Siemens SIMATIC NET RUGGEDCOM RX5000 Konfigurationshandbuch Seite 57

Einleitung
1.3 Sicherheitsempfehlungen
•
•
•
•
•
•
•
12
Infrastruktur der Systeme, die häufig von seriellen Protokollen gesteuert werden,
ist es entscheidend, dass diese Protokolle mit allen verfügbaren Mitteln geschützt
werden. Beispiele für Schutzmaßnahmen sind u.a. die Verwendung von MicroLok
gekapselt mit TCP/IP und Verschlüsselung mit IPsec, wenn irgend möglich. Wenn
IPsec für ein bestimmtes Netzwerksegment nicht verfügbar ist, stellen Sie sicher,
dass Sie die Umgebung entsprechend den Best Practices für Defense-in-Depth
einrichten.
Um die Beständigkeit des Audit Trail eines Geräts sicherzustellen, konfigurieren
Sie das Gerät so, dass es alle Protokolle über TLS an einen gehärteten Remote-
Syslog-Server weiterleitet. Weitere Informationen finden Sie unter
von Protokollen (Seite
Konfigurationsdateien werden für die einfache Verwendung entweder im
NETCONF- oder im CLI-Format zur Verfügung gestellt. Werden diese Dateien
außerhalb des Geräts gespeichert/verwendet, müssen sie ausreichend
geschützt werden. Signieren Sie die Dateien beispielsweise digital und
verschlüsseln Sie sie, speichern Sie sie an einem sicheren Ort und übertragen Sie
Konfigurationsdateien nur über sichere Kommunikationskanäle.
Es wird unbedingt empfohlen, kritische Anwendungen und Zugriff auf
Verwaltungsdienste auf private Netzwerke zu begrenzen. Die Verbindung eines
RUGGEDCOM ROX II-Geräts mit dem Internet ist möglich. Es ist jedoch allergrößte
Sorgfalt geboten, um das Gerät und das Netzwerk dahinter mit sicheren
Maßnahmen wie einer Firewall oder IPsec zu schützen. Nähere Informationen
zum Konfigurieren von Firewalls und IPsec finden Sie unter
Firewalls (Seite 284)"
Die Speicherung und Verwaltung der Zertifikate und Schlüssel liegt in der
Verantwortung des Gerätebesitzers. Verwenden Sie RSA-Schlüsselgrößen mit
einer Länge von 2048 Bits für eine Standard-Verschlüsselungsstärke. Bevor Sie
das Gerät zur Reparatur an Siemens Canada Ltd. einsenden, ersetzen Sie die
aktuellen Zertifikate und Schlüssel mit temporären Wegwerf-Zertifikaten und
Schlüsseln, die bei Rückgabe des Geräts vernichtet werden können.
Achten Sie auf mögliche nicht sichere Protokolle, die im Gerät aktiviert sind.
Während einige Protokolle wie HTTPS, SSH und 802.1x sicher sind, sind andere
wie etwa SNMPv1/v2c und RSTP nicht für diesen Zweck ausgelegt. Um den
unbefugten Zugriff auf das Gerät/Netzwerk zu verhindern, sind geeignete
Sicherheitsmaßnahmen gegen nicht sichere Protokolle zu treffen.
Vergewissern Sie sich, dass das Gerät vollständig außer Betrieb gesetzt wurde,
bevor Sie es aus dem Betrieb nehmen. Weitere Informationen finden Sie unter
"Außerbetriebnahme des Geräts (Seite
Konfigurieren Sie Port-Sicherheitsfunktionen an Zugriffsports, um zu verhindern,
dass unbefugte Dritte eine physische Verbindung zum Gerät herstellen. Weitere
Informationen finden Sie unter
77)".
und "IPsec-Tunnel verwalten (Seite
69)".
"Konfigurieren der Port-Sicherheit (Seite
"Verwalten
"Verwalten von
659)".
RUGGEDCOM ROX II v2.15 Weboberfläche
Konfigurationshandbuch, 05/2022, C79000-G8900-1534-02
199)".