Cyber Security - zagrożenia XXI wieku

Podobne dokumenty
Cybersecurity - wdrażanie polityki bezpieczeństwa

Moxa Solution Day 2011

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

GSM/GPRS w przemyśle. Cezary Ziółkowski

RUGGEDCOM RX1400. Switch zarządzalny warstwy 3 zintegrowany z modemem GSM i serwerem portów szeregowych. siemens.com/rx1400 siemens.

Integracja istniejącej infrastruktury do nowego systemu konwersja protokołów

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

w Przemyśle Modemy Moxa OnCell Maciej Kifer Inżynier Sprzedaży Moxa/Elmark Automatyka

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Komunikacja bezprzewodowa w technologiach GSM/GPRS/EDGE/UMTS/HSPA

Konfiguracja aplikacji ZyXEL Remote Security Client:

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

AUL33 Zbuduj i sprawdź działanie różnych topologii sieci Ethernet/IP. Poznaj nowe funkcje przemysłowego przełącznika Stratix 5700.

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

Palo Alto firewall nowej generacji

Kompaktowy design Dzięki swoim rozmiarom, można korzystać z urządzenia gdzie tylko jest to konieczne.

CIOR 6/117/09. Właściwość Parametry wymagane Model, typ oraz parametry sprzętu oferowanego przez Wykonawcę Nazwa producenta, model wyceniony

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

zania z zakresu cyberbezpieczeństwa systemów w SCADA

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Urządzenia do komunikacji w automatyce przemysłowej. Piotr Gocłowski,Maj/20/2014

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Dostawa urządzenia sieciowego UTM.

Konwerter RS-485->TCP/IP [ethernet] ATC-2000 SZYBKI START [konfiguracja urządzenia do współpracy z programem Meternet]

Bezpieczeństwo systemów komputerowych. Laboratorium 1

ZiMSK NAT, PAT, ACL 1

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Optymalizacja zużycia energii elektrycznej automatyczny odczyt liczników (Automatic Meter Reading) Cezary Ziółkowski

Instalacje SCADA z zastosowaniem urządzeń MOXA

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

802.11g: do 54Mbps (dynamic) b: do 11Mbps (dynamic)

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Przypisywanie adresów IP do MAC-adresów

Agenda. Firma TOSIBOX OY. Co to jest TOSIBOX? Jak działa TOSIBOX? TOSIBOX zarządzanie. Interfejs KLUCZA/LOCK-a.

Specyfikacja łącza internetowego, standard świadczenia usługi (gwarancja SLA) i parametry oferowanego routera.

Specyfikacja łącza internetowego, standard świadczenia usługi (gwarancja SLA) i parametry oferowanego routera.

Dr Michał Tanaś(


E300 - Wielofunkcyjne zabezpieczenie silnikowe. Copyright 2013 Rockwell Automation, Inc. All Rights Reserved.

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Zapory sieciowe i techniki filtrowania danych

159,90 PLN brutto 130,00 PLN netto

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Warsztaty ewon. efive

Inwazja security na świat wirtualny VPN-1 VE Radosław Wal CLICO

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Serwery portów szeregowych. Maciej Kifer / Inżynier Sprzedaży MOXA

Zdalne logowanie do serwerów

Droga do Industry 4.0. siemens.com/tia

INTELIGENTNA STACJA SN/nN. Koncepcja WAGO. Adrian Dałek, Marcin Surma

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Tworzenie bezpiecznego połączenia klient-to-site przy użyciu tunelu IPSec VPN z zastosowaniem klienta Shrew.

178,18 PLN brutto 144,86 PLN netto


MODEL WARSTWOWY PROTOKOŁY TCP/IP

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Projekt i implementacja filtra dzeń Pocket PC

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

Robaki sieciowe. + systemy IDS/IPS

Projektowanie sieci metodą Top-Down

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

WNAP-7205 Zewnętrzny punkt dostępowy 5GHz a/n

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Stanowisko Operatorskie

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Wprowadzenie do zagadnień związanych z firewallingiem

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

SIŁA PROSTOTY. Business Suite

Firewall bez adresu IP

MGate Pełny opis produktu. Specyfikacja techniczna. 1-portowa brama Modbus/PROFINET/EtherNet/IP na PROFIBUS slave

Nowe rautery Planet Technology. pawel100g, 03 styczeń 2011, 17:09

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

WDRT-730 Dwuzakresowy router 300Mbps n Gigabit

155,35 PLN brutto 126,30 PLN netto

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

Bezpieczeństwo systemów komputerowych. Laboratorium 1

Wirtualizacja sieci - VMware NSX

Instytut Teleinformatyki

CERBERUS P 6351 router ADSL2+ WiFi N300 (2.4GHz) 2T2R 4x10/100 LAN 1xRJ11 Annex A

12. Wirtualne sieci prywatne (VPN)

RX3041. Przewodnik szybkiej instalacji

SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL

KAM-TECH sklep internetowy Utworzono : 28 kwiecień 2017

Kurs Ethernet przemysłowy konfiguracja i diagnostyka. Spis treści. Dzień 1

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

9. System wykrywania i blokowania włamań ASQ (IPS)

Inteligentne Systemy Transportowe

Zestaw w IP20 TI-BL20-E-EN-8

Konfigurowanie Windows 8

Transkrypt:

Moxa Solution Day 2015 Kompleksowe rozwiązania komunikacji przemysłowej Cyber Security - zagrożenia XXI wieku Mirosław Zwierzyński Maj/26/2015

Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 2 2015-05-27

Łatwa instalacja & wdrożenie Minimalizacja problemów Wykrywanie błędów & naprawa Optymalizacja topologii Masowa konfiguracja Wydłużanie dystansu & minimalizacja elementów Niezawodność urządzenia Redundancja sieci Cyber - bezpieczeństwo Błyskawiczne alarmowanie Łatwa integracja ze SCADĄ Zdalna wizualizacja sieci

Minimalizacja problemów - aspekty Single-point-of-failure Multiple-point-of-failure Ciężkie warunki Boot-up Time Bezpieczny zdalny dostęp Ochrona urządzeń krytycznych Confidential 4

Systemy przemysłowe na celowniku DCS PLC Safety Systems SCADA Plant Management System Assess Management System Największe ataki ostatnich lat - KONSEKWENCJE

83% ataków pochodzi z wewnątrz Zewnętrzni wykonawcy Okresowe przeglądy producentów Urządzenie przenośne na obiekcie Confidential

Luki w zabezpieczeniach Urządzenia przemysłowe nie zawsze są na bieżąco z aktualizacjami dotyczących poprawek zabezpieczeń

Standardy bezpieczeństwa General Industrial Automation: ISA / IEC 62443 Smart Grid: NERC CIP V5

Standardy bezpieczeństwa ISA/IEC 62443 zostały przyjęte przez największych integratorów systemów przy projektowaniu przemysłowych systemów kontroli: Yokogawa Honeywell Process ABB Process Automation Emerson Process Management

TOP 4 systemów narażonych na ataki TOP2 TOP3 TOP4 TOP1 From ICS-CERT 2013 Report, Region: the U.S.

Wyzwania Ochrona istniejących systemów: Co można zrobić aby ochronić dotychczas niechronione elementy? Jak zapobiegać podłączeniu urządzeń do sieci? Jak zapobiegać nieautoryzowanemu dostępowi? Zapewnienie bezpiecznego zdalnego dostępu Jak można zapewnić bezpieczne połączenie do sieci zdalnej? Jaka jest pewność iż dane nie są modyfikowane? Jak zapewnić poufność informacji? Standardy Na który standard powinienem zwrócić uwagę? Są to typowe pytania, przed którymi stoją użytkownicy przy konieczności zabezpieczania sieci przemysłowych

Praktyki Strategy #1 Ochrona w wielu miejscach - @Punkty graniczne - @Urządzenia końcowe Strategy #2 Ochrona warstwowo - 1: Detekcja - 2: Zbadanie - 3: Zapobieganie

Typy aplikacji Machine to Machine Secured VPN Tunnel IPSec OpenVPN Automation Protocols Real-time Intrusion Alarm Client to Site VPN Tunnel Przemysłowe firewalle Przemysłowe bramy/serwery VPN 100 VPN Tunnels 10 VPN Tunnels EDR-G903 EDR-G902 EDR-810 Industrial VPN Server Industrial VPN Gateway

Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 14 2015-05-27

Narzędzia 15 2015-05-27

Firewall WAN LAN Zewnętrzny lub niechroniony obszar Akcept lub Odrzucenie Firewall Policy: Incoming/outgoing IP/MAC Protocol (TCP, UDP ) Source IP/Port Destination IP/Port Wewnętrzny bezpieczny obszar

Firewall - koncepcja Ograniczenie ruchu pomiędzy strefami o różnym poziomie zaufania WAN <-> LAN LAN <-> LAN Port <-> Port Tworzenie ograniczeń dla usług sieciowych Akceptacja wyłącznie ruchu wymaganego przez

NAT - Network Address Translation Pozwala na ukrycie wewnętrznych adresów IP dotyczących krytycznej infrastruktury Zewnętrzny użytkownik widzi tylko adres po translacji Moxa N-to-1 NAT Port forwarding NAT 1-to-1 NAT Confidential

1-1 NAT Większe bezpieczeństwo system Idealny dla aplikacji przemysłowych 10.10.1.1~3 10.10.2.1~3 10.10.3.1~3 10.10.4.1~3 192.168.100.1~3 192.168.100.1~3 192.168.100.1~3 192.168.100.1~3

VPN Autentykacja Weryfikacja danych Integralność danych Szyfrowanie/deszyfrowanie Ochrona prywatności/poufność Site to Site Client to Site Office LAN Internet Office LAN Remote User Internet Office LAN 20

VPN - IPSec oraz L2TP Bezpieczny tunel VPN pomiędzy LAN to LAN IPSec (IP Security) Bezpieczny tunel VPN dla zdalnej obsługi L2TP (Layer 2 Tunnel Protocol) Roaming Engineer (Dynamic IP)

Wykorzystanie: Firewall & VPN Communication Network Centrum zarządzania VPN tunnel Obiekt/Fabryka Firewall PLC/IO Network Control Network Broadcast Storm Attack from public network Unauthorized connection Malfunctioning PLC VPN - szyfrowanie danych Serwer dla dynamicznych połączeń VPN Protokoły: IPSec, L2TP, PPTP Ochrona nieautoryzowanego dostępu (PLC, RTU, DCS) Odizolowanie burz broadcastowych z pojedynczych urządzeń do całej sieci

Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 23 2015-05-27

Wykonanie przemysłowe v komercyjne Klasa przemysłowa Klasa biznesowa Urządzenia docelowe Środowisko pracy Filtrowanie treści RTU, PLC & DCS, krytyczne urządzenia przemysłowe Systemy SCADA, sieci kontrolii Wysokie zakłócenia EMC/EMI, przepięcia Wykonanie pasywne, wysokie temperatury Kurz, wstrząsy, wibracje Zasilanie napięciem stałym IP filtering/port filtering Protokoły przemysłowe Modbus/TCP, PROFINET, EtherNet/IP, Foundation Fieldbus, Lonworks Komputery, serwery danych Ochrona przed wirusami Środowisko biurowe, pomieszczenia klimatyzowane IP filtering/port filtering HTTP, Email, POP, SMTP MSN, Skype, Facebook, Game...

Moxa - portfolio Model EDR-G903 1. Secured remote Site-to-Site subnets communication via public network (VPN) EDR-G902 1. Secured remote Site-to-Site subnets communication via public network (VPN) EDR-810 EDR-810-VPN 1. Secured remote maintenance for automation devices (e.g. PLC, RTU, Machines) Target requirement 2. Factory firewall to protect unauthorized connection from WAN 3. Dual WAN for redundancy in critical applications 2. Function zone firewall to separate different functional networks in a factory 2. Secured remote monitoring via public network 3. Cell devices firewall to protect end devices Interface 2 WANs, 1 LAN (Ethernet / Fiber combo ports) 1 WAN (Combo); 1 LAN (RJ45) 1 WAN; 15 LANs Przepustowość 500Mbps (40,000 fps) 300Mbps (25,000 fps) 110Mbps (10,000 fps) Firewall/NAT 512 / 256 policies 256 / 128 policies 256 / 128 policies VPN 100 IPSec tunnels 50 IPSec tunnels 10 IPSec tunnels WAN backup Dual WAN - - DMZ 1 - -

Wydajność Test przepustowości @ 256 Reguł firewall (FPS) Max. Wydajność Max. Wydajność Max. Wydajność 82.44Mbps 153.8Mbps 283Mbps Test opóźnienia@ 256 Reguł firewall (ms) Opóźnienie < 1ms @ 256 Reguł firewall

EDR-810 SafetyNET P is powered by Pilz Niezawodność Ochrona Bezpieczeństwo

EDR-810 2 in 1 Dotychczasowe rozwiązania EDR-810 Ethernet switch x 1 Secure router x 1 Multi-port secure router x 1 Korzyści -Oszczędności - Przestrzeń Confidential

Firewall -Moxa Czy firewall może? Filtrować protokoły przemysłowe Zapewnić alarmowanie w czasie rzeczywistym Łatwa i intuicyjna konfiguracja Brak konieczności przeprojektowywania Quick Wizard

Kreator konfiguracji firewalla One Click for port type change Krok 1 Krok 2 Krok 3 Krok 4 Krok 5 Definicja typu portów (tryby WAN/LAN/Bridge) Zdefiniowanie adresu IP - zarządzanie Zdefiniowanie portu WAN Wybór usług sieciowych Reguły firewall Koniec! 30

Firewall Policy Check Automatyczne kontrola czy brak jest konfliktów w regułach firewall w celu zapobiegania nieprzewidzianym zachowaniom

Quick Automation Profile Predefiniowane numery portów TCP/UDP dla protokołów przemysłowych

Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 33 2015-05-27

Alarmowanie w czasie rzeczywistym Raportowanie zdarzeń w czasie rzeczywistym czyni zarządzenie łatwiejszym Local DB

Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus 35 2015-05-27

Inspekcja pakietów Modbus Dwukierunkowa kontrola i filtrowanie pakietów Modbus w warstwie aplikacji Modbus Command / Response - Slave ID - Function Code - Address Range

Inspekcja pakietów Modbus

Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 38 2015-05-27

Przykład aplikacji Odizolowanie ruchu sieciowego stanowisk laboratoryjnych w zakładach produkcji półprzewodników Potrzeba: Izolacja ruchu broadcast z zewnętrznej sieci do wyposażenia stanowisk Kluczowa funkcjonalność Firewall Dlaczego Moxa? Do 7 portów na interfejsie WAN dla podłączenia wielu urządzeń Łatwa integracja w obiektach przemysłowych dzięki montażowi na szynę DIN oraz zasilaniu napięciem stałym Wiarygodne i stabilne rozwiązanie dla systemów o znaczeniu krytycznym

Przykład aplikacji Kontrola ruchu sieciowego celem zabezpieczenia instalacji automatyki w oczyszczalni ścieków Potrzeba: Wzajemne podłączenie istniejących systemów i stworzenie inteligentnego systemu automatyki z odizolowaniem ruchu sieciowego od systemu sterownia Kluczowa funkcjonalność Firewall / VPN Dlaczego Moxa? Tryb Transparent Firewall zapewnia łatwą integracje z istniejącymi systemami Dwukierunkowa inspekcja pakietów Modbus zapewnia bezpieczeństwo systemu VPN pozwala na zdalny bezpieczny dostęp celem monitorowania systemu sterownia EDR-810 dla ochrony systemu sterowania EDR-810-VPN bezpieczny zdalny dostęp

Przykład aplikacji Wzajemne odizolowanie wewnętrznego ruchu sieciowego w Zakładach Produkcyjnych Potrzeba: Izolacja dwóch HMI pomiędzy dwiema sieciami celem zabezpieczenia linii montażowych Key Feature Firewall Dlaczego Moxa? Secure Router wraz ze zintegrowanym switchem Łatwa instalacja i montaż, gwarancja nie zawodności Światowej sławy producent ostrzy i maszynek do golenia EDR-810 został przyjęty jako standardowy element wyposażenia sieciowego linii montażowych 44 szt. EDR-810 zostały zainstalowane w fabrykach na całym świecie

Podsumowanie Cybersecurityjest bardzo ważnym elementem w inteligentnych systemach automatyki Bez zwracania uwagi na bezpieczeństwo budowa nowoczesnych systemów byłaby irracjonalne Łatwy w konfiguracji firewall może zostać szybko zaadoptowany do już istniejących systemów Transparent Firewall Wydajne tunele VPN pozwalają na realizacje zdalnych połączenie z zachowaniem bezpieczeństwa Moxa Cyber Security Solution for Smart Automation Industrial Firewalls Industrial VPN Gateway / Server 100/50 VPN Tunnels 10 VPN Tunnels EDR-G903 EDR-G902 EDR-810 Industrial VPN Server Industrial VPN Gateway

Dziękuję 43

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres