NENUX - Gehärtetes Betriebssystem

Alle Geräte der Produktfamilien Fernwirk-Gateway und Smart Telecontrol Unit erfüllen die hohen Standards für Software in kritischen Infrastrukturen. Diese beruhen auf den Vorgaben des BDEW-Whitebooks. Die Betriebssystemplattform NENUX 6.0 bietet wichtige Upgrades für die Sicherheit bei der Datenübertragung zwischen Netzleitstelle und Fernwirkstation.

Die Hash-Funktion SHA512 sorgt für eine sichere Ablage der Passwörter auf dem Gerät. Für die VPN-Kommunikation kommen mit AES256 und SHA256 sicherere Kryptoalgorithmen zum Einsatz. Die VPN-Verschlüsselung basiert auf Strongswan und verwendet standardmäßig IKEv2 sowie die Diffie-Hellman-Gruppe 14 (modp2048).

Das Geräte-Management erfolgt ausschließlich über die sicheren Protokolle SFTP und HTTPS sowie SNMPv3. Zusätzlich werden über Benutzerrollen Rechte definiert. Die Geräte verwenden eindeutige Sicherheitsschlüssel, z. B. für die Installation von IT-Security-Patches. Die Daten-Partition der integrierten Speicherkarte ist komplett verschlüsselt.

Mit Linux 3.18 kommt ein aktueller, langzeitunterstützter Kernel zum Einsatz. Der Kernel bietet optimierte Treiber, Virtualisierung und Security-Unterstützung.

Alle Geräte sind schon im Auslieferungszustand gehärtet. Zusätzliche Maßnahmen verstärken diese Härtung:

  •  Firewall aktivieren
  •  externe Schnittstellen deaktivieren
  •  ADM-Schnittstelle deaktivieren
  •  Web-Server deaktivieren

NENUX Funktionen

FunktionSoftware 6.0
Verschlüsselte Speicherkarte✔ (aktiv)*
Betriebssystem (Basis)NENUX (Linux 3.18)
Benutzer-RollenkonzeptAnwender
Verwalter
Operator
Benutzer-AuthentifizierungShadow-Passwords (SHA512)
LDAP*, RADIUS*
OTP (OPIE)
Management:
Web-Oberfläche
SNMP
 
✔ (SSL/TLS)
✔ (SNMPv1-v3)
Protokolle:
SSH/SFTP
Telnet/FTP
 

nicht erlaubt
VPN-Kommunikation* [RFC4301]IPSec/IKE/IKEv2, (PSK, Zertifikate), (Strongswan)
IKEv1 (kompatibel), IKEv2 (Standard)
Hash SHA1, Hash SHA256 (Standard), Hash SHA512
Diffie-Hellman-Gruppen* 2     modp1024
5     modp1536
14   modp2048 (Standard)
22   modp1024s160
23   modp2048s224
24   modp2048256
IPSec-Komprimierung*
Firewall
NTP-Authentifizierung
Patch Management
Geräteschlüssel

* Diese Funktion ist nur mit der Security-Lizenz verfügbar.