Meer en meer worden internet en mobiel internet toegepast om industriële applicaties op afstand te beheren of om data op afstand op te vragen en te loggen. Het spreekt voor zich dat security hierbij een belangrijk aandachtspunt is.
9. Masterversion 13
Industrial Components
Industrial Components
and Electronics (ICE)
Division
Industrial Components (IC)
• Industrial Cabinet Connectivity
(ICC)
• Industrial Field Connectivity
(IFC)
• Marking and Installation (MI)
Industrial Cabinet
Connectivity
Industrial Field
Connectivity
Marking and
Installation
Masterversion 13
Industrial Electronics
Industrial Components
and Electronics (ICE)
Division
Industrial Electronics (IE)
• Interface Components (IF)
• Trabtech (TT)
• Power Supplies (PS)
• I/O and Networks (ION)
Trabtech
I/O and Networks
Power Supplies
Interface
Components
8/79
10. Masterversion 13
Control and Industry Solutions
Control and Industry
Solutions
Division Control
and Industry Solutions (CIS)
• Control Systems (CST)
• Industry Solutions (IS)
• Software Competence Center
Control Systems
Software
Competence Center
Industry Solutions
Automotive Wind Solar Urban Infrastructure Process (Oil & Gas)
Masterversion 13
Proces-
industrie
Duurzame
energie
Olie en gas TelecommunicatieAutomobiel
Water en
afvalwater
Machinebouw Elektronica UtiliteitInfratechniek
Markten
9/79
11. Masterversion 13
Oplossingen op maat
Waar wij ondersteuning kunnen bieden?
- energievoorziening (duurzame energie)
- apparaten-, machine- en schakelkastbouw
- automatiserings- en veiligheidssystemen
- infrastructuuroplossingen
- etc.
Masterversion 13
Themadag “Secure Remote Access”
Communicatie
10/79
12. Masterversion 13
Modem:
• Het woord modem is een acroniem (samentrekking)
betreffende modulator en demodulator.
• Apparaat waarmee informatiesignalen geschikt gemaakt
worden om over een ‘kanaal’ getransporteerd te worden.
Kanalen:
• Analoge telefoonlijn
• Huurlijn
• GSM netwerk
• (draadloos) Internet
Themadag “Secure Remote Access”
Communicatie: Historie
Masterversion 13
Themadag “Secure Remote Access”
Industrial Modem Line
11/79
13. Masterversion 13
Mobile network
Private network
Ethernet
Copper ring
Internet
Mobile
network
VPN
tunnel
Mobile router
Security router
Ethernet Extender
Ethernet Extender
Ethernet Extender
Ethernet
Extender
Security router DSL modem
DSL
DSL router
PLC
IPC
PLC
Dial-up connection
Public phone
network
IPC
PLC
PLC
VPN
tunnel
DSLInternet
Themadag “Secure Remote Access”
Remote Communication Applications
Masterversion 13
Themadag “Secure Remote Access”
Is network Security nodig?
12/79
15. Masterversion 13
Themadag “Secure Remote Access”
Informatie
Masterversion 13
You can count on us:
Technical hotline
On-site support
Training
Network design and
planning
Themadag “Secure Remote Access”
Support
14/79
16. Masterversion 13
Programma:
09:00 Welkom en introductie
09:15 Ethernet TCP/IP
10:45 Pauze
11:15 Mobiel Internet
12:15 Lunch
13:00 Security & automatisering
13:30 VPN
14:45 Pauze
15:15 Bespreking verschillende oplossingen
15:45 Afsluiting
16:00 Einde
Themadag “Secure Remote Access”
Agenda
15/79
18. 3
1. INTRODUCTIE
REMOTE ACCESS
= uitbreiding van het bedrijfsnetwerk om toegang te hebben tot
remote data
BedrijfsLAN
Machine on the field
WAN
4
1. INTRODUCTIE
WAN: welke mogelijkheden?
