Caution Diese Anleitung ermöglicht Ihnen eine Sicherheit Ihrer Anwendung zu gewährleisten. Verwenden Sie für darüber hinausgehende Anforderungen an die IT-Sicherheit den Secure Configuration Guide. Dieser demonstriert Ihnen eine Konfiguration, die konform der Beschleunigten Sicherheitszertifizierung des Bundesamts für Sicherheit in der Informationstechnik ist.

1. Vorgehen bei der Konfiguration

1.1. Router in Werkseinstellungen

In den Werkseinstellungen sind alle Funktionen und Dienste, die IT-Sicherheits-relevante Verbindungen nach außen öffnen können und für die Inbetriebnahme nicht erforderlich sind, deaktiviert.

Die Erstkonfiguration erfolgt über einen lokalen Konfigurations-Port am Router über einen PC mit Internet-Browser. Setzen Sie, wenn möglich, bereits konfigurierte Router auf Werkseinstellungen zurück (Configuration Guide), um einen definierten und sicheren Ausgangszustand für die Konfiguration zu erhalten.

Im Quick Installation Guide ist beschrieben, wie die erste Verbindung des Router mit dem Internet mit Hilfe des Schnellstart-Assistenten hergestellt wird.

Der Schnellstart-Assistent versetzt den Router in einen ersten Online-Zustand und nimmt dabei folgende Konfigurationen vor:

  • Einrichtung einer automatischen Uhrzeit-Synchronisierung bei jeder Herstellung einer Internet-Verbindung

  • Anlegen eines Benutzers für eine Authentifizierung über Benutzername und Passwort

  • Anlegen einer WAN-Verbindung (Internet); verschiedene Optionen je nach Router

  • Anlegen einer VPN-Verbindung (z. B. mit dem icom Connectivity Service, optional)

  • Vergabe einer statischen IP-Adresse im lokalen Netzwerk (Anlagennetzwerk)

  • Einrichten einer Verbindung mit dem icom Router Management

  • Vorkonfiguration von Firewall und NAT (Network Address Translation) für typischen abgehenden Datenverkehr

Überprüfen Sie bei der folgenden Konfiguration Ihrer Applikation sämtliche vom Schnellstart-Assistenten vorgenommenen Einstellungen und passen Sie diese ggf. Ihren Anforderungen bezüglich Funktionalität und Sicherheit an.

1.2. Sicherheitskonzept

Erstellen Sie das IT-Sicherheitskonzept für die geplante Applikation unbedingt vorab.

Konfigurieren Sie den Router Schritt für Schritt mit höchstmöglicher IT-Sicherheit für die geplante Applikation ausgehend von der Inbetriebnahme mit dem Schnellstart-Assistenten. Verwenden Sie dazu die vorliegende Anleitung zum Absichern des Routers.

1.3. Assistenten

Die im Router enthaltenen Assistenten sind eine Hilfestellung zur schnellen Erst-Inbetriebnahme von Geräten.

Die Assistenten finden sich im Menü HilfeAssistenten in der Benutzer-Schnittstelle des Routers und nehmen eine Reihe von Einstellungen vor, um das gewünschte Konfigurationsziel zu erreichen und informieren über sämtliche vorgenommenen Änderungen.

Überprüfen Sie bei der Verwendung von Assistenten die vorgenommenen Einstellungen hinsichtlich der IT-Sicherheit der Applikation noch einmal. Werden keine Assistenten verwendet, ermöglicht eine individuelle Konfiguration der einzelnen Funktionen ein gezieltes Zuschneiden auf die Applikation. Die Sicherheit Ihrer Applikation liegt dann vollständig in Ihren Händen.

Note Ab Firmware-Version 5.5 wird die neue Benutzer-Schnittstelle des Routers angezeigt. Dieses unterstützt noch nicht alle Konfigurationsoptionen, um einen Router gemäß folgenden Hinweisen zu konfigurieren.

2. Benutzer und Zugriff auf den Router

Wenn bereits ein Benutzer konfiguriert ist, ändern Sie das Passwort, wenn erforderlich.

