De PROFIBUS, PROFINET & IO-Link dag 2011

Slides:



Advertisements
Verwante presentaties
Cloud Computing Seminar 28 juni Automatisering Systeembeheer Bekabelde netwerken Draadloze netwerken ICT beveiliging Zakelijk internet Online back-up.
Advertisements

Maak een scan van uw organisatie met de Toolkit Duurzame Inzetbaarheid
De zin en onzin van escrow
802.1x op het SURFnet kantoor
Edushock leerfestival
De PROFIBUS, PROFINET & IO-Link dag 2011
Evaluatie van MS Exchange 2000 en opzetten van een server voor wereldwijde uitwisseling van projectinformatie Bertels David 3ICT1 Stageplaats: Acros Organics.
Downloaden: Ad-aware. Downloaden bestaat uit 3 delen: •1. Zoeken naar de plek waar je het bestand kan vinden op het internet •2. Het nemen van een kopie.
EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.
™.
Onderwerpen Oude situatie Eerste aanpak en problemen
De PROFIBUS, PROFINET & IO-Link dag 2011 Share our Vision for Automation.
2 3 Eindpunt Draait op een pc High Definition Video over IP (Videocommunicatie) Diensten: - HD videocommunicatie - HD virtuele vergadering (video conference)
De PROFIBUS, PROFINET & IO-Link dag 2011
Kennismaking met de computerconfiguratie
Ronde (Sport & Spel) Quiz Night !
© 2006 Consilience B.V.1. 2 E-Dienstverlening in de praktijk Noordwijk, 5 september 2006 K.P.Majoor Adviseur Consilience B.V.
Presentatie Thuisnetwerken
GigaPortGigaPort Klaas Wierenga 14 Maart 2001.
VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.
VPN Technologieën en oplossingen. VPN en IP VPN Leased line netwerk Echt ‘privaat’ netwerk: eigen lijnen met gegarandeerde capaciteit Per connectie een.
F. Rubben NI Lookout 1 06/RIS/05 - NI Lookout VTI Brugge F. Rubben, ing.
Automation and Drives PROFINET technologie A&D AS/PT2/MC, 08/2005 Trends & functionaliteit PROFINET  Real-time communicatie  Veldunits  Motion Control.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
Installeren, configureren en onderhouden
Blackboard bijeenkomst 25 april Network Load Balancing & ISA Server (2006) J.G.A. Jans Hogeschool INHOLLAND
Telewerken.
TUDelft Knowledge Based Systems Group Zuidplantsoen BZ Delft, The Netherlands Caspar Treijtel Multi-agent Stratego.
INFORMATICA ACADEMIE >> Opleidingen ism VERA. INFORMATICA ACADEMIE Voor informatici... CNAP (cursus netwerkbeheerder) volgende sessie start in januari.
Basis MAI1 Basiscursus MAI-2 B. J. Wielinga. Basis MAI2 Hoofdstuk 2 Technische begrippen rond netwerken mediumnetwerk: minimaal 3 verbonden elementen.
Werken aan Intergenerationele Samenwerking en Expertise.
SAUTER EY3600 DE NETWERKTOPOLOGIE.
2009 Tevredenheidsenquête Resultaten Opleidingsinstellingen.
PLAYBOY Kalender 2006 Dit is wat mannen boeit!.
Meerdere platforms over hetzelfde netwerk: DOS Windows 3.X & 9X NT ‘Office’ applicaties; administratie; gekoppeld aan apparatuur Verschillende Microsoft.
Remote lab netwerkbeveiliging Onderliggende toepassingen en technieken.
Netwerken / Internet ICT Infrastructuren David N. Jansen.
1 ICT Infrastructuren 19 november 2007 David N. Jansen.
Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
EduRoam SEC seminar, 22 februari 2005
1 Controleplan 2005 Raadgevend comité Hotel President – donderdag 21 april 2005.
Steven Körmeling, Mark Rotteveel, Jan Kouwenhoven januari 2006
ECHT ONGELOOFLIJK. Lees alle getallen. langzaam en rij voor rij
Duurzame Inzetbaarheid in de publieke sector. 2 Onderzoek In opdracht van Ministerie van BZK Secundaire analyse POMO 2010 Doelgroepen -Overheidssectoren.
hcc!pc Werkgroep netwerken
Opleiding CMS website Gent Bart Nelis Gent: #239/ docentengang Brussel: /naast bibliotheek
De financiële functie: Integrale bedrijfsanalyse©
Onsight Managed Security Services
Oefeningen Workshop RIE Gemeenten
Samen-bouwen … over paneelbouw en de rest!
1 Zie ook identiteit.pdf willen denkenvoelen 5 Zie ook identiteit.pdf.
ZijActief Koningslust
Virtual Knowledge Center Doelstelling KBC Verzekeringen - 13 november 2003.
Peter Van Poyer - 3BO Firewall ICT – 4 november 2003.
Beveiligingsaspecten van draadloze hotspots Toepassing van 802.1x met FreeRADIUS Steven Wittevrouw Bachelor Elektronica - ICT 3ICT
Cegeka & TenForce Ronde tafel 17/06/2014 Doelstellingenmanagement VO.
W W W. N E D P O R T A L. N L Network-wide event log monitoring.
30 sept 2011 MCS Kennissessie Remote Beheer Remote Beheer Met Conel Routers.
Wat is het Wat doet het Waar zit een firewall in
TOR NETWERK.
OPENINGSCASE: Het Okanagan-Skaha School District doet meer met minder door te profiteren van netwerken en internet.
Netwerken & Internet 3.
Netwerken & Internet 1.
Transcript van de presentatie:

De PROFIBUS, PROFINET & IO-Link dag 2011 Share our Vision for Automation

Security in industriële netwerken Brecht Schamp Industrial Network Specialist Phoenix Contact Benelux bschamp@phoenixcontact.be De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Inhoud Waarom TCP/IP op de productievloer? (4) Maar hoe zit dat met security? (5) Wat is het doel van security? (6) Security: ICT vs. Industrie (7) Security Aanpak (8) Fysieke beveiliging van de netwerkinfrastructuur (9) Logische beveiliging van de netwerkinfrastructuur (10) Logische beveiliging van de datatrafiek (11) Firewalls (12) DmZ (13) Integrity Monitoring (14) Remote Access (15) Remote Access: Hoe? (16) Voorbeeldproject (17-27) Belangrijke aandachtspunten voor security (28) Links (29) De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Waarom TCP/IP op de productievloer? TCP/IP integratie tussen machine netwerk en office netwerk Eenvoudigere & transparante informatiestroom optimaliseren productie traceerbaarheid bewaken productie TCP/IP is een standaard minder afhankelijk van 1 producent eenvoudiger om gespecialiseerd personeel te vinden investeringskost lager (kennis, tools, netwerkinfrastructuur, …) De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Maar hoe zit dat met security? Anders dan vroeger? Vroeger ook een eis Nu meer aandacht Awareness vanuit ICT-wereld Open & transparante technologie Meer kennis In de Industrie: gespreid over alle producenten, geen proprietair systeem meer Uit de ICT-wereld: hobbyisten, netwerkadministrators, hacking community, studenten De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Wat is het doel van security? Availability - Uptime garanderen Integrity - Verlies van data vermijden Confidentiality - Confidentialiteit Beschermen van: Productie & grondstoffen Personeel Machines Milieu Receptuur 99.99x % UPTIME De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Security: ICT vs. industrie Andere prioriteiten - (A)vailability, (I)ntegrity, (C)onfidentiality ICT: C-I-A Industrie: A-I-C Updates: niet (don’t touch a running system) of vertraagd Bij aanval niet onmiddellijk platgooien Realtime eisen belangrijker Ander soort data Locatie security hardware ICT: Centraal Firewall waar internet binnen komt Industrie: Decentraal Zo dicht mogelijk tegen de machine De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Security Aanpak In-Depth Security = meerdere lagen 1. Fysieke beveiliging van de netwerkinfrastructuur 2. Logische beveiliging van de netwerkinfrastructuur 3. Logische beveiliging van de datatrafiek Niet meer alleen de taak van ICT-afdeling alleen Streef naar een goede dialoog tussen ICT & productie Wederzijds opleiden Hybride werknemers De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken 1. Fysieke beveiliging van de netwerkinfrastructuur Fysieke beveiliging van de kast of de ruimte sleutel, badge, code Toegangscontrole voor personeel en externen Mechanische beveiliging van poorten en/of kabels De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken 2. Logische beveiliging van de netwerkinfrastructuur Managed switches Gebruik van VLANs Effectief verlagen van netwerkbelasting Logische scheiding tussen subnetten Netwerkredundantie RSTP, MRP, … Hubs vervangen Communicatie minder makkelijk te onderscheppen Link monitoring/diagnose om uptime te optimaliseren Poorten beveiligen/monitoren via access control NAT-masquerading of 1:1 NAT om interne IP-structuur te verbergen Quality of Service (QoS) minimale doorvoer garanderen voor control data Broadcast limiting Effecten van broadcast storms minimaliseren De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken 3. Logische beveiliging van de data(trafiek) (User) Firewalls – Packet Filters – Integrity Monitoring Beperken van de trafiek van en naar het productienetwerk Stateful inspection Beveiliging tegen DoS attacks, SYN-floods PLCs beveiligen via een user firewall inloggen op firewall voor toegang loggen van toegang (accountability) DmZ bouwen (best practice) buffer tussen office en productienetwerk herbergt gedeelde infrastructuur Integrity monitoring Extern monitoren van CIFS shares met kritische stuurprogramma’s/data Wijzigingen rapporteren Externe virusscans De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Firewalls Op de productievloer Vooral decentraal Streven naar individuele bescherming van units op de werkvloer Kan niet via software oplossingen Voor IT Centraal waar internet binnenkomt Decentraal via software firewalls De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken DmZ - Demilitarized Zone Vormt de buffer tussen office en productie netwerk Rechtstreekse communicatie tussen office en productie netwerk wordt geblokkeerd Servers die zowel vanuit productie als vanuit office beschikbaar moeten zijn worden in de DmZ geplaatst vb. Historian, SQL Server, AV Server, Syslog Server Via VLANs kan de DmZ nog eens opgesplitst worden De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Integrity Monitoring Productiesystemen: geen antivirus-software omwille van belasting en nood aan updates Integrity Monitoring: die systemen toch beschermen minimale belasting 2 mechanismen: Integrity Checking AV Scan Connector 2. Virtuele alleen-lezen CIFS share wordt ter beschikking gesteld voor een externe AV-scanner door Antivirus Scan Connector 1. Onverwachte wijzigingen van uitvoerbare code detecteren door Integrity Checking De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Remote Access Integratie van TCP/IP in de productie brengt nieuwe mogelijkheden met zich mee voor remote access Maar dient op een veilige manier te gebeuren! Transport van pakketten over potentieel onveilig netwerk Extra ingang naar productienetwerk = extra risico Selectieve toegang voorzien Enkel het nodige Afwegen noden vs. risico Meer kennis over netwerktechnologie vereist dan voor de meeste andere taken op de productievloer De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Remote Access: Hoe? VPN (Virtual Private Network) tunneling Veilige tunnel tot aan de machine Geen repercussies op het office netwerk Geen backdoor zoals analoge modems Gaat nog steeds door firewall(s) Mechanismen ingebouwd voor authenticatie encryptie integriteit Uitgaand en inkomend verkeer Bewuste keuze maken Verschil voor firewall configuratie en port forwarding op de eindpunten Firewall binnen VPN tunnel voor extra flexibiliteit in controle en restrictie van de communicatie Mogelijkheden voor 1:1 NAT aan beide kanten Machinebouwers geven vaak hetzelfde IP-adres aan alle machines De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Voorbeeldproject +één groot mesh-netwerk +hoge dekkingsgraad +hoge datasnelheid VPN -potentieel onveilig -kosten voor publieke IP-adressen De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken +ook mobiele stations kunnen verbonden worden -snelheid lager dan bedraad -hogere latency dan bedraad -kosten -dekking? De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken PxC Zevenaar (NL) bedraad internet 1 statisch IP-adres (of dynDNS) mGuard in serverruimte De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Lokaal AX-IF netwerk serverruimte VMWare ESX Server VM met AutomationWorX VM met SQL? VM met FTP? Vaste ILC De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken PxC Zaventem (BE) De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Remote Sites Meerdere toestellen (machines) toevoegen aan het Virtual Private Network bvb. /29 netwerk => 6 toestellen worden beschikbaar Doel Toegang vanop afstand naar deze machines Middel VPN tunnel Beveiligde verbinding over onveilige internet De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Remote Sites 1) Bedraad internet 2) GPRS/EDGE De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Remote Sites 1) Bedraad internet mGuard 2) GPRS/EDGE De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Remote Sites 1) Bedraad internet mGuard 2) GPRS/EDGE  2G/3G modem De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Road Warriors 1 enkele laptop of pc toevoegen aan het Virtual Private Network => /32 netwerk Doel Machines servicen Mobiliteit en gebruiksgemak staan centraal Middel VPN Tunnel Beveiligde verbinding over onveilige internet Software client of mobiele mGuard Smart² De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken 2) Draadloos software client Road Warriors Remote Sites 1) Bedraad mGuard software client De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Belangrijke aandachtspunten voor security Risicoanalyse! Kosten-batenanalyse 100% security bestaat niet: niet praktisch of financieel haalbaar Periodiek testen van de security en remote access voorzieningen Change management & documentatie Security Policy Meer dan enkele onderdelen monteren Totaalconcept Procedures ISA99 standaarden schrijft de stappen voor om tot een volledig totaalconcept voor security te komen afgeleid van ISO/IEC 17799:2005 en ISO/IEC 27001:2005 uit ICT De PROFIBUS, PROFINET & IO-Link dag 2011

Security in industriële netwerken Links Phoenix Contact België http://www.phoenixcontact.be Phoenix Contact mGuard info http://www.phoenixcontact.com/mGuard ISA – International Society of Automation http://www.isa.org/ ISA99 – Industrial Automation and Control Systems Security http://www.isa-99.com/ ISO – International Organization for Standardization http://www.iso.org De PROFIBUS, PROFINET & IO-Link dag 2011

Bedankt! Meer info? Brecht Schamp Industrial Network Specialist Phoenix Contact Benelux bschamp@phoenixcontact.be De PROFIBUS, PROFINET & IO-Link dag 2011