Security bij Profinet

PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Security bij Profinet

Edegem, 10 juni 2009

Welcome to the World of Communication

1

Security bij Profinet - inhoudstabel PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

1. Intro 2. What is security ? 3. Why security ? 4. Security in practice 5. Conclusion

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

2

IT Security for Industrial Automation PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Introduction

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

3

Company network PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

demilitarized zone

Een bedrijfsnetwerk is het geheel van servers, computers en systemen om de algemene werking van het bedrijf op IT-niveau mogelijk te maken. Ethernet TCP/IP is al jarenlang de standaard voor het uitwerken van IT-netwerken in kantoren en bedrijven.

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

4

Automatiseringsnetwerken PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Een automatiseringscel is het geheel van PC’s, dataservers, controllers, IO devices, sensoren en actoren welke nodig zijn om de verschillende functionaliteiten van een automatiseringsconcept uit te voeren.

Een automatiseringsproject is het geheel van: • Productielijnen en procesinstallaties • PLC systemen (Programmeerbare Logic Controllers) • ESD systemen (Emergency Shut Down and Safaty Controllers) • DCS systemen (Process and distributed Control Systems) • SCADA systemen (Supervisory Control and Data Acquisition)

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

5

Automatiseringsnetwerken PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

VROEGER: meestal geïsoleerde netwerken met controllers en netwerkprotocollen welke gebaseerd zijn op proprietaire protocollen. • De productieafdeling is meestal zelf verantwoordelijk voor de industriële communicatie. • Security is zelden een aandachtspunt.

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

6

Automatiseringsnetwerken PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

HEDEN: Moderne automatiseringsprojecten worden gekenmerkt door open systemen en communicatienetwerken gebaseerd op Ethernet TCP/IP. • IT-afdeling wordt medeverantwoordelijk voor de industriële communicatie. Dat Windows en Ethernet de productiehallen veroveren is een interessante ontwikkeling. Maar in toenemende mate wordt duidelijk dat ook virussen en hackers vat krijgen op machineparken en installaties. Het wordt dus belangrijk om de automatiseringswereld te beschermen tegen de gevaren die al jaren gekend zijn in de IT-wereld. • Security wordt een belangrijk aandachtspunt.

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

7

Evolutie binnen de automatisering PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Moderne automatiseringsprojecten zijn gebaseerd op gecontroleerde openheid

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

8

IT Security for Industrial Automation PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Henk Capoen – Nikolas Taelman

What’s security ?

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

9

Wat is security? PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Safety: mens en omgeving beschermen voor de werking van machines, industriële productielijnen en processen. Security: machines, industriële productielijnen en processen beschermen tegen mens en omgeving. • BESCHIKBAARHEID (availability): resources zijn beschikbaar en functioneren correct op het ogenblijk dat ze dit moeten doen. • INTEGRITEIT (integrity): bescherming van de data tegen ongewenste aanpassingen of tegen het vernietigen ervan. • BETROUWBAARHEID (confidentiality): zekerheid dat de gegevens terecht komen bij de juiste bestemmelingen.

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

10

IT versus Automatisering PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Door de integratie van open systemen kan de indruk ontstaan dat de security problemen binnen de productiewereld op te lossen zijn door de aanpak binnen de kantoorwereld over te nemen. Er zijn echter belangrijke verschillen tussen beide domeinen.

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

11

IT versus Automatisering PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Verschillende hoofddoelstelling Kantoorwereld: op een vertrouwelijke manier verhandelen van data en gegevens. Automatiseringswereld: beschikbaarheid van het productiesysteem.

AU

IT BESCHIKBAARHEID INTEGRITEIT BETROUWBAARHEID

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

12

IT versus Automatisering PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Netwerkprestaties:

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

13

IT versus Automatisering PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Betrouwbaarheid van een netwerk:

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

14

IT versus Automatisering PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Verschillende risico opvattingen:

Verder zijn er in de automatiseringsnetwerken de kritische reactietijden op menselijke interventies. Het bedienen van een noodstop bijvoorbeeld kan niet belemmerd worden door paswoordbeveiligingen.

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

15

IT Security for Industrial Automation PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Henk Capoen – Nikolas Taelman

Why security?

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

16

Waarom security? PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Menselijke fouten Hacking – DoS Attacks Virussen Sabotage Spionage

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

17

Security: Tegen wie en tegen wat te beveiligen ? PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Machine 192.168.1. 1/32

Internet

F i r e w a l l

Welcome to the World of Communication

Operator’s Network 192.168.0.0/16

Machine 192.168.2. 0/24

De PROFIBUS, PROFINET & IO-Link dag 2009

18

DoS Attacks PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

DoS Attacks: Denial of Service Attacks of aanvallen op TCP/IP stacks Denial-of-Service (DoS) is de situatie waarin een computersysteem niet in staat is te functioneren. Deze situatie kan door verschillende oorzaken optreden: een aanval door een computerkraker maar ook een bug in een programma kan een denial of service veroorzaken. Een DoS schaadt de beschikbaarheid van een systeem. Enkele DoS Attacks: • Netwerk vervuilen: grote hoeveelheden data op het netwerk genereren. • Syn Flood: groot aantal connecties aanvragen bij een server. • Random data naar specifieke poorten.

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

19

IP Spoofing PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Spoofing is het opbouwen van TCP/IP pakketten waarbij iemand anders IP adres gebruikt wordt.
Gebruik van een valse identiteit om op deze manier het vertrouwen te winnen van mogelijke beveiligingspunten. Man-in-the-middle: vangt datapakketten op in een logische verbinding tussen twee eindpunten, wijzigt de data en beweert aan de ene deelnemer de andere te zijn.

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

20

Zijn PLC’s security veilig ? PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Source: The Industrial Ethernet Book, November 2006

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

21

How to attack an ILC 150 PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

hacker

FTP Server

21

HTTP Server

80

Prog. port

41100

TCP IP: 192.168.1.10 Ethernet interface Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

22

Dos Attack PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

hacker

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

23

iOpener 2.0 (www.langner.com) PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

S7 PLC Vulnerability Demo hacker

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

24

IT Security for Industrial Automation PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Henk Capoen – Nikolas Taelman

Security in practice

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

25

Security in de praktijk PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Tegen toevallige fouten, tegen verkeerde menselijke handelingen: • Veiligheidspolitiek • Bewustwording • Risico analyse Tegen sabotage, aanvallen • Verdediging op verschillende niveau’s (Defense-in-Depth). • Mogelijke aanvallers het leven zuur maken.

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

26

Security in de praktijk: laag 1 PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

• Opbouw van het netwerk • Safe Clips

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

27

Security in de praktijk: laag 2 PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Paswoord beveiliging bij configuratie Port based -Security Broadcast Limiter Access control voor WBM Berichten via SNMP-Traps & alarmcontact VLAN – Virtual Private Network

PLC 1

I/OI/O- A

I/OI/O- B

I/OI/O-C

VLAN A Welcome to the World of Communication

I/OI/O- D

HMI

I/OI/O-E

VLAN B

I/OI/O-F

PLC 2

I/OI/O- G

PLCPLC-3

VLAN C

De PROFIBUS, PROFINET & IO-Link dag 2009

28

Security in de praktijk: laag 3 PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

De mGuard als security module: 1. 2. 3. 4.

Firewall Router VPN Port forwarding

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

29

1. mGuard: firewall PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Verdediging tegen • Syn-Flood • IP-Spoofing

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

30

mGuard: Toepassing als firewall (1) PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

• Standaard, elke communicatie van de buitenwereld (WAN) naar het intern netwerk (LAN) is geblokkeerd

Internet WAN UDP

Welcome to the World of Communication

ICMP

De PROFIBUS, PROFINET & IO-Link dag 2009

31

mGuard: Toepassing als firewall (2) PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

• Communicatie van het intern netwerk (LAN)naar de buitenwereld (WAN) is toegestaan (alsook het antwoord hierop)

Internet Internet WAN WAN

Stateful Inspection Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

32

mGuard als firewall in stealth mode PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

33

mGuard als firewall in multi stealth mode PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

34

2. Security module: gebruik als router PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Sub-network A

Welcome to the World of Communication

Sub-network B

De PROFIBUS, PROFINET & IO-Link dag 2009

35

NAT/1:1 NAT (1) PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

ERP system Higher-level network

Sub-network A

Welcome to the World of Communication

Sub-network A

De PROFIBUS, PROFINET &

36

NAT/1:1 NAT (2) PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

ERP system Higher-level network

NAT

Sub-network A

Sub-network A

Welcome to the World of Communication

1:1 NAT

Sub-network A

Sub-network A

De PROFIBUS, PROFINET & IO-Link dag 2009

37

Netwerk Architectuur PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

NAT router: IP masquerading Bedrijfsnetwerk 192.168.1.0/24

Internet 141.16.74.40

212.21.76.78

Web Server 192.168.1.23

http://212.21.76.78 SRC IP: 192.168.1.23 SRC Port: 2305 DST IP: 212.21.76.78 DST Port: 80

SRC IP: 212.21.76.78 SRC Port: 80 DST IP: 192.168.1.23 DST Port: 2305

NAT Connection Tracking Table

NAT

Welcome to the World of Communication

SRC IP: 141.16.74.40 SRC Port: 60132 DST IP: 212.21.76.78 DST Port: 80 SRC IP: 212.21.76.78 SRC Port: 80 DST IP: 141.16.74.40 DST Port: 60132

De PROFIBUS, PROFINET & IO-Link dag 2009

38

Netwerkvoorbeeld router als 1:1 NAT PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

39

3. mGuard als VPN PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Datapakketten worden normaal onbeschermd over het Internet verstuurd en verzekeren dus niet: • privacy (encryptie) • erkenning van de afzender (authentication) • data niet gewijzigd werd tijdens communicatie (integriteit) Een Virtual Private Network (VPN) is een communicatiekanaal welke gebruikt maakt van encryptie en authenticatie om een datapakket te beschermen tijdens transport over een publiek medium (Internet).

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

40

VPN verbindingen via lokale netwerken PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Higher-level network Beveiliging dmv

▪ Mogelijks icm NAT/1:1-NAT

▪ Paswoord (PSK) ▪ Certificaten

Sub-network A

Welcome to the World of Communication

Sub-network A

De PROFIBUS, PROFINET & IO-Link dag 2009

41

VPN via het internet & firewalls PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Internet WAN

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

42

Use of Remote services via internet & VPN PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

43

4. Port forwarding PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Welcome to the World of Communication

Intern IP

Extern

172.23.76.12

13.187.35.19:500 0

De PROFIBUS, PROFINET & IO-Link dag 2009

44

PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

Profinet & Security

Conclusion

Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

45

Overzicht PROFIBUS Belgium VZW PROFIBUS, PROFINET en IO-Link

• Bewustwording van gevaar • Aanpassingen in netwerken • • • •

Netwerk design Firewalls, VPN, … Keuze van de juiste infrastructuurelementen (VLAN, fysische poortbeveiliging,…. )

• Zinvolle integratie van IT functies in de engineering Tools •

LLDP? SNMP, TFTP, HTTPS,…

• Procedures maken m.b.t. beveiliging Welcome to the World of Communication

De PROFIBUS, PROFINET & IO-Link dag 2009

46