Torsten Rössel von Innominate Security Technologies

Videochat: „mGuard eVA ermöglicht virtualisierte Security-Lösungen“

Auf der SPS IPC Drives 2014 ist dieses Video im Rahmen einer kompletten Videoserie entstanden. Im zweiten Videointerview spricht Torsten Rössel von der Firma Innominate Security Technologies über die auf der Messe ausgestellten Produkte und über die Zusammenarbeit mit dem Embedded Virtualisierungsexperten TenAsys.

Zu den Highlights von Innominate zählte zweifelos die Sicherheitslösung mGuard Secure Cloud, die vor allem Maschinen- und Anlagenbauunternehmen eine schlüsselfertige VPN-Komplettlösung zur Verfügung stellt, die es sowohl in einer Public- als auch in einer Private Cloud-Variante gibt.

Innominate hat seinen Sitz in Berlin und bietet Hardware- und Softwarelösungen für Sicherheitskonzepte im Bereich M2M-Kommunikation mit den Kernbereichen Industrial Network Security und Remote Services Security (Fernwartung). Und genau in diesem Einsatzgebiet ist auch die Kooperation mit TenAsys angesiedelt.

Standard-PCs ermöglichen Embedded Virtualisierungslösungen

In diesem Kontext sprach Rössel über die zunehmende Virtualisierung in der Automatisierung, was unter anderem der aktuellen Prozessorleistung selbst kostengünstiger CPUs geschuldet ist. Die erlaubt es, mehrere Betriebssysteme und Anwendungen isoliert voneinander auf einem einzigen Standard-PC mit einer Multicore Intel Atom-CPU auszuführen. Aber auch der Druck zur Kosten- und Platzeinsparung in der Automation führt zunehmend zu einer Virtualisierung von industriellen Software-Funktionen.

Für diese und andere Einsatzzwecke wurde auf Basis der TenAsys-Lösung eVM für Windows die Innominate-Security-Software mGuard eVA konzipiert und realisiert. Dabei handelt es sich um einen rein software-basierten Firewall/VPN-Router, der als Embedded Virtual Appliance auf einem Windows-Rechner installiert und betrieben werden kann. Der Clou dieses Ansatzes: Dank der hardware-nahen Virtualisierung des Rechnersystems operieren Windows und mGuard eVA vollständig gleichberechtigt und parallel auf einem Standard-PC, und das auf zwei voneinander entkoppelten Prozessorkernen.

mGuard eVA entkoppelt die Firewall vollständig vom Windows-System

Sollte also das Gesamtsystem beispielsweise per Denial-of-Service-Attacke angegriffen werden, bleibt das Windows-System dank der strikten Ressourcen-Trennung  völlig unbeeindruckt davon. Das unterscheidet solch eine virtualisierte Lösung maßgeblich von einer software-basierten Firewall, wie sie in vielen Windows-Rechnern implementiert ist. Mit mGuard eVA sind aber auch hochsichere Remote-Access-Lösungen via VPN-Anbindung (Virtual Private Network) möglich.

Damit ermöglicht TenAsys mit eVM für Windows in angepasster Form die vollständige Funktionalität, die Innominate zum Beispiel mit seinen mGuard Security Appliances wie der mGuard rs4000 bietet. Nur eben vollständig in Software. Die Vorteile dieses Ansatzes liegen auf der Hand: Es ist nur noch ein einziger Rechner erforderlich, der obendrein aus günstigen Standardkomponenten besteht. Zum anderen muss nur noch eine Maschine und nicht mehr zwei verwaltet und administriert werden. Damit sind konsolidierte Automatisierungsplattformen möglich, die höchste Sicherheitsstandards zu überschaubaren Kosten bieten.

Tja, und den Rest erzählt Torsten Rössel am besten selbst. Na dann: Film ab!

Disclaimer: Dieser Blogbeitrag ist im Auftrag und in Zusammenarbeit mit der Firma TenAsys entstanden.

Fritzbox 7430

Teil 5: WLAN abhörsicher verschlüsseln und schützen

Mit den Teilen eins bis vier unseres ausführlichen WLAN-Kochbuchs beantworten wir folgende wichtige WLAN-Fragen: Was brauche ich alles, was brauche ich eventuell sonst noch, wie plane und richte das Drahtlosnetzwerk richtig ein und was muss ich am WLAN-Router zunächst einstellen?

Teil fünf unseres ultimativen WLAN-Guides geht vor allem der Frage nach: Wie sichere ich mein Wireless LAN gegenüber Angriffen von außen ab?

Hinweis: Wir haben auf wifi-info schon in anderen Beiträgen darüber berichtet, wie sich drahtlose Netzwerke mit mehr oder weniger Aufwand vor Hackern und anderen unliebsamen Gesellen schützen lassen. Daher erfolgen hier teilweise Verweise auf bereits vorhandene Tipps und Tricks zum Thema Verschlüsselung und Authentifizierung im WLAN.

SSID verstecken

Diese Maßnahme bringt zwar kaum echte Sicherheit, stellt aber zumindest eine schnelle Möglichkeit dar, das Wireless LAN vor den Augen anderer zu verstecken. Denn: Wenn das eigene WLAN nicht sichtbar ist, kann man sich auch nicht einfach so ohne Hilfsmittel einwählen.

DCHP ausschalten: automatisch keine IP-Adressen vergeben

Ich hab es selbst schon erlebt: Ein fremder WLAN-Router war derart schwach gesichert, dass ich mühelos drauf gekommen bin und sofort ohne eigenes Zutun über diesen „Hotspot“ ins Internet gehen konnte.

Dass dies überhaupt möglich war, lag auch der eingeschalteten DHCP-Funktion des WLAN-Routers, der mein Powerbook automatisch mit einer IP-Adresse versorgt hat. Daher unser Tipp: DCHP ausschalten, dann bekommen Eindringlinge zumindest keinen automatischen Zugriff ins Web.

WEP-Verschlüsselung nutzen: keine gute Idee!

Wer noch immer glaubt, das die WEP-Verschlüsselung sicher sei, muss an dieser Stelle leider enttäuscht werden. Mit den richtigen Tools, die im Internet „for free“ zum Download angeboten werden, lässt sich jeder WEP-Key (egal, ob 64 oder 128 Bit lang), innerhalb weniger Minuten knacken.

Aber: nicht jedes Wireless LAN stellt ein potenzielles Angriffsziel heimtückischer Hacker dar. Daher ist der Einsatz eines WEP-Schlüssels besser als gar kein Schutz.

Know-how: Die WEP-Technik bietet – wie übrigens WPA und WPA2 auch – zwei Mechanismen, das eigene Wireless LAN zu schützen: Verschlüsselung und Authentifizierung. Denn zum einen werden die Daten per WEP-Key verschlüsselt über den Äther versendet und empfangen, und zum anderen kommt nur derjenige ins drahtlose Netzwerk hinein, der den entsprechenden Schlüssel kennt und nutzen kann.

Besser: WPA/2-Verschlüsselung einschalten

Leider wird immer noch WPA und WPA2 von vielen Anwendern gleich gesetzt oder zumindest verglichen. Das ist insofern unzulässig, da WPA mit der WEP-Technik vergleichbar ist, WPA2 hingegen eine ganz neue Verschlüsselungs- und Authentifizierungstechnik darstellt.

Dass WPA eher der WEP-Technik ähnelt, liegt größtenteils am IEEE-Konsortium, das sich beim Umstieg von WEP auf WPA2 aus der Sicht vieler Hersteller von WLAN-Komponenten zu viel Zeit gelassen hat. Daher entschied man sich beim WiFi-Forum für die temporäre Einführung der WPA-Technik, der in Teilen ohnehin für den neuen IEEE-Standard 802.11i vorgesehen war, dessen Bestandteil mittlerweile WPA2 ist.

Für den Einsatz von WPA bzw. WPA2 müssen diverse Voraussetzungen erfüllt sein:

WPA: Auf den WLAN-Clients sollte Windows XP mit Service Pack 1 installiert sein oder zusätzlich der zugehörige WPA-Patch für Windows XP. Außerdem müssen Sie die Treibersoftware der WLAN-Adapter auf den neuesten Stand bringen.

Zudem muss der WLAN-Router WPA unterstützen. Bei manchen Modellen, die standardmäßig nur WEP beherrschen, implementiert ein Firmware-Update die WPA-Funktion nachträglich auf dem Access Point.

WPA2: Da die WPA2-Technik rechenintensiver ist als WPA, ist ein Umstellen des Routers von WPA auf WPA2 per Firmware-Update meist nicht möglich. Falls der WLAN-Router WPA2 beherrscht, müssen für die störungsfreie Nutzung auf allen WLAN-Clients Windows XP mit Service Pack 2 oder der entsprechenden Patch installiert sein. Außerdem muss der aktuelle Treiber eingebunden sein, der WPA2 unterstützt.

Praxistipp: Falls sich ein Wireless LAN nicht ausschließlich per WPA oder WPA2 absichern lässt, unterstützen manche WLAN-Router ein gemischtes Drahtlosnetzwerk, das aus WEP-, WPA- und WPA2-Clients besteht. Dann wird ein und derselbe Key für die Verschlüsselung genutzt.

MAC-Adressen-Filtering nutzen

Jeder Netzwerkadapter besitzt eine fest vergebene Nummer, die MAC-Adresse genannt wird. Mit dieser Kennziffer lässt sich jeder WLAN-Client innerhalb eines Drahtlosnetzwerks eindeutig zuordnen. Die Funktion MAC-Adressen-Filtering erlaubt somit den Zugang zu einem Wireless LAN, falls der betreffende Client in der entsprechenden Liste eingetragen ist – oder verwährt den Zutritt.

Routerfunktionen ausschalten (UPnP, Remote Management)

Sie werden selten benötigt, sind aber in vielen Fällen standardmäßig eingeschaltet: Routerfunktionen wie UPnP oder Remote Management. Mit UPnP lassen sich WLAN-Router besonders einfach von jedem Windows-XP-Client aus verwalten, was zwar sehr komfortabel ist, aber auch einfachsten Zutritt für jeden auf den Access Point darstellt.

Remote Management wurde für die Fernwartung via Internet oder Telnet konzipiert. Diese Funktion ist wirklich nur was für erfahrene Profis und ist für kleinere Drahtlosnetzwerke, speziell im privaten Umfeld, nicht notwendig.

Daher gilt für beide Funktionen: Aus Sicherheitsgründen am besten ausschalten!

RADIUS-Authentifizierung nutzen

Nur wenige WLAN-Router wie viele der ZyXEL-Modelle bieten eine eigene RADIUS-Funktion, mit der sich im Access Point WLAN-Clients per Benutzerkennung und Kennwort eintragen lassen. Diese Daten können dann in einigen Fällen gleichzeitig für die WPA/2-basierte Authentifizierung genutzt werden.

VPN-Verbindungen verwenden

Die Einwahl via Internet ins eigene Wireless LAN ist zwar möglich, erfordert allerdings einen abhörsicheren Zugang, der sich entweder mit Windows-Bordmitteln oder spezieller Software einrichten lässt.

Das Zauberwort lautet VPN (Virtual Private Network) und stellt eine Art Tunnel dar, der zwischen Einwahlpunkt wie einem Hotspot und dem WLAN-Router aufgebaut wird. Aufgrund der abhörsicheren Protokolle wie IPsec, die bei VPN-Verbindungen eingesetzt werden, ist die Verbindung nahezu unknackbar.

Der WLAN-Router muss dies Funktion natürlich auch unterstützen: Entweder hardwarebeschleunigt wie der Netgear FVG318 oder per Software, was sich dann im Router hinter der Bezeichnung „VPN pass through“ versteckt.