Cyber Security - zagrożenia XXI wieku

Transkrypt

1 Moxa Solution Day 2015 Kompleksowe rozwiązania komunikacji przemysłowej Cyber Security - zagrożenia XXI wieku Mirosław Zwierzyński Maj/26/2015

2 Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje

3 Łatwa instalacja & wdrożenie Minimalizacja problemów Wykrywanie błędów & naprawa Optymalizacja topologii Masowa konfiguracja Wydłużanie dystansu & minimalizacja elementów Niezawodność urządzenia Redundancja sieci Cyber - bezpieczeństwo Błyskawiczne alarmowanie Łatwa integracja ze SCADĄ Zdalna wizualizacja sieci

4 Minimalizacja problemów - aspekty Single-point-of-failure Multiple-point-of-failure Ciężkie warunki Boot-up Time Bezpieczny zdalny dostęp Ochrona urządzeń krytycznych Confidential 4

5 Systemy przemysłowe na celowniku DCS PLC Safety Systems SCADA Plant Management System Assess Management System Największe ataki ostatnich lat - KONSEKWENCJE

6 83% ataków pochodzi z wewnątrz Zewnętrzni wykonawcy Okresowe przeglądy producentów Urządzenie przenośne na obiekcie Confidential

7 Luki w zabezpieczeniach Urządzenia przemysłowe nie zawsze są na bieżąco z aktualizacjami dotyczących poprawek zabezpieczeń

8 Standardy bezpieczeństwa General Industrial Automation: ISA / IEC Smart Grid: NERC CIP V5

9 Standardy bezpieczeństwa ISA/IEC zostały przyjęte przez największych integratorów systemów przy projektowaniu przemysłowych systemów kontroli: Yokogawa Honeywell Process ABB Process Automation Emerson Process Management

10 TOP 4 systemów narażonych na ataki TOP2 TOP3 TOP4 TOP1 From ICS-CERT 2013 Report, Region: the U.S.

11 Wyzwania Ochrona istniejących systemów: Co można zrobić aby ochronić dotychczas niechronione elementy? Jak zapobiegać podłączeniu urządzeń do sieci? Jak zapobiegać nieautoryzowanemu dostępowi? Zapewnienie bezpiecznego zdalnego dostępu Jak można zapewnić bezpieczne połączenie do sieci zdalnej? Jaka jest pewność iż dane nie są modyfikowane? Jak zapewnić poufność informacji? Standardy Na który standard powinienem zwrócić uwagę? Są to typowe pytania, przed którymi stoją użytkownicy przy konieczności zabezpieczania sieci przemysłowych

12 Praktyki Strategy #1 Ochrona w wielu miejscach graniczne końcowe Strategy #2 Ochrona warstwowo - 1: Detekcja - 2: Zbadanie - 3: Zapobieganie

13 Typy aplikacji Machine to Machine Secured VPN Tunnel IPSec OpenVPN Automation Protocols Real-time Intrusion Alarm Client to Site VPN Tunnel Przemysłowe firewalle Przemysłowe bramy/serwery VPN 100 VPN Tunnels 10 VPN Tunnels EDR-G903 EDR-G902 EDR-810 Industrial VPN Server Industrial VPN Gateway

15 Narzędzia

16 Firewall WAN LAN Zewnętrzny lub niechroniony obszar Akcept lub Odrzucenie Firewall Policy: Incoming/outgoing IP/MAC Protocol (TCP, UDP ) Source IP/Port Destination IP/Port Wewnętrzny bezpieczny obszar

17 Firewall - koncepcja Ograniczenie ruchu pomiędzy strefami o różnym poziomie zaufania WAN <-> LAN LAN <-> LAN Port <-> Port Tworzenie ograniczeń dla usług sieciowych Akceptacja wyłącznie ruchu wymaganego przez

18 NAT - Network Address Translation Pozwala na ukrycie wewnętrznych adresów IP dotyczących krytycznej infrastruktury Zewnętrzny użytkownik widzi tylko adres po translacji Moxa N-to-1 NAT Port forwarding NAT 1-to-1 NAT Confidential

19 1-1 NAT Większe bezpieczeństwo system Idealny dla aplikacji przemysłowych ~ ~ ~ ~ ~ ~ ~ ~3

20 VPN Autentykacja Weryfikacja danych Integralność danych Szyfrowanie/deszyfrowanie Ochrona prywatności/poufność Site to Site Client to Site Office LAN Internet Office LAN Remote User Internet Office LAN 20

21 VPN - IPSec oraz L2TP Bezpieczny tunel VPN pomiędzy LAN to LAN IPSec (IP Security) Bezpieczny tunel VPN dla zdalnej obsługi L2TP (Layer 2 Tunnel Protocol) Roaming Engineer (Dynamic IP)

22 Wykorzystanie: Firewall & VPN Communication Network Centrum zarządzania VPN tunnel Obiekt/Fabryka Firewall PLC/IO Network Control Network Broadcast Storm Attack from public network Unauthorized connection Malfunctioning PLC VPN - szyfrowanie danych Serwer dla dynamicznych połączeń VPN Protokoły: IPSec, L2TP, PPTP Ochrona nieautoryzowanego dostępu (PLC, RTU, DCS) Odizolowanie burz broadcastowych z pojedynczych urządzeń do całej sieci

24 Wykonanie przemysłowe v komercyjne Klasa przemysłowa Klasa biznesowa Urządzenia docelowe Środowisko pracy Filtrowanie treści RTU, PLC & DCS, krytyczne urządzenia przemysłowe Systemy SCADA, sieci kontrolii Wysokie zakłócenia EMC/EMI, przepięcia Wykonanie pasywne, wysokie temperatury Kurz, wstrząsy, wibracje Zasilanie napięciem stałym IP filtering/port filtering Protokoły przemysłowe Modbus/TCP, PROFINET, EtherNet/IP, Foundation Fieldbus, Lonworks Komputery, serwery danych Ochrona przed wirusami Środowisko biurowe, pomieszczenia klimatyzowane IP filtering/port filtering HTTP, , POP, SMTP MSN, Skype, Facebook, Game...

25 Moxa - portfolio Model EDR-G Secured remote Site-to-Site subnets communication via public network (VPN) EDR-G Secured remote Site-to-Site subnets communication via public network (VPN) EDR-810 EDR-810-VPN 1. Secured remote maintenance for automation devices (e.g. PLC, RTU, Machines) Target requirement 2. Factory firewall to protect unauthorized connection from WAN 3. Dual WAN for redundancy in critical applications 2. Function zone firewall to separate different functional networks in a factory 2. Secured remote monitoring via public network 3. Cell devices firewall to protect end devices Interface 2 WANs, 1 LAN (Ethernet / Fiber combo ports) 1 WAN (Combo); 1 LAN (RJ45) 1 WAN; 15 LANs Przepustowość 500Mbps (40,000 fps) 300Mbps (25,000 fps) 110Mbps (10,000 fps) Firewall/NAT 512 / 256 policies 256 / 128 policies 256 / 128 policies VPN 100 IPSec tunnels 50 IPSec tunnels 10 IPSec tunnels WAN backup Dual WAN - - DMZ 1 - -

26 Wydajność Test 256 Reguł firewall (FPS) Max. Wydajność Max. Wydajność Max. Wydajność 82.44Mbps 153.8Mbps 283Mbps Test opóźnienia@ 256 Reguł firewall (ms) Opóźnienie < 256 Reguł firewall

27 EDR-810 SafetyNET P is powered by Pilz Niezawodność Ochrona Bezpieczeństwo

28 EDR in 1 Dotychczasowe rozwiązania EDR-810 Ethernet switch x 1 Secure router x 1 Multi-port secure router x 1 Korzyści -Oszczędności - Przestrzeń Confidential

29 Firewall -Moxa Czy firewall może? Filtrować protokoły przemysłowe Zapewnić alarmowanie w czasie rzeczywistym Łatwa i intuicyjna konfiguracja Brak konieczności przeprojektowywania Quick Wizard

30 Kreator konfiguracji firewalla One Click for port type change Krok 1 Krok 2 Krok 3 Krok 4 Krok 5 Definicja typu portów (tryby WAN/LAN/Bridge) Zdefiniowanie adresu IP - zarządzanie Zdefiniowanie portu WAN Wybór usług sieciowych Reguły firewall Koniec! 30

31 Firewall Policy Check Automatyczne kontrola czy brak jest konfliktów w regułach firewall w celu zapobiegania nieprzewidzianym zachowaniom

32 Quick Automation Profile Predefiniowane numery portów TCP/UDP dla protokołów przemysłowych

34 Alarmowanie w czasie rzeczywistym Raportowanie zdarzeń w czasie rzeczywistym czyni zarządzenie łatwiejszym Local DB

35 Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus

36 Inspekcja pakietów Modbus Dwukierunkowa kontrola i filtrowanie pakietów Modbus w warstwie aplikacji Modbus Command / Response - Slave ID - Function Code - Address Range

37 Inspekcja pakietów Modbus

39 Przykład aplikacji Odizolowanie ruchu sieciowego stanowisk laboratoryjnych w zakładach produkcji półprzewodników Potrzeba: Izolacja ruchu broadcast z zewnętrznej sieci do wyposażenia stanowisk Kluczowa funkcjonalność Firewall Dlaczego Moxa? Do 7 portów na interfejsie WAN dla podłączenia wielu urządzeń Łatwa integracja w obiektach przemysłowych dzięki montażowi na szynę DIN oraz zasilaniu napięciem stałym Wiarygodne i stabilne rozwiązanie dla systemów o znaczeniu krytycznym

40 Przykład aplikacji Kontrola ruchu sieciowego celem zabezpieczenia instalacji automatyki w oczyszczalni ścieków Potrzeba: Wzajemne podłączenie istniejących systemów i stworzenie inteligentnego systemu automatyki z odizolowaniem ruchu sieciowego od systemu sterownia Kluczowa funkcjonalność Firewall / VPN Dlaczego Moxa? Tryb Transparent Firewall zapewnia łatwą integracje z istniejącymi systemami Dwukierunkowa inspekcja pakietów Modbus zapewnia bezpieczeństwo systemu VPN pozwala na zdalny bezpieczny dostęp celem monitorowania systemu sterownia EDR-810 dla ochrony systemu sterowania EDR-810-VPN bezpieczny zdalny dostęp

41 Przykład aplikacji Wzajemne odizolowanie wewnętrznego ruchu sieciowego w Zakładach Produkcyjnych Potrzeba: Izolacja dwóch HMI pomiędzy dwiema sieciami celem zabezpieczenia linii montażowych Key Feature Firewall Dlaczego Moxa? Secure Router wraz ze zintegrowanym switchem Łatwa instalacja i montaż, gwarancja nie zawodności Światowej sławy producent ostrzy i maszynek do golenia EDR-810 został przyjęty jako standardowy element wyposażenia sieciowego linii montażowych 44 szt. EDR-810 zostały zainstalowane w fabrykach na całym świecie

42 Podsumowanie Cybersecurityjest bardzo ważnym elementem w inteligentnych systemach automatyki Bez zwracania uwagi na bezpieczeństwo budowa nowoczesnych systemów byłaby irracjonalne Łatwy w konfiguracji firewall może zostać szybko zaadoptowany do już istniejących systemów Transparent Firewall Wydajne tunele VPN pozwalają na realizacje zdalnych połączenie z zachowaniem bezpieczeństwa Moxa Cyber Security Solution for Smart Automation Industrial Firewalls Industrial VPN Gateway / Server 100/50 VPN Tunnels 10 VPN Tunnels EDR-G903 EDR-G902 EDR-810 Industrial VPN Server Industrial VPN Gateway

43 Dziękuję 43