Siemens SIMATIC NET RUGGEDCOM RX5000 Konfigurationshandbuch Seite 55

Einleitung
1.3 Sicherheitsempfehlungen
•
•
•
•
Physischer/Remote-Zugriff
•
•
•
•
•
10
Verwenden Sie das L2TP-Protokoll in Verbindung mit IPsec, um den L2TP-Tunnel
zu sichern.
Es wird empfohlen, Shared Keys für die Authentifizierung zwischen Routing-
Nachbarn zu verwenden, um unautorisierte Routing-Updates zu vermeiden.
Zu achten ist auf Link-Layer-Protokolle, die keine inhärente Authentifizierung
zwischen Endpunkten bereitstellen, wie ARP in IPv4, Neighbor Discovery/DAD in
IPv6 und Wi-Fi in Drahtlosnetzwerken. Ein Angreifer könnte die Schwachstellen
in diesen Protokollen für Angriffe auf Hosts, Switches und Router, die mit
dem Layer-2-Netzwerk verbunden sind, ausnutzen, zum Beispiel indem die
ARP-Caches von Systemen im Subnetz infiziert werden und Datenverkehr
abgefangen wird. Um den unbefugten Zugriff auf das Netzwerk zu verhindern,
sind geeignete Sicherheitsmaßnahmen gegen nicht sichere Layer-2-Protokolle
zu treffen, zum Beispiel durch den Schutz des physischen Zugangs zum lokalen
Netzwerk und die Verwendung von Higher-Layer-Protokollen (HLP).
Ändern Sie Passwörter häufig und regelmäßig.
Es ist unbedingt empfehlenswert, den Schutz vor Brute-Force-Angriffen (BFA) zu
aktivieren, um zu verhindern, dass sich Dritte unbefugten Zugriff auf das Gerät
verschaffen. Weitere Informationen finden Sie unter
Angriffen aktivieren/deaktivieren (Seite
SSH- und SSL-Schlüssel stehen dem Root-Benutzer zur Verfügung. Achten Sie
darauf, dass Sie angemessene Sicherheitsvorkehrungen ergreifen, wenn Sie das
Gerät außerhalb der vertrauten Umgebung versenden:
• Ersetzen Sie die SSH- und SSL-Schlüssel vor dem Versand mit Wegwerf-
Schlüsseln.
• Nehmen Sie die vorhandenen SSH- und SSL-Schlüssel außer Betrieb. Erstellen
und programmieren Sie bei Rückkehr des Geräts neue Schlüssel für das
Gerät.
Ersetzen Sie alle standardmäßigen und automatisch generierten SSL-Zertifikate
mit von einer vertrauenswürdigen Zertifikatstelle (CA) signierten Zertifikaten
und Schlüsseln. Standardmäßig und automatisch generierte Zertifikate sind von
RUGGEDCOM ROX II selbst signiert.
Beschränken Sie den physischen Zugriff auf das Gerät ausschließlich auf
vertrauenswürdiges Personal. Personen mit böswilligen Absichten, die im Besitz
von Wechseldatenträgern des Geräts sind, können an kritische Informationen
wie Zertifikate, Schlüssel usw. gelangen (Benutzerpasswörter sind durch Hash-
Codes geschützt) oder den Datenträger umprogrammieren.
Passwörter/Passphrasen für Servicemodus und Wartungsmodus sollten nur
einem einzigen vertrauenswürdigen Benutzer bekannt sein. Diese Betriebsarten
sollten eingeschränkten Zugriff haben, um die Vertraulichkeit und Integrität des
Geräts zu schützen.
Bei der Inbetriebsetzung eines Geräts stellen Sie sicher, dass das voreingestellte
Passwort für den Wartungsmodus geändert wird.
"Schutz vor Brute-Force-
188)".
RUGGEDCOM ROX II v2.15 Weboberfläche
Konfigurationshandbuch, 05/2022, C79000-G8900-1534-02