I vores virksomhed bruger vi en CNC-fræsemaskine til fremstilling af prototyper og små serier. En Windows 7 embedded standard med det seneste patch-niveau kører på kontrolcomputeren, som er integreret i vores produktionsnetværk. Da Microsoft ikke længere vil yde udvidet support til dette operativsystem fra 2020, er denne fræsemaskine blevet isoleret som en sikkerhedsforanstaltning. Ved hjælp af “Microwall Gigabit”-firewallrouteren tildeles den et dedikeret netværkssegment, og kommunikation med dette netværkssegment filtreres i høj grad.

Større netværkssikkerhed gennem isolation

I 2017 fik WannaCry verdensomspændende opmærksomhed, da den skabte kaos i netværk. Denne ransomware-kryptoworm udnyttede en sårbarhed i fil- og printerdelingsprotokollen på Windows-netværk. Det var så skadeligt, at Microsoft ikke kun patchede de aktuelle operativsystemer, men også leverede sikkerhedsopdateringer til produkter, hvis support allerede var udløbet.

WannaCry demonstrerede effektivt, hvor stor risikoen er ved at køre unødvendige netværkstjenester.

Det virker indlysende, at ikke-essentielle tjenester simpelthen skal slås fra. Men det er ikke altid klart, hvilke tjenester der rent faktisk er brug for mellem delkomponenter i et system. Desuden kan der foretages ændringer på maskiner, som under visse omstændigheder kan resultere i tab af certificering og dermed en overførsel af ansvar til operatøren.

Derfor har vi udviklet Microwall Gigabit som et brugervenligt alternativ til beskyttelse af produktionssystemer. Dette er en simpel 2-ports firewall, som bruger whitelist-princippet. Det betyder, at alle tilladte forbindelser skal frigives eksplicit.

Målsætning

Fræsemaskinen er udstyret med en Windows-styringscomputer, som CNC-softwaren kører på. Den bruger to netværksgrænseflader: Den ene forbinder computeren med selve fræsemaskinen, og den anden integrerer den i produktionsnetværket. Hvis der opdages et sikkerhedshul i operativsystemets nuværende status, vil Microsoft levere en rettidig sikkerhedsopdatering. Efter udløbet af den udvidede support i 2020 vil der dog normalt ikke blive leveret flere sikkerhedsopdateringer. En angriber kan forsøge at kompromittere kontrolcomputeren, og hvis det lykkes, truer det ikke kun selve enheden, men også det omgivende netværk.

Det er derfor, fræsemaskinen skal isoleres ved hjælp af en ø-strategi. Microwall placerer fræsemaskinen i sit eget netværkssegment og begrænser kraftigt, hvilken kommunikation der er mulig med dette netværkssegment ved hjælp af firewall-regler.

Sårbarhed

En kort analyse af den aktuelle situation med portscanneren nmap [Tutorial: Finding open ports in the network] afslører noget foruroligende: Kontrolcomputeren viser tolv åbne porte, der kan nås i netværket, herunder en webserver.

En anden, intensiv scanning finder i alt 24 åbne TCP-porte. Webserveren er en ukonfigureret Internet Information Server 7.5, som har kendte svagheder, der kan resultere i fjernudførelse af kode. Det betyder, at en angriber kan køre ethvert program, han ønsker, over netværket. En lotterigevinst for cyberkrigere. En ironisk detalje: webserveren ser ikke ud til at tjene noget andet formål end at være en informationsside, og den er derfor sandsynligvis lige så overflødig som de andre åbne porte. Vi er glade for, at vi tog os tid til en intensiv scanning, og vi vil straks gå i gang med at ø-lægge.

Fremgangsmåde

Trin 1: Bestem tilstanden og de nødvendige firewall-regler
For at holde konfigurationen så enkel som muligt, kører vi Microwall i NAT-tilstand. Kontrolcomputeren til fræsemaskinen optræder ikke engang, men Microwall overtager mere eller mindre dens rolle i netværket.

Faktisk er der kun én situation, hvor fræsemaskinen skal kommunikere via netværket. For at kunne få adgang til produktionsdata skal den have lov til at åbne en forbindelse til den centrale Windows-filserver. Alle andre forbindelser er forbudt.

Da kontrolcomputeren ikke selv leverer nogen ressourcer til netværket, er indgående forbindelser helt blokeret. Desuden er den filserverversion, der skal give CNC-softwaren adgang, kendt og entydig. Da filserverens IP-adresse også er kendt, er der ikke behov for navneopløsning. Praktiske funktioner som at søge efter computere og udgivelser over netværket er overflødige, og det samme gælder NetBIOS-transportprotokollerne. Port 137, 138 og 139 kan derfor ignoreres og endda blokeres. Til automatiske tidsopdateringer kan UDP-port 123 aktiveres, og til navneopløsning via DNS UDP-port 53. Da disse funktioner imidlertid heller ikke er nødvendige for fræsemaskinens funktion, forbliver de også lukkede.

Patch management håndteres af vores IT-afdeling, hvilket er grunden til, at portene forbliver lukkede, selv ved en automatisk opdatering. Ellers ville vi være nødt til at tillade TCP-forbindelser til WSUS-serveren.

Kontrolcomputeren skal blot være i stand til at åbne en SMB-forbindelse til filserveren med den kendte IP-adresse. Dette sker ved hjælp af destinationsport 445. Da dette er TCP-kommunikation, er bagkanalen direkte inkluderet i forbindelsen. Ved blot at angive en enkelt regel er fræsemaskinen sikret permanent. Samtidig er dens funktion også sikret!

Trin 2: Konfiguration af enheden

I sin funktion som router forbinder Microwall det omgivende netværk med et isoleret segment. Det gør dog en IP-konfiguration for grænsefladerne til de to netværk.

1 At angive et netværksnavn gør det lettere for administratoren senere at tildele regler.

2 Kontrolcomputerens oprindelige IP-konfiguration (dvs. 10.10.10.20) anvendes til den offentlige grænseflade. Ud over hardwareadressen ændres intet i det omgivende netværk.

3 På ø-siden vælger vi for nemheds skyld det traditionelle 192.168.1.0/24-netværk. I dette netværk fungerer Microwall som en standardgateway, der får adressen 192.168.1.1.

IP-konfiguration af kontrolcomputeren

Kontrolcomputeren får IP 192.168.1.10. Som standardgateway er den tildelt Microwall med IP-adressen 192.168.1.1.

Firewall-regler for adgang til filservere
I det sidste trin opsætter vi de nødvendige firewall-regler. Kontrolcomputeren med IP-adressen 192.168.1.10 skal kunne åbne en forbindelse via port 445 til produktionsdataserveren med IP-adressen 10.10.10.100.

Trin 3: Testkørsel

Testkørslen over flere uger viser, at fræsningen gør sit arbejde, som den plejer.

Resumé

Ved hjælp af Microwall kunne CNC-fræsemaskinen isoleres i sit eget netværkssegment i løbet af få minutter. For at sikre korrekt funktion var det kun nødvendigt at anvende en enkelt firewall. Som en sideeffekt blev NetBIOS-protokollerne til fil- og printerfrigivelse blokeret, så detaljer om fræsemaskinen er skjult bag Microwall.