Tetra Industriële Security

Vergelijkbare documenten
dustrial security Projectsamenvatting Ing. Tijl Deneut Researcher XiaK, Ghent University Lecturer Applied Computer Sciences Howest

Edegem, 8 juni PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link. De PROFIBUS, PROFINET & IO- Link dag 2010

ICS kwetsbaarheden: Appendix omtrent hardware en protocollen

Vervolg: Uw Machines integreren in een bestaand netwerk?

Netwerkconfiguratie Applicatie protocollen. Ing. Tijl Deneut Lector NMCT/Toegepaste Informatica Howest Onderzoeker XiaK, UGent

Security bij Profinet

Als je klaar bent druk op: Save/Apply. Daarna ook even herstarten. TELE 2 : Davolink DV-201AMR

Vlaams Communicatie Assistentie Bureau voor Doven, vzw

Cloud werkplek anno Cloud werkplek anno 2014

Algemene begrippen i.v.m. netwerkbeheer

Tetra Industriële Security

Configuratie van VPN met L2TP/IPsec

Inhoud. Packet Tracer x. Labs xi

goes Secure Siemens Groep in Nederland Sander Rotmensen tel:

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

Communicatienetwerken

Kansen en aandachtspunten van draadloos PROFINET

Infosessie Systeembeheerders. 26 juni VPN aan de KULeuven

Sweex Broadband Router + 4 poorts 10/100 Switch

Raspberry Pi VPN-server. Auteur: Ger Stok

Handleiding Inloggen met SSL VPN

Port Redirection & Open Ports

Lezing. Routers. Bron afbeeldingen en kennis c t magazine voor computertechniek. Rein de Jong

Het bestaat niet; maar je kunt het wél kopen.

IAAS HANDLEIDING - SOPHOS FIREWALL

How To Do Toegang WAN netwerk tot LAN netwerk (firewall router)

De PROFIBUS, PROFINET & IO-Link dag. Ede, 18 november

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

b-logicx handleiding INHOUDSOPGAVE VPN verbinding voor Windows XP UG_VPN.pdf

Handleiding Inloggen met SSL VPN

CHANGE REQUEST VOOR WIJZIGING ZONDER IMPACT OP HUURKOSTEN

April SD-WAN MPLS, for an Internet price

VPN LAN-to-LAN IPSec Protocol

Telenet Port-Forward

Inhoud. Packet Tracer ix. Labs xi

Sweex BroadBand Router + 4 poort switch + printserver

Hoe moet ik mijn Telenet Wireless Modem instellen?

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is

Industrie 4.0 in de praktijk, koppeling tussen machinenetwerken en de Cloud. Peter Noodelijk, Duranmatic B.V.

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

802.11b Wireless router w. 4 port switch. StarTech ID: BR411BWDC

Hoe industrieel Ethernet de taak van de PLC beïnvloed heeft. Henk Capoen, CATAEL

SDWAN November

Scope Of Work: Sourcefire Proof Of Concept

SD-WAN, de nieuwe IT- Infrastructuur. Een functionele en technische uitleg waarom SD-WAN zo populair is.

Profiel Senna Peterse

Zorg ervoor dat de instellingen zoals in onderstaand voorbeeld geconfigureerd worden (Let op de schermafbeeldingen).

Sweex Wireless BroadBand Router + 4 poort switch

Michiel Snoep Remote Access / SSL. 14 april 2005 GvIB, De Kuip Rotterdam

Ontsluiten iprova via Internet Voorbeeld methoden

Telenet Home Gateway. Instellingen, portforwarding. Instellen van de Home Gateway Docsis 3.0 Telenet met verbinding naar eigen router.

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

Deze applicatie nota legt uit hoe u een Net2 datalijn verbonden aan een TCP/IP netwerk, via een TCP/IP interface moet verbinden.

HMI s ontsluiten machines naar het WEB

Handleiding: ingebruikname UPC met eigen router

HowTo => OpenBSD => Secure Remote Access

VPN Remote Dial In User. Windows VPN Client

Hikvision DDNS V1.0. Voor het instellen van de Hikvision DDNS moet het volgende worden geconfigureerd en uitgevoerd.

Technote. EnGenius Senao EOM Mesh Layer 2 configuratie Transparant netwerk

VU POINT Camera Toevoegen

Communications and Networking: An Introduction

VoIP Netwerking Configuratie Gids. Vox Davo VoIP Netwerking Configuratie Gids

Documentnaam: Technisch Ontwerp Datum: Samenstelling: Bas, Chris & Teun Team Bas / Teun / Chris Versie: 1.4. Overzicht Tekening...

Werken met IP Achtergrond. IP workshop. IP workshop, deel 1. Voorstellen. Agenda. Hoe communiceren via IP? Wat is IP?

iphone Softphone App voor het Vox DaVo IP Systeem

Mitel User Group. Mitel-licentiestructuur. Jan Jansen. Account Director april 2015

TC Technote: DrayTek productvergelijkingen

Configureren van een VPN L2TP/IPSEC verbinding

Kennissessie Remote Beheer Met Conel Routers. 23 mei Private GSM Private M2M

Routing Load-Balance & Policy Route

Instellen Zyxel modem als stand-alone ATA

High Level Design Netwerk

Remote Access. Of geven en nemen

Remote maintenance 4.0

Bussystemen. Bronvermelding. Industrial ethernet, R.A. Hulsebos. F. Rubben, Ing

Port Redirection NAT >> Port Redirection Enable.

Quickstart ewon Cosy 131

Windows XP & Windows Vista

LAN-to-LAN VPN. IPSec Protocol

Configureren van een VPN L2TP/IPSEC verbinding. In combinatie met:

Technical Note VPN Siemens i.c.m NetASQ

Remote access. Deze cursus is eigendom van Stagobel Electro

BlackBerry Cloud Services

Handleiding configuratie Linksys router BEFSR41v4 t.b.v. SSHN-complex Orion. Resetten van de router

MSSL Dienstbeschrijving

Handleiding configuratie Linksys router BEFSR41v4 t.b.v. SSHN-complex Orion. Resetten van de router

HIGH LEVEL DESIGN NETWERKVERNIEUWING

Softphone Installatie Handleiding

Netwerkbeveiliging. Sven Sanders

Revisie geschiedenis. [XXTER & KNX via IP]

IAAS - QUICK START GUIDE

Transcriptie:

Tetra Industriële Security Gebruikersgroep 07 / 05 / 2015 Netwerkarchitectuur Remote Access Specifieke onderzoekspistes

EST EST 0 2 4 1 3 5 H M I 0 1 2 3 4 5 P L C Productienetwerk IT-netwerk

EST EST 0 2 4 1 3 5 H M I 0 1 2 3 4 5 P L C Productienetwerk IT-netwerk

EST EST EST EST 0 2 4 0 1 2 3 4 5 1 3 5 H M I 0 1 2 3 4 5 0 1 2 3 4 5 P L C Productienetwerk Tussennetwerk DMZ IT-netwerk

EST EST 0 2 4 1 3 5 H M I 0 1 2 3 4 5 P L C Productienetwerk Tussennetwerk DMZ IT-netwerk

Scenario Vraag: bepaalde toestellen uit het PRODUCTIEnetwerk bereiken voor het ADMINISTRATIEF netwerk / DMZ Antwoord: diverse manieren: - 1:1 NAT (range) - 1:1 NAT (device) - Port Forwarding - VPN - (VLAN)

1:1 NAT (range) Stel in op : 1:1 NAT van 192.168.20.0 /24 naar 172.40.20.0 /24 Stel in op : 1:1 NAT van 172.40.20.0 /24 naar 10.0.20.0 /24 Op die manier is bijv. toestel 192.168.20.15 transparant bereikbaar via adres 172.40.20.15 én via adres 10.0.20.15 en zo ook alle andere 254 adressen -> Althans op IP niveau (Layer3), niet MAC (Layer2) -> Groot veiligheidsrisico, firewalls worden hierdoor omzeild 10.0.0.0 /8 10.0.20.0 /24 172.40.20.0 /24 192.168.20.0 /24 172.40.0.0 /16

1:1 NAT (Device) Stel in op : 1:1 NAT van 192.168.20.15 naar 172.40.20.15 Stel in op : 1:1 NAT van 172.40.20.15 naar 10.0.20.15 Op die manier is enkel toestel 192.168.20.15 transparant bereikbaar via adres 172.40.20.15 en via adres 10.0.20.15 -> Althans op IP niveau (Layer3), niet MAC (Layer2) -> Nog steeds veiligheidsrisico, firewalls worden hierdoor omzeild 10.0.0.0 /8 10.0.20.15 172.40.20.15 192.168.20.0 /24 172.40.0.0 /16

Port Forwarding Stel in op : Port Forward van <externb> poort 8000 naar 192.168.20.15 poort 80 Stel in op : Port Forward van <externa> poort 8080 naar <externb> poort 8000 Op die manier is enkel poort 80 van toestel 192.168.20.15 bereikbaar door naar de routerb te connecteren op poort 8000 of routera op poort 8080 -> Meestal kan hier bijkomstig het bron IP bij gekozen worden (hogere beveiliging) -> Althans op IP niveau (Layer3), niet MAC (Layer2) -> Kleiner veiligheidsrisico, wordt hierdoor omzeild 10.0.0.0 /8 <externb>:8000 192.168.20.0 /24 <externa>:8080 172.40.0.0 /16

1:1 NAT (range) 1:1 NAT (Device) Port Forwarding 10.0.0.0 /8 ONDERZOEKSPISTES: Routeerbaarheid van protocollen - modbustcp, Profinet, e.a? Beïnvloeding performantie? <externa>:8080 <externb>:8000 172.40.0.0 /16 192.168.20.0 /24

VPN Veel VPN oplossingen zijn niet ontwikkeld uit veiligheid, maar om een oplossing voor afstandsbeheer te ontwikkelen. De veiligste oplossing is het gebruik van ondertekende certificaten. Onderteken (of laat ze ondertekenen) door een zogenaamde Certificate Authority (CA): zowel een server als een client certificaat. Importeer op een veilige manier het private server certificaat plus het publieke client certificaat op. Gebruik dan Windows software (bijv. OpenVPN) om op de client hetzelfde te doen: publieke server certificaat en private client certificaat. -> Nog steeds enkel IP niveau (Layer3) -> Heel wat configureerwerk en voor elke client te herhalen 10.0.0.0 /8 Unique IP 1 Unique IP 2 192.168.20.0 /24 172.40.0.0 /16

VPN opties ONDERZOEKSPISTES: Encapsuleerbaarheid van protocollen - modbustcp, Profinet, e.a? Beïnvloeding performantie? AH ESP ESP + AH VPN op veilige manier opzetten? Mogelijke (veiligste) keuzes? DES 3 DES AES SEAL MD5 SHA PSK RSA DH1 DH2 DH5 DH7

VLAN Layer 2 protocol en dus niet mogelijk doorheen routers, het moet gezien worden als een extensie van een bepaald netwerk die via switches zich uitstrekt tot een bepaald netwerk of device. Meestal worden VLANS gebruikt als alternatief voor routers. Het routering gedeelte wordt dan namelijk op administratief netwerk niveau gedaan. -> Layer2 niveau -> Behoorlijke architectuur impact 10.0.0.0 /8 192.168.20.0 /24 Switch poorten = VLAN ID 5 172.40.0.0 /16

VLAN ONDERZOEKSPISTES: Encapsuleerbaarheid van protocollen - modbustcp, Profinet, e.a? Performantie? 10.0.0.0 /8 Switch poorten = VLAN ID 5 172.40.0.0 /16 192.168.20.0 /24

Remote access? Public internet Remote administration tools Remote ad. client VPN Router/Firewall Remote administration servers Remote ad. client P L C

VPN Router/Firewall Public internet Remote ad. client Remote administration tools ONDERZOEKSPISTES: Teamviewer -> hoe veilig mee omgaan? -> hoe veiliger maken? RD gateway services (Citrix) veiligere optie? Office 365 met Lync (overname systeem) veilig? Jumpstation -> multi vendor toegang? -> veilige omgang? P L C

VPN client software U2S VPN VPN op bedrijfsnetwerkniveau S2S VPN Public internet VPN Router/Firewall VPN Router Volledig onderliggend netwerk instellen Privé netwerk P L C VPN voor volledig privé netwerk

VPN client software VPN Router/Firewall Public internet VPN op productienetwerkniveau VPN Router Privé netwerk VPN voor volledig privé netwerk VPN Router P L C

VPN client software VPN Router VPN Gateway Public internet Public internet Secure cloud services VPN Gateway VPN via secure cloud services Public internet VPN Router/Firewall Privé netwerk VPN voor volledig privé netwerk VPN Router P L C

Toegang over GSM netwerk VPN Router/Firewall VPN client sw Public internet Mobile phone netwerk VPN client software 3G modem/router P L C 3G modem/router + VPN concentrator

Secure remote access ONDERZOEKSPISTES: Out of the box oplossingen -> veilig? -> veiligheid vergroten? bvb. TOSIBOX VPN Router/Firewall? Public internet?? Mobile phone netwerk? P L C

Bijkomende mogelijke onderzoekspistes Cisco Industrial t.o.v. Siemens, Beckhoff, Phoenix Contact Specifiek onderzoek naar bedrijfszekerheid van Profisafe Transparante firewalls (Hirschmann Tofino, mguard Stealth mode) Veiligheid ewon?

Awareness en Opleidingen Basiscursus netwerken (OT) Ethernet TCP/IP Basiscursus industriële netwerken (IT) AIC vs CIA Industriële producten Profinet, Ethercat, Modbus TCP Cursus awareness en security basics Kwetsbaarheden en mogelijke gevolgen Basic guidelines: bvb. default users wissen, omgaan met paswoorden Demo s

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback