IndraControl Security-Leitfaden · IT-Security, das dem aktuellen Stand der Technik entspricht. Die...

IndraControlSecurity-Leitfaden

ProjektierungsbeschreibungR911342561

Ausgabe 06

Bosch Rexroth AG

Änderungsverlauf

Ausgabe Stand BemerkungAusgabe 01 2013-11 ErstausgabeAusgabe 02 2015-01 ErgänzungenAusgabe 03 2017-04 Einführungskapitel überarbeitet und Verweise auf externe Informations-

quellen ergänzt. Neue Geräte ergänzt.Ausgabe 04 2017-05 Hinweise zu Krypto-Trojanern und Ransomware ergänzt.Ausgabe 05 2018-07 Geräte (IndraControl VE*) mit Windows Embedded compact 7 ergänzt

Hinweise zu WebConnector ergänzt um den Bezug zu WebComposerHinweise zu Trojaner und Ransome Ware bearbeitetVerweis auf BSI-IT-GrundschutzbausteineSystem Drive (MLD) ergänzt

Ausgabe 06 2019-02 Ergänzungen:● SafeLogic compact● Software WinStudio● Frequenzumrichter EFC

Schutzvermerk

© Bosch Rexroth AG 2019Alle Rechte bei Bosch Rexroth AG, auch für den Fall von Schutzrechtsanmeldun-gen. Jede Verfügungsbefugnis, wie Kopier- und Weitergaberecht, bei uns.

Verbindlichkeit

Die angegebenen Daten dienen allein der Produktbeschreibung und sind nichtals zugesicherte Eigenschaften im Rechtssinne zu verstehen. Änderungen im In-halt der Dokumentation und Liefermöglichkeiten der Produkte sind vorbehalten.

Redaktion

Entwicklung Automationssysteme Steuerungshardware ThSc (MiNi)

RS-b5f38972e046f0990a6846a5005c4277-6-de-DE-30

InhaltsverzeichnisSeite

1 Glossar.................................................................................................. 1

2 Einleitung.............................................................................................. 22.1 Zweck dieses Leitfadens....................................................................... 32.1.1 Kundenfeedback.................................................................................... 32.2 Aufbau des Leitfadens........................................................................... 32.2.1 Abgrenzung von "IT-Security" zu "Safety".............................................. 42.3 IT-Grundschutz...................................................................................... 42.4 Bekannte Schwachstellen...................................................................... 4

3 Security-relevante Produktbeschreibung............................................... 43.1 Übersicht Security-Unterstützung......................................................... 53.2 Systeme MTX, XLC und MLC................................................................. 53.3 Geräteeigenschaften – Steuerungen mit Betriebssystem VxWorks

6.3......................................................................................................... 63.4 Geräteeigenschaften – Steuerungen mit Betriebssystem ab VxWorks

6.9 ........................................................................................................ 73.5 System Antrieb (IndraDrive mit und ohne MLD)................................... 83.5.1 Geräteeigenschaften IndraDrive............................................................ 93.6 SafeLogic compact (SLc).................................................................... 103.6.1 Geräteeigenschaften SLc Ethernet Gateways..................................... 103.7 Geräteeigenschaften Sercans.............................................................. 103.8 Geräteeigenschaften Freqenzumrichter EFC....................................... 113.9 Portlisten............................................................................................. 113.10 Geräte IndraControl VP*, VE*, VEP*, VCH*, VR21* .............................. 203.10.1 Geräte (IndraControl VP*) mit Windows XP, Windows 7, Windows 10

203.10.2 Standard-Windows-Ports..................................................................... 223.10.3 Geräte (IndraControl VE*) mit Windows 7 Embedded Standard 32

und 64 Bit............................................................................................ 223.10.4 Geräte (IndraControl VP*) mit Windows 7 Ultimate 32 und 64 Bit..... 223.10.5 Geräte (IndraControl VP*) mit Windows 10 IoT Enterprise LTSB 64

Bit........................................................................................................ 233.10.6 Geräte (IndraControl VP*) mit Windows 7 Embedded Standard 32

und 64 Bit............................................................................................ 233.10.7 Geräte (IndraControl VP*) mit Windows XP 32 Bit............................. 233.10.8 Geräte (IndraControl VR21*) mit Windows Embedded compact 7..... 243.10.9 Gerät (IndraControl VH21) mit Windows Embedded compact 7........ 24

Bosch Rexroth AGInhaltsverzeichnis

DOK-IWORKS-SECURITY***-PR06-DE-P I

Seite

3.10.10 Geräte (IndraControl VE*) mit Windows XP embedded 32 Bit........... 243.10.11 Geräte (IndraControl VE*) mit Windows Embedded compact 7......... 253.10.12 Geräte (IndraControl VE*) mit Windows CE ....................................... 253.10.13 Geräte (IndraControl VCP*.2) mit Windows CE 5.0............................ 253.10.14 Geräte (IndraControl VCH 08.1) mit Windows CE 5.0......................... 253.10.15 Geräte (IndraControl VCH 05.1) mit Windows CE 6.0......................... 263.11 Software.............................................................................................. 263.11.1 WebConnector, WebComposer........................................................... 263.11.2 WinStudio............................................................................................ 27

4 Mögliche Maßnahmen......................................................................... 284.1 Konzept der Trennung......................................................................... 284.2 Servicemaßnahmen von extern oder von Betriebsfremden................. 284.3 Einsatz von Firewalls........................................................................... 294.4 Nutzung von ACLs............................................................................... 294.5 Einsatz von innominate mGuard-VPN-Komponenten........................... 29

5 Schlussbemerkung.............................................................................. 295.1 Empfehlungen...................................................................................... 29

6 Quellen................................................................................................ 306.1 Literaturhinweise................................................................................. 306.2 Weiterführende Links.......................................................................... 30

Index.................................................................................................... 33

Bosch Rexroth AGInhaltsverzeichnis

II DOK-IWORKS-SECURITY***-PR06-DE-P

1 GlossarACL Access Control List

Mit der ACL werden die Zugriffsberechtigungen auf Computerressour-cen (Dateien und Programme) verwaltet.

BSI Bundesamt für Sicherheit in der InformationstechnikDas "BSI" gehört zum Geschäftsbereich des Bundesministeriums desInnern.

DHCP "Dynamic Host Configuration Protocol"Der DHCP-Dienst ermöglicht die Zuweisung der Netzwerkkonfigurationan Clients durch einen Server.

Firewall Eine "Firewall" ist ein Netzwerksicherungssystem in Hard- oder Soft-ware zum Schutz gegen unerlaubte Zugriffe.

(T)FTP (Trivial) File Transfer Protocol(T)FTP ist ein dateiorientiertes Client-Server-Protokoll über eine TCP-Verbindung. "Trivial" bedeutet, dass es keine Funktionen für Rechtever-gabe und Benutzerauthentifizierung gibt.

ICMP Internet Control Message ProtocolICMP dient dem Austausch von Informations- und Fehlermeldungenüber das Internet-Protokoll (z. B. Ping).

ICS Industrial Control SystemICS ist ein übergeordneter Begriff, der die verschiedene Typen und For-men von Steuerungssystemen in industriellen Anlagen beschreibt.

IP Internet Protocol"IP" ist ein Netzwerkprotokoll auf Ebene der Vermittlungsschicht desOSI-Modells.

IT-Security "IT-Security" ist nach VDI/VDE 2182 die Informationssicherheit in derindustriellen Automatisierung.

MEP Multi Ethernet PlatformOCI Open Core InterfaceOSI-Modell Open Systems Interconnection Model

OSI-Modell ist ein Referenzmodell für Netzwerkprotokolle.Ping "Ping" ist ein Diagnosewerkzeug, mit dem die Erreichbarkeit eines Teil-

nehmers anhand seiner IP-Adresse oder des Netzwerknamens festge-stellt werden kann.

Port Der Port ist ein Teil der Netzwerkadresse, der der Zuordnung von TCP-und UDP-Verbindungen zwischen Client und Servern dient

RADIUS Remote Authentication Dial-In User ServiceClient-Server-Protokoll, das zur Authentifizieren, Autorisierung undzum Accounting von Benutzern bei Einwahlverbindungen in ein Compu-ternetzwerk dient.

Bosch Rexroth AGGlossar

DOK-IWORKS-SECURITY***-PR06-DE-P 1/39

Router Ein "Router" ist ein Netzwerkgerät zur Kopplung von Rechnernetzwer-ken.

Switch Ein "Switch" ist ein Kopplungselement, um Netzwerksegmente mitei-nander zu verbinden.

telnet "Telnet" ist ein zeichenorientiertes Client-Server-Protokoll über eineTCP-Verbindung.

TCP Transmission Control Protocol"TCP" ist ein verbindungsorientiertes Netzwerkprotokoll auf Ebene derTransportschicht des OSI-Modells.

UDP User Datagram Protocol"UDP" ist ein minimales, verbindungsloses Netzwerkprotokoll derTransportschicht des OSI-Modells.

Verschlüsselung "Verschlüsselung" beschreibt die Umwandlung von Klartext in nicht les-baren Text unter Verwendung eines geheimen Schlüssels.

VPN Virtual Private Network"VPN" ist ein in sich geschlossenen Netzwerk, das eine andereNetzwerkinfrastruktur nutzt und darauf aufgebaut ist.

Viren "Viren" sind Schadsoftware zur Beeinträchtigung von Funktionen oderzum Ausspähen von Daten auf einem Computer.

WLAN Wireless Local Area Network"WLAN" ist ein drahtloses lokales Netzwerk.

(Digitales) Zertifikat Ein digitales Zertifikat bestätigt Eigenschaften von Personen oder Ob-jekten und deren Authentizität und Integrität durch kryptografische Ver-fahren.

2 EinleitungDas Thema "IT-Security" wurde in Fertigungsanlagen bisher wenig berücksich-tigt. Steuerungen und Anlagen wurden im Wesentlichen unter funktionalen Ge-sichtspunkten entwickelt und betrieben.Durch die fortschreitende Durchdringung mit Netzwerkkomponenten, deren spe-zifischen Eigenschaften und Anforderungen, sowie der Diskrepanz zu bestehen-den Netzwerkstrukturen und Anforderungen in der Büroumgebung wird das The-ma "IT-Security" zunehmend wichtiger.Insbesondere unter den Anforderungsszenarien von "Industrie 4.0" und "Internetder Dinge", die eine vollständige Vernetzung aller beteiligen Objekte unterstel-len, ist IT-Security eine notwendige Voraussetzung für den sicheren und rei-bungslosen Betrieb.Die Anforderungen bezüglich IT-Security unterteilen sich in organisatorische undtechnische Aspekte.Als Voraussetzung für den Aufbau und Betrieb einer sicheren IT- Anlage ist esnotwendig, die Netzwerkeigenschaften der eingesetzten Komponenten zu ken-nen. Dazu gehört die Bereitstellung und der Austausch der Informationen und

Bosch Rexroth AGEinleitung

2/39 DOK-IWORKS-SECURITY***-PR06-DE-P

der Dokumentationen, die es den Beteiligten (Hersteller, Integrator und Betrei-ber) ermöglicht, entsprechende IT-Security-Konzepte und Lösungen zu erarbei-ten und zu betreiben.

Der Betrieb von Anlagen, Systemen und Maschinen erfordert grund-sätzlich die Implementierung eines ganzheitlichen Konzepts für dieIT-Security, das dem aktuellen Stand der Technik entspricht.Die Produkte von Bosch Rexroth sind ein Teil dieses ganzheitlichenKonzepts und müssen hinsichtlich ihrer Eigenschaften bei einemganzheitlichen IT-Security-Konzept berücksichtigt werden.

Als Grundlage für diese Vorgehensweise dient die Richtlinie VDI 2182.

2.1 Zweck dieses LeitfadensDer Zweck dieses Leitfadens ist die Bereitstellung der folgenden Informationen:● Spezielle Informationen zum sicheren Betrieb von IT- Systemen und Geräten

von Bosch Rexroth● Allgemeine Informationen zum Thema "IT-Security" in FertigungsanlagenMit diesen Informationen kann der Anwender netzwerktechnische und organisa-torische Maßnahmen ergreifen, sowie spezielle Geräteeinstellungen vornehmen,um die eingesetzten Produkte zu integrieren und sicher zu betreiben.

2.1.1 KundenfeedbackAnregungen, Wünsche oder Verbesserungen von unseren Kunden haben bei unseinen hohen Stellenwert. Senden Sie uns Ihre Anmerkungen zu den Dokumenta-tionen per E-Mail an [email protected]. Sie können di-rekt im elektronischen PDF-Dokument Kommentare einfügen und uns die PDF-Datei zusenden.

2.2 Aufbau des LeitfadensZu Beginn werden allgemeine Aspekte der IT-Security beschrieben, einschließ-lich einer Beschreibung zur Abgrenzung zu Safety.Im Hauptteil dieses Leitfadens folgt die Beschreibung der Geräte und Systemevon Bosch Rexroth aus dem Blickwinkel der IT-Security. Dazu gehören die Auflis-tung und Beschreibung der Systemeigenschaften und eine Liste der Protokolleund verwendeten Ports. Abgeschlossen wird dieser Teil mit Vorschlägen zur In-tegration und Betrieb dieser Produkte im Netzwerk.Den Abschluss bilden allgemeine Angaben zum Thema "IT-Security" undHinweise auf weiterführende Literatur und Informationsquellen.

Im Folgenden wird, um die Abgrenzung zu Safety auch sprachlich zudifferenzieren, nicht der im deutschen umfassende Begriff „Sicher-heit“, sondern stets "Security" oder "IT-Security" verwendet.

Bosch Rexroth AGEinleitung


mailto:[email protected]

2.2.1 Abgrenzung von "IT-Security" zu "Safety"Die Abgrenzung zu Safety wird in der nachfolgenden Tabelle verdeutlicht.Gegenüberstellung der Begriffe "Safety" und "IT-Security"

Safety IT-SecuritySchutz von Menschen und Umwelt. Schutz vor Menschen und Umwelt.Nur ein möglicher, kalkulierbarer Verursacher. Viele mögliche, z. T. unkalkulierbare VerursacherGefahr wirkt von Innen nach Außen. Gefahr wirkt von Außen nach InnenFunktionale Sicherheit garantiert störungs- undgefahrenfreie Funktion

IT-Security stellt Vertraulichkeit, Integrität und Ver-fügbarkeit der Informationen sicher

Richtlinien und verbindliche Gesetze Richtlinien unvollständig und keine Gesetze

2.3 IT-GrundschutzDas BSI (Bundesamt für Sicherheit in der Informationstechnik) veröffentlicht inregelmäßigen Abständen Berichte zur aktuellen Bedrohungslage und gibt Infor-mationen bezüglich des IT-Grundschutzes. Die IT-Grundschutzbausteine des BSI,die sich im IT-Grundschutz-Kompendium finden, sind in zehn Schichten aufge-teilt und thematisieren unterschiedlichste Themen der Informationssicherheit –von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanage-ment (ISMS).Für Mitglieder des VDI besteht die Möglichkeit über diesen weitere Informatio-nen zum IT-Grundschutz beziehen.Auf den Seiten des ICS-CERT finden sich Hinweise unter den RecommendedPractices (engl.).Kap. 6.2 "Weiterführende Links" auf Seite 30

2.4 Bekannte Schwachstellen

Informationen zu bekannt gewordenen Schwachstellen werden auf der "Securityinformation" Seite von Rexroth, sowie auf den Seiten des Bosch Product Securi-ty Incident Response Team(PSIRT) veröffentlicht. Das Bosch PSIRT ist der zent-rale Ansprechpartner um sicherheitsrelevante Informationen in Produkten vonBosch auszutauschen.Kap. 6.2 "Weiterführende Links" auf Seite 30

3 Security-relevante ProduktbeschreibungIn den folgenden Abschnitten werden die Security-relevanten Aspekte derRexroth Produkte beschrieben. Dazu gehören die Liste der jeweils verwendetenPorts, ihrer Verwendung und eventuell zu beachtenden Besonderheiten. DieseInformationen sollen den Anwender in die Lage versetzen die Geräte und Anla-gen, unter dem Aspekt der IT-Security, sinnvoll zu konfigurieren und zu betrei-ben.

Bosch Rexroth AGSecurity-relevante Produktbeschreibung


3.1 Übersicht Security-UnterstützungÜbersicht Security-Unterstützung der Geräte und Software der Systeme XLC,MLC und MTX

SystemundSoft-ware

XLC, MLC und MTX IndraDrive mitund oh-ne MLD

SafeLo-gic-com-pact

Fre-quen-zum-richter

Web-Connector

IoT-Gateway

Win-Studio

Gerät CML10CML20CML40CML25CML45CML65CMP40CMP60CMP70MTXmicro

CML75CML85XM2*VPx

VE*VP*VCP*.2VEH**.1VR21**MTXmicro

VP*VEP mitWin7emb.XM2*(erst ab14V20)

Kxx02KMVxxHMVxxHMS0xHMD01HCS0x

SLC-3-CPUxSLC-3-GS3SSLC-0-GPNT

EFC XM2* XM2* VE*VP*VCP*.2VEH**.1VR21**

Securi-ty-Unter-stützung

Nein AbFWA14V18 undIndraWorks14V18

Nein Ja AbMPx20V12

Nein Nein Ja Ja Nein

3.2 Systeme MTX, XLC und MLCMTX, XLC und MLC gehören zu den VxWorks-basierten Systemen.Bei VxWorks handelt es sich um ein Echtzeitbetriebssystem, welches auf denSteuerungstypen IndraControl L, XM und VPx eingesetzt wird.Bei den Geräten IndraControl CML10, CML20, CML40, CML40.2, CML25,CML45, CML65, CMP40, CMP60, CMP70, MTXmicro mit dem BetriebssystemVxWorks 6.3 gelten besondere Bedingungen bei Inbetriebnahme und Betrieb.Die Gründe für die besonderen Bedingungen mit VxWorks 6.3 sind:● Im Betriebssystem sind keine IT-Security-Maßnahmen wie Firewalls oder Vi-

renschutzsoftware implementiert.● Funktionsbedingt können zum Teil keine IT-Security-Maßnahmen implemen-

tiert und installiert werden.



● In den Grundeinstellungen sind die Netzwerkports für FTP, Telnet und das De-bugging frei zugänglich.

● Da auf diesen Geräten zusätzlich Netzwerkfunktionalitäten wie "Routing" und"NAT" implementiert sind, müssen für den sicheren Betrieb der Geräte Netz-werksicherungsmaßnahmen getroffen werden.

● VxWorks 6.3 stellt nur eine eingeschränkte Benutzerverwaltung zur VerfügungBei den Geräten CML75 , CML85, XM2* und VPx* kommt das Echtzeitbetriebs-system VxWorks 6.9 zum Einsatz, mit nachfolgenden Eigenschaften:● In den Grundeinstellungen ist der Netzwerkport für FTP aus Kompatibilitäts-

gründen geöffnet● VxWorks 6.9 bietet die Unterstützung zur Implementierung weiterführender

Security-Mechanismen.● Da auf diesen Geräten zusätzlich Netzwerkfunktionalitäten wie "Routing" und

"NAT" implementiert sind, müssen für den sicheren Betrieb der Geräte Netz-werksicherungsmaßnahmen getroffen werden.

3.3 Geräteeigenschaften – Steuerungen mit BetriebssystemVxWorks 6.3

Betrifft die Steuerungen:

● CML10● CML20● CML25● CML40● CML40.2● CML45● CML65● CMP40● CMP60● CMP70● MTX micro

Debug-Zugang

Der Debug-Port ist in der Grundeinstellung offen. Der Wind-River-Debug-Agent(WDB-Agent) ist aktiv.

Telnet-Server

Der Telnet-Server ist aktiv (Der Telnet-Port ist offen.)Der Anmeldename und das Passwort sind fest in das Laufzeitsystem integriert.Das Passwort ist verschlüsselt abgelegt (Wind-River-Verschlüsselung "vxenc-rypt.exe").



FTP-Server

Der FTP-Server ist aktiv. (Der FTP-Port ist offen.)Ein Zugang über den FTP-Server mit einem "anonymous"-User ist implementiert.Dieser User besitzt Leserechte auf das USER-Laufwerk.Der Anmeldename und das Passwort sind fest in das Laufzeitsystem integriert.Das Passwort ist verschlüsselt abgelegt (Wind-Rriver-Verschlüsselung" vxenc-rypt.exe").

Weitere Hinweise

● Eine SNTP-Client-Applikation ist vorhanden.● Eine TFTP-Client-Applikation ist vorhanden.● Das System besitzt keine lokale Firewall.● Eine ICMP-Funktionalität ist implementiert.● Es ist nur ein IPv4-Stack implementiert.

Netzwerk-Infrastrukturkomponenten

Innerhalb des Betriebssystemkerns sind für den Betrieb notwendige Funktionenfür die Netzwerkinfrastruktur und die Anschaltung der verschiedenen Ethernet-basierten Bussysteme, auch Feldbusse (Sercos, Profinet) und deren Datenaus-tausch, Router- und Switch-Komponenten integriert. Die Konfiguration erfolgtapplikationsabhängig mit Hilfe der Engineering-Werkzeuge durch den Anwender.

Beachten Sie dabei insbesondere die Feldbusse, die implizit ein Tun-neln von Standard-IP-Protokollen innerhalb des Feldbusprotokolls er-lauben. Beachten Sie hierzu auch die feldbusspezifischen Dokumen-tationen.

3.4 Geräteeigenschaften – Steuerungen mit Betriebssystem abVxWorks 6.9

Betrifft die Steuerungen:

● CML75● CML85● XM2*● XM4*● VPx*

Debug-Zugang

Der Debug-Port ist in der Grundeinstellung geschlossen. Für OCI-Entwicklungs-zwecke kann der Debugger aktiviert werden. Achten Sie nach Abschluss der Ent-wicklungstätigkeiten darauf den Debugger zu deaktivieren.



Telnet-Server

Der Telnet-Server ist abgeschaltet (Der Telnet-Port ist geschlossen). Der Anwen-der kann stattdessen über SSH auf die Steuerung zugreifen.

SSH-Server

Die bislang über Telnet bereitgestellte Kommandozeile wird über SSH bereitge-stellt. Das Protokoll "Telnet" wird aus Sicherheitsgründen abgeschaltet und stehtab Version 14V18 auf den oben genannten Steuerungen nicht mehr zur Verfü-gung. Der SSH-Server ist auf den Geräten ab Firmwarestand 14V18 aktiv.

FTP-Server

Der FTP-Server ist im Auslieferungszustand der Steuerung aktiv. (Der FTP-Portist offen.) Der Anwender wird beim Anlegen der Steuerung darauf hingewiesen,dass dieser unsichere Dienst abgeschaltet werden kann und sollte.Ein Zugang über den FTP-Server mit einem "anonymous"-User ist implementiert.Dieser User besitzt Leserechte auf das USER-Laufwerk.Der Anmeldename und das Passwort sind fest in das Laufzeitsystem integriert.Das Passwort ist verschlüsselt abgelegt (Wind-River-Verschlüsselung "vxenc-rypt.exe").

SFTP-Server

Als Mechanismus zur sicheren Datenübertragung wird auf das Secure File Trans-fer Protocol (SFTP) zurückgegriffen. SFTP ist Bestandteil des SSH-Dienstes undbietet dementsprechend die gleichen Sicherheitsmechanismen. Viele gängigeClients, z. B. WinSCP (Windows) oder Filezilla (Windows, Linux, Mac OS) unter-stützen den Datentransfer über SFTP. Der SFTP-Server ist im Auslieferungszu-stand aktiv.

Netzwerkinfrastrukturkomponenten

Innerhalb des Betriebssystemkerns sind für den Betrieb notwendige Funktionenfür die Netzwerkinfrastruktur und Anschaltung der verschiedenen Ethernet-ba-sierten Bussysteme, auch Feldbusse (Sercos, Profinet) und deren Datenaus-tausch, Router- und Switch-Komponenten integriert. Die Konfiguration erfolgtapplikationsabhängig mit Hilfe der Engineering-Werkzeuge durch den Anwender.


3.5 System Antrieb (IndraDrive mit und ohne MLD)Der IndraDrive verwendet ein Echtzeitbetriebssystem. Bei diesen Geräten geltenbesondere Bedingungen bei Inbetriebnahme und Betrieb. Die Gründe für die be-sonderen Bedingungen sind: Seitens des Betriebssystems sind keine IT-Security-Maßnahmen wie Firewalls oder Virenschutzsoftware implementiert.



● Funktionsbedingt können zum Teil keine IT-Security-Maßnahmen implemen-tiert und installiert werden.

● In den Grundeinstellungen sind die verfügbaren Ports frei zugänglich.● Da auf diesen Geräten zusätzlich Netzwerkfunktionalitäten wie "Routing" im-

plementiert sind, sind für den sicheren Betrieb der Geräte in der Regel Netz-werksicherungsmaßnahmen erforderlich.

● Der IndraDrive stellt keine Benutzerverwaltung zur Verfügung.

3.5.1 Geräteeigenschaften IndraDriveTelnet Server

● Der Telnet-Server ist aktiv (Der Telnet-Port ist offen.)● Der Anmeldename und das Passwort sind fest in das Laufzeitsystem integ-

riert. Das Passwort kann vom Anwender mit einem Kundenpasswort über-schrieben werden.

