Deep Packet Inspection (DPI)
Konventionelle Firewalls untersuchen nur die Header von TCP/IP-Paketen für die Filterung und das sogenannte Connection Tracking, d.h. für die Prüfung, ob eine neu zu eröffnende Verbindung zulässig oder ein Paket Bestandteil einer bereits als zulässig erkannten Verbindung ist. Bei OPC Classic scheitern sie an genau diesem Connection Tracking, da Client und Server in den zwischen ihnen ausgetauschten Nutzdaten vereinbaren, wie sie dynamisch Ports und Verbindungsrichtung wechseln werden. Lässt man die Firewall hingegen mit einer Deep Packet Inspection (DPI) genannten Technik auch die Nutzdaten der Pakete auswerten, wird ein Connection Tracking möglich. Die Absprachen zwischen Client und Server nach Eröffnen einer zulässigen Verbindung werden von der Firewall verfolgt und zu deren Abwicklung dann dynamisch entsprechende weitere Ports geöffnet und wieder geschlossen.
mGuard OPC Inspector: DPI im Einsatz
Mit dem mGuard OPC Inspector hat Innominate für die Firewall seiner industriellen mGuard Security Appliances ein solches DPI-Modul realisiert. Es analysiert Pakete an den Zielport TCP 135 und erkennt OPC-Classic-Kommunikation. Um diese durch die Firewall zu ermöglichen, muss statisch nur noch die initiale Verbindung vom Client zum TCP-Port 135 des Servers erlaubt werden. Der OPC Inspector übernimmt dann das Connection Tracking und die weitere dynamische Konfiguration der Firewall. Konsistenzprüfungen stellen sicher, dass auf diesem Wege tatsächlich nur OPC-Classic-Verkehr zugelassen wird. Security Appliances mit mGuard OPC Inspector können im Stealth-Modus transparent nachgerüstet werden. Alternativ können sie als Router betrieben werden, dann als besonderes Merkmal auch mit Maskierung oder 1:1 NAT des OPC-Classic-Verkehrs.
Zusammenfassung und Ausblick
Das plattformunabhängige Security-Modell von OPC UA stellt eine erhebliche Verbesserung gegenüber OPC Classic dar. Eine Kontrolle der OPC-UA-Netzwerk-Kommunikation ist mit herkömmlichen Firewalls möglich. Zur besseren Absicherung von Bestandsanlagen stehen nachrüstbare industrielle Firewall Router mit spezieller Deep Packet Inspection für OPC Classic zur Verfügung, die sehr viel präziseren Schutz mit vereinfachtem Regelwerk bieten. In einem vom BSI beauftragten Projekt werden die Security-Konzepte von OPC UA seit Anfang 2015 eingehend untersucht. Phase 1 des Projekts zielt auf eine theoretische Analyse des Standards selbst, Phase 2 auf eine praktische Sicherheitsprüfung seiner Referenzimplementierung. Ergebnisse waren zum Zeitpunkt der Erstellung dieses Artikels noch nicht verfügbar. Eventuell entdeckte Schwachstellen sollen im Rahmen einer Responsible Disclosure zunächst mit der OPC Foundation erörtert und die Ergebnisse erst danach veröffentlicht werden.
