can-erhernet

Angriffserkennung für hybride Fahrzeug-Netzwerke

Bald schon werden Vehicle Computer (VC) und breitbandiges Automotive Ethernet heutige Bordnetze mit ihren dutzenden, durch CAN-, LIN- und FlexRay-Datenbusse verbundenen Steuergeräten ergänzen. Letztere bleiben gefragt, wo es hohe Echtzeitanforderungen und zyklisch wiederkehrende Funktionen umzusetzen gilt. Ansonsten übernehmen mikroprozessorbasierte, in Virtual Machines partitionierte Zentralrechner. Denn sie sind den Herausforderungen vernetzter, automatisierter Fahrzeuge besser gewachsen.

Doch wie lassen sich die hybriden CAN-Ethernet-Architekturen und deren Datenprozesse effektiv absichern? Grundsätzlich bleibt es bei zwei Prinzipien: Abschirmung der Kommunikation sowie Partitionierung. Lückenlose Überwachung der Kommunikation ist geboten, um Cyberattacken frühzeitig zu erkennen. Domänenspezifische virtuelle Teilnetze (VLANs) minimieren im Fall eines Angriffs die Eindringtiefe. Beides ist in hybriden Bordnetzen machbar, erfordern allerdings für die CAN- und die Ethernet-Welt verschiedene methodische Ansätze.

Effiziente Angriffserkennung für CAN

Zur Überwachung der CAN-Busse lässt sich ein Intrusion Detection System (IDS) in Gateways oder zentrale Steuergeräte integrieren. Anomalien im CAN-Datenverkehr erkennt es im Abgleich mit dem vom OEM spezifizierten „Normalverhalten“. Die eingebettete Security-Komponente erkennt beispielsweise Anomalien bei zyklischen Botschaften sowie missbräuchliche Diagnoseanforderungen, die es jeweils als potenzielle Angriffe klassifiziert und loggt bzw. meldet (Bild 1).

Die Leistungsfähigkeit des CAN-IDS (CycurIDS) hängt direkt von der Qualität seiner Konfiguration ab. Daher sollten effiziente initiale Regeln des OEM kontinuierlich durch neue Erkennungsmechanismen auf Basis von Analysen aktueller Angriffsvektoren ergänzt werden, um eine hohe Erkennungsrate bei möglichst wenigen Fehlalarmen zu erreichen. Die Umsetzung steht und fällt mit der Qualität des Werkzeugkastens, der bei der initialen Konfiguration und der kontinuierlichen Weiterentwicklung der Regelsätze zum Einsatz kommt. Als Ready-to-Use-Software ist das IDS (CycurIDS) als CAN-Angriffserkennung in hybriden Bordnetzen jederzeit einsatzbereit.

Bild 1: Das CAN-IDS erkennt Anomalien bei zyklischen Botschaften und den Missbrauch von Diagnoseanforderungen.

Automotive Firewall im Ethernet Switch

Für die sichere, reibungslose Ethernet-Kommunikation in hybriden Bordnetzen hingegen ist eine Automotive Ethernet Firewall (CycurGATE) das Mittel der Wahl. Wird diese direkt im Ethernet Switch implementiert, kann sie den kompletten Packet Flow überwachen, ohne dass Interferenzen mit Steuergeräten oder dem Host Controller drohen. Durch ausbalanciertes Co-Design von Hard- und Software kann die Firewall die Hardwarebeschleunigung auf dem Switch optimal nutzen. Das Gros der Datenpakete wird so mit Wirespeed verarbeitet. Hauptaufgabe ist die Abwehr von Denial-of-Service Attacken. Doch indem die Firewall die Partitionierung in allen Netzwerkschichten aufrechterhält, unterstützt sie auch den sicheren Datenaustausch zwischen partitionierten Domänen. Hierfür filtert ein „Packet Filter“ die ein- und ausgehenden Daten, die jeweils per „Stateful Packet Inspection“ und vertiefter „Deep Packet Inspection“ überprüft werden.

Die Automotive Ethernet Firewall (CycurGATE) schützt das Bordnetz also nicht nur vor unbefugtem Zugriff und Manipulation, sondern dient obendrein zur Steuerung der On-Bordkommunikation (Bild 2). Sie deckt den Ethernet/IP Stack inklusive der gängigen Automotive Protokolle (z. B. SOME/IP) vollständig ab und überwacht die Zugänge zu Netzen und VLANs. Gefiltert wird die Kommunikation anhand von jederzeit aktualisierbaren White- oder Blacklists, was die schnelle, wirksame Reaktion auf neue Angriffsmuster gewährleistet.

Bild 2: Automotive Ethernet Firewall übernimmt Gatekeeper- und Routerfunktionen.

Intelligente Lastverteilung

Neben der Implementierung im zentralen Ethernet Switch ist es möglich, Host-basierte Firewalls direkt in Steuergeräte zu integrieren. Das setzt hoch performante Lösungen voraus. Die Firewall muss leistungsstark genug sein, um in Echtzeit zu prüfen und zu entscheiden, ob und wohin sie einzelne Datenpakete routet. Komplexe Angriffserkennungsmuster, etwa über die Frequenz der zustandsorientierten SOME/IP-Kommunikation, kann die Firewall nicht abdecken. Hier ist ein zusätzliches Ethernet-IDS geboten, das Muster von Anomalien anhand der Nachrichtenfrequenz, Sequenz, Nutzlastdaten und Services erkennt und als Angriffsversuche loggt bzw. meldet. Im Sinne optimaler Performance bedarf dieser Ansatz intelligenter Lastenverteilung zwischen Switch und Mikrocontroller. Firewalling und Intrusion Detection können teils im Switch und teils im Zielsteuergerät erfolgen.

Im Zusammenspiel können CAN-IDS, Automotive Ethernet Firewall und Ethernet-IDS hybride E/E-Architekturen zuverlässig und ohne merkliche Latenzen schützen. Eingebettet in ganzheitliche Security-Konzepte sind sie zentrale Bausteine der Risikoabwehr und der funktionalen Sicherheit im vernetzten und zunehmend automatisierten Fahrzeug der Zukunft.

SHARE THIS

Language:
ISO 9001:2015 Home