phoenix contact, secure remote access

Themadag

Secure Remote Access

Najaar 2015

Welkom bij PHOENIX CONTACT

Sjoerd HakstegeTechnisch Specialist Network & Security

Henk CapoenLecturer Industrial AutomationGhent University

Themadag “Secure Remote Access” Sprekers

1/79

Masterversion 13

Programma:

09:00 Welkom en introductie09:15 Ethernet TCP/IP 10:45 Pauze11:15 Mobiel Internet 12:15 Lunch13:00 Security & automatisering 13:30 VPN14:45 Pauze15:15 Bespreking verschillende oplossingen15:45 Afsluiting16:00 Einde

Themadag “Secure Remote Access” Agenda

Masterversion 13

Geschiedenis

1923

1980

19601950

Vandaag

2/79

Masterversion 13

Phoenix Contact Hoofdkantoor

Blomberg

Bad Pyrmont

Masterversion 13

Phoenix Contact Electronics

Blomberg

Bad Pyrmont

3/79

Masterversion 13

Phoenix Contact-groep Duitsland:

PHOENIX CONTACT GmbH & Co. KG, Blomberg

PHOENIX CONTACT Deutschland GmbH, Blomberg

PHOENIX CONTACT Innovation Ventures GmbH, Blomberg

PHOENIX CONTACT Electronics GmbH, Bad Pyrmont

PHOENIX CONTACT Combinations GmbH, Bad Pyrmont

PHOENIX CONTACT E-Mobility GmbH, Schieder

PHOENIX CONTACT Power Supplies GmbH, Lemgo

PHOENIX CONTACT Software GmbH, Lemgo

PHOENIX CONTACT Connector Technology GmbH, Herrenberg

PHOENIX FEINBAU GmbH & Co. KG, Lüdenscheid

Innominate Security Technologies AG, Berlin

Sütron electronic GmbH, Filderstad

Masterversion 13

Wereldwijd

• 14 productielocaties

• 50

verkooporganisaties

• 30 lokale

vertegenwoordigingen

4/79

CA_Canada_en.ppsx

CA_Canada_en.ppsx

US_USA_en.ppsx

US_USA_en.ppsx

MX_Mexico_en.ppsx

MX_Mexico_en.ppsx

BR_Brazil_en.ppsx

BR_Brazil_en.ppsx

AR_Argentina_en.ppsx

AR_Argentina_en.ppsx

FI_Finland_en.ppsx

FI_Finland_en.ppsx

NO_Norway_en.ppsx

NO_Norway_en.ppsx

IE_Ireland_en.ppsx

IE_Ireland_en.ppsx

GB_Great Britain_en.ppsx

GB_Great Britain_en.ppsx

SE_Sweden_en.ppsx

SE_Sweden_en.ppsx

DK_Denmark_en.ppsx

DK_Denmark_en.ppsx

LT_Lithuania_en.ppsx

LT_Lithuania_en.ppsx

PL_Poland_en.ppsx

PL_Poland_en.ppsx

RU_Russia_en.ppsx

RU_Russia_en.ppsx

NL_Netherlands_en.ppsx

NL_Netherlands_en.ppsx

BE_Belgium_en.ppsx

BE_Belgium_en.ppsx

FR_France_en.ppsx

FR_France_en.ppsx

ES_Spain_en.ppsx

ES_Spain_en.ppsx

PT_Portugal_en.ppsx

PT_Portugal_en.ppsx

IT_Italy_en.ppsx

IT_Italy_en.ppsx

ZA_South_Africa_en.ppsx

ZA_South_Africa_en.ppsx

RO_Romania_en.ppsx

RO_Romania_en.ppsx

LU_Luxembourg_en.ppsx

LU_Luxembourg_en.ppsx

CH_Switzerland_en.ppsx

CH_Switzerland_en.ppsx

UA_Ukraine_en.ppsx

UA_Ukraine_en.ppsx

CZ_Czech_Republic_en.ppsx

CZ_Czech_Republic_en.ppsx

HU_Hungary_en.ppsx

HU_Hungary_en.ppsx

AT_Austria_en.ppsx

AT_Austria_en.ppsx

TR_Turkey_en.ppsx

TR_Turkey_en.ppsx

IL_Israel_en.ppsx

IL_Israel_en.ppsx

IN_India_en.ppsx

IN_India_en.ppsx

KR_Korea_en.ppsx

KR_Korea_en.ppsx

JP_Japan_en.ppsx

JP_Japan_en.ppsx

CN_China_en.ppsx

CN_China_en.ppsx

TW_Taiwan_en.ppsx

TW_Taiwan_en.ppsx

MY_Malaysia_en.ppsx

MY_Malaysia_en.ppsx

SG_Singapore_en.ppsx

SG_Singapore_en.ppsx

AE_en.ppsx

AE_en.ppsx

AU_Australia_en.ppsx

AU_Australia_en.ppsx

NZ_New_Zealand_en.ppsx

NZ_New_Zealand_en.ppsx

GER_Germany_en.ppsx

GER_Germany_en.ppsx

CL_Chile_en.ppsx

CL_Chile_en.ppsx

SK_Slovakia_en.ppsx

SK_Slovakia_en.ppsx

ID_Indonesia_en.ppsx

ID_Indonesia_en.ppsx

KZ_Kazakhstan_en.ppsx

KZ_Kazakhstan_en.ppsx

EE_Estonia_en.ppsx

EE_Estonia_en.ppsx

TH_Thailand_en.ppsx

TH_Thailand_en.ppsx

BY_Belarus_en.ppsx

BY_Belarus_en.ppsx

Masterversion 13

5.000

6.000

7.000

8.000

9.000

10.000

11.000

12.000

13.000

14.000

15.000

16.000

17.000

18.000

400

500

600

700

800

900

1.000

1.100

1.200

1.300

1.400

1.500

1.600

1.700

1.800

2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014

Feiten en cijfers

Verkoop in miljoenen € 1,770

Medewerkers wereldwijd 14.000

Verkoopaandeel

Duitsland

30%

Internationaal

70%

€

Masterversion 13

Phoenix Contact Nederland

Statutair DirecteurWalter van Aken Statutair Directeur

Geert LaseurStatutair DirecteurHarold van Waardenburg

Statutair DirecteurMarc BastenWalter van AkenGeert Laseur

Financieel DirecteurDirk Jan Wesselink

5/79

Masterversion 13

Phoenix Contact Nederland

ReeuwijkZevenaar

Waalre± 5600 deelnemers per jaar (Phoenix Contact, Rittal en Eplan)

Masterversion 13

Structuur

6/79

Masterversion 13

Producten

Masterversion 13

Device Connectors

Device Connectors

Division

Device Connectors (DC)

• PCB Connectors (PCC)

• Field Device Connectors (FDC)

• Housing (HS)

PCB Connectors

Housing

Field Device Connectors

7/79

Masterversion 13

Industrial Components


and Electronics (ICE)

Division

Industrial Components (IC)

• Industrial Cabinet Connectivity (ICC)

• Industrial Field Connectivity (IFC)

• Marking and Installation (MI)

Industrial CabinetConnectivity

Industrial Field Connectivity

Marking andInstallation

Masterversion 13

Industrial Electronics


and Electronics (ICE)

Division

Industrial Electronics (IE)

• Interface Components (IF)• Trabtech (TT)• Power Supplies (PS)• I/O and Networks (ION)

Trabtech

I/O and Networks

Power Supplies

Interface Components

8/79

Masterversion 13

Control and Industry Solutions

Control and Industry

Solutions

Division Control

and Industry Solutions (CIS)

• Control Systems (CST)• Industry Solutions (IS)• Software Competence Center

Control Systems

Software Competence Center

Industry Solutions

Automotive Wind Solar Urban Infrastructure Process (Oil & Gas)

Masterversion 13

Proces-industrie

Duurzameenergie

Olie en gas TelecommunicatieAutomobiel

Water en afvalwater

Machinebouw Elektronica UtiliteitInfratechniek

Markten

9/79

Masterversion 13

Oplossingen op maat

Waar wij ondersteuning kunnen bieden?- energievoorziening (duurzame energie)- apparaten-, machine- en schakelkastbouw- automatiserings- en veiligheidssystemen- infrastructuuroplossingen- etc.

Masterversion 13

Themadag “Secure Remote Access” Communicatie

10/79

Masterversion 13

Modem:

• Het woord modem is een acroniem (samentrekking)betreffende modulator en demodulator.

• Apparaat waarmee informatiesignalen geschikt gemaaktworden om over een ‘kanaal’ getransporteerd te worden.

Kanalen:• Analoge telefoonlijn• Huurlijn• GSM netwerk• (draadloos) Internet

Themadag “Secure Remote Access” Communicatie: Historie

Masterversion 13

Themadag “Secure Remote Access” Industrial Modem Line

11/79

Masterversion 13

Mobile network

Private network

EthernetCopper ring

InternetMobile

network

VPN tunnel

Mobile routerSecurity router

Ethernet Extender

Ethernet Extender

Ethernet Extender

Ethernet Extender

Security router DSL modem

DSL

DSL routerPLC

IPC

PLCDial-up connection

Public phone

network

IPC

PLC

PLC

VPN tunnel

DSLInternet

Themadag “Secure Remote Access” Remote Communication Applications

Masterversion 13

Themadag “Secure Remote Access” Is network Security nodig?

12/79

Masterversion 13

Gevolgen:Productie / kwaliteitsverlies!Image verlies!Claims tgv (financiële) schade!Etc.

Themadag “Secure Remote Access” Is network Security nodig?

Masterversion 13

Security:• Virtual Private Network• Firewall • Statefull Inspection Firewall

Themadag “Secure Remote Access” Security Producten

13/79

Masterversion 13

Themadag “Secure Remote Access” Informatie

Masterversion 13

You can count on us:

Technical hotline

On-site support

Training

Network design and planning

Themadag “Secure Remote Access” Support

14/79

Masterversion 13

Programma:



15/79

1

THEMADAG 18/11/2015


2

PROGRAMMA

Introductie

Internet TCP/IP

Mobiel internet

Hardware Phoenix

Security & VPN

Applicaties

16/79

3

1. INTRODUCTIE

REMOTE ACCESS

= uitbreiding van het bedrijfsnetwerk om toegang te hebben tot

remote data

BedrijfsLANMachine on the field

WAN

4

1. INTRODUCTIE

WAN: welke mogelijkheden?

• Telefoonnetwerk

• Mobiel telefoonnetwerk

• Internet

Mobiel internet

17/79

5

REMOTE ACCESS

1. INTRODUCTIE

REMOTE

MAINTENANCE

- Analyseren en diagnose stellen- Programmeren op afstand

REMOTE

CONTROL

- Opvolgen, loggen van data

- Bewaken en besturen vaninstallaties op afstand

Continue toegang Tijdelijke toegang

6

1. INTRODUCTIE

VOORDELEN van REMOTE ACCESS

• Ophalen, opslaan en evaluatie van data:

Key Performance Indicators voor industriële processen,

productielijnen, machines

• On-site diagnose

• Sneller respons voor probleemoplossing

• Specialisten hoeven zich minder te verplaatsen

• Minder verloren engineeringtijd• Beperking van de verplaatsingsonkosten

18/79

7

1. INTRODUCTIE

AANDACHTSPUNT:

All IP en Remote Access over het onbeveiligde

internet vraagt de nodige aandacht omtrent IT-

security


8

1. INTRODUCTIE

HACKEN

Gebruik van hardware, software, applicaties waarvoor het oorspronkelijk niet bedoeld was

- Hacken: imago schaden, diefstal van informatie, aanpassen van informatie , fraude, ….

- Ethisch hacken: zwakheden in IT systemen aantonen om een verbeteringen mogelijk te maken

19/79

9

1. INTRODUCTIE

CYBERSECURITY

Het geheel van maatregelen om IT infrastructuur te beveiligen tegen zwakheden en misbruik.

- Technische maatregelen

- Procedurele maatregelen

- Personele maatregelen

10

1. INTRODUCTIE

20/79

11

1. INTRODUCTIE

MGUARD RS4000 3G VPN

- WAN en draadloze interface;

- 10 VPN-tunnels;

- Bidirectionele statefull firewall;

- Router met NAT/1:1-NAT;

- Managed Switch met 4 poorten;

- DMZ poort;

- …

12

PROGRAMMA

Internet TCP/IP

Mobiel internet

Hardware Phoenix

Security & VPN

Applicaties

21/79

13

2. INTERNET (TCP/IP)

TCP/IP model

14


TCP/IP model

22/79

15

1010 1011 1000 0100 ………………………………. 1101 0101 1110 0101 1110

Ethernet dataveldEth Header

Ehternet dataframe

Eth Header IP dataveldIP header

IP Pakket

Eth Header TCP dataveldIP header TCP header

TCP segment

Ethernet TCP/IP berichtopbouw


16


SA DAHdr SP DP HdrDA SA Hdr …………….

TCP/UDP poortnummers

IP adressen

Hardware adressen: MAC adressen voor Ethernet

Ethernet TCP/IP berichtopbouw


23/79

17

DOELSTELLING IP PROTOCOL

Pakket transmissie, verbindingsloos

Adres management

Segmentatie

Routering

DOELSTELLING TCP PROTOCOL

Betrouwbaar , verbindingsgeoriënteerd end to endprotocol

Verbindingsgericht : verbinding opzetten, verbinding gebruiken, verbinding stopzetten


TCP/IP

18


ROUTER

2 of meerdere netwerken met elkaar verbinden

Gericht doorsturen van datapakketten op basis van IP adressen

Maakt gebruik van dynamische routeringstabellen: IP adressen gelinkt aan het volgende knooppunt (next hop)

24/79

19


SOORTEN ROUTERS

Breedbandrouter: voor thuisgebruik om meerdere computers aan te sluiten op één breedbandaansluiting via één publiek IP adres (integratie van WLAN access point).

Professionele router: koppeling bedrijfsnetwerk aan publiek breedbandnetwerk, meestal toewijzing van meerdere publieke IP adressen voor mail, web of andere internetservers (gebruik van DMZ)

Industriële router: routers voor het koppelen van industriële netwerken aan bedrijfsnetwerken, volledig gebaseerd op Ethernet TCP/IP communicatie

ISP router: routers die gebruikt worden door internet service providers in hun eigen netwerk. Deze routers moeten enorme hoeveelheden data kunnen routeren.

20


25/79

21


IP adres

22


26/79

23


IP adres: klasse A

24


IP adres: klasse B

27/79

25


IP adres: klasse C

26


Opdeling volgens klasse Klasse A, NET ID eerste getal, eerste getal tussen 1 en 126

Klasse B, NET ID eerste twee getallen, eerste getal tussen 128 en 191

Klasse C, NET ID eerste drie getallen, eerste getal tussen 192 en 223

Subnetmask

De bits van het netwerkgedeelte krijgen de waarde 1De bits die het hostgedeelte voorstellen krijgen de waarde 0

Voorbeeld: subnetmask is 255.255.0.0, NET ID eerste twee getallen

CIDR notatie (Classless Inter Domain Routing)

Voorbeeld: 144.20.11.11/16, NET ID eerste twee getallen

28/79

27


PUBLIEKE IP adressen Uniek op het Internet

Bepaald door ISP (Internet Service Providers)

IP adres is statisch of dynamisch: DHCP Servers

Vertaling IP adres naar symbolische hostnamen: DNS Servers

IP adressen voor PRIVÉ NETWERKEN

Klasse A netwerken 10.0.0.0 10.255.255.255

Klasse B netwerken 172.16.0.0 172.31.255.255

Klasse C netwerken 192.168.0.0 192.168.255.255

28


Subnetmask / Classless Inter-Domain Routing

29/79

29


LOGISCHE VERBINDING (POORTEN)

TCP protocol

30


SA DAHdr SP DP HdrDA SA Hdr …………….


Seq. nr Ack. nr Vlaggen Window CRC

TCP protocol

30/79

31


TCP protocol

32


INTERNET is gebaseerd op het CLIENT SERVER model

31/79

33


KENMERKEN van een Server applicatie

34


KENMERKEN van een Client applicatie

32/79

35


TCP/IP endpoint

36


CLIENT SERVER model: ondubbelzinnige communicatie

Ieder internetsocket (de combinatie van lokaal IP adres, lokaal poortnummer,

remote IP adres en remote poortnummer) moet uniek zijn.

33/79

37


LOGISCHE VERBINDING (POORTEN)

38


NAT, Network Address Translation

34/79

39


NAT, Network Address Translation

40

ARP definieert twee berichten:

- Request bevat een IP adres en verzoekt om het corresponderende hardware adres

- Response bevat het IP adres en het hardware adres


ARP (Address Resolution Protocol)

35/79

41

ICMP definieert vijf foutberichten en vier informatieve berichten

- Source quench

- Time Exceeded

- Destination unreachable

- Redirect

- Fragmentation required

Informatieve berichten:

- Echo request/reply

- Address mask request/reply

Bereikbaarheid van een host controleren: PING

Een route traceren: TRACERT


ICMP (Internet Control Message Protocol)

42

Koppeling symbolische hostnaam aan een endpoint : www.google.be

DNS staat voor:

Een gedistribueerde database welke geïmplementeerd is in een hiërarchie van DNS servers

Een applicatielaagprotocol waarmee hosts en DNS servers kunnen communiceren om de vertaalslag (het omzetten van een IP adres in een hostnaam en omgekeerd) te maken.

3 klassen DNS servers:

Root DNS servers

Topleveldomein (TLD) DNS servers

Verifiërende DNS servers


DNS (Domain Name System)

36/79

http://www.google.be/

43

Iteratieve zoekactie Recursieve zoekactie


DNS (Domain Name System)

44

De mGuard, niet zomaar een industriële router


37/79

45

PROGRAMMA

Internet TCP/IP

Mobiel internet

Hardware Phoenix

Security & VPN

Applicaties

46

3. MOBIELE TELEFONIE

1977 1994 2004 2014

1G (analoge voice functionaliteiten)

2G (GSM netwerk, digitaal telefonie netwerk)

2.5G (GPRS)

3G (UMTS)

4G (LTE)

4 GENERATIES MOBIELE NETWERKEN• Uitbreiding van het traditionele PSTN- of ISDN netwerk

• GSM & UMTS zijn afgeleid van het telefonienetwerk

• GPRS en EDGE zijn toepassingen op het GSM netwerk voor mobiele dataverbinding

3.5G (HSDPA)

2.75G (EDGE)

38/79

47

GSM (’82: Groupe Speciale Mobile

nu : Global System for Mobile Communications)

Enkele doelstellingen:

• Mobiel digitaal telefonienetwerk

• Compatibel zijn met ISDN en PSTN systemen

• Encryptiemogelijkheden

Verschillende versies:

• GSM 850 (voornamelijk VS)

• GSM 900 (880-915 MHz uplinks / 925-960 MHz downlinks)

• GSM 1800 of ook aangeduid als DCS 1800 (Digital Cellular System, 1710-1785 MHz uplinks, 1805-1880 downlinks)

• GSM 1900 (voornamelijk VS)


48


GSM : ‘s werelds grootste mobiel netwerk gebaseerd

op digitale cellulaire technologie

39/79

49

PSTNISDN


radio cell

MS

MS

BTS

radio cell

MS

MS

BTS

BSS

BCS

BCS

MSC

MS: mobile StationBTS: Base Tranceiver StationBSS: Base Station SubsystemBCS: Base Controller StationMSC: Mobile Switching Centre

GSM infrastructuur

50


Eerste datadiensten via GSM

• Beperkte data rate (max 14,4 kbps), typisch 9600 bps

• Data connectie gebruikt 1 voice kanaal

• Continue verbinding

• CSD (Circuit Switched Data)

40/79

51


Uplink: 174 kanalen (200kHz per kanaal)

Downlink: 174 kanalen (200kHz per kanaal)

tijd

1 2 3 4 5 6 87

GSM TDMA frame (8 tijdsloten per kanaal)

GSM tijdslot (burst)

4,615 ms

577 µs

MEDIATOEGANG: combinatie van FDMA en TDMA

GSM 900

52


CODERINGHoe logisch 1 en 0 voorstellen? Gebruik van controle bits om betrouwbaarheid te kunnen controleren

MODULATIEDigitale signalen (bitstroom) draadloos versturen omvormen naar gepast analoog signaal

41/79

53


MODULATIE

• Bitsequentie wordt verdeeld in stukjes van n bits, ieder stuk wordt een datasysmboolgenoemd.

• Een modulatietechnologie kan per stukje draaggolf een datasymbool versturen bestaande uit n bits.

o Lineaire modulatie technologieën: ASK, PSK, DPSK, ..

o Niet lineaire technologieën: FSK, GMSK, ….

GMSK is de toegepaste technologie voor GSM

Modulatie en codering: - Bepalend voor de datarate en de kwaliteit - Evenwicht tussen snelheid en betrouwbaarheid

54

MAIL: de ILC als SMTP Client

5. ILC 150 ETH GSM/GPRS

42/79

55

Rechtstreeks data wegschrijven in een SQL Server

5. ILC 150 ETH GSM/GPRS

56

PSI-MODEM-ETH/GPRS

• Industriël GSM-modem met GPRS/EDGE

• Quad band 850 + 900 + 1800 + 1900 MHz

• Ethernet aansluiting

• Firewall, NAT, DHCP, VPN

• 6 alarmingangen en 4 schakeluitgangen

• Montage op DIN rail, 24Vdc

6. PSI-MODEM

43/79

57

Intern netwerk

Fixed IP adres

DHCP Server

Default gateway

Extern netwerk

IP adres van provider (internet of intranet)

Dyn DNS

Port forwarding

VPN

Firewall

PSI-MODEM-ETH/GPRS

6. PSI-MODEM

58

6. PSI-MODEM

WEB BASED MANAGEMENT

44/79

59

PSI-MODEM-3G/ROUTER

• High Speed router for up to 7.2 Mbps

• UMTS/HSPA tri band 850,1900 and 2100 MHz

• Quad band GPRS/EDGE mobile networks as fall back

• 2nd SIM-Card for a alternative backup mobile provider

6. PSI-MODEM

60

PSI-MODEM-3G/ROUTER

6. PSI-MODEM

WEB BASED MANAGEMENT

45/79

61

Innovative protection for your automation system

6. mGuard

Ethernet Security

router met geïntegreerde firewall en VPN

62

• IT-security en bescherming tegenongewenste toegang

• Remote maintenance en monitoring via Internet

• Integratie van industriële applicatiesbinnen het bedrijfsnetwerk

6. mGuard

46/79

63

PROGRAMMA

Internet TCP/IP

Mobiel internet

Hardware Phoenix

Security & VPN

Applicaties

64

Industrial Automation steeds meer doelwit van cyber crime

Recente cijfers omtrent security assessments

15 ICS assessments

900 uren onderzoek

245 zwaktes

* Source: US Department of Homeland Security

7. SECURITY - INLEIDING

47/79

65

Au

tom

atio

n in

teg

ratio

n

ICT

Pro

cess C

on

trol S

ecu

rity


66


AUTOMATISERINGSNETWERKEN, VROEGER:

meestal geïsoleerde netwerken met controllers en netwerkprotocollen welke gebaseerd zijn op proprietaire protocollen.

De productieafdeling is meestal zelf verantwoordelijk voor de industriële communicatie;

Security is zelden een aandachtspunt.

48/79

67


HEDEN:

Moderne automatiseringsprojecten worden gekenmerkt door open systemen en communicatienetwerken gebaseerd op Ethernet TCP/IP

68


HEDEN:Level 0 (IO niveau)

Implementatie van PROFINET RT

49/79

69


HEDEN:Level 2 (cell niveau)

Koppeling PLC/SCADA-systemen/Servers via Ethernet TCP/IP

70


HEDEN:Level 3 (MES niveau)

Implementatie van MES vraagt uitgebreide IT-configuratie op basis van Ethernet TCP/IP

50/79

71


CONCLUSIE:

IT-afdeling wordt medeverantwoordelijk voor de industriële communicatie; Engineering heeft behoefte aan een basiskennis omtrent IT;

Dat Windows en Ethernet de productiehallen veroveren is een interessante ontwikkeling. Maar in toenemende mate wordt duidelijk dat ook virussen en hackers vat krijgen op machineparken en installaties. Het wordt dus belangrijk om de automatiseringswereld te beschermen tegen de gevaren die al jaren gekend zijn in de IT-wereld.

Security wordt een belangrijk aandachtspunt.

72

IC (industrial control)

IT (information technology)

BESCHIKBAARHEID

INTEGRITEIT

VERTROUWELIJKHEID

IC versus IT: # hoofddoelstelling

Kantoorwereld: op een vertrouwelijke manier verhandelen van data en gegevens.Automatiseringswereld: beschikbaarheid van het productiesysteem.


51/79

73

7. SECURITY – HET PROCES

74

7. SECURITY

Doelstelling risicoanalyse

Identificatie van de mogelijke threats

Analyse van mogelijke schade bij eventuele threats

Identificatie van bestaande of existing security measures

SECURITYRISK ?

YES

NO

REDUCE

ELIMINATE

52/79

75

Virussen, Trojans,

schadelijke mobiele code

Denial of

service (DoS)

attacks

Hacking & cracking

Rampen

Ongeschikte

infrastructuur

Social engineering

7. SECURITY

76

BEDREIGINGEN?

Interne opzettelijke bedreigingen

Interne onopzettelijke bedreigingen

Externe niet-gerichte bedreigingen

Schadelijke actoren: doelgerichte aanvallen

7. SECURITY

53/79

77

INTERNE OPZETTELIJKE BEDREIGINGEN

Wat zijn interne personen? o Voor de IT: Iemand die werkt voor de organisatie

o Voor de automatisering: Iedereen die kennis heeft van besturingssystemen en toegang tot de installatie heeft (installateurs, systeem integratoren, onderhoudspersoneel van derden, …)

Enkele gevallen gekend van misnoegde personen die installaties saboteren

7. SECURITY

78

INTERNE ONOPZETTELIJKE BEDREIGINGEN

Het naar elkaar toegroeien van IT en automatisering zorgt voor een omgeving waar onopzettelijke bedreigingen schering en inslag zijn.

Veel voorkomende bedreigingen:o Slecht ontwerp van netwerkeno Verkeerde configuratie van IT componenteno Gebrek aan security beleido Verkeerde procedure bij testen, wijzigen, …o Gebrekkige kennis van personeel, menselijke fouten

7. SECURITY

54/79

79

EXTERNE NIET-GERICHTE BEDREIGINGEN

Software zodanig ontworpen en vrijgegeven om negatieve effecten te veroorzaken. Meestal niet gericht aan industriële besturingssystemen (malware);

Gevaar voor industriële netwerken indien ze gekoppeld worden aan het bedrijfsnetwerk;

Dit is de hoogstwaarschijnlijkste manier voor een industrieel netwerk om besmet te geraken, maar het netwerk is ook het gemakkelijkst hiertegen te beschermen;

7. SECURITY

80

DOELGERICHTE AANVALLEN

CYBERCRIME: criminele activiteiten waarbij gebruik wordt gemaakt van IT. De criminele activiteiten kunnen gericht zijn tegen personen, eigendommen en organisaties of tegen elektronische communicatienetwerken en informatiesystemen.

Indien een HACKER het gericht heeft op uw industriële installatie, dan is dit een wordt case scenario, moeilijk om te voorkomen.

Vb: STUXNET (aanvallen op Siemens SCADA systemen, maakt gebruik van 3 kwetsbaarheden in Windows, zet zich voort via USB’s en windowssytemen, gericht op energiecentrales en nucleaire centrales)

7. SECURITY

55/79

81

ENKELE BELANGRIJKE BEGRIPPEN

SOCIAL ENGINEERING Techniek waarmee personen (slachtoffers) gevraagd worden om

handelingen te doen of gegevens te verstrekken aan een ander persoon (hacker);

Mensen associëren hacken vaak met high-tech. In de praktijk leunen succesvolle hacks voor een groot deel op menselijke zwakheden;

o Kwaadwillige hackers laten zich niet weerhouden door het gevoelige karakter van sommige informatie;

o Leidinggevenden zijn vaak makkelijke doelwitten voor hackers;o Een beveiligingsbeleid is zo goed als de opvolging ervan;o Hackers maken misbruik van het goede karakter en de behulpzaamheid van

medewerkers;

7. SECURITY

82


MALWARE VIRUS is een vorm van schadelijke software, nestelt zich ongemerkt in een

bestand (bv in bestanden van een besturingssysteem). Zijn schadelijk, kunnen gegevens wissen of verkeerde gegevens verspreiden. Kan zich verspreiden met hulp van de gebruiker (vb. USB-stick)

TROJAN HORSES zijn programma's die andere dingen doen dan ze voorgeven, bv de computer gemakkelijker toegankelijk maken voor andere virussen (vb. binnenhalen als bijlage aan een email)

WORMEN zijn geen virussen maar worden wel vaak zo genoemd. Het zijn zelfstandige programma's die zich direct over het netwerk verspreiden.

7. SECURITY

56/79

83


MAPPINGNetwerk monitoring, informatie verzamelen omtrent een bepaald netwerk, IP-adressen, TCP/UDP poorten, actieve Servers. Mappingtools: Overlook-Fing, Nmap, Spiceworks, …

EXPLOITSProgramma’s die van gekende kwetsbaarheden gebruik maken om ze te hacken. Tools om kwetsbaarheden op te sporen: MetaSploit, Nessus, Kali

BRUTE FORCE ATTACKAanval om wachtwoorden te achterhalen; Dictionary attack

7. SECURITY

84


DOS ATTACKSDenial of Service Attacks of aanvallen op TCP/IP stacks, DoS is de situatie waarin een computersysteem niet in staat is te functioneren;

Vb : SYN FLOOD, groot aantal connecties aanvragen bij een server.

DDOSDistributed Denial of Service, gebruik makend van meerdere aanvallers tegelijkertijd

7. SECURITY

57/79

85

ENKELE HACKINGSBEGRIPPEN

SPOOFINGGebruik maken van een valse identiteit;

ARP SPOOFING, ARP POISONINGEen aanvaller verstuurt fake ARP berichten om de ARP cache van een host te vergiftigen (ARP is stateless, verwerking ARP reply zonder controle);

Man In The Middle AttackDataverkeer tussen twee toestellen onderscheppen, aanpassen of blokkeren zonder dat de twee toestellen dit opmerken;

7. SECURITY

86

MiM- attack m.b.v. ARP poisoning (Ettercap)

7. SECURITY

58/79

87

HOLE PUNCH technieken

7. SECURITY

88

WACHTWOORD GEBRUIK - BACKDOORS

Fabriekswachtwoorden meteen wijzigen

Sterke wachtwoorden gebruiken

Industriële toestellen hebben vaak een admin en user account. Vaak ook een verborgen root acount (zou enkel mogen gebruikt worden voor specifieke monitoring/diagnose doeleinden)

Achterdeurtjes aangebracht door de leverancier: extra toegang tot de besturing voor configuratie, uitlezen van diagnose gegevens, uitvoeren van diagnose op afstand;

7. SECURITY

59/79

89

CONFIGURATIEFOUTEN

Eenvoudig paswoorden Firewalls die alle netwerkverkeer doorlaten Mogelijkheid bieden om belangrijke bestanden te kunnen overschrijven Virusscanners met verouderde configuratie Gebruik van verouderde protocollen Draadloze netwerken zonder wachtwoord

7. SECURITY

90

GEBRUIKERSFOUTEN

Het ongewijzigd laten van fabriekswachtwoorden Bij de meeste toestellen is een eenvoudige procedure mogelijk om de

fabrieksinstellingen terug te zetten; gebruiksvriendelijk maar vanuit standpunt security ongewenst;

Aansluiten en in bedrijf nemen politiek; door veel uit te zetten is de configuratie veel gemakkelijker;

7. SECURITY

60/79

91

POLICIES, ORGANISATIE

It’s never done, It’s a process!;

Technische maatregelen alleen is niet genoeg;

Bepalen van de verantwoordelijkheden:

o IT

o Automation

o Toegangscontrole tot belangrijke ruimtes;

Team aanstellen om Industrial Security te testen;

Opleiding voor het personeel op de industriële werkvloer;

Hoe omgaan met smart phones, tablets, draadloze communicatie, …

7. SECURITY

92

TECHNISCHE MAATREGELEN

Hoe koppeling realiseren van industrieel netwerk met bedrijfsnetwerk/internet

Strikte scheiding tussen IT netwerken en automatiseringsnetwerken

Hiërarchische netwerkarchitectuur of VLAN

Implementatie van een DMZ

Implementatie van security hardware, firewalls, …

Koppelingen via VPN

7. SECURITY

61/79

93


Scheiding IT netwerken

en automatiserings

netwerken

7. SECURITY

94


VLAN

7. SECURITY

62/79

95


VLAN

7. SECURITY

96


VLAN

7. SECURITY

63/79

97


7. SECURITY

98

7. SECURITY

64/79

99

7. SECURITY

100


DMZ

7. SECURITY

65/79

101

Wat is beveiligde communicatie?

Datapakketten worden meestal volledig onbeschermd over het Internet verstuurd.

Hierdoor is er geen:

ENCRYPTIE: Geheimhouding van de data versleutelen van de data

AUTHENTICATION: Identiteitsgarantie van de afzender

INTEGRITEIT: Controle of data al dan niet corrupt is, niet gewijzigd is tijdens het verzenden.

8. Veilige communicatie

102

Message confidentiality

# encryptiemethodes

AES: Advanced EncryptionStandard

Veilig met sleutel van 128, 192 or 256 bits lang.


66/79

103

Message authentication

# hash algortimes


104

Session Authentication

PRE-SHARED KEY

PUBLIC KEY INFRASTRUCTURE


67/79

105

CERTIFICATEN

Een certificaat bestaat uit een aantal belangrijke delen:

Een public key

Een aantal administratieve gegevens (bv gebruikersnaam, email adres, …)

Een bewijs van echtheid: een bewijs dat de public key en de administratieve gegevens

bij elkaar horen.

Geldigheidsduur

Bewijs van echtheid = een digitaal handtekening van een Certification Authority (CA)


106

CERTIFICATEN

Public Key Infrastructure (PKI)…is een systeem waarmee het beheer van digitale certificaten gerealiseerd wordt.

Certificaat Autoriteit (CA)

(betrouwbare derde partij) levert certificaten welke een publieke sleutel koppelen

aan de identiteit van de eigenaar. De matching privé sleutel wordt niet vrijgegeven.

De CA waarborgt de integriteit en authenticiteit van het certificaat en staat dus in

voor de identiteit van de certificaatbezitter.

Voor certificaten is een officiële standaard ontwikkeld, X509.3 . Deze standaard

bepaalt hoe dergelijk certificaat opgebouwd is.


68/79

107

PKI (Public Key Infrastructure)

ClientmGuard

PUBLIEK

Server mGuard

PUBLIEK

ClientmGuard

PRIVAAT

Server mGuard

PRIVAAT

CA


108

CERTIFICATEN

Hoe certificaten aanmaken?

Via een Certification Authority (VeriSign, Certipool )

Via de Microsoft CA Server

Via Innominate device manager

Gebruik van freeware tools zoals XCA (selfsigned)


69/79

109

VIRTUAL PRIVATE NETWORK

Een Virtueel Privaat Netwerk voorziet een beveiligde communicatie tussen twee eindpunten waarbij gebruik gemaakt wordt van een publieke, onbeveiligde netwerkinfrastructuur zoals het internet.

STATEFUL INSPECTION FIREWALL

Meer dan alleen maar een pakketfilter: logische opvolging van alle sessies.

Dankzij complexe algoritmes kunnen stateful inspection firewall verdachte patronen herkennen (Denial Of Service attacks , SYN FLOOD, IP spoofing, man-in-the-middle)

9. VPN

110

SITE-TO-SITE VPN

9. VPN

70/79

111

USER-TO-SITE VPN

9. VPN

112

VPN tunneling

VPN tunnels worden tot stand gebracht door gebruik te maken van encapsulatieprotocollen.

Er zijn heel wat protocollen voor handen:

Oudere laag 2 protocollen: Layer 2 Forwarding (L2F) Protocol, Point-to-Point

Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP)

IP Security (IPSec): laag 3 protocol

Open VPN (laag 2 of laag 3)

9. VPN

71/79

113

Ipsec (Internet Protocol Security)

9. VPN

114

9. VPN

72/79

115

9. VPN

Security functies van de mGuard RS4000 VPN

116

IPsec (Internet Protocol Security)

IPsec maakt gebruik van het Internet Key Exchange (IKE) protocol om met de partner

langs de andere zijde te onderhandelen om de nodige IPsec Security Associations (SA)

op te zetten.

Het IKE protocol zorgt voor:

Negotiate connection (e.g. Algorithms, Hashes, Tunnel/Transport)

Authentication, uitwisselen van sleutels (e.g. X.509 certificates, PSK)

Dead Peer Detection (DPD)

NAT Traversal (NAT-T)

9. VPN

73/79

117

SITE to SITE tussen 2 mGuards

9. VPN

118

LAN ON SITE

SQLSERVER

BEDRIJFS LANmGuard

(Responder)Modem

(Initiator)

XCA.EXE

Private Key mGuard

Public Key mGuard

Private Key modem

Public Key modem

VPN

192.168.150.0/24172.23.10.0/16

9. VPN

74/79

119

Bijvoorkeur uitgaande connecties opbouwen

Firewalls laten meestal uitgaande verbindingen toe Geen statische IP adressen nodig Tunnels initiëren via werksleutel, contact ….

Port ForwardingUDP 500 & 4500

Central mGuard

Field device 1mobile internet connection

Field device 2wired internet connection

Outgoing TrafficUDP 500 & 4500

9. VPN

120

9. VPN

Hub and spoke VPN

75/79

121

10. VOORBEELDEN

122

10. VOORBEELDEN

76/79

Programma:



www.catael.be

www.phoenixcontact.nl


77/79

www.phoenixcontact.nl/seminars



78/79

Welcome to PHOENIX CONTACTTot ziens bij PHOENIX CONTACT

79/79