzen Sie die SSH- und SSL-Schlüssel vor dem Versand durch Wegwerfschlüssel.
– Nehmen Sie die vorhandenen SSH- und SSL-Schlüssel außer Betrieb. Erstellen und
• Verifizieren Sie Zertifikate anhand des Fingerprints auf Server- und Clientseite, um "Man-in-
the-middle"-Angriffe zu verhindern. Verwenden Sie hierzu einen zweiten, sicheren
Übertragungsweg.
• Bevor Sie das Gerät zur Reparatur an Siemens zurückschicken, ersetzen Sie die aktuellen
Zertifikate und Schlüssel durch temporäre Wegwerfzertifikate und -schlüssel, die bei der
Rückkehr des Geräts zerstört werden können.
Physischer/ Remote-Zugriff
• Betreiben Sie die Geräte wenn möglich nur in einem geschützten Netzwerkbereich. Angreifer
können von Außen nicht auf interne Daten zugreifen, wenn das interne und externe
Netzwerk voneinander getrennt sind.
• Beschränken Sie den physischen Zugang auf das Gerät ausschließlich auf
vertrauenswürdiges Personal.
Die Speicherkarte bzw. der PLUG (C-PLUG, KEY-PLUG, CLP) enthalten sensible Daten, wie
Zertifikate und Schlüssel, die ausgelesen und verändert werden können. Ein Angreifer, der im
Besitz der Wechselmedien des Geräts ist, könnte kritische Informationen wie Zertifikate,
Schlüssel usw. extrahieren oder die Medien neu programmieren.
• Sperren Sie ungenutzte physische Ports auf dem Gerät. Ungenutzte Ports können verwendet
werden, um unerlaubt auf die Anlage zuzugreifen.
• Es wird dringend empfohlen, den Schutz vor Brute-Force-Angriffen (BFA) aktiviert zu lassen,
um zu verhindern, dass sich Fremde unbefugten Zugriff auf das Gerät verschaffen. Für
weitere Informationen siehe Projektierungshandbücher, Kapitel "Brute Force Prevention".
• Verwenden Sie für die Kommunikation über nicht sichere Netzwerke, wenn möglich, die VPN-
Funktionalität, um die Kommunikation zu verschlüsseln und zu authentifizieren.
SCALANCE M826
Betriebsanleitung, 11/2023, C79000-G8900-C362-08
Programmieren Sie bei Rückkehr des Geräts neue Schlüssel für das Gerät.
Security-Empfehlungen
2.1 Passwörter
15
Werbung
