Dieses Dokument zeigt die erforderlichen Schritte, um einen Router von INSYS icom so zu konfigurieren, dass er konform der Beschleunigten Sicherheitszertifizierung des Bundesamts für Sicherheit in der Informationstechnik ist.

Zurück zur INSYS docs-Übersicht

Zurück zu IT-Sicherheit - Übersicht

1. Router vorbereiten

Für die Konfiguration muss der Router an eine Stromquelle angeschlossen, seine Internet-Verbindung ermöglicht und mit dem Konfigurations-PC verbunden werden. Danach haben Sie Zugriff auf das Web-Interface des Routers und können mit der sicheren Konfiguration beginnen. Laden Sie das Installations- und Benutzerhandbuch für Ihren Router herunter und informieren Sie sich gründlich über die Technischen Daten, Anschlusswerte und Anschlüsse des Routers.

  1. Verbinden Sie den Router mit der Stromversorgung (12 - 24 V DC).

  2. Verbinden Sie den Router mit dem Netzwerk verbinden, mit dem die Internet-Verbindung hergestellt wird.

    • Mobilfunk: Setzen sie die SIM-Karte in den Slot SIM 1 ein und schließen Sie die Mobilfunkantenne an den Antennenanschluss LTE 1 an.

    • Ethernet: Schließen Sie die Ethernet-Verbindung an den Netzwerk-Port des Routers an (MRX/MRO: ETH 5, ECR/SCR: ETH 2).

  3. Verbinden Sie den Router mit dem Konfigurations-PC über die Schnittstelle ETH 1.

Note Am Konfigurations-PC muss ein DHCP-Client aktiv sein. Aktivieren Sie ansonsten den DHCP-Client oder stellen Sie eine statische IP-Adresse im Netzwerkbereich 192.168.1.0/24 ein (nicht die Standardadresse des Routers 192.168.1.1!).

  1. Rufen Sie das Web-Interface des Routers mit einem Browser auf: https://192.168.1.1/ui/index.html [1]

Stellen Sie vor der Konfiguration folgendes sicher:

  • Um Sicherheitslücken auszuschließen, muss der Router auf Werkseinstellungen zurückgesetzt sein (im Menü AdministrationReset im Abschnitt Gerät zurücksetzen alle Optionen markieren und zurücksetzen).

  • Die Beschleunigte Sicherheitszertifizierung des Bundesamts für Sicherheit in der Informationstechnik basiert auf der Router-Firmware 6.1 (siehe StatusDashboard). Aktualisieren Sie den Router auf die neueste zertifizierte Version der Firmware (verfügbar unter Download, für manuelle Aktualisierung, siehe _Administration → Firmware).

Für einen sicheren Betrieb des Routers sind folgende Konfigurationsschritte erforderlich:

  • Authentifizierung

  • Internet-Verbindung

  • Netzwerkverbindung

  • Systemzeit

Ein Teil dieser und darüberhinausgehende Konfigurationen können durch den Schnellstart-Assistenten bequem und schnell erledigt werden. Dieser führt jedoch Konfigurationen im Hintergrund aus, die aber vielleicht das geforderte Sicherheitsniveau Ihrer Anwendung beeinträchtigen. In diesem Fall wird eine manuelle Konfiguration empfohlen.

2. Authentifizierung konfigurieren

Um den Zugriff auf den Router abzusichern, ist es notwendig, eine sichere Authentifizierung zu verwenden.

  1. Klicken sie auf dem Startbildschirm unter cog Manuelle Konfiguration auf Zur manuellen Konfiguration.

  2. Klicken Sie im Menü cog AdministrationBenutzer auf pencil in der leeren Zeile der Benutzertabelle.

  3. Geben Sie den gewünschten Benutzername ein.

  4. Geben Sie ein sicheres Passwort ein (siehe Hinweis unten).

  5. Wählen Sie die Gruppe Lesen/Schreiben.

  6. Klicken sie auf   SPEICHERN  .

Note Die Sicherheit hängt von der Komplexität des verwendeten Passworts ab. Verwenden Sie das vom Router vorgeschlagene Passwort oder
ein ausreichend langes und nicht leicht zu erratendes Passwort
unter Berücksichtigung der allgemeinen Empfehlungen für sichere Passwörter
Verwenden Sie bei mehreren Routern/Benutzern in einer Anwendung individuelle Passwörter für jeden Router/Benutzer.
Beschränken Sie bei mehreren Benutzern die Benutzer auf die erforderlichen Rechte mit Hilfe der Benutzergruppen (diese Schutzmaßnahme wurde nicht im Rahmen der beschleunigten Sicherheitszertifizierung des Bundesamts für Sicherheit in der Informationstechnik überprüft).

3. Internet-/WAN-Verbindung konfigurieren

Je nach Router/Anwendung erfolgt die Internet-/WAN-Verbindung über Mobilfunk, Ethernet, WLAN, DSL oder Glasfaser.

3.1. Verbindung über Mobilfunk

  1. Klicken Sie im Menü NetzwerkInterfaces im Abschnitt LTE auf pencil in der Zeile des LTE-Modems (SIM-Karten-Slot), das Sie für die Verbindung verwenden.

  2. Geben Sie die erforderlichen Zugangsdaten (ggf. PIN, Benutzername, Passwort und Access Point Name) ein (manche Parameter sind nur in der erweiterten Ansicht zugänglich).

  3. Klicken sie auf   SPEICHERN  .

3.2. Verbindung über Ethernet

  1. Klicken Sie im Menü NetzwerkInterfaces im Abschnitt IP-Netzwerke auf pencil in der Zeile des IP-Netzwerks net3.

  2. Konfigurieren Sie die Internet-Verbindung über Ethernet:

    • Beschreibung: WAN

    • Betriebsart: WAN - Start nur in WAN-Kette

  3. Klicken Sie auf plus im Abschnitt Statische IP-Adressen und weisen Sie dem Router eine Adresse in dem für die Internet-/WAN-Verbindung verwendeten Netzwerk zu.

  4. Klicken sie auf   SPEICHERN  .

Note Wenn Sie dem Router keine statische IP-Adresse zuweisen können, aktivieren sie die Option DHCPv4-Client starten.

4. WAN-Kette für den Aufbau der Internet-/WAN-Verbindung konfigurieren

  1. Fügen Sie im Menü NetzwerkWAN / Internet eine neue WAN-Kette hinzu (plus).

  2. Tragen Sie als Beschreibung Internet connection ein.

  3. Klicken Sie im Abschnitt Interfaces in WAN-Kette auf plus und fügen Sie ein Interface der WAN-Kette hinzu:

    • Interface: Wählen Sie die oben konfigurierte Schnittstelle, über welche die Internet-Verbindung aufgebaut werden soll

    • Art des Verbindungschecks: keine [2]

  4. Klicken sie auf   SPEICHERN  .

5. Default-Route für die Internet-/WAN-Verbindung konfigurieren

  1. Fügen Sie im Menü NetzwerkRouting im Abschnitt Statische Routen ein neue Route hinzu (plus) und konfigurieren Sie diese:

    • Beschreibung: Default route

    • Anlegen nach Start von: Wählen Sie die oben konfigurierte Schnittstelle, über welche die Internet-Verbindung aufgebaut werden soll

    • Art der Route: Default-Route

    • Gateway: Wählen Sie dynamisch erhaltene IP-Adresse verwenden oder definieren sie ein anderes Default-Gateway

  2. Klicken sie auf   SPEICHERN  .

6. NAT-Regel für die Internet-/WAN-Verbindung konfigurieren

  1. Fügen Sie im Menü NetzwerkFirewall / NAT im Abschnitt Source-NAT ein neue Regel hinzu (plus) und konfigurieren Sie diese:

    • Beschreibung: Masquerade rule

    • Typ: Masquerade

    • Protokoll: Wählen Sie das für Ihre Anwendung erforderliche Protokoll

    • Ausgehendes Interface: Wählen Sie die oben konfigurierte Schnittstelle, über welche die Internet-Verbindung aufgebaut werden soll

    • Beschränken Sie die Regel weiter, indem sie nur die für Ihre Anwendung erforderlichen Adressen zulassen

  2. Klicken sie auf   SPEICHERN  .

7. Firewall-Regeln für die Internet-/WAN-Verbindung konfigurieren

  1. Klicken Sie im Menü NetzwerkFirewall / NAT auf den Abschnitt Einstellungen für IP-Filter und aktivieren Sie die Checkbox IP-Filter für IPv4 aktiviert.

  2. Klicken sie auf   SPEICHERN  .

  3. Legen Sie im Abschnitt IP-Filter eine neue Filterregel an (plus) und konfigurieren Sie diese:

    • Beschreibung: Traffic between the local nets

    • Paket-Richtung: FORWARD

    • IP-Version: Wählen Sie alle für die Kommunikation verwendeten IP-Versionen aus

    • Protokoll: Wählen Sie das für die Kommunikation verwendete Kommunikationsprotokoll aus

    • Eingehendes Interface: Wählen Sie alle internen Schnittstellen, die miteinander kommunizieren dürfen

    • Ausgehendes Interface: Wählen Sie alle internen Schnittstellen, die miteinander kommunizieren dürfen

    • Beschränken Sie die Regel weiter, indem sie nur die für Ihre Anwendung erforderlichen Adressen zulassen

  4. Klicken sie auf   SPEICHERN  .

  5. Legen Sie im Abschnitt IP-Filter eine neue Filterregel an (plus) und konfigurieren Sie diese:

    • Beschreibung: Traffic from local net into the WAN

    • Paket-Richtung: FORWARD

    • IP-Version: Wählen Sie alle für die Kommunikation verwendeten IP-Versionen aus

    • Protokoll: Wählen Sie das für die Kommunikation verwendete Kommunikationsprotokoll aus

    • Eingehendes Interface: Wählen Sie alle internen Schnittstellen, die mit dem WAN kommunizieren dürfen

    • Ausgehendes Interface: Wählen Sie die oben konfigurierte Schnittstelle, über welche die Internet-Verbindung aufgebaut werden soll

    • Beschränken Sie die Regel weiter, indem sie nur die für Ihre Anwendung erforderlichen Adressen zulassen

  6. Klicken sie auf   SPEICHERN  .

8. Netzwerkverbindung konfigurieren

In den Grundeinstellungen sind von den fünf vorhandenen lokalen IP-Netzen drei für bestimmte Zwecke vorgesehen (wobei die Zuordnung jederzeit geändert werden kann):

  • IP-Netz 1: Konfiguration

  • IP-Netz 2: Lokales Netzwerk

  • IP-Netz 3: WAN (Internet-Verbindung)

Die Anzahl der verfügbaren Netzwerk-Ports unterscheidet sich je nach Router. Jedem Netzwerk-Port kann ein lokales IP-Netz zugeordnet werden.

  1. Klicken Sie im Menü NetzwerkInterfaces im Abschnitt IP-Netzwerke auf pencil in der Zeile des IP-Netzwerks net2, markieren Sie die Checkbox aktiv, geben Sie die statische IP-Adresse an, welche der Router in Ihrem lokalen Anwendungs-Netzwerk hat und nehmen sie ggf. noch weitere notwendige Einstellungen vor.

  2. Klicken sie auf   SPEICHERN  .

  3. Klicken Sie im Menü PortsEthernet auf den Port, mit dem der Router mit dem lokalen Netzwerk verbunden ist, und ordnen Sie diesem das lokale Netzwerk net2 zu.

  4. Klicken sie auf   SPEICHERN  .

  5. Für den Fall, dass die Internet-Verbindung über Ethernet erfolgt, klicken Sie im Menü PortsEthernet auf den Port, mit dem der Router mit dem Netzwerk verbunden ist, über das die Internet-Verbindung erfolgt, und ordnen Sie diesem das WAN-Netzwerk zu.

  6. Klicken sie auf   SPEICHERN  .

9. Automatischen Synchronisierung der Systemzeit einrichten

Eine korrekte Systemzeit des Routers ist insbesondere wichtig, um die Gültigkeit von Zertifikaten verifizieren zu können. Der Router ermöglicht einen Synchronisierung seiner Systemzeit mit einem NTP-Server. Er wird so konfiguriert, dass eine Synchronisierung stattfindet, sobald der Router online geht. Damit die Synchronisierung auch bei aktivierten IP-Filtern möglich ist, wird eine Firewall-Regel angelegt, die dies ermöglicht.

  1. Klicken Sie im Menü AdministrationZeit / Datum auf den Abschnitt Systemzeit und setzen sie die Systemzeit mit einer der angebotenen Methoden.

  2. Klicken sie auf   SPEICHERN  .

  3. Klicken Sie im Menü AdministrationZeit / Datum auf den Abschnitt Uhrsynchronisierung, wählen Sie Ihre Zeitzone aus und geben Sie unter Zeitserver die Adresse des gewünschten NTP-Servers ein (der NTP-Server der PTB ist voreingestellt).

  4. Klicken sie auf   SPEICHERN  .

  5. Legen Sie im Menü EreignisseEreignisse ein neues Ereignis an (plus) und konfigurieren Sie dieses:

    • Beschreibung: WAN interface up → start NTP update

    • Ereignis: Interface-Zustand hat sich geändert

    • Interface: Wählen Sie hier die WAN-Schnittstelle aus, über die der Router mit dem Internet kommuniziert (z.B. lte2 bei Mobilfunk-Routern)

    • Statusänderung nach: online

    • Aktion: Uhr via NTP synchronisieren

  6. Klicken sie auf   SPEICHERN  .

  7. Legen Sie im Menü NetzwerkFirewall / NAT im Abschnitt IP-Filter eine neue Filterregel an (plus) und konfigurieren Sie diese:

    • Beschreibung: NTP queries sent by the router

    • Paket-Richtung: OUTPUT

    • IP-Version: Wählen Sie alle für die Kommunikation verwendeten IP-Versionen aus

    • Protokoll: UDP

    • Ausgehendes Interface: Wählen Sie hier die WAN-Schnittstelle aus, über die der Router mit dem Internet kommuniziert (z.B. lte2 bei Mobilfunk-Routern)

    • Ziel-Port: 123

  8. Klicken sie auf   SPEICHERN  .

Damit synchronisiert der Router jedes Mal seine Systemzeit mit dem NTP-Server, sobald er online geht.

10. OpenVPN-Verbindung einrichten

Eine OpenVPN-Verbindung besteht zwischen einem OpenVPN-Client und einem OpenVPN-Server. Der OpenVPN-Server definiert die Konfigurationsparameter der Verbindung, die am Client eingestellt werden müssen. Im folgenden Beispiel sind die wichtigsten Parameter für einen Router als OpenVPN-Client aufgeführt (Router-Menü NetzwerkInterfaces, erweiterte Ansicht aktivieren):

  • Betriebsart: Client

  • VPN-Server-Adresse: gemäß Server-Konfiguration

  • Alternative VPN-Server-Adresse: nur als Alternative erforderlich falls vorhanden

  • Tunneln über Port (lokal): 1194 (Standard)

  • Tunneln über Port (Remote): gemäß Server-Konfiguration

  • Protokoll: gemäß Server-Konfiguration

  • Zur Konfiguration der zertifikatsbasierten Authentifizierung CA-Zertifikat, (Client-)Zertifikat und Privater Schlüssel unter AdministrationZertifikate hochladen und hier auswählen; die Zertifikate und Schlüssel entsprechen der Server-Konfiguration und werden vom Administrator des Servers zur Verfügung gestellt

  • Benutzername: nur falls durch Server-Konfiguration zusätzlich erforderlich

  • Passwort: nur falls durch Server-Konfiguration zusätzlich erforderlich

  • Schlüssel für tls-crypt: nur hochladen und konfigurieren wenn auch vom Server verwendet

  • Schlüssel für tls-auth und Benutzungsrichtung: nur hochladen und konfigurieren wenn auch vom Server verwendet; Benutzungsrichtung mit Server abstimmen (keine oder komplementär (0/1 bzw. 1/0))

  • Verschlüsselungsalgorithmus und Hashalgorithmus: um den Technischen Richtlinien TR-02102-1 und TR-02102-2 des BSI (Bundesamts für Sicherheit in der Informationstechnik) zu entsprechen, dürfen für die OpenVPN-Verbindung nur folgende vom Router unterstützte Verschlüsselungs- und Hash-Verfahren verwendet werden:

Verschlüsselungs-Algorithmus

AES 128 Bit CBC

AES 192 Bit CBC

AES 256 Bit CBC

AES 128 Bit GCM

AES 192 Bit GCM

AES 256 Bit GCM
Hash-Algorithmus

SHA-256

SHA-384

SHA-512

Die Verwendung folgender (gemeinhin als veraltet oder unsicher geltender), anderer oder keiner Verschlüsselungs- und Hash-Algorithmen, versetzt den Router in einen Zustand, der nicht von der Beschleunigten Sicherheitszertifizierung abgedeckt ist, und unsicher sein kann (im Web-Interface auch als nicht empfohlen gekennzeichnet).

Verschlüsselungs-Algorithmus Hash-Algorithmus

Blowfish 128 Bit

SHA-1

DES 64 Bit

SHA-224

DES EDE 128 Bit

DES EDE3 192 Bit

DESX 192 Bit

CAST5 128 Bit

IDEA 128 Bit

RC2 128 Bit

RC2 40 Bit

RC2 64 Bit

  • Zertifikatstyp der Gegenstelle überprüfen: checkbox marked

  • Default-Route setzen (redirect-gateway): checkbox blank outline (Standard)

  • Lokale Adresse und Port nicht fixieren (nobind): checkbox blank outline (Standard)

  • Gegenstelle darf Ihre IP-Adresse ändern (float): checkbox marked (Standard)

  • LZO-Komprimierung aktivieren: gemäß Server-Konfiguration (ist aber zu vermeiden, das eine Komprimierung des Datenkanals ein Sicherheitsrisiko darstellen kann)

  • Log-Level: wie erforderlich, nicht sicherheitsrelevant

  • Intervall der Schlüsselerneuerung: 3600 (Standard)

  • Ping-Intervall: 30 (Standard)

  • Ping-Restart-Intervall: 60 (Standard)

  • Fragmentierung der Tunnelpakete: wie erforderlich, nicht sicherheitsrelevant

  • Maximale Wartezeit für Verbindungsaufbau: 60 (Standard)

Stellen Sie sicher, dass der OpenVPN-Server nur die sicheren Protokolle TLS 1.2 oder TLS 1.3 und die beiden Diffie-Hellman-Gruppen secp256r1 oder secp384r1 zur Verschlüsselung der Datenübertragung verwendet.

11. Weiterführende Absicherung des Routers

  • Deaktivieren sie den Zugriff über das klassische Web-Interface, um den Zugriff auf den Router auf die nötigsten Zugriffsmöglichkeiten zu begrenzen:

    • Klicken Sie im Menü AdministrationKonfigurationszugriff im Abschnitt Web-/REST-Interface auf pencil

    • Deaktivieren Sie die Checkbox Klassisches Web-Interface aktivieren

    • Klicken sie auf   SPEICHERN  

  • Deaktivieren Sie alle Dienste und Funktionen, die für Ihre Anwendung nicht notwendig sind (Übersicht über alle Dienste und Funktionen und deren Zustand in den Standardeinstellungen).

  • Deaktivieren Sie im Menü NetzwerkFirewall / NAT im Abschnitt IP-Filter sämtliche Firewall-Regeln, die für Ihre Anwendung nicht erforderlich sind. Begrenzen Sie alle erforderlichen Regeln auf die erforderlichen IP-Versionen, Protokolle, Interfaces, Adressen und Ports.

  • Verwenden Sie keine überholten Protokolle, die nicht mehr den aktuellen Sicherheitsanforderungen genügen, wie z.B. PPTP.

  • Aktivieren Sie die Signaturprüfung, um zu verhindern, dass kompromittierte Pakete auf den Router geladen werden:

    • Klicken Sie dazu im Menü AdministrationAutomatisches Update im Abschnitt Nur signierte Update-Pakete erlauben auf den Schiebeschalter Funktionalität freischalten

    • Beachten Sie die Warnhinweise!

    • Klicken sie auf   SIGNATURPRÜFUNG AKTIVIEREN  

12. Sichere Außerbetriebnahme

Löschen Sie nach der Verwendung eines Routers in einer sicherheitskritischen Applikation sämtliche darauf befindliche Daten. Wenn Sie das Gerät lediglich auf Werkseinstellungen zurücksetzen, werden die Daten nicht vollständig gelöscht, sondern nur die Zuordnungstabelle, so dass die Daten mit entsprechendem Aufwand und Werkzeugen bei physischem Zugang zum Router wiederhergestellt werden könnten. Deswegen darf auch ein auf Werkseinstellungen zurückgesetzter Router nicht an Dritte veräußert werden.

Verwenden Sie aus diesem Grund die Funktion für die Sichere Außerbetriebnahme des Routers. Damit wird auch die komplette Firmware vom Router gelöscht. Es verbleibt lediglich ein rudimentäres Rettungssystem auf dem Router, das über die Adresse http://192.68.1.1 zu erreichen ist, und eine Wiederherstellung des Routers ermöglicht.

  1. Klicken Sie dazu im Menü AdministrationReset auf den Schiebeschalter Sichere Außerbetriebnahme aktivieren und danach auf die Schaltfläche   JETZT SICHER AUSSERBETRIEB NEHMEN  

1. Anmeldung je nach Konfiguration; Voreinstellung bei älteren Firmware-Versionen: _Benutzername: insys, Kennwort: icom
2. hier kann optional eine Verbindungsprüfung konfiguriert werden