Zum Hauptinhalt springenZum Seitenfuß springen

 |  Blog

Edge-Device integrieren – aber sicher

Kein guter Start: Sie rufen die Webseite Ihres neuen Routers auf und der Browser begrüßt Sie erst einmal mit einer unübersehbaren Sicherheitswarnung. Dasselbe Problem stellt sich bei IoT- und Edge-Geräten, die in ein internes Netzwerk integriert werden. Sobald mit dem Browser auf das Gerät zugegriffen wird, erscheint die Sicherheitswarnung.

Wie die sichere Integration von IoT- und Edge-Geräten in ein internes Netzwerk gelingt, lesen Sie in diesem Blogbeitrag.

Für die sichere Kommunikation zwischen Teilnehmer:innen im Netzwerk hat sich das TLS-Protokoll etabliert. Es sorgt für die Verschlüsselung der Daten, stellt aber auch die Integrität der übertragenen Daten sicher und sorgt, was in diesem Kontext besonders wichtig ist, dafür, dass die Anwender:innen sich sicher sein können, dass sie mit dem erwarteten Kommunikationspartner sprechen. Zu diesem Zweck werden Zertifikate eingesetzt. Anerkannte Autoritäten bestätigen solche Zertifikate. Im Internet gibt es zahlreiche Anbieter, die die Bestätigung (Signierung) eines Zertifikats als Dienstleistung anbieten. Browser vertrauen solchen Zertifikaten dann automatisch.

So weit, so gut. Ein Hersteller von Geräten mit Webserver (die nicht im öffentlichen Internet, sondern in lokalen Netzen eingesetzt werden) steht allerdings vor einem anderen Problem. Er möchte eine sichere Kommunikation anbieten, kann aber kein allgemein gültiges Zertifikat für den Webserver des Gerätes anbieten. Dies funktioniert nur für öffentliche Webseiten, die beispielsweise durch einen Domainnamen eindeutig identifizierbar sind.  

Der Gerätehersteller kann dieses Problem nicht vollständig lösen, daher werden auf Geräten oft selbstsignierte Zertifikate verwendet. Damit ist das Gerät prinzipiell in der Lage, TLS zu nutzen. Allerdings zeigen Webbrowser in diesem Fall zu Recht einen Sicherheitshinweis an: Das Zertifikat des Gerätes ist nicht vertrauenswürdig, da die Identität des Gerätes nicht bestätigt ist. Das ist nicht nur ein Hindernis für Benutzer:innen, sondern birgt auch erhebliche Sicherheitsrisiken wie Man in the Middle (MITM) Angriffe.

Für dieses Problem gibt es verschiedene Lösungsansätze.

Im Internet bestätigt eine öffentliche Certificate Authority (CA) die Webseitenidentität anhand des Domainnamens. Der Browser zeigt ein kleines Schloss als Indikator an.

Im lokalen Netzwerk kann es dem Betreiber ermöglicht werden, eine eigene, lokale CA zur Erstellung des Gerätezertifikats zu verwenden. Dazu wird auf dem Gerät ein privater Schlüssel erzeugt und sicher verwahrt. Mit diesem wird dann ein Certificate Signing Request (CSR) erzeugt und dem Betreiber zur Verfügung gestellt, damit dieser mit seiner CA das Gerätezertifikat erzeugen kann.

 

Und so funktioniert es

Schritt 1: Stammzertifikat für die lokale CA erstellen

Ein Stammzertifikat ist technisch gesehen ein selbstsigniertes Zertifikat, das als Vertrauensanker auf den Client-Geräten dient. Dieses Stammzertifikat sollte mit starken Verschlüsselungsalgorithmen erstellt werden. Für die lokale Nutzung ist es nicht zwingend erforderlich, dass der Betreiber eine vollständige PKI (Public Key Infrastructure) aufbaut. Das Stammzertifikat sollte jedoch möglichst sicher verwahrt werden, um die Sicherheit des lokalen Netzwerks nicht zu gefährden.

Das Stammzertifikat muss auf allen Clients installiert werden, um Vertrauen in die von den Netzwerkgeräten verwendeten Zertifikate zu schaffen. Warum? Wenn das Stammzertifikat auf den Clients installiert ist, erkennt das Betriebssystem die von diesem Stammzertifikat signierten Zertifikate als vertrauenswürdig an. Ohne die Installation des Stammzertifikats würden die Clients weiterhin Warnmeldungen über nicht vertrauenswürdige Zertifikate anzeigen.

Schritt 2: Certificate Signing Request generieren

Für jedes Netzwerkgerät wird ein privater Schlüssel und ein Certificate Signing Request (CSR) generiert. Der CSR enthält die für das Gerätezertifikat erforderlichen Informationen, wie z.B. den öffentlichen Schlüssel und die Identitätsinformationen, d.h. die IP-Adresse oder den lokalen DNS-Namen des Gerätes.Mithilfe des CSR kann die CA ein signiertes Gerätezertifikat ausstellen.

Während der Generierung der CSR ist es äußerst wichtig sicherzustellen, dass der private Schlüssel des Geräts das Gerät niemals verlässt, d.h. niemals im Netzwerk übertragen wird. Der private Schlüssel sollte sicher aufbewahrt und vor unbefugtem Zugriff geschützt werden.

Schritt 3: Zertifikat signieren und installieren

Im letzten Schritt erstellt der Betreiber mithilfe seiner lokalen CA und dem CSR das Gerätezertifikat und signiert es mit dem Stammzertifikat. Anschließend wird das signierte Gerätezertifikat auf dem Gerät installiert. Damit ist sichergestellt, dass dem Gerät nun von allen Clients vertraut wird, die dem Stammzertifikat vertrauen.

 

Fazit

In lokalen Netzwerken können Gerätezertifikate nicht von öffentlichen CAs ausgestellt und verifiziert werden. Daher werden Router, IoT- und Edge-Geräte in der Regel ab Werk mit selbstsignierten Zertifikaten für TLS ausgeliefert. Diese können jedoch von den Clients im eigenen Netzwerk nicht verifiziert werden. Dies führt zu Vertrauensproblemen und Sicherheitswarnungen. Als Lösung sollte es der Gerätehersteller dem Betreiber ermöglichen, Zertifikate zu verwenden, die von einer lokalen CA signiert sind. Auf diese Weise kann er Vertrauen zwischen den Geräten schaffen und die Sicherheit des lokalen Netzwerks verbessern.

Unser Expertenteam zeigt Ihnen wie Sie Ihr IoT und Edge-Geräte ganz einfach in ein internes Netzwerk integrieren können. Kommen Sie einfach auf uns zu.

Über den Autor

 

Max Markon arbeitet bei M&M Software GmbH im Bereich IoT & Edge mit Leidenschaft für die Automatisierung und Cloud Technologien. Er hat Allgemeine Informatik mit der Vertiefung IT Security und Netzwerke an der Hochschule Furtwangen studiert. In zahlreichen Projekten bei M&M Software konnte er sein Wissen in der Praxis einsetzen und erweitern. 

Erstellt von