1. Individuelle Authentifizierung erforderlich

In den Werkseinstellungen ist der Zugriff auf den Router ohne Authentifizierung möglich. Es ist jedoch nicht möglich, den Router ohne die Konfiguration einer Authentifizierung in Betrieb zu nehmen. Das Aktivieren eines Profils (einer Konfiguration) ist erst möglich, wenn eine der folgenden Bedingungen erfüllt ist:

  • Ein Benutzer ist angelegt

  • Die Authentifizierung am HTTPS-Web-Server mit Client-Zertifikaten ist aktiviert und ein CA-Zertifikat ist dazu hinterlegt

  • Die Authentifizierung an einem RADIUS-Server ist aktiviert

Folgende Möglichkeiten für Zugriff und Authentifizierung sind verfügbar:

Zugriff\Authentifizierung Benutzername/Passwort Zertifikate RADIUS

Web-Interface

REST-Schnittstelle (REST API)

CLI (Kommandozeile)

Remote Management

2. Benutzerverwaltung

In den Werkseinstellungen ist kein Benutzer angelegt. Es können mehrere Benutzer mit vollen (Lesen/Schreiben) oder eingeschränkten Rechten (Lesen, Status) angelegt werden. Zusätzlich ist es möglich, die Benutzerverwaltung auf einem RADIUS-Server zu realisieren. Diese Benutzer haben dann entsprechenden Zugriff auf Web-Interface, REST-Schnittstelle und Kommandozeile (CLI).

3. Geschützter Zugriff auf den Router

Der Zugriff auf den Router kann über folgende Schnittstellen erfolgen:

  • Web-Interface
    In den Werkseinstellungen ist nur der Zugriff über HTTPS (verschlüsselt) möglich. Der Zugriff über HTTP (nicht verschlüsselt, nicht empfehlenswert) ist deaktiviert. Eine Auto-Logout-Funktion sorgt dafür, dass eine automatische Abmeldung bei Inaktivität erfolgt (Werkseinstellung 15 Minuten).

  • REST-Schnittstelle
    In den Werkseinstellungen ist kein Zugriff auf die REST-Schnittstelle möglich. Durch explizite Aktivierung ist ein Zugriff über HTTP (nicht verschlüsselt, nicht empfehlenswert) und HTTPS (verschlüsselt) möglich.

  • Kommandozeile (CLI)
    In den Werkseinstellungen ist kein Zugriff auf die Kommandozeile möglich. Der Zugriff über Telnet (nicht verschlüsselt, nicht empfehlenswert) und SSH (verschlüsselt) muss explizit aktiviert werden.

4. Schutz vor Brute Force-Angriffen

Nach einer fehlgeschlagenen Anmeldung am Web-Interface des Routers wird der nächste Anmeldeversuch um drei Sekunden verzögert.

5. Automatische Aktualisierung von Firmware und Konfiguration

Das automatische Update ist in den Werkseinstellungen nicht aktiviert. Optional kann der Benutzer den Router über einen Auto-Update-Server mit aktualisierter Firmware und neuen Konfigurationen versorgen und so bei akuten IT-Sicherheitsgefahren schnell reagieren. Es wird empfohlen, die Firmware mit dieser Funktion immer auf dem aktuellen Stand zu halten. Mit dem Router Management bietet Ihnen INSYS icom eine einfache Lösung zur Aktualisierung der Firmware Ihrer Router an.

6. Manipulationssichere Firmware

Der Router prüft hochgeladene Firmware-Dateien und installiert nur von INSYS signierte Firmware.

7. Segmentierung in mehrere lokale IP-Netze

Der Router ermöglicht die Einrichtung verschiedener lokaler Netzwerke, die voneinander abgeschottet oder mit präzisen Kommunikationsregeln versehen sind, um beispielsweise Fernzugriffszugänge vom Applikationsnetzwerk abzutrennen.

8. Redundante WAN-Verbindungen

Der Router ermöglicht die Einrichtung redundanter WAN-Verbindungen mit Hilfe von WAN-Ketten. Es können mehrere WAN-Ketten mit unterschiedlichen WAN-Verbindungen (Ethernet, DSL, Mobilfunk) angelegt werden, deren WAN-Verbindung kontinuierlich geprüft wird. Bei Abbruch der Verbindung kann dann automatisch eine andere WAN-Verbindung aufgebaut werden, wodurch eine erneute Verfügbarkeit des Routers gewährleistet ist.

9. Virtuelle Private Netzwerke (VPNs)

Der Router ermöglich die Einrichtung virtueller privater Netzwerke, sogenannter VPNs. Dabei handelt es sich um verschlüsselte Verbindungen über Datennetze. Ziel ist die abhör- und manipulationssichere Kommunikation zwischen VPN-Partnern aus verschiedenen lokalen Netzen (LANs) über unsichere oder öffentliche Netzwerke (Internet). Sie nutzen Verschlüsselung und Authentisierung zum Verbindungsaufbau und übertragen die Daten verschlüsselt. Durch Rechtevergabe entstehen geschlossene Benutzergruppen. VPN-Verbindungen sind über OpenVPN, IPsec, GRE und DMVPN möglich. Informationen zu sicheren VPN-Verbindungen finden sich im IT-Grundschutz-Kompendium des BSI.

INSYS icom bietet mit der icom Connectivity Suite einen eigenen VPN-Service an, der Ihnen eine einfache und sichere Vernetzung Ihrer Geräte ermöglicht - auch in China.

10. IP-Filter (Firewall)

IP-Filter ermöglichen das Blockieren von unerwünschter Datenkommunikation. Dies folgt dem White List-Prinzip, d.h. alle Verbindungen werden geblockt, außer sie werden hier explizit erlaubt. Um Kommunikation zu ermöglichen müssen erlaubte Datenpakete anhand von Filterregeln explizit angegeben werden. Die Ausnahmeregeln können sehr detailliert spezifiziert werden und nur bestimmte Datenpakete erlauben, aufgeschlüsselt nach Paket-Richtung, IP-Version, Protokoll, eingehende/ausgehende Schnittstelle, Absender-IP-Adresse, Absender-Port, Ziel-IP-Adresse und Ziel-Port. In den Werkseinstellungen sind die IP-Filter für IPv4 deaktiviert und für IPv6 aktiviert. Für einen sicheren Betrieb müssen auch die IPv4-Filter aktiviert werden. Dann blockieren die IP-Filter grundsätzlich alle Datenpakete, die nicht explizit erlaubt sind.

11. MAC-Filter

In den Werkseinstellungen sind die MAC-Filter deaktiviert. Aktivierte MAC-Filter blockieren die IP-Verbindungen mit anderen Geräten im Ethernet nach dem White List-Prinzip, d.h. alle Verbindungen werden geblockt, außer sie werden hier explizit erlaubt. MAC-Filter-Regeln gelten sowohl für IPv4- als auch IPv6-Traffic. Um Kommunikation zu ermöglichen muss die MAC-Adresse des Geräts, mit dem eine Kommunikation erfolgen darf, angegeben werden. Dabei ist zu berücksichtigen, dass die eigentlich eindeutige MAC-Adresse eines Geräts mit (je nach Gerät) wenig Aufwand auch geändert werden kann und somit auch ein anderes Gerät die MAC-Filter durchdringen kann, wenn diesem die freigegebene MAC-Adresse zugewiesen wird.

12. Meldungsversand bei bestimmten Ereignissen

Zur frühzeitigen Erkennung möglicher IT-Sicherheitsrisiken können Meldungen per E-Mail, SMS, SNMP-Trap oder MCIP versendet werden, wenn ein bestimmtes (IT-Sicherheits-relevantes) Ereignis eintritt. Beispiele für so ein Ereignis sind unter anderem:

  • Konfiguration wurde geändert: Die Konfiguration wurde verändert oder aktiviert.

  • Link eines Ethernet-Ports hat sich geändert: Der Link-Zustand hat sich geändert, d.h. ein Gerät wurde abgesteckt (oder ausgeschaltet) oder ein Fremdgerät wurde angesteckt.

  • System wurde neu gestartet: Als Neustart wird sowohl ein Hardware-Reset (z.B. Spannungsausfall) als auch ein Software-Reset (z.B. Reset über Web-Interface) gewertet.

  • Anmeldungsversuch erkannt: Ein erfolgreicher oder fehlgeschlagene Anmeldeversuch am Web-Interface oder am CLI wurde erkannt.

Eine vollständige Liste finden sie unter anderem in der Online-Hilfe des Routers im Menü HilfeDokumentation.

13. Router-Funktionen in den Werkseinstellungen

Hier sind noch einmal alle IT-Sicherheits-relevanten Funktionen des Routers mit ihren Einstellungen im Auslieferungszustand (Werkseinstellungen) aufgeführt.

13.1. In den Werkseinstellungen aktivierte Funktionen

Funktion Port

Zugriff auf Web-Interface über HTTPS

443

Automatisches Session-Timeout nach 15 Minuten

DNS-Relay

53

DHCP-Server für IPv4 in IP-Netz 1

67, 68

IP-Filter (Firewall) für IPv6

SLAAC

Netzwerksegmentierung - Port 1: Konfigurationsnetz; die anderen Ports sind je nach Router-Typ verschiedenen nicht aktivierten Netzen zugeordnet

13.2. In den Werkseinstellungen deaktivierte Funktionen

Funktion Port

Authentifizierung über Benutzer

Authentifizierung über RADIUS-Server

Zugriff auf Web-Interface über HTTP

80

Client-Authentifizierung über Zertifikat

Zugriff auf REST-Schnittstelle über HTTPS

9091

Zugriff auf REST-Schnittstelle über HTTP

9090

Zugriff auf Kommandozeile (CLI) über Telnet

23

Zugriff auf Kommandozeile (CLI) über SSH

22

Server für Auto-Update

443

Dynamisches DNS

53

VLAN

DHCP-Client

67, 68

DHCP-Server für IPv4 in IP-Netz 2-5 sowie für IPv6

67, 68

DHCP-Relay

67, 68

IPv6 Router Advertiser

NTP-Server

123

MCIP-Server

SNMP-Agent

RSTP

IP-Filter (Firewall) für IPv4

MAC-Filter

Dynamisches Routing

VPN-Verbindung

SCEP

Die Angaben erheben keinen Anspruch auf Vollständigkeit und Korrektheit, da die Funktionen gelegentlichen Änderungen unterworfen sind.