Der CS141 als Gateway für USV-Netzwerkgeräte und Daten

Jedes Mal, wenn wieder ein Hacker-Angriff durch die Medien läuft, wird darüber diskutiert, wie man ein Hochsicherheitsnetzwerk gegen „Malware / Ransomware“ absichern kann – und stellt immer wieder fest, dass es unvermeidbar ist, dass einige kritische Elemente einer Infrastruktur untrennbar mit einem Netzwerkzugang verbunden sein müssen. Aber:
Wie soll man eine integrierte USV-SNMP Karte mit einer Firmware aus einer nicht zu 100% vertrauenswürdigen Quelle verwenden, ohne ein LAN-Anschluss in sein kritisches Netzwerk zu verbinden?

Ein Problem, welches im hochsensiblen Bereich der Stromversorgung zunehmend an Bedeutung gewinnt: Kein Serversystem funktioniert ohne eine funktionierende Stromversorgung. Die Erfahrung zeigt, dass zunehmend Angriffe auf genau diese Infrastruktur zielen.
Eine Firmware, bei der die Einflussnahme auf die Integrität und Sicherheit durch Regierungen angenommen werden könnte, gibt per se kein gutes Sicherheitsgefühl – der Makel bleibt bei allen Geräten „Made in China“. Hinzu kommt, dass mit steigender Anzahl unterschiedlicher Hardware jedes Unternehmen sein eigenes Biotop von „Abfrage- und Steuersoftware“ in Unternehmen installieren möchte, was die Anzahl an Clients und Softwaretools im Netzwerk schnell unübersichtlich macht. Als Folge müssen zahlreiche individuelle Ports im Netzwerk geöffnet werden, wodurch sich Hackern weitere Einfallstore auftun können.

Ein Netzwerk sollte nur die Ports offen haben, die wirklich benötigt werden!

Die Lösung ist hier, dass man die Netzwerkhardware vollständig vom eigenen Hochsicherheitsnetzwerk trennt und damit sämtliche Netzwerkverbindungen aus unbekannter oder nicht vertrauenswürdiger Quelle verbietet. Dafür gibt es unterschiedliche Ansätze, entweder über kostspielige Netzwerkswitche und deren Administratoren – oder die Verwendung des CS141/BACS als Gateway:

Grundsätzlich kämpfen alle sicherheitskritischen Infrastrukturen mit dem Problem, dass viele Hersteller für „ihre“ Geräte eigene „Systemkomplettlösungen“ bewerben. Im USV-Bereich haben sich jedoch gewisse Standards wie z.B. SNMP RFC 1628 durchgesetzt, die eigentlich jeder USV Hersteller unterstützen sollte. Diese „genormte“ Schnittstelle SNMP RFC 1628 verwendet der CS141 bereits Jahren, um mit SNMP Karten von anderen Herstellern zu kommunizieren. Der Anwender muss im USV Konfigurationsmenü lediglich als Model „SNMP-UPS RFC 1628 Compliant“ auswählen, und der CS141 übernimmt die SNMP Daten der anderen Karte und simuliert so den direkten Anschluss über COM/USB.

Diese SNMP-UPS RFC 1628 Kommunikationsart ermöglicht es den CS141, in allen Umgebungen als „Übersetzer“ einzusetzen, wo die eigentliche SNMP Karte den Anforderungen der Administratoren nicht entspricht oder die Integration dieser SNMP Karte ins Netzwerk auf Grund von Sicherheitsbedenken oder auch nur unterschiedlicher Interpretationen der RFC 1628 nicht gewünscht ist.
Hinzu kommt, dass die eigentliche Hardware selber nur passiv abgefragt wird, und dadurch gar nicht in einem Netzwerk in Erscheinung tritt. Wie gefährlich es ist, die eigentliche Hardware direkt im Netzwerk verfügbar zu machen, zeigt dieser aktuelle Artikel vom März 2022: TLStorm (armis.com). Dieser Artikel zeigt eindrucksvoll, warum gerade USV-Systeme zu einem zentralen Angriffsvektor auf eine Infrastruktur geworden sind.

Wie bereits an anderer Stelle im Newsletter beschrieben, zählt der CS141/BACS zu den sichersten Geräten im USV Markt und in der westlichen Welt am weitesten verbreitet.
Als Grund für diese hohe Reputation bei Endkunden ist nicht nur die Herkunft des Gerätes ausschlaggebend, neben Made in Germany und Made in USA, sind die technischen Daten des CS141/BACS der Grund. Die SYSLOG und RADIUS Funktion in den CS141/BACS liefert mit der Portfreigabe via IEEE 802.1X die technischen Voraussetzungen, um diesen Vertrauensstatus beim Endkunden zu erreichen und bildet damit die ideale Basis um sowohl „unsichere“ Netzwerkgeräte wie auch schlichtweg veraltete Netzwerkgeräte weiterhin sicher in modernen Netzwerken zu betreiben – über den „Umweg“ CS141.