Vor kurzem vom JSOF-Forschungslabor entdeckt, handelt es sich bei Ripple20 um eine Reihe von mehreren Zero-Day-Schwachstellen in TCP/IP-Stacks, die weltweit in IoT-Geräten weit verbreitet sind. Die Schwachstelle ist in einem proprietären, voll ausgestatteten TCP/IP-Kommunikations-Stack zu finden, der für eingebettete Geräte und Echtzeitbetriebssysteme entwickelt wurde. Als grundlegendes Netzwerkelement ist dieser Stack ein Baustein für jedes Gerät, das über ein Netzwerk funktioniert. Das weltweite Problem besteht darin, dass nicht bekannt ist, welche eingebetteten TCP/IP-Stacks verwundbar sind. Die betroffenen IoT-, USB- und Server-Geräte sind weit verbreitet, bis hin zu Druckern, Glühbirnen und Smart Metering.

Milliarden Geräte gefährdet

In kürzlich veröffentlichten Hacker-Nachrichten hieß es, dass Ripple20-Fehler „Milliarden von Geräten mit Internetanschluss dem Risiko des Hackens aussetzen“. Das von Treck in den USA entwickelte Ripple 20 wurde in Produkten für Haushalte und Verbraucher ebenso wie für  Unternehmen, Telekommunikation, Nuklear-, Transport- sowie Öl- und Gasgeräte in kritischen Infrastrukturen entdeckt, wobei eingebettete Echtzeit-Protokolle und eingebettete Geräte bereits seit 1997 verwendet werden. Darüber hinaus konnte eine einzelne Komponente infiltriert werden, um auf andere Netzwerkgeräte überzugreifen. Geräte können auf Fehlfunktionen eingestellt werden, wobei große internationale Anbieter betroffen sein können.

Rudolf Rohr, Mitbegründer und geschäftsführender Gesellschafter von Barox, erläutert das Problem aus dem Blickwinkel von Sicherheitsinstallateuren und Systemdesignern: „Um Geräte und Netzwerke vor Ripple20-Schwachstellen zu schützen, muss ein zweckspezifischer Filter so konfiguriert werden, dass er niemals fragmentierte UDP akzeptiert“.

Mit dem Barox-Switch der RY-28-Serie, so Rohr, könne Deep Cyber Protection so konfiguriert werden, dass fragmentiertes UDP automatisch erkannt und über die integrierten ACL-Switch-Menüoptionen gestoppt wird, so dass fragmentiertes UDP blockiert und Netzwerke und ihre Geräte wie IP-Kameras, VMS und Server vor illegalem Zugriff geschützt werden.

Es sei auch wichtig, so Rudolf Rohr weiter, „eine Netzwerksegmentierung über den Switch zu schaffen. Mit dieser Abwehrmaßnahme mildert Barox die Auswirkungen und hilft Installateuren und Endbenutzern, ihre Netzwerksicherheitssysteme vor potenziellen Ripple20-Bedrohungen zu schützen”

Weitere Informationen: Barox-Switch der RY-28-Serie

Mehr Sicherheit, einfachere Bedienung

Eine Reihe von Neuerungen der 28er Serie der RY-L-Switche von Barox sorgt für mehr Sicherheit und einfachere Bedienung. Neben den 10G-Uplinks (in Zeiten von 4K und mehr) gewährleistet das neu strukturierte GUI eine verbesserte Benutzerfreundlichkeit. Das Monitoring befindet sich jetzt im Bereich der Konfiguration und erspart einige Klicks. Das neue Non-Stop-PoE bestromt Kameras auch beim Neustart des Switches ohne Unterbrechung. Dadurch stehen die Kamerabilder sofort wieder zur Verfügung und der Anwender spart wertvolle Zeit.

Ergänzend zu den bisherigen Sicherheitsmerkmalen kann jetzt auch der Netzwerkverkehr gezielter abgesichert werden. So lassen sich etwa Protokolle der höheren Schichten wie z. B. HTTP oder Telnet unterbinden. Mit diesen starken Werkzeugen können ungewollte Unterhaltungen z. B. einer Kamera zu einem Spionageserver verhindert werden.

Absicherung von innen

In den Switchen befinden sich also immer mehr Firewall-Funktionen. Diese sichern das Netz von innen ab. Wo normale Firewalls nur die Verbindung in die Außenwelt kontrollieren, sind Barox-Switche im Inneren des Netzes aktiv und inspizieren den Datenverkehr. Ist dieser Datenverkehr atypisch für Video-Informationen, kann dieser unterbunden werden und somit eine innere Infizierung des Netzes (z. B. durch einen mitgebrachten Memory-Stick) verhindert werden.

Außerdem bietet die Serie mehr PoE-Leistung – was auch bei kleinen Switchen immer wichtiger ist, da zwischenzeitlich Kameras mit 90W erhältlich sind.

Weitere Informationen: Barox-Switch der RY-28-Serie

3 Fragen an …

… Produktmanager Dieter Hiestand von Barox Kommunikation

GIT SICHERHEIT: Herr Hiestand, Videonetzwerke müssen vor Cyber-Angriffen geschützt werden – das ist die Spezialität von Barox. Wie schätzen Sie die gegenwärtige Bedrohungslage ein?

Dieter Hiestand: Bis Anfang des Jahres 2020 waren die meisten Bedrohungen innerhalb der Firmen zu verzeichnen. Mit der Covid-19-Pandemie hat sich allerdings einiges geändert. Durch die vielen Homeoffice-Lösungen wird eine neue Dimension der Angriffe auf die Firmennetzwerke eröffnet. Angriffe auf VPN-Tunnels gab es schon immer, aber deren Anzahl ist stark gestiegen. Zudem sind auch häufiger Rechner in den Netzen, die sowohl privat als auch für die Firma genutzt werden. Dies vor allem bei kleineren Firmen. Diese Tatsache bedingt auch in den privaten Netzwerken viel effizientere Schutzmaßnahmen.

Insbesondere um den Schutz von Netzwerken vor den Ripple20-Schwachstellen geht es bei den neuen Barox-Switchen der RY-28 Managed Ethernet-Reihe. Wie wird das erreicht? 

Dieter Hiestand: In der neusten Switch-Generation haben wir eine starke ACL (Access Control List) eingebaut. Hier können wir sehr feine Filter für das interne Netzwerk einsetzten. So auch für fragmentierte Pakete und Schadsoftware. Allerdings müssen solche Einstellungen von einem Fachmann durchgeführt werden.

Worin liegen die wesentlichen Neuerungen?  

Dieter Hiestand: Bei den 28xx-Switchen wurde ein komplett neues Hardwaredesign verwendet. Es gibt ein neues Bedienkonzept auf vertrautem GUI. Außerdem wurden Konfiguration und Monitoring zusammengelegt. Dies bedeutet wesentlich weniger Mausklicks bei einer Konfiguration. also effizienteres Arbeiten. Non-Stop-PoE ist ein weiteres Feature: Ohne Verlust der Power-Over-Ethernet-Leistung kann der Switch neu gestartet werden. Das heißt bei einem Firmware-Update muss nicht die gesamte Anlage neu gestartet werden. Dies ist sehr hilfreich bei größeren Kamerainstallationen. Außerdem zu nennen: Das ERPS-Protokoll für eine schnelle Umschaltung in redundanten Installationen; verbesserte ACL für den Schutz des privaten internen Netzwerkes sowie ein kontrolliertes Firmware-Upgrade via Device Management System.

Weitere Informationen: Barox-Switch der RY-28-Serie