Sicherheitsempfehlungen für die Inbetriebnahme des PowerTag Link-Gateways
Standard-Benutzerkonten
Um einen ersten Verbindungsaufbau zum Produkt zu ermöglichen, damit das Verfahren zur Inbetriebnahme durchgeführt werden kann, werden Standard-Benutzerkonten bereitgestellt.
 WARNUNG |
|---|
|
MÖGLICHE BEEINTRÄCHTIGUNG DER VERFÜGBARKEIT,
INTEGRITÄT UND VERTRAULICHKEIT DES SYSTEMS
Ändern Sie das Standardpasswort bei der ersten Verwendung,
um jeden unberechtigten Zugriff auf die Geräteeinstellungen,
-steuerelemente und -informationen zu unterbinden.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden
zur Folge haben.
|
Die Konten und zugehörigen Passwörter werden in der Benutzerdokunmentation beschrieben. Die weitere Verwendung dieser Konten während des Betriebs ist nicht sicher.
Bei der Inbetriebnahme sollten diese Konten durch neue Konten für den Produktbetrieb und die Produktwartung ersetzt werden. Die Konten sollten durch ein starkes Passwort gesichert werden.
Produktkonfiguration der Sicherheitsdienste
Die meisten Produktdienste sind standardmäßig deaktiviert, um Angriffsfläche und Anfälligkeit zu reduzieren. Demzufolge sollten nur die Dienste aktiviert werden, die für den Produktbetrieb unbedingt erforderlich sind. Wenn die HTTPS-Funktion aktiviert wird, wird die gesamte über den HTTP-Port abgewickelte Kommunikation automatisch an den HTTPS-Port weitergeleitet.
Einige Sicherheitsdienste wie beispielsweise HTTPS können so konfiguriert werden, dass z. B. die Sicherheitsschicht deaktiviert und das einfache HTTP ohne sichere Kommunikation verwendet wird. Diese Fähigkeit wird nur zum Zweck der Interoperabilität mit älteren Produkte oder Netzwerkgeräten bereitgestellt. Es wird nachdrücklich empfohlen, die Sicherheitsoptionen nicht zu deaktivieren. Wenn die HTTPS-Funktion aktiviert wird, wird die gesamte über den HTTP-Port abgewickelte Kommunikation automatisch an den HTTPS-Port weitergeleitet.
Modbus-TCP-Kommunikation
Das PowerTag Link-Gateway unterstützt die Modbus-TCP-Netzwerkkommunikation. Bei aktiviertem Modbus-TCP-Dienst wird nachdrücklich empfohlen, die Protokollverwendung durch Aktivierung und Konfiguration der Modbus-IP-Filterung zu sichern.
Mit dieser Funktion können Sie den Zugriff auf den PowerTag Link-Modbus-Dienst auf diejenigen Netzwerkendpunkte beschränken, die explizit in den Filtern konfiguriert wurden.
Webserver-Zertifikat des Produkts
Um Unterstützung für die sichere HTTP-Kommunikation zu gewährleisten, sobald das Produkt installiert wurde, ist das PowerTag Link-Gateway standardmäßig mit einem selbstsignierten X.509v3-Zertifikat ausgestattet.
Dieses Zertifikat ermöglicht Ihnen die Einrichtung einer HTTPS-Kommunikation, die Datenintegrität und Datenschutz sicherstellt, der jedoch einige Durchsetzungsmaßnahmen zur Unterstützung der kompletten Kommunikationsauthentizität fehlen (wie in den meisten Webbrowsern anhand von Sicherheitswarnmeldungen ausgewiesen).
Für hochsensible Installationen wird empfohlen, dieses Zertifikat zu ersetzen und das PowerTag Link-Gateway mit einem von einer bekannten Zertifizierungsstelle signierten Zertifikat zu importieren.
Sichere Kommunikation mit Wireless-Sensoren und -Geräten
Die Nutzungskontrolle der Wireless-Kommunikation zwischen PowerTag Link-Gateway und Wireless-Sensoren und -Geräten erfolgt über einen Kopplungsmechanismus. Nur Wireless-Sensoren und -Geräte, die mit dem PowerTag Link-Gateway gekoppelt wurden, können am Wireless-Netzwerk teilnehmen.
Darüber hinaus wird die Wireless-Kommunikation über kryptografische Mechanismen gesichert, die die Integrität und den Schutz der über das Wireless-Netzwerk ausgetauschten Daten sicherstellt.
Im Anschluss an die Kopplung wird empfohlen, die im PowerTag Link-Gateway konfigurierte Liste der gekoppelten Geräte regelmäßig zu prüfen, um sicherzustellen, dass keine unerwarteten oder bösartigen Geräte in der Geräteliste enthalten sind.