CompuDiode
Technical whitepaper 2015
ICS / SCADA Security
Nederlands
Hackers slagen er steeds vaker in om .gevoelige bedrijfsdata .te stelen, manipuleren .en te verwijderen
// ICS / SCADA security Vitale infrastructuren worden aangestuurd via
Organisaties zitten dan ook in een tweestrijd,
Industrial Control Systems (ICS). De gebruikte
dankzij de koppeling van kritieke systemen aan
Process Control systems (PCS) waren tot voor
het netwerk en internet kunnen medewerkers
kort autonome systemen. Om de efficiënte te
veel efficiënter werken en analyseren. Maar aan
verbeteren
Control
de
op
succesvolle inbraak toe.
Systems
worden steeds
deze
vaker
Process van
een
IP
gebaseerde interface voorzien en aan het bedrijfsnetwerk en internet gekoppeld.
andere
kant
neemt
het
risico
op
een
Het op een juiste manier beveiligen van deze netwerken is zeer complex en
beveiliging
Doordat de Process Control Systems aan het
oplossingen gaan vaak ten koste van de efficiency
internet gekoppeld zijn en niet altijd beschikken
in een organisatie.
over de laatste software versies, bestaat er een risico dat deze systemen gehackt worden. De systemen zijn immers vanaf elke locatie ter wereld bereikbaar.
Om het risico van succesvolle aanvallen tot een minimum te beperken, is het van belang dat in de Industrial control systems de Process Control Systems en de Supervisory Control And Data
De gevolgen van een succesvolle aanval op
Acquisition
bijvoorbeeld een energiecentrale, luchthaven of
worden van het internet en andere netwerken of
andere vitale infrastructuren zijn niet te overzien.
door een veilige toegang gecontroleerd worden.
Materiële
schade
is
het
minste
wat
een
organisatie kan overkomen.
(SCADA) netwerken
losgekoppeld
Het loskoppelen van PCS en SCADA netwerken hoeft niet ten koste te gaan van efficiency.
De afgelopen jaren zijn er tientallen succesvolle
Wanneer deze netwerken fysiek van andere
aanvallen op deze infrastructuren geweest. Zo
netwerken worden gescheiden, kunnen beide
werd een Duitse energiecentrale met succes
onafhankelijk van elkaar blijven functioneren.
aangevallen, waardoor deze stil kwam te liggen. Criminelen beginnen in te zien dat er veel geld te verdienen valt door manipulatie van controle systemen, zoals bijvoorbeeld smart meters.
Whitepaper CompuDiode
2015
The security of your data is our mission .Cybersecurity with .a personal touch
// Inhoudsopgave // CompuDiode ......................................... 4
// Controle diode ....................................... 8
Gecertificeerde NextGen firewall ..................... 4
Gecontroleerde communicatie ......................... 8
Datadiode .................................................... 4
Voor
Centraal webmanagement .............................. 4 Drie verschillende types ................................. 5 Industriële hardware ...................................... 5
// Klassieke DataDiode ...............................6 Eenrichtingsverkeer ....................................... 6 Voor welke doelgroep is de klassieke datadiode geschikt? ..................................................... 6 Voordelen .................................................... 6
// Signalling diode ...................................... 7 Signalling ..................................................... 7 Voor welke doelgroep is de signalling diode geschikt? ..................................................... 7 Voordelen .................................................... 7
Whitepaper CompuDiode
2015
welke
doelgroep
is
de
controle
diode
geschikt? ..................................................... 8 Voordelen .................................................... 8
// NextGen Firewall / CompuWall ................ 9 Veiligheid .................................................... 9 Remote Access ............................................. 9 Overige
functionaliteiten
en
technische
achtergrond .................................................. 9
// Bedrijfsprofiel....................................... 10 // Contact informatie ................................ 10
Alles wat niet .expliciet is .toegestaan, is .strikt verboden
// CompuDiode Zoals in voorgaand hoofdstuk is beschreven, is
Door op deze manier de firewall te laten werken
het extra beveiligen van de toegang tot ICS en
is
SCADA netwerken noodzakelijk. Echter is het
beveiligingslekken uitgesloten. Enkel door de
wel van belang dat de oplossing zowel veilig
beheerder toegestane verbindingen, worden door
als efficiënt is.
de firewall gecontroleerd doorgelaten.
De CompuDiode van Compumatica is speciaal
Voor extra veiligheid heeft de CompuDiode twee
ontwikkeld om ICS en SCADA netwerken te
fysiek gescheiden firewalls, waardoor pakketten
beveiligen. Dankzij drie verschillende type diodes
extra gecontroleerd kunnen worden. Dankzij de
heeft Compumatica voor elke organisatie een
dubbele firewall, beide onafhankelijk beheerd, is
geschikte oplossing.
het mogelijk om dataverkeer strikt te regulieren.
De CompuDiode bestaat uit één hardware met
Datadiode
daarin twee fysieke NextGen firewalls en een diode
koppeling. De hardware beschikt
per
NextGen firewall over twee interfaces waardoor er een flexibele inzet van de CompuDiode mogelijk is.
niet
mogelijk
en
zijn
Naast de twee NextGen firewalls bevat de CompuDiode een
. Een
is een
fiber connector en werkt als een diode, waarbij slechts
éénrichtingverkeer
tussen
netwerken
mogelijk is. De diode scheidt de netwerken fysiek van elkaar. Er kunnen hierdoor geen succesvolle
Gecertificeerde NextGen firewall De technologie van de NextGen firewalls komt uit de CompuWall, een ander door Compumatica ontwikkeld
misconfiguratie
product.
Deze
Het is ook mogelijk om de CompuDiode zonder
layer
te bestellen, zodat er gereguleerd twee
firewall is een door de Nederlandse overheid
richtingsverkeer mogelijk is. Deze Diode is terug
gecertificeerde
te vinden op pagina 8.
firewall
voor
application
aanvallen van buitenaf meer plaatsvinden.
Departementaal
Vertrouwelijk gebruik (DV). De NextGen application layer firewall (laag 7) biedt een hoogwaardige beveiliging en krachtige werking door het volgende security principe:
Centraal webmanagement De CompuDiode is zeer eenvoudig in gebruik, dankzij
het
centrale
webmanagement,
De
beheerder kan white en black listing toepassen, nieuwe
is str
security
policies
creëren,
updates
doorvoeren, etc. Zoals eerder al aangegeven, beide firewalls hebben een eigen centrale management.
Whitepaper CompuDiode
2015
4
Drie verschillende .types voor optimale .veiligheid en .
Beheer / flexibiliteit CompuDiode tabel
Drie verschillende types Compumatica heeft drie verschillende varianten van
de
datadiode
ontwikkeld.
Dankzij
Type
de
Beheer
Flexibiliteit
inspanningen
verschillende versies is er voor de verschillende toepassing gebieden voor elke organisatie en
Klassieke
infrastructuur een geschikte diode met passende
Datadiode
Laag
+
Middel
++
Hoog
+++
veiligheid. Deze drie types zijn verschillend op het gebied van
beheer
en
flexibiliteit.
Compumatica
Signalling Diode
benadrukt dat alle versies de hoogste mate van
Controle
beveiliging biedt.
Diode
Wanneer er binnen een organisatie behoefte is aan
een
oplossing
waarbij
er
enkel
éénrichtingverkeer plaats vindt, is de klassieke
Industriële hardware
CompuDiode
De CompuDiode is compact en bestaat uit slechts
het
ideale
product.
Deze
CompuDiode heeft weinig beheer inspanningen nodig.
een 1HE
hardware met daarin de twee
NextGen firewalls ieder met twee interfaces, de
Een volledig afgescheiden netwerk, maar met de mogelijkheid om beperkte informatie (signalling) naar andere netwerken terug te sturen, met de Signalling CompuDiode is het mogelijk. Deze CompuDiode
heeft
een
gemiddelde
beheer
diode als koppeling en een redundante voeding. De
CompuDiode
is
zeer
geschikt
voor
toepassingen binnen industriële omgevingen. De hardware is speciaal ontworpen om bestand te zijn tegen schokken en trillen, te kunnen werken
inspanning nodig.
bij een temperatuur tussen -20° en +55° Celsius.
Het te beveiligen netwerk moet niet alleen
de CompuDiode een lange levensduur.
optimaal beveiligd worden, het moet ook volledig
Mede door het ontbreken van ventilatoren heeft
kunnen communiceren met andere netwerken. Met de Controle CompuDiode is het mogelijk. Deze
CompuDiode
heeft
een
hoge
beheer
inspanning nodig.
Whitepaper CompuDiode
2015
5
is de veiligste diode, .omdat de data slechts .éénrichting op kan .
// Klassieke DataDiode De klassieke DataDiode kent een zeer lage
Voor welke doelgroep is de klassieke
beheer inspanning. Bij installatie moeten de
datadiode geschikt?
firewalls worden ingesteld, waarna er verder geen onderhoud meer nodig is.
andere
Bij deze diode is het slechts mogelijk om data in richting
te
transporteren.
klassieke
CompuDiode
is
geschikt
De
fysieke
terugweg ontbreekt waardoor het niet mogelijk is vanuit het ontvangende netwerk data aan te bieden voor het zendende netwerk. Het te
netwerken,
waarbij
er
ook
Voordelen
Lage beheer inspanning
Aanvallen van buitenaf via het internet op het
overige netwerken gescheiden en niet meer
uitgesloten
geclassificeerde
netwerk
kwetsbaar voor aanvallen. Data transport via het TCP/IP protocol is dus niet mogelijk met deze klassieke datadiode. Enkel UDP verkeer vanuit het te beveiligen netwerk is mogelijk.
2015
geen
communicatie terug hoeft te worden verstuurd.
beveiligen netwerk wordt dus volledig van de
Whitepaper CompuDiode
voor
netwerken die afgeschermd moeten worden van
Eenrichtingsverkeer één
De
6
zijn
Wel een terugkoppeling maar geen volledige .twee richting .communicatie
// Signalling diode De signalling diode heeft een breder inzet
Voor welke doelgroep is de signalling
gebied in ICS omgevingen. Dit komt, omdat er
diode geschikt?
een gereguleerde twee richting communicatie mogelijk is.
De signalling diode is het meest geschikt voor organisaties waarvan de Information Technologie (IT) en de Operations technologie (OT) netwerk
Signalling Het basis principe van deze diode is hetzelfde als de klassieke datadiode. De diode laat nog steeds de data alleen maar in een richting door, maar de
omgevingen met elkaar verbonden dienen te zijn, zonder dat deze volledig in twee richtingen data hoeven te communiceren.
de
Door gebruik te maken van communicatie met
protocollen die gebruik maken van signalering
signalling is communicatie tussen IT en OT
voor de bevestiging van de ontvangst van een
netwerken mogelijk en is het OT geclassificeerde
pakket,
netwerk wel beter beschermd tegen aanvallen
ontvangende firewall zorgt er
deze
ook
voor dat
daadwerkelijk
ook
terug
van buitenaf.
ontvangen. Door
de
toevoeging
van
deze
signalling
mogelijkheden kunnen beide netwerken met elkaar communiceren en is er zowel UDP als
Voordelen
Signalling
protocollen
in
een
omgeving is mogelijk
TCP/IP data verkeer in een richting mogelijk.
Aanvallen van buitenaf (internet) zijn uitgesloten
Whitepaper CompuDiode
2015
diode
7
Veilige twee richting communicatie dankzij .twee gekoppelde .NextGen firewalls
// Controle diode De Controle diode is het meest geschikt voor
Voor welke doelgroep is de controle
organisaties waarbij het altijd mogelijk moet
diode geschikt?
zijn
om
twee
netwerken
met
elkaar
te
verbinden om data en instellingen te kunnen uitwisselen tussen IT en OT netwerken. Bij deze
netwerken
dient
er
meer
zekerheid
ingebouwd te worden dan er met een op software gebaseerde firewall gerealiseerd kan worden.
elkaar
netwerken
overdragen
waarbij
tweerichting communicatie van wezenlijk belang is.
firewalls is het mogelijk om de communicatie
management toegang, ontstaat er een diode
sterk te regulieren, maar is er wel de mogelijkheid
die tot op heden uniek in de markt is.
tot veilige twee richting communicatie.
Gecontroleerde communicatie
Voordelen
is
het
van
aan
verschillende
Door de twee afzonderlijke application layer
diode
combinatie
informatie
waarbij
NextGen firewalls, beide beheert door eigen
deze
een
organisaties
twee
Met
Door
De controle diode is het meest geschikt voor
mogelijk
om
gecontroleerde twee richting communicatie uit te voeren, dankzij de application layers firewalls. Deze firewalls kunnen zo ingesteld worden dat aanvallen van buitenaf geblokkeerd worden, maar
Tweerichting communicatie in een diode mogelijk
Aanvallen van buitenaf (internet) zijn uitgesloten
dat er wel verkeer tussen beide netwerken mogelijk is.
Whitepaper CompuDiode
2015
8
Remote access onderhoud plegen .is mogelijk dankzij .de VPN concentrator
// NextGen Firewall / CompuWall Zoals in de beschrijving van de CompuDiode
door
Compumatica
ontwikkelde
NextGen
Firewall. De NextGen Firewall is onderdeel van de CompuWall. De CompuWall software, een proxy application
Verbergen van netwerk infrastructuur De netwerk infrastructuur wordt geheim gehouden, zodat potentiele aanvallers langer werk nodig hebben om het netwerk in kaart te brengen.
layer firewall, zoals toegepast in de CompuDiode is aangepast om de drie beschreven varianten te kunnen ondersteunen. Naast de NextGen Firewall is de CompuWall ook
Administratie op toegangscontrole Toegang is enkel mogelijk met de toegestane protocollen en systemen die zijn gelimiteerd door de administrator. Tijdslimiet is ook mogelijk.
aangegeven wordt gebruik gemaakt van de
een VPN concentrator.
Versleuteld management Toegang tot het centrale management is altijd versleuteld via HTTPS (optioneel beveiligd met een persoonlijk certificaat) of SSH.
De CompuWall en dus ook de CompuDiode maakt gebruik van een centraal management d.m.v.
een
management
webbrowser. worden
de
Met
het
centrale
security
policies
ingesteld.
Remote Access Dankzij
ze
de
Virtual
Private
Network
(VPN)
functionaliteit zoals aanwezig op de CompuWall, kan
Veiligheid
de CompuDiode vanaf elke locatie op een veilige
De belangrijkste kenmerken van de CompuWall die ook van belang zijn voor de CompuDiode zijn:
manier worden beheerd en waar nodig updates worden uitgevoerd.
Security principe Beveiligingslekken door misconfiguratie is uitgesloten, dankzij het volgende security principe.
Overige functionaliteiten en technische achtergrond Voor een meer uitgebreide functionaliteit van de NextGen
firewall
als
onderdeel
van
de
CompuWall verwijzen we u graag naar de
CompuWall brochure en whitepaper.
Toegangscontrole op netwerk niveau Alleen toegestane verbindingen worden doorgelaten.
Whitepaper CompuDiode
2015
9
The security of your data is our mission .Cybersecurity with .a personal touch
// Bedrijfsprofiel In 1991 toen bijna niemand bekend was met cyber security, werd Compumatica opgericht en liep voorop in de ontwikkelingen op dit gebied. Compumatica heeft een volwaardig en modern product portfolio van beveiligings oplossingen ontwikkeld op basis van de nieuwste technieken en haar expertise op het gebied van cryptografie. Compumatica secure networks is een volledig onafhankelijke private onderneming. De klanten van Compumatica zijn overheden en bedrijven, voornamelijk uit de Top500. Compumatica ontwikkelt, produceert en implementeert oplossingen met een hoge beveiligingsgraad zonder achterdeuren. Tijdens de ontwikkeling van de producten staat veiligheid centraal met in het achterhoofd snelle implementatie en integratie, eenvoudig beheer en gemak voor de eindgebruiker.
Whitepaper CompuDiode
2015
Elk product ondergaat een gefaseerde kwaliteitstest waarbij het wordt onderworpen aan grondige duurproeven en testen. Voor elk product wordt minstens 10 jaar lang support (incl. updates) geleverd. Met onze nieuwe slogan pers willen we benadrukken dat klanten bij Compumatica hoog in het vaandel staan. Hebt u na de aankoop nog vragen of hulp nodig, wilt u uw oude producten inwisselen voor de nieuwste techniek of heeft u specifieke wensen of behoeften? Bij Compumatica staan wij altijd voor u klaar. .
10
The security of your data is our mission .Cybersecurity with .a personal touch
// Contact informatie Nederland
Duitsland
Compumatica secure networks BV
Compumatica secure networks GmbH
Oude Udenseweg 29 5405PD Uden The Netherlands
Monnetstraße 9 52146 Würselen Germany
Tel.: +31 (0) 413 334 668 Fax: +31 (0) 413 334 669
Tel.: +49 (0) 2405 8924 400 Fax: +49 (0) 2405 8924 410
www.compumatica.com
[email protected]
www.compumatica.com
[email protected]
Whitepaper CompuDiode
2015
11
