phoenix contact, secure remote access
TRANSCRIPT
Themadag
Secure Remote Access
Najaar 2015
Welkom bij PHOENIX CONTACT
Sjoerd HakstegeTechnisch Specialist Network & Security
Henk CapoenLecturer Industrial AutomationGhent University
Themadag “Secure Remote Access” Sprekers
1/79
Masterversion 13
Programma:
09:00 Welkom en introductie09:15 Ethernet TCP/IP 10:45 Pauze11:15 Mobiel Internet 12:15 Lunch13:00 Security & automatisering 13:30 VPN14:45 Pauze15:15 Bespreking verschillende oplossingen15:45 Afsluiting16:00 Einde
Themadag “Secure Remote Access” Agenda
Masterversion 13
Geschiedenis
1923
1980
19601950
Vandaag
2/79
Masterversion 13
Phoenix Contact Hoofdkantoor
Blomberg
Bad Pyrmont
Masterversion 13
Phoenix Contact Electronics
Blomberg
Bad Pyrmont
3/79
Masterversion 13
Phoenix Contact-groep Duitsland:
PHOENIX CONTACT GmbH & Co. KG, Blomberg
PHOENIX CONTACT Deutschland GmbH, Blomberg
PHOENIX CONTACT Innovation Ventures GmbH, Blomberg
PHOENIX CONTACT Electronics GmbH, Bad Pyrmont
PHOENIX CONTACT Combinations GmbH, Bad Pyrmont
PHOENIX CONTACT E-Mobility GmbH, Schieder
PHOENIX CONTACT Power Supplies GmbH, Lemgo
PHOENIX CONTACT Software GmbH, Lemgo
PHOENIX CONTACT Connector Technology GmbH, Herrenberg
PHOENIX FEINBAU GmbH & Co. KG, Lüdenscheid
Innominate Security Technologies AG, Berlin
Sütron electronic GmbH, Filderstad
Masterversion 13
Wereldwijd
• 14 productielocaties
• 50
verkooporganisaties
• 30 lokale
vertegenwoordigingen
4/79
Masterversion 13
5.000
6.000
7.000
8.000
9.000
10.000
11.000
12.000
13.000
14.000
15.000
16.000
17.000
18.000
400
500
600
700
800
900
1.000
1.100
1.200
1.300
1.400
1.500
1.600
1.700
1.800
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
Feiten en cijfers
Verkoop in miljoenen € 1,770
Medewerkers wereldwijd 14.000
Verkoopaandeel
Duitsland
30%
Internationaal
70%
€
Masterversion 13
Phoenix Contact Nederland
Statutair DirecteurWalter van Aken Statutair Directeur
Geert LaseurStatutair DirecteurHarold van Waardenburg
Statutair DirecteurMarc BastenWalter van AkenGeert Laseur
Financieel DirecteurDirk Jan Wesselink
5/79
Masterversion 13
Phoenix Contact Nederland
ReeuwijkZevenaar
Waalre± 5600 deelnemers per jaar (Phoenix Contact, Rittal en Eplan)
Masterversion 13
Structuur
6/79
Masterversion 13
Producten
Masterversion 13
Device Connectors
Device Connectors
Division
Device Connectors (DC)
• PCB Connectors (PCC)
• Field Device Connectors (FDC)
• Housing (HS)
PCB Connectors
Housing
Field Device Connectors
7/79
Masterversion 13
Industrial Components
Industrial Components
and Electronics (ICE)
Division
Industrial Components (IC)
• Industrial Cabinet Connectivity (ICC)
• Industrial Field Connectivity (IFC)
• Marking and Installation (MI)
Industrial CabinetConnectivity
Industrial Field Connectivity
Marking andInstallation
Masterversion 13
Industrial Electronics
Industrial Components
and Electronics (ICE)
Division
Industrial Electronics (IE)
• Interface Components (IF)• Trabtech (TT)• Power Supplies (PS)• I/O and Networks (ION)
Trabtech
I/O and Networks
Power Supplies
Interface Components
8/79
Masterversion 13
Control and Industry Solutions
Control and Industry
Solutions
Division Control
and Industry Solutions (CIS)
• Control Systems (CST)• Industry Solutions (IS)• Software Competence Center
Control Systems
Software Competence Center
Industry Solutions
Automotive Wind Solar Urban Infrastructure Process (Oil & Gas)
Masterversion 13
Proces-industrie
Duurzameenergie
Olie en gas TelecommunicatieAutomobiel
Water en afvalwater
Machinebouw Elektronica UtiliteitInfratechniek
Markten
9/79
Masterversion 13
Oplossingen op maat
Waar wij ondersteuning kunnen bieden?- energievoorziening (duurzame energie)- apparaten-, machine- en schakelkastbouw- automatiserings- en veiligheidssystemen- infrastructuuroplossingen- etc.
Masterversion 13
Themadag “Secure Remote Access” Communicatie
10/79
Masterversion 13
Modem:
• Het woord modem is een acroniem (samentrekking)betreffende modulator en demodulator.
• Apparaat waarmee informatiesignalen geschikt gemaaktworden om over een ‘kanaal’ getransporteerd te worden.
Kanalen:• Analoge telefoonlijn• Huurlijn• GSM netwerk• (draadloos) Internet
Themadag “Secure Remote Access” Communicatie: Historie
Masterversion 13
Themadag “Secure Remote Access” Industrial Modem Line
11/79
Masterversion 13
Mobile network
Private network
EthernetCopper ring
InternetMobile
network
VPN tunnel
Mobile routerSecurity router
Ethernet Extender
Ethernet Extender
Ethernet Extender
Ethernet Extender
Security router DSL modem
DSL
DSL routerPLC
IPC
PLCDial-up connection
Public phone
network
IPC
PLC
PLC
VPN tunnel
DSLInternet
Themadag “Secure Remote Access” Remote Communication Applications
Masterversion 13
Themadag “Secure Remote Access” Is network Security nodig?
12/79
Masterversion 13
Gevolgen:Productie / kwaliteitsverlies!Image verlies!Claims tgv (financiële) schade!Etc.
Themadag “Secure Remote Access” Is network Security nodig?
Masterversion 13
Security:• Virtual Private Network• Firewall • Statefull Inspection Firewall
Themadag “Secure Remote Access” Security Producten
13/79
Masterversion 13
Themadag “Secure Remote Access” Informatie
Masterversion 13
You can count on us:
Technical hotline
On-site support
Training
Network design and planning
Themadag “Secure Remote Access” Support
14/79
Masterversion 13
Programma:
09:00 Welkom en introductie09:15 Ethernet TCP/IP 10:45 Pauze11:15 Mobiel Internet 12:15 Lunch13:00 Security & automatisering 13:30 VPN14:45 Pauze15:15 Bespreking verschillende oplossingen15:45 Afsluiting16:00 Einde
Themadag “Secure Remote Access” Agenda
15/79
1
THEMADAG 18/11/2015
Secure Remote Access
2
PROGRAMMA
Introductie
Internet TCP/IP
Mobiel internet
Hardware Phoenix
Security & VPN
Applicaties
16/79
3
1. INTRODUCTIE
REMOTE ACCESS
= uitbreiding van het bedrijfsnetwerk om toegang te hebben tot
remote data
BedrijfsLANMachine on the field
WAN
4
1. INTRODUCTIE
WAN: welke mogelijkheden?
• Telefoonnetwerk
• Mobiel telefoonnetwerk
• Internet
Mobiel internet
17/79
5
REMOTE ACCESS
1. INTRODUCTIE
REMOTE
MAINTENANCE
- Analyseren en diagnose stellen- Programmeren op afstand
REMOTE
CONTROL
- Opvolgen, loggen van data
- Bewaken en besturen vaninstallaties op afstand
Continue toegang Tijdelijke toegang
6
1. INTRODUCTIE
VOORDELEN van REMOTE ACCESS
• Ophalen, opslaan en evaluatie van data:
Key Performance Indicators voor industriële processen,
productielijnen, machines
• On-site diagnose
• Sneller respons voor probleemoplossing
• Specialisten hoeven zich minder te verplaatsen
• Minder verloren engineeringtijd• Beperking van de verplaatsingsonkosten
18/79
7
1. INTRODUCTIE
AANDACHTSPUNT:
All IP en Remote Access over het onbeveiligde
internet vraagt de nodige aandacht omtrent IT-
security
Secure Remote Access
8
1. INTRODUCTIE
HACKEN
Gebruik van hardware, software, applicaties waarvoor het oorspronkelijk niet bedoeld was
- Hacken: imago schaden, diefstal van informatie, aanpassen van informatie , fraude, ….
- Ethisch hacken: zwakheden in IT systemen aantonen om een verbeteringen mogelijk te maken
19/79
9
1. INTRODUCTIE
CYBERSECURITY
Het geheel van maatregelen om IT infrastructuur te beveiligen tegen zwakheden en misbruik.
- Technische maatregelen
- Procedurele maatregelen
- Personele maatregelen
10
1. INTRODUCTIE
20/79
11
1. INTRODUCTIE
MGUARD RS4000 3G VPN
- WAN en draadloze interface;
- 10 VPN-tunnels;
- Bidirectionele statefull firewall;
- Router met NAT/1:1-NAT;
- Managed Switch met 4 poorten;
- DMZ poort;
- …
12
PROGRAMMA
Internet TCP/IP
Mobiel internet
Hardware Phoenix
Security & VPN
Applicaties
21/79
13
2. INTERNET (TCP/IP)
TCP/IP model
14
2. INTERNET (TCP/IP)
TCP/IP model
22/79
15
1010 1011 1000 0100 ………………………………. 1101 0101 1110 0101 1110
Ethernet dataveldEth Header
Ehternet dataframe
Eth Header IP dataveldIP header
IP Pakket
Eth Header TCP dataveldIP header TCP header
TCP segment
Ethernet TCP/IP berichtopbouw
2. INTERNET (TCP/IP)
16
Eth Header TCP dataveldIP header TCP header
SA DAHdr SP DP HdrDA SA Hdr …………….
TCP/UDP poortnummers
IP adressen
Hardware adressen: MAC adressen voor Ethernet
Ethernet TCP/IP berichtopbouw
2. INTERNET (TCP/IP)
23/79
17
DOELSTELLING IP PROTOCOL
Pakket transmissie, verbindingsloos
Adres management
Segmentatie
Routering
DOELSTELLING TCP PROTOCOL
Betrouwbaar , verbindingsgeoriënteerd end to endprotocol
Verbindingsgericht : verbinding opzetten, verbinding gebruiken, verbinding stopzetten
2. INTERNET (TCP/IP)
TCP/IP
18
2. INTERNET (TCP/IP)
ROUTER
2 of meerdere netwerken met elkaar verbinden
Gericht doorsturen van datapakketten op basis van IP adressen
Maakt gebruik van dynamische routeringstabellen: IP adressen gelinkt aan het volgende knooppunt (next hop)
24/79
19
2. INTERNET (TCP/IP)
SOORTEN ROUTERS
Breedbandrouter: voor thuisgebruik om meerdere computers aan te sluiten op één breedbandaansluiting via één publiek IP adres (integratie van WLAN access point).
Professionele router: koppeling bedrijfsnetwerk aan publiek breedbandnetwerk, meestal toewijzing van meerdere publieke IP adressen voor mail, web of andere internetservers (gebruik van DMZ)
Industriële router: routers voor het koppelen van industriële netwerken aan bedrijfsnetwerken, volledig gebaseerd op Ethernet TCP/IP communicatie
ISP router: routers die gebruikt worden door internet service providers in hun eigen netwerk. Deze routers moeten enorme hoeveelheden data kunnen routeren.
20
2. INTERNET (TCP/IP)
25/79
21
2. INTERNET (TCP/IP)
IP adres
22
2. INTERNET (TCP/IP)
26/79
23
2. INTERNET (TCP/IP)
IP adres: klasse A
24
2. INTERNET (TCP/IP)
IP adres: klasse B
27/79
25
2. INTERNET (TCP/IP)
IP adres: klasse C
26
2. INTERNET (TCP/IP)
Opdeling volgens klasse Klasse A, NET ID eerste getal, eerste getal tussen 1 en 126
Klasse B, NET ID eerste twee getallen, eerste getal tussen 128 en 191
Klasse C, NET ID eerste drie getallen, eerste getal tussen 192 en 223
Subnetmask
De bits van het netwerkgedeelte krijgen de waarde 1De bits die het hostgedeelte voorstellen krijgen de waarde 0
Voorbeeld: subnetmask is 255.255.0.0, NET ID eerste twee getallen
CIDR notatie (Classless Inter Domain Routing)
Voorbeeld: 144.20.11.11/16, NET ID eerste twee getallen
28/79
27
2. INTERNET (TCP/IP)
PUBLIEKE IP adressen Uniek op het Internet
Bepaald door ISP (Internet Service Providers)
IP adres is statisch of dynamisch: DHCP Servers
Vertaling IP adres naar symbolische hostnamen: DNS Servers
IP adressen voor PRIVÉ NETWERKEN
Klasse A netwerken 10.0.0.0 10.255.255.255
Klasse B netwerken 172.16.0.0 172.31.255.255
Klasse C netwerken 192.168.0.0 192.168.255.255
28
2. INTERNET (TCP/IP)
Subnetmask / Classless Inter-Domain Routing
29/79
29
2. INTERNET (TCP/IP)
LOGISCHE VERBINDING (POORTEN)
TCP protocol
30
Eth Header TCP dataveldIP header TCP header
SA DAHdr SP DP HdrDA SA Hdr …………….
2. INTERNET (TCP/IP)
Seq. nr Ack. nr Vlaggen Window CRC
TCP protocol
30/79
31
2. INTERNET (TCP/IP)
TCP protocol
32
2. INTERNET (TCP/IP)
INTERNET is gebaseerd op het CLIENT SERVER model
31/79
33
2. INTERNET (TCP/IP)
KENMERKEN van een Server applicatie
34
2. INTERNET (TCP/IP)
KENMERKEN van een Client applicatie
32/79
35
2. INTERNET (TCP/IP)
TCP/IP endpoint
36
2. INTERNET (TCP/IP)
CLIENT SERVER model: ondubbelzinnige communicatie
Ieder internetsocket (de combinatie van lokaal IP adres, lokaal poortnummer,
remote IP adres en remote poortnummer) moet uniek zijn.
33/79
37
2. INTERNET (TCP/IP)
LOGISCHE VERBINDING (POORTEN)
38
2. INTERNET (TCP/IP)
NAT, Network Address Translation
34/79
39
2. INTERNET (TCP/IP)
NAT, Network Address Translation
40
ARP definieert twee berichten:
- Request bevat een IP adres en verzoekt om het corresponderende hardware adres
- Response bevat het IP adres en het hardware adres
2. INTERNET (TCP/IP)
ARP (Address Resolution Protocol)
35/79
41
ICMP definieert vijf foutberichten en vier informatieve berichten
- Source quench
- Time Exceeded
- Destination unreachable
- Redirect
- Fragmentation required
Informatieve berichten:
- Echo request/reply
- Address mask request/reply
Bereikbaarheid van een host controleren: PING
Een route traceren: TRACERT
2. INTERNET (TCP/IP)
ICMP (Internet Control Message Protocol)
42
Koppeling symbolische hostnaam aan een endpoint : www.google.be
DNS staat voor:
Een gedistribueerde database welke geïmplementeerd is in een hiërarchie van DNS servers
Een applicatielaagprotocol waarmee hosts en DNS servers kunnen communiceren om de vertaalslag (het omzetten van een IP adres in een hostnaam en omgekeerd) te maken.
3 klassen DNS servers:
Root DNS servers
Topleveldomein (TLD) DNS servers
Verifiërende DNS servers
2. INTERNET (TCP/IP)
DNS (Domain Name System)
36/79
43
Iteratieve zoekactie Recursieve zoekactie
2. INTERNET (TCP/IP)
DNS (Domain Name System)
44
De mGuard, niet zomaar een industriële router
2. INTERNET (TCP/IP)
37/79
45
PROGRAMMA
Internet TCP/IP
Mobiel internet
Hardware Phoenix
Security & VPN
Applicaties
46
3. MOBIELE TELEFONIE
1977 1994 2004 2014
1G (analoge voice functionaliteiten)
2G (GSM netwerk, digitaal telefonie netwerk)
2.5G (GPRS)
3G (UMTS)
4G (LTE)
4 GENERATIES MOBIELE NETWERKEN• Uitbreiding van het traditionele PSTN- of ISDN netwerk
• GSM & UMTS zijn afgeleid van het telefonienetwerk
• GPRS en EDGE zijn toepassingen op het GSM netwerk voor mobiele dataverbinding
3.5G (HSDPA)
2.75G (EDGE)
38/79
47
GSM (’82: Groupe Speciale Mobile
nu : Global System for Mobile Communications)
Enkele doelstellingen:
• Mobiel digitaal telefonienetwerk
• Compatibel zijn met ISDN en PSTN systemen
• Encryptiemogelijkheden
Verschillende versies:
• GSM 850 (voornamelijk VS)
• GSM 900 (880-915 MHz uplinks / 925-960 MHz downlinks)
• GSM 1800 of ook aangeduid als DCS 1800 (Digital Cellular System, 1710-1785 MHz uplinks, 1805-1880 downlinks)
• GSM 1900 (voornamelijk VS)
3. MOBIELE TELEFONIE
48
3. MOBIELE TELEFONIE
GSM : ‘s werelds grootste mobiel netwerk gebaseerd
op digitale cellulaire technologie
39/79
49
PSTNISDN
3. MOBIELE TELEFONIE
radio cell
MS
MS
BTS
radio cell
MS
MS
BTS
BSS
BCS
BCS
MSC
MS: mobile StationBTS: Base Tranceiver StationBSS: Base Station SubsystemBCS: Base Controller StationMSC: Mobile Switching Centre
GSM infrastructuur
50
3. MOBIELE TELEFONIE
Eerste datadiensten via GSM
• Beperkte data rate (max 14,4 kbps), typisch 9600 bps
• Data connectie gebruikt 1 voice kanaal
• Continue verbinding
• CSD (Circuit Switched Data)
40/79
51
3. MOBIELE TELEFONIE
Uplink: 174 kanalen (200kHz per kanaal)
Downlink: 174 kanalen (200kHz per kanaal)
tijd
1 2 3 4 5 6 87
GSM TDMA frame (8 tijdsloten per kanaal)
GSM tijdslot (burst)
4,615 ms
577 µs
MEDIATOEGANG: combinatie van FDMA en TDMA
GSM 900
52
3. MOBIELE TELEFONIE
CODERINGHoe logisch 1 en 0 voorstellen? Gebruik van controle bits om betrouwbaarheid te kunnen controleren
MODULATIEDigitale signalen (bitstroom) draadloos versturen omvormen naar gepast analoog signaal
41/79
53
3. MOBIELE TELEFONIE
MODULATIE
• Bitsequentie wordt verdeeld in stukjes van n bits, ieder stuk wordt een datasysmboolgenoemd.
• Een modulatietechnologie kan per stukje draaggolf een datasymbool versturen bestaande uit n bits.
o Lineaire modulatie technologieën: ASK, PSK, DPSK, ..
o Niet lineaire technologieën: FSK, GMSK, ….
GMSK is de toegepaste technologie voor GSM
Modulatie en codering: - Bepalend voor de datarate en de kwaliteit - Evenwicht tussen snelheid en betrouwbaarheid
54
MAIL: de ILC als SMTP Client
5. ILC 150 ETH GSM/GPRS
42/79
55
Rechtstreeks data wegschrijven in een SQL Server
5. ILC 150 ETH GSM/GPRS
56
PSI-MODEM-ETH/GPRS
• Industriël GSM-modem met GPRS/EDGE
• Quad band 850 + 900 + 1800 + 1900 MHz
• Ethernet aansluiting
• Firewall, NAT, DHCP, VPN
• 6 alarmingangen en 4 schakeluitgangen
• Montage op DIN rail, 24Vdc
6. PSI-MODEM
43/79
57
Intern netwerk
Fixed IP adres
DHCP Server
Default gateway
Extern netwerk
IP adres van provider (internet of intranet)
Dyn DNS
Port forwarding
VPN
Firewall
PSI-MODEM-ETH/GPRS
6. PSI-MODEM
58
6. PSI-MODEM
WEB BASED MANAGEMENT
44/79
59
PSI-MODEM-3G/ROUTER
• High Speed router for up to 7.2 Mbps
• UMTS/HSPA tri band 850,1900 and 2100 MHz
• Quad band GPRS/EDGE mobile networks as fall back
• 2nd SIM-Card for a alternative backup mobile provider
6. PSI-MODEM
60
PSI-MODEM-3G/ROUTER
6. PSI-MODEM
WEB BASED MANAGEMENT
45/79
61
Innovative protection for your automation system
6. mGuard
Ethernet Security
router met geïntegreerde firewall en VPN
62
• IT-security en bescherming tegenongewenste toegang
• Remote maintenance en monitoring via Internet
• Integratie van industriële applicatiesbinnen het bedrijfsnetwerk
6. mGuard
46/79
63
PROGRAMMA
Internet TCP/IP
Mobiel internet
Hardware Phoenix
Security & VPN
Applicaties
64
Industrial Automation steeds meer doelwit van cyber crime
Recente cijfers omtrent security assessments
15 ICS assessments
900 uren onderzoek
245 zwaktes
* Source: US Department of Homeland Security
7. SECURITY - INLEIDING
47/79
65
Au
tom
atio
n in
teg
ratio
n
ICT
Pro
cess C
on
trol S
ecu
rity
7. SECURITY - INLEIDING
66
7. SECURITY - INLEIDING
AUTOMATISERINGSNETWERKEN, VROEGER:
meestal geïsoleerde netwerken met controllers en netwerkprotocollen welke gebaseerd zijn op proprietaire protocollen.
De productieafdeling is meestal zelf verantwoordelijk voor de industriële communicatie;
Security is zelden een aandachtspunt.
48/79
67
7. SECURITY - INLEIDING
HEDEN:
Moderne automatiseringsprojecten worden gekenmerkt door open systemen en communicatienetwerken gebaseerd op Ethernet TCP/IP
68
7. SECURITY - INLEIDING
HEDEN:Level 0 (IO niveau)
Implementatie van PROFINET RT
49/79
69
7. SECURITY - INLEIDING
HEDEN:Level 2 (cell niveau)
Koppeling PLC/SCADA-systemen/Servers via Ethernet TCP/IP
70
7. SECURITY - INLEIDING
HEDEN:Level 3 (MES niveau)
Implementatie van MES vraagt uitgebreide IT-configuratie op basis van Ethernet TCP/IP
50/79
71
7. SECURITY - INLEIDING
CONCLUSIE:
IT-afdeling wordt medeverantwoordelijk voor de industriële communicatie; Engineering heeft behoefte aan een basiskennis omtrent IT;
Dat Windows en Ethernet de productiehallen veroveren is een interessante ontwikkeling. Maar in toenemende mate wordt duidelijk dat ook virussen en hackers vat krijgen op machineparken en installaties. Het wordt dus belangrijk om de automatiseringswereld te beschermen tegen de gevaren die al jaren gekend zijn in de IT-wereld.
Security wordt een belangrijk aandachtspunt.
72
IC (industrial control)
IT (information technology)
BESCHIKBAARHEID
INTEGRITEIT
VERTROUWELIJKHEID
IC versus IT: # hoofddoelstelling
Kantoorwereld: op een vertrouwelijke manier verhandelen van data en gegevens.Automatiseringswereld: beschikbaarheid van het productiesysteem.
7. SECURITY - INLEIDING
51/79
73
7. SECURITY – HET PROCES
74
7. SECURITY
Doelstelling risicoanalyse
Identificatie van de mogelijke threats
Analyse van mogelijke schade bij eventuele threats
Identificatie van bestaande of existing security measures
SECURITYRISK ?
YES
NO
REDUCE
ELIMINATE
52/79
75
Virussen, Trojans,
schadelijke mobiele code
Denial of
service (DoS)
attacks
Hacking & cracking
Rampen
Ongeschikte
infrastructuur
Social engineering
7. SECURITY
76
BEDREIGINGEN?
Interne opzettelijke bedreigingen
Interne onopzettelijke bedreigingen
Externe niet-gerichte bedreigingen
Schadelijke actoren: doelgerichte aanvallen
7. SECURITY
53/79
77
INTERNE OPZETTELIJKE BEDREIGINGEN
Wat zijn interne personen? o Voor de IT: Iemand die werkt voor de organisatie
o Voor de automatisering: Iedereen die kennis heeft van besturingssystemen en toegang tot de installatie heeft (installateurs, systeem integratoren, onderhoudspersoneel van derden, …)
Enkele gevallen gekend van misnoegde personen die installaties saboteren
7. SECURITY
78
INTERNE ONOPZETTELIJKE BEDREIGINGEN
Het naar elkaar toegroeien van IT en automatisering zorgt voor een omgeving waar onopzettelijke bedreigingen schering en inslag zijn.
Veel voorkomende bedreigingen:o Slecht ontwerp van netwerkeno Verkeerde configuratie van IT componenteno Gebrek aan security beleido Verkeerde procedure bij testen, wijzigen, …o Gebrekkige kennis van personeel, menselijke fouten
7. SECURITY
54/79
79
EXTERNE NIET-GERICHTE BEDREIGINGEN
Software zodanig ontworpen en vrijgegeven om negatieve effecten te veroorzaken. Meestal niet gericht aan industriële besturingssystemen (malware);
Gevaar voor industriële netwerken indien ze gekoppeld worden aan het bedrijfsnetwerk;
Dit is de hoogstwaarschijnlijkste manier voor een industrieel netwerk om besmet te geraken, maar het netwerk is ook het gemakkelijkst hiertegen te beschermen;
7. SECURITY
80
DOELGERICHTE AANVALLEN
CYBERCRIME: criminele activiteiten waarbij gebruik wordt gemaakt van IT. De criminele activiteiten kunnen gericht zijn tegen personen, eigendommen en organisaties of tegen elektronische communicatienetwerken en informatiesystemen.
Indien een HACKER het gericht heeft op uw industriële installatie, dan is dit een wordt case scenario, moeilijk om te voorkomen.
Vb: STUXNET (aanvallen op Siemens SCADA systemen, maakt gebruik van 3 kwetsbaarheden in Windows, zet zich voort via USB’s en windowssytemen, gericht op energiecentrales en nucleaire centrales)
7. SECURITY
55/79
81
ENKELE BELANGRIJKE BEGRIPPEN
SOCIAL ENGINEERING Techniek waarmee personen (slachtoffers) gevraagd worden om
handelingen te doen of gegevens te verstrekken aan een ander persoon (hacker);
Mensen associëren hacken vaak met high-tech. In de praktijk leunen succesvolle hacks voor een groot deel op menselijke zwakheden;
o Kwaadwillige hackers laten zich niet weerhouden door het gevoelige karakter van sommige informatie;
o Leidinggevenden zijn vaak makkelijke doelwitten voor hackers;o Een beveiligingsbeleid is zo goed als de opvolging ervan;o Hackers maken misbruik van het goede karakter en de behulpzaamheid van
medewerkers;
7. SECURITY
82
ENKELE BELANGRIJKE BEGRIPPEN
MALWARE VIRUS is een vorm van schadelijke software, nestelt zich ongemerkt in een
bestand (bv in bestanden van een besturingssysteem). Zijn schadelijk, kunnen gegevens wissen of verkeerde gegevens verspreiden. Kan zich verspreiden met hulp van de gebruiker (vb. USB-stick)
TROJAN HORSES zijn programma's die andere dingen doen dan ze voorgeven, bv de computer gemakkelijker toegankelijk maken voor andere virussen (vb. binnenhalen als bijlage aan een email)
WORMEN zijn geen virussen maar worden wel vaak zo genoemd. Het zijn zelfstandige programma's die zich direct over het netwerk verspreiden.
7. SECURITY
56/79
83
ENKELE BELANGRIJKE BEGRIPPEN
MAPPINGNetwerk monitoring, informatie verzamelen omtrent een bepaald netwerk, IP-adressen, TCP/UDP poorten, actieve Servers. Mappingtools: Overlook-Fing, Nmap, Spiceworks, …
EXPLOITSProgramma’s die van gekende kwetsbaarheden gebruik maken om ze te hacken. Tools om kwetsbaarheden op te sporen: MetaSploit, Nessus, Kali
BRUTE FORCE ATTACKAanval om wachtwoorden te achterhalen; Dictionary attack
7. SECURITY
84
ENKELE BELANGRIJKE BEGRIPPEN
DOS ATTACKSDenial of Service Attacks of aanvallen op TCP/IP stacks, DoS is de situatie waarin een computersysteem niet in staat is te functioneren;
Vb : SYN FLOOD, groot aantal connecties aanvragen bij een server.
DDOSDistributed Denial of Service, gebruik makend van meerdere aanvallers tegelijkertijd
7. SECURITY
57/79
85
ENKELE HACKINGSBEGRIPPEN
SPOOFINGGebruik maken van een valse identiteit;
ARP SPOOFING, ARP POISONINGEen aanvaller verstuurt fake ARP berichten om de ARP cache van een host te vergiftigen (ARP is stateless, verwerking ARP reply zonder controle);
Man In The Middle AttackDataverkeer tussen twee toestellen onderscheppen, aanpassen of blokkeren zonder dat de twee toestellen dit opmerken;
7. SECURITY
86
MiM- attack m.b.v. ARP poisoning (Ettercap)
7. SECURITY
58/79
87
HOLE PUNCH technieken
7. SECURITY
88
WACHTWOORD GEBRUIK - BACKDOORS
Fabriekswachtwoorden meteen wijzigen
Sterke wachtwoorden gebruiken
Industriële toestellen hebben vaak een admin en user account. Vaak ook een verborgen root acount (zou enkel mogen gebruikt worden voor specifieke monitoring/diagnose doeleinden)
Achterdeurtjes aangebracht door de leverancier: extra toegang tot de besturing voor configuratie, uitlezen van diagnose gegevens, uitvoeren van diagnose op afstand;
7. SECURITY
59/79
89
CONFIGURATIEFOUTEN
Eenvoudig paswoorden Firewalls die alle netwerkverkeer doorlaten Mogelijkheid bieden om belangrijke bestanden te kunnen overschrijven Virusscanners met verouderde configuratie Gebruik van verouderde protocollen Draadloze netwerken zonder wachtwoord
7. SECURITY
90
GEBRUIKERSFOUTEN
Het ongewijzigd laten van fabriekswachtwoorden Bij de meeste toestellen is een eenvoudige procedure mogelijk om de
fabrieksinstellingen terug te zetten; gebruiksvriendelijk maar vanuit standpunt security ongewenst;
Aansluiten en in bedrijf nemen politiek; door veel uit te zetten is de configuratie veel gemakkelijker;
7. SECURITY
60/79
91
POLICIES, ORGANISATIE
It’s never done, It’s a process!;
Technische maatregelen alleen is niet genoeg;
Bepalen van de verantwoordelijkheden:
o IT
o Automation
o Toegangscontrole tot belangrijke ruimtes;
Team aanstellen om Industrial Security te testen;
Opleiding voor het personeel op de industriële werkvloer;
Hoe omgaan met smart phones, tablets, draadloze communicatie, …
7. SECURITY
92
TECHNISCHE MAATREGELEN
Hoe koppeling realiseren van industrieel netwerk met bedrijfsnetwerk/internet
Strikte scheiding tussen IT netwerken en automatiseringsnetwerken
Hiërarchische netwerkarchitectuur of VLAN
Implementatie van een DMZ
Implementatie van security hardware, firewalls, …
Koppelingen via VPN
7. SECURITY
61/79
93
TECHNISCHE MAATREGELEN
Scheiding IT netwerken
en automatiserings
netwerken
7. SECURITY
94
TECHNISCHE MAATREGELEN
VLAN
7. SECURITY
62/79
95
TECHNISCHE MAATREGELEN
VLAN
7. SECURITY
96
TECHNISCHE MAATREGELEN
VLAN
7. SECURITY
63/79
97
TECHNISCHE MAATREGELEN
7. SECURITY
98
7. SECURITY
64/79
99
7. SECURITY
100
TECHNISCHE MAATREGELEN
DMZ
7. SECURITY
65/79
101
Wat is beveiligde communicatie?
Datapakketten worden meestal volledig onbeschermd over het Internet verstuurd.
Hierdoor is er geen:
ENCRYPTIE: Geheimhouding van de data versleutelen van de data
AUTHENTICATION: Identiteitsgarantie van de afzender
INTEGRITEIT: Controle of data al dan niet corrupt is, niet gewijzigd is tijdens het verzenden.
8. Veilige communicatie
102
Message confidentiality
# encryptiemethodes
AES: Advanced EncryptionStandard
Veilig met sleutel van 128, 192 or 256 bits lang.
8. Veilige communicatie
66/79
103
Message authentication
# hash algortimes
8. Veilige communicatie
104
Session Authentication
PRE-SHARED KEY
PUBLIC KEY INFRASTRUCTURE
8. Veilige communicatie
67/79
105
CERTIFICATEN
Een certificaat bestaat uit een aantal belangrijke delen:
Een public key
Een aantal administratieve gegevens (bv gebruikersnaam, email adres, …)
Een bewijs van echtheid: een bewijs dat de public key en de administratieve gegevens
bij elkaar horen.
Geldigheidsduur
Bewijs van echtheid = een digitaal handtekening van een Certification Authority (CA)
8. Veilige communicatie
106
CERTIFICATEN
Public Key Infrastructure (PKI)…is een systeem waarmee het beheer van digitale certificaten gerealiseerd wordt.
Certificaat Autoriteit (CA)
(betrouwbare derde partij) levert certificaten welke een publieke sleutel koppelen
aan de identiteit van de eigenaar. De matching privé sleutel wordt niet vrijgegeven.
De CA waarborgt de integriteit en authenticiteit van het certificaat en staat dus in
voor de identiteit van de certificaatbezitter.
Voor certificaten is een officiële standaard ontwikkeld, X509.3 . Deze standaard
bepaalt hoe dergelijk certificaat opgebouwd is.
8. Veilige communicatie
68/79
107
PKI (Public Key Infrastructure)
ClientmGuard
PUBLIEK
Server mGuard
PUBLIEK
ClientmGuard
PRIVAAT
Server mGuard
PRIVAAT
CA
8. Veilige communicatie
108
CERTIFICATEN
Hoe certificaten aanmaken?
Via een Certification Authority (VeriSign, Certipool )
Via de Microsoft CA Server
Via Innominate device manager
Gebruik van freeware tools zoals XCA (selfsigned)
8. Veilige communicatie
69/79
109
VIRTUAL PRIVATE NETWORK
Een Virtueel Privaat Netwerk voorziet een beveiligde communicatie tussen twee eindpunten waarbij gebruik gemaakt wordt van een publieke, onbeveiligde netwerkinfrastructuur zoals het internet.
STATEFUL INSPECTION FIREWALL
Meer dan alleen maar een pakketfilter: logische opvolging van alle sessies.
Dankzij complexe algoritmes kunnen stateful inspection firewall verdachte patronen herkennen (Denial Of Service attacks , SYN FLOOD, IP spoofing, man-in-the-middle)
9. VPN
110
SITE-TO-SITE VPN
9. VPN
70/79
111
USER-TO-SITE VPN
9. VPN
112
VPN tunneling
VPN tunnels worden tot stand gebracht door gebruik te maken van encapsulatieprotocollen.
Er zijn heel wat protocollen voor handen:
Oudere laag 2 protocollen: Layer 2 Forwarding (L2F) Protocol, Point-to-Point
Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP)
IP Security (IPSec): laag 3 protocol
Open VPN (laag 2 of laag 3)
9. VPN
71/79
113
Ipsec (Internet Protocol Security)
9. VPN
114
9. VPN
72/79
115
9. VPN
Security functies van de mGuard RS4000 VPN
116
IPsec (Internet Protocol Security)
IPsec maakt gebruik van het Internet Key Exchange (IKE) protocol om met de partner
langs de andere zijde te onderhandelen om de nodige IPsec Security Associations (SA)
op te zetten.
Het IKE protocol zorgt voor:
Negotiate connection (e.g. Algorithms, Hashes, Tunnel/Transport)
Authentication, uitwisselen van sleutels (e.g. X.509 certificates, PSK)
Dead Peer Detection (DPD)
NAT Traversal (NAT-T)
9. VPN
73/79
117
SITE to SITE tussen 2 mGuards
9. VPN
118
LAN ON SITE
SQLSERVER
BEDRIJFS LANmGuard
(Responder)Modem
(Initiator)
XCA.EXE
Private Key mGuard
Public Key mGuard
Private Key modem
Public Key modem
VPN
192.168.150.0/24172.23.10.0/16
9. VPN
74/79
119
Bijvoorkeur uitgaande connecties opbouwen
Firewalls laten meestal uitgaande verbindingen toe Geen statische IP adressen nodig Tunnels initiëren via werksleutel, contact ….
Port ForwardingUDP 500 & 4500
Central mGuard
Field device 1mobile internet connection
Field device 2wired internet connection
Outgoing TrafficUDP 500 & 4500
9. VPN
120
9. VPN
Hub and spoke VPN
75/79
121
10. VOORBEELDEN
122
10. VOORBEELDEN
76/79
Programma:
09:00 Welkom en introductie09:15 Ethernet TCP/IP 10:45 Pauze11:15 Mobiel Internet 12:15 Lunch13:00 Security & automatisering 13:30 VPN14:45 Pauze15:15 Bespreking verschillende oplossingen15:45 Afsluiting16:00 Einde
Themadag “Secure Remote Access” Agenda
www.catael.be
www.phoenixcontact.nl
Themadag “Secure Remote Access” Informatie
77/79
www.phoenixcontact.nl/seminars
Themadag “Secure Remote Access” Informatie
Themadag “Secure Remote Access” Informatie
78/79
Welcome to PHOENIX CONTACTTot ziens bij PHOENIX CONTACT
79/79