CompuDiode. Technical whitepaper 2015. ICS / SCADA Security. Nederlands

Vergelijkbare documenten
Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem.

NETWERKOPLOSSINGEN. IP Private Network. IPSEC Virtual Private Network. Metro Ethernet Connect

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Whitepaper SCADA / ICS & Cyber Security

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

MPL Firewall. Wel zo veilig!

School Firewall. Wel zo veilig!

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

SD-WAN, de nieuwe IT- Infrastructuur. Een functionele en technische uitleg waarom SD-WAN zo populair is.

Hoe zorgt u voor maximale uptime met minimale inspanning?

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

b-logicx handleiding INHOUDSOPGAVE VPN verbinding voor Windows XP UG_VPN.pdf

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Dienstbeschrijving KPN IP-VPN. Een dienst in KPN ÉÉN

Kostenefficiënt, flexibel en ultrabetrouwbaar bedrijfsvestigingen met elkaar verbinden

Vervolg: Uw Machines integreren in een bestaand netwerk?

Michiel Snoep Remote Access / SSL. 14 april 2005 GvIB, De Kuip Rotterdam

Beveiliging en bescherming privacy

WHITEPAPER IS HOSTED VOIP EEN OPLOSSING VOOR UW ORGANISATIE? TRITEL EIGENDOM Whitepaper: Is Hosted VoIP een oplossing voor uw organisatie?

Security Management Solution INNOVATORS IN SECURITY

we secure YOUR network

Managed CPE (Customer Premise Equipment)

Plugwise binnen de zakelijke omgeving

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

INDUSTRIE Industrial Internet of Things

Doe de poll via the Live App

Intelligente energiemeters voor datacenters

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

Professional Services

Revolutionair Toegangscontrolesysteem

Security bij Profinet

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Machinebeheer op afstand. Efficiënt. Wereldwijd. Intuïtief

4Problemen met zakendoen op Internet

Scope Of Work: Sourcefire Proof Of Concept

Infosessie Systeembeheerders. 26 juni VPN aan de KULeuven

Efficiëntie? Dat is werken

Computernetwerken Deel 2

IAAS HANDLEIDING - SOPHOS FIREWALL

Agenda. Wat kost het MIS Waarom JorSoft. Over JorSoft. Diensten Het MIS. Vervolgstappen IT infrastructuur

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

Keuzevrijheid en flexibiliteit in cloud-oplossingen voor je werkplek. Verantwoording over de gehele IT-keten, van werkplek tot aan datacenter

IT Security in de industrie

we secure YOUR network Veilige verbindingen Ries van Son

Van Small Business Server naar Cloud Small Business Services. Uw vertrouwde Small Business Server in de cloud

Wonderware overal! Wonderware wordt toegepast in één derde van de 335,000 plants wereldwijd met 20 of meer werknemers software licenties

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is

Wie is leidend of lijdend?

Managed Gasten Internet

Secured Internet Gateway. Ontdek onze nieuwe op applicaties gerichte beveiligingsoplossingen

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

Ontwikkeld voor mensen, vanzelfsprekend.

DJANAH, EEN TOTAL CONVERSATION VIDEO TELEFOON IN DE WEB BROWSER TECHNISCHE EISEN VOOR TOLK OP AFSTAND OP LOCATIE, NETWERK EN COMPUTERS

Edegem, 8 juni PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link. De PROFIBUS, PROFINET & IO- Link dag 2010

Voorbeelden generieke inrichting Digikoppeling

Tetra Industriële Security

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

RACKBOOST Hosted Exchange. Mobiel, veilig en eenvoudig. hosting support consulting

e-token Authenticatie

1945, eerste DC. Eigen logo

PRIVATE CLOUD. Ervaar het gemak van de private cloud: minder gedoe, meer waarde

Oplossingen overzicht voor Traderouter > 02/11/2010

Belnet Multipoint-dienst

Vervang uw verouderde hardware

MANAGED FIREWALL. Bescherming van netwerken en systemen. SOPHOS-UTM Next generation firewall. SOPHOS VS S-BOX Vergelijking Sophos-UTM en S-Box

mpix Dienstbeschrijving

Firewallpolicy VICnet/SPITS

VP-Anylink De super dongle voor een snelle en betrouwbare mobiele breedbandverbinding

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

Energiebeheer op afstand

owncloud centraliseren, synchroniseren & delen van bestanden

Beschrijving maatregelen Informatie beveiliging centrale omgeving

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Hoe industrieel Ethernet de taak van de PLC beïnvloed heeft. Henk Capoen, CATAEL

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

How To Do Port forwarding machine netwerk lokaal netwerk

SchoolNet. In samenwerking met de Vlaamse overheid. De complete internetoplossing voor uw school Ultraveilig. Ultrasnel. Ultrabetrouwbaar.

Werken zonder zorgen met uw ICT bij u op locatie

MSSL Dienstbeschrijving

Ontsluiten iprova via Internet Voorbeeld methoden

SchoolNet. De complete internetoplossing voor uw school Ultraveilig. Ultrasnel. Ultrabetrouwbaar.

Security in het MKB: Windows 10

Modulaire toegangscontrole oplossing van Koole Controls

SVHT-IT. Mission statement

Revisie geschiedenis. [XXTER & KNX via IP]

Transcriptie:

CompuDiode Technical whitepaper 2015 ICS / SCADA Security Nederlands

Hackers slagen er steeds vaker in om.gevoelige bedrijfsdata.te stelen, manipuleren.en te verwijderen // ICS / SCADA security Vitale infrastructuren worden aangestuurd via Industrial Control Systems (ICS). De gebruikte Process Control systems (PCS) waren tot voor kort autonome systemen. Om de efficiënte te verbeteren worden deze Process Control Systems steeds vaker van een op IP gebaseerde interface voorzien en aan het bedrijfsnetwerk en internet gekoppeld. Doordat de Process Control Systems aan het internet gekoppeld zijn en niet altijd beschikken over de laatste software versies, bestaat er een risico dat deze systemen gehackt worden. De systemen zijn immers vanaf elke locatie ter wereld bereikbaar. De gevolgen van een succesvolle aanval op bijvoorbeeld een energiecentrale, luchthaven of andere vitale infrastructuren zijn niet te overzien. Materiële schade is het minste wat een organisatie kan overkomen. De afgelopen jaren zijn er tientallen succesvolle aanvallen op deze infrastructuren geweest. Zo werd een Duitse energiecentrale met succes aangevallen, waardoor deze stil kwam te liggen. Organisaties zitten dan ook in een tweestrijd, dankzij de koppeling van kritieke systemen aan het netwerk en internet kunnen medewerkers veel efficiënter werken en analyseren. Maar aan de andere kant neemt het risico op een succesvolle inbraak toe. Het op een juiste manier beveiligen van deze netwerken is zeer complex en beveiliging oplossingen gaan vaak ten koste van de efficiency in een organisatie. Om het risico van succesvolle aanvallen tot een minimum te beperken, is het van belang dat in de Industrial control systems de Process Control Systems en de Supervisory Control And Data Acquisition (SCADA) netwerken losgekoppeld worden van het internet en andere netwerken of door een veilige toegang gecontroleerd worden. Het loskoppelen van PCS en SCADA netwerken hoeft niet ten koste te gaan van efficiency. Wanneer deze netwerken fysiek van andere netwerken worden gescheiden, kunnen beide onafhankelijk van elkaar blijven functioneren. Criminelen beginnen in te zien dat er veel geld te verdienen valt door manipulatie van controle systemen, zoals bijvoorbeeld smart meters. Whitepaper CompuDiode 2015

The security of your data is our mission -.Cybersecurity with.a personal touch // Inhoudsopgave // CompuDiode... 4 Gecertificeerde NextGen firewall... 4 Datadiode... 4 Centraal webmanagement... 4 Drie verschillende types... 5 Industriële hardware... 5 // Klassieke DataDiode...6 Eenrichtingsverkeer... 6 Voor welke doelgroep is de klassieke datadiode geschikt?... 6 Voordelen... 6 // Signalling diode... 7 // Controle diode... 8 Gecontroleerde communicatie... 8 Voor welke doelgroep is de controle diode geschikt?... 8 Voordelen... 8 // NextGen Firewall / CompuWall... 9 Veiligheid... 9 Remote Access... 9 Overige functionaliteiten en technische achtergrond... 9 // Bedrijfsprofiel... 10 // Contact informatie... 10 Signalling... 7 Voor welke doelgroep is de signalling diode geschikt?... 7 Voordelen... 7 Whitepaper CompuDiode 2015

Alles wat niet.expliciet is.toegestaan, is.strikt verboden // CompuDiode Zoals in voorgaand hoofdstuk is beschreven, is het extra beveiligen van de toegang tot ICS en SCADA netwerken noodzakelijk. Echter is het wel van belang dat de oplossing zowel veilig als efficiënt is. De CompuDiode van Compumatica is speciaal ontwikkeld om ICS en SCADA netwerken te beveiligen. Dankzij drie verschillende type diodes heeft Compumatica voor elke organisatie een geschikte oplossing. De CompuDiode bestaat uit één hardware met daarin twee fysieke NextGen firewalls en een diode koppeling. De hardware beschikt per NextGen firewall over twee interfaces waardoor er een flexibele inzet van de CompuDiode mogelijk is. Gecertificeerde NextGen firewall De technologie van de NextGen firewalls komt uit de CompuWall, een ander door Compumatica ontwikkeld product. Deze application layer firewall is een door de Nederlandse overheid gecertificeerde firewall voor Departementaal Vertrouwelijk gebruik (DV). De NextGen application layer firewall (laag 7) biedt een hoogwaardige beveiliging en krachtige werking door het volgende security principe: is str Door op deze manier de firewall te laten werken is misconfiguratie niet mogelijk en zijn beveiligingslekken uitgesloten. Enkel door de beheerder toegestane verbindingen, worden door de firewall gecontroleerd doorgelaten. Voor extra veiligheid heeft de CompuDiode twee fysiek gescheiden firewalls, waardoor pakketten extra gecontroleerd kunnen worden. Dankzij de dubbele firewall, beide onafhankelijk beheerd, is het mogelijk om dataverkeer strikt te regulieren. Datadiode Naast de twee NextGen firewalls bevat de CompuDiode een. Een is een fiber connector en werkt als een diode, waarbij slechts éénrichtingverkeer tussen netwerken mogelijk is. De diode scheidt de netwerken fysiek van elkaar. Er kunnen hierdoor geen succesvolle aanvallen van buitenaf meer plaatsvinden. Het is ook mogelijk om de CompuDiode zonder te bestellen, zodat er gereguleerd twee richtingsverkeer mogelijk is. Deze Diode is terug te vinden op pagina 8. Centraal webmanagement De CompuDiode is zeer eenvoudig in gebruik, dankzij het centrale webmanagement, De beheerder kan white en black listing toepassen, nieuwe security policies creëren, updates doorvoeren, etc. Zoals eerder al aangegeven, beide firewalls hebben een eigen centrale management. Whitepaper CompuDiode 2015 4

Drie verschillende.types voor optimale.veiligheid en. Drie verschillende types Beheer / flexibiliteit CompuDiode tabel Compumatica heeft drie verschillende varianten van de datadiode ontwikkeld. Dankzij de verschillende versies is er voor de verschillende toepassing gebieden voor elke organisatie en infrastructuur een geschikte diode met passende veiligheid. Deze drie types zijn verschillend op het gebied van beheer en flexibiliteit. Compumatica benadrukt dat alle versies de hoogste mate van beveiliging biedt. Type Klassieke Datadiode Signalling Diode Controle Diode Beheer Flexibiliteit inspanningen Laag + Middel ++ Hoog +++ Wanneer er binnen een organisatie behoefte is aan een oplossing waarbij er enkel éénrichtingverkeer plaats vindt, is de klassieke CompuDiode het ideale product. Deze CompuDiode heeft weinig beheer inspanningen nodig. Een volledig afgescheiden netwerk, maar met de mogelijkheid om beperkte informatie (signalling) naar andere netwerken terug te sturen, met de Signalling CompuDiode is het mogelijk. Deze CompuDiode heeft een gemiddelde beheer inspanning nodig. Het te beveiligen netwerk moet niet alleen optimaal beveiligd worden, het moet ook volledig kunnen communiceren met andere netwerken. Met de Controle CompuDiode is het mogelijk. Deze CompuDiode heeft een hoge beheer inspanning nodig. Industriële hardware De CompuDiode is compact en bestaat uit slechts een 1HE hardware met daarin de twee NextGen firewalls ieder met twee interfaces, de diode als koppeling en een redundante voeding. De CompuDiode is zeer geschikt voor toepassingen binnen industriële omgevingen. De hardware is speciaal ontworpen om bestand te zijn tegen schokken en trillen, te kunnen werken bij een temperatuur tussen -20 en +55 Celsius. Mede door het ontbreken van ventilatoren heeft de CompuDiode een lange levensduur. Whitepaper CompuDiode 2015 5

.is de veiligste diode,.omdat de data slechts.éénrichting op kan // Klassieke DataDiode De klassieke DataDiode kent een zeer lage beheer inspanning. Bij installatie moeten de firewalls worden ingesteld, waarna er verder geen onderhoud meer nodig is. Eenrichtingsverkeer Bij deze diode is het slechts mogelijk om data in één richting te transporteren. De fysieke terugweg ontbreekt waardoor het niet mogelijk is vanuit het ontvangende netwerk data aan te bieden voor het zendende netwerk. Het te beveiligen netwerk wordt dus volledig van de overige netwerken gescheiden en niet meer kwetsbaar voor aanvallen. Voor welke doelgroep is de klassieke datadiode geschikt? De klassieke CompuDiode is geschikt voor netwerken die afgeschermd moeten worden van andere netwerken, waarbij er ook geen communicatie terug hoeft te worden verstuurd. Voordelen Lage beheer inspanning Aanvallen van buitenaf via het internet op het geclassificeerde netwerk zijn uitgesloten Data transport via het TCP/IP protocol is dus niet mogelijk met deze klassieke datadiode. Enkel UDP verkeer vanuit het te beveiligen netwerk is mogelijk. Whitepaper CompuDiode 2015 6

Wel een terugkoppeling maar geen volledige.twee richting.communicatie // Signalling diode De signalling diode heeft een breder inzet gebied in ICS omgevingen. Dit komt, omdat er een gereguleerde twee richting communicatie mogelijk is. Signalling Het basis principe van deze diode is hetzelfde als de klassieke datadiode. De diode laat nog steeds de data alleen maar in een richting door, maar de ontvangende firewall zorgt er voor dat de protocollen die gebruik maken van signalering voor de bevestiging van de ontvangst van een pakket, deze ook daadwerkelijk ook terug ontvangen. Door de toevoeging van deze signalling mogelijkheden kunnen beide netwerken met elkaar communiceren en is er zowel UDP als TCP/IP data verkeer in een richting mogelijk. Voor welke doelgroep is de signalling diode geschikt? De signalling diode is het meest geschikt voor organisaties waarvan de Information Technologie (IT) en de Operations technologie (OT) netwerk omgevingen met elkaar verbonden dienen te zijn, zonder dat deze volledig in twee richtingen data hoeven te communiceren. Door gebruik te maken van communicatie met signalling is communicatie tussen IT en OT netwerken mogelijk en is het OT geclassificeerde netwerk wel beter beschermd tegen aanvallen van buitenaf. Voordelen Signalling protocollen in een diode omgeving is mogelijk Aanvallen van buitenaf (internet) zijn uitgesloten Whitepaper CompuDiode 2015 7

Veilige twee richting communicatie dankzij.twee gekoppelde.nextgen firewalls // Controle diode De Controle diode is het meest geschikt voor organisaties waarbij het altijd mogelijk moet zijn om twee netwerken met elkaar te verbinden om data en instellingen te kunnen uitwisselen tussen IT en OT netwerken. Bij deze netwerken dient er meer zekerheid ingebouwd te worden dan er met een op software gebaseerde firewall gerealiseerd kan worden. Door een combinatie van twee NextGen firewalls, beide beheert door eigen management toegang, ontstaat er een diode die tot op heden uniek in de markt is. Gecontroleerde communicatie Met deze diode is het mogelijk om gecontroleerde twee richting communicatie uit te voeren, dankzij de application layers firewalls. Deze firewalls kunnen zo ingesteld worden dat aanvallen van buitenaf geblokkeerd worden, maar dat er wel verkeer tussen beide netwerken mogelijk is. Voor welke doelgroep is de controle diode geschikt? De controle diode is het meest geschikt voor organisaties waarbij verschillende netwerken informatie aan elkaar overdragen waarbij tweerichting communicatie van wezenlijk belang is. Door de twee afzonderlijke application layer firewalls is het mogelijk om de communicatie sterk te regulieren, maar is er wel de mogelijkheid tot veilige twee richting communicatie. Voordelen Tweerichting communicatie in een diode mogelijk Aanvallen van buitenaf (internet) zijn uitgesloten Whitepaper CompuDiode 2015 8

Remote access onderhoud plegen.is mogelijk dankzij.de VPN concentrator // NextGen Firewall / CompuWall Zoals in de beschrijving van de CompuDiode aangegeven wordt gebruik gemaakt van de door Compumatica ontwikkelde NextGen Firewall. De NextGen Firewall is onderdeel van de CompuWall. De CompuWall software, een proxy application layer firewall, zoals toegepast in de CompuDiode is aangepast om de drie beschreven varianten te kunnen ondersteunen. Administratie op toegangscontrole Toegang is enkel mogelijk met de toegestane protocollen en systemen die zijn gelimiteerd door de administrator. Tijdslimiet is ook mogelijk. Verbergen van netwerk infrastructuur De netwerk infrastructuur wordt geheim gehouden, zodat potentiele aanvallers langer werk nodig hebben om het netwerk in kaart te brengen. Naast de NextGen Firewall is de CompuWall ook een VPN concentrator. De CompuWall en dus ook de CompuDiode maakt gebruik van een centraal management d.m.v. een webbrowser. Met het centrale management worden de security policies ingesteld. Veiligheid De belangrijkste kenmerken van de CompuWall die ook van belang zijn voor de CompuDiode zijn: Versleuteld management Toegang tot het centrale management is altijd versleuteld via HTTPS (optioneel beveiligd met een persoonlijk certificaat) of SSH. Remote Access Dankzij ze de Virtual Private Network (VPN) functionaliteit zoals aanwezig op de CompuWall, kan de CompuDiode vanaf elke locatie op een veilige manier worden beheerd en waar nodig updates worden uitgevoerd. Security principe Beveiligingslekken door misconfiguratie is uitgesloten, dankzij het volgende security principe. Toegangscontrole op netwerk niveau Alleen toegestane verbindingen worden doorgelaten. Overige functionaliteiten en technische achtergrond Voor een meer uitgebreide functionaliteit van de NextGen firewall als onderdeel van de CompuWall verwijzen we u graag naar de CompuWall brochure en whitepaper. Whitepaper CompuDiode 2015 9

The security of your data is our mission -.Cybersecurity with.a personal touch // Bedrijfsprofiel In 1991 toen bijna niemand bekend was met cyber security, werd Compumatica opgericht en liep voorop in de ontwikkelingen op dit gebied. Compumatica heeft een volwaardig en modern product portfolio van beveiligings oplossingen ontwikkeld op basis van de nieuwste technieken en haar expertise op het gebied van cryptografie. Compumatica secure networks is een volledig onafhankelijke private onderneming. De klanten van Compumatica zijn overheden en bedrijven, voornamelijk uit de Top500. Compumatica ontwikkelt, produceert en implementeert oplossingen met een hoge beveiligingsgraad zonder achterdeuren. Tijdens de ontwikkeling van de producten staat veiligheid centraal met in het achterhoofd snelle implementatie en integratie, eenvoudig beheer en gemak voor de eindgebruiker. Elk product ondergaat een gefaseerde kwaliteitstest waarbij het wordt onderworpen aan grondige duurproeven en testen. Voor elk product wordt minstens 10 jaar lang support (incl. updates) geleverd. Met onze nieuwe slogan pers willen we benadrukken dat klanten bij Compumatica hoog in het vaandel staan. Hebt u na de aankoop nog vragen of hulp nodig, wilt u uw oude producten inwisselen voor de nieuwste techniek of heeft u specifieke wensen of behoeften? Bij Compumatica staan wij altijd voor u klaar.. Whitepaper CompuDiode 2015 10

The security of your data is our mission -.Cybersecurity with.a personal touch // Contact informatie Nederland Compumatica secure networks BV Oude Udenseweg 29 5405PD Uden The Netherlands Tel.: +31 (0) 413 334 668 Fax: +31 (0) 413 334 669 www.compumatica.com info@compumatica.com Duitsland Compumatica secure networks GmbH Monnetstraße 9 52146 Würselen Germany Tel.: +49 (0) 2405 8924 400 Fax: +49 (0) 2405 8924 410 www.compumatica.com info@compumatica.com Whitepaper CompuDiode 2015 11

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback