Suchen

IT-Sicherheit in der Rack-Stromversorgung Schwachstellen erkennen und beseitigen

| Autor / Redakteur: Wolfgang Goretzki / Julia Schmidt

Zahlreiche Geräte in Rechenzentren besitzen einen Netzwerkanschluss mit Webinterface oder anderen Netzwerkprotokollen, nicht nur aktive Netzwerkkomponenten, sondern auch Peripheriegeräte wie intelligente PDUs oder KVM-over-IP-Switches. Damit sind sie potentielle Einfallstore und müssen abgesichert werden, wie jede andere Netzwerkkomponente. Am Beispiel von intelligenten Rack-PDUs wird deutlich, wie umfangreich diese Sicherheitsmaßnahmen sein müssen.

Firmen zum Thema

Auch Peripheriegeräte wie intelligente PDUs oder KVM-over-IP-Switches, sind potentielle Einfallstore für Hackerangriffe und müssen abgesichert werden, wie jede andere Netzwerkkomponente.
Auch Peripheriegeräte wie intelligente PDUs oder KVM-over-IP-Switches, sind potentielle Einfallstore für Hackerangriffe und müssen abgesichert werden, wie jede andere Netzwerkkomponente.
(Bild: TheDigitalWay / Pixabay )

In Zeiten des massenhaften Remote Access von Mitarbeitern werden die Netzwerkverantwortlichen peinlich darauf achten, dass der Fernzugriff sicher erfolgt. Doch in einem Rechenzentrum befinden sich mittlerweile unzählige Komponenten mit Netzwerkkarte und verschiedenen Kommunikationsprotokollen. Sie lassen sich remote ansprechen und sind häufig in ein Datacenter-Infrastruktur-Management-(DCIM-)System eingebunden. Damit bieten auch sie sich als Einfallstor in die Unternehmens-IT an.

Passwortschutz alleine reicht nicht

Deshalb müssen diese Komponenten genauso umfassend abgesichert werden wie klassische Netzwerkkomponenten oder Home-Office-Arbeitsstationen. Der reine Passwortschutz reicht hier nicht aus. Die Kommunikation sollte verschlüsselt erfolgen, mit einer sicheren Authentifizierung und einem auf geprüften Zertifikaten basierendem Ident-Management.

Auch ein Firewall-Schutz gehört dazu. Hinzu kommen Aspekte wie sichere Geräte-Einstellungen, regelmäßige Firmware-Updates und natürlich die physische Absicherung. Denn Hacker sind heute große professionelle Expertengruppen mit eigenen Rechenzentren, die bei Angriffen systematisch nach Sicherheitslücken suchen.

Deshalb sollte ein Datacenter-(DC-)Verantwortlicher bei der Auswahl der Komponenten nur Produkte von Herstellern verwenden, bei denen die nötige IT-Security-Expertise vorhanden ist, sodass sich die Produkte möglichst umfassend absichern lassen.

Beispiel intelligente PDUs

Intelligente PDUs (Power Distribution Units) beispielsweise sind in der Regel per Ethernet-Schnittstelle an das Datacenter-Management-System angebunden und besitzen unter anderem ein Web-Interface zur Konfiguration. Sie geben Messwerte aus und melden Alarm bei Überschreitung von Grenzwerten.

Doch die Hersteller sind oft keine Ethernet- und IP-Spezialisten, sondern kommen aus der Welt der Energieverteilung mit Modbus und serieller Kommunikation. Wenn hier nur rudimentäres Wissen zum Thema IT-Security vorhanden ist, geht das zu Lasten der Sicherheit der Produkte.

Bild 1: Intelligente PDUs müssen abgesichert werden wie jede andere aktive Netzkomponente. Raritan beispielsweise hat seine iPDUs der RX-Serie mit umfangreichen Security-Funktionen ausgestattet.
Bild 1: Intelligente PDUs müssen abgesichert werden wie jede andere aktive Netzkomponente. Raritan beispielsweise hat seine iPDUs der RX-Serie mit umfangreichen Security-Funktionen ausgestattet.
(Bild: Raritan)

Verschlüsselung

Da die PDUs in der Regel an das sensible DC-Managementnetz angeschlossen sind, müssen alle Daten, die von den PDUs gesendet oder empfangen werden, mit leistungsfähigen Verfahren verschlüsselt werden. So sollten Verbindungen mit SNMP v3 (Simple Network Management Protocol) AES-verschlüsselt sein in Kombination mit möglichst langen Passwörtern, die in keiner Datenbank abgespeichert sind.

Bei der direkten Betrachtung von Daten über das Webinterface gilt: die meisten Browser unterstützen heute eine 256-Bit-Verschlüsselung. Diese sollte auch angewandt werden. Doch einige PDU-Hersteller setzen immer noch eine 128-Bit-Verschlüsselung ein oder verschlüsseln ihre PDUs gar nicht, sodass der gesamte Datenverkehr, der über die PDUs läuft, mit entsprechenden Tools einfach abgefangen werden kann. Über dieses Einfallstor können Hacker Passwörter stehlen oder zum Beispiel einfach nur die Steckdosen der PDU ausschalten.

Bei Webbrowser-Verbindungen sollte möglichst https und TLS 1.3 mit 256-Bit-Verschlüsselung gewählt werden. Denn TLS 1.3 gewährleistet den verschlüsselten Transport der Benutzer-Anmeldeinformationen von der PDU zum Remote-Authentifizierungsserver. Außerdem sollte der Port 80 deaktiviert sein, um unsichere http-Verbindungen zu unterbinden.

Kommuniziert die PDU über SSH-Verbindungen, wird per Public Key authentifiziert. Dies ist grundsätzlich dringend zu empfehlen und nicht nur, falls die Passwort-Authentifizierung nicht ausreichend oder aufgrund der verwendeten Skripte nicht durchführbar ist. Der Administrator sollte auch das unsichere Telnet-Protokoll immer deaktivieren.

Passwörter

Trotz der vielen verfügbaren Sicherheitsmaßnahmen bleiben Passwörter einer der kritischsten Bereiche der Sicherheit. Deshalb sollte jeder Nutzer und jede IT-Abteilung sorgsam mit den Anmeldedaten (Credentials) umgehen:

  • Keine Team-Credentials oder Weitergabe von Credentials
  • Einschränkung der mehrfachen gleichzeitigen Verwendung desselben Login-Credentials durch mehrere Clients
  • Sichere Passwörter erfordern mindestens acht Zeichen mit Klein- und Großbuchstaben, Zahlen und Sonderzeichen und verbieten die Verwendung der drei vorherigen Passwörter.
  • Ein Erzwingen von Passwort-Änderungen stellt sicher, dass das Standardpasswort nach dem ersten Einloggen geändert wird. Standardpasswörter sind der einfachste Weg für Hacker, die Kontrolle über angeschlossene Geräte zu übernehmen.
  • Passwörter mit Ablaufdatum stellen sicher, dass die Passwörter regelmäßig geändert werden.

Bild 2: Bei den iPDUs von Raritan können die Regeln zur Erstellung von Passwörtern und deren Haltbarkeit für jede PDU konfiguriert werden.
Bild 2: Bei den iPDUs von Raritan können die Regeln zur Erstellung von Passwörtern und deren Haltbarkeit für jede PDU konfiguriert werden.
(Bild: Raritan)

Die letzte Maßnahme begrenzt den Schaden, den ein etwa über Social Engineering an Hacker preisgegebenes Passwort anrichten kann. Doch Passwörter sollten auch nicht zu oft geändert werden, da diese dann gerne auf unsichere Art dokumentiert werden.

Sichere Authentifizierung

Am effizientesten ist eine serverbasierte Authentifizierung. Hier werden die Zugriffsrechte zentral auf einem Radius-Server oder über die Active Directory Domain Services verwaltet. Hier kann es zum Beispiel bei einem Personalwechsel nicht passieren, dass auf einem Gerät noch veraltete Zugriffsrechte aktiv sind.

Falls kein Authentifizierungs-Server verfügbar ist, bieten die meisten Geräte auch eine lokale Authentifizierung an. Diese sollte jedoch so konfiguriert werden, dass dies nur möglich ist, wenn der Authentifizierungs-Server nicht verfügbar ist. Am besten wird jedoch diese Funktion deaktiviert.

Bei der Autorisierung der einzelnen Nutzer sollte man möglichst granular aufgeteilte Benutzerrollen vergeben können. IT-Konfigurationen wie Authentication Settings, Network Settings oder SNMP Settings liegen im Aufgabenbereich des IT-Administrators; die Schwellwert- und Schutzeinstellungen oder die Konfiguration einer angeschlossenen Kamera sollte den jeweiligen Experten überlassen werden. Man kann ja übergreifende Ansichtsrechte vergeben.

Bild 3: Bei den PDUs von Raritan kann der Administrator über die Nutzerverwaltung eine rollenbasierte Zugriffskontrolle für die PDUs detailliert konfigurieren.
Bild 3: Bei den PDUs von Raritan kann der Administrator über die Nutzerverwaltung eine rollenbasierte Zugriffskontrolle für die PDUs detailliert konfigurieren.
(Bild: Raritan)

Um Distributed-Denial-of-Service(DDoS)-Angriffe abzuwehren, ist es sinnvoll, wenn das System den Zugriff nach einer festgelegten Anzahl von fehlgeschlagenen Anmeldeversuchen abblockt und zudem die Quelle der Login-Versuche protokolliert. Das heißt auch, der Administrator muss für eine PDU die Anzahl der möglichen Versuche und den Zeitraum der Blockierung festlegen können. Zudem sollte das Gerät nicht nur bei Schwellwertüberschreitungen Alarme ausgeben, sondern auch bei sicherheitsrelevanten Ereignissen.

Firewall

Auf Rack-PDUs wird aus verschiedenen Gründen über IP zugegriffen - von der Datenerfassung über kritische Warnmeldungen bis hin zum Schalten der Ausgänge. Bei Systemen und Benutzern, die einen solchen Zugriff aus verschiedenen Segmenten des Unternehmensnetzwerks benötigen, ist es von entscheidender Bedeutung, den unbefugten Zugriff durch entsprechende Maßnahmen zu verhindern. Hierzu kann der Administrator über Regeln für die IP-basierten Zugriffskontrolllisten (IP ACL) bestimmen, ob der Datenverkehr zu und von den PDUs basierend auf der IP-Adresse des sendenden oder empfangenden Hosts akzeptiert oder verworfen wird.

Zusätzlich bietet sich eine rollenbasierte Zugriffskontrolle (RBAC) für die PDUs an. Hier ist die zugeteilte Rolle des jeweiligen Benutzers mit den zugehörigen Autorisierungen entscheidend für den Zugriff.

Zertifikate

Rack-PDUs werden zunehmend auch über öffentliche Netzwerke angesprochen. Dabei schützen gültige Zertifikate vor Man-in-the-Middle-Angriffen. X.509-Zertifikate stellen sicher, dass beide Parteien in einer sicheren Verbindung (TLS) authentifiziert sind. Um dies so effizient wie möglich zu gestalten, sind folgende Vorkehrungen sinnvoll:

CA-Zertifikate sind von öffentlichen und zertifizierten Stellen nach gründlicher Überprüfung der Geschäftstätigkeit des Benutzers ausgestellt und signiert. Idealerweise generiert die PDU-Schnittstelle sogar die Anforderung zur Zertifikatsunterzeichnung zur Vorlage bei Zertifizierungsstellen wie Verisign oder Digi-cert.

Wenn ein CA-Zertifikat nicht als notwendig oder geeignet erachtet wird, kann mit selbstsignierten Zertifikaten gearbeitet werden. Dazu sollte die PDU eine Schnittstelle zur Erzeugung solcher selbstsignierter Zertifikate bieten.

Darüber hinaus sollte der PDU-Hersteller die Meldungen von Zertifizierungsstellen wie US-CERT auf Hinweise auf Sicherheitslücken überwachen und diese möglichst umgehend zum Beispiel über ein Firmware-Update schließen.

Firmware-Updates

Firmware(FW)-Updates ergänzen die PDU nicht nur um neue Funktionen, sie beheben auch Softwarefehler und schließen Sicherheitslücken. Schon deshalb sollte eine PDU stets auf dem neuesten Firmware-Stand sein. Zudem spart das Zeit bei Support-Anfragen, denn spätestens dann muss die PDU den aktuellen FW-Stand aufweisen. Sollten schon längere Zeit keine Updates mehr durchgeführt worden sein, ist es möglich, dass sich das

Gerät gar nicht mehr updaten lässt, weil dies u. U. schrittweise erfolgen muss und alle benötigten Versionen nicht mehr vom Hersteller online verfügbar sind. Haben die installierten PDUs unterschiedliche FW-Stände kann es zum Beispiel bei kaskadierten Systemen zu Inkompatibilität kommen. Auch bei der Einbindung in Monitoring- oder DCIM-Software könnte das zu Problemen führen.

Ein Backup der PDU-Konfiguration vor der Installation eines FW-Updates erleichtert die Neukonfiguration. Um keine bösen Überraschungen zu erleben, sollte der Administrator zudem vorher die Release Notes lesen und berücksichtigen und gegebenenfalls die neue FW-Version zunächst an einer nicht produktiven PDU testen.

Weitere Sicherheitsmaßnahmen

Rack-PDUs spielen eine entscheidende Rolle bei der Verwaltung der Strominfrastruktur und bei der Steuerung der Stromversorgung sowie bei der Serververwaltung. Daher muss sichergestellt sein, dass wirklich nur explizit autorisierte Systeme und Nutzer darauf zugreifen können. Folgende zusätzlichen Konfigurationen und Maßnahmen sind hier hilfreich:

  • Time Out inaktiver Sitzungen
  • Enforcing Restricted Service Agreement
  • Nutzung fester IP-Adressen statt DHCP
  • Variation von Portnummern für beispielsweise SSH, TLS
  • IPv6-Unterstützung, auch als Investitionsschutz
  • Hersteller nutzt Vulnerability Scanner, um bekannte Sicherheitslücken aufzuspüren; Raritan etwa nutzt den von Nessus
  • PDU basiert auf Open Source Software und wird als gehärtetes System betrieben.

Bei einem gehärteten System werden alle nicht benötigten Services mit deren Zugangs-Toren nicht mitkompiliert.

Bild 4: Bei den intelligenten PDUs von Raritan lässt sich die Konfiguration effizient per USB-Stick durchführen.
Bild 4: Bei den intelligenten PDUs von Raritan lässt sich die Konfiguration effizient per USB-Stick durchführen.
(Bild: Raritan)

Physische Sicherheit

Die PDU ermöglicht ein Zurücksetzen einschließlich der Anmeldedaten auf die Werkseinstellung wenn man physischen Zugang zur PDU hat. Deshalb ist es wichtig, sich auch über die physische Absicherung Gedanken zu machen.

Damit auch vor Ort kein Unbefugter auf die PDUs zugreifen kann, sollte der Schrank oder der entsprechende DC-Bereich mit einem intelligenten Türschloss ausgestattet sein, bei dem das Einrichten von definierten Wartungsfenstern plus Authentifizierung am Rack möglich ist. Eine Netzwerkkamera ermöglicht beim Öffnen des Schlosses die Protokollierung der Person.

Um Zugriffe auf die Racks nachvollziehen zu können, müssen sämtliche Ereignisse an ein zentrales Managementsystem gemeldet und dort zum Beispiel zusammen mit den zugehörigen Video-Aufzeichnungen gespeichert werden. Bei den intelligenten PDUs der „PX“-Serie von Raritan beispielsweise ermöglichen Sensor-Ports die Integration einer Schranküberwachung, die in ein gängiges DCIM-System eingebunden werden kann.

Bild 5: Die physische Absicherung eines Schranks oder Cages kann bei den Raritan iPDUs der RX-Serie über den Sensor-Port erfolgen und in ein gängiges DCIM-System eingebunden werden.
Bild 5: Die physische Absicherung eines Schranks oder Cages kann bei den Raritan iPDUs der RX-Serie über den Sensor-Port erfolgen und in ein gängiges DCIM-System eingebunden werden.
(Bild: Raritan)

Weitere Aspekte

Die komplexe Konfiguration einer PDU allein für das Sicherheits-Management kann sehr zeitaufwändig und fehleranfällig sein. Eine Bulk-Konfiguration etwa per USB-Stick beschleunigt den Vorgang und gewährleistet eine korrekte Konfiguration mit den globalen und individuellen Parametern.

Fazit des Autors

Auch die Schnittstellen für die Monitoring-Software sowie Konsolenserver, KVM-over-IP-Switches und Ähnliches mehr müssen in vergleichbarer Weise abgesichert werden. Auch sie sind potentielle Einfallstore für Hacker. Grundsätzlich sollte ein DC-Verantwortlicher nur Technologien mit umfassenden Sicherheitsmechanismen nutzen und diese dann auch möglichst im vollen Umfang einsetzen.

Zudem ist es zum Beispiel für die Schließung von Sicherheitslücken entscheidend, dass der Hersteller Expertise im Bereich Netzwerk/IP und IT-Security nachweisen kann. Damit auch das Personal oder Servicetechniker vor Ort nicht unbefugt auf die IT-Schränke zugreifen können, ist der physische Schutz der Geräte mindestens ebenso wichtig.

* Wolfgang Goretzki leitet das Sales Engineering EMEA bei Legrand Systems. Raritan ist ein Unternehmen der Legrand Group.

(ID:46600660)