Seite 1
Power Grids Power Grids EDS500 Serie - Ethernet und DSL Switches EDS500 Serie - Ethernet und DSL Switches Internet-Sicherheits-Richtlinie Release 2 Internet-Sicherheits-Richtlinie Release 2 Benutzerhandbuch Benutzerhandbuch...
Seite 3
Revision Dokumentnummer: 1KGT151040 V000 0 Version Datum Änderungen 09/2019 Erste Version für Release 2.1...
Gerätebeschreibung Gerätebeschreibung Die EDS500-Switche bezeichnen Geräte, die als Multilayer-Switch und Multifunktionsgerät speziell für die Aufgaben der Prozessdaten-Kommunikation konzipiert sind. Die Geräte werden zur Datenkommunikation in zukunftsorientierten Energienetzen, für Zählerfernauslesung und die Remote-Überwachung und -Steuerung bei der Einspeisung erneuerbarer Energien in Smart Grids verwendet. Die Switch-Technologie ist entscheidend für ein Netzwerkdesign.
Die EDS500-Switche unterstützen sichere Protokolle und Funktionen in der Default- Konfiguration. Dies bedeutet, dass die Fabrikeinstellungen der Geräte den entsprechenden aktuellen ABB IT-Sicherheitsstandards entsprechen. Es kann zu Konflikten zwischen Funktion und IT-Sicherheit kommen, beispielsweise wenn die Leitstelle nur nicht gesicherte Protokolle unterstützt (z. B. SNMP v1).
Geräteadministration Sicherer Zugriff 2.2.2 Konfiguration über SSH Mit Hilfe eines SSH-Client-Programms kann auf die Kommandozeilenschnittstelle (CLI) zugegriffen werden. Literaturhinweise: Details zur SSH-Schnittstellen sind zu finden unter EDS500 Handbuch - Teil 2: Konfiguration mit SSH. Voreinstellung: Der Standardwert für den SSH-Zugang ist aktiviert Empfehlungen zur sicheren Konfiguration: SSH ist als Kommandozeilen-Schnittstelle (CLI) empfohlen.
Sicherer Zugriff Geräteadministration Literaturhinweise: Details zur HTTP- und HTTPS-Konfiguration sind zu finden unter EDS500 Benutzerhandbuch - Teil 2: Bedienung der Web-Oberfläche. Voreinstellung: Der Web-Serber ist aktiviert, mit der Einstellung HTTP mit Umleitung zu HTTPS. Empfehlungen zur sicheren Konfiguration: Den Web-Server Zugriff als "HTTPS only" konfigurieren. <...
Voreinstellung: Client mode - n/a Empfehlungen zur sicheren Konfiguration: Aktivieren Sie ABB CSA-Ereignisse (CSA: Common Security Architecture), wenn die ABB- Verwaltungssoftware (SDM600) verwendet wird. Befehle zur Konfiguration von Syslog: < s e t s y s t e m s y s l o g s e r v e r { I P a d d r e s s } { { 0 - 7 } | a b b - s e c u r i t y - e v e n t s } >...
Sicherer Zugriff Kommunikation mit Nutzdaten Voreinstellung: In der Default-Konfiguration ist IEC 60870-5-104 und IEC 60870-5-101 deaktiviert. Empfehlungen zur sicheren Konfiguration: SNMPv3 anstatt IEC 60870-5-104 für die Netzwerküberwachung verwenden. Befehle zur Aktivierung / Deaktivierung einer IEC 60870-5-101 / IEC 60870-5-104- Schnittstelle <...
Seite 14
Kommunikation mit Nutzdaten Sicherer Zugriff Trunk Abbildung 1: Verwendung von VLANs Literaturhinweise: Details zur VLAN-Konfiguration sind zu finden unter EDS500 Benutzerhandbuch - Teil 2: VLAN Einstellungen. Voreinstellung: In der Default-Konfiguration sind VLANs deaktiviert. Empfehlungen zur sicheren Konfiguration Es wird empfohlen VLANs zur Aufteilung von Netzwerken in Arbeitsbereiche zu verwenden. Befehle zur Konfiguration von VLANs auf Schnittstellen <...
Sicherer Zugriff Kommunikation mit Nutzdaten < s e t s t p m s t i { 1 - 4 0 9 4 } v l a n { 1 - 4 0 9 4 } > < s e t s t p m s t i { 1 - 4 0 9 4 } n o v l a n { 1 - 4 0 9 4 } > <...
Kommunikation mit Nutzdaten Sicherer Zugriff H I N W E I S RIP wird als unsicheres Protokoll eingeschätzt. RIP ist in sicheren Konfigurationen zu deaktivieren. RIP ist in der Defaultkonfiguration deaktiviert. 2.3.3 Rate Limiting Während IEEE 802.1p QoS an der Stelle, an der eine Bandbreiten-Überlastung auftritt, dafür sorgt, dass Rahmen priorisiert werden können, so ist die Aufgabe des Rate Limitings, generell die eingehende bzw.
Sicherer Zugriff Kommunikation mit Nutzdaten 2.3.4 Zugangskontrolle und Geräteauthentifizierung mit IEEE 802.1X Authenticator IP-Netzwerk Ethernet Supplicant Authentication Server (Radius) Abbildung 3: Zugriffskontrolle mit IEEE 802.1X Literaturhinweise: Details zur Zugangskontrolle sind zu finden unter EDS500 Benutzerhandbuch - Teil 2: Zugangskontrolle und Geräteauthentifizierung mit IEEE 802.1X. Voreinstellung: Als Standardwert ist 802.1X aktiviert und jeder Port freigeschaltet (<...
Kommunikation mit Nutzdaten Sicherer Zugriff 2.3.5 Access-Listen EDS500-Switche bieten 16 Access-Listen, die zur Bewertung von Ethernet-Rahmen dienen. Trifft mindestens eine der Regeln einer Liste auf einen Ethernet-Rahmen zu, so wird die verknüpfte Aktion ausgeführt (Weiterleiten, Blockieren, Class-of-Service ändern). Access-Listen können entweder als Deny List definiert sein (Blacklist, erlaubt alle außer den angegebenen Kriterien), oder eine Permit List (Whitelist, erlaubt nichts außer den angegebenen Kriterien).
Sicherer Zugriff Kommunikation mit Nutzdaten 2.3.6 L2TP Configuration Um physikalisch nicht direkt miteinander verbundene Netzknoten dennoch auf der Ebene 2 des OSI Schichtenmodells zu verbinden, kann das Layer-2-Tunnel-Protocol (L2TP) verwendet werden. Internet Abbildung 4: DSL Linie zu Layer-2-Ring mit L2TP Ein Endpunkt der Verbindung wird als L2TP-Server konfiguriert, der andere wird als L2TP- Client konfiguriert und baut die Verbindung zum Server auf.
Kommunikation mit Nutzdaten Sicherer Zugriff H I N W E I S L2TP wird als unsicheres Protokoll angesehen. L2TP ist in der Default-Konfiguration deaktiviert. Befehle zur Konfiguration der Layer-2-Tunnel-Funktion < s e t i n t e r f a c e { t u n n e l . . . } r o l e { . . . } > <...
Sicherer Zugriff Verschlüsselungsalgorithmen Port Protokoll Stan- Dienst Erläuterung dard-Zustand geschlossen ECHO offen Zugriff auf auf CLI offen TELNET Zugriff auf auf CLI geschlossen DHCP Client geschlossen DHCP Relais/ Server TFTP nur Client offen HTTP nur Umleitung nach HTTPS geschlossen SNMP Überwachungs-Client offen HTTPS...
Bestimmungsgemäße Verwendung Sicherer Zugriff Authentication mit der Eigenschaft „Quality of Protection“ (Schutz des Webservers) verwendet. • ECDSA (Elliptic Curve Digital Signature Algorithm) ist eine Variante des Digital Signature Algorithm (DSA), der Elliptische-Kurven-Kryptographie verwendet. ECDSA erreicht gleiche oder bessere Verschlüsselungstärken wir DSA, jedoch sind zur Berechnung deutlich kleinere Schlüsselängen notwendig.
Nutzerauthentifizierung Bedienmodi: Ansicht (Login) und Konfiguration (Enable) Nutzerauthentifizierung Der Zugriff auf die Kommandozeilenschnittstelle (CLI) und die Web-Oberfläche ist durch ein zweistufiges Berechtigungskonzept geschützt. Der Standardwert für Passwörter ist nicht gesetzt. Die folgenden Abschnitte beschreiben, wie der Zugriff auf das Gerät vor Unberechtigten geschützt werden kann.
Loginmodus Password Nutzerauthentifizierung Mit dem Befehl <exit> werden sowohl der Ansichtsmodus als auch der Betriebsmodus configuration verlassen und die Kommandozeilenschnittstelle (CLI) geschlossen. Das Prompt der Kommandozeilenschnittstelle (CLI) zeigt den aktuellen Zugriffsmodus: Prompt im Ansichtsmodus s w i t c h > Das Symbol >...
Nutzerauthentifizierung Automatische Zugangstrennung vorgenommen werden. So können Benutzername/Passwort-Kombinationen durch einen RADIUS-Server verifiziert werden. Um den Loginmodus radius auf einem EDS500-Gerät zu verwenden, muss zunächst ein RADIUS-Server konfiguriert werden, der über das Netz erreichbar ist. Falls kein RADIUS-Server konfiguriert ist, bleibt der Loginmodus password als Fallback aktiv. Nach erfolgtem Login mit RADIUS (z.B.
Seite 26
Automatische Zugangstrennung Nutzerauthentifizierung 1KGT151040 V000 0...
Gesicherter Webserver Zugriff Webserver Benutzerauthentifizierung Gesicherter Webserver Zugriff Für einen gesicherten Zugriff auf die RTU500 Serie unterstützt der Webserver das „Hypertext Transfer Protocol Secure“ (HTTPS). Das HTTPS Protokoll ist eine Kombination aus den Hypertext Transfer Protokoll HTTP mit dem SSL/TLS Protokoll für die Verschlüsselung der Übertragung und sicheren Identifikation des Webservers.
HTTPS Web Server Access Gesicherter Webserver Zugriff HTTPS Web Server Access Um auf den EDS500 Serie Webserver mit HTTPS zuzugreifen, muss die URL die im Webclient angegeben wird mit https:// beginnen, gefolgt von der IP Adresse der EDS500-Geräte. Die folgende Abbildung zeigt ein Beispiel. Die Public-Key-Zertifikate der EDS500 Serie sind standardmäßig selbst-signiert und nicht von einer Zertifizierungsstelle ausgeben.
Seite 29
Gesicherter Webserver Zugriff HTTPS Web Server Access Warnmeldung zu vermeiden, muss ein gesichertes, externes Zertifikate konfiguriert und auf die EDS500 Serie hochgeladen werden. Wenn der Webserver für HTTPS konfiguriert wurde, ist ein Standardzugriff nicht mehr möglich. Im Fall eines Standardzugriffs mit HTTP wird der Zugriff vom EDS500 Serie Webserver umgeleitet auf die abgesicherten Webseiten.
Seite 30
HTTPS Web Server Access Gesicherter Webserver Zugriff 1KGT151040 V000 0...
Zertifikatsverwaltung Hostschlüsseltypen Zertifikatsverwaltung Für eine sichere Webserver (HTTPS)-Funktionalität erfordern der EDS500 Switch eine gültige Kombination aus EC-Schlüssel (Eliptic Curve) und Zertifikat. Im Auslieferungszustand hat jeder EDS500 Switch seinen EC-Schlüssel (sogenannte geräteeigener Schlüssel) und sein aus dem EC-Schlüssel erzeugtes Zertifikat (sogenannte geräteeigenes Zertifikat - selbstsigniert) schon gespeichert.
Schlüssel) oder ein externer Schlüssel verwendet werden soll. Diese Entscheidung hängt in der Regel von den IT-Richtlinien der Unternehmen ab. Der im Gerät vorinstallierte Schlüssel entspricht den Mindestanforderungen von ABB an die IT-Sicherheit. Somit ist der Schlüssel eindeutig und der private Teil nicht ausgelesbar. Die IT-Richtlinien des eigenen Unternehmens können jedoch verlangen, dass eigenen Schlüssel (externe Schlüssel) verwenden werden.
Seite 33
Zertifikatsverwaltung Schlüssel- und Zertifikatkombinationen a) Geräteeigner Schlüssel und geräteeigenes Zerfikat (selbstsigniert) verwenden EDS500 Zerfikat EC Schlüssel geräteeigen / geräteeigen selbstsigniert download Browser b) Externer EC Schlüssel and Selbstsignierungsfunkon des Gerätes nutzen EDS500 EC Schlüssel geräteeigen EC Schlüssel Zerfikat extern selbstsigniert CSR - Zerfikat Zerfikatsignieru...
Seite 34
Schlüssel- und Zertifikatkombinationen Zertifikatsverwaltung aufbauen. Der Umstand, dass jedes einzelne Zertifikat von allen Geräten in den Browser integriert werden muss, entfällt. CA-Zertifikate können sowohl selbst erstellt als auch bei einer Authentifizierungsstelle erworben werden. Kombinationen und ihre Eigenschaften • Geräteeigener EC Schlüssel und selbstsigniertes Zertifikat - Standardmäßige Arbeitsweise - Sofort einsatzbereit - Das Zertifikat jedes EDS500 muss in den Browser integriert werden...
Seite 35
Zertifikatsverwaltung Schlüssel- und Zertifikatkombinationen c) Geräteeigener Schlüssel, CSR und externes CA-signiertes Zerfikat EDS500 Zerfikat EC Schlüssel geräteeigen / Geräteeigen selbstsigniert Schlüssel Zerfikat Zerfikatsignierungs- extern extern anforderung download upload .csr .crt Signiert durch eine CA d) Externer EC Schlüssel, CSR und externes CA-signiertes Zerfikat EDS500 EC Schlüssel geräteeigen...
Schritt-für-Schritt-Anleitung Zertifikatsverwaltung Schritt-für-Schritt-Anleitung Eine detailierte Schritt-für-Schritt-Anleitung ist zu finden unter EDS500 Benutzerhandbuch - Teil 2: Schritt-für-Schritt-Anleitung 1KGT151040 V000 0...
Systemhärtung Systemhärtung ABB optimiert die Sicherheit und Zuverlässigkeit seiner Produkte durch Sicherheitsprüfungen und Systemhärtung. Die EDS500 Serie wurde systematisch gehärtet; beispielsweise wurden nicht verwendete Dienste entfernt oder nicht verwendete Ports geschlossen. Die EDS500 Serie wurde im speziellen unabhängigen Sicherheits-Prüfzentrum von ABB mit modernsten kommerziellen und Open-Source-Sicherheitsprüftools getestet.
Patch Management Allgemeine Information Patch Management Allgemeine Information Diese Kapitel beschreibt das Patch Management für die EDS500 Serie und wie das System aktuell gehalten werden kann. Das Firmware-Update erfolgt durch Übertragen einer Firmware-Image-Datei auf das Gerät. Der Vorgang kann sowohl über die Kommandozeile (Telnet, SSH, serielles Terminal), als auch über die integrierte Web-Oberfläche durchgeführt werden, sowie weiterhin mit Hilfe von Skripten oder einem Managementprogramm.
Für eine sichere Operation müssen Firmware-Updates über das Web-Interface erfolgen. Informationen finden Sie unter: • Cyber security alerts and notifications • ABB Inside: Intern bekannte Befunde und Lösungen • solutions.abb/eds500: Offizielle Informationen für den Endkunden Bug Fixes müssen nur implementiert werden, wenn sie für das laufende System relevant sind.