FTP Server

● Der FTP-Server ist aktiv (Der FTP-Port ist offen).● Ein Zugang über den FTP-Server ist mit einem "anonymous"-User und einem

Standard-User implementiert.● Beide User besitzen Leserechte auf das USER-Laufwerk. Der Standard-User

besitzt zusätzlich Schreibrechte auf das USER-Laufwerk.● Die Anmeldenamen und das Passwort sind fest in das Laufzeitsystem integ-

riert. Das Passwort für den Standard-User kann vom Anwender mit einemKundenpasswort überschrieben werden

Weitere Hinweise

● Das System besitzt keine lokale Firewall.● Bei IndraDrive Advanced Geräten ist eine TFTP-Client Applikation vorhanden.● Die ICMP Funktionalität ist implementiert.● Es ist nur ein IPv4-Stack implementiert.


Innerhalb des Betriebssystemkerns sind für den Betrieb notwendige Funktionenfür die Netzwerkinfrastruktur und die Anschaltung der verschiedenen ethernet-basierten Bussysteme, auch Feldbusse (Sercos, Profinet) und deren Datenaus-tausch, Router- und Switch-Komponenten integriert. Die Konfiguration erfolgtapplikationsabhängig mit Hilfe der Engineering-Werkzeuge durch den Anwender.




3.6 SafeLogic compact (SLc)

Eine SafeLogic compact Station besteht aus einem CPU-Modul und optional biszu 2 Gateway-Modulen(Sercos, PROFINET) sowie bis zu 12 Erweiterungsmodu-len (I/O-Module, Drive Monitor) ). Es sind keine IT-Security-Maßnahmen wie Fire-walls oder Virenschutzsoftware implementiert.Die SLc CPU hat selbst keine netzwerkfähigen Schnittstellen. Ethernet basierteKommunikation zu Engineering-PC oder einer übergeordneten Steuerung erfolgtüber das Sercos- Gateway SLC-3-GS3S oder PROFINET- Gateway SLC-0-GPNT.● Die verfügbaren Ports sind frei zugänglich.● Da auf diesen Geräten zusätzlich Netzwerkfunktionalitäten wie "Routing" im-

plementiert sind, sind für den sicheren Betrieb der Geräte in der Regel Netz-werksicherungsmaßnahmen erforderlich.

3.6.1 Geräteeigenschaften SLc Ethernet GatewaysTelnet-Server

Der Telnet-Server ist aktiv (Der Telnet-Port ist offen)

FTP-Server

Der FTP-Server ist aktiv (Der FTP-Port ist offen).Ein Zugang über den FTP-Server ist mit einem "anonymous"-User implementiert.


Beachten Sie insbesondere die Feldbusse, die implizit ein Tunneln von Standard-IP-Protokollen innerhalb des Feldbusprotokolls erlauben.

3.7 Geräteeigenschaften Sercans

Sercans gehört zu den Linux basierten Systemen. Bei der eingesetzten Linux-Version handelt es sich um Ubuntu 4.4, welches durch den preempt-rt-patch zueinem Echtzeitbetriebssystem erweitert wurde. Es wird in den Sercans-Varian-ten L und S eingesetzt.

Debug-Zugang

Der Debug-Port ist standardmäßig geschlossen.

SSH-Server

Eine Kommandozeile wird über SSH bereitgestellt. Der SSH-Server ist aktiv.

SFTP-Server

Als Mechanismus zur Datenübertragung wird auf das Secure File Transfer Proto-col (SFTP) zurückgegriffen. Der SFTP-Server ist im Auslieferungszustand nichtaktiv und muss aktiviert werden, bevor ein Firmware-Update durchgeführt wer-



den kann. Dies geschieht automatisch, wenn das Firmware-Update mit Hilfe vonIndraWorks Ds durchgeführt wird.

3.8 Geräteeigenschaften Freqenzumrichter EFC

Geräte mit Multi Ethernet Erweiterungskarte

Telnet-Server

Es gibt keinen Telnet Server auf der MultiEthernetPlatform

FTP Server

Es gibt keinen FTP Server auf dem MultiEthernetPlatform

TFTP Server

Der TFTP Server ist aktiv (TPTP port ist offen)Die MultiEthernetPlatform akzeptiert nur bestimmte Dateinamen, andere Datei-en werden abgelehnt.

Weitere Hinweise

● Das System verfügt über keine lokale Firewall.● Die ICMP-Funktionalität ist implementiert● Es ist nur ein IPv4-Stapel implementiert.


Innerhalb des Betriebssystemkerns sind für den Betrieb notwendige Funktionenfür die Netzwerkinfrastruktur und die Anschaltung der verschiedenen ethernet-basierten Bussysteme, auch Feldbusse (Sercos, Profinet) und deren Datenaus-tausch, Router- und Switch-Komponenten integriert. Die Konfiguration erfolgtapplikationsabhängig mit Hilfe der Engineering-Werkzeuge durch den Anwender.


3.9 PortlistenIn den nachfolgenden Portlisten sind alle Ports aufgeführt, auf denen Server-dienste angeboten werden. Die spezifische Ausführung im Auslieferungszustandauf den unterschiedlichen Geräten und Systemen entnehmen Sie den folgendenTabellen.In den Spalten "Notwendig bei …", "Betrieb", "Inbetriebnahme" und "Service" istnotiert, in welcher Phase die Ports für die jeweiligen Funktionen notwendigsind.



In der Spalte "Deaktivierbar" ist notiert, ob der Port durch den Endanwender imRahmen der Applikationskonfiguration deaktiviert werden kann.

Portliste CML25, CML45, CML65

Port Protokoll Dienst Status Anmer-kung

Notwendig bei ... [J/N] Deakti-vierbar[J/N]

Betrieb Inbetrieb-nahme

Service

21 TCP ftp open - J J J N23 TCP telnet open - N N J N80 TCP http open - J J J N1740 UDP Gateway open|

filtered- J J J N

1741 UDP Gateway open|filtered

- J J J N

4840 TCP OPC UA open - J J J N5003 TCP SIS open - J J J N5300 TCP MLPI open - J J J N6040 UDP Com-Server

(HMI)open|filtered

- J J J N

6042 TCP Com-Server(HMI)

open - J J J N

11001 UDP ILNG.Online open|filtered

-

11740 TCP IndraLogicGateway

open - J J J N

17185 UDP Wind RiverDebug-Port

open|filtered

- N N N N

Portliste CML75, XM2*, VPx*

bis einschließlich Firmware 14V16




Sevice

21 TCP ftp open - J J J N23 TCP telnet open - N N J N80 TCP http open - J J J N






Sevice

111 TCP, UDP Portmapper open - J J J N443 TCP https open Nicht

CML75- - - -

972 UDP - open|filtered

Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


- J J J N


- J J J N


Nur VPx* J J J N

4840 TCP OPC UA open - J J J N5003 TCP SIS open - J J J N






Sevice

5300 TCP mlpi open - J J J N6040 UDP Com-Server

(HMI)open|filtered

NichtXM2*

J J J N

6042 TCP Com-Server(HMI)

open - J J J N

8080 TCP Umleitung aufhttps

open NichtCML75

- - - -

11001 UDP ILNG.Online open|filtered

- - - - -


open - J J J N

17185 UDP Wind RiverDebug-Port

open|filtered

- N N N N

Portliste CML75, XM2*, VPx*

ab Firmware 14V18


Notwendig bei ... [J/N] Deaktivier-bar [J/N] Betrieb Inbetrieb-

nahmeService

21 TCP ftp open - N N N J22 TCP ssh, sftp open - J J J J80 TCP http open - - - - -111 TCP, UDP Portmap-

peropen - J J J N

443 TCP https open NichtCML75

- - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -





nahmeService


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


Nur VPx* - - - -


- J J J N


- J J J N


Nur VPx* J J J N

4840 TCP OPC UA open - J J J N5003 TCP SIS open - J J J N5300 TCP MLPI open - J J J N5335 TCP MLPIS open -6040 UDP Com-Ser-

ver (HMI)open|filtered

- J J J N

6042 TCP Com-Ser-ver (HMI)

open - J J J N

8080 TCP Umleitungauf https

open NichtCML75

- - - -

11001 UDP ILNG.Online

open|filtered

- - - - -





nahmeService


open - J J J N

17185 UDP Wind Ri-verDebug-Port

open|filtered

- N N N J

Portliste der Geräte IndraDrive

(mit/ohne MLD)



nahmeService

20 / 21 TCP ftp open Zugriffopt. SD

J J J J*

23 TCP telnet open N N J J*69 UDP TFTP open FW-

UpdateJ J J J*

80 TCP WebSer-ver(http)

open IDST J J J J*

1200 TCP CoDeSysKommuni-kation

open - - - -

1202 UDP Netzwerk-variable

open Vorhan-den in denFW-Versi-onenMPx02bisMPx17

- - - -

1740 -1743

UDP MLDBroadcast

open J J J N

5002 TCP SIS-Ser-ver

open J J J J*

6040 UDP ComSer-ver (HMI)

open J J J J*

6042 TCP ComSer-ver (HMI)

open J J J J*





nahmeService

11740 -11743

TCP MLD con-nections

open J J J N

35021 TCP S/IP open J J J N35021 UDP S/IP open J J J N51000 TCP Trace

(MEP)open N N J N

51001 TCP TCP- Con-sole(MEP)

open N N J N

Tab. 3-1: * Deaktivierung der Ports ist erst ab der MPx-20V12 über den Parameter P-0-1535(Einstellungen IP Kommunikation) möglich.

Portliste Sercos

Gateway SLC-3-GS3S


Notwendig bei ... [J/N] Deaktivier-bar [J/N]


Service

23 TCP telnet open - - - - -69 UDP tftp open|fil-

tered- - - - -

3908 UDP - open|fil-tered

- - - -

5002 TCP SIS open - - - - -9000 TCP SafeLogic

Designer-Kommuni-kation

open - - - - -

30718 UDP Safe LogicDesigner-ScanDienst

open|fil-tered

- - - - -

35021 TCP S/IP open - - - - -35021 UDP S/IP open|fil-

tered- - - - -

48232 UDP - open|fil-tered

- - - - -



Portliste PROFINET

Gateway SLC-0-GPNT




Service

23 TCP telnet open - - - - -80 TCP http open - - - - -161 UDP SNMP open|fil-

tered- - - -

1024 UDP open|fil-tered

- - - - -

4606 TCP open - - - - -4607 TCP open - - - - -8160 UDP open|fil-

tered- - - - -


- - - - -

9000 TCP SafeLogicDesigner-Kommuni-kation

open - - - - -


- - - - -

9100 TCP open - - - - -30718 UDP SafeLogic

Designer-ScanDienst

open|fil-tered

- - - - -


- - - - -


- - - - -

Portliste Sercans






Service

22 TCP SSH open - - - - -22 TCP SFTP open Wenn Ser-

ver aktiv- - - J

35021 TCP, UDP S/IP open J J J J

Portliste Frequenzumrichter

EFC mit Multi Ethernet Platform(MEP)


Notwen-dig bei ...[Y/N]

Inbetrieb-nahme

Service Deaktivier-bar [Y/N]

69 UDP tftp open MEP firm-wareupdate

J J J N

502 TCP Modbus/TCP

open* J* J* N N

x TCP Modbus/TCP

closed User defi-nable portnumber(H3.51)

J* J* N Y

2222 UDP EtherNet/IP

open* EtherNet/IP ImplicitMes-sa-ging

J* J* N N

34964 UDP PROFINET open* PROFINETConnectManagerand RPChandler

J* J* N N

35021 TCP Sercos/IP open Engineering

J J J N

35021 UDP Sercos/IP open Engineering

J J J N

44818 TCP EtherNet/IP

open* EtherNet/IP ExplicitMes-sa-ging

J* J* J N




Notwen-dig bei ...[Y/N]

Inbetrieb-nahme

Service Deaktivier-bar [Y/N]

51000 TCP Trace(MEP)

open N N J N

50001 TCP TCP Con-sole(MEP)

open N N J N

Tab. 3-2: * = nur wenn der zugehörige Feldbustyp der MultiEthernetPlatform aktiviert wurde

3.10 Geräte IndraControl VP*, VE*, VEP*, VCH*, VR21* ● Die Windows-basierenden Systeme (XP, XPembedded, Windows 7, Windows

10, CE) werden mit voreingestellter Firewall, Services und Applikationen kon-figuriert ausgeliefert.

● Eine Virenschutzsoftware ist nicht installiert.Rexroth führt keine Kompatibilitätstests durch und gibt keine Empfehlungenzu Virenschutzsoftware!Einflüsse auf das Laufzeitverhalten und den Betrieb der Softwarekomponen-ten können daher nur im Einzelfall durch Tests ermittelt werden. Daraus resul-tierende Maßnahmen liegen in der Verantwortung des Endanwenders.

● Ein Patch-Management des Betriebssystems ist nicht vorgesehen. Die aktuellausgelieferte Betriebssystemversion enthält den zum Freigabedatum aktuellenPatch-Zustand des Herstellers (Microsoft). Dieser Zustand wird mit der jewei-ligen Systemsoftware auf einwandfreie Funktionalität geprüft und freigege-ben.

● Auf Geräten sind keine BIOS-Passwörter gesetzt.● Die im Auslieferungszustand angelegten Benutzer und Passwörter der Geräte

finden sie in der jeweiligen Produktdokumentation.

Ändern Sie Standardpasswörter umgehend nach der Inbetriebnah-me.

● Benutzer und Passwörter, die betriebssystemunabhängig von Telnet und FTPangelegt sind, finden Sie in der Gerätedokumentation im Kapitel "Kommunika-tionseinstellungen".

Änderungen sind entsprechend den jeweils gültigen Systemdokumentationenvorzunehmen.

3.10.1 Geräte (IndraControl VP*) mit Windows XP, Windows 7,Windows 10

Ziel der Konfiguration dieser Betriebssysteme für den Einsatz im industriellenUmfeld muss es sein, nur die notwendigen Applikationen, Dienste und Kommuni-



kationszugänge zu nutzen. Diese Konfiguration erhöht die Gesamtstabilität desSystems und führt zu Minimierung der möglichen Angriffsziele. Im Folgendenwerden kurz die Windows-Werkzeuge vorgestellt, mit denen diese Konfigurationdurchgeführt werden kann.Folgende Security-relevanten Einstellungen können durch die Konfiguration der"Local Policies" vorgenommen werden: Control Panel ▶ AdministrativeTools ▶ Local Policies.● Verwalten der Zugriffsrechte auf Verzeichnisse, Dateien und Funktionen● Konfiguration der Passworteigenschaften● Konfiguration der Softwareeinschränkungen (Whitelisting)Weitere Maßnahmen:● Verhinderung des automatischen Ausführens von Applikationen auf austausch-

baren Datenträgern (USB-Stick, CD, DVD), siehe:http://support.microsoft.com/kb/967715

● Nutzung des "Enhanced-Write-Filter" (XP und 7), siehehttp://technet.microsoft.com/en-us/library/bb932158.aspxWeitere Filter und Einstellmöglichkeiten, siehehttp://msdn.microsoft.com/en-us/library/ff794908%28v=winembedded.60%29.aspx.

● Konfiguration der Windows-FirewallWindows 7, siehehttp://windows.microsoft.com/en-us/windows7/understanding-windows-fire-wall-settingsWindows XP, siehehttp://technet.microsoft.com/en-us/library/cc875811.aspx

● Windows Security allgemeinhttps://technet.microsoft.com/en-us/security

Installieren Sie grundsätzlich immer die aktuellen Windows-Sicher-heitsupdates auf Ihren Geräten.Krypto-Trojaner und Ransomware nutzen unterschiedliche Schwach-stellen in Betriebssystem und Software aus. Auf den Internetseitendes BSI und ICS-CERT werden Regelmäßig Hinweise auf Schwach-stellen und Maßnahmen gegen mögliche Ausnutzung dieserSchwachstellen veröffntlicht.Kap. 6.2 "Weiterführende Links" aufSeite 30Trennen Sie Geräte vom Netzwerk, bis Sie die Updates zum schlie-ßen der Sicherheitslücken eingespielt haben.



http://support.microsoft.com/kb/967715

http://technet.microsoft.com/en-us/library/bb932158.aspx

http://msdn.microsoft.com/en-us/library/ff794908%28v=winembedded.60%29.aspx

http://msdn.microsoft.com/en-us/library/ff794908%28v=winembedded.60%29.aspx

http://windows.microsoft.com/en-us/windows7/understanding-windows-firewall-settings

http://windows.microsoft.com/en-us/windows7/understanding-windows-firewall-settings

http://technet.microsoft.com/en-us/library/cc875811.aspx

3.10.2 Standard-Windows-PortsUnter folgendem Link finden Sie Informationen zu den aktuellen Microsoft Wind-ows Standardports:https://support.microsoft.com/en-us/kb/832017 (EN)https://support.microsoft.com/de-de/kb/832017 (DE).In den folgenden Abschnitten werden die aktiven Ports bei den jeweiligen Gerä-ten in den verschiedenen Betriebssystemvarianten im Auslieferungszustand ge-listet.Sofern nicht anders in der Systemsoftwaredokumentation gelistet, sind keineÄnderungen der Standard-Firewall-Einstellungen implementiert.Während des Betriebs können Sie mit Administratorrechten und den folgendenBefehlen die aktiven Ports und die dazugehörigen Anwendungen identifizieren:netstat -an -p tcp –b oder netstat -an -p udp –b

3.10.3 Geräte (IndraControl VE*) mit Windows 7 Embedded Standard32 und 64 Bit

Port Protokoll Anwendung81 TCP portico (wenn installiert)515 TCP LPDSVC [svchost.exe]1234 TCP Studio Manager, wenn aktiviert2103 TCP [mqsvc.exe]2105 TCP [mqsvc.exe]2107 TCP [mqsvc.exe]5900 TCP portico oder UltraVNC (wenn installiert)6002 TCP portico (wenn installiert)8085 HTTP WebConnector Konsole (wenn installiert)8086 HTTP, TLS WebConnector Konsole (wenn installiert)15000 HTTP WebConnector Dienst (wenn installiert)15001 HTTPS, TLS WebConnector Dienst (wenn installiert)49155 TCP [lsass.exe]

3.10.4 Geräte (IndraControl VP*) mit Windows 7 Ultimate 32 und 64 Bit

Port Protokoll Anwendung9876 TCP, UDP Acronis



http://support.microsoft.com/kb/832017#4

3.10.5 Geräte (IndraControl VP*) mit Windows 10 IoT Enterprise LTSB64 Bit

Port Protokoll Anwendung9876 TCP, UDP Acronis

3.10.6 Geräte (IndraControl VP*) mit Windows 7 Embedded Standard32 und 64 Bit

Port Protokoll Anwendung81 TCP portico (wenn installiert)515 TCP LPDSVC [svchost.exe]2103 TCP [mqsvc.exe]2105 TCP [mqsvc.exe]2107 TCP [mqsvc.exe]5900 TCP portico oder UltraVNC (wenn installiert)6002 TCP portico (wenn installiert)8085 HTTP WebConnector Konsole (wenn installiert)8086 HTTPS, TLS WebConnector Konsole (wenn installiert)9876 TCP, UDP Acronis [agent.exe] (wenn installiert)15000 HTTP WebConnector Dienst (wenn installiert)15001 HTTPS, TLS WebConnector Dienst (wenn installiert)49155 TCP [lsass.exe]

3.10.7 Geräte (IndraControl VP*) mit Windows XP 32 Bit

Port Protokoll Anwendung123 UDP [svchost.exe]135 TCP [svchost.exe]137 UDP [System]138 UDP [System]139 TCP [System]445 TCP, UDP [System]500 UDP [lsass.exe]1028 TCP [alg.exe]1900 UDP [svchost.exe]4500 UDP [lsass.exe]9876 TCP, UDP Acronis[agent.exe]



3.10.8 Geräte (IndraControl VR21*) mit Windows Embedded compact 7

Port Protokoll Anwendung123 UDP ntp137 UDP netbios-ns138 UDP netbios-dgm4322 TCP4500 UDP nat-t-ike

3.10.9 Gerät (IndraControl VH21) mit Windows Embedded compact 7

Port Protokoll Anwendung137 UDP netbios-ns138 UDP netbios-dgm139 TCP NetBIOS Session Service445 TCP SMB-Freigabe(windows-Share)4322 TCP -4500 UDP nat-t-ike6089 UDP -49152 UDP ComServer, EIS

3.10.10 Geräte (IndraControl VE*) mit Windows XP embedded 32 Bit

Port Protokoll Anwendung123 UDP [svchost.exe]135 TCP [svchost.exe]137 UDP [System]138 UDP [System]139 TCP [System]161 UDP [snmp.exe]445 TCP, UDP [System]500 UDP [lsass.exe]1025 TCP [inetinfo.exe]1026 UDP [svchost.exe]1027 UDP [mqsvc.exe]1028 TCP [mqsvc.exe]1029 TCP [alg.exe]1801 TCP [mqsvc.exe]2103 TCP [mqsvc.exe]2105 TCP [mqsvc.exe]



Port Protokoll Anwendung2107 TCP [mqsvc.exe]3389 TCP [svchost.exe]3456 UDP [inetinfo.exe]3527 UDP [mqsvc.exe]4500 UDP [lsass.exe]

3.10.11 Geräte (IndraControl VE*) mit Windows Embedded compact 7

Port Protokoll Dienst80 TCP HTTP443 TCP HTTPS5120 TCP UPnP

3.10.12 Geräte (IndraControl VE*) mit Windows CE

Port Protokoll Anwendung20, 21 TCP ftp23 TCP telnet80 TCP Web Server137 UDP NTP138 UDP NetBIOS443 TCP HTTP SSL5120 TCP UPnP

3.10.13 Geräte (IndraControl VCP*.2) mit Windows CE 5.0

Port Protokoll Anwendung20, 21 TCP ftp80 TCP Web Server137 UDP NTP138 UDP NetBIOS443 TCP HTTP SSL1025 TCP ESTAB (ComServer)

3.10.14 Geräte (IndraControl VCH 08.1) mit Windows CE 5.0

Port Protokoll Anwendung20, 21 TCP ftp80 TCP Web Server



Port Protokoll Anwendung135 TCP DCOM137 UDP NTP138 UDP NetBIOS139 TCP NetBIOS161 UDP -443 TCP HTTP SSL445 TCP SMB1025 TCP ComServer1026 UDP ComServer-Tastenübertragung1050-1053 TCP ComServer

3.10.15 Geräte (IndraControl VCH 05.1) mit Windows CE 6.0

Port Protokoll Anwendung80 TCP Web Server137 UDP NTP138 UDP NetBIOS443 TCP HTTP SSL49152 UDP ComServer-Tastenübertragung

3.11 Software

3.11.1 WebConnector, WebComposerÜber den WebConnector können Visualisierungen auf allen Geräten, auf deneneine Java VM lauffähig ist, an Steuerungen angebunden werden. Die ProtokolleOPC UA und OCI (MLPI) werden unterstützt. Die sichere Kommunikation überOPC UA muss vom Anwender Konfiguriert werden. Die sichere Kommunikationüber MLPIS wird erst mit Version 14V20 unterstützt und muss ebenso vom An-wender beim Connect konfiguriert werden.Um kundenspezifische HTML5-Seiten, mit direktem Zugriff auf die Automations-ebene, bereitzustellen, besitzt der WebConnector einen integrierten Web-Server.Sichere Datenkommunikation erfolgt optional via HTTPS und TLS-Verschlüsse-lung.Der WebConnector ist auf den Geräten VP*. und VE* mit Windows 7 embeddedverfügbar. In der Standardeinstellung sind die unverschlüsselte Kommunikation(HTTP/WS), als Konsole über Port 8085 und Windows-Dienst über Port 15000,als auch die verschlüsselte Kommunikation (HTTPS/TLS) als Konsole über Port8086 und Windows-Dienst über Port 15001 aktiv. Das Abschalten der unver-schlüsselten Kommunikation muss vom Anwender vorgenommen werden.In IndraWorks steht als Engineeringtool für Inbetriebnahme- Visualisierungen derWebComposer zur Verfügung. Werden WebComposer Objekte im Projekt ange-



legt wird der WebConnector-Dienst gestartet und die Ports 15000(HTTP/WS)und 15001(HTTPS/TLS) aktiv. Der WebConnector-Dienst wird durch das Schlie-ßen von IndraWorks nicht beendet. Erst nach Neustart des Rechner läuft derDienst nicht mehr (Startart: manuell). Wenn der Webconnector-Dienst nach demSchließen des IndraWorks-Projekts oder Beenden von IndraWorks oder nachdem Beenden der WebComposer- Application nicht mehr benötigt wird, startenSie "services.msc" und beenden Sie den boschrexroth.webconnector-Dienst.Verhindern Sie mit Hilfer einer Firewall den Zugriff von außen auf die Ports desWebConnector, sofern die Applikation dies zulässt.Portliste

Port Protokoll Anwendung Gerät8085 HTTP WebConnector Konsole (wenn in-

stalliert)VP* mit Win7emb.,VE* mitWin7emb.

8086 HTTPS, TLS WebConnector Konsole (wenn in-stalliert)

VP* mit Win7emb.,VE* mitWin7emb.

15000 HTTP WebConnector Dienst (wenn in-stalliert)


15001 HTTPS, TLS WebConnector Dienst (wenn in-stalliert)


Tab. 3-3: Portliste WebConnector

3.11.2 WinStudioWinStudio ist eine durchgängige Visualisierungssoftware für alle PC-basiertenund Embedded Systeme. Das Produkt besteht aus zwei Teilen.WinStudio Engineering:Projektierungswerkzeug zur Erstellung einzelner HMI-Bilder bis hin zu komplet-ten Bedienoberflächen.Ausprägungen des WinStudio Engineering-Paketes● Integraler Bestandteil in IndraWorks Engineering zur Erstellung von Visualisie-

rungsanwendungen.● Stand-alone Editor zur Erstellung von eigenständigen Visualisierungen (Win-

Studio Engineering stand-alone ).WinStudio Runtime:Software auf den Visualisierungsgeräten vorinstalliert bzw. für die Installationvorbereitet (Software-Download).Ausprägungen der WinStudio Runtime-Umgebung● WinStudio in IndraWorks HMI-Oberfläche (IndraWorks OPD). (Vorgefertigte

Bedienoberfläche der Systeme MLC, MTX, IL unter Windows CE/Windows 7embedded compact, Win XP/ Win XPe, Win 7/ Win 7e)

● WinStudio Runtime (IndraWorks unabhängige Bedienoberfläche).Portliste



Port Protokoll Anwendung1234 TCP Studio manager3997 TCP Studio Database Gateway (StADOSvr.exe)4322 TCP Remote Agent (CEServer.exe)4448 TCP Mobile Access Runtime (MobileAccessTask.exe)51234 TCP InduSoft Web Studio project runtime server . Verschlüsselt mit TLS 1.2

Tab. 3-4: Portliste WinStudio

4 Mögliche Maßnahmen

4.1 Konzept der TrennungNach heutigem Stand der Technik empfehlen wir eine Trennung der Steuerungs-und Anlagennetze von den anderen Netzen innerhalb einer betrieblichen Netz-werkinfrastruktur. Durch eine Trennung der Netze können die unterschiedlichenSchutzbedürfnisse und Anforderungen berücksichtigt werden. Bei größeren Ein-heiten ist eine weitere Unterteilung innerhalb der Steuerungs- und Anlagennetzesinnvoll. Mit der Trennung von größeren Einheiten kann die Ausbreitung vonSchadsoftware auf kleine Bereiche begrenzt werden. Im Ergebnis befinden sichsomit im Steuerungs- und Anlagennetz alle per Definition nicht sicheren Geräte."Nicht sicher" in diesem Sinne sind Geräte und Anlagen ohne Virenschutz, Patch-management und Zugangskontrollmechanismen.Steuerungs- und Anlagennetze haben nur eingeschränkte oder keine Kommunika-tionsmöglichkeiten in die anderen Netze und können somit nicht darüber hinauszugreifen oder angesprochen werden. Eine Kommunikation ins Internet solltenicht möglich sein. Vergeben Sie den Geräten feste IP-Adressen und vermeidenSie den Einsatz von DHCP-Diensten.Unsere Geräte und Systeme sind, wenn nicht anders angegeben, für den Einsatzin solchen Steuerungs- und Anlagennetzen konzipiert. Bei abweichenden Ein-satzbedingungen müssen Sie zusätzliche Schutzmaßnahmen ergreifen.Diese Regeln gelten auch beim Aufbau von Teilnetzen mit WLAN-Technik. BeimEinsatz von WLAN-Technik müssen Sie die WLAN-spezifischen Security-Eigen-schaften und die daraus resultierenden Maßnahmen treffen und dokumentieren.Stichworte in diesem Zusammenhang sind:● Sichtbarkeit der Geräte● Verschlüsselung der Funkstrecke nach neuesten Standards mit ausreichender

Schlüssellänge● Management der Schlüssel● Management der Benutzer und des Administrators

4.2 Servicemaßnahmen von extern oder von BetriebsfremdenSind externe Servicemaßnahmen an den Geräten und Systemen notwendig,muss dafür Sorge getragen werden, dass diese Zugänge über klassische Mecha-

Bosch Rexroth AGMögliche Maßnahmen


nismen wie z. B. VPN realisiert werden. Dies gilt auch für die Rechtevergabe undden Zugang der Dienstleister auf Steuerungen und Anlagenteile.

4.3 Einsatz von FirewallsDer Einsatz von Firewalls ist an allen Netzwerkübergängen zur Einschränkungder verwendeten Protokolle auf das Notwendige sinnvoll.

4.4 Nutzung von ACLsDie Steuerung der Zugangsberechtigungen auf Anlagen und Anlagenteile sollte,wenn immer möglich, durch ACLs geregelt werden. Mit ACLs wird auch sicherge-stellt, dass der versehentliche Zugriff auf die Anlagen und Anlagenteile bei Tren-nung in kleinere Netzwerkeinheiten vermieden werden kann.

4.5 Einsatz von innominate mGuard-VPN-KomponentenFür obige Szenarien bietet Bosch Rexroth Geräte und dazu Templates an, mit de-nen ein gesicherter Zugang und Firewallfunktionen realisiert werden können.● RS4000● mGuard Delta²● •mGuard Smart²

5 SchlussbemerkungSecurity ist ein fortlaufender Prozess.Der Prozess Bedarf einer stetigen Überwachung und Kontrolle durch alle betei-ligten Personen, auch durch scheinbar nur wenig betroffene Personen.Generell müssen alle beteiligten Personen ein fundiertes Bewusstsein für IT-Se-curity aufweisen.Dieses Bewusstsein ist eine wichtige Grundlage für das Erkennen und Beseiti-gen von eventuell vorhandenen IT-Security-Lücken und -Mängeln.

5.1 Empfehlungen● Minimieren Sie die Sichtbarkeit der Geräte und Anlagen im Netz● Geräte und Anlagen sollten nie direkten Zugang zum Internet haben● Platzieren Sie die Geräte, Anlagen und Netzwerke hinter einer Firewall und

trennen Sie die Geräte, Anlagen und Netzwerk vom Büronetzwerk● Sollte die Notwendigkeit der Fernwartung bestehen, greifen Sie hierzu auf an-

erkannt sichere Methoden zurück, z. B. VPN. Berücksichtigen Sie, dass dieserZugang nur so sicher ist, wie Ihr Gerät selbst und die Einstellungen für die Be-nutzer und Anwender

● Entfernen oder deaktivieren Sie alle bekannten Standardzugänge und Benut-zer-Accounts oder benennen Sie sie zumindest um

Bosch Rexroth AGSchlussbemerkung


● Nutzen Sie, wenn möglich, vorhandene Kontosperrungsrichtlinien, um das Ri-siko von Bruteforce-Angriffen zu minimieren

● Implementieren Sie Regeln, die die Benutzung von starken Passwörtern er-zwingt

● Überwachen und protokollieren Sie die Einrichtung von Zugängen auf admi-nistrativem Level durch Dritte

● Deaktivieren Sie, wenn möglich, alle Hardwareschnittstellen, die Sie nicht be-nötigen

● Sorgen Sie für die notwendigen Maßnahmen und Regeln, die eine schnelleWiederinbetriebnahme nach einem Vorfall garantieren

6 Quellen

6.1 Literaturhinweise● NORM VDI/VDE 2182● NORM ISO/IEC 27000● NORM BS/IEC 62443● VDI-Leitfaden: "10 Fragen und Antworten zur IT-Security in der industriellen

Automatisierung"● Industrial Network Security; Eric D. Knapp; ISBN-10: 1597496456

6.2 Weiterführende Links● Bosch Product Security Incident Response Team(PSIRT)

https://psirt.bosch.com/● Rexroth Security information

https://www.boschrexroth.com/en/xc/products/product-support/security-in-formation/security-information

● Bundesamt für Sicherheit in der Informationstechnik:https://www.bsi.bund.dehttps://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompen-dium/itgrundschutzKompendium_node.html

● Verein Deutscher Ingenieure, Fachbereich 5: "Industrielle Informationstech-nik", Fachausschuss "Security":http://www.vdi.de/technik/fachthemen/mess-und-automatisierungstechnik/fachbereiche/industrielle-informationstechnik/gma-fa-522-security/https://www.vdi.de

● Das Bürger-CERT ist ein Projekt des Bundesamtes für Sicherheit in der Infor-mationstechnik, das Bürger und kleine Unternehmen schnell und kompetentvor Viren, Würmern und anderen Sicherheitslücken warnt:

Bosch Rexroth AGQuellen


https://psirt.bosch.com/

https://www.boschrexroth.com/en/xc/products/product-support/security-information/security-information

https://www.boschrexroth.com/en/xc/products/product-support/security-information/security-information

https://www.bsi.bund.de/DE/Themen/themen_node.html

https://www.vdi.de

https://www.buerger-cert.de● ICS-CERT(engl. Sprache) warnt vor Sicherheitslücken in IT-Systemen:

http://ics-cert.us-cert.govhttps://ics-cert.us-cert.gov/Introduction-Recommended-Practices

Bosch Rexroth AGQuellen


https://www.buerger-cert.de/subscription-new-request

http://ics-cert.us-cert.gov/monitors/monitors.xml

https://ics-cert.us-cert.gov/Introduction-Recommended-Practices

Bosch Rexroth AG


IndexAACLs......................................... 1, 29Anregungen..................................... 3

BBeschwerde.................................... 3Best practices............................... 29Betriebsfremde............................. 28

DDHCP.............................................. 1

EEmpfehlungen............................... 29

FFeedback........................................ 3Firewalls........................................ 29

GGeräte Portübersicht

Gerät (IndraControl VH21)mit Windows Embeddedcompact 7................................ 24Geräte (IndraControlVCH 05.1) mit Windows CE6.0........................................... 26Geräte (IndraControlVCH 08.1) mit Windows CE5.0........................................... 25Geräte (IndraControl VCP*.2) mit Windows CE 5.0............ 25Geräte (IndraControl VE*)mit Windows 7 EmbeddedStandard 32 und 64 Bit........... 22Geräte (IndraControl VE*)mit Windows CE ..................... 25Geräte (IndraControl VE*)mit Windows Embeddedcompact 7................................ 25Geräte (IndraControl VE*)mit Windows XP embed-ded 32 Bit................................ 24

Geräte (IndraControl VP*)mit Windows 7 EmbeddedStandard 32 und 64 Bit........... 23Geräte (IndraControl VP*)mit Windows 7 Ultimate 32und 64 Bit................................ 22Geräte (IndraControl VP*)mit Windows 10 IoT Enter-prise LTSB 64 Bit..................... 23Geräte (IndraControl VP*)mit Windows XP 32 Bit............ 23Geräte (IndraControlVR21*) mit Windows Em-bedded compact 7.................. 24

GeräteeigenschaftenSteuerungen mit Betriebs-system VxWorks 6.3................... 6

Geräteeigenschaften Freqenzumrich-ter EFC

FTP Server............................... 11Netzwerkinfrastrukturkomponen-ten........................................... 11Telnet-Server........................... 11TFTP Server............................. 11Weitere Hinweise..................... 11

Geräteeigenschaften IndraDriveFTP Server................................. 9Netzwerkinfrastrukturkomponen-ten............................................. 9Telnet Server............................. 9Weitere Hinweise....................... 9

Geräteeigenschaften mit Be-triebssystem VxWorks 6.3

Debug-Zugang............................ 6FTP-Server................................. 7Netzwerk-Infrastrukturkomponen-ten............................................. 7Telnet-Server............................. 6Weitere Hinweise....................... 7

Geräteeigenschaften mit Be-triebssystem VxWorks 6.9

Debug-Zugang............................ 7FTP-Server................................. 8Netzwerkinfrastrukturkomponen-ten............................................. 8SFTP-Server............................... 8SSH-Server................................ 8Telnet-Server............................. 8

Bosch Rexroth AGIndex


Geräteeigenschaften SercansDebug-Zugang.......................... 10SFTP-Server............................. 10SSH-Server.............................. 10

Geräteeigenschaften SLc EthernetGateway

FTP-Server............................... 10Netzwerkinfrastrukturkomponen-ten........................................... 10Telnet-Server........................... 10

Glossar............................................ 1

IICS.................................................. 1Internetquellen............................. 30IT-Security

Software.................................. 26IT-Security / Mögliche Maßnah-men............................................... 28

Einsatz von Firewalls............... 29Einsatz von innominatemGuard-VPN-Komponenten..... 29Konzept der Trennung............. 28Nutzung von ACLs.................... 29Servicemaßnahmen vonextern oder von Betriebs-fremden................................... 28

IT-Security / Netzwerkkonfigurati-on.................................................. 28IT-Security / Servicemaßnah-men............................................... 28IT-Security / Software

WebConnector, WebCompo-ser........................................... 26WinStudio................................ 27

KKonfiguration des Netzwerks........ 28Kritik............................................... 3Krypto-Trojaner............................. 21Kundenfeedback............................. 3

LLinks, weiterführende................... 30Literaturhinweise.......................... 30

MmGuard......................................... 29

PPortliste CML25, CML45,CML65.......................................... 12Portliste CML75, XM2*, VPx*

ab Firmware 14V18.................. 14bis einschließlich Firmware14V16...................................... 12

Portliste der GeräteIndraDrive (mit/ohne MLD).......... 16Portliste Gerät Frequenzum-richter EFC mit Multi EthernetPlatform(MEP).............................. 19Portliste Gerät PROFINET-Ga-teway SLC-0-GPNT........................ 18Portliste Gerät Sercans................ 18Portliste Gerät Sercos Gate-way SLC-3-GS3S........................... 17Portliste WebConnector............... 27Portliste WinStudio....................... 27Portlisten...................................... 11

QQuellen......................................... 30

RRADIUS........................................... 1Ransomware................................. 21

SSafeLogic compact

Geräteeigenschaften SLcEthernet Gateway.................... 10

Safety vs. IT-Security....................... 4Security-Leitfaden........................... 4

Abgrenzung von IT-Security zu Sa-fety............................................ 4Aufbau des Leitfadens............... 3Bekannte Schwachstellen.......... 4Einleitung................................... 2Empfehlungen.......................... 29Gerät (IndraControl VH21)mit Windows Embeddedcompact 7................................ 24Geräte (IndraControlVCH 05.1) mit Windows CE6.0........................................... 26



Geräte (IndraControlVCH 08.1) mit Windows CE5.0........................................... 25Geräte (IndraControl VCP*.2) mit Windows CE 5.0............ 25Geräte (IndraControl VE*)mit Windows 7 EmbeddedStandard 32 und 64 Bit........... 22Geräte (IndraControl VE*)mit Windows CE ..................... 25Geräte (IndraControl VE*)mit Windows Embeddedcompact 7................................ 25Geräte (IndraControl VE*)mit Windows XP embed-ded 32 Bit................................ 24Geräte (IndraControl VP*)mit Windows 7 EmbeddedStandard 32 und 64 Bit........... 23Geräte (IndraControl VP*)mit Windows 7 Ultimate 32und 64 Bit................................ 22Geräte (IndraControl VP*)mit Windows 10 IoT Enter-prise LTSB 64 Bit..................... 23Geräte (IndraControl VP*)mit Windows XP, Windows7, Win 10................................. 20Geräte (IndraControlVR21*) mit Windows Em-bedded compact 7.................. 24Geräte IndraControl VP*,VE*, VEP*, VCH*, VR21*........... 20Geräteeigenschaften............. 6, 7Geräteeigenschaften Freqenzum-richter EFC.............................. 11GeräteeigenschaftenIndraDrive.................................. 9GeräteeigenschaftenSercans.................................... 10IT-Grundschutz.......................... 4Literaturhinweise..................... 30Mögliche Maßnahmen........ 28, 29Portlisten................................. 11Quellen.................................... 30SafeLogic compact.................. 10Schlussbemerkung.................. 29Security-relevante Produktbe-schreibung................................. 4Software.................................. 26

Standard-Windows-Ports......... 22System Antrieb (IndraDrivemit und ohne MLD)................... 8Systeme MTX, XLC und MLC..... 5Übersicht Security-Unterstüt-zung........................................... 5Weiterführende Links.............. 30Zweck des Leitfadens................ 3

Standard-Windows-Ports.............. 22Steuerungen mit Betriebssys-tem ab VxWorks 6.9........................ 7System Antrieb

IndraDrive mit und ohne MLD... 8Systeme MTX, XLC und MLC

VxWorks..................................... 5

TTrennung der Netze...................... 28

VVPN-Komponenten........................ 29

WWebConnector Portliste............... 27Windows 7.................................... 20Windows XP.................................. 20Windows-Systeme......................... 20WinStudio..................................... 27



Bosch Rexroth AG


Notizen

Bosch Rexroth AG

Bosch Rexroth AGElectric Drives and ControlsPostfach 13 5797803 Lohr, DeutschlandBgm.-Dr.-Nebel-Str. 297816 Lohr, DeutschlandTel. +49 9352 18 0Fax +49 9352 18 8400www.boschrexroth.com/electrics

*R911342561*R911342561

DOK-IWORKS-SECURITY***-PR06-DE-P

http://www.boschrexroth.com/electrics

IndraControl Security-Leitfaden · IT-Security, das dem aktuellen Stand der Technik entspricht. Die...

Documents

Transcript of IndraControl Security-Leitfaden · IT-Security, das dem aktuellen Stand der Technik entspricht. Die...