Inhaltsverzeichnis
Werbung
Sicherheit
3.1 Übersicht
3.1
Übersicht
Die folgende Tabelle enthält eine Übersicht der Sicherheitsfunktionen von SICAM Q200. Die einzelnen Themen
werden in den folgenden Kapiteln beschrieben.
Tabelle 3-1
Thema
HTTPS
Role-Based Access Control
(RBAC)
Audit Log
Firmware mit digitaler
Signatur
272
Übersicht
Beschreibung
Das Gerät unterstützt die folgenden HTTPS-Eigenschaften:
•
Für den Zugriff auf die Benutzeroberfläche des SICAM Q200 wird das sichere
Kommunikationsprotokoll HTTPS verwendet. Unverschlüsselter Zugriff über
HTTP wird nicht unterstützt.
•
Für die TLS-Implementierung wird die kostenlose Software OpenSSL
verwendet.
•
Der integrierte Web-Server unterstützt nur Verbindungsanfragen mit den
Verschlüsselungsprotokoll-Versionen TLS 1.1 und TLS 1.2. Ältere Versionen
werden aus Sicherheitsgründen abgelehnt.
•
Unterstützt werden nur starke Cipher-Suites (Schlüssellänge ≥ 128 Bit).
•
Das Gerät generiert ein selbst signiertes TLS-Zertifikat, das daher nicht durch
eine Zertifizierungsstelle signiert und bestätigt ist. Bei Verwendung der
Q200-Web-Schnittstelle zeigen alle Browser eine Warnmeldung an, dass der
Verbindung aufgrund eines unbekannten Zertifikats nicht vertraut wird.
Aufgrund des von Browsern verwendeten Authentifizierungsschemas kann
Siemens keine Zertifikate für HTTPS zur Verwendung in Browsern (z.B. bei
der Herstellung) bereitstellen. Das liegt daran, dass entweder der DNS-Name
oder die IP-Adresse des Geräts Teil des signierten Zertifikats sein müssen.
Beides wird aber erst nach der Installation beim Kunden festgelegt. Daher
wird von den Produkten nach dem Einstellen der IP-Adresse ein selbst
signiertes Zertifikat generiert. Diesem selbst signierten Zertifikat muss auf
allen Clients mit Zugriff auf dieses Gerät in sicherer Weise vertraut werden.
Die empfohlene Vorgehensweise für das Vertrauen selbst signierter Zertifi-
kate finden Sie unter http://www.siemens.com/gridsecurity, Cyber Security
General Downloads > Application Notes.
•
Da das Zertifikat mit der IP-Adresse des Geräts verknüpft ist, wird es mit
jeder Änderung der IP-Adresse neu generiert.
•
Das SICAM Q200-Gerät enthält einen Krypto-Chip, der die für die HTTPS-gesi-
cherte Benutzeroberfläche benötigten privaten und öffentlichen Schlüssel
für TLS-Kommunikation sicher speichert. Beide Schlüssel werden werkseitig
im Krypto-Chip gespeichert. Der öffentliche Schlüssel wird von der Firmware
für die Erstellung des TLS-Zertifikats gelesen, während der private Schlüssel
vom Krypto-Chip nicht ausgelesen werden kann. Daher findet der Haupt-
Cipher-Betrieb in einer speziellen, vertrauenswürdigen Hardware statt. Der
Krypto-Chip wird seit Firmware V2.20 verwendet.
Das SICAM Q200-Gerät stellt zur Kontoverwaltung einen Mechanismus für die
Role-Based Access Control (RBAC) bereit. Über den RBAC-Mechanismus werden
die Rechte zur Durchführung bestimmter Aktionen am SICAM Q200-Gerät
bestimmten Rollen zugewiesen.
Weitere Informationen zu diesem Thema finden Sie in Kapitel
über die
Benutzeroberfläche.
Das Gerät bietet ein Audit Log, um sicherheitsrelevante Ereignisse zu verfolgen.
Nur Benutzer mit Auditor-Zugriffsrechten können auf die Meldungen im Audit
Log zugreifen.
Weitere Informationen zu diesem Thema finden Sie in Kapitel
Die Integrität und Authentizität des Firmware-Pakets wird durch eine digitale
Signatur geschützt. Es können nur Firmware-Pakete mit einer gültigen Signatur in
das SICAM Q200-Gerät hochgeladen werden.
3.2.2 Konfiguration
3.5 Audit
SICAM, SICAM Q200 7KG97, Handbuch
E50417-H1000-C606-A6, Ausgabe 09.2018
Log.
Werbung
Inhaltsverzeichnis
Fehlerbehebung
