• Zielgruppen
  • Suche
 

Absicherung von "Embedded Systems" im Netzwerk

Als "Embedded Systems" werden Geräte wie Drucker, Kopierer, Scanner, Printserver (auch mit WLAN), Network Attached Storage (NAS), Unterbrechungsfreie Stromversorgung (USV), WebCams, Video Konferenz Equipment, IP-Telefone, Beamer, Laborgeräte, Messgeräte und andere Geräte mit Netzanschluss bezeichnet.

Embedded Systems finden bei der Absicherung des Netzwerkes oft wenig Beachtung.
Sie haben allerdings neben CPU, Speicher und teilweise auch Flashspeicher oder Festplatte, auch ein Netzwerkinterface und verfügen über ein eigenes Betriebssystem (inzwischen häufig ein Linux oder Windows-CE). Das macht Sie grundsätzlich zu einem Computer mit Eigenschaften, wie sie jeder Server oder Arbeitsplatz-PC hat.

Doch während bei Servern und Arbeitsplatzrechner regelmäßig Updates eingepflegt werden, eine Firewall wie IPTables oder die Windows-Firewall ihren Dienst tut und ein Virenscanner läuft, verrichten die Embedded Systems einmal in Betrieb genommen ihren Dienst ohne weitere Pflege. Dabei sind sie zum einen durch Ihren Funktionsumfang, sowohl durch die Dienste als auch wegen der unterstützten Protokolle selbst, ein Problem: Wer würde schon einen ungepatchten Telnet-, Web-, FTP-Server betreiben, der zudem IPX, AppleTalk und IPv6 sprechen kann? Zum Anderen geben die Dienste viele Informationen preis.

Als großes Problem ist z.B. eine aus der Ferne ausnutzbare Sicherheitslücke von Samba, einem Fileserver-Programm, zu nennen, die zu einer kritischen Anfälligkeit von NAS-Geräten führen dürfte. Was heutzutage Embedded Systems leisten können, sie man (wenngleich das keine bösartige Missnutzung ist) z.B. an Doom auf dem Drucker.

Gefährdungen

Hier ein Auszug aus den Missbrauch-Möglichkeiten, die sich durch diese Geräte ergeben:

  • Einsicht in Dokumente (z.B. durch ein Dokumentenserver auf einem Drucker)
  • Einsicht in Fax-Sende- und Empfangsberichte, Berichte über den Druckverlauf
  • Abschalten von USVen (angeschlossene Server werden nicht ordentlich runtergefahren, Störung für die Nutzer)
  • Löschen von Ergebnissen von Versuchsreihen
  • Betrachten von Webcam-Bildern
  • Die Einstellung von Beamern verändern (evt. kurz vor einer Präsentation)
  • Ausnutzung als Relay für interne Angriffe (Intranet, Layer-2)

Maßnahmen

Deshalb sollten Sie, Folgendes beachten:

  • Vergeben Sie Passworte für die Administrationsschnittstellen und für SNMP (Communitystrings).
  • Beschränken Sie den Zugriff auf das Gerät. Dieses auch bzgl. des zugreifenden IP-Bereichs: wenn möglich durch IP-Zugriffsbeschränkungen des Gerätes, ggf. durch Nicht-Setzen einer Gateway-Adresse.
  • Sperren Sie zusätzlich den Zugriff in einer Firewall (z.B. im Netzschutz des Rechenzentrum oder an der Gateway-Firewall der LUH durch das Rechenzentrum).
  • Weitere Informationen zu Druckern finden Sie im Vortrag zur Sicherheitslage/WS07 auf S.10ff.
  • Deaktivieren Sie Dienste, die Sie nicht benötigen.
  • Deaktivieren Sie Protokolle, die Sie nicht benötigen (z.B. Appletalk, IPX oder NetBios).
  • Nutzen Sie sichere Protokolle wie z.B. https statt http.
  • Halten Sie die Firmware aktuell.

Hinweise zu speziellen Geräten

Hinweise zu Multifunktionsdruckern von Ricoh/Nashuatec/NRG

Zu den Multifunktionsdruckern der Firma Ricoh/Nashuatec/NRG haben wir von einzelnen Nutzern folgende Hinweise erhalten:

  • Begrenzen Sie die Verweildauer der Dokumente auf dem Dokumentenserver. Diesen Vorgang können Sie nur über das Bedienfeld am Gerät selber durchführen.
    Wählen Sie unter Systemeinstellungen -> Administratoren-Tools ->  "Dokumente aus Dokumenten-Server automatisch löschen". Hier kann die Verweildauer der Dokumente eingegeben werden.
  • Bei neueren Geräten soll die Möglichkeit einer Benutzerkontrolle bestehen. Leider liegt uns hier noch kein Erfahrungsbericht vor. Der Nutzer hält seine Kollegen aber dazu an, Dokumente mit einem Passwort zu versehen.
  • Wenn Sie den "Smart Net Monitor" verwenden, können Sie eventuell das   Webinterface abschalten. Bauen Sie hierzu eine Verbindung per telnet zu dem Gerät auf. Nach der Anmeldung geben Sie den Befehl "set web down" ein. Nach dem logout mit "logout" werden Sie gefragt, ob Sie diese Änderung speichern wollen. Diese Frage bestätigen Sie mit "yes".

Erfahrungsberichte und Hinweise nehmen wir gerne entgegen. Für Rückfragen stehen wir ebenfalls gerne zur Verfügung: Kontakt