Network TAPs mit Datendiode
Daten aus kritischen Netzen sicher weiterleiten
Wie lassen sich kritische IT/OT-Infrastrukturen vor Hackerangriffen schützen? Eine Frage, die in instabilen Zeiten wie diesen immer mehr an Brisanz gewinnt. Hinzu kommt, dass für Energieversorger & Co. das Thema Netzwerksicherheit nicht immer ganz oben auf der Agenda steht und zudem die Erfahrung fehlt. So kommt es, dass zur Überwachung des Netzwerkverkehrs häufig SPAN-Ports (Switch Port Analyzer) im Einsatz sind, die einfachste und kostengünstigste Lösung zur Weiterleitung von Datenpaketen an IDS-Systeme (Intrusion Detection System). Die bessere Alternative sind Netzwerk-TAPs (Test Access Points) mit Datendioden-Technik
Der Gesetzgeber hat auf die zunehmende Bedrohung bereits reagiert: Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 am 28. Mai 2021 hat man auch die Kritis-Regelung für kritische Infrastrukturen signifikant erweitert. Diese beinhaltet nun deutlich mehr Pflichten für die Betreiber und mehr Befugnisse für den Staat. So müssen Kritis-Betreiber bis spätestens 1. Mai 2023 auch Systeme und Prozesse zur kontinuierlichen Angriffserkennung etablieren. Dazu gehört die Einrichtung eines SOCs (Security Operation Center) und eines SIEMs (Security-Information- and Event-Management).
Eine Security-Monitoring-Lösung muss dauerhaft Datenpakete aus dem IT/OT-Netz analysieren, um eventuelle Bedrohungen zu erkennen. Diese Pakete stehen meist als Datenkopie über sogenannte SPAN-Ports zur Verfügung. Häufig keine Berücksichtigung findet die Tatsache, dass bei der Verwendung von SPAN-Ports ein Rückfluss von Daten nicht gänzlich auszuschließen ist. Denn der SPAN-Port ist ein physischer Switch-Port und verfügt daher sowohl über eine Sende- als auch über eine Empfangsfunktion. Somit kann der Switch anfällig für Angriffe von Hackern sein und die einst isolierte OT-Umgebung ist indirekt einer Bedrohung von außen ausgesetzt. Jede SPAN-Verbindung ist letztlich eine Hintertür in das Live-Netzwerk und damit ein potenzielles Sicherheitsrisiko.
SPAN-Ports sind aber auch in anderer Hinsicht problematisch. Zum einen ist die Konfiguration fehleranfällig, denn sie ist keine einfache Aufgabe (vor allem, wenn auch VLANs beteiligt sind). Administratoren können Fehler unterlaufen oder es ergeben sich Probleme durch unbekannte Eigenschaften eines Geräts. Ist ein Port am Switch als SPAN konfiguriert, gibt es Einschränkungen hinsichtlich der maximal zur Verfügung stehenden Bandbreite, die sich an ein Überwachungssystem schicken lässt. Die Verbindung, die zu überwachen ist, tauscht Daten Fullduplex aus – es steht also in beide Richtungen beispielsweise jeweils eine Bandbreite von 1 GBit/s zur Verfügung. Diese Daten aggregiert der Switch und leitet sie an den SPAN-Port. Dieser kann jedoch wie jeder andere Port lediglich mit 1 GBit/s Daten verschicken. Liegt die Auslastung einer Verbindung über 50 Prozent – dauerhaft oder temporär – gehen zwangsläufig Pakete verloren.
Eine weitere Einschränkung, die zu Paketverlust führen kann: Die Pakete der SPAN-Session haben bei hoher Netzwerkauslastung eine geringere Priorität innerhalb des Switches. Die Live-Netzwerk-Ports haben Vorrang. Im Ergebnis verwerfen SPAN-Ports Pakete. Während die Auslastung des Live-Netzwerks unter normalen Umständen niedrig sein kann, steigt das Verkehrsaufkommen bei einer Sicherheits-Kompromittierung oft erheblich an, was zu einem Verlust der Sichtbarkeit führt. Es besteht also das Risiko, dass man dann am wenigsten Transparenz erhält, wenn man sie am meisten benötigt.
All diese Gefahren lassen sich durch den Einsatz von TAPs mit Datendioden-Technik ausräumen. Bei Datendioden-TAPs handelt es sich um speziell entwickelte Hardware, mit der sich Datenpakete ausschließlich in eine Richtung übertragen lassen. Diese TAPs erstellen eine exakte, kontinuierliche Kopie des Verkehrsflusses. Für Hinweg und Rückweg gibt es jeweils dedizierte Ports, die Daten an das IDS ausgeben, wobei keine Veränderung oder Verzögerung der Pakete erfolgt. Es gibt keinen Rückkanal zwischen den TAPs und dem Netzwerk, was ein Einschleusen von Schadsoftware ausschließt. Zudem sind die TAPs passiv und ausfallsicher, was bedeutet, dass der Datenverkehr weiter fließt, falls die Stromversorgung ausfällt. Netzwerk-TAPs muss man nur einmal zwischen zwei Netzwerkkomponenten einschleifen und bedürfen keinerlei Konfiguration, die Auswirkungen auf die Sicherheit haben könnten. Wichtig ist, dass es sich um Netzwerk-TAPs mit einer Datendioden-Technik handelt.
- Daten aus kritischen Netzen sicher weiterleiten
- Passive vs. aktive TAPs
Lesen Sie mehr zum Thema