• Telefoonnetwerk
• Mobiel telefoonnetwerk
• Internet
Mobiel internet
17/79
19. 5
REMOTE ACCESS
1. INTRODUCTIE
REMOTE
MAINTENANCE
- Analyseren en diagnose stellen
- Programmeren op afstand
REMOTE
CONTROL
- Opvolgen, loggen van data
- Bewaken en besturen van
installaties op afstand
Continue toegang Tijdelijke toegang
6
1. INTRODUCTIE
VOORDELEN van REMOTE ACCESS
• Ophalen, opslaan en evaluatie van data:
Key Performance Indicators voor industriële processen,
productielijnen, machines
• On-site diagnose
• Sneller respons voor probleemoplossing
• Specialisten hoeven zich minder te verplaatsen
• Minder verloren engineeringtijd
• Beperking van de verplaatsingsonkosten
18/79
20. 7
1. INTRODUCTIE
AANDACHTSPUNT:
All IP en Remote Access over het onbeveiligde
internet vraagt de nodige aandacht omtrent IT-
security
Secure Remote Access
8
1. INTRODUCTIE
HACKEN
Gebruik van hardware, software, applicaties
waarvoor het oorspronkelijk niet bedoeld was
- Hacken: imago schaden, diefstal van informatie,
aanpassen van informatie , fraude, ….
- Ethisch hacken: zwakheden in IT systemen
aantonen om een verbeteringen mogelijk te maken
19/79
21. 9
1. INTRODUCTIE
CYBERSECURITY
Het geheel van maatregelen om IT infrastructuur te
beveiligen tegen zwakheden en misbruik.
- Technische maatregelen
- Procedurele maatregelen
- Personele maatregelen
10
1. INTRODUCTIE
20/79
22. 11
1. INTRODUCTIE
MGUARD RS4000 3G VPN
- WAN en draadloze interface;
- 10 VPN-tunnels;
- Bidirectionele statefull firewall;
- Router met NAT/1:1-NAT;
- Managed Switch met 4 poorten;
- DMZ poort;
- …
12
PROGRAMMA
Internet TCP/IP
Mobiel internet
Hardware Phoenix
Security & VPN
Applicaties
21/79
24. 15
1010 1011 1000 0100 ………………………………. 1101 0101 1110 0101 1110
Ethernet dataveldEth Header
Ehternet dataframe
Eth Header IP dataveldIP header
IP Pakket
Eth Header TCP dataveldIP header TCP header
TCP segment
Ethernet TCP/IP berichtopbouw
2. INTERNET (TCP/IP)
16
Eth Header TCP dataveldIP header TCP header
SA DAHdr SP DP HdrDA SA Hdr …………….
TCP/UDP poortnummers
IP adressen
Hardware adressen: MAC adressen voor Ethernet
Ethernet TCP/IP berichtopbouw
2. INTERNET (TCP/IP)
23/79
25. 17
DOELSTELLING IP PROTOCOL
Pakket transmissie, verbindingsloos
Adres management
Segmentatie
Routering
DOELSTELLING TCP PROTOCOL
Betrouwbaar , verbindingsgeoriënteerd end to endprotocol
Verbindingsgericht : verbinding opzetten, verbinding gebruiken,
verbinding stopzetten
2. INTERNET (TCP/IP)
TCP/IP
18
2. INTERNET (TCP/IP)
ROUTER
2 of meerdere netwerken met elkaar verbinden
Gericht doorsturen van datapakketten op basis van IP adressen
Maakt gebruik van dynamische routeringstabellen: IP adressen gelinkt aan
het volgende knooppunt (next hop)
24/79
26. 19
2. INTERNET (TCP/IP)
SOORTEN ROUTERS
Breedbandrouter: voor thuisgebruik om meerdere computers aan te
sluiten op één breedbandaansluiting via één publiek IP adres (integratie van
WLAN access point).
Professionele router: koppeling bedrijfsnetwerk aan publiek
breedbandnetwerk, meestal toewijzing van meerdere publieke IP adressen
voor mail, web of andere internetservers (gebruik van DMZ)
Industriële router: routers voor het koppelen van industriële netwerken
aan bedrijfsnetwerken, volledig gebaseerd op Ethernet TCP/IP
communicatie
ISP router: routers die gebruikt worden door internet service providers in
hun eigen netwerk. Deze routers moeten enorme hoeveelheden data
kunnen routeren.
20
2. INTERNET (TCP/IP)
25/79
29. 25
2. INTERNET (TCP/IP)
IP adres: klasse C
26
2. INTERNET (TCP/IP)
Opdeling volgens klasse
Klasse A, NET ID eerste getal, eerste getal tussen 1 en 126
Klasse B, NET ID eerste twee getallen, eerste getal tussen 128 en 191
Klasse C, NET ID eerste drie getallen, eerste getal tussen 192 en 223
Subnetmask
De bits van het netwerkgedeelte krijgen de waarde 1
De bits die het hostgedeelte voorstellen krijgen de waarde 0
Voorbeeld: subnetmask is 255.255.0.0, NET ID eerste twee getallen
CIDR notatie (Classless Inter Domain Routing)
Voorbeeld: 144.20.11.11/16, NET ID eerste twee getallen
28/79
30. 27
2. INTERNET (TCP/IP)
PUBLIEKE IP adressen
Uniek op het Internet
Bepaald door ISP (Internet Service Providers)
IP adres is statisch of dynamisch: DHCP Servers
Vertaling IP adres naar symbolische hostnamen: DNS Servers
IP adressen voor PRIVÉ NETWERKEN
Klasse A netwerken 10.0.0.0 10.255.255.255
Klasse B netwerken 172.16.0.0 172.31.255.255
Klasse C netwerken 192.168.0.0 192.168.255.255
28
2. INTERNET (TCP/IP)
Subnetmask / Classless Inter-Domain Routing
29/79
31. 29
2. INTERNET (TCP/IP)
LOGISCHE VERBINDING (POORTEN)
TCP protocol
30
Eth Header TCP dataveldIP header TCP header
SA DAHdr SP DP HdrDA SA Hdr …………….
2. INTERNET (TCP/IP)
Seq. nr Ack. nr Vlaggen Window CRC
TCP protocol
30/79
32. 31
2. INTERNET (TCP/IP)
TCP protocol
32
2. INTERNET (TCP/IP)
INTERNET is gebaseerd op het CLIENT SERVER model
31/79
34. 35
2. INTERNET (TCP/IP)
TCP/IP endpoint
36
2. INTERNET (TCP/IP)
CLIENT SERVER model: ondubbelzinnige communicatie
Ieder internetsocket (de combinatie van lokaal IP adres, lokaal poortnummer,
remote IP adres en remote poortnummer) moet uniek zijn.
33/79
36. 39
2. INTERNET (TCP/IP)
NAT, Network Address Translation
40
ARP definieert twee berichten:
- Request bevat een IP adres en verzoekt om het
corresponderende hardware adres
- Response bevat het IP adres en het hardware adres
2. INTERNET (TCP/IP)
ARP (Address Resolution Protocol)
35/79
37. 41
ICMP definieert vijf foutberichten en vier informatieve berichten
- Source quench
- Time Exceeded
- Destination unreachable
- Redirect
- Fragmentation required
Informatieve berichten:
- Echo request/reply
- Address mask request/reply
Bereikbaarheid van een host controleren: PING
Een route traceren: TRACERT
2. INTERNET (TCP/IP)
ICMP (Internet Control Message Protocol)
42
Koppeling symbolische hostnaam aan een endpoint : www.google.be
DNS staat voor:
Een gedistribueerde database welke geïmplementeerd is in een hiërarchie
van DNS servers
Een applicatielaagprotocol waarmee hosts en DNS servers kunnen
communiceren om de vertaalslag (het omzetten van een IP adres in een
hostnaam en omgekeerd) te maken.
3 klassen DNS servers:
Root DNS servers
Topleveldomein (TLD) DNS servers
Verifiërende DNS servers
2. INTERNET (TCP/IP)
DNS (Domain Name System)
36/79
38. 43
Iteratieve zoekactie Recursieve zoekactie
2. INTERNET (TCP/IP)
DNS (Domain Name System)
44
De mGuard, niet zomaar een industriële router
2. INTERNET (TCP/IP)
37/79
39. 45
PROGRAMMA
Internet TCP/IP
Mobiel internet
Hardware Phoenix
Security & VPN
Applicaties
46
3. MOBIELE TELEFONIE
1977 1994 2004 2014
1G (analoge voice functionaliteiten)
2G (GSM netwerk, digitaal telefonie netwerk)
2.5G (GPRS)
3G (UMTS)
4G (LTE)
4 GENERATIES MOBIELE NETWERKEN
• Uitbreiding van het traditionele PSTN- of ISDN netwerk
• GSM & UMTS zijn afgeleid van het telefonienetwerk
• GPRS en EDGE zijn toepassingen op het GSM netwerk voor mobiele dataverbinding
3.5G (HSDPA)
2.75G (EDGE)
38/79
40. 47
GSM (’82: Groupe Speciale Mobile
nu : Global System for Mobile Communications)
Enkele doelstellingen:
• Mobiel digitaal telefonienetwerk
• Compatibel zijn met ISDN en PSTN systemen
• Encryptiemogelijkheden
Verschillende versies:
• GSM 850 (voornamelijk VS)
• GSM 900 (880-915 MHz uplinks / 925-960 MHz downlinks)
• GSM 1800 of ook aangeduid als DCS 1800 (Digital Cellular System, 1710-1785
MHz uplinks, 1805-1880 downlinks)
• GSM 1900 (voornamelijk VS)
3. MOBIELE TELEFONIE
48
3. MOBIELE TELEFONIE
GSM : ‘s werelds grootste mobiel netwerk gebaseerd
op digitale cellulaire technologie
39/79
41. 49
PSTN
ISDN
3. MOBIELE TELEFONIE
radio cell
MS
MS
BTS
radio cell
MS
MS
BTS
BSS
BCS
BCS
MSC
MS: mobile Station
BTS: Base Tranceiver Station
BSS: Base Station Subsystem
BCS: Base Controller Station
MSC: Mobile Switching Centre
GSM infrastructuur
50
3. MOBIELE TELEFONIE
Eerste datadiensten via GSM
• Beperkte data rate (max 14,4 kbps), typisch 9600 bps
• Data connectie gebruikt 1 voice kanaal
• Continue verbinding
• CSD (Circuit Switched Data)
40/79
42. 51
3. MOBIELE TELEFONIE
Uplink: 174 kanalen (200kHz per kanaal)
Downlink: 174 kanalen (200kHz per kanaal)
tijd
1 2 3 4 5 6 87
GSM TDMA frame (8 tijdsloten per kanaal)
GSM tijdslot (burst)
4,615 ms
577 µs
MEDIATOEGANG: combinatie van FDMA en TDMA
GSM 900
52
3. MOBIELE TELEFONIE
CODERING
Hoe logisch 1 en 0 voorstellen? Gebruik van controle bits om betrouwbaarheid te
kunnen controleren
MODULATIE
Digitale signalen (bitstroom) draadloos versturen omvormen naar gepast analoog
signaal
41/79
43. 53
3. MOBIELE TELEFONIE
MODULATIE
• Bitsequentie wordt verdeeld in stukjes van n bits, ieder stuk wordt een datasysmbool
genoemd.
• Een modulatietechnologie kan per stukje draaggolf een datasymbool versturen
bestaande uit n bits.
o Lineaire modulatie technologieën: ASK, PSK, DPSK, ..
o Niet lineaire technologieën: FSK, GMSK, ….
GMSK is de toegepaste technologie voor GSM
Modulatie en codering:
- Bepalend voor de datarate en de kwaliteit
- Evenwicht tussen snelheid en betrouwbaarheid
54
MAIL: de ILC als SMTP Client
5. ILC 150 ETH GSM/GPRS
42/79
44. 55
Rechtstreeks data wegschrijven in een SQL Server
5. ILC 150 ETH GSM/GPRS
56
PSI-MODEM-ETH/GPRS
• Industriël GSM-modem met GPRS/EDGE
• Quad band 850 + 900 + 1800 + 1900 MHz
• Ethernet aansluiting
• Firewall, NAT, DHCP, VPN
• 6 alarmingangen en 4 schakeluitgangen
• Montage op DIN rail, 24Vdc
6. PSI-MODEM
43/79
45. 57
Intern netwerk
Fixed IP adres
DHCP Server
Default gateway
Extern netwerk
IP adres van provider (internet of
intranet)
Dyn DNS
Port forwarding
VPN
Firewall
PSI-MODEM-ETH/GPRS
6. PSI-MODEM
58
6. PSI-MODEM
WEB BASED MANAGEMENT
44/79
46. 59
PSI-MODEM-3G/ROUTER
• High Speed router for up to 7.2 Mbps
• UMTS/HSPA tri band 850,1900 and 2100 MHz
• Quad band GPRS/EDGE mobile networks as fall back
• 2nd SIM-Card for a alternative backup mobile provider
6. PSI-MODEM
60
PSI-MODEM-3G/ROUTER
6. PSI-MODEM
WEB BASED MANAGEMENT
45/79
47. 61
Innovative protection for your automation system
6. mGuard
Ethernet Security
router met geïntegreerde firewall en
VPN
62
• IT-security en bescherming tegen
ongewenste toegang
• Remote maintenance en monitoring via
Internet
• Integratie van industriële applicaties
binnen het bedrijfsnetwerk
6. mGuard
46/79
48. 63
PROGRAMMA
Internet TCP/IP
Mobiel internet
Hardware Phoenix
Security & VPN
Applicaties
64
Industrial Automation steeds
meer doelwit van cyber crime
Recente cijfers omtrent security
assessments
15 ICS assessments
900 uren onderzoek
245 zwaktes
* Source: US Department of Homeland Security
7. SECURITY - INLEIDING
47/79
49. 65
Automationintegration
ICTProcessControlSecurity
7. SECURITY - INLEIDING
66
7. SECURITY - INLEIDING
AUTOMATISERINGSNETWERKEN, VROEGER:
meestal geïsoleerde netwerken met controllers en netwerkprotocollen
welke gebaseerd zijn op proprietaire protocollen.
De productieafdeling is meestal zelf verantwoordelijk voor de industriële
communicatie;
Security is zelden een aandachtspunt.
48/79
50. 67
7. SECURITY - INLEIDING
HEDEN:
Moderne
automatiseringsprojecten
worden gekenmerkt door
open systemen en
communicatienetwerken
gebaseerd op Ethernet TCP/IP
68
7. SECURITY - INLEIDING
HEDEN:
Level 0 (IO niveau)
Implementatie van
PROFINET RT
49/79
51. 69
7. SECURITY - INLEIDING
HEDEN:
Level 2 (cell niveau)
Koppeling PLC/SCADA-
systemen/Servers via
Ethernet TCP/IP
70
7. SECURITY - INLEIDING
HEDEN:
Level 3 (MES niveau)
Implementatie van
MES vraagt
uitgebreide IT-
configuratie op basis
van Ethernet TCP/IP
50/79
52. 71
7. SECURITY - INLEIDING
CONCLUSIE:
IT-afdeling wordt medeverantwoordelijk voor de industriële communicatie;
Engineering heeft behoefte aan een basiskennis omtrent IT;
Dat Windows en Ethernet de productiehallen veroveren is een interessante
ontwikkeling. Maar in toenemende mate wordt duidelijk dat ook virussen en
hackers vat krijgen op machineparken en installaties. Het wordt dus
belangrijk om de automatiseringswereld te beschermen tegen de gevaren die
al jaren gekend zijn in de IT-wereld.
Security wordt een belangrijk aandachtspunt.
72
IC
(industrial control)
IT
(information technology)
BESCHIKBAARHEID
INTEGRITEIT
VERTROUWELIJKHEID
IC versus IT: # hoofddoelstelling
Kantoorwereld: op een vertrouwelijke manier verhandelen van data en gegevens.
Automatiseringswereld: beschikbaarheid van het productiesysteem.
7. SECURITY - INLEIDING
51/79
53. 73
7. SECURITY – HET PROCES
74
7. SECURITY
Doelstelling risicoanalyse
Identificatie van de mogelijke threats
Analyse van mogelijke schade bij eventuele threats
Identificatie van bestaande of existing security measures
SECURITY
RISK ?
YES
NO
REDUCE
ELIMINATE
52/79
55. 77
INTERNE OPZETTELIJKE BEDREIGINGEN
Wat zijn interne personen?
o Voor de IT: Iemand die werkt voor de organisatie
o Voor de automatisering: Iedereen die kennis heeft van
besturingssystemen en toegang tot de installatie heeft (installateurs,
systeem integratoren, onderhoudspersoneel van derden, …)
Enkele gevallen gekend van misnoegde personen die installaties saboteren
7. SECURITY
78
INTERNE ONOPZETTELIJKE BEDREIGINGEN
Het naar elkaar toegroeien van IT en automatisering zorgt voor een omgeving
waar onopzettelijke bedreigingen schering en inslag zijn.
Veel voorkomende bedreigingen:
o Slecht ontwerp van netwerken
o Verkeerde configuratie van IT componenten
o Gebrek aan security beleid
o Verkeerde procedure bij testen, wijzigen, …
o Gebrekkige kennis van personeel, menselijke fouten
7. SECURITY
54/79
56. 79
EXTERNE NIET-GERICHTE BEDREIGINGEN
Software zodanig ontworpen en vrijgegeven om negatieve effecten te
veroorzaken. Meestal niet gericht aan industriële besturingssystemen
(malware);
Gevaar voor industriële netwerken indien ze gekoppeld worden aan het
bedrijfsnetwerk;
Dit is de hoogstwaarschijnlijkste manier voor een industrieel netwerk om
besmet te geraken, maar het netwerk is ook het gemakkelijkst hiertegen te
beschermen;
7. SECURITY
80
DOELGERICHTE AANVALLEN
CYBERCRIME: criminele activiteiten waarbij gebruik wordt gemaakt van IT. De
criminele activiteiten kunnen gericht zijn tegen personen, eigendommen en
organisaties of tegen elektronische communicatienetwerken en
informatiesystemen.
Indien een HACKER het gericht heeft op uw industriële installatie, dan is dit een
wordt case scenario, moeilijk om te voorkomen.
Vb: STUXNET (aanvallen op Siemens SCADA systemen, maakt gebruik van 3
kwetsbaarheden in Windows, zet zich voort via USB’s en windowssytemen,
gericht op energiecentrales en nucleaire centrales)
7. SECURITY
55/79
57. 81
ENKELE BELANGRIJKE BEGRIPPEN
SOCIAL ENGINEERING
Techniek waarmee personen (slachtoffers) gevraagd worden om
handelingen te doen of gegevens te verstrekken aan een ander persoon
(hacker);
Mensen associëren hacken vaak met high-tech. In de praktijk leunen
succesvolle hacks voor een groot deel op menselijke zwakheden;
o Kwaadwillige hackers laten zich niet weerhouden door het gevoelige karakter van
sommige informatie;
o Leidinggevenden zijn vaak makkelijke doelwitten voor hackers;
o Een beveiligingsbeleid is zo goed als de opvolging ervan;
o Hackers maken misbruik van het goede karakter en de behulpzaamheid van
medewerkers;
7. SECURITY
82
ENKELE BELANGRIJKE BEGRIPPEN
MALWARE
VIRUS is een vorm van schadelijke software, nestelt zich ongemerkt in een
bestand (bv in bestanden van een besturingssysteem). Zijn schadelijk,
kunnen gegevens wissen of verkeerde gegevens verspreiden. Kan zich
verspreiden met hulp van de gebruiker (vb. USB-stick)
TROJAN HORSES zijn programma's die andere dingen doen dan ze
voorgeven, bv de computer gemakkelijker toegankelijk maken voor andere
virussen (vb. binnenhalen als bijlage aan een email)
WORMEN zijn geen virussen maar worden wel vaak zo genoemd. Het zijn
zelfstandige programma's die zich direct over het netwerk verspreiden.
7. SECURITY
56/79
58. 83
ENKELE BELANGRIJKE BEGRIPPEN
MAPPING
Netwerk monitoring, informatie verzamelen omtrent een bepaald netwerk, IP-
adressen, TCP/UDP poorten, actieve Servers. Mappingtools: Overlook-Fing, Nmap,
Spiceworks, …
EXPLOITS
Programma’s die van gekende kwetsbaarheden gebruik maken om ze te hacken.
Tools om kwetsbaarheden op te sporen: MetaSploit, Nessus, Kali
BRUTE FORCE ATTACK
Aanval om wachtwoorden te achterhalen; Dictionary attack
7. SECURITY
84
ENKELE BELANGRIJKE BEGRIPPEN
DOS ATTACKS
Denial of Service Attacks of aanvallen op TCP/IP stacks, DoS is de situatie
waarin een computersysteem niet in staat is te functioneren;
Vb : SYN FLOOD, groot aantal connecties aanvragen bij een server.
DDOS
Distributed Denial of Service, gebruik makend van meerdere aanvallers
tegelijkertijd
7. SECURITY
57/79
59. 85
ENKELE HACKINGSBEGRIPPEN
SPOOFING
Gebruik maken van een valse identiteit;
ARP SPOOFING, ARP POISONING
Een aanvaller verstuurt fake ARP berichten om de ARP cache van een host te
vergiftigen (ARP is stateless, verwerking ARP reply zonder controle);
Man In The Middle Attack
Dataverkeer tussen twee toestellen onderscheppen, aanpassen of blokkeren
zonder dat de twee toestellen dit opmerken;
7. SECURITY
86
MiM- attack m.b.v. ARP poisoning (Ettercap)
7. SECURITY
58/79
60. 87
HOLE PUNCH technieken
7. SECURITY
88
WACHTWOORD GEBRUIK - BACKDOORS
Fabriekswachtwoorden meteen wijzigen
Sterke wachtwoorden gebruiken
Industriële toestellen hebben vaak een admin en user account. Vaak ook
een verborgen root acount (zou enkel mogen gebruikt worden voor
specifieke monitoring/diagnose doeleinden)
Achterdeurtjes aangebracht door de leverancier: extra toegang tot de
besturing voor configuratie, uitlezen van diagnose gegevens, uitvoeren
van diagnose op afstand;
7. SECURITY
59/79
61. 89
CONFIGURATIEFOUTEN
Eenvoudig paswoorden
Firewalls die alle netwerkverkeer doorlaten
Mogelijkheid bieden om belangrijke bestanden te kunnen overschrijven
Virusscanners met verouderde configuratie
Gebruik van verouderde protocollen
Draadloze netwerken zonder wachtwoord
7. SECURITY
90
GEBRUIKERSFOUTEN
Het ongewijzigd laten van fabriekswachtwoorden
Bij de meeste toestellen is een eenvoudige procedure mogelijk om de
fabrieksinstellingen terug te zetten; gebruiksvriendelijk maar vanuit
standpunt security ongewenst;
Aansluiten en in bedrijf nemen politiek; door veel uit te zetten is de
configuratie veel gemakkelijker;
7. SECURITY
60/79
62. 91
POLICIES, ORGANISATIE
It’s never done, It’s a process!;
Technische maatregelen alleen is niet genoeg;
Bepalen van de verantwoordelijkheden:
o IT
o Automation
o Toegangscontrole tot belangrijke ruimtes;
Team aanstellen om Industrial Security te testen;
Opleiding voor het personeel op de industriële werkvloer;
Hoe omgaan met smart phones, tablets, draadloze communicatie, …
7. SECURITY
92
TECHNISCHE MAATREGELEN
Hoe koppeling realiseren van industrieel netwerk met
bedrijfsnetwerk/internet
Strikte scheiding tussen IT netwerken en automatiseringsnetwerken
Hiërarchische netwerkarchitectuur of VLAN
Implementatie van een DMZ
Implementatie van security hardware, firewalls, …
Koppelingen via VPN
7. SECURITY
61/79
67. 101
Wat is beveiligde communicatie?
Datapakketten worden meestal volledig onbeschermd over het Internet
verstuurd.
Hierdoor is er geen:
ENCRYPTIE: Geheimhouding van de data versleutelen van de data
AUTHENTICATION: Identiteitsgarantie van de afzender
INTEGRITEIT: Controle of data al dan niet corrupt is, niet gewijzigd is tijdens
het verzenden.
8. Veilige communicatie
102
Message confidentiality
# encryptiemethodes
AES: Advanced
Encryption
Standard
Veilig met sleutel van 128,
192 or 256 bits lang.
8. Veilige communicatie
66/79
69. 105
CERTIFICATEN
Een certificaat bestaat uit een aantal belangrijke delen:
Een public key
Een aantal administratieve gegevens (bv gebruikersnaam, email adres, …)
Een bewijs van echtheid: een bewijs dat de public key en de administratieve gegevens
bij elkaar horen.
Geldigheidsduur
Bewijs van echtheid = een digitaal handtekening van een Certification Authority (CA)
8. Veilige communicatie
106
CERTIFICATEN
Public Key Infrastructure (PKI)
…is een systeem waarmee het beheer van digitale certificaten gerealiseerd wordt.
Certificaat Autoriteit (CA)
(betrouwbare derde partij) levert certificaten welke een publieke sleutel koppelen
aan de identiteit van de eigenaar. De matching privé sleutel wordt niet vrijgegeven.
De CA waarborgt de integriteit en authenticiteit van het certificaat en staat dus in
voor de identiteit van de certificaatbezitter.
Voor certificaten is een officiële standaard ontwikkeld, X509.3 . Deze standaard
bepaalt hoe dergelijk certificaat opgebouwd is.
8. Veilige communicatie
68/79
70. 107
PKI (Public Key Infrastructure)
Client
mGuard
PUBLIEK
Server
mGuard
PUBLIEK
Client
mGuard
PRIVAAT
Server
mGuard
PRIVAAT
CA
8. Veilige communicatie
108
CERTIFICATEN
Hoe certificaten aanmaken?
Via een Certification Authority (VeriSign, Certipool )
Via de Microsoft CA Server
Via Innominate device manager
Gebruik van freeware tools zoals XCA (selfsigned)
8. Veilige communicatie
69/79
71. 109
VIRTUAL PRIVATE NETWORK
Een Virtueel Privaat Netwerk voorziet een beveiligde communicatie tussen twee
eindpunten waarbij gebruik gemaakt wordt van een publieke, onbeveiligde
netwerkinfrastructuur zoals het internet.
STATEFUL INSPECTION FIREWALL
Meer dan alleen maar een pakketfilter: logische opvolging van alle sessies.
Dankzij complexe algoritmes kunnen stateful inspection firewall verdachte
patronen herkennen (Denial Of Service attacks , SYN FLOOD, IP spoofing, man-in-
the-middle)
9. VPN
110
SITE-TO-SITE VPN
9. VPN
70/79
72. 111
USER-TO-SITE VPN
9. VPN
112
VPN tunneling
VPN tunnels worden tot stand gebracht door gebruik te maken van encapsulatie
protocollen.
Er zijn heel wat protocollen voor handen:
Oudere laag 2 protocollen: Layer 2 Forwarding (L2F) Protocol, Point-to-Point
Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP)
IP Security (IPSec): laag 3 protocol
Open VPN (laag 2 of laag 3)
9. VPN
71/79
74. 115
9. VPN
Security functies van de mGuard RS4000 VPN
116
IPsec (Internet Protocol Security)
IPsec maakt gebruik van het Internet Key Exchange (IKE) protocol om met de partner
langs de andere zijde te onderhandelen om de nodige IPsec Security Associations (SA)
op te zetten.
Het IKE protocol zorgt voor:
Negotiate connection (e.g. Algorithms, Hashes, Tunnel/Transport)
Authentication, uitwisselen van sleutels (e.g. X.509 certificates, PSK)
Dead Peer Detection (DPD)
NAT Traversal (NAT-T)
9. VPN
73/79
75. 117
SITE to SITE tussen 2 mGuards
9. VPN
118
LAN ON SITE
SQL
SERVER
BEDRIJFS LAN mGuard
(Responder)
Modem
(Initiator)
XCA.EXE
Private Key mGuard
Public Key mGuard
Private Key modem
Public Key modem
VPN
192.168.150.0/24
172.23.10.0/16
9. VPN
74/79
76. 119
Bijvoorkeur uitgaande connecties opbouwen
Firewalls laten meestal uitgaande verbindingen toe
Geen statische IP adressen nodig
Tunnels initiëren via werksleutel, contact ….
Port Forwarding
UDP 500 & 4500
Central mGuard
Field device 1
mobile internet connection
Field device 2
wired internet connection
Outgoing Traffic
UDP 500 & 4500
9. VPN
120
9. VPN
Hub and spoke VPN
75/79