De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

De PROFIBUS, PROFINET & IO-Link dag 2011 Share our Vision for Automation.

Verwante presentaties


Presentatie over: "De PROFIBUS, PROFINET & IO-Link dag 2011 Share our Vision for Automation."— Transcript van de presentatie:

1 De PROFIBUS, PROFINET & IO-Link dag 2011 Share our Vision for Automation

2 Security in industriële netwerken Brecht Schamp Industrial Network Specialist Phoenix Contact Benelux 2 De PROFIBUS, PROFINET & IO-Link dag 2011

3 3 Security in industriële netwerken Waarom TCP/IP op de productievloer? (4) Maar hoe zit dat met security? (5) Wat is het doel van security? (6) Security: ICT vs. Industrie (7) Security Aanpak (8) Fysieke beveiliging van de netwerkinfrastructuur (9) Logische beveiliging van de netwerkinfrastructuur (10) Logische beveiliging van de datatrafiek (11) Firewalls (12) DmZ (13) Integrity Monitoring (14) Remote Access (15) Remote Access: Hoe? (16) Voorbeeldproject (17-27) Belangrijke aandachtspunten voor security (28) Links (29) Inhoud

4 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken TCP/IP integratie tussen machine netwerk en office netwerk Eenvoudigere & transparante informatiestroom optimaliseren productie traceerbaarheid bewaken productie TCP/IP is een standaard minder afhankelijk van 1 producent eenvoudiger om gespecialiseerd personeel te vinden investeringskost lager (kennis, tools, netwerkinfrastructuur, …) Waarom TCP/IP op de productievloer?

5 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Anders dan vroeger? Vroeger ook een eis Nu meer aandacht Awareness vanuit ICT-wereld Open & transparante technologie Meer kennis In de Industrie: gespreid over alle producenten, geen proprietair systeem meer Uit de ICT-wereld: hobbyisten, netwerkadministrators, hacking community, studenten Maar hoe zit dat met security?

6 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Availability - Uptime garanderen Integrity - Verlies van data vermijden Confidentiality - Confidentialiteit Beschermen van: Productie & grondstoffen Personeel Machines Milieu Receptuur Wat is het doel van security? 99.99x % UPTIME UPTIME

7 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Andere prioriteiten - (A)vailability, (I)ntegrity, (C)onfidentiality ICT: C-I-A Industrie: A-I-C Updates: niet (don’t touch a running system) of vertraagd Bij aanval niet onmiddellijk platgooien Realtime eisen belangrijker Ander soort data Locatie security hardware ICT: Centraal Firewall waar internet binnen komt Industrie: Decentraal Zo dicht mogelijk tegen de machine Security: ICT vs. industrie

8 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken In-Depth Security = meerdere lagen 1. Fysieke beveiliging van de netwerkinfrastructuur 2. Logische beveiliging van de netwerkinfrastructuur 3. Logische beveiliging van de datatrafiek Niet meer alleen de taak van ICT-afdeling alleen Streef naar een goede dialoog tussen ICT & productie Wederzijds opleiden Hybride werknemers Security Aanpak

9 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Fysieke beveiliging van de kast of de ruimte sleutel, badge, code Toegangscontrole voor personeel en externen Mechanische beveiliging van poorten en/of kabels 1. Fysieke beveiliging van de netwerkinfrastructuur

10 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Managed switches Gebruik van VLANs Effectief verlagen van netwerkbelasting Logische scheiding tussen subnetten Netwerkredundantie RSTP, MRP, … Hubs vervangen Communicatie minder makkelijk te onderscheppen Link monitoring/diagnose om uptime te optimaliseren Poorten beveiligen/monitoren via access control NAT-masquerading of 1:1 NAT om interne IP-structuur te verbergen Quality of Service (QoS) minimale doorvoer garanderen voor control data Broadcast limiting Effecten van broadcast storms minimaliseren 2. Logische beveiliging van de netwerkinfrastructuur

11 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken (User) Firewalls – Packet Filters – Integrity Monitoring Beperken van de trafiek van en naar het productienetwerk Stateful inspection Beveiliging tegen DoS attacks, SYN-floods PLCs beveiligen via een user firewall inloggen op firewall voor toegang loggen van toegang (accountability) DmZ bouwen (best practice) buffer tussen office en productienetwerk herbergt gedeelde infrastructuur Integrity monitoring Extern monitoren van CIFS shares met kritische stuurprogramma’s/data Wijzigingen rapporteren Externe virusscans 3. Logische beveiliging van de data(trafiek)

12 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Op de productievloer Vooral decentraal Streven naar individuele bescherming van units op de werkvloer Kan niet via software oplossingen Voor IT Centraal waar internet binnenkomt Decentraal via software firewalls Firewalls

13 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Vormt de buffer tussen office en productie netwerk Rechtstreekse communicatie tussen office en productie netwerk wordt geblokkeerd Servers die zowel vanuit productie als vanuit office beschikbaar moeten zijn worden in de DmZ geplaatst vb. Historian, SQL Server, AV Server, Syslog Server Via VLANs kan de DmZ nog eens opgesplitst worden DmZ - Demilitarized Zone

