Security bij Profinet Edegem, 10 juni 2009 1
Security bij Profinet - inhoudstabel 1. Intro 2. What is security? 3. Why security? 4. Security in practice 5. Conclusion De PROFINET & IO-Link dag 2009 2
IT Security for Industrial Automation Introduction De PROFINET & IO-Link dag 2009 3
Company network demilitarized zone Een bedrijfsnetwerk is het geheel van servers, computers en systemen om de algemene werking van het bedrijf op IT-niveau mogelijk te maken. Ethernet TCP/IP is al jarenlang de standaard voor het uitwerken van IT-netwerken in kantoren en bedrijven. De PROFINET & IO-Link dag 2009 4
Automatiseringsnetwerken Een automatiseringscel is het geheel van PC s, dataservers, controllers, IO devices, sensoren en actoren welke nodig zijn om de verschillende functionaliteiten van een automatiseringsconcept uit te voeren. Een automatiseringsproject is het geheel van: Productielijnen en procesinstallaties PLC systemen (Programmeerbare Logic Controllers) ESD systemen (Emergency Shut Down and Safaty Controllers) DCS systemen (Process and distributed Control Systems) SCADA systemen (Supervisory Control and Data Acquisition) De PROFINET & IO-Link dag 2009 5
Automatiseringsnetwerken VROEGER: meestal geïsoleerde netwerken met controllers en netwerkprotocollen welke gebaseerd zijn op proprietaire protocollen. De productieafdeling is meestal zelf verantwoordelijk voor de industriële communicatie. Security is zelden een aandachtspunt. De PROFINET & IO-Link dag 2009 6
Automatiseringsnetwerken HEDEN: Moderne automatiseringsprojecten worden gekenmerkt door open systemen en communicatienetwerken gebaseerd op Ethernet TCP/IP. IT-afdelingwordt medeverantwoordelijk voor de industriële communicatie. Dat Windows en Ethernet de productiehallen veroveren is een interessante ontwikkeling. Maar in toenemende mate wordt duidelijk dat ook virussen en hackers vat krijgen op machineparken en installaties. Het wordt dus belangrijk om de automatiseringswereld te beschermen tegen de gevaren die al jaren gekend zijn in de IT-wereld. Security wordt een belangrijk aandachtspunt. De PROFINET & IO-Link dag 2009 7
Evolutie binnen de automatisering Moderne automatiseringsprojecten zijn gebaseerd op gecontroleerde openheid De PROFINET & IO-Link dag 2009 8
IT Security for Industrial Automation Henk Capoen Nikolas Taelman What s security? De PROFINET & IO-Link dag 2009 9
Wat is security? Safety: mens en omgeving beschermen voor de werking van machines, industriële productielijnen en processen. Security: machines, industriële productielijnen en processen beschermen tegen mens en omgeving. BESCHIKBAARHEID(availability): resources zijn beschikbaar en functioneren correct op het ogenblijk dat ze dit moeten doen. INTEGRITEIT(integrity): bescherming van de data tegen ongewenste aanpassingen of tegen het vernietigen ervan. BETROUWBAARHEID(confidentiality): zekerheid dat de gegevens terecht komen bij de juiste bestemmelingen. De PROFINET & IO-Link dag 2009 10
IT versus Automatisering Door de integratie van open systemen kan de indruk ontstaan dat de security problemen binnen de productiewereld op te lossen zijn door de aanpak binnen de kantoorwereld over te nemen. Er zijn echter belangrijke verschillen tussen beide domeinen. De PROFINET & IO-Link dag 2009 11
IT versus Automatisering Verschillende hoofddoelstelling Kantoorwereld: op een vertrouwelijke manier verhandelen van data en gegevens. Automatiseringswereld: beschikbaarheid van het productiesysteem. AU BESCHIKBAARHEID INTEGRITEIT BETROUWBAARHEID IT De PROFINET & IO-Link dag 2009 12
IT versus Automatisering Netwerkprestaties: De PROFINET & IO-Link dag 2009 13
IT versus Automatisering Betrouwbaarheid van een netwerk: De PROFINET & IO-Link dag 2009 14
IT versus Automatisering Verschillende risico opvattingen: Verder zijn er in de automatiseringsnetwerken de kritische reactietijden op menselijke interventies. Het bedienen van een noodstop bijvoorbeeld kan niet belemmerd worden door paswoordbeveiligingen. De PROFINET & IO-Link dag 2009 15
IT Security for Industrial Automation Henk Capoen Nikolas Taelman Why security? De PROFINET & IO-Link dag 2009 16
Waarom security? Menselijke fouten Hacking DoS Attacks Virussen Sabotage Spionage De PROFINET & IO-Link dag 2009 17
Security: Tegen wie en tegen wat te beveiligen? Internet F i r e w a l l Operator s Network 192.168.0.0/16 Machine 192.168.1. 1/32 Machine 192.168.2. 0/24 De PROFINET & IO-Link dag 2009 18
DoS Attacks DoSAttacks: Denialof Service Attacksof aanvallen op TCP/IP stacks Denial-of-Service(DoS) is de situatie waarin een computersysteem niet in staat is te functioneren. Deze situatie kan door verschillende oorzaken optreden: een aanval door een computerkraker maar ook een bug in een programma kan een denialof service veroorzaken. Een DoS schaadt de beschikbaarheid van een systeem. Enkele DoSAttacks: Netwerk vervuilen: grote hoeveelheden data op het netwerk genereren. Syn Flood: groot aantal connecties aanvragen bij een server. Random data naar specifieke poorten. De PROFINET & IO-Link dag 2009 19
IP Spoofing Spoofingis het opbouwen van TCP/IP pakketten waarbij iemand anders IP adres gebruikt wordt. Gebruik van een valse identiteit om op deze manier het vertrouwen te winnen van mogelijke beveiligingspunten. Man-in-the-middle: vangt datapakketten op in een logische verbinding tussen twee eindpunten, wijzigt de data en beweert aan de ene deelnemer de andere te zijn. De PROFINET & IO-Link dag 2009 20
Zijn PLC s security veilig? Source: The Industrial Ethernet Book, November 2006 De PROFINET & IO-Link dag 2009 21
How to attack an ILC 150 hacker FTP Server HTTP Server Prog. port 21 80 41100 TCP IP: 192.168.1.10 Ethernet interface De PROFINET & IO-Link dag 2009 22
Dos Attack hacker De PROFINET & IO-Link dag 2009 23
iopener 2.0 (www.langner.com) S7 PLC Vulnerability Demo hacker De PROFINET & IO-Link dag 2009 24
IT Security for Industrial Automation Henk Capoen Nikolas Taelman Security in practice De PROFINET & IO-Link dag 2009 25
Security in de praktijk Tegen toevallige fouten, tegen verkeerde menselijke handelingen: Veiligheidspolitiek Bewustwording Risico analyse Tegen sabotage, aanvallen Verdediging op verschillende niveau s (Defense-in-Depth). Mogelijke aanvallers het leven zuur maken. De PROFINET & IO-Link dag 2009 26
Security in de praktijk: laag 1 Opbouw van het netwerk Safe Clips De PROFINET & IO-Link dag 2009 27
Security in de praktijk: laag 2 Paswoord beveiliging bij configuratie Port based -Security Broadcast Limiter Access control voor WBM Berichten via SNMP-Traps & alarmcontact VLAN Virtual Private Network PLC 1 I/O- A I/O- B I/O-C I/O- D HMI I/O-E I/O-F PLC 2 I/O- G PLC-3 VLAN A VLAN B VLAN C De PROFINET & IO-Link dag 2009 28
Security in de praktijk: laag 3 De mguard als security module: 1. Firewall 2. Router 3. VPN 4. Port forwarding De PROFINET & IO-Link dag 2009 29
1. mguard: firewall Verdediging tegen Syn-Flood IP-Spoofing De PROFINET & IO-Link dag 2009 30
mguard: Toepassing als firewall (1) Standaard, elke communicatie van de buitenwereld (WAN) naar het intern netwerk (LAN) is geblokkeerd UDP ICMP Internet WAN De PROFINET & IO-Link dag 2009 31
mguard: Toepassing als firewall (2) Communicatie van het intern netwerk (LAN)naar de buitenwereld (WAN) is toegestaan (alsook het antwoord hierop) Internet Internet WAN WAN Stateful Inspection De PROFINET & IO-Link dag 2009 32
mguard als firewall in stealth mode De PROFINET & IO-Link dag 2009 33
mguard als firewall in multi stealth mode De PROFINET & IO-Link dag 2009 34
2. Security module: gebruik als router Sub-network A Sub-network B De PROFINET & IO-Link dag 2009 35
NAT/1:1 NAT (1) ERP system Higher-level network Sub-network A Sub-network A De PROFINET & 36
NAT/1:1 NAT (2) ERP system Higher-level network NAT 1:1 NAT Sub-network A Sub-network A Sub-network A Sub-network A De PROFINET & IO-Link dag 2009 37
Netwerk Architectuur NAT router: IP masquerading Bedrijfsnetwerk 192.168.1.0/24 192.168.1.23 141.16.74.40 Internet 212.21.76.78 Web Server http://212.21.76.78 SRC IP: 192.168.1.23 SRC Port: 2305 DST IP: 212.21.76.78 DST Port: 80 SRC IP: 212.21.76.78 SRC Port: 80 DST IP: 192.168.1.23 DST Port: 2305 NAT Connection Tracking Table NAT SRC IP: 141.16.74.40 SRC Port: 60132 DST IP: 212.21.76.78 DST Port: 80 SRC IP: 212.21.76.78 SRC Port: 80 DST IP: 141.16.74.40 DST Port: 60132 De PROFINET & IO-Link dag 2009 38
Netwerkvoorbeeld router als 1:1 NAT De PROFINET & IO-Link dag 2009 39
3. mguard als VPN Datapakketten worden normaal onbeschermd over het Internet verstuurd en verzekeren dus niet: privacy (encryptie) erkenning van de afzender (authentication) data niet gewijzigd werd tijdens communicatie (integriteit) Een Virtual Private Network (VPN) is een communicatiekanaal welke gebruikt maakt van encryptie en authenticatie om een datapakket te beschermen tijdens transport over een publiek medium (Internet). De PROFINET & IO-Link dag 2009 40
VPN verbindingen via lokale netwerken Higher-level network Beveiliging dmv Paswoord (PSK) Certificaten Mogelijks icm NAT/1:1-NAT Sub-network A Sub-network A De PROFINET & IO-Link dag 2009 41
VPN via het internet & firewalls Internet WAN De PROFINET & IO-Link dag 2009 42
Use of Remote services via internet & VPN De PROFINET & IO-Link dag 2009 43
4. Port forwarding Intern IP Extern 172.23.76.12 13.187.35.19:500 0 De PROFINET & IO-Link dag 2009 44
Profinet & Security Conclusion De PROFINET & IO-Link dag 2009 45
Overzicht Bewustwording van gevaar Aanpassingen in netwerken Netwerk design Firewalls, VPN, Keuze van de juiste infrastructuurelementen (VLAN, fysische poortbeveiliging,. ) Zinvolle integratie van IT functies in de engineering Tools LLDP? SNMP, TFTP, HTTPS, Procedures maken m.b.t. beveiliging De PROFINET & IO-Link dag 2009 46