Moxa Solution Day 2016 Kompleksowe rozwiązania komunikacji przemysłowej Cybersecurity - wdrażanie polityki bezpieczeństwa Mirosław Zwierzyński Maj/17/2016
Problemy bezpieczeństwa w przeszłości... Kevin Siers, The Charlotte Observer, 2000 2
Problemy bezpieczeństwa w przeszłości... Kevin Siers, The Charlotte Observer, 2000 3
Problemy bezpieczeństwa w przeszłości... Kevin Siers, The Charlotte Observer, 2000 4
Problemy bezpieczeństwa dzisiaj... Kevin Siers, The Charlotte Observer, 2000 5
Czego się dowiesz kto atakuje sieci i dlaczego jak atakuję co możemy zrobić dziś i jutro jak wytłumaczyć sens działania
Hakerzy Jakim hakerom stawiamy czoła: Level 0: Użytkownik Level 1: Opportunistic Hackers Level 2: Kryminaliści Level 3: Terroryści Level 4: Dobra Państwowe
Obraz sytuacji: Łatwo znaleźć cel Projekt SHINE: 1,000,000 systemów SCADA oraz ICS online and Wyszukiwarki kierowane do systemów przemysłowych, np. SHODAN SHODAN działa na zasadzie wyszukiwaniu popularnie używanych portów TCP/UDP Web, Telnet, SNMP, FTP są jednymi z najbardziej popularnych Logi z odpowiedzi są zapisywane w bazie wyszukiwania Spróbuj szukać OpenSSL, GNU, or NTPD bądź nazwy vednorów sprzetu
SCADA Strange Love Default Passwords At 32C3 Dec. 2015: The Great Train Cyber Robbery talk. http://scadastrangelove.blogspot.com/2015/12/32c3-slides.html
Luki w zabezpieczeniach Urządzenia przemysłowe nie zawsze są na bieżąco z aktualizacjami dotyczących poprawek zabezpieczeń
6 faz ataku 1. Rozpoznanie Skanowanie granic, ważni ludzie, dane ogólnie dostępne, poznanie sieci lepiej jak właściciel, cierpliwość, Advanced Persistent Threat (APT) 2. Początkowa eksploracja Spear fishing,, znane CVE, SQL injection, exploiting a zero day (złośliwe emaile, złośliwe strony, nośniki wymienne) 3. Ustanowienie obecności Przekraczanie uprawnień, znalezienie działających kluczy, integracja w skrypty 4. Instalacja narzędzi. 5. Przesunięcie w bok Przejście z miejsc gdzie są do miejsca gdzie chcą być. 6. Zbieranie, eksfiltracja i wykorzystanie danych Kradzież, zniszczenie, korupcja, szantaż
6 faz ataku Odpowiedź na zagrożenia Poznaj swoją sieć Zarządzaj swoją sieć Zarządzaj zaufania Sprawdzaj czy nie jesteś zagrożony Twórz plany reagowania na incydenty
6 faz ataku - ćwiczenie Przykładowa sieć Cybersecurity? Tak, to możliwe Zadania: Zaznacz na rysunku punkty zagrożenia Zaproponuj odpowiednią architekturę Jakich technologii byś użył
Wyzwania Ochrona istniejących systemów: Co można zrobić aby ochronić dotychczas niechronione elementy? Jak zapobiegać podłączeniu urządzeń do sieci? Jak zapobiegać nieautoryzowanemu dostępowi? Zapewnienie bezpiecznego zdalnego dostępu Jak można zapewnić bezpieczne połączenie do sieci zdalnej? Jaka jest pewność iż dane nie są modyfikowane? Jak zapewnić poufność informacji? Standardy Na który standard powinienem zwrócić uwagę? Są to typowe pytania, przed którymi stoją użytkownicy przy konieczności zabezpieczania sieci przemysłowych
Standardy bezpieczeństwa General Industrial Automation: ISA / IEC 62443 Smart Grid: NERC CIP V5
Struktura ISA/IEC 62443 For Network System Secure Zones and Conduits Define security level 1-4 For Network Equipment: Technical security requirement
Players and Responsibilities Source: ISA99
Kiedyś: Mury i baszty Baszta Barbakan Mur obronny 18
Dzisiaj: Obiekt Strefa Komórka Secured Network Multi-layer defense in depth Plant-wide security coverage 19
Ochrona warstwami Confidential 20
Sieci przemysłowe Implementacja Cybersecurity w sieci przemysłowej: Stosowanie procesu życia dla bezpieczeństwa Ocena zagrożeń Wdrożenie środków zapobiegawczych i weryfikacja Monitoring i konserwacja Segmentacja sieci Dzielenie sieci na segmenty fizyczne i logiczne o podobnych wymaganiach bezpieczeństwa Określenie interakcji pomiędzy strefami Wymagania urządzeń Identyfikacja dozwolonego ruchu w kanałach Wymagania bezpiecznej komunikacji
Sieci przemysłowe Implementacja Cybersecurity dla urządzeń końcowych: Autentykacja Zcentralizowane zarządzanie użytkownikami Autentykacja Radius i TACACS+ Autoryzacja Tylko zautoryzowane urządzenia mogą być podłączone Wyłączenie nieużywanych portów 802.1X MAC address control na porcie Integralność danych i szyfrowanie HTTPS, disable HTTP Use SSH, disable TELNET Use SNMPv3, disable SNMPv1/v2
MOXA Security Funkcje bezpieczeństwa Poziom sieci RADIUS Login Authentication: - Support PAP and CHAP RADIUS / TACACS+: - Support primary & backup servers & local account accessibility RADIUS Authentication: - Support 802.1X PEAP-MS-CHAP V2 MAC Sticky / Port Violation Shutdown Poziom urządzeń Access Control List 802.1X MAC Authentication Bypass (MAB) Static Port Lock Enhancement NTP Authentication 23
Narzędzia 24 2016-05-23
VPN Autentykacja Weryfikacja danych Integralność danych Szyfrowanie/deszyfrowanie Ochrona prywatności/poufność Site to Site Client to Site Office LAN Internet Office LAN Remote User Internet Office LAN 25
VPN - IPSec oraz L2TP Bezpieczny tunel VPN pomiędzy LAN to LAN IPSec (IP Security) Bezpieczny tunel VPN dla zdalnej obsługi L2TP (Layer 2 Tunnel Protocol) Roaming Engineer (Dynamic IP)
Firewall - koncepcja Ograniczenie ruchu pomiędzy strefami o różnym poziomie zaufania WAN <-> LAN LAN <-> LAN Port <-> Port Tworzenie ograniczeń dla usług sieciowych Akceptacja wyłącznie ruchu wymaganego przez
Firewall WAN LAN Zewnętrzny lub niechroniony obszar Akcept lub Odrzucenie Firewall Policy: Incoming/outgoing IP/MAC Protocol (TCP, UDP ) Source IP/Port Destination IP/Port Wewnętrzny bezpieczny obszar
NAT - Network Address Translation Pozwala na ukrycie wewnętrznych adresów IP dotyczących krytycznej infrastruktury Zewnętrzny użytkownik widzi tylko adres po translacji Moxa N-to-1 NAT Port forwarding NAT 1-to-1 NAT Confidential
1-1 NAT Większe bezpieczeństwo system Idealny dla aplikacji przemysłowych Umożliwia takie same adresacje dla wielu obiektów 10.0.0.1 10.0.0.2 10.0.0.3 192.168.1.1 192.168.1.1 192.168.1.1
Wykorzystanie: Firewall & VPN Communication Network Centrum zarządzania VPN tunnel Obiekt/Fabryka Firewall PLC/IO Network Control Network Broadcast Storm Attack from public network Unauthorized connection Malfunctioning PLC VPN - szyfrowanie danych Serwer dla dynamicznych połączeń VPN Protokoły: IPSec, L2TP, PPTP Ochrona nieautoryzowanego dostępu (PLC, RTU, DCS) Odizolowanie burz broadcastowych z pojedynczych urządzeń do całej sieci
Obiekt Strefa Komórka Router Firewall Router Firewall Bridge Firewall Source: Honeywell
6 faz ataku - ćwiczenie
Wykonanie przemysłowe v komercyjne Klasa przemysłowa Klasa biznesowa Urządzenia docelowe Środowisko pracy Filtrowanie treści RTU, PLC & DCS, krytyczne urządzenia przemysłowe Systemy SCADA, sieci kontrolii Wysokie zakłócenia EMC/EMI, przepięcia Wykonanie pasywne, wysokie temperatury Kurz, wstrząsy, wibracje Zasilanie napięciem stałym IP filtering/port filtering Protokoły przemysłowe Modbus/TCP, PROFINET, EtherNet/IP, Foundation Fieldbus, Lonworks Komputery, serwery danych Ochrona przed wirusami Środowisko biurowe, pomieszczenia klimatyzowane IP filtering/port filtering HTTP, Email, POP, SMTP MSN, Skype, Facebook, Game...
Industrial Firewall Solutions in a Smart Factory Tailored for Controlling Industrial Protocol Traffic 40000 FPS Throughput Firewall between enterprise network and plant network 25000 FPS Throughput Firewall between different function zones 10000 FPS Throughput Firewall between devices to isolate the unnecessary traffic
Wydajność Test przepustowości @ 256 Reguł firewall (FPS) Max. Wydajność Max. Wydajność Max. Wydajność 82.44Mbps 153.8Mbps 283Mbps Test opóźnienia@ 256 Reguł firewall (ms) Opóźnienie < 1ms @ 256 Reguł firewall
Jak Moxa spełnia IEC 62443 Moxa zapewnia gwarancje bezpieczeństwa rozwiązania na wszystkich poziomach Moxa Cyber Security Response Team (C.S.R.T.) Firmware upgrades Installation & Maintenance Support Network Management System: MxView Security-oriented network consulting and training Moxa Security Guideline V2.0 User aware log management Brute Force attack protection
Moxa Cybersecurity- wytyczne Istniejące standardy bezpieczeństwa ISA99/IEC62443 oraz NERC-CIP są śledzone i na bieżące implementowane do ustanowionych wewnętrznie jednolitych wytycznych projektowanie wszystkich urządzeń sieciowych ISA 99 / IEC 62443 NERC-CIP Moxa Networking Security Design Guideline V2.0
Moxa Security Solution IEC 62443-4-2 Level 2 Compliant IEC 62443 Standard Moxa Security Guideline IEC 62443 LV2 Compliant System Notification Password Policy Account Lockout Log Management Interface Management Configuration Encryption Certification Import 39
EDR-810 2 in 1 Dotychczasowe rozwiązania EDR-810 Ethernet switch x 1 Secure router x 1 Multi-port secure router x 1 Korzyści -Oszczędności - Przestrzeń Confidential
Firewall -Moxa Czy firewall może? Filtrować protokoły przemysłowe Zapewnić alarmowanie w czasie rzeczywistym Łatwa i intuicyjna konfiguracja Brak konieczności przeprojektowywania Quick Wizard
Kreator konfiguracji firewalla One Click for port type change Krok 1 Krok 2 Krok 3 Krok 4 Krok 5 Definicja typu portów (tryby WAN/LAN/Bridge) Zdefiniowanie adresu IP - zarządzanie Zdefiniowanie portu WAN Wybór usług sieciowych Reguły firewall Koniec! 42
Versatile Firewalls Needed! Routed firewall Firewall at network perimeter needs WAN and LAN ports Transparent firewall Bump-in-the-wire firewall without need for network change Hybrid mode firewall Located at network perimeter still filtering packets between some LAN ports. Non-trusted Zone Trusted Zone
Firewall Policy Check Automatyczne kontrola czy brak jest konfliktów w regułach firewall w celu zapobiegania nieprzewidzianym zachowaniom
Quick Automation Profile Predefiniowane numery portów TCP/UDP dla protokołów przemysłowych
Inspekcja pakietów Modbus Dwukierunkowa kontrola i filtrowanie pakietów Modbus w warstwie aplikacji Modbus Command / Response - Slave ID - Function Code - Address Range
Inspekcja pakietów Modbus
Alarmowanie w czasie rzeczywistym Raportowanie zdarzeń w czasie rzeczywistym czyni zarządzenie łatwiejszym Local DB
Zapamiętaj Moja sieć to mój zamek Zrozum i poznaj swoją sieć Poznaj jej działanie, relacje Myśl w ramach stref, komórek Moxa pokrywa poziomy bezpieczeństwa od poziomu wenętrznej polityki, procesów produkcji po finalny system i komponent Właściciel infrastruktury, operator, integrator oraz dostawca sprzętu mają dedykowane role w zapewnieniu bezpieczeństwa sieciowego
Zapewnienie bezpieczeństwa sieciowego i uruchomienia takich samych linini w fabryce stali Potrzeba: Izolacja i separacja ruchu pomiędzy różnymi procesami produkcji oraz liniami produkcyjnymi aby zapobiegać nieoczekiwanym zachowania i wzajemnym wpływem Firewall musi zapewniać możliwość filtrowania ruchu pomiędzy 4 różnymi podsieciami Praca w trudnych warunkach temperaturowych Key Feature Firewall, NAT, wydajność Dlaczego Moxa? Secure Router wraz ze zintegrowanym switchem, 8 portów Temperatura pracy Firewall LAN to LAN, WAN to LAN Focused product: EDR-810-T and EDR-G903-T Enterprise network SCADA Servers DMZ Production Line 1 Process Control Network Production Line 2 Process A, LAN A Process B, LAN B Process C, LAN C Process A, LAN A Process B, LAN B Process C, LAN C 50 2016-05-23
Dziękuję 51