moxa solution day 2016support.elmark.com.pl/moxa/seminaria/moxa_solution_day... · 2016-05-23 ·...
TRANSCRIPT
Moxa Solution Day 2016Kompleksowe rozwiązania komunikacji przemysłowej
Cybersecurity - wdrażanie polityki
Mirosław Zwierzyński
Maj/17/2016
Cybersecurity - wdrażanie polityki bezpieczeństwa
Problemy bezpieczeństwa w przeszłości ...
2
Kevin Siers, The Charlotte Observer, ©2000
Problemy bezpieczeństwa w przeszłości ...
3
Kevin Siers, The Charlotte Observer, ©2000
Problemy bezpieczeństwa w przeszłości ...
4
Kevin Siers, The Charlotte Observer, ©2000
Problemy bezpieczeństwa dzisiaj ...
5
Kevin Siers, The Charlotte Observer, ©2000
Czego się dowiesz…
… kto atakuje sieci i dlaczego
… jak atakuję
… co możemy zrobić dziś i jutro
… jak wytłumaczyć sens działania… jak wytłumaczyć sens działania
Hakerzy
Jakim hakerom stawiamy czoła:
Level 0: Użytkownik
Level 1: „Opportunistic Hackers”
Level 2: Kryminaliści
Level 3: Terroryści
Level 4: Dobra PaństwoweLevel 4: Dobra Państwowe
Obraz sytuacji: Łatwo znaleźć cel
Projekt SHINE: 1,000,000 systemów SCADA oraz ICS online and
Wyszukiwarki kierowane do systemów przemysłowych, np. SHODAN
• SHODAN działa na zasadzie wyszukiwaniu popularnie używanych portów TCP/UDP
• Web, Telnet, SNMP, FTP są jednymi z najbardziej popularnych
• Logi z odpowiedzi są zapisywane w bazie wyszukiwania
• Spróbuj szukać “OpenSSL”, “GNU”, or “NTPD” bądź nazwy vednorów sprzetu
SCADA Strange Love
Default Passwords
At 32C3 Dec. 2015: The Great Train Cyber Robbery talk.http://scadastrangelove.blogspot.com/2015/12/32c3-slides.html
Luki w zabezpieczeniach
Urządzenia przemysłowe nie zawsze są na bieżąco z aktualizacjami dotyczących poprawek zabezpieczeń
6 faz ataku
1. Rozpoznanie
Skanowanie granic, ważni ludzie, dane ogólnie dostępne, poznanie sieci lepiej jak właściciel, cierpliwość, Advanced Persistent Threat (APT)
2. Początkowa eksploracja
Spear fishing,, znane CVE, SQL injection, exploiting a zero day (złośliwe emaile, złośliwe strony, nośniki wymienne)
3. Ustanowienie obecności
Przekraczanie uprawnień, znalezienie działających kluczy, integracja w skrypty
4. Instalacja narzędzi….
5. Przesunięcie w bok
Przejście z miejsc gdzie są do miejsca gdzie chcą być….
6. Zbieranie, eksfiltracja i wykorzystanie danych
Kradzież, zniszczenie, korupcja, szantaż
6 faz ataku
Odpowiedź na zagrożenia
Poznaj swoją sieć
Zarządzaj swoją sieć
Zarządzaj zaufania
Sprawdzaj czy nie jesteś zagrożony
Twórz plany reagowania na incydentyTwórz plany reagowania na incydenty
6 faz ataku - ćwiczenie
Cybersecurity?
Tak, to możliwe
Przykładowa sieć
Zadania:•Zaznacz na rysunku punkty zagrożenia•Zaproponuj odpowiednią architekturę•Zaproponuj odpowiednią architekturę•Jakich technologii byś użył
Wyzwania
Ochrona istniejących systemów:
• Co można zrobić aby ochronić dotychczas niechronione elementy?
• Jak zapobiegać podłączeniu urządzeń do sieci?
• Jak zapobiegać nieautoryzowanemu dostępowi?
Zapewnienie bezpiecznego zdalnego dostępu
• Jak można zapewnić bezpieczne połączenie do sieci zdalnej ?
• Jaka jest pewność iż dane nie są modyfikowane?• Jaka jest pewność iż dane nie są modyfikowane?
• Jak zapewnić poufność informacji?
Standardy
• Na który standard powinienem zwrócić uwagę?
Są to typowe pytania, przed którymi stoją użytkownicy przy konieczności zabezpieczania sieci przemysłowych
Standardy bezpieczeństwa
General Industrial Automation:
ISA / IEC 62443
Smart Grid:
NERC CIP V5
Struktura ISA/IEC 62443
For Network Equipment:• Technical security requirement
For Network System• Secure Zones and Conduits• Define security level 1-4
Players and Responsibilities
Source: ISA99
Kiedyś: Mury i baszty
Barbakan
Baszta
18
Mur obronny
Dzisiaj: Obiekt – Strefa – Komórka
Secured Network
• Multi-layer defense in depth
• Plant-wide
19
• Plant-wide security coverage
Ochrona warstwami
20Confidential
Sieci przemysłowe
Stosowanie procesu życia dla bezpieczeństwa
• Ocena zagrożeń
• Wdrożenie środków zapobiegawczych i weryfikacja
• Monitoring i konserwacja
Segmentacja sieci
• Dzielenie sieci na segmenty fizyczne i logiczne o podobnych wymaganiach bezpieczeństwa
Określenie interakcji pomiędzy strefami
Implementacja Cybersecurity w sieci przemysłowej:
Określenie interakcji pomiędzy strefami
• Wymagania urządzeń
• Identyfikacja dozwolonego ruchu w kanałach
• Wymagania bezpiecznej komunikacji
Sieci przemysłowe
Implementacja Cybersecurity dla urządzeń końcowych:
Autentykacja
• Zcentralizowane zarządzanie użytkownikami
• Autentykacja Radius i TACACS+
Autoryzacja
• Tylko zautoryzowane urządzenia mogą być podłączone
• Wyłączenie nieużywanych portów
• 802.1X
• MAC address control na porcie• MAC address control na porcie
Integralność danych i szyfrowanie
• HTTPS, disable HTTP
• Use SSH, disable TELNET
• Use SNMPv3, disable SNMPv1/v2
MOXA Security
Poziom sieciPoziom sieci•• RADIUS Login Authentication: RADIUS Login Authentication:
-- Support PAP and CHAPSupport PAP and CHAP•• RADIUS / TACACS+: RADIUS / TACACS+:
-- Support primary & backup servers Support primary & backup servers & local account accessibility& local account accessibility
•• RADIUS Authentication:RADIUS Authentication:-- Support 802.1X PEAPSupport 802.1X PEAP--MSMS--CHAP V2CHAP V2
Funkcje bezpieczeństwa
23
Poziom urządzeńPoziom urządzeń•• Access Control ListAccess Control List•• 802.1X MAC Authentication Bypass (MAB)802.1X MAC Authentication Bypass (MAB)•• Static Port Lock EnhancementStatic Port Lock Enhancement•• NTP AuthenticationNTP Authentication
-- Support 802.1X PEAPSupport 802.1X PEAP--MSMS--CHAP V2CHAP V2•• MACMAC Sticky / Port Violation ShutdownSticky / Port Violation Shutdown
Narzędzia
2016-05-2324
VPN
Autentykacja
Weryfikacja danych
Integralność danych
Szyfrowanie/deszyfrowanie
Ochrona prywatności/poufność
25
OfficeLAN
Internet
Client to Site
OfficeLAN
RemoteUser
InternetOfficeLAN
Site to Site
VPN - IPSec oraz L2TP
Bezpieczny tunel VPN pomiędzy LAN to LAN
• IPSec (IP Security)
Bezpieczny tunel VPN dla zdalnej obsługi
• L2TP (Layer 2 Tunnel Protocol)
Roaming Engineer(Dynamic IP)
Firewall - koncepcja
Ograniczenie ruchu pomiędzy strefami o różnym poziomie zaufania
• WAN <-> LAN
• LAN <-> LAN
• Port <-> Port
Tworzenie ograniczeń dla usług sieciowych
• Akceptacja wyłącznie ruchu wymaganego przez
Firewall
LANWAN
Akcept lub Odrzucenie
Firewall Policy:• Incoming/outgoing• IP/MAC• Protocol (TCP, UDP…)• Source IP/Port• Destination IP/Port
Zewnętrzny lub niechroniony obszar
Wewnętrzny bezpieczny obszar
Akcept lub Odrzucenie
NAT - Network Address Translation
Pozwala na ukrycie wewnętrznych adresów IP dotyczących
krytycznej infrastruktury
Zewnętrzny użytkownik widzi tylko adres po translacji
Confidential
Port forwarding NAT
1-to-1 NAT
N-to-1 NAT
Moxa
1-1 NAT
• Większe bezpieczeństwo system
• Idealny dla aplikacji przemysłowych
• Umożliwia takie same adresacje dla wielu obiektów
192.168.1.1
10.0.0.1
192.168.1.1 192.168.1.1
10.0.0.2 10.0.0.3
Wykorzystanie: Firewall & VPN
PLC/IO Network
Control Network
Obiekt/FabrykaCentrum zarządzania
Broadcast Broadcast StormStorm
VPN tunnel Firewall
Communication NetworkCommunication Network
Attack frompublic network
Unauthorizedconnection
Malfunctioning PLC
• VPN - szyfrowanie danych• Serwer dla dynamicznych połączeń
VPN• Protokoły: IPSec, L2TP, PPTP
• Ochrona nieautoryzowanego dostępu (PLC, RTU, DCS)
• Odizolowanie burz broadcastowych z pojedynczych urządzeń do całej sieci
Router Firewall
Router
Obiekt – Strefa – Komórka
Router Firewall
Bridge Firewall
Source: Honeywell
6 faz ataku - ćwiczenie
Klasa przemysłowa Klasa biznesowa
Urządzenia
docelowe
• RTU, PLC & DCS, krytyczne urządzenia
przemysłowe
• Systemy SCADA, sieci kontrolii
• Komputery, serwery danych
• Ochrona przed wirusami
• Wysokie zakłócenia EMC/EMI,
przepięcia
Wykonanie przemysłowe v komercyjne
Środowisko
pracy
przepięcia
• Wykonanie pasywne, wysokie
temperatury
• Kurz, wstrząsy, wibracje
• Zasilanie napięciem stałym
• Środowisko biurowe, pomieszczenia
klimatyzowane
Filtrowanie
treści
• IP filtering/port filtering
• Protokoły przemysłowe Modbus/TCP,
PROFINET, EtherNet/IP, Foundation
Fieldbus, Lonworks
• IP filtering/port filtering
• HTTP, Email, POP, SMTP
• MSN, Skype, Facebook, Game...
Industrial Firewall Solutions in a Smart Factory
40000 FPS Throughput
Firewall between enterprise network and plant network
Tailored for Controlling Industrial Protocol Traffic
25000 FPS Throughput
10000 FPS Throughput
Firewall between different function zones
Firewall between devices to isolate the unnecessary traffic
Wydajność
(FPS)
Test przepustowości @ 256 Reguł firewall
Max. Wydajność
82.44MbpsMax. Wydajność
153.8MbpsMax. Wydajność
283Mbps
Test opóźnienia@ 256 Reguł firewall
(ms) Opóźnienie < 1ms @
256 Reguł firewall
82.44Mbps 153.8Mbps 283Mbps
Jak Moxa spełnia IEC 62443
Moxa zapewnia gwarancje bezpieczeństwa rozwiązania na wszystkich poziomach
• Moxa Cyber Security Response Team (C.S.R.T.)• Firmware upgrades• Installation & Maintenance Support
• Network Management System: MxView• Security-oriented network consulting and training
• Moxa Security Guideline V2.0• User aware log management• Brute Force attack protection
Moxa Cybersecurity- wytyczne
Istniejące standardy bezpieczeństwa ISA99/IEC62443 oraz NERC-CIP są
śledzone i na bieżące implementowane do ustanowionych wewnętrznie
jednolitych wytycznych projektowanie wszystkich urządzeń sieciowych
ISA 99 / IEC 62443Moxa Networking
NERC-CIP
Moxa Networking Security Design Guideline V2.0
Moxa Security Solution
IEC 62443-4-2 Level 2 Compliant
IEC 62443 Standard
39
Moxa Security Guideline IEC 62443 LV2 Compliant
• System Notification • Password Policy • Account Lockout • Log Management • Interface Management • Configuration Encryption • Certification Import
EDR-810 2 in 1
Dotychczasowe rozwiązania EDR-810
Multi-port secure router x 1
Korzyści-Oszczędności- Przestrzeń
Ethernet switch x 1Secure router x 1
Confidential
Firewall -Moxa
Czy firewall może…?•Filtrować protokoły przemysłowe
•Zapewnić alarmowanie w czasie rzeczywistym
•Łatwa i intuicyjna konfiguracja
•Brak konieczności przeprojektowywania
Quick Wizard
Kreator konfiguracji firewalla
Krok 1
Krok 2
Definicja typu portów(tryby WAN/LAN/Bridge)
Zdefiniowanie adresu IP - zarządzanie
42
“One Click” for port type change
Krok 2
Krok 3
Krok 4
- zarządzanie
Zdefiniowanie portu WAN
Wybór usług sieciowych
Krok 5 Reguły firewall
Koniec!
Routed firewallFirewall at network perimeter needs WAN and LAN ports
Versatile Firewalls Needed!
Transparent firewall Bump-in-the-wire firewall without need for network change
Hybrid mode firewallLocated at network perimeter still filtering packets between some LAN ports.
Non-trusted Zone
Trusted Zone
Firewall Policy Check
Automatyczne kontrola czy brak jest konfliktów w
regułach firewall w celu zapobiegania nieprzewidzianym zachowaniom
Quick Automation Profile
Predefiniowane numery portów TCP/UDP dla
protokołów przemysłowych
Inspekcja pakietów Modbus
Dwukierunkowa kontrola i filtrowanie pakietów Modbus w warstwie aplikacji
Modbus Command / Response- Slave ID- Slave ID- Function Code- Address Range
Inspekcja pakietów Modbus
Alarmowanie w czasie rzeczywistym
Raportowanie zdarzeń w czasie rzeczywistym czyni zarządzenie
łatwiejszym
Local DB
Zapamiętaj
Moja sieć to mój zamek
• Zrozum i poznaj swoją sieć
• Poznaj jej działanie, relacje
• Myśl w ramach stref, komórek
Moxa pokrywa poziomy bezpieczeństwa od poziomu wenętrznejpolityki, procesów produkcji po finalny system i komponent
Właściciel infrastruktury, operator, integrator oraz dostawca sprzętu mają dedykowane role w zapewnieniu bezpieczeństwa sieciowegomają dedykowane role w zapewnieniu bezpieczeństwa sieciowego
Focused product: EDR-810-T and EDR-G903-T
Process A, LAN A
Process B, LAN B
Process C, LAN C
Production Line 1
Production Line 2
SCADA
Enterprise network
DMZ
Process Control Network
Zapewnienie bezpieczeństwa sieciowego i uruchomienia takich samych linini w fabryce stali
Potrzeba:
• Izolacja i separacja ruchu pomiędzy różnymi procesami produkcji oraz liniami produkcyjnymi aby zapobiegać nieoczekiwanym zachowania i wzajemnym wpływem
• Firewall musi zapewniać możliwość filtrowania ruchu pomiędzy 4 różnymi podsieciami
2016-05-2350
Process A, LAN A
Process B, LAN B
Process C, LAN C
Production Line 2
Servers
• Praca w trudnych warunkach temperaturowych
Key Feature
• Firewall, NAT, wydajność
Dlaczego Moxa?
• Secure Router wraz ze zintegrowanym switchem, 8 portów
• Temperatura pracy
• Firewall LAN to LAN, WAN to LAN
Dziękuję
51