Cybersecurity - wdrażanie polityki bezpieczeństwa

Podobne dokumenty
Cyber Security - zagrożenia XXI wieku

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Palo Alto firewall nowej generacji

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Przypisywanie adresów IP do MAC-adresów

Kompaktowy design Dzięki swoim rozmiarom, można korzystać z urządzenia gdzie tylko jest to konieczne.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Integracja istniejącej infrastruktury do nowego systemu konwersja protokołów

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Konfiguracja aplikacji ZyXEL Remote Security Client:

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Tworzenie bezpiecznego połączenia klient-to-site przy użyciu tunelu IPSec VPN z zastosowaniem klienta Shrew.

Moxa Solution Day 2011

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Zdalne logowanie do serwerów

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Marek Pyka,PhD. Paulina Januszkiewicz

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Bezpieczeństwo systemów komputerowych. Laboratorium 1

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Komunikacja bezprzewodowa w technologiach GSM/GPRS/EDGE/UMTS/HSPA

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

w Przemyśle Modemy Moxa OnCell Maciej Kifer Inżynier Sprzedaży Moxa/Elmark Automatyka

GSM/GPRS w przemyśle. Cezary Ziółkowski

Przewodnik technologii ActivCard

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

ZiMSK. Konsola, TELNET, SSH 1

Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

Bezpieczeństwo czy komuś na nim zależy?

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

WYMAGANIA SPRZĘTOWE DLA SIECI LAN W INFRASTRUKTURZE POCZTY POLSKIEJ

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

802.11g: do 54Mbps (dynamic) b: do 11Mbps (dynamic)

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

TP-LINK 8960 Quick Install

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

L2TP over IPSec Application

Mikrosegmentacja w sieciach kampusowych Temat slajdu. Aruba 360 Security Fabric

WYMAGANIA SPRZĘTOWE DLA SIECI LAN W INFRASTRUKTURZE POCZTY POLSKIEJ

Dostawa urządzenia sieciowego UTM.

Artykuł sponsorowany przez

11. Autoryzacja użytkowników

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Inwazja security na świat wirtualny VPN-1 VE Radosław Wal CLICO

zania z zakresu cyberbezpieczeństwa systemów w SCADA

Szkolenie autoryzowane. MS Projektowanie i wdrażanie infrastruktury serwerowej

Laboratorium - Konfiguracja zabezpieczeń sieci bezprzewodowej

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Sieci wirtualne VLAN cz. I

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

4. Podstawowa konfiguracja

Bazy Danych i Usługi Sieciowe

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

159,90 PLN brutto 130,00 PLN netto

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

Nowe rautery Planet Technology. pawel100g, 03 styczeń 2011, 17:09

Połączenie VPN LAN-LAN PPTP

OPIS PRZEDMIOTU ZAMÓWIENIA. Część I dostawa urządzeń UTM, Routera i Przełączników sieciowych

ZiMSK. VLAN, trunk, intervlan-routing 1

Bezpieczeństwo systemów komputerowych. Laboratorium 1

9. System wykrywania i blokowania włamań ASQ (IPS)

Instytut Teleinformatyki

Firewall bez adresu IP

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

Aneks do instrukcji obsługi routera Asmax Br-804v II

ZiMSK NAT, PAT, ACL 1

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

PARAMETRY TECHNICZNE I FUNKCJONALNE

AUL33 Zbuduj i sprawdź działanie różnych topologii sieci Ethernet/IP. Poznaj nowe funkcje przemysłowego przełącznika Stratix 5700.

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Pirelli 226 AG. Ustawienie automatycznej adresacji IP Microsoft Windows XP/2000.

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

ActiveXperts SMS Messaging Server

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

Router programowy z firewallem oparty o iptables

Producent. Rok produkcji..

Specyfikacja łącza internetowego, standard świadczenia usługi (gwarancja SLA) i parametry oferowanego routera.

Konfigurowanie infrastruktury sieciowej Windows Server 2008 R2 Training Kit

FORMULARZ OFERTOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Transkrypt:

Moxa Solution Day 2016 Kompleksowe rozwiązania komunikacji przemysłowej Cybersecurity - wdrażanie polityki bezpieczeństwa Mirosław Zwierzyński Maj/17/2016

Problemy bezpieczeństwa w przeszłości... Kevin Siers, The Charlotte Observer, 2000 2

Problemy bezpieczeństwa w przeszłości... Kevin Siers, The Charlotte Observer, 2000 3

Problemy bezpieczeństwa w przeszłości... Kevin Siers, The Charlotte Observer, 2000 4

Problemy bezpieczeństwa dzisiaj... Kevin Siers, The Charlotte Observer, 2000 5

Czego się dowiesz kto atakuje sieci i dlaczego jak atakuję co możemy zrobić dziś i jutro jak wytłumaczyć sens działania

Hakerzy Jakim hakerom stawiamy czoła: Level 0: Użytkownik Level 1: Opportunistic Hackers Level 2: Kryminaliści Level 3: Terroryści Level 4: Dobra Państwowe

Obraz sytuacji: Łatwo znaleźć cel Projekt SHINE: 1,000,000 systemów SCADA oraz ICS online and Wyszukiwarki kierowane do systemów przemysłowych, np. SHODAN SHODAN działa na zasadzie wyszukiwaniu popularnie używanych portów TCP/UDP Web, Telnet, SNMP, FTP są jednymi z najbardziej popularnych Logi z odpowiedzi są zapisywane w bazie wyszukiwania Spróbuj szukać OpenSSL, GNU, or NTPD bądź nazwy vednorów sprzetu

SCADA Strange Love Default Passwords At 32C3 Dec. 2015: The Great Train Cyber Robbery talk. http://scadastrangelove.blogspot.com/2015/12/32c3-slides.html

Luki w zabezpieczeniach Urządzenia przemysłowe nie zawsze są na bieżąco z aktualizacjami dotyczących poprawek zabezpieczeń

6 faz ataku 1. Rozpoznanie Skanowanie granic, ważni ludzie, dane ogólnie dostępne, poznanie sieci lepiej jak właściciel, cierpliwość, Advanced Persistent Threat (APT) 2. Początkowa eksploracja Spear fishing,, znane CVE, SQL injection, exploiting a zero day (złośliwe emaile, złośliwe strony, nośniki wymienne) 3. Ustanowienie obecności Przekraczanie uprawnień, znalezienie działających kluczy, integracja w skrypty 4. Instalacja narzędzi. 5. Przesunięcie w bok Przejście z miejsc gdzie są do miejsca gdzie chcą być. 6. Zbieranie, eksfiltracja i wykorzystanie danych Kradzież, zniszczenie, korupcja, szantaż

6 faz ataku Odpowiedź na zagrożenia Poznaj swoją sieć Zarządzaj swoją sieć Zarządzaj zaufania Sprawdzaj czy nie jesteś zagrożony Twórz plany reagowania na incydenty

6 faz ataku - ćwiczenie Przykładowa sieć Cybersecurity? Tak, to możliwe Zadania: Zaznacz na rysunku punkty zagrożenia Zaproponuj odpowiednią architekturę Jakich technologii byś użył

Wyzwania Ochrona istniejących systemów: Co można zrobić aby ochronić dotychczas niechronione elementy? Jak zapobiegać podłączeniu urządzeń do sieci? Jak zapobiegać nieautoryzowanemu dostępowi? Zapewnienie bezpiecznego zdalnego dostępu Jak można zapewnić bezpieczne połączenie do sieci zdalnej? Jaka jest pewność iż dane nie są modyfikowane? Jak zapewnić poufność informacji? Standardy Na który standard powinienem zwrócić uwagę? Są to typowe pytania, przed którymi stoją użytkownicy przy konieczności zabezpieczania sieci przemysłowych

Standardy bezpieczeństwa General Industrial Automation: ISA / IEC 62443 Smart Grid: NERC CIP V5

Struktura ISA/IEC 62443 For Network System Secure Zones and Conduits Define security level 1-4 For Network Equipment: Technical security requirement

Players and Responsibilities Source: ISA99

Kiedyś: Mury i baszty Baszta Barbakan Mur obronny 18

Dzisiaj: Obiekt Strefa Komórka Secured Network Multi-layer defense in depth Plant-wide security coverage 19

Ochrona warstwami Confidential 20

Sieci przemysłowe Implementacja Cybersecurity w sieci przemysłowej: Stosowanie procesu życia dla bezpieczeństwa Ocena zagrożeń Wdrożenie środków zapobiegawczych i weryfikacja Monitoring i konserwacja Segmentacja sieci Dzielenie sieci na segmenty fizyczne i logiczne o podobnych wymaganiach bezpieczeństwa Określenie interakcji pomiędzy strefami Wymagania urządzeń Identyfikacja dozwolonego ruchu w kanałach Wymagania bezpiecznej komunikacji

Sieci przemysłowe Implementacja Cybersecurity dla urządzeń końcowych: Autentykacja Zcentralizowane zarządzanie użytkownikami Autentykacja Radius i TACACS+ Autoryzacja Tylko zautoryzowane urządzenia mogą być podłączone Wyłączenie nieużywanych portów 802.1X MAC address control na porcie Integralność danych i szyfrowanie HTTPS, disable HTTP Use SSH, disable TELNET Use SNMPv3, disable SNMPv1/v2

MOXA Security Funkcje bezpieczeństwa Poziom sieci RADIUS Login Authentication: - Support PAP and CHAP RADIUS / TACACS+: - Support primary & backup servers & local account accessibility RADIUS Authentication: - Support 802.1X PEAP-MS-CHAP V2 MAC Sticky / Port Violation Shutdown Poziom urządzeń Access Control List 802.1X MAC Authentication Bypass (MAB) Static Port Lock Enhancement NTP Authentication 23

Narzędzia 24 2016-05-23

VPN Autentykacja Weryfikacja danych Integralność danych Szyfrowanie/deszyfrowanie Ochrona prywatności/poufność Site to Site Client to Site Office LAN Internet Office LAN Remote User Internet Office LAN 25

VPN - IPSec oraz L2TP Bezpieczny tunel VPN pomiędzy LAN to LAN IPSec (IP Security) Bezpieczny tunel VPN dla zdalnej obsługi L2TP (Layer 2 Tunnel Protocol) Roaming Engineer (Dynamic IP)

Firewall - koncepcja Ograniczenie ruchu pomiędzy strefami o różnym poziomie zaufania WAN <-> LAN LAN <-> LAN Port <-> Port Tworzenie ograniczeń dla usług sieciowych Akceptacja wyłącznie ruchu wymaganego przez

Firewall WAN LAN Zewnętrzny lub niechroniony obszar Akcept lub Odrzucenie Firewall Policy: Incoming/outgoing IP/MAC Protocol (TCP, UDP ) Source IP/Port Destination IP/Port Wewnętrzny bezpieczny obszar

NAT - Network Address Translation Pozwala na ukrycie wewnętrznych adresów IP dotyczących krytycznej infrastruktury Zewnętrzny użytkownik widzi tylko adres po translacji Moxa N-to-1 NAT Port forwarding NAT 1-to-1 NAT Confidential

1-1 NAT Większe bezpieczeństwo system Idealny dla aplikacji przemysłowych Umożliwia takie same adresacje dla wielu obiektów 10.0.0.1 10.0.0.2 10.0.0.3 192.168.1.1 192.168.1.1 192.168.1.1

Wykorzystanie: Firewall & VPN Communication Network Centrum zarządzania VPN tunnel Obiekt/Fabryka Firewall PLC/IO Network Control Network Broadcast Storm Attack from public network Unauthorized connection Malfunctioning PLC VPN - szyfrowanie danych Serwer dla dynamicznych połączeń VPN Protokoły: IPSec, L2TP, PPTP Ochrona nieautoryzowanego dostępu (PLC, RTU, DCS) Odizolowanie burz broadcastowych z pojedynczych urządzeń do całej sieci

Obiekt Strefa Komórka Router Firewall Router Firewall Bridge Firewall Source: Honeywell

6 faz ataku - ćwiczenie

Wykonanie przemysłowe v komercyjne Klasa przemysłowa Klasa biznesowa Urządzenia docelowe Środowisko pracy Filtrowanie treści RTU, PLC & DCS, krytyczne urządzenia przemysłowe Systemy SCADA, sieci kontrolii Wysokie zakłócenia EMC/EMI, przepięcia Wykonanie pasywne, wysokie temperatury Kurz, wstrząsy, wibracje Zasilanie napięciem stałym IP filtering/port filtering Protokoły przemysłowe Modbus/TCP, PROFINET, EtherNet/IP, Foundation Fieldbus, Lonworks Komputery, serwery danych Ochrona przed wirusami Środowisko biurowe, pomieszczenia klimatyzowane IP filtering/port filtering HTTP, Email, POP, SMTP MSN, Skype, Facebook, Game...

Industrial Firewall Solutions in a Smart Factory Tailored for Controlling Industrial Protocol Traffic 40000 FPS Throughput Firewall between enterprise network and plant network 25000 FPS Throughput Firewall between different function zones 10000 FPS Throughput Firewall between devices to isolate the unnecessary traffic

Wydajność Test przepustowości @ 256 Reguł firewall (FPS) Max. Wydajność Max. Wydajność Max. Wydajność 82.44Mbps 153.8Mbps 283Mbps Test opóźnienia@ 256 Reguł firewall (ms) Opóźnienie < 1ms @ 256 Reguł firewall

Jak Moxa spełnia IEC 62443 Moxa zapewnia gwarancje bezpieczeństwa rozwiązania na wszystkich poziomach Moxa Cyber Security Response Team (C.S.R.T.) Firmware upgrades Installation & Maintenance Support Network Management System: MxView Security-oriented network consulting and training Moxa Security Guideline V2.0 User aware log management Brute Force attack protection

Moxa Cybersecurity- wytyczne Istniejące standardy bezpieczeństwa ISA99/IEC62443 oraz NERC-CIP są śledzone i na bieżące implementowane do ustanowionych wewnętrznie jednolitych wytycznych projektowanie wszystkich urządzeń sieciowych ISA 99 / IEC 62443 NERC-CIP Moxa Networking Security Design Guideline V2.0

Moxa Security Solution IEC 62443-4-2 Level 2 Compliant IEC 62443 Standard Moxa Security Guideline IEC 62443 LV2 Compliant System Notification Password Policy Account Lockout Log Management Interface Management Configuration Encryption Certification Import 39

EDR-810 2 in 1 Dotychczasowe rozwiązania EDR-810 Ethernet switch x 1 Secure router x 1 Multi-port secure router x 1 Korzyści -Oszczędności - Przestrzeń Confidential

Firewall -Moxa Czy firewall może? Filtrować protokoły przemysłowe Zapewnić alarmowanie w czasie rzeczywistym Łatwa i intuicyjna konfiguracja Brak konieczności przeprojektowywania Quick Wizard

Kreator konfiguracji firewalla One Click for port type change Krok 1 Krok 2 Krok 3 Krok 4 Krok 5 Definicja typu portów (tryby WAN/LAN/Bridge) Zdefiniowanie adresu IP - zarządzanie Zdefiniowanie portu WAN Wybór usług sieciowych Reguły firewall Koniec! 42

Versatile Firewalls Needed! Routed firewall Firewall at network perimeter needs WAN and LAN ports Transparent firewall Bump-in-the-wire firewall without need for network change Hybrid mode firewall Located at network perimeter still filtering packets between some LAN ports. Non-trusted Zone Trusted Zone

Firewall Policy Check Automatyczne kontrola czy brak jest konfliktów w regułach firewall w celu zapobiegania nieprzewidzianym zachowaniom

Quick Automation Profile Predefiniowane numery portów TCP/UDP dla protokołów przemysłowych

Inspekcja pakietów Modbus Dwukierunkowa kontrola i filtrowanie pakietów Modbus w warstwie aplikacji Modbus Command / Response - Slave ID - Function Code - Address Range

Inspekcja pakietów Modbus

Alarmowanie w czasie rzeczywistym Raportowanie zdarzeń w czasie rzeczywistym czyni zarządzenie łatwiejszym Local DB

Zapamiętaj Moja sieć to mój zamek Zrozum i poznaj swoją sieć Poznaj jej działanie, relacje Myśl w ramach stref, komórek Moxa pokrywa poziomy bezpieczeństwa od poziomu wenętrznej polityki, procesów produkcji po finalny system i komponent Właściciel infrastruktury, operator, integrator oraz dostawca sprzętu mają dedykowane role w zapewnieniu bezpieczeństwa sieciowego

Zapewnienie bezpieczeństwa sieciowego i uruchomienia takich samych linini w fabryce stali Potrzeba: Izolacja i separacja ruchu pomiędzy różnymi procesami produkcji oraz liniami produkcyjnymi aby zapobiegać nieoczekiwanym zachowania i wzajemnym wpływem Firewall musi zapewniać możliwość filtrowania ruchu pomiędzy 4 różnymi podsieciami Praca w trudnych warunkach temperaturowych Key Feature Firewall, NAT, wydajność Dlaczego Moxa? Secure Router wraz ze zintegrowanym switchem, 8 portów Temperatura pracy Firewall LAN to LAN, WAN to LAN Focused product: EDR-810-T and EDR-G903-T Enterprise network SCADA Servers DMZ Production Line 1 Process Control Network Production Line 2 Process A, LAN A Process B, LAN B Process C, LAN C Process A, LAN A Process B, LAN B Process C, LAN C 50 2016-05-23

Dziękuję 51

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres