Moxa Solution Day 2015 Kompleksowe rozwiązania komunikacji przemysłowej Cyber Security - zagrożenia XXI wieku Mirosław Zwierzyński Maj/26/2015
Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 2 2015-05-27
Łatwa instalacja & wdrożenie Minimalizacja problemów Wykrywanie błędów & naprawa Optymalizacja topologii Masowa konfiguracja Wydłużanie dystansu & minimalizacja elementów Niezawodność urządzenia Redundancja sieci Cyber - bezpieczeństwo Błyskawiczne alarmowanie Łatwa integracja ze SCADĄ Zdalna wizualizacja sieci
Minimalizacja problemów - aspekty Single-point-of-failure Multiple-point-of-failure Ciężkie warunki Boot-up Time Bezpieczny zdalny dostęp Ochrona urządzeń krytycznych Confidential 4
Systemy przemysłowe na celowniku DCS PLC Safety Systems SCADA Plant Management System Assess Management System Największe ataki ostatnich lat - KONSEKWENCJE
83% ataków pochodzi z wewnątrz Zewnętrzni wykonawcy Okresowe przeglądy producentów Urządzenie przenośne na obiekcie Confidential
Luki w zabezpieczeniach Urządzenia przemysłowe nie zawsze są na bieżąco z aktualizacjami dotyczących poprawek zabezpieczeń
Standardy bezpieczeństwa General Industrial Automation: ISA / IEC 62443 Smart Grid: NERC CIP V5
Standardy bezpieczeństwa ISA/IEC 62443 zostały przyjęte przez największych integratorów systemów przy projektowaniu przemysłowych systemów kontroli: Yokogawa Honeywell Process ABB Process Automation Emerson Process Management
TOP 4 systemów narażonych na ataki TOP2 TOP3 TOP4 TOP1 From ICS-CERT 2013 Report, Region: the U.S.
Wyzwania Ochrona istniejących systemów: Co można zrobić aby ochronić dotychczas niechronione elementy? Jak zapobiegać podłączeniu urządzeń do sieci? Jak zapobiegać nieautoryzowanemu dostępowi? Zapewnienie bezpiecznego zdalnego dostępu Jak można zapewnić bezpieczne połączenie do sieci zdalnej? Jaka jest pewność iż dane nie są modyfikowane? Jak zapewnić poufność informacji? Standardy Na który standard powinienem zwrócić uwagę? Są to typowe pytania, przed którymi stoją użytkownicy przy konieczności zabezpieczania sieci przemysłowych
Praktyki Strategy #1 Ochrona w wielu miejscach - @Punkty graniczne - @Urządzenia końcowe Strategy #2 Ochrona warstwowo - 1: Detekcja - 2: Zbadanie - 3: Zapobieganie
Typy aplikacji Machine to Machine Secured VPN Tunnel IPSec OpenVPN Automation Protocols Real-time Intrusion Alarm Client to Site VPN Tunnel Przemysłowe firewalle Przemysłowe bramy/serwery VPN 100 VPN Tunnels 10 VPN Tunnels EDR-G903 EDR-G902 EDR-810 Industrial VPN Server Industrial VPN Gateway
Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 14 2015-05-27
Narzędzia 15 2015-05-27
Firewall WAN LAN Zewnętrzny lub niechroniony obszar Akcept lub Odrzucenie Firewall Policy: Incoming/outgoing IP/MAC Protocol (TCP, UDP ) Source IP/Port Destination IP/Port Wewnętrzny bezpieczny obszar
Firewall - koncepcja Ograniczenie ruchu pomiędzy strefami o różnym poziomie zaufania WAN <-> LAN LAN <-> LAN Port <-> Port Tworzenie ograniczeń dla usług sieciowych Akceptacja wyłącznie ruchu wymaganego przez
NAT - Network Address Translation Pozwala na ukrycie wewnętrznych adresów IP dotyczących krytycznej infrastruktury Zewnętrzny użytkownik widzi tylko adres po translacji Moxa N-to-1 NAT Port forwarding NAT 1-to-1 NAT Confidential
1-1 NAT Większe bezpieczeństwo system Idealny dla aplikacji przemysłowych 10.10.1.1~3 10.10.2.1~3 10.10.3.1~3 10.10.4.1~3 192.168.100.1~3 192.168.100.1~3 192.168.100.1~3 192.168.100.1~3
VPN Autentykacja Weryfikacja danych Integralność danych Szyfrowanie/deszyfrowanie Ochrona prywatności/poufność Site to Site Client to Site Office LAN Internet Office LAN Remote User Internet Office LAN 20
VPN - IPSec oraz L2TP Bezpieczny tunel VPN pomiędzy LAN to LAN IPSec (IP Security) Bezpieczny tunel VPN dla zdalnej obsługi L2TP (Layer 2 Tunnel Protocol) Roaming Engineer (Dynamic IP)
Wykorzystanie: Firewall & VPN Communication Network Centrum zarządzania VPN tunnel Obiekt/Fabryka Firewall PLC/IO Network Control Network Broadcast Storm Attack from public network Unauthorized connection Malfunctioning PLC VPN - szyfrowanie danych Serwer dla dynamicznych połączeń VPN Protokoły: IPSec, L2TP, PPTP Ochrona nieautoryzowanego dostępu (PLC, RTU, DCS) Odizolowanie burz broadcastowych z pojedynczych urządzeń do całej sieci
Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 23 2015-05-27
Wykonanie przemysłowe v komercyjne Klasa przemysłowa Klasa biznesowa Urządzenia docelowe Środowisko pracy Filtrowanie treści RTU, PLC & DCS, krytyczne urządzenia przemysłowe Systemy SCADA, sieci kontrolii Wysokie zakłócenia EMC/EMI, przepięcia Wykonanie pasywne, wysokie temperatury Kurz, wstrząsy, wibracje Zasilanie napięciem stałym IP filtering/port filtering Protokoły przemysłowe Modbus/TCP, PROFINET, EtherNet/IP, Foundation Fieldbus, Lonworks Komputery, serwery danych Ochrona przed wirusami Środowisko biurowe, pomieszczenia klimatyzowane IP filtering/port filtering HTTP, Email, POP, SMTP MSN, Skype, Facebook, Game...
Moxa - portfolio Model EDR-G903 1. Secured remote Site-to-Site subnets communication via public network (VPN) EDR-G902 1. Secured remote Site-to-Site subnets communication via public network (VPN) EDR-810 EDR-810-VPN 1. Secured remote maintenance for automation devices (e.g. PLC, RTU, Machines) Target requirement 2. Factory firewall to protect unauthorized connection from WAN 3. Dual WAN for redundancy in critical applications 2. Function zone firewall to separate different functional networks in a factory 2. Secured remote monitoring via public network 3. Cell devices firewall to protect end devices Interface 2 WANs, 1 LAN (Ethernet / Fiber combo ports) 1 WAN (Combo); 1 LAN (RJ45) 1 WAN; 15 LANs Przepustowość 500Mbps (40,000 fps) 300Mbps (25,000 fps) 110Mbps (10,000 fps) Firewall/NAT 512 / 256 policies 256 / 128 policies 256 / 128 policies VPN 100 IPSec tunnels 50 IPSec tunnels 10 IPSec tunnels WAN backup Dual WAN - - DMZ 1 - -
Wydajność Test przepustowości @ 256 Reguł firewall (FPS) Max. Wydajność Max. Wydajność Max. Wydajność 82.44Mbps 153.8Mbps 283Mbps Test opóźnienia@ 256 Reguł firewall (ms) Opóźnienie < 1ms @ 256 Reguł firewall
EDR-810 SafetyNET P is powered by Pilz Niezawodność Ochrona Bezpieczeństwo
EDR-810 2 in 1 Dotychczasowe rozwiązania EDR-810 Ethernet switch x 1 Secure router x 1 Multi-port secure router x 1 Korzyści -Oszczędności - Przestrzeń Confidential
Firewall -Moxa Czy firewall może? Filtrować protokoły przemysłowe Zapewnić alarmowanie w czasie rzeczywistym Łatwa i intuicyjna konfiguracja Brak konieczności przeprojektowywania Quick Wizard
Kreator konfiguracji firewalla One Click for port type change Krok 1 Krok 2 Krok 3 Krok 4 Krok 5 Definicja typu portów (tryby WAN/LAN/Bridge) Zdefiniowanie adresu IP - zarządzanie Zdefiniowanie portu WAN Wybór usług sieciowych Reguły firewall Koniec! 30
Firewall Policy Check Automatyczne kontrola czy brak jest konfliktów w regułach firewall w celu zapobiegania nieprzewidzianym zachowaniom
Quick Automation Profile Predefiniowane numery portów TCP/UDP dla protokołów przemysłowych
Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 33 2015-05-27
Alarmowanie w czasie rzeczywistym Raportowanie zdarzeń w czasie rzeczywistym czyni zarządzenie łatwiejszym Local DB
Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus 35 2015-05-27
Inspekcja pakietów Modbus Dwukierunkowa kontrola i filtrowanie pakietów Modbus w warstwie aplikacji Modbus Command / Response - Slave ID - Function Code - Address Range
Inspekcja pakietów Modbus
Agenda Problem bezpieczeństwa informatycznego instalacji przemysłowych Narzędzia ochrony Firewall, NAT, VPN Moxa - routery Inspekcja pakietów Modbus Aplikacje 38 2015-05-27
Przykład aplikacji Odizolowanie ruchu sieciowego stanowisk laboratoryjnych w zakładach produkcji półprzewodników Potrzeba: Izolacja ruchu broadcast z zewnętrznej sieci do wyposażenia stanowisk Kluczowa funkcjonalność Firewall Dlaczego Moxa? Do 7 portów na interfejsie WAN dla podłączenia wielu urządzeń Łatwa integracja w obiektach przemysłowych dzięki montażowi na szynę DIN oraz zasilaniu napięciem stałym Wiarygodne i stabilne rozwiązanie dla systemów o znaczeniu krytycznym
Przykład aplikacji Kontrola ruchu sieciowego celem zabezpieczenia instalacji automatyki w oczyszczalni ścieków Potrzeba: Wzajemne podłączenie istniejących systemów i stworzenie inteligentnego systemu automatyki z odizolowaniem ruchu sieciowego od systemu sterownia Kluczowa funkcjonalność Firewall / VPN Dlaczego Moxa? Tryb Transparent Firewall zapewnia łatwą integracje z istniejącymi systemami Dwukierunkowa inspekcja pakietów Modbus zapewnia bezpieczeństwo systemu VPN pozwala na zdalny bezpieczny dostęp celem monitorowania systemu sterownia EDR-810 dla ochrony systemu sterowania EDR-810-VPN bezpieczny zdalny dostęp
Przykład aplikacji Wzajemne odizolowanie wewnętrznego ruchu sieciowego w Zakładach Produkcyjnych Potrzeba: Izolacja dwóch HMI pomiędzy dwiema sieciami celem zabezpieczenia linii montażowych Key Feature Firewall Dlaczego Moxa? Secure Router wraz ze zintegrowanym switchem Łatwa instalacja i montaż, gwarancja nie zawodności Światowej sławy producent ostrzy i maszynek do golenia EDR-810 został przyjęty jako standardowy element wyposażenia sieciowego linii montażowych 44 szt. EDR-810 zostały zainstalowane w fabrykach na całym świecie
Podsumowanie Cybersecurityjest bardzo ważnym elementem w inteligentnych systemach automatyki Bez zwracania uwagi na bezpieczeństwo budowa nowoczesnych systemów byłaby irracjonalne Łatwy w konfiguracji firewall może zostać szybko zaadoptowany do już istniejących systemów Transparent Firewall Wydajne tunele VPN pozwalają na realizacje zdalnych połączenie z zachowaniem bezpieczeństwa Moxa Cyber Security Solution for Smart Automation Industrial Firewalls Industrial VPN Gateway / Server 100/50 VPN Tunnels 10 VPN Tunnels EDR-G903 EDR-G902 EDR-810 Industrial VPN Server Industrial VPN Gateway
Dziękuję 43