Absicherung von "Embedded Systems" im Netzwerk

Als "Embedded Systems" werden Geräte wie Drucker, Kopierer, Scanner, Printserver (auch mit WLAN), Network Attached Storage (NAS), Unterbrechungsfreie Stromversorgung (USV), WebCams, Video Konferenz Equipment, IP-Telefone, Beamer, Laborgeräte, Messgeräte und andere Geräte mit Netzanschluss bezeichnet.

Embedded Systems finden bei der Absicherung des Netzwerkes oft wenig Beachtung.
Sie haben allerdings neben CPU, Speicher und teilweise auch Flashspeicher oder Festplatte, auch ein Netzwerkinterface und verfügen über ein eigenes Betriebssystem. Das macht Sie zu einem Computer mit Eigenschaften, wie sie jeder Server oder Arbeitsplatz PC hat.

Doch während bei Servern und Arbeitsplatzrechner regelmäßig Updates eingepflegt werden, eine Firewall wie IPTables oder die Windows Firewall ihren Dienst tut und ein Virenscanner läuft, verrichten die Embedded Systems einmal in Betrieb genommen ihren Dienst ohne weitere Pflege. Dabei sind sie zum einen durch Ihren Funktionsumfang, sowohl durch die Dienste als auch wegen der unterstützten Protokolle selbst, ein Problem: Wer würde schon einen ungepatchten Telnet-, Web-, FTP-Server betreiben, der zudem IPX, AppleTalk und IPv6 sprechen kann? Zum Anderen geben die Dienste viele Informationen preis. Wenn ein solches System in falsche Hände gerät, kann es als Relay für interne Attacken genutzt werden.

Als großes Problem ist z.B. eine aus der Ferne ausnutzbare Sicherheitslücke von Samba, einem Fileserver-Programm, zu nennen, die zu einer kritischen Anfälligkeit von NAS-Geräten führen dürfte.

Hier ein Auszug aus den Missbrauch-Möglichkeiten, die sich durch diese Geräte ergeben:

• Einsicht in Dokumente (z.B. durch ein Dokumentenserver auf einem Drucker)
• Einsicht in Fax Sende- und Empfangsberichten, Berichte über den Druckverlauf
• Abschalten von USVen (andeschlossene Server werden nicht ordentlich runtergefahren, Störung für die Nutzer)
• Löschen von Ergebnissen von Versuchsreihen
• Betrachten von Webcam-Bildern
• Die Einstellung von Beamern verändern (evt. kurz vor einer Präsentation)

Deshalb sollten Sie, Folgendes beachten:

• Vergeben Sie Passworte für die Administrationsschnittstellen und für SNMP (Communitystrings).
• Beschränken Sie den Zugriff auf das Gerät.
• Nehmen Sie am kostenlosen Netzschutz des RRZN teil.
• Wenn Sie eine Firewall betreiben oder das Gerät Zugriffsbeschränkungen unterstützt, dann aktivieren Sie diese.
• Ansonsten entfernen sie den Eintrag für das Default-Gateway.
• Weitere Informationen zu Druckern finden Sie im Vortrag zur Sicherheitslage/WS07 auf S.10ff.
• Deaktivieren Sie, wenn möglich, Dienste, die Sie nicht benötigen.
• Deaktivieren Sie Protokolle, die sie nicht benötigen, wie z.B. Appletalk, IPX oder NetBios.
• Nutzen Sie sichere Protokolle wie z.B. https statt http.
• Halten Sie die Firmware aktuell.

Hinweise zu Multifunktionsdruckern von Ricoh/Nashuatec/NRG

Zu den Multifunktionsdruckern von der Firma Ricoh/Nashuatec/NRG haben wir von einzelnen Nutzern folgende Hinweise erhalten:

• Begrenzen Sie die Verweildauer der Dokumente auf dem Dokumentenserver. Diesen Vorgang können Sie nur über das Bedienfeld am Gerät selber durchführen.
  Wählen Sie unter Systemeinstellungen -> Administratoren-Tools ->  "Dokumente aus Dokumenten Server automatisch löschen". Hier kann die Verweildauer der Dokumente eingegeben werden.
• Bei neueren Geräten soll die Möglichkeit einer Benutzerkontrolle bestehen. Leider liegt uns hier noch kein Erfahrungsbericht vor. Der Nutzer hält seine Kollegen aber dazu an, Dokumente mit einem Passwort zu versehen.
• Wenn Sie den "Smart Net Monitor" verwenden, können Sie eventuell das   Webinterface abschalten. Bauen Sie hierzu eine Verbindung per telnet zu dem Gerät auf. nach der Anmeldung geben Sie den Befehl "set web down" ein. Nach dem logout mit "logout" werden Sie gefragt ob Sie diese Änderung speichern wollen. Diese Frage bestätigen Sie mit "yes".

Erfahrungsberichte und Hinweise nehmen wir gerne entgegen. Für Rückfragen stehen wir ebenfalls gerne zur Verfügung: Kontakt