Download de presentatie
GepubliceerdHendrik Molenaar Laatst gewijzigd meer dan 10 jaar geleden
1
De PROFIBUS, PROFINET & IO-Link dag 2011
Share our Vision for Automation
2
Security in industriële netwerken
Brecht Schamp Industrial Network Specialist Phoenix Contact Benelux De PROFIBUS, PROFINET & IO-Link dag 2011
3
Security in industriële netwerken
Inhoud Waarom TCP/IP op de productievloer? (4) Maar hoe zit dat met security? (5) Wat is het doel van security? (6) Security: ICT vs. Industrie (7) Security Aanpak (8) Fysieke beveiliging van de netwerkinfrastructuur (9) Logische beveiliging van de netwerkinfrastructuur (10) Logische beveiliging van de datatrafiek (11) Firewalls (12) DmZ (13) Integrity Monitoring (14) Remote Access (15) Remote Access: Hoe? (16) Voorbeeldproject (17-27) Belangrijke aandachtspunten voor security (28) Links (29) De PROFIBUS, PROFINET & IO-Link dag 2011
4
Security in industriële netwerken
Waarom TCP/IP op de productievloer? TCP/IP integratie tussen machine netwerk en office netwerk Eenvoudigere & transparante informatiestroom optimaliseren productie traceerbaarheid bewaken productie TCP/IP is een standaard minder afhankelijk van 1 producent eenvoudiger om gespecialiseerd personeel te vinden investeringskost lager (kennis, tools, netwerkinfrastructuur, …) De PROFIBUS, PROFINET & IO-Link dag 2011
5
Security in industriële netwerken
Maar hoe zit dat met security? Anders dan vroeger? Vroeger ook een eis Nu meer aandacht Awareness vanuit ICT-wereld Open & transparante technologie Meer kennis In de Industrie: gespreid over alle producenten, geen proprietair systeem meer Uit de ICT-wereld: hobbyisten, netwerkadministrators, hacking community, studenten De PROFIBUS, PROFINET & IO-Link dag 2011
6
Security in industriële netwerken
Wat is het doel van security? Availability - Uptime garanderen Integrity - Verlies van data vermijden Confidentiality - Confidentialiteit Beschermen van: Productie & grondstoffen Personeel Machines Milieu Receptuur 99.99x % UPTIME De PROFIBUS, PROFINET & IO-Link dag 2011
7
Security in industriële netwerken
Security: ICT vs. industrie Andere prioriteiten - (A)vailability, (I)ntegrity, (C)onfidentiality ICT: C-I-A Industrie: A-I-C Updates: niet (don’t touch a running system) of vertraagd Bij aanval niet onmiddellijk platgooien Realtime eisen belangrijker Ander soort data Locatie security hardware ICT: Centraal Firewall waar internet binnen komt Industrie: Decentraal Zo dicht mogelijk tegen de machine De PROFIBUS, PROFINET & IO-Link dag 2011
8
Security in industriële netwerken
Security Aanpak In-Depth Security = meerdere lagen 1. Fysieke beveiliging van de netwerkinfrastructuur 2. Logische beveiliging van de netwerkinfrastructuur 3. Logische beveiliging van de datatrafiek Niet meer alleen de taak van ICT-afdeling alleen Streef naar een goede dialoog tussen ICT & productie Wederzijds opleiden Hybride werknemers De PROFIBUS, PROFINET & IO-Link dag 2011
9
Security in industriële netwerken
1. Fysieke beveiliging van de netwerkinfrastructuur Fysieke beveiliging van de kast of de ruimte sleutel, badge, code Toegangscontrole voor personeel en externen Mechanische beveiliging van poorten en/of kabels De PROFIBUS, PROFINET & IO-Link dag 2011
10
Security in industriële netwerken
2. Logische beveiliging van de netwerkinfrastructuur Managed switches Gebruik van VLANs Effectief verlagen van netwerkbelasting Logische scheiding tussen subnetten Netwerkredundantie RSTP, MRP, … Hubs vervangen Communicatie minder makkelijk te onderscheppen Link monitoring/diagnose om uptime te optimaliseren Poorten beveiligen/monitoren via access control NAT-masquerading of 1:1 NAT om interne IP-structuur te verbergen Quality of Service (QoS) minimale doorvoer garanderen voor control data Broadcast limiting Effecten van broadcast storms minimaliseren De PROFIBUS, PROFINET & IO-Link dag 2011
11
Security in industriële netwerken
3. Logische beveiliging van de data(trafiek) (User) Firewalls – Packet Filters – Integrity Monitoring Beperken van de trafiek van en naar het productienetwerk Stateful inspection Beveiliging tegen DoS attacks, SYN-floods PLCs beveiligen via een user firewall inloggen op firewall voor toegang loggen van toegang (accountability) DmZ bouwen (best practice) buffer tussen office en productienetwerk herbergt gedeelde infrastructuur Integrity monitoring Extern monitoren van CIFS shares met kritische stuurprogramma’s/data Wijzigingen rapporteren Externe virusscans De PROFIBUS, PROFINET & IO-Link dag 2011
12
Security in industriële netwerken
Firewalls Op de productievloer Vooral decentraal Streven naar individuele bescherming van units op de werkvloer Kan niet via software oplossingen Voor IT Centraal waar internet binnenkomt Decentraal via software firewalls De PROFIBUS, PROFINET & IO-Link dag 2011
13
Security in industriële netwerken
DmZ - Demilitarized Zone Vormt de buffer tussen office en productie netwerk Rechtstreekse communicatie tussen office en productie netwerk wordt geblokkeerd Servers die zowel vanuit productie als vanuit office beschikbaar moeten zijn worden in de DmZ geplaatst vb. Historian, SQL Server, AV Server, Syslog Server Via VLANs kan de DmZ nog eens opgesplitst worden De PROFIBUS, PROFINET & IO-Link dag 2011
14
Security in industriële netwerken
Integrity Monitoring Productiesystemen: geen antivirus-software omwille van belasting en nood aan updates Integrity Monitoring: die systemen toch beschermen minimale belasting 2 mechanismen: Integrity Checking AV Scan Connector 2. Virtuele alleen-lezen CIFS share wordt ter beschikking gesteld voor een externe AV-scanner door Antivirus Scan Connector 1. Onverwachte wijzigingen van uitvoerbare code detecteren door Integrity Checking De PROFIBUS, PROFINET & IO-Link dag 2011
15
Security in industriële netwerken
Remote Access Integratie van TCP/IP in de productie brengt nieuwe mogelijkheden met zich mee voor remote access Maar dient op een veilige manier te gebeuren! Transport van pakketten over potentieel onveilig netwerk Extra ingang naar productienetwerk = extra risico Selectieve toegang voorzien Enkel het nodige Afwegen noden vs. risico Meer kennis over netwerktechnologie vereist dan voor de meeste andere taken op de productievloer De PROFIBUS, PROFINET & IO-Link dag 2011
16
Security in industriële netwerken
Remote Access: Hoe? VPN (Virtual Private Network) tunneling Veilige tunnel tot aan de machine Geen repercussies op het office netwerk Geen backdoor zoals analoge modems Gaat nog steeds door firewall(s) Mechanismen ingebouwd voor authenticatie encryptie integriteit Uitgaand en inkomend verkeer Bewuste keuze maken Verschil voor firewall configuratie en port forwarding op de eindpunten Firewall binnen VPN tunnel voor extra flexibiliteit in controle en restrictie van de communicatie Mogelijkheden voor 1:1 NAT aan beide kanten Machinebouwers geven vaak hetzelfde IP-adres aan alle machines De PROFIBUS, PROFINET & IO-Link dag 2011
17
Security in industriële netwerken
Voorbeeldproject +één groot mesh-netwerk +hoge dekkingsgraad +hoge datasnelheid VPN -potentieel onveilig -kosten voor publieke IP-adressen De PROFIBUS, PROFINET & IO-Link dag 2011
18
Security in industriële netwerken
+ook mobiele stations kunnen verbonden worden -snelheid lager dan bedraad -hogere latency dan bedraad -kosten -dekking? De PROFIBUS, PROFINET & IO-Link dag 2011
19
Security in industriële netwerken
PxC Zevenaar (NL) bedraad internet 1 statisch IP-adres (of dynDNS) mGuard in serverruimte De PROFIBUS, PROFINET & IO-Link dag 2011
20
Security in industriële netwerken
Lokaal AX-IF netwerk serverruimte VMWare ESX Server VM met AutomationWorX VM met SQL? VM met FTP? Vaste ILC De PROFIBUS, PROFINET & IO-Link dag 2011
21
Security in industriële netwerken
PxC Zaventem (BE) De PROFIBUS, PROFINET & IO-Link dag 2011
22
Security in industriële netwerken
Remote Sites Meerdere toestellen (machines) toevoegen aan het Virtual Private Network bvb. /29 netwerk => 6 toestellen worden beschikbaar Doel Toegang vanop afstand naar deze machines Middel VPN tunnel Beveiligde verbinding over onveilige internet De PROFIBUS, PROFINET & IO-Link dag 2011
23
Security in industriële netwerken
Remote Sites 1) Bedraad internet 2) GPRS/EDGE De PROFIBUS, PROFINET & IO-Link dag 2011
24
Security in industriële netwerken
Remote Sites 1) Bedraad internet mGuard 2) GPRS/EDGE De PROFIBUS, PROFINET & IO-Link dag 2011
25
Security in industriële netwerken
Remote Sites 1) Bedraad internet mGuard 2) GPRS/EDGE 2G/3G modem De PROFIBUS, PROFINET & IO-Link dag 2011
26
Security in industriële netwerken
Road Warriors 1 enkele laptop of pc toevoegen aan het Virtual Private Network => /32 netwerk Doel Machines servicen Mobiliteit en gebruiksgemak staan centraal Middel VPN Tunnel Beveiligde verbinding over onveilige internet Software client of mobiele mGuard Smart² De PROFIBUS, PROFINET & IO-Link dag 2011
27
Security in industriële netwerken
2) Draadloos software client Road Warriors Remote Sites 1) Bedraad mGuard software client De PROFIBUS, PROFINET & IO-Link dag 2011
28
Security in industriële netwerken
Belangrijke aandachtspunten voor security Risicoanalyse! Kosten-batenanalyse 100% security bestaat niet: niet praktisch of financieel haalbaar Periodiek testen van de security en remote access voorzieningen Change management & documentatie Security Policy Meer dan enkele onderdelen monteren Totaalconcept Procedures ISA99 standaarden schrijft de stappen voor om tot een volledig totaalconcept voor security te komen afgeleid van ISO/IEC 17799:2005 en ISO/IEC 27001:2005 uit ICT De PROFIBUS, PROFINET & IO-Link dag 2011
29
Security in industriële netwerken
Links Phoenix Contact België Phoenix Contact mGuard info ISA – International Society of Automation ISA99 – Industrial Automation and Control Systems Security ISO – International Organization for Standardization De PROFIBUS, PROFINET & IO-Link dag 2011
30
Bedankt! Meer info? Brecht Schamp Industrial Network Specialist
Phoenix Contact Benelux De PROFIBUS, PROFINET & IO-Link dag 2011
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.