Phoenix contact, Secure Remote Access

Themadag
Secure Remote Access
Najaar 2015

Welkom bij PHOENIX CONTACT
Sjoerd Hakstege
Technisch Specialist
Network & Security
Henk Capoen
Lecturer Industrial Automation
Ghent University
Themadag “Secure Remote Access”
Sprekers
1/79

Masterversion 13
Programma:
09:00 Welkom en introductie
09:15 Ethernet TCP/IP
10:45 Pauze
11:15 Mobiel Internet
12:15 Lunch
13:00 Security & automatisering
13:30 VPN
14:45 Pauze
15:15 Bespreking verschillende oplossingen
15:45 Afsluiting
16:00 Einde
Agenda
Masterversion 13
Geschiedenis
1923
1980
1960
1950
Vandaag
2/79

Masterversion 13
Phoenix Contact Hoofdkantoor
Blomberg
Bad Pyrmont
Masterversion 13
Phoenix Contact Electronics
Blomberg
Bad Pyrmont
3/79

Masterversion 13
Phoenix Contact-groep Duitsland:
 PHOENIX CONTACT GmbH & Co. KG, Blomberg
 PHOENIX CONTACT Deutschland GmbH, Blomberg
 PHOENIX CONTACT Innovation Ventures GmbH, Blomberg
 PHOENIX CONTACT Electronics GmbH, Bad Pyrmont
 PHOENIX CONTACT Combinations GmbH, Bad Pyrmont
 PHOENIX CONTACT E-Mobility GmbH, Schieder
 PHOENIX CONTACT Power Supplies GmbH, Lemgo
 PHOENIX CONTACT Software GmbH, Lemgo
 PHOENIX CONTACT Connector Technology GmbH, Herrenberg
 PHOENIX FEINBAU GmbH & Co. KG, Lüdenscheid
 Innominate Security Technologies AG, Berlin
 Sütron electronic GmbH, Filderstad
Masterversion 13
Wereldwijd
• 14 productielocaties
• 50
verkooporganisaties
• 30 lokale
vertegenwoordigingen
4/79

Masterversion 13
5.000
6.000
7.000
8.000
9.000
10.000
11.000
12.000
13.000
14.000
15.000
16.000
17.000
18.000
400
500
600
700
800
900
1.000
1.100
1.200
1.300
1.400
1.500
1.600
1.700
1.800
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
Feiten en cijfers
Verkoop in miljoenen € 1,770
Medewerkers wereldwijd 14.000
Verkoopaandeel
Duitsland
30%
Internationaal
70%
€
Masterversion 13
Phoenix Contact Nederland
Statutair Directeur
Walter van Aken
Statutair Directeur
Geert Laseur
Statutair Directeur
Harold van Waardenburg
Statutair Directeur
Marc Basten
Walter van Aken
Geert Laseur
Financieel Directeur
Dirk Jan Wesselink
5/79

Masterversion 13
Phoenix Contact Nederland
ReeuwijkZevenaar
Waalre
± 5600 deelnemers per jaar (Phoenix Contact, Rittal en Eplan)
Masterversion 13
Structuur
6/79

Masterversion 13
Producten
Masterversion 13
Device Connectors
Device Connectors
Division
Device Connectors (DC)
• PCB Connectors (PCC)
• Field Device Connectors (FDC)
• Housing (HS)
PCB Connectors
Housing
Field Device
Connectors
7/79

Masterversion 13
Industrial Components
and Electronics (ICE)
Division
Industrial Components (IC)
• Industrial Cabinet Connectivity
(ICC)
• Industrial Field Connectivity
(IFC)
• Marking and Installation (MI)
Industrial Cabinet
Connectivity
Industrial Field
Connectivity
Marking and
Installation
Masterversion 13
Industrial Electronics
and Electronics (ICE)
Division
Industrial Electronics (IE)
• Interface Components (IF)
• Trabtech (TT)
• Power Supplies (PS)
• I/O and Networks (ION)
Trabtech
I/O and Networks
Power Supplies
Interface
Components
8/79

Masterversion 13
Control and Industry Solutions
Control and Industry
Solutions
Division Control
and Industry Solutions (CIS)
• Control Systems (CST)
• Industry Solutions (IS)
• Software Competence Center
Control Systems
Software
Competence Center
Industry Solutions
Automotive Wind Solar Urban Infrastructure Process (Oil & Gas)
Masterversion 13
Proces-
industrie
Duurzame
energie
Olie en gas TelecommunicatieAutomobiel
Water en
afvalwater
Machinebouw Elektronica UtiliteitInfratechniek
Markten
9/79

Masterversion 13
Oplossingen op maat
Waar wij ondersteuning kunnen bieden?
- energievoorziening (duurzame energie)
- apparaten-, machine- en schakelkastbouw
- automatiserings- en veiligheidssystemen
- infrastructuuroplossingen
- etc.
Masterversion 13
Communicatie
10/79

Masterversion 13
Modem:
• Het woord modem is een acroniem (samentrekking)
betreffende modulator en demodulator.
• Apparaat waarmee informatiesignalen geschikt gemaakt
worden om over een ‘kanaal’ getransporteerd te worden.
Kanalen:
• Analoge telefoonlijn
• Huurlijn
• GSM netwerk
• (draadloos) Internet
Communicatie: Historie
Masterversion 13
Industrial Modem Line
11/79

Masterversion 13
Mobile network
Private network
Ethernet
Copper ring
Internet
Mobile
network
VPN
tunnel
Mobile router
Security router
Ethernet Extender
Ethernet Extender
Ethernet Extender
Ethernet
Extender
Security router DSL modem
DSL
DSL router
PLC
IPC
PLC
Dial-up connection
Public phone
network
IPC
PLC
PLC
VPN
tunnel
DSLInternet
Remote Communication Applications
Masterversion 13
Is network Security nodig?
12/79

Masterversion 13
Gevolgen:
Productie / kwaliteitsverlies!
Image verlies!
Claims tgv (financiële) schade!
Etc.
Is network Security nodig?
Masterversion 13
Security:
• Virtual Private Network
• Firewall
• Statefull Inspection Firewall
Security Producten
13/79

Masterversion 13
Informatie
Masterversion 13
You can count on us:
Technical hotline
On-site support
Training
Network design and
planning
Support
14/79

Masterversion 13
Programma:
10:45 Pauze
12:15 Lunch
13:30 VPN
14:45 Pauze
15:45 Afsluiting
16:00 Einde
Agenda
15/79

1
THEMADAG 18/11/2015
Secure
Remote
Access
2
PROGRAMMA
 Introductie
 Internet TCP/IP
 Mobiel internet
 Hardware Phoenix
 Security & VPN
 Applicaties
16/79

3
1. INTRODUCTIE
REMOTE ACCESS
= uitbreiding van het bedrijfsnetwerk om toegang te hebben tot
remote data
BedrijfsLAN
Machine on the field
WAN
4
1. INTRODUCTIE
WAN: welke mogelijkheden?
• Telefoonnetwerk
• Mobiel telefoonnetwerk
• Internet
Mobiel internet
17/79

5
REMOTE ACCESS
1. INTRODUCTIE
REMOTE
MAINTENANCE
- Analyseren en diagnose stellen
- Programmeren op afstand
REMOTE
CONTROL
- Opvolgen, loggen van data
- Bewaken en besturen van
installaties op afstand
Continue toegang Tijdelijke toegang
6
1. INTRODUCTIE
VOORDELEN van REMOTE ACCESS
• Ophalen, opslaan en evaluatie van data:
Key Performance Indicators voor industriële processen,
productielijnen, machines
• On-site diagnose
• Sneller respons voor probleemoplossing
• Specialisten hoeven zich minder te verplaatsen
• Minder verloren engineeringtijd
• Beperking van de verplaatsingsonkosten
18/79

7
1. INTRODUCTIE
AANDACHTSPUNT:
All IP en Remote Access over het onbeveiligde
internet vraagt de nodige aandacht omtrent IT-
security
Secure Remote Access
8
1. INTRODUCTIE
HACKEN
Gebruik van hardware, software, applicaties
waarvoor het oorspronkelijk niet bedoeld was
- Hacken: imago schaden, diefstal van informatie,
aanpassen van informatie , fraude, ….
- Ethisch hacken: zwakheden in IT systemen
aantonen om een verbeteringen mogelijk te maken
19/79

9
1. INTRODUCTIE
CYBERSECURITY
Het geheel van maatregelen om IT infrastructuur te
beveiligen tegen zwakheden en misbruik.
- Technische maatregelen
- Procedurele maatregelen
- Personele maatregelen
10
1. INTRODUCTIE
20/79

11
1. INTRODUCTIE
MGUARD RS4000 3G VPN
- WAN en draadloze interface;
- 10 VPN-tunnels;
- Bidirectionele statefull firewall;
- Router met NAT/1:1-NAT;
- Managed Switch met 4 poorten;
- DMZ poort;
- …
12
PROGRAMMA
 Internet TCP/IP
 Mobiel internet
 Security & VPN
 Applicaties
21/79

13
2. INTERNET (TCP/IP)
TCP/IP model
14
TCP/IP model
22/79

15
1010 1011 1000 0100 ………………………………. 1101 0101 1110 0101 1110
Ethernet dataveldEth Header
Ehternet dataframe
Eth Header IP dataveldIP header
IP Pakket
Eth Header TCP dataveldIP header TCP header
TCP segment
Ethernet TCP/IP berichtopbouw
16
SA DAHdr SP DP HdrDA SA Hdr …………….
TCP/UDP poortnummers
IP adressen
Hardware adressen: MAC adressen voor Ethernet
Ethernet TCP/IP berichtopbouw
23/79

17
DOELSTELLING IP PROTOCOL
 Pakket transmissie, verbindingsloos
 Adres management
 Segmentatie
 Routering
DOELSTELLING TCP PROTOCOL
 Betrouwbaar , verbindingsgeoriënteerd end to endprotocol
 Verbindingsgericht : verbinding opzetten, verbinding gebruiken,
verbinding stopzetten
TCP/IP
18
ROUTER
 2 of meerdere netwerken met elkaar verbinden
 Gericht doorsturen van datapakketten op basis van IP adressen
 Maakt gebruik van dynamische routeringstabellen: IP adressen gelinkt aan
het volgende knooppunt (next hop)
24/79

19
SOORTEN ROUTERS
 Breedbandrouter: voor thuisgebruik om meerdere computers aan te
sluiten op één breedbandaansluiting via één publiek IP adres (integratie van
WLAN access point).
 Professionele router: koppeling bedrijfsnetwerk aan publiek
breedbandnetwerk, meestal toewijzing van meerdere publieke IP adressen
voor mail, web of andere internetservers (gebruik van DMZ)
 Industriële router: routers voor het koppelen van industriële netwerken
aan bedrijfsnetwerken, volledig gebaseerd op Ethernet TCP/IP
communicatie
 ISP router: routers die gebruikt worden door internet service providers in
hun eigen netwerk. Deze routers moeten enorme hoeveelheden data
kunnen routeren.
20
25/79

21
IP adres
22
26/79

23
IP adres: klasse A
24
IP adres: klasse B
27/79

25
IP adres: klasse C
26
Opdeling volgens klasse
 Klasse A, NET ID eerste getal, eerste getal tussen 1 en 126
 Klasse B, NET ID eerste twee getallen, eerste getal tussen 128 en 191
 Klasse C, NET ID eerste drie getallen, eerste getal tussen 192 en 223
Subnetmask
De bits van het netwerkgedeelte krijgen de waarde 1
De bits die het hostgedeelte voorstellen krijgen de waarde 0
Voorbeeld: subnetmask is 255.255.0.0, NET ID eerste twee getallen
CIDR notatie (Classless Inter Domain Routing)
Voorbeeld: 144.20.11.11/16, NET ID eerste twee getallen
28/79

27
PUBLIEKE IP adressen
 Uniek op het Internet
 Bepaald door ISP (Internet Service Providers)
 IP adres is statisch of dynamisch: DHCP Servers
 Vertaling IP adres naar symbolische hostnamen: DNS Servers
IP adressen voor PRIVÉ NETWERKEN
 Klasse A netwerken 10.0.0.0  10.255.255.255
 Klasse B netwerken 172.16.0.0  172.31.255.255
 Klasse C netwerken 192.168.0.0  192.168.255.255
28
Subnetmask / Classless Inter-Domain Routing
29/79

29
LOGISCHE VERBINDING (POORTEN)
TCP protocol
30
SA DAHdr SP DP HdrDA SA Hdr …………….
Seq. nr Ack. nr Vlaggen Window CRC
TCP protocol
30/79

31
TCP protocol
32
INTERNET is gebaseerd op het CLIENT SERVER model
31/79

33
KENMERKEN van een Server applicatie
34
KENMERKEN van een Client applicatie
32/79

35
TCP/IP endpoint
36
CLIENT SERVER model: ondubbelzinnige communicatie
Ieder internetsocket (de combinatie van lokaal IP adres, lokaal poortnummer,
remote IP adres en remote poortnummer) moet uniek zijn.
33/79

37
LOGISCHE VERBINDING (POORTEN)
38
NAT, Network Address Translation
34/79

39
NAT, Network Address Translation
40
ARP definieert twee berichten:
- Request bevat een IP adres en verzoekt om het
corresponderende hardware adres
- Response bevat het IP adres en het hardware adres
ARP (Address Resolution Protocol)
35/79

41
ICMP definieert vijf foutberichten en vier informatieve berichten
- Source quench
- Time Exceeded
- Destination unreachable
- Redirect
- Fragmentation required
Informatieve berichten:
- Echo request/reply
- Address mask request/reply
 Bereikbaarheid van een host controleren: PING
 Een route traceren: TRACERT
ICMP (Internet Control Message Protocol)
42
Koppeling symbolische hostnaam aan een endpoint : www.google.be
DNS staat voor:
 Een gedistribueerde database welke geïmplementeerd is in een hiërarchie
van DNS servers
 Een applicatielaagprotocol waarmee hosts en DNS servers kunnen
communiceren om de vertaalslag (het omzetten van een IP adres in een
hostnaam en omgekeerd) te maken.
3 klassen DNS servers:
 Root DNS servers
 Topleveldomein (TLD) DNS servers
 Verifiërende DNS servers
DNS (Domain Name System)
36/79

43
Iteratieve zoekactie Recursieve zoekactie
DNS (Domain Name System)
44
De mGuard, niet zomaar een industriële router
37/79

45
PROGRAMMA
 Internet TCP/IP
 Mobiel internet
 Security & VPN
 Applicaties
46
3. MOBIELE TELEFONIE
1977 1994 2004 2014
1G (analoge voice functionaliteiten)
2G (GSM netwerk, digitaal telefonie netwerk)
2.5G (GPRS)
3G (UMTS)
4G (LTE)
4 GENERATIES MOBIELE NETWERKEN
• Uitbreiding van het traditionele PSTN- of ISDN netwerk
• GSM & UMTS zijn afgeleid van het telefonienetwerk
• GPRS en EDGE zijn toepassingen op het GSM netwerk voor mobiele dataverbinding
3.5G (HSDPA)
2.75G (EDGE)
38/79

47
GSM (’82: Groupe Speciale Mobile
nu : Global System for Mobile Communications)
Enkele doelstellingen:
• Mobiel digitaal telefonienetwerk
• Compatibel zijn met ISDN en PSTN systemen
• Encryptiemogelijkheden
Verschillende versies:
• GSM 850 (voornamelijk VS)
• GSM 900 (880-915 MHz uplinks / 925-960 MHz downlinks)
• GSM 1800 of ook aangeduid als DCS 1800 (Digital Cellular System, 1710-1785
MHz uplinks, 1805-1880 downlinks)
• GSM 1900 (voornamelijk VS)
48
GSM : ‘s werelds grootste mobiel netwerk gebaseerd
op digitale cellulaire technologie
39/79

49
PSTN
ISDN
radio cell
MS
MS
BTS
radio cell
MS
MS
BTS
BSS
BCS
BCS
MSC
MS: mobile Station
BTS: Base Tranceiver Station
BSS: Base Station Subsystem
BCS: Base Controller Station
MSC: Mobile Switching Centre
GSM infrastructuur
50
Eerste datadiensten via GSM
• Beperkte data rate (max 14,4 kbps), typisch 9600 bps
• Data connectie gebruikt 1 voice kanaal
• Continue verbinding
• CSD (Circuit Switched Data)
40/79

51
Uplink: 174 kanalen (200kHz per kanaal)
Downlink: 174 kanalen (200kHz per kanaal)
tijd
1 2 3 4 5 6 87
GSM TDMA frame (8 tijdsloten per kanaal)
GSM tijdslot (burst)
4,615 ms
577 µs
MEDIATOEGANG: combinatie van FDMA en TDMA
GSM 900
52
CODERING
Hoe logisch 1 en 0 voorstellen? Gebruik van controle bits om betrouwbaarheid te
kunnen controleren
MODULATIE
Digitale signalen (bitstroom) draadloos versturen  omvormen naar gepast analoog
signaal
41/79

53
MODULATIE
• Bitsequentie wordt verdeeld in stukjes van n bits, ieder stuk wordt een datasysmbool
genoemd.
• Een modulatietechnologie kan per stukje draaggolf een datasymbool versturen
bestaande uit n bits.
o Lineaire modulatie technologieën: ASK, PSK, DPSK, ..
o Niet lineaire technologieën: FSK, GMSK, ….
 GMSK is de toegepaste technologie voor GSM
Modulatie en codering:
- Bepalend voor de datarate en de kwaliteit
- Evenwicht tussen snelheid en betrouwbaarheid
54
MAIL: de ILC als SMTP Client
5. ILC 150 ETH GSM/GPRS
42/79

55
Rechtstreeks data wegschrijven in een SQL Server
5. ILC 150 ETH GSM/GPRS
56
PSI-MODEM-ETH/GPRS
• Industriël GSM-modem met GPRS/EDGE
• Quad band 850 + 900 + 1800 + 1900 MHz
• Ethernet aansluiting
• Firewall, NAT, DHCP, VPN
• 6 alarmingangen en 4 schakeluitgangen
• Montage op DIN rail, 24Vdc
6. PSI-MODEM
43/79

57
Intern netwerk
 Fixed IP adres
 DHCP Server
 Default gateway
Extern netwerk
 IP adres van provider (internet of
intranet)
 Dyn DNS
 Port forwarding
 VPN
 Firewall
PSI-MODEM-ETH/GPRS
6. PSI-MODEM
58
6. PSI-MODEM
WEB BASED MANAGEMENT
44/79

59
PSI-MODEM-3G/ROUTER
• High Speed router for up to 7.2 Mbps
• UMTS/HSPA tri band 850,1900 and 2100 MHz
• Quad band GPRS/EDGE mobile networks as fall back
• 2nd SIM-Card for a alternative backup mobile provider
6. PSI-MODEM
60
PSI-MODEM-3G/ROUTER
6. PSI-MODEM
WEB BASED MANAGEMENT
45/79

61
Innovative protection for your automation system
6. mGuard
Ethernet Security
router met geïntegreerde firewall en
VPN
62
• IT-security en bescherming tegen
ongewenste toegang
• Remote maintenance en monitoring via
Internet
• Integratie van industriële applicaties
binnen het bedrijfsnetwerk
6. mGuard
46/79

63
PROGRAMMA
 Internet TCP/IP
 Mobiel internet
 Security & VPN
 Applicaties
64
Industrial Automation steeds
meer doelwit van cyber crime
Recente cijfers omtrent security
assessments
 15 ICS assessments
 900 uren onderzoek
 245 zwaktes
* Source: US Department of Homeland Security
7. SECURITY - INLEIDING
47/79

65
Automationintegration
ICTProcessControlSecurity




66
AUTOMATISERINGSNETWERKEN, VROEGER:
meestal geïsoleerde netwerken met controllers en netwerkprotocollen
welke gebaseerd zijn op proprietaire protocollen.
 De productieafdeling is meestal zelf verantwoordelijk voor de industriële
communicatie;
 Security is zelden een aandachtspunt.
48/79

67
HEDEN:
Moderne
automatiseringsprojecten
worden gekenmerkt door
open systemen en
communicatienetwerken
gebaseerd op Ethernet TCP/IP
68
HEDEN:
Level 0 (IO niveau)
Implementatie van
PROFINET RT
49/79

69
HEDEN:
Level 2 (cell niveau)
Koppeling PLC/SCADA-
systemen/Servers via
Ethernet TCP/IP
70
HEDEN:
Level 3 (MES niveau)
Implementatie van
MES vraagt
uitgebreide IT-
configuratie op basis
van Ethernet TCP/IP
50/79

71
CONCLUSIE:
 IT-afdeling wordt medeverantwoordelijk voor de industriële communicatie;
 Engineering heeft behoefte aan een basiskennis omtrent IT;
Dat Windows en Ethernet de productiehallen veroveren is een interessante
ontwikkeling. Maar in toenemende mate wordt duidelijk dat ook virussen en
hackers vat krijgen op machineparken en installaties. Het wordt dus
belangrijk om de automatiseringswereld te beschermen tegen de gevaren die
al jaren gekend zijn in de IT-wereld.
 Security wordt een belangrijk aandachtspunt.
72
IC
(industrial control)
IT
(information technology)
BESCHIKBAARHEID
INTEGRITEIT
VERTROUWELIJKHEID
IC versus IT: # hoofddoelstelling
Kantoorwereld: op een vertrouwelijke manier verhandelen van data en gegevens.
Automatiseringswereld: beschikbaarheid van het productiesysteem.
51/79

73
7. SECURITY – HET PROCES
74
7. SECURITY
Doelstelling risicoanalyse
 Identificatie van de mogelijke threats
 Analyse van mogelijke schade bij eventuele threats
 Identificatie van bestaande of existing security measures
SECURITY
RISK ?
YES
NO
REDUCE
ELIMINATE
52/79

75
Virussen, Trojans,
schadelijke mobiele code
Denial of
service (DoS)
attacks
Hacking & cracking
Rampen
Ongeschikte
infrastructuur
Social engineering
7. SECURITY
76
BEDREIGINGEN?
 Interne opzettelijke bedreigingen
 Interne onopzettelijke bedreigingen
 Externe niet-gerichte bedreigingen
 Schadelijke actoren: doelgerichte aanvallen
7. SECURITY
53/79

77
INTERNE OPZETTELIJKE BEDREIGINGEN
 Wat zijn interne personen?
o Voor de IT: Iemand die werkt voor de organisatie
o Voor de automatisering: Iedereen die kennis heeft van
besturingssystemen en toegang tot de installatie heeft (installateurs,
systeem integratoren, onderhoudspersoneel van derden, …)
 Enkele gevallen gekend van misnoegde personen die installaties saboteren
7. SECURITY
78
INTERNE ONOPZETTELIJKE BEDREIGINGEN
 Het naar elkaar toegroeien van IT en automatisering zorgt voor een omgeving
waar onopzettelijke bedreigingen schering en inslag zijn.
 Veel voorkomende bedreigingen:
o Slecht ontwerp van netwerken
o Verkeerde configuratie van IT componenten
o Gebrek aan security beleid
o Verkeerde procedure bij testen, wijzigen, …
o Gebrekkige kennis van personeel, menselijke fouten
7. SECURITY
54/79

79
EXTERNE NIET-GERICHTE BEDREIGINGEN
 Software zodanig ontworpen en vrijgegeven om negatieve effecten te
veroorzaken. Meestal niet gericht aan industriële besturingssystemen
(malware);
 Gevaar voor industriële netwerken indien ze gekoppeld worden aan het
bedrijfsnetwerk;
 Dit is de hoogstwaarschijnlijkste manier voor een industrieel netwerk om
besmet te geraken, maar het netwerk is ook het gemakkelijkst hiertegen te
beschermen;
7. SECURITY
80
DOELGERICHTE AANVALLEN
 CYBERCRIME: criminele activiteiten waarbij gebruik wordt gemaakt van IT. De
criminele activiteiten kunnen gericht zijn tegen personen, eigendommen en
organisaties of tegen elektronische communicatienetwerken en
informatiesystemen.
 Indien een HACKER het gericht heeft op uw industriële installatie, dan is dit een
wordt case scenario, moeilijk om te voorkomen.
 Vb: STUXNET (aanvallen op Siemens SCADA systemen, maakt gebruik van 3
kwetsbaarheden in Windows, zet zich voort via USB’s en windowssytemen,
gericht op energiecentrales en nucleaire centrales)
7. SECURITY
55/79

81
ENKELE BELANGRIJKE BEGRIPPEN
SOCIAL ENGINEERING
 Techniek waarmee personen (slachtoffers) gevraagd worden om
handelingen te doen of gegevens te verstrekken aan een ander persoon
(hacker);
 Mensen associëren hacken vaak met high-tech. In de praktijk leunen
succesvolle hacks voor een groot deel op menselijke zwakheden;
o Kwaadwillige hackers laten zich niet weerhouden door het gevoelige karakter van
sommige informatie;
o Leidinggevenden zijn vaak makkelijke doelwitten voor hackers;
o Een beveiligingsbeleid is zo goed als de opvolging ervan;
o Hackers maken misbruik van het goede karakter en de behulpzaamheid van
medewerkers;
7. SECURITY
82
MALWARE
 VIRUS is een vorm van schadelijke software, nestelt zich ongemerkt in een
bestand (bv in bestanden van een besturingssysteem). Zijn schadelijk,
kunnen gegevens wissen of verkeerde gegevens verspreiden. Kan zich
verspreiden met hulp van de gebruiker (vb. USB-stick)
 TROJAN HORSES zijn programma's die andere dingen doen dan ze
voorgeven, bv de computer gemakkelijker toegankelijk maken voor andere
virussen (vb. binnenhalen als bijlage aan een email)
 WORMEN zijn geen virussen maar worden wel vaak zo genoemd. Het zijn
zelfstandige programma's die zich direct over het netwerk verspreiden.
7. SECURITY
56/79

83
MAPPING
Netwerk monitoring, informatie verzamelen omtrent een bepaald netwerk, IP-
adressen, TCP/UDP poorten, actieve Servers. Mappingtools: Overlook-Fing, Nmap,
Spiceworks, …
EXPLOITS
Programma’s die van gekende kwetsbaarheden gebruik maken om ze te hacken.
Tools om kwetsbaarheden op te sporen: MetaSploit, Nessus, Kali
BRUTE FORCE ATTACK
Aanval om wachtwoorden te achterhalen; Dictionary attack
7. SECURITY
84
DOS ATTACKS
Denial of Service Attacks of aanvallen op TCP/IP stacks, DoS is de situatie
waarin een computersysteem niet in staat is te functioneren;
Vb : SYN FLOOD, groot aantal connecties aanvragen bij een server.
DDOS
Distributed Denial of Service, gebruik makend van meerdere aanvallers
tegelijkertijd
7. SECURITY
57/79

85
ENKELE HACKINGSBEGRIPPEN
SPOOFING
Gebruik maken van een valse identiteit;
ARP SPOOFING, ARP POISONING
Een aanvaller verstuurt fake ARP berichten om de ARP cache van een host te
vergiftigen (ARP is stateless, verwerking ARP reply zonder controle);
Man In The Middle Attack
Dataverkeer tussen twee toestellen onderscheppen, aanpassen of blokkeren
zonder dat de twee toestellen dit opmerken;
7. SECURITY
86
MiM- attack m.b.v. ARP poisoning (Ettercap)
7. SECURITY
58/79

87
HOLE PUNCH technieken
7. SECURITY
88
WACHTWOORD GEBRUIK - BACKDOORS
 Fabriekswachtwoorden meteen wijzigen
 Sterke wachtwoorden gebruiken
 Industriële toestellen hebben vaak een admin en user account. Vaak ook
een verborgen root acount (zou enkel mogen gebruikt worden voor
specifieke monitoring/diagnose doeleinden)
 Achterdeurtjes aangebracht door de leverancier: extra toegang tot de
besturing voor configuratie, uitlezen van diagnose gegevens, uitvoeren
van diagnose op afstand;
7. SECURITY
59/79

89
CONFIGURATIEFOUTEN
 Eenvoudig paswoorden
 Firewalls die alle netwerkverkeer doorlaten
 Mogelijkheid bieden om belangrijke bestanden te kunnen overschrijven
 Virusscanners met verouderde configuratie
 Gebruik van verouderde protocollen
 Draadloze netwerken zonder wachtwoord
7. SECURITY
90
GEBRUIKERSFOUTEN
 Het ongewijzigd laten van fabriekswachtwoorden
 Bij de meeste toestellen is een eenvoudige procedure mogelijk om de
fabrieksinstellingen terug te zetten; gebruiksvriendelijk maar vanuit
standpunt security ongewenst;
 Aansluiten en in bedrijf nemen politiek; door veel uit te zetten is de
configuratie veel gemakkelijker;
7. SECURITY
60/79

91
POLICIES, ORGANISATIE
 It’s never done, It’s a process!;
 Technische maatregelen alleen is niet genoeg;
 Bepalen van de verantwoordelijkheden:
o IT
o Automation
o Toegangscontrole tot belangrijke ruimtes;
 Team aanstellen om Industrial Security te testen;
 Opleiding voor het personeel op de industriële werkvloer;
 Hoe omgaan met smart phones, tablets, draadloze communicatie, …
7. SECURITY
92
TECHNISCHE MAATREGELEN
Hoe koppeling realiseren van industrieel netwerk met
bedrijfsnetwerk/internet
 Strikte scheiding tussen IT netwerken en automatiseringsnetwerken
 Hiërarchische netwerkarchitectuur of VLAN
 Implementatie van een DMZ
 Implementatie van security hardware, firewalls, …
 Koppelingen via VPN
7. SECURITY
61/79

93
Scheiding IT netwerken
en automatiserings
netwerken
7. SECURITY
94
VLAN
7. SECURITY
62/79

95
VLAN
7. SECURITY
96
VLAN
7. SECURITY
63/79

97
7. SECURITY
98
7. SECURITY
64/79

99
7. SECURITY
100
DMZ
7. SECURITY
65/79

101
Wat is beveiligde communicatie?
Datapakketten worden meestal volledig onbeschermd over het Internet
verstuurd.
Hierdoor is er geen:
 ENCRYPTIE: Geheimhouding van de data  versleutelen van de data
 AUTHENTICATION: Identiteitsgarantie van de afzender
 INTEGRITEIT: Controle of data al dan niet corrupt is, niet gewijzigd is tijdens
het verzenden.
8. Veilige communicatie
102
Message confidentiality
# encryptiemethodes
AES: Advanced
Encryption
Standard
Veilig met sleutel van 128,
192 or 256 bits lang.
66/79

103
Message authentication
# hash algortimes
104
Session Authentication
PRE-SHARED KEY
PUBLIC KEY INFRASTRUCTURE
67/79

105
CERTIFICATEN
Een certificaat bestaat uit een aantal belangrijke delen:
 Een public key
 Een aantal administratieve gegevens (bv gebruikersnaam, email adres, …)
 Een bewijs van echtheid: een bewijs dat de public key en de administratieve gegevens
bij elkaar horen.
 Geldigheidsduur
Bewijs van echtheid = een digitaal handtekening van een Certification Authority (CA)
106
CERTIFICATEN
Public Key Infrastructure (PKI)
…is een systeem waarmee het beheer van digitale certificaten gerealiseerd wordt.
Certificaat Autoriteit (CA)
 (betrouwbare derde partij) levert certificaten welke een publieke sleutel koppelen
aan de identiteit van de eigenaar. De matching privé sleutel wordt niet vrijgegeven.
De CA waarborgt de integriteit en authenticiteit van het certificaat en staat dus in
voor de identiteit van de certificaatbezitter.
 Voor certificaten is een officiële standaard ontwikkeld, X509.3 . Deze standaard
bepaalt hoe dergelijk certificaat opgebouwd is.
68/79

107
PKI (Public Key Infrastructure)
Client
mGuard
PUBLIEK
Server
mGuard
PUBLIEK
Client
mGuard
PRIVAAT
Server
mGuard
PRIVAAT
CA
108
CERTIFICATEN
Hoe certificaten aanmaken?
 Via een Certification Authority (VeriSign, Certipool )
 Via de Microsoft CA Server
 Via Innominate device manager
 Gebruik van freeware tools zoals XCA (selfsigned)
69/79

109
VIRTUAL PRIVATE NETWORK
Een Virtueel Privaat Netwerk voorziet een beveiligde communicatie tussen twee
eindpunten waarbij gebruik gemaakt wordt van een publieke, onbeveiligde
netwerkinfrastructuur zoals het internet.
STATEFUL INSPECTION FIREWALL
Meer dan alleen maar een pakketfilter: logische opvolging van alle sessies.
Dankzij complexe algoritmes kunnen stateful inspection firewall verdachte
patronen herkennen (Denial Of Service attacks , SYN FLOOD, IP spoofing, man-in-
the-middle)
9. VPN
110
SITE-TO-SITE VPN
9. VPN
70/79

111
USER-TO-SITE VPN
9. VPN
112
VPN tunneling
VPN tunnels worden tot stand gebracht door gebruik te maken van encapsulatie
protocollen.
Er zijn heel wat protocollen voor handen:
 Oudere laag 2 protocollen: Layer 2 Forwarding (L2F) Protocol, Point-to-Point
Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP)
 IP Security (IPSec): laag 3 protocol
 Open VPN (laag 2 of laag 3)
9. VPN
71/79

113
Ipsec (Internet Protocol Security)
9. VPN
114
9. VPN
72/79

115
9. VPN
Security functies van de mGuard RS4000 VPN
116
IPsec (Internet Protocol Security)
IPsec maakt gebruik van het Internet Key Exchange (IKE) protocol om met de partner
langs de andere zijde te onderhandelen om de nodige IPsec Security Associations (SA)
op te zetten.
Het IKE protocol zorgt voor:
 Negotiate connection (e.g. Algorithms, Hashes, Tunnel/Transport)
 Authentication, uitwisselen van sleutels (e.g. X.509 certificates, PSK)
 Dead Peer Detection (DPD)
 NAT Traversal (NAT-T)
9. VPN
73/79

117
SITE to SITE tussen 2 mGuards
9. VPN
118
LAN ON SITE
SQL
SERVER
BEDRIJFS LAN mGuard
(Responder)
Modem
(Initiator)
XCA.EXE
Private Key mGuard
Public Key mGuard
Private Key modem
Public Key modem
VPN
192.168.150.0/24
172.23.10.0/16
9. VPN
74/79

119
Bijvoorkeur uitgaande connecties opbouwen
 Firewalls laten meestal uitgaande verbindingen toe
 Geen statische IP adressen nodig
 Tunnels initiëren via werksleutel, contact ….
Port Forwarding
UDP 500 & 4500
Central mGuard
Field device 1
mobile internet connection
Field device 2
wired internet connection
Outgoing Traffic
UDP 500 & 4500
9. VPN
120
9. VPN
Hub and spoke VPN
75/79

121
10. VOORBEELDEN
122
10. VOORBEELDEN
76/79

Programma:
10:45 Pauze
12:15 Lunch
13:30 VPN
14:45 Pauze
15:45 Afsluiting
16:00 Einde
Agenda
www.catael.be
www.phoenixcontact.nl
Informatie
77/79

www.phoenixcontact.nl/seminars
Informatie
Informatie
78/79

Welcome to PHOENIX CONTACTTot ziens bij PHOENIX CONTACT
79/79

Phoenix contact, Secure Remote Access

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (8)

Similar a Phoenix contact, Secure Remote Access

Similar a Phoenix contact, Secure Remote Access (20)

Phoenix contact, Secure Remote Access