Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

Podobne dokumenty
Zdalne logowanie do serwerów

ZiMSK. Konsola, TELNET, SSH 1

OT integracja i rozwój czy bezpieczeństwo?

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Przemysłowe Sieci Informatyczne. Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski

Bezpieczna transmisja danych w układach automatyki zdalna diagnostyka układów

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Sieci VPN SSL czy IPSec?

zania z zakresu cyberbezpieczeństwa systemów w SCADA

IPsec bezpieczeństwo sieci komputerowych

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Sieci wirtualne VLAN cz. I

Urządzenia do komunikacji w automatyce przemysłowej. Piotr Gocłowski,Maj/20/2014

INSTRUKCJA ŁĄCZENIA Z SIECIĄ VPN WYDZIAŁU INŻYNIERII PROCESOWEJ I OCHRONY ŚRODOWISKA POLITECHNIKI ŁÓDZKIEJ

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 11

Agenda. Firma TOSIBOX OY. Co to jest TOSIBOX? Jak działa TOSIBOX? TOSIBOX zarządzanie. Interfejs KLUCZA/LOCK-a.

Marcin Szeliga Sieć

Sieci bezprzewodowe WiFi

Bezpieczne protokoły Materiały pomocnicze do wykładu

Laboratorium nr 6 VPN i PKI

Protokoły internetowe

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Laboratorium nr 4 Sieci VPN

1. Wstęp. Wizualizacja połączenia

Jak bezpieczne są Twoje dane w Internecie?

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

INCYDENTY NARUSZENIA BEZPIECZEŃSTWA SEQUENCE sp. z o.o. All rights reserved.

Tworzenie połączeń VPN.

SSL (Secure Socket Layer)

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Cyber Security - zagrożenia XXI wieku

Bezpieczeństwo systemów SCADA oraz AMI

Laboratorium nr 5 Sieci VPN

Kompleksowe Przygotowanie do Egzaminu CISMP

Bezpieczeństwo Systemów Sieciowych

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

INSTRUKCJA ŁĄCZENIA Z SIECIĄ VPN WYDZIAŁU INŻYNIERII PROCESOWEJ I OCHRONY ŚRODOWISKA POLITECHNIKI ŁÓDZKIEJ

Temat: EasyAccess 2.0 Data: 10 Października 2014 Prowadzący: Maciej Sakowicz

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Metody zabezpieczania transmisji w sieci Ethernet

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Marek Damaszek. TAURON Polska Energia S.A.

Netcon GW502-iM. Inteligentny koncentrator i konwerter protokołów nadzorujący pracę urządzeń stacyjnych oraz rozproszonych urządzeń wykonawczych

BEZPIECZEŃSTWO W SIECIACH

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Bezpieczeństwo czy komuś na nim zależy?

Protokoły zdalnego logowania Telnet i SSH

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Politechnika Śląska w Gliwicach Instytut Automatyki 2005/2006

Konfigurowanie Windows 8

Monitorowanie Bezpieczeństwa Sieci Technologicznej

w Przemyśle Modemy Moxa OnCell Maciej Kifer Inżynier Sprzedaży Moxa/Elmark Automatyka

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Projektowanie i implementacja infrastruktury serwerów

Przemysłowe Sieci Informatyczne (PSI) Wykład #1 Wykład organizacyjny

Moxa Solution Day 2011

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 10

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Rodzina produktów Arctic do komunikacji bezprzewodowej Bezpieczne połączenie bezprzewodowe

SET (Secure Electronic Transaction)

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Komunikacja bezprzewodowa w technologiach GSM/GPRS/EDGE/UMTS/HSPA

Bezpieczeństwo przemysłowych systemów transmisji danych

Integracja istniejącej infrastruktury do nowego systemu konwersja protokołów

Uniwersalny Konwerter Protokołów

Bezpieczeństwo w

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Problemy z bezpieczeństwem w sieci lokalnej

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

MASKI SIECIOWE W IPv4

Bezpieczeństwo usług oraz informacje o certyfikatach

NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI. Praca asix3 na stanowiskach w sieci Internet. Pomoc techniczna

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Zastosowania PKI dla wirtualnych sieci prywatnych

Bezpieczeństwo sieci informatycznych Środki. Dr inż. Małgorzata Langer

Bezpieczeństwo systemów komputerowych

Wymagania bezpieczeństwa dla systemów transmisji danych SOWE/EL, WIRE/UR

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

Podstawy Secure Sockets Layer

Dr Michał Tanaś(

Konfiguracja komputerów mobilnych

Szkolenie autoryzowane. MS 6421 Konfiguracja i rozwiązywanie problemów z infrastrukturą sieci Microsoft Windows Server 2008

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 15

GSM/GPRS w przemyśle. Cezary Ziółkowski

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Transkrypt:

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT Suchy Las, maj 2017

5 mitów dotyczących bezpieczeństwa infrastruktury krytycznej wg firmy Kaspersky Lab Mit 1: Nasze systemy automatyki przemysłowej nie są połączone z internetem, zatem są bezpieczne Mit 2: Mamy zaporę sieciową, dlatego jesteśmy zabezpieczeni przed zagrożeniami z zewnątrz Mit 3: Hakerzy nie rozumieją systemów przemysłowych SCADA/DCS/PLC Mit 4: Nasz obiekt nie stanowi celu Mit 5: Nasz system bezpieczeństwa zabezpieczy nas przed atakami

Zagrożenia Źródła zagrożeń: Zagrożenia zewnętrzne Zagrożenia wewnętrzne Rodzaje zagrożeń: Poufność - wyciek informacji Bezpieczeństwo - zakłócanie pracy (DoS) Bezpieczeństwo - przekłamanie informacji Bezpieczeństwo - przejęcie kontroli

Przyczyny podatności na zagrożenia Organizacyjne: Brak polityki bezpieczeństwa, brak procedur Brak odpowiedniej administracji i nadzoru Techniczne: Błędna architektura sieci Brak zabezpieczeń zdalnego dostępu Brak zabezpieczeń w sieciach bezprzewodowych Wspólna infrastruktura IT i OT Brak narzędzi do wykrywania zagrożeń Brak zabezpieczeń w sieciach OT

Miejsca potencjalnych ataków Sterowniki PLC Łącza do sterowników PLC Stacje inżynierskie Stacje HMI Serwery SCADA Inne serwery i stacje robocze Zdalny dostęp Internet

Miejsca potencjalnych ataków

Metody ochrony Izolacja/Separacja/Partycjonowanie Autentykacja Autoryzacja Szyfrowanie Ograniczenie dostępu Przydzielanie minimalnych uprawnień Nadzór Aktualizacje Redundancja, weryfikacja Zabezpieczenia fizyczne Honeynet

DMZ, firewall sieć korporacyjna sieć OT PLC SCADA

Normy NIST SP 800-82 - Guide to Industrial Control Systems (ICS) Security (National Institute of Standards and Technology) NIST CSF Framework for Improving Critical Infrastructure Cybersecurity NERC CIP - North American Electric Reliability Corporation Critical Infrastructure Protection (North American Electric Reliability Corporation) IEC 62351 Security Standards for the Power System Information Infrastructure (International Electrotechnical Commission)

Popularne protokoły Brak szyfrowania (by design) Ograniczenia sprzętowe Transmisja sieciowa najczęściej enkapsulacja protokołów szeregowych Modbus RTU /Modbus TCP GazModem/GazModem2/GazModem3 S-Bus Ethernet/IP Profibus / ProfiNet ControlNet/DeviceNet

Enkapsulacja ModBus TCP www.simplymodbus.ca www.modbus.org

ICCP 2009 (International Conference on Critical Infrastructure Protection) Design and Implementation of a Secure Modbus Protocol Igor Nai Fovino, Andrea Carcano, MarceloMasera and Alberto Trombetta Integrity Authentication Non-Repuditation Replay protection RSA SHA2

Protokoły w branży energetycznej IEC 80870-5 IEC 80870-6 TASE.2/ICCP IEC 61850 IEC 61968 (CIM) IEC 61334 (DLMS) IEC 62351: TCP: TLS (Transport Layer Security) Serial: autentykacja, VPN IEC 62056

Metody ataków PLC Man in the middle PLC replay

Metody ochrony w istniejącej infrastrukturze Ochrona sterowników fizyczna zdalny dostęp Ochrona łączy PLC fizyczna kontrola dostępu (IP) APN hasła, hash, certyfikaty, podpisy cyfrowe szyfrowanie (zarządzanie kluczami)

APN Klient 1 PLC Klient 2 sieć operatora APN1 APN2 PLC Internet

Ochrona kanałów komunikacyjnych PLC sieć korporacyjna Internet Sieć OT Site-to-Site security Device-to-Device security Application-to-Application security Bump-in-the-wire (external devices) Bump-in-the-stack (integral to the protocol)

Uwierzytelnianie PLC użytkownik/hasło Hash, challenge-response podpisy cyfrowe request authentication challenge authentication response random data sequence number response

VPN, TLS/SSL Wikipedia: TLS (ang. Transport Layer Security) przyjęte jako standard w Internecie rozwinięcie protokołu SSL (ang. Secure Socket Layer), zaprojektowanego pierwotnie przez Netscape Communications. TLS zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie serwera, a niekiedy również klienta. Opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509. VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna) tunel, przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci (takiej jak Internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Można opcjonalnie kompresować lub szyfrować przesyłane dane w celu zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa.

Tunelowanie/szyfrowanie PLC VPN Internet TLS/SSL

Przykłady urządzeń Moxa OnCell G3110/G3150 IPSec Advantech EKI-1321 OpenVPN Siemens SCALANCE M (IPSec, OpenVPN, firewall) Allen-Bradley 1756-EN2T - IPSec

Moxa OnCell konfiguracja VPN

Podsumowanie IEC 62351 Security Standards for the Power System Information Infrastructure Frances Cleveland

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres