Archiv für den Monat: November 2016

IOT - IoT-Security

Statische Analyse für IIot-Geräte

Schreibe einen Kommentar

Für Industriegeräte gelten dieselben Herausforderungen wie für alle IoT-Geräte, u.a.  steigende Attraktivität für Hacker, traditionell vernachlässigte integrierte Sicherheit, breiter Einsatz von Altgeräten – bei zugleich höherer M2M Konnektivität und IoT-Hürde.  

Trotzdem sind IIoT-Geräte einzigartig:

  • Eingeschränkte Hardware in punkto Verarbeitungskapazität vieler moderner Sicherheitsfeatures wie Verschlüsselung, Network Stacks und eingebaute Firewalls.
  • Weil sie oft kritische Infrastruktur steuern, können sich mögliche Cyberangriffen viel schlimmer auswirken.
  • Industriesteuerungen und SCADA-Systeme haben andere Kommunikationsprotokolle und Standards als Heim- oder Bürogeräte.
  • Extrem langer Produktlebenszyklen und, verglichen mit anderen Geräten, schwierige Firmware- und Hardware-Updates, und andere Faktoren

Diese zusätzlichen Herausforderungen verschärfen das Thema Sicherheit für die Entwicklungsteams im Bereich IIoT.

Der vierstufige Verbesserungsprozess für IoT-Geräte gilt auch für IIoT, mit zusätzlichen Überlegungen. Die Übernahme der folgenden vier grundlegenden Schritte in einen Entwicklungsprozess für Embedded Software kann die Sicherheit (und Qualität) für hochvernetzte Geräte verbessern: 1) Design gemäß einer ‚Security-First‘ Philosophie, 2) wiederholte systemweite Einschätzungen und Analysen von Bedrohungen, 3) Wiedereinsatz von vorhandenen Tools so oft wie möglich, 4) Nutzung der modernen Quell- und Binärcodeanalyse, um die Qualität und Sicherheit von Fremdcode sicherzustellen.

Entscheidenden Support in den Codier- und  Integrationsphasen der Entwicklung bieten statische Analysetools wie Codesonar. Indem sie die dauerhafte Codequalität sowohl in der Entwicklungs- als auch Erhaltungsphase sicherstellen, reduzieren sie die Kosten und Risiken von Sicherheits- und Qualitätsproblemen ganz wesentlich. Speziell die statische Analyse eröffnet Vorteile wie folgt:

  • Dauerhafte Qualität und Sicherheit des Quellcodes
  • Auffinden und Prüfen von Tainted Daten
  • Prüfung der Qualität und Sicherheit von Fremdcode
  • Sichere Anwendung von Codierstandards

Als Teil einer ganzen Toolsuite bietet die statische Analyse wichtige Fähigkeiten, die anderen Tools fehlen. Sie amortisieren sich durch das frühe Auffinden von Fehlern und Schwachstellen, die gewöhnliche Testtools übersehen könnten. Das kommt der Sicherstellung von einem dauerhaft hohen Level an Qualität und Sicherheit zu Gute.

Befolgen Hersteller von M2M- und IIoT-Geräten eine ‚Security-First‘ Designphilosophie mit formeller Risikoeinschätzung und automatisierten Tools, sind ihre Geräte besser vor den steigenden Bedrohungen im Internet geschützt. Das Wichtigste ist die Erweiterung eines bestehenden erfolgreichen Software-Entwicklungsprozesses um Sicherheit zu einem frühen Zeitpunkt im Prozess. Mit dem intelligenten Einsatz von automatisierten Tools, um sowohl neuen Code zu entwickeln als auch bestehenden und Fremdcode zu sichern, können Entwicklungsteams straffe Budget- und Terminvorgaben einhalten. Die statische Analyse von Quell- und Binärcode spielt eine Schlüsselrolle in einem ‚Security-First‘ Entwicklungstoolset.

DCI - Toms Admin Blog

Failover mit Hyper-V-Replica durchführen

Schreibe einen Kommentar

Sie können ein Failover auch mit der Quell-VM starten, zum Beispiel vor der geplanten Wartung eines Hosts. In diesem Fall wählen Sie aus dem Kontextmenü die Option Replikation\Geplantes Failover aus. Bei diesem Vorgang kann der Quell-Server alle Daten noch einmal zum Ziel-Server replizieren.

Zusätzlich können Sie auf dem Ziel-Server auch einen Testfailover durchführen. Dabei findet kein echter Failover statt, sondern der Assistent überprüft nur eine mögliche Übernahme der VM auf dem Ziel-Server.

Anschließend wählen Sie aus, zu welchem Wiederherstellungspunkt Sie den Failover durchführen wollen und können den Failover starten. Das geht aber nur, wenn der Quell-VM auch ausgeschaltet ist. Während des Failovers startet der Assistent den replizierten Server, der im Netzwerk dann zur Verfügung steht, genau wie die Quell-VM.

Auch, wenn Sie ein geplantes Failover durchführen, müssen Quell-VM und Ziel-VM ausgeschaltet sein. Der Vorteil bei einem geplanten Failover vom Quell-Hyper-V-Host aus ist, dass Hyper-V noch nicht replizierte Änderungen an den Zielserver senden kann, sodass dieser über den neusten Stand verfügt. Haben Sie ein geplantes Failover durchgeführt, ist der alte Quell-VM später die neue Ziel-VM, und die alte Ziel-VM die neue Quell-VM für die Replikation. Das heißt, Sie können diesen Vorgang auch wieder umkehren.

DCI - Toms Admin Blog

Nano-Server verwalten und Domäne beitreten

Schreibe einen Kommentar

Diese neue Funktion lässt sich bei allen VMs nutzen, auch bei Core-Servern oder Servern mit grafischer Oberfläche.

Mit „Get-NetAdapter“ lassen sich Informationen zum Netzwerkadapter des Nano-Servers auslesen. Die Informationen werden dazu verwendet, um die IP-Einstellungen zu setzen, zum Beispiel mit folgendem Befehl:

New-NetIPAddress -IPAddress 192.168.178.230 -InterfaceAlias „Ethernet“ -DefaultGateway 192.168.178.1 -AddressFamily IPv4 -PrefixLength 24

Die DNS-Einstellungen werden mit folgendem CMDlet gesetzt:

Set-DnsClientServerAddress -InterfaceAlias „Ethernet“ -ServerAddresses (“192.168.178.220”,”192.168.178.230”)

Sie können auf einem Nano-Server auch über das Netzwerk auf die C$-Freigabe zugreifen, um Dateien auf den Server zu kopieren. Das ist vor allem dann wichtig, wenn Sie mit dem Server nachträglich einer Domäne beitreten wollen. Damit der Zugriff funktioniert müssen Sie in der Nano Server Recovery Console in der Konfiguration die Firewall-Regel für den SMB-Zugriff per Datei- und Druckerfreigabe freischalten. Dazu verwenden Sie die Taste F4. Danach können Sie den Domänenbeitritt eines Nano-Servers konfigurieren:

Generell ist der Ablauf bei einem Domänenbeitritt recht einfach. Sie führen im Grunde genommen folgende Schritte durch:

Sie verwenden djoin /provision, um die Metadaten für den Domänenbeitritt des Nano-Servers zu erstellen. Als Option geben Sie die Domäne an. Achten Sie darauf, dass Sie die Eingabeaufforderung im Administratormodus öffnen. Ein Beispiel für die Datei wäre:

djoin /provision /domain joos.int /machine „nano-hyperv“ /savefile c:\nano-txt

Inhalt der Datei sind das Kennwort der Maschine, der Name der Domäne und des Domänencontrollers sowie die SID der Domäne. Kopieren Sie die Datei auf den Rechner. Der Inhalt ist verschlüsselt und bringt Außenstehenden nichts.

Auf dem Zielcomputer verwenden Sie den folgenden Befehl, um den Rechner in die Domäne aufzunehmen:

djoin /requestodj /loadfile c:\temp\nano.txt /windowspath c:\Windows /localos

Den Befehl können Sie zum Beispiel in einer PowerShell Direct-Sitzung eingeben, die wir zu Beginn des Absatzes bereits behandelt haben. Starten Sie den Nano-Server, wird der Computer automatisch in die Domäne aufgenommen, sobald eine Verbindung zu einem Domänencontroller besteht.

DCI - Drillings Open Source Eck

Tipp: Red Hat Enterprise Linux Cockpit

Schreibe einen Kommentar

Das auf den RHV-H-Nodes standardmäßig installierte Cockpit-Interface ist allerdings auch für normale Red-Hat-Server eine interessante Möglichkeit, die Server-Konfiguration zu vereinfachen; die neue Cockpit-Oberfläche muss hier nur nach installiert werden.

Ist das geschehen, lassen sich z. B. sehr komfortabel zusätzliche Netzwerkgeräte oder Storage-Devices wie iSCSI-Targets einrichten. Ferner sieht man die aktuelle Auslastung des Systems, kann die einzelnen Services starten und stoppen, SSH-Fingerprints verwalten oder Log-Dateien einsehen; alles in einem schicken Webinterface.

Zum Installieren des Cockpit-Webinterface muss man lediglich die beiden zusätzlichen Repos „rhel-7-server-extras-rpms“ und „rhel-7-server-optional-rpms” einbinden:

subscription-manager repos –enable=rhel-7-server-extra-rpms
subscription-manager repos –enable=rhel-7-server-optional-rpms

Dann lässt sich die Software mit ..

yum install cockpit

einspielen. Cockpit benötigt den Port 9090. Das Öffnen der Port in firewalld klappt dann mit ….

firewall-cmd –add-port=9090/tcp
firewall-cmd –permanent –add-port=9090/tcp

Das Anmelden am Cockpit-Webinterface erfolgt über den root-Account. Zum Hinzufügen zusätzliche LUNs aus einer SAN klickt man z. B. im Menü Storage rechts außen im Pane „ISCSI-Targets“ auf „+ „, gibt dann die IP-Adresse des Storage-Arrays an und sucht sich (Dynamic Discovery ist voreingestellt) aus der Liste der gefundenen Targets das Gewünschte aus.

IOT - IoT-Security

Penetrationstest vs. Schwachstellenscan: der Leitfaden

Schreibe einen Kommentar

Wenn Unternehmen einen Penetrationstest beauftragen wollen, sollten sie zunächst ihr Verständnis dessen prüfen – das heißt Definition und Scope – und was das genaue Ziel der Überprüfung sein soll. Dieses Vorgehen hat vor allem zwei Gründe: Zum einen gibt es nicht den einen standardisierten Penetrationstest. Hier ist es wichtig, die Begrifflichkeiten und Herangehensweisen zu definieren. Zum anderen ist es sinnvoll, vor der Beauftragung eines Penetrationstests einen gewissen Security-Reifegrad festgelegt und erreicht zu haben. Das spart Zeit und Kosten, ein kontinuierlicher Prozess für mehr IT-Sicherheit im Unternehmen hilft dabei.

Pentesting als Maßnahme einer umfassenden IT-Sicherheitsstrategie

Wenn ein Pentest eine Sicherheitslücke aufspürt, die sonst unbemerkt geblieben wäre, dann ist er ohne Zweifel sein Geld wert. Doch mit etwas Abstand betrachtet, kann sich ein anderes Bild ergeben: Wenn sich der Pentester zum Beispiel bei Lücken aufhält, die sich genauso gut mit erheblich weniger Aufwand beseitigen ließen. Kostspielige Pentests wahllos über die gesamte IT zu streuen, das hieße, den zweiten Schritt vor dem ersten zu tun. Besser gesagt: den dritten vor dem zweiten.

Drei Schritte für bestmögliche Sicherheit

Der erste Schritt ist ein solides Patchmanagement für alle Systeme: Windows, Linux und andere Open-Source-Komponenten sowie Anwendungen von Dritten. Selbstverständlich ist auch das beste Patchmanagement nie komplett: Manche Systeme fallen aus der kontrollierten Netzwerk-Architektur. Andere sind zwar bei den Windows Server Update Services (WSUS) hinterlegt, installieren aber dennoch keine Updates. Oder Updates sind fehlerhaft und lassen gravierende Sicherheitslücken offen.

All das mit Pentests aufspüren zu wollen, würde unverhältnismäßig lange dauern. Wirtschaftlicher und sicherer ist es, einen Schritt dazwischen zu schalten.

Schwachstellenscans spüren regelmäßig Lücken auf

Der zweite Schritt ist ein umfassendes Schwachstellen-Management, mit Scans, die systematisch Lücken im Patchmanagement aufspüren. Das Schwachstellen-Management schlägt Alarm, wenn mit der Konfiguration etwas nicht stimmt, Passwörter zu einfach sind oder WSUS auf einem Server nicht mehr funktioniert. Dem IT-Management liefert es regelmäßig Reports. An die Administratoren verteilt es gezielt die Patchaufträge, für die sie zuständig sind, und kontrolliert die Ausführung. So verhindert es, dass Einfallstore wochenlang offenstehen.

Als dritter Schritt werden Pentests gezielt auf die anspruchsvollen Sicherheitslücken angesetzt, die nur sie schließen können. Solche Lücken können im Webshop lauern, bei der Erfassung der Kreditkartendaten oder auch an der Schnittstelle zwischen Bewerbungsplattform und internem SAP-System.

Kontinuierlicher Schutz

Aus diesem Grund empfiehlt es sich in jedem Unternehmen, Schwachstellenscans als regelmäßigen Prozess zu etablieren. Zwar kann auch ein einmaliges Schwachstellen-Audit die verwundbaren Stellen im Netzwerk aufzeigen. Aber dieser Befund ist schon nach dem nächsten Windows-Patchday überholt. Clients ändern sich, virtuelle Server-Umgebungen sind schneller eingerichtet als abgesichert.

Der bestmögliche Schutz gegen feindliche Eindringlinge besteht also erstens aus einem möglichst umfassenden Patchmanagement. Zweitens aus einem kontinuierlichen Schwachstellenmanagement. Und drittens aus Pentests, die gezielt die besonders komplexen Lücken schließen – Lücken, die zuvor das Schwachstellenmanagement aufgespürt hat.

IOT - IoT-Praxis

Teil 2: Die drei größten Spannungsfelder, die Sie beachten müssen

Schreibe einen Kommentar

Disruption

Wikipedia beschreibt: „Eine disruptive Technologie (englisch to disrupt „unterbrechen“) ist eine Innovation, die eine bestehende Technologie, ein bestehendes Produkt oder eine bestehende Dienstleistung möglicherweise vollständig verdrängt.“ Somit wird eine kontinuierliche Weiterentwicklung des bisherigen Produkts unterbrochen. Das neue Angebot kommt meistens aus einer unerwarteten Richtung. Es wird in der Industrie 4.0-Diskussion immer wieder betont, dass es disruptive Änderungen geben wird. Dann wird darauf hingewiesen, dass man sich nur um neue Geschäftsmodelle kümmern muss, um damit umzugehen. Am besten engagiert man einen Innovationsberater, der sich dann um alles kümmert. Leider ist dies ein Teil der Industrie 4.0-Illusion. Disruption lässt sich  nicht vorplanen oder durch Berater gestalten – sonst wäre es ja keine. Die Aufgabe für die Unternehmen besteht in erster Linie darin, durch effektive Marktbeobachtung schnell zu erkennen, wenn eine disruptive Veränderung das eigene Geschäftsmodell bedroht. Zusätzlich wird man versuchen, durch eine intensive Kundenorientierung neue Produktmöglichkeiten zu finden, die dann selbst eine disruptive Änderung verursachen können. Eine reine Fokussierung auf das Finden neuer Geschäftsmodelle wäre aber leichtsinnig.

Big Data

Big Data scheinen das Benzin für den Industrie 4.0-Motor zu sein. Die Segnungen der vielen Daten ermöglichen in den Augen vieler Industrie 4.0-Promoter erst wirklichen Fortschritt. Dabei sollte man aber nicht vergessen, dass die deutsche mittelständische Industrie ihren Erfolg zum großen Teil der Tatsache verdankt, dass die Bedürfnisse der einzelnen Kunden in hoher Qualität befriedigt werden und dass man dafür am Weltmarkt Premiumpreise erzielen kann. Bei einer Big Data-Analyse  sieht man aber das einzelne nicht mehr. Es geht um Muster der Masse. Außerdem ist eine Datenanalyse immer ein Blick zurück mit darauf folgender Extrapolation. Das Fortschreiben vergangener Entwicklungen ist aber vielleicht nicht die passende Betrachtungsweise in Zeiten schnellen Wandels. Es geht doch eher darum, herauszufinden, was die Zukunft von dem Unternehmen „verlangt“ im Sinne von Otto Scharmers „Theory U“. Drittens zeigen Datenanalysen Korrelationen aber keine Ursachen-Wirkungsbeziehungen. In der immer stärker vernetzten Wirtschaft gibt es keine direkten Ursache-Wirkungsbeziehungen mehr, die einfach durch Korrelationen angenähert werden können. Ob sich komplexe rückgekoppelte Systeme, wie sie heute existieren, noch durch rationale Modelle erfassen lassen, bleibt abzuwarten. Viele Mittelständler begründen ihren Erfolg auf einem intuitiven und eben nicht rational analytischen Verständnis des Marktes und das wird in immer komplexeren Systemen wohl auch weiterhin erfolgsversprechend sein.

Datensicherheit/Datenaustausch

Große Verbesserungen werden durch intensiven Datenaustausch erwartet. Ein Merkmal der Digitalisierung ist, dass die Herrschaft über Daten ausschlaggebend für den wirtschaftlichen Erfolg ist. Unternehmen, die nur Daten managen (Google, Facebook, Uber, Airbnb…) erzielen große Gewinne oder erreichen zumindest eine unglaubliche Marktkapitalisierung. Unternehmen, die weiterhin Hardware produzieren, investieren müssen und somit viel Risiko tragen, müssen als Folge mit kleineren Margen auskommen. Wie muss der Umgang mit Daten für einen Mittelständler organisiert werden, um bestmögliche Ergebnisse zu erzielen? Das ist die Frage, um die sich jedes Unternehmen intensiv kümmern muss. Da gibt es keine Patentlösungen, jeder muss hier seinen eigenen Weg finden. Kann es für alle produzierenden Unternehmen gut sein, über Maschinenbetriebsdaten viel Produktions-Know-how herauszugeben, nur um eine datengetriebene vorbeugende Wartung zu ermöglichen? Hat der Produktionsmitarbeiter nicht häufig Erfahrungswerte, um zu wissen, wie „seine“ Maschine am besten am Laufen gehalten werden kann? Soll darauf verzichtet werden, dieses Wissen zu nutzen? Es gibt sicherlich keinen guten oder schlechten Datenaustausch. Die Aufgabe für jedes Unternehmen besteht darin, den Umgang mit Daten bewusst zu gestalten. Dazu müssen Kernkompetenzbereiche definiert werden, wo das Know-how streng gehütet wird und wo es keinen Datenaustausch gibt. Auf den übrigen Gebieten kann dann versucht werden, durch gezielte Herausgabe und Gewinnung von Daten den wirtschaftlichen Erfolg zu sichern.

Mehr unter

Teil 1: Warum Industrie 4.0 bei Ihnen auch nicht funktionieren wird

Lesen Sie nächsten Dienstag in Teil 3, wie Sie Ihr Unternehmen auf den richtigen Weg bringen.