IOIT (internet of Important Things) & IIOT (Industrial Internet of Things) possono avere metodologie, tecniche e strategie di protezione differenti dalla cyber-security tradizionale.
Ne abbiamo parlato con Endian al TIS di Bolzano il 14.9.2015
2. Fondata a Bolzano nel 2003 da un
team di esperti delle reti, fanatici di
Linux
Il risultato della collaborazione è la
creazione di sofisticate soluzioni
UTM basate su tecnologia Open
Source
Dal 2011 Endian sviluppa soluzioni
dedicate all’ Industrial Internet of
Things
Più di 4000 aziende in oltre 50
paesi hanno scelto i prodotti Endian
Chi è Endian?
Endian US - Houston Endian - Bolzano
e Milano
Endian Germany - Munich
Endian Japan - Tokyo
Endian - Turkