Edegem, 8 juni PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link. De PROFIBUS, PROFINET & IO- Link dag 2010

Edegem, 8 juni 2010 PROFIBUS Belgium VZW – PROFIBUS, PROFINET & IO-Link

De PROFIBUS, PROFINET & IOLink dag 2010

Security bij Profinet - inhoudstabel 2

1. 2. 3. 4. 5.

Intro What is security ? Why security ? Security in practice Conclusion

IT Security for Industrial Automation

Introduction

3

Company network 4

LAN

demilitarized zone

WAN

Een bedrijfsnetwerk is het geheel van servers, computers en  systemen om de algemene werking van het bedrijf op IT‐niveau  mogelijk te maken.  Ethernet TCP/IP is al jarenlang de standaard voor het uitwerken van  IT‐netwerken in kantoren en bedrijven.

Automatiseringsnetwerken 5

Een automatiseringscel is het geheel van PC’s, dataservers,  controllers, IO devices, sensoren en actoren welke nodig zijn om de  verschillende functionaliteiten van een automatiseringsconcept uit  te voeren.

Een automatiseringsproject is het geheel van: • Productielijnen en procesinstallaties • PLC systemen (Programmeerbare Logic Controllers) • ESD systemen (Emergency Shut Down and Safety Controllers) • DCS systemen (Process and distributed Control Systems) • SCADA systemen (Supervisory Control and Data Acquisition)

Automatiseringsnetwerken 6

VROEGER: meestal geïsoleerde netwerken met controllers en  netwerkprotocollen welke gebaseerd zijn op proprietaire protocollen.  • De productieafdeling is meestal zelf verantwoordelijk voor de  industriële communicatie.  • Security is zelden een aandachtspunt.

Automatiseringsnetwerken 7

HEDEN: Moderne automatiseringsprojecten worden gekenmerkt door open  systemen en communicatienetwerken gebaseerd op Ethernet TCP/IP.  • IT‐afdeling wordt medeverantwoordelijk voor de industriële  communicatie. Dat Windows en Ethernet de productiehallen veroveren is een  interessante ontwikkeling. Maar in toenemende mate wordt  duidelijk dat ook virussen en hackers vat krijgen op machineparken  en installaties. Het wordt dus belangrijk om de  automatiseringswereld te beschermen tegen de gevaren die al jaren  gekend zijn in de IT‐wereld. • Security wordt een belangrijk aandachtspunt.

Evolutie binnen de automatisering

Moderne automatiseringsprojecten zijn gebaseerd op gecontroleerde openheid

8

IT Security for Industrial Automation

What’s security ?

9

Wat is security? 10

Safety: mens en omgeving beschermen voor de werking van  machines, industriële productielijnen en processen. Security: machines, industriële productielijnen en processen  beschermen tegen mens en omgeving. • BESCHIKBAARHEID (availability): resources zijn beschikbaar  en functioneren correct op het ogenblijk dat ze dit moeten  doen. • INTEGRITEIT (integrity): bescherming van de data tegen  ongewenste aanpassingen of tegen het vernietigen ervan. • BETROUWBAARHEID (confidentiality): zekerheid dat de  gegevens terecht komen bij de juiste bestemmelingen.

IT versus Automatisering 11

Door de integratie van open systemen kan de indruk ontstaan dat de  security problemen binnen de productiewereld op te lossen zijn door de  aanpak binnen de kantoorwereld over te nemen.  Er zijn echter belangrijke verschillen tussen beide domeinen.

IT versus Automatisering 12

Verschillende hoofddoelstelling  Kantoorwereld: op een vertrouwelijke manier verhandelen van data en  gegevens. Automatiseringswereld:  beschikbaarheid van het productiesysteem.

AU

IT BESCHIKBAARHEID INTEGRITEIT BETROUWBAARHEID

IT versus Automatisering 13

Netwerkprestaties:

IT versus Automatisering 14

Betrouwbaarheid van een netwerk:

IT versus Automatisering 15

Verschillende risico opvattingen:

Verder zijn er in de automatiseringsnetwerken de kritische reactietijden  op menselijke interventies. Het bedienen van een noodstop bijvoorbeeld kan niet belemmerd  worden door paswoordbeveiligingen.

IT Security for Industrial Automation

Why security?

16

Waarom security? 17

Menselijke fouten Hacking – DoS Attacks Virussen Sabotage Spionage

Security: Tegen wie en tegen wat te beveiligen ?

18

Machine 192.168.1. 1/32

Internet

F i r e w a l l

Operator’s Network 192.168.0.0/16

Machine 192.168.2. 0/24

DoS Attacks 19

DoS Attacks: Denial of Service Attacks of aanvallen  op TCP/IP stacks Denial‐of‐Service (DoS) is de situatie waarin een computersysteem niet  in staat is te functioneren. Deze situatie kan door verschillende  oorzaken optreden: een aanval door een computerkraker maar ook een  bug in een programma kan een denial of service veroorzaken.  Een DoS schaadt de beschikbaarheid van een systeem. Enkele DoS Attacks:  • Netwerk vervuilen: grote hoeveelheden data op het netwerk  genereren. • Syn Flood: groot aantal connecties aanvragen bij een server. • Random data naar specifieke poorten.

IP Spoofing 20

Spoofing is het opbouwen van TCP/IP pakketten waarbij iemand  anders IP adres gebruikt wordt. ÆGebruik van een valse identiteit om op deze manier het  vertrouwen te winnen van mogelijke beveiligingspunten. Man‐in‐the‐middle: vangt datapakketten op in een logische  verbinding tussen twee eindpunten, wijzigt de data en beweert aan  de ene deelnemer de andere te zijn. 

Zijn PLC’s security veilig ? 21

Source: The Industrial Ethernet Book, November 2006

How to attack an ILC 150 22

hacker

FTP Server

21

HTTP Server

80 TCP IP: 192.168.1.10 Ethernet interface

Prog. port

41100

Dos Attack 23

hacker

iOpener 2.0 (www.langner.com) 24

S7 PLC Vulnerability Demo hacker

IT Security for Industrial Automation

25

Security in practice

Security in de praktijk 26

Tegen toevallige fouten, tegen verkeerde menselijke  handelingen:  • Veiligheidspolitiek • Bewustwording  • Risico analyse Tegen sabotage, aanvallen • Verdediging op verschillende niveau’s (Defense‐in‐Depth). • Mogelijke aanvallers het leven zuur maken.

Security in de praktijk: laag 1 27

• Opbouw van het netwerk • Safe Clips

Security in de praktijk: laag 2 28

Paswoord beveiliging bij configuratie Port based -Security Broadcast Limiter Access control voor WBM Berichten via SNMP-Traps & alarmcontact VLAN – Virtual Private Network

Security in de praktijk: laag 3 29

De mGuard als security module: 1. 2. 3. 4.

Firewall Router VPN Port forwarding

1. mGuard: firewall 30

Verdediging tegen  • Syn‐Flood • IP‐Spoofing

> Pakket filter (regels) en statefull inspection

mGuard: Toepassing als firewall (1) 31

• Standaard, elke communicatie van de buitenwereld (WAN) naar het intern netwerk (LAN) is geblokkeerd

ICMP UDP

>regels Æ Standaard via pakket filter

Internet WAN

mGuard: Toepassing als firewall (2) 32

• Communicatie van het intern netwerk (LAN)naar de buitenwereld (WAN) is toegestaan (alsook het antwoord hierop)

Internet WAN

Stateful Inspection

mGuard als firewall in stealth mode 33

mGuard als firewall in multi stealth mode 34

2. Security module: gebruik als router 35

Sub‐network A

Sub‐network B

NAT/1:1 NAT (1) 36

ERP system Higher‐level network

Sub‐network A

Sub‐network A

NAT/1:1 NAT (2)

ERP system

Higher‐level network

NAT

Sub‐network A

Sub‐network A

1:1 NAT

Sub‐network A

Sub‐network A

37

Netwerk Architectuur 38

NAT router: IP masquerading

Bedrijfsnetwerk 192.168.1.0/24

Internet 141.16.74.40

212.21.76.78

Web Server 192.168.1.23

http://212.21.76.78 SRC IP:     192.168.1.23 SRC Port:  2305 DST IP:      212.21.76.78 DST Port:  80 SRC IP:     212.21.76.78 SRC Port: 80 DST IP:    192.168.1.23 DST Port: 2305

NAT tabel: other IP & portnr NAT Connection  Tracking Table

NAT

SRC IP:     141.16.74.40 SRC Port:  60132 DST IP:      212.21.76.78 DST Port:  80 SRC IP:     212.21.76.78 SRC Port: 80 DST IP:     141.16.74.40 DST Port:  60132

Netwerkvoorbeeld router als 1:1 NAT 39

NAT tabel: other IP, NetID internÎNetIDrouter BUT use same TCP/UDP portnr

3. mGuard als VPN 40

Datapakketten worden normaal onbeschermd over het Internet verstuurd en verzekeren dus niet: • privacy (encryptie) • erkenning van de afzender (authentication) • data niet gewijzigd werd tijdens communicatie (integriteit) Een Virtual Private Network (VPN) is een communicatiekanaal welke gebruikt maakt van encryptie en authenticatie om een datapakket te beschermen tijdens transport over een publiek medium (Internet).

VPN verbindingen via lokale netwerken 41

Higher‐level network Beveiliging dmv

▪ Paswoord (PSK) ▪ Of Certificaten, bv 

▪ Mogelijks icm NAT/1:1‐NAT

AES

Sub‐network A

Sub‐network A

VPN via het internet & firewalls 42

Internet WAN

Use of Remote services via internet & VPN 43

4. Port forwarding (of statisch NAT) 44

Intern IP

Extern

172.23.76.12

13.187.35.19:500 0

45

Profinet & Security

Conclusion

Overzicht 46

• Bewustwording van gevaar • Aanpassingen in netwerken • • • •

Netwerk design Firewalls, VPN, … Keuze van de juiste infrastructuurelementen (VLAN, fysische poortbeveiliging,…. )

• Zinvolle integratie van IT functies in de engineering Tools •

LLDP? SNMP, TFTP, HTTPS,…

• Procedures maken m.b.t. beveiliging