Sicherheitsfunktionen des Routers

In den Werkseinstellungen ist der Zugriff auf den Router ohne Authentifizierung möglich. Es ist jedoch nicht möglich, den Router ohne die Konfiguration einer Authentifizierung in Betrieb zu nehmen. Das Aktivieren eines Profils (einer Konfiguration) ist erst möglich, wenn eine der folgenden Bedingungen erfüllt ist:

Folgende Möglichkeiten für Zugriff und Authentifizierung sind verfügbar:

In den Werkseinstellungen ist kein Benutzer angelegt. Es können mehrere Benutzer mit vollen (Lesen/Schreiben) oder eingeschränkten Rechten (Lesen, Status) angelegt werden. Zusätzlich ist es möglich, die Benutzerverwaltung auf einem RADIUS-Server zu realisieren. Diese Benutzer haben dann entsprechenden Zugriff auf Web-Interface, REST-Schnittstelle und Kommandozeile (CLI).

Der Zugriff auf den Router kann über folgende Schnittstellen erfolgen:

Nach einer fehlgeschlagenen Anmeldung am Web-Interface des Routers wird der nächste Anmeldeversuch um drei Sekunden verzögert.

Das automatische Update ist in den Werkseinstellungen nicht aktiviert. Optional kann der Benutzer den Router über einen Auto-Update-Server mit aktualisierter Firmware und neuen Konfigurationen versorgen und so bei akuten IT-Sicherheitsgefahren schnell reagieren. Es wird empfohlen, die Firmware mit dieser Funktion immer auf dem aktuellen Stand zu halten. Mit dem Router Management bietet Ihnen INSYS icom eine einfache Lösung zur Aktualisierung der Firmware Ihrer Router an.

Der Router prüft hochgeladene Firmware-Dateien und installiert nur von INSYS signierte Firmware. Dieser Configuration Guide demonstriert, wie Sie Ihre Update-Pakete signieren und Verschlüsseln, um zu verhindern, dass kompromittierte Pakete auf den Router geladen werden.

Der Router ermöglicht die Einrichtung verschiedener lokaler Netzwerke, die voneinander abgeschottet oder mit präzisen Kommunikationsregeln versehen sind, um beispielsweise Fernzugriffszugänge vom Applikationsnetzwerk abzutrennen.

Der Router ermöglicht die Einrichtung redundanter WAN-Verbindungen mit Hilfe von WAN-Ketten. Es können mehrere WAN-Ketten mit unterschiedlichen WAN-Verbindungen (Ethernet, DSL, Mobilfunk) angelegt werden, deren WAN-Verbindung kontinuierlich geprüft wird. Bei Abbruch der Verbindung kann dann automatisch eine andere WAN-Verbindung aufgebaut werden, wodurch eine erneute Verfügbarkeit des Routers gewährleistet ist.

Der Router ermöglicht die Einrichtung virtueller privater Netzwerke, sogenannter VPNs. Dabei handelt es sich um verschlüsselte Verbindungen über Datennetze. Ziel ist die abhör- und manipulationssichere Kommunikation zwischen VPN-Partnern aus verschiedenen lokalen Netzen (LANs) über unsichere oder öffentliche Netzwerke (Internet). Sie nutzen Verschlüsselung und Authentisierung zum Verbindungsaufbau und übertragen die Daten verschlüsselt. Durch Rechtevergabe entstehen geschlossene Benutzergruppen. VPN-Verbindungen sind über OpenVPN, IPsec, GRE und DMVPN möglich. Informationen zu sicheren VPN-Verbindungen finden sich im IT-Grundschutz-Kompendium des BSI.

INSYS icom bietet mit der icom Connectivity Suite einen eigenen VPN-Service an, der Ihnen eine einfache und sichere Vernetzung Ihrer Geräte ermöglicht - auch in China.

Der Router ermöglicht die individuelle Auswahl von CA-Zertifikaten zur Überprüfung des Zertifikats der Gegenstelle für:

Dabei kann unter folgenden Optionen für die vertrauenswürdigen CA-Zertifikate gewählt werden:

IP-Filter ermöglichen das Blockieren von unerwünschter Datenkommunikation. Dies folgt dem White List-Prinzip, d.h. alle Verbindungen werden geblockt, außer sie werden hier explizit erlaubt. Um Kommunikation zu ermöglichen müssen erlaubte Datenpakete anhand von Filterregeln explizit angegeben werden. Die Ausnahmeregeln können sehr detailliert spezifiziert werden und nur bestimmte Datenpakete erlauben, aufgeschlüsselt nach Paket-Richtung, IP-Version, Protokoll, eingehende/ausgehende Schnittstelle, Absender-IP-Adresse, Absender-Port, Ziel-IP-Adresse und Ziel-Port. In den Werkseinstellungen sind die IP-Filter für IPv4 deaktiviert und für IPv6 aktiviert. Für einen sicheren Betrieb müssen auch die IPv4-Filter aktiviert werden. Dann blockieren die IP-Filter grundsätzlich alle Datenpakete, die nicht explizit erlaubt sind.

In den Werkseinstellungen sind die MAC-Filter deaktiviert. Aktivierte MAC-Filter blockieren die IP-Verbindungen mit anderen Geräten im Ethernet nach dem White List-Prinzip, d.h. alle Verbindungen werden geblockt, außer sie werden hier explizit erlaubt. MAC-Filter-Regeln gelten sowohl für IPv4- als auch IPv6-Traffic. Um Kommunikation zu ermöglichen muss die MAC-Adresse des Geräts, mit dem eine Kommunikation erfolgen darf, angegeben werden. Dabei ist zu berücksichtigen, dass die eigentlich eindeutige MAC-Adresse eines Geräts mit (je nach Gerät) wenig Aufwand auch geändert werden kann und somit auch ein anderes Gerät die MAC-Filter durchdringen kann, wenn diesem die freigegebene MAC-Adresse zugewiesen wird.

Zur frühzeitigen Erkennung möglicher IT-Sicherheitsrisiken können Meldungen per E-Mail, SMS, SNMP-Trap oder MCIP versendet werden, wenn ein bestimmtes (IT-Sicherheits-relevantes) Ereignis eintritt. Beispiele für so ein Ereignis sind unter anderem:

Der Router protokolliert sämtliche Ereignisse im Zusammenhang mit seinem Betrieb. Für eine regelmäßige externe Auswertung und Überwachung auf sicherheitsrelevante Ereignisse können diese auch an einen syslog-Server übertragen werden.

Der volatile Profilmodus ermöglicht, dass ein Router nach einem Neustart immer in einem definierten Grundzustand in Betrieb geht und seine spezifische Konfiguration über einen Update-Server oder ein Router-Management erhält. In diesem Modus gehen mit einem Neustart des Routers sämtliche Änderungen an der Konfiguration (einschließlich Profile und ASCII-Konfigurationsdateien) verloren und der Router startet wieder in dem Zustand, der zum Zeitpunkt des Wechsels in den volatilen Modus vorhanden war. Das bedeutet, dass bei entsprechender Konfiguration sämtliches kryptographische Material verloren geht, wenn der Router vom Strom getrennt wird, da es sich nur im flüchtigen Speicher befindet. Kryptographische Geheimnisse werden dann nur im Betrieb vom Server auf den Router geladen. Es befinden sich nur Geheimnisse für Bootstrap auf dem Gerät.

Die Zertifikatsverwaltung ist eine zentrale Stelle zur Verwaltung der verschiedenen Zertifikate und Schlüssel, die zur Authentifizierung oder Verschlüsselung von Verbindungen verwendet werden. Sie ermöglicht die regelmäßige Aktualisierung von Zertifikaten und Schlüsseln und die Absicherung der Zertifikatsstruktur durch CRL-Listen (Zertifikatssperrlisten).

EST (Enrolment over Secure Transport) ermöglicht die einfache und skalierbare Ausrollung und Erneuerung von Zertifikaten und den Abruf von CA-Zertifikaten und Zertifikatssperrlisten (CRLs) in größeren Netzwerk-Umgebungen mit PKI (Public-Key-Infrastruktur). Dabei werden die erforderlichen Zertifikate und Zertifikatssperrlisten automatisch bezogen und erneuert. Der notwendige private Schlüssel wird vom Gerät selbst erzeugt und verbleibt auf diesem.

Die sichere Außerbetriebnahme ermöglicht das Löschen sämtlicher auf dem Gerät befindlicher Daten, nicht nur der Zuordnungstabelle wie beim Zurücksetzen auf Werkseinstellungen. Damit wird auch die komplette Firmware vom Router gelöscht. Es verbleibt lediglich ein rudimentäres Rettungssystem auf dem Router, das über die Adresse http://192.68.1.1 zu erreichen ist, und eine Wiederherstellung des Routers ermöglicht.

Hier sind noch einmal alle IT-Sicherheits-relevanten Funktionen des Routers mit ihren Einstellungen im Auslieferungszustand (Werkseinstellungen) aufgeführt.