  • Das Passwort muss ausreichend lang und darf nicht leicht zu erraten sein.

  • Siehe die allgemeinen Empfehlungen für sichere Passwörter.

  • Verwenden Sie bei mehreren Routern/Benutzern in einer Applikation individuelle Passwörter für jeden Router/Benutzer.

  • Sind weitere Benutzer erforderlich, legen Sie diese jetzt an und statten Sie sie ggf. mit eingeschränkten Rechten aus.

Beim Anlegen eines Benutzers über den Schnellstart-Assistenten und die Aufforderung beim Aktivieren eines Profils ohne vorherige Konfiguration einer Authentifizierung besteht die Möglichkeit einer Übernahme bzw. Erzeugung eines sicheren Passworts.

Der Zugriff auf den Router ist auf verschiedene Weisen möglich.

  • Beschränken Sie sich grundsätzlich darauf, nur die für die Applikation erforderlichen Zugriffsmöglichkeiten zu gewähren.

  • Gestalten Sie gleichzeitig diese Zugriffsmöglichkeiten entsprechend sicher (Verschlüsselung, Authentifizierung).

Folgende Möglichkeiten für Zugriff und Authentifizierung sind verfügbar:

Zugriff/Authentifizierung Benutzername/Passwort Zertifikat RADIUS

Grafische Benutzeroberfläche

check green

check green

check green

REST-Schnittstelle (REST API)

check green

minus

check green

CLI (command line)

check green

minus

check green

Remote Management

minus

check green

minus

Dieser Configuration Guide beschreibt die Konfiguration der verschiedenen Authentifizierungsmethoden.

2.1. Grafische Benutzeroberfläche

In den Werkseinstellungen ist ein Zugriff auf die grafische Benutzeroberfläche (Web-Interface) mit einer Authentifizierung über Benutzername/Passwort nur über HTTPS möglich. Wurde der Zugriff auf die Benutzeroberfläche über HTTP aktiviert, deaktivieren Sie diesen wenn möglich.

Zusätzlich zur Authentifizierung über Benutzername/Passwort ist eine Authentifizierung mit einem Client-Zertifikat und/oder einem RADIUS-Server möglich. Wenn eine Authentifizierung mit einem Client-Zertifikat oder einem RADIUS-Server konfiguriert ist, kann durch Löschen des Passworts für jeden Benutzer die Authentifizierung über Benutzername/Passwort unterbunden werden.

Zur Authentifizierung mit einem Client-Zertifikat muss eine Zertifikatsstruktur vorhanden sein bzw. erstellt werden. Diese ist über Benutzer- bzw. Client-Zertifikate möglich und in der Online-Hilfe im Abschnitt Gesicherter Zugriff auf die Benutzerschnittstelle des Routers detailliert beschrieben.

Zur Authentifizierung über einen RADIUS-Server muss der RADIUS-Server im Menü cog outline AdministrationBenutzer im Abschnitt Radius konfiguriert werden.

Der Zugriff auf die Benutzeroberfläche kann auch mit einem Session-Timeout zusätzlich abgesichert werden. In den Werkseinstellungen erfolgt eine automatische Beendigung einer Sitzung nach 15 Minuten Inaktivität.

2.2. REST-Schnittstelle (REST API)

In den Werkseinstellungen ist der Zugriff auf die REST-Schnittstelle über HTTPS aktiviert. Ein Zugriff über HTTP wird nicht empfohlen. Die Authentifizierung erfolgt über Benutzername/Passwort.

Die Aktivierung der REST-Schnittstelle für einen Zugriff über HTTPS ist in diesem Configuration Guide beschrieben.

2.3. CLI (Kommandozeile)

In den Werkseinstellungen ist die CLI deaktiviert. Ist ein Zugriff erforderlich, ermöglichen sie diesen nur über SSH.

Wenn der Zugriff aktiviert wird, ist dieser mit einer Authentifizierung über Benutzername/Passwort möglich. Zusätzlich dazu ist eine Authentifizierung mit einem RADIUS-Server möglich. Wenn eine Authentifizierung mit Zertifikaten oder einem RADIUS-Server konfiguriert ist, kann durch Löschen des Passworts für jeden Benutzer die Authentifizierung über Benutzername/Passwort unterbunden werden. Beachten Sie dabei, dass dies auch die Authentifizierung über Benutzername/Passwort für die grafische Benutzeroberfläche unterbindet.

3. NTP-Synchronisierung einrichten

Die regelmäßige Synchronisierung von Datum und Uhrzeit im Router mit einem NTP-Server ist für viele IT-Sicherheits-Funktionen wie z.B. befristete Zertifikate unabdingbar. Dazu steht eine bestimmte Aktion im Router zur Verfügung, die zeitgesteuert oder durch verschiedene Ereignisse regelmäßig ausgelöst werden kann. In den Werkseinstellungen ist eine NTP-Synchronisierung nicht konfiguriert. Berücksichtigen Sie dabei auch notwendige Einstellungen/Überprüfungen von (Netz)-Filterregeln. Bei einer Inbetriebnahme mit dem Schnellstart-Assistenten wird eine NTP-Synchronisierung konfiguriert. Wird der Schnellstart-Assistent nicht verwendet, richten Sie die NTP-Synchronisierung manuell ein.

4. Automatische Updates einrichten

Halten Sie die Firmware immer auf dem aktuellsten Stand, um zu verhindern, dass der Router noch IT-Sicherheitslücken hat, die bereits behoben wurden.

Mit dem Router Management bietet Ihnen INSYS icom eine einfache Lösung zur Verwaltung und Wartung Ihrer Router an. Setzen Sie damit die Aktualisierung der Geräte-Firmware, den Rollout von Edge Computing-Anwendungen oder die inkrementelle Änderung von Gerätekonfigurationen und die Bereitstellung von Zertifikaten einfach und ressourcenschonend um.

Die Firmware des Routers kann auch mit Hilfe der Auto-Update-Funktion automatisch aktualisiert werden. Dazu können Sie eigene Update-Server betreiben. Außerdem müssen die automatischen Updates durch eine bestimmte Aktion angestoßen werden, die zeitgesteuert oder durch verschiedene Ereignisse regelmäßig ausgelöst werden kann.

5. DHCP-Server deaktivieren

In den Werkseinstellungen ist der DHCP-Server für IPv4 aktiviert. Wenn eine IP-Adressvergabe durch den Router nicht erforderlich ist, deaktivieren Sie den DHCP-Server.

6. DNS-Relay deaktivieren

In den Werkseinstellungen ist das DNS-Relay aktiviert. Deaktivieren Sie das DNS-Relay, wenn es nicht erforderlich ist, DNS-Anfragen aus dem lokalen Netz ins WAN weiterzuleiten, d.h. wenn keine externen Geräte oder auch Container auf dem Router DNS-Anfragen stellen. DNS-Anfragen des Routers sind auch bei deaktiviertem DNS-Relay möglich.

7. Nur erforderliche Dienste aktivieren

Aktivieren Sie nur die Dienste im Router, die für den Betrieb der Applikation unbedingt erforderlich sind. Konfigurieren Sie dabei die Dienste so sicher wie möglich, wie z.B. HTTPS statt HTTP für die REST-Schnittstelle oder für SNMP nur v3 verwenden. Achten Sie darauf, dass die aktivierten Dienste zusätzliche Filterregeln erfordern können.

8. IP-Filter (Firewall) aktivieren

Aktivieren Sie für eine sichere Applikation zusätzlich zu den IPv6-Filtern auch die IPv4-Filter. Dann müssen für alle erlaubten Kommunikationsverbindungen entsprechende Filterregeln festgelegt werden. Überprüfen Sie weiterhin sämtliche bereits vorhandenen Filterregeln auf ihre Notwendigkeit und schränken Sie diese ggf. weiter ein oder deaktivieren Sie diese. Legen Sie für den Betrieb der Applikation erforderliche Filterregeln neu an.

9. SLAAC deaktivieren

SLAAC (StateLess Address AutoConfiguration) dient in lokalen IPv6-Netzwerken zur automatischen Konfiguration von IPv6-Adressen mit einem durch Router Advertisement verkündetem Adress-Prefix. Wird kein IPv6 oder kein Router Advertisement in einem IPv6-Netzwerk verwendet, deaktivieren Sie SLAAC für dieses lokale Netzwerk.

10. MAC-Filter aktivieren

Aktivieren Sie die MAC-Filter, um die Kommunikation auf bestimmte Geräte einzuschränken. Für andere Geräte ist dann keine Kommunikation mit dem Router möglich.

11. Netzwerke segmentieren

Teilen Sie Netzwerke in Segmente mit unterschiedlichen Sicherheitsanforderungen in mehrere lokale IP-Netze am Switch des Routers auf. Schotten Sie diese voneinander ab und konfigurieren Sie präzise Kommunikationsregeln (z.B. Firewall), um den Datenaustausch zwischen diesen Netzen auf das notwendigste zu beschränken.

12. Meldungen für IT-Sicherheits-relevante Ereignisse anlegen

Legen Sie entsprechende Meldungen an, die dann im Rahmen einer Aktion beim Eintreten des Ereignisses versandt werden, um über IT-Sicherheits-relevante Ereignisse am Router, wie z.B. Anmeldeversuche oder An- oder Abstecken von Ethernet-Kabeln, informiert zu werden.

13. Aktuelle und starke Verschlüsselungsverfahren verwenden

Verschlüsselungsverfahren unterliegen technischen Entwicklungen. Verschlüsselungsverfahren, die einmal als sicher galten, können mittlerweile nicht mehr ausreichend sicher sein. Überprüfen Sie die von Ihnen verwendeten Verschlüsselungsverfahren regelmäßig auf ihre Sicherheit und ersetzen Sie diese ggf. durch aktuellere Verschlüsselungsverfahren. Verwenden sie ausreichend lange Schlüssel.

14. Zertifikatsstruktur aktuell halten

Wenn Ihre Sicherheitsverfahren auf einer Zertifikatsstruktur basieren, halten Sie diese immer aktuell. Tauschen Sie Ihre Zertifikate regelmäßig. Konfigurieren Sie den Gültigkeitszeitraum nicht zu lange. Machen Sie von der Verwendung einer Zertifikatssperrliste (Certificate Revocation List) Gebrauch, um ungültig gewordene Zertifikate zeitnah zurückzurufen.

Das Router Management von INSYS icom bietet Ihnen einfache Möglichkeiten zum regelmäßigen Ausrollen aktualisierter Zertifikate und Zertifikatssperrlisten auf Ihre Router.

15. Sichere Verbindungen nutzen

Router von INSYS icom verfügen über eine Vielzahl von Möglichkeiten, Verbindungen sicher zu gestalten, wie OpenVPN oder IPsec. Verwenden Sie die Configuration Guides für die Konfiguration sicherer Tunnel-Verbindungen.

Verwenden Sie bei sicheren Verbindungen zur Erhöhung der Sicherheit eine Authentifizierung mit Hilfe einer Zertifikatsstruktur statt mit Pre-shared Keys oder Benutzername/Kennwort-Kombinationen.

Darüber hinaus bietet INSYS icom mit der icom Connectivity Suite einen eigenen VPN-Service an, der Ihnen eine einfache und sichere Vernetzung Ihrer Geräte ermöglicht - auch in China. Auch hierzu finden Sie eine Reihe von Configuration Guides, die Ihnen bei der Konfiguration helfen.

16. Anforderungen an den Installationsort

Stellen Sie den Router an einem zutrittsgeschützten Ort auf, z.B. ein abschließbarer Raum mit überwachtem Zugang von verantwortlichen Administratoren. Für den Installationsort gelten folgende Anforderungen:

  • Physischer Schutz vor unautorisiertem Zugriff

  • Installation in einem verschlossenem Schaltschrank, ggf. zusätzliche Benachrichtigung durch Türkontakt

  • Physische Zutrittsüberwachung, z. B. durch eine Kamera