14 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Productiesystemen: geen antivirus-software omwille van belasting en nood aan updates Integrity Monitoring: die systemen toch beschermen minimale belasting 2 mechanismen: Integrity Checking AV Scan Connector Integrity Monitoring 2. Virtuele alleen-lezen CIFS share wordt ter beschikking gesteld voor een externe AV-scanner door Antivirus Scan Connector 1. Onverwachte wijzigingen van uitvoerbare code detecteren door Integrity Checking

15 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Integratie van TCP/IP in de productie brengt nieuwe mogelijkheden met zich mee voor remote access Maar dient op een veilige manier te gebeuren! Transport van pakketten over potentieel onveilig netwerk Extra ingang naar productienetwerk = extra risico Selectieve toegang voorzien Enkel het nodige Afwegen noden vs. risico Meer kennis over netwerktechnologie vereist dan voor de meeste andere taken op de productievloer Remote Access

16 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken VPN (Virtual Private Network) tunneling Veilige tunnel tot aan de machine Geen repercussies op het office netwerk Geen backdoor zoals analoge modems Gaat nog steeds door firewall(s) Mechanismen ingebouwd voor authenticatie encryptie integriteit Uitgaand en inkomend verkeer Bewuste keuze maken Verschil voor firewall configuratie en port forwarding op de eindpunten Firewall binnen VPN tunnel voor extra flexibiliteit in controle en restrictie van de communicatie Mogelijkheden voor 1:1 NAT aan beide kanten Machinebouwers geven vaak hetzelfde IP-adres aan alle machines Remote Access: Hoe?

17 Security in industriële netwerken 17 De PROFIBUS, PROFINET & IO-Link dag hoge dekkingsgraad - potentieel onveilig + één groot mesh-netwerk - kosten voor publieke IP-adressen + hoge datasnelheid VPN Voorbeeldproject

18 Security in industriële netwerken 18 De PROFIBUS, PROFINET & IO-Link dag ook mobiele stations kunnen verbonden worden - snelheid lager dan bedraad - kosten - dekking? - hogere latency dan bedraad

19 Security in industriële netwerken PxC Zevenaar (NL) bedraad internet 1 statisch IP-adres (of dynDNS) mGuard in serverruimte 19 De PROFIBUS, PROFINET & IO-Link dag 2011

20 Security in industriële netwerken 20 De PROFIBUS, PROFINET & IO-Link dag 2011 Lokaal AX-IF netwerk serverruimte VMWare ESX Server VM met AutomationWorX VM met SQL? VM met FTP? Vaste ILC

21 Security in industriële netwerken 21 De PROFIBUS, PROFINET & IO-Link dag 2011 PxC Zaventem (BE)

22 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Remote Sites Meerdere toestellen (machines) toevoegen aan het Virtual Private Network bvb. /29 netwerk => 6 toestellen worden beschikbaar Doel Toegang vanop afstand naar deze machines Middel VPN tunnel Beveiligde verbinding over onveilige internet

23 Security in industriële netwerken 23 De PROFIBUS, PROFINET & IO-Link dag 2011 Remote Sites 1) Bedraad internet 2) GPRS/EDGE

24 Security in industriële netwerken 24 De PROFIBUS, PROFINET & IO-Link dag 2011 Remote Sites 1) Bedraad internet  mGuard 2) GPRS/EDGE

25 Security in industriële netwerken 25 De PROFIBUS, PROFINET & IO-Link dag 2011 Remote Sites 1) Bedraad internet  mGuard 2) GPRS/EDGE  2G/3G modem

26 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Road Warriors 1 enkele laptop of pc toevoegen aan het Virtual Private Network => /32 netwerk Doel Machines servicen Mobiliteit en gebruiksgemak staan centraal Middel VPN Tunnel Beveiligde verbinding over onveilige internet Software client of mobiele mGuard Smart²

27 2) Draadloos  software client 1) Bedraad  mGuard  software client Security in industriële netwerken 27 De PROFIBUS, PROFINET & IO-Link dag 2011 Road Warriors Remote Sites

28 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Risicoanalyse! Kosten-batenanalyse 100% security bestaat niet: niet praktisch of financieel haalbaar Periodiek testen van de security en remote access voorzieningen Change management & documentatie Security Policy Meer dan enkele onderdelen monteren Totaalconcept Procedures ISA99 standaarden schrijft de stappen voor om tot een volledig totaalconcept voor security te komen afgeleid van ISO/IEC 17799:2005 en ISO/IEC 27001:2005 uit ICT Belangrijke aandachtspunten voor security

29 De PROFIBUS, PROFINET & IO-Link dag Security in industriële netwerken Phoenix Contact België Phoenix Contact mGuard info ISA – International Society of Automation ISA99 – Industrial Automation and Control Systems Security ISO – International Organization for Standardization Links

30 Bedankt! Meer info? Brecht Schamp Industrial Network Specialist Phoenix Contact Benelux 30 De PROFIBUS, PROFINET & IO-Link dag 2011


Download ppt "De PROFIBUS, PROFINET & IO-Link dag 2011 Share our Vision for Automation."

Verwante presentaties


Ads door Google