Security bij Profinet



Vergelijkbare documenten
Edegem, 8 juni PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link. De PROFIBUS, PROFINET & IO- Link dag 2010

Hoe industrieel Ethernet de taak van de PLC beïnvloed heeft. Henk Capoen, CATAEL

Tetra Industriële Security

Computernetwerken Deel 2

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

TETRA Verboten & Industriële security. 28/04/16 4 de Gebruikersgroep vergadering

Vervolg: Uw Machines integreren in een bestaand netwerk?

Technische toelichting Automatisering

Part 17-A INTERNET: basisbegrippen techniek & beveiliging

De PROFIBUS, PROFINET & IO-Link dag. Ede, 18 november

Remote maintenance 4.0

Industrial Ethernet Verbeter de transparantie en beschikbaarheid van uw proces

Remote maintenance 4.0

IAAS HANDLEIDING - SOPHOS FIREWALL

IT Security in de industrie

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

Algemene begrippen i.v.m. netwerkbeheer

Infosessie Systeembeheerders. 26 juni VPN aan de KULeuven

CompuDiode. Technical whitepaper ICS / SCADA Security. Nederlands

Revisie geschiedenis. [XXTER & KNX via IP]

Inhoud. Packet Tracer x. Labs xi

HMI s ontsluiten machines naar het WEB

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is

1945, eerste DC. Eigen logo

Hands-on TS adapter IE advanced

INDUSTRIE Industrial Internet of Things

Machine onderhoud via de Cloud

Netwerkconfiguratie Applicatie protocollen. Ing. Tijl Deneut Lector NMCT/Toegepaste Informatica Howest Onderzoeker XiaK, UGent

ICS kwetsbaarheden: Appendix omtrent hardware en protocollen

Itsme masterclass Freely usable Siemens AG 2016 siemens.com/tia-portal

How To Do Port forwarding machine netwerk lokaal netwerk

Internet of Things (IoT)

Machinebeheer op afstand. Efficiënt. Wereldwijd. Intuïtief

IO-Link is Smart Industry

Totally Integrated Automation. Realizing visions every day in every industry

Wat kan een sensorleverancier bijdragen aan Industrie 4.0?

Wonderware overal! Wonderware wordt toegepast in één derde van de 335,000 plants wereldwijd met 20 of meer werknemers software licenties

Einde ondersteuning Windows XP 9 april 2014: wat te doen?

Tetra Industriële Security

VIK 16 Maart Ethernet TCP/IP Het universeel communicatiesysteem voor PLC s, I/O en alle randapparatuur

dustrial security Projectsamenvatting Ing. Tijl Deneut Researcher XiaK, Ghent University Lecturer Applied Computer Sciences Howest

mpix Dienstbeschrijving

Praktijkcase Industrieel Ethernet netwerk.

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Sweex Broadband Router + 4 poorts 10/100 Switch

Communicatienetwerken

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Gigaset pro VLAN configuratie

Connectivity SQL Er kan geen verbinding worden gemaakt met de SQL server

Industry 4.0. Big Data: van shopfloor naar IT level MES/ERP: Trends & Technologieën. Advantech Europe Jim ten Broeke Business Development Manager IoT

De PROFIBUS, PROFINET & IO-Link dag. Share our Vision for Automation

De PROFIBUS, PROFINET & IO-Link dag Share our Vision for Automation. Wireless Sensor Netwerken. WirelessHART. Toepassingen. PROFIBUS integratie

Industrie 4.0 in de praktijk, koppeling tussen machinenetwerken en de Cloud. Peter Noodelijk, Duranmatic B.V.

Alles wordt onderdeel van een Internet of Things. gelukkig zorgt een standaard voor de gebouwde omgeving voor het essentiële houvast

Inhoud. Packet Tracer ix. Labs xi

Thin-Clients architectuur bij een farmaceutisch bedrijf.

Zelftest Internet concepten en technieken

Van productidee tot realiteit.

Hoofdstuk 15. Computernetwerken

IT-security in de industrie: gezond verstand en de juiste oplossingen

b-logicx handleiding INHOUDSOPGAVE VPN verbinding voor Windows XP UG_VPN.pdf

Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565)

Ontsluiten iprova via Internet Voorbeeld methoden

Dienstbeschrijving mshield. Een dienst in KPN ÉÉN

goes Secure Siemens Groep in Nederland Sander Rotmensen tel:

NAT (Network Address Translation)

Kansen en aandachtspunten van draadloos PROFINET

smart-house Netwerk & Port Forwarding. TELENET MODEM ONLY

Cybersecurity Is een doosje voldoende,

Health Check Voorbeeldrapportage

Configuratie van VPN met L2TP/IPsec

SD-WAN, de nieuwe IT- Infrastructuur. Een functionele en technische uitleg waarom SD-WAN zo populair is.

De PROFIBUS & PROFINET dag Edegem, 10 juni 2009

Plugwise binnen de zakelijke omgeving

ipact Installatiehandleiding CopperJet 816-2P / P Router

The bad guys. Motivatie. Info. Overtuiging. Winst

Data Acquisitie in een modern jasje. Wordt het de tablet of toch iets anders?

HBO5 Informatica Netwerkbeheer (90 studiepunten) C4 Internettechnologie en systeem- en netwerkbeheer deel 2 (5 studiepunten) Module

De Cosy familie groeit!

802.11b Wireless router w. 4 port switch. StarTech ID: BR411BWDC

Zelftest Internet concepten en technieken

tot Bord Live Demo met aansluitend een Industrial Ethernet of hoe het IOT u echt kan helpen

Is uw bestuur klaar voor IPv6? Shopt IT Antwerpen 25 april 2013

Quartz Dashboard. Productinformatie. Quartz is onderdeel van Minerall, the automation suite

Targets. Wie zou er iets tegen ons hebben? We zijn toch geen bank? Wat kunnen ze doen met onze gegevens?

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Michiel Snoep Remote Access / SSL. 14 april 2005 GvIB, De Kuip Rotterdam

ISSX, Experts in IT Security. Wat is een penetratietest?

De mens is de maat van alle dingen Themasessie beveiliging

e-token Authenticatie

Lezing. Routers. Bron afbeeldingen en kennis c t magazine voor computertechniek. Rein de Jong

Voltijdse dagopleiding netwerkbeheerder

Communications and Networking: An Introduction

Bij het gebruik van SQL Server binnen SnelStart dient er altijd eenmalig een account aangemaakt te worden.

Plug and Play in de machinebouw. Zelf configurerende machines

Veiligheid en PC. Belangrijkste bedreigingen: Virussen: schade toebrengen aan PC, server

Transcriptie:

Security bij Profinet Edegem, 10 juni 2009 1

Security bij Profinet - inhoudstabel 1. Intro 2. What is security? 3. Why security? 4. Security in practice 5. Conclusion De PROFINET & IO-Link dag 2009 2

IT Security for Industrial Automation Introduction De PROFINET & IO-Link dag 2009 3

Company network demilitarized zone Een bedrijfsnetwerk is het geheel van servers, computers en systemen om de algemene werking van het bedrijf op IT-niveau mogelijk te maken. Ethernet TCP/IP is al jarenlang de standaard voor het uitwerken van IT-netwerken in kantoren en bedrijven. De PROFINET & IO-Link dag 2009 4

Automatiseringsnetwerken Een automatiseringscel is het geheel van PC s, dataservers, controllers, IO devices, sensoren en actoren welke nodig zijn om de verschillende functionaliteiten van een automatiseringsconcept uit te voeren. Een automatiseringsproject is het geheel van: Productielijnen en procesinstallaties PLC systemen (Programmeerbare Logic Controllers) ESD systemen (Emergency Shut Down and Safaty Controllers) DCS systemen (Process and distributed Control Systems) SCADA systemen (Supervisory Control and Data Acquisition) De PROFINET & IO-Link dag 2009 5

Automatiseringsnetwerken VROEGER: meestal geïsoleerde netwerken met controllers en netwerkprotocollen welke gebaseerd zijn op proprietaire protocollen. De productieafdeling is meestal zelf verantwoordelijk voor de industriële communicatie. Security is zelden een aandachtspunt. De PROFINET & IO-Link dag 2009 6

Automatiseringsnetwerken HEDEN: Moderne automatiseringsprojecten worden gekenmerkt door open systemen en communicatienetwerken gebaseerd op Ethernet TCP/IP. IT-afdelingwordt medeverantwoordelijk voor de industriële communicatie. Dat Windows en Ethernet de productiehallen veroveren is een interessante ontwikkeling. Maar in toenemende mate wordt duidelijk dat ook virussen en hackers vat krijgen op machineparken en installaties. Het wordt dus belangrijk om de automatiseringswereld te beschermen tegen de gevaren die al jaren gekend zijn in de IT-wereld. Security wordt een belangrijk aandachtspunt. De PROFINET & IO-Link dag 2009 7

Evolutie binnen de automatisering Moderne automatiseringsprojecten zijn gebaseerd op gecontroleerde openheid De PROFINET & IO-Link dag 2009 8

IT Security for Industrial Automation Henk Capoen Nikolas Taelman What s security? De PROFINET & IO-Link dag 2009 9

Wat is security? Safety: mens en omgeving beschermen voor de werking van machines, industriële productielijnen en processen. Security: machines, industriële productielijnen en processen beschermen tegen mens en omgeving. BESCHIKBAARHEID(availability): resources zijn beschikbaar en functioneren correct op het ogenblijk dat ze dit moeten doen. INTEGRITEIT(integrity): bescherming van de data tegen ongewenste aanpassingen of tegen het vernietigen ervan. BETROUWBAARHEID(confidentiality): zekerheid dat de gegevens terecht komen bij de juiste bestemmelingen. De PROFINET & IO-Link dag 2009 10

IT versus Automatisering Door de integratie van open systemen kan de indruk ontstaan dat de security problemen binnen de productiewereld op te lossen zijn door de aanpak binnen de kantoorwereld over te nemen. Er zijn echter belangrijke verschillen tussen beide domeinen. De PROFINET & IO-Link dag 2009 11

IT versus Automatisering Verschillende hoofddoelstelling Kantoorwereld: op een vertrouwelijke manier verhandelen van data en gegevens. Automatiseringswereld: beschikbaarheid van het productiesysteem. AU BESCHIKBAARHEID INTEGRITEIT BETROUWBAARHEID IT De PROFINET & IO-Link dag 2009 12

IT versus Automatisering Netwerkprestaties: De PROFINET & IO-Link dag 2009 13

IT versus Automatisering Betrouwbaarheid van een netwerk: De PROFINET & IO-Link dag 2009 14

IT versus Automatisering Verschillende risico opvattingen: Verder zijn er in de automatiseringsnetwerken de kritische reactietijden op menselijke interventies. Het bedienen van een noodstop bijvoorbeeld kan niet belemmerd worden door paswoordbeveiligingen. De PROFINET & IO-Link dag 2009 15

IT Security for Industrial Automation Henk Capoen Nikolas Taelman Why security? De PROFINET & IO-Link dag 2009 16

Waarom security? Menselijke fouten Hacking DoS Attacks Virussen Sabotage Spionage De PROFINET & IO-Link dag 2009 17

Security: Tegen wie en tegen wat te beveiligen? Internet F i r e w a l l Operator s Network 192.168.0.0/16 Machine 192.168.1. 1/32 Machine 192.168.2. 0/24 De PROFINET & IO-Link dag 2009 18

DoS Attacks DoSAttacks: Denialof Service Attacksof aanvallen op TCP/IP stacks Denial-of-Service(DoS) is de situatie waarin een computersysteem niet in staat is te functioneren. Deze situatie kan door verschillende oorzaken optreden: een aanval door een computerkraker maar ook een bug in een programma kan een denialof service veroorzaken. Een DoS schaadt de beschikbaarheid van een systeem. Enkele DoSAttacks: Netwerk vervuilen: grote hoeveelheden data op het netwerk genereren. Syn Flood: groot aantal connecties aanvragen bij een server. Random data naar specifieke poorten. De PROFINET & IO-Link dag 2009 19

IP Spoofing Spoofingis het opbouwen van TCP/IP pakketten waarbij iemand anders IP adres gebruikt wordt. Gebruik van een valse identiteit om op deze manier het vertrouwen te winnen van mogelijke beveiligingspunten. Man-in-the-middle: vangt datapakketten op in een logische verbinding tussen twee eindpunten, wijzigt de data en beweert aan de ene deelnemer de andere te zijn. De PROFINET & IO-Link dag 2009 20

Zijn PLC s security veilig? Source: The Industrial Ethernet Book, November 2006 De PROFINET & IO-Link dag 2009 21

How to attack an ILC 150 hacker FTP Server HTTP Server Prog. port 21 80 41100 TCP IP: 192.168.1.10 Ethernet interface De PROFINET & IO-Link dag 2009 22

Dos Attack hacker De PROFINET & IO-Link dag 2009 23

iopener 2.0 (www.langner.com) S7 PLC Vulnerability Demo hacker De PROFINET & IO-Link dag 2009 24

IT Security for Industrial Automation Henk Capoen Nikolas Taelman Security in practice De PROFINET & IO-Link dag 2009 25

Security in de praktijk Tegen toevallige fouten, tegen verkeerde menselijke handelingen: Veiligheidspolitiek Bewustwording Risico analyse Tegen sabotage, aanvallen Verdediging op verschillende niveau s (Defense-in-Depth). Mogelijke aanvallers het leven zuur maken. De PROFINET & IO-Link dag 2009 26

Security in de praktijk: laag 1 Opbouw van het netwerk Safe Clips De PROFINET & IO-Link dag 2009 27

Security in de praktijk: laag 2 Paswoord beveiliging bij configuratie Port based -Security Broadcast Limiter Access control voor WBM Berichten via SNMP-Traps & alarmcontact VLAN Virtual Private Network PLC 1 I/O- A I/O- B I/O-C I/O- D HMI I/O-E I/O-F PLC 2 I/O- G PLC-3 VLAN A VLAN B VLAN C De PROFINET & IO-Link dag 2009 28

Security in de praktijk: laag 3 De mguard als security module: 1. Firewall 2. Router 3. VPN 4. Port forwarding De PROFINET & IO-Link dag 2009 29

1. mguard: firewall Verdediging tegen Syn-Flood IP-Spoofing De PROFINET & IO-Link dag 2009 30

mguard: Toepassing als firewall (1) Standaard, elke communicatie van de buitenwereld (WAN) naar het intern netwerk (LAN) is geblokkeerd UDP ICMP Internet WAN De PROFINET & IO-Link dag 2009 31

mguard: Toepassing als firewall (2) Communicatie van het intern netwerk (LAN)naar de buitenwereld (WAN) is toegestaan (alsook het antwoord hierop) Internet Internet WAN WAN Stateful Inspection De PROFINET & IO-Link dag 2009 32

mguard als firewall in stealth mode De PROFINET & IO-Link dag 2009 33

mguard als firewall in multi stealth mode De PROFINET & IO-Link dag 2009 34

2. Security module: gebruik als router Sub-network A Sub-network B De PROFINET & IO-Link dag 2009 35

NAT/1:1 NAT (1) ERP system Higher-level network Sub-network A Sub-network A De PROFINET & 36

NAT/1:1 NAT (2) ERP system Higher-level network NAT 1:1 NAT Sub-network A Sub-network A Sub-network A Sub-network A De PROFINET & IO-Link dag 2009 37

Netwerk Architectuur NAT router: IP masquerading Bedrijfsnetwerk 192.168.1.0/24 192.168.1.23 141.16.74.40 Internet 212.21.76.78 Web Server http://212.21.76.78 SRC IP: 192.168.1.23 SRC Port: 2305 DST IP: 212.21.76.78 DST Port: 80 SRC IP: 212.21.76.78 SRC Port: 80 DST IP: 192.168.1.23 DST Port: 2305 NAT Connection Tracking Table NAT SRC IP: 141.16.74.40 SRC Port: 60132 DST IP: 212.21.76.78 DST Port: 80 SRC IP: 212.21.76.78 SRC Port: 80 DST IP: 141.16.74.40 DST Port: 60132 De PROFINET & IO-Link dag 2009 38

Netwerkvoorbeeld router als 1:1 NAT De PROFINET & IO-Link dag 2009 39

3. mguard als VPN Datapakketten worden normaal onbeschermd over het Internet verstuurd en verzekeren dus niet: privacy (encryptie) erkenning van de afzender (authentication) data niet gewijzigd werd tijdens communicatie (integriteit) Een Virtual Private Network (VPN) is een communicatiekanaal welke gebruikt maakt van encryptie en authenticatie om een datapakket te beschermen tijdens transport over een publiek medium (Internet). De PROFINET & IO-Link dag 2009 40

VPN verbindingen via lokale netwerken Higher-level network Beveiliging dmv Paswoord (PSK) Certificaten Mogelijks icm NAT/1:1-NAT Sub-network A Sub-network A De PROFINET & IO-Link dag 2009 41

VPN via het internet & firewalls Internet WAN De PROFINET & IO-Link dag 2009 42

Use of Remote services via internet & VPN De PROFINET & IO-Link dag 2009 43

4. Port forwarding Intern IP Extern 172.23.76.12 13.187.35.19:500 0 De PROFINET & IO-Link dag 2009 44

Profinet & Security Conclusion De PROFINET & IO-Link dag 2009 45

Overzicht Bewustwording van gevaar Aanpassingen in netwerken Netwerk design Firewalls, VPN, Keuze van de juiste infrastructuurelementen (VLAN, fysische poortbeveiliging,. ) Zinvolle integratie van IT functies in de engineering Tools LLDP? SNMP, TFTP, HTTPS, Procedures maken m.b.t. beveiliging De PROFINET & IO-Link dag 2009 46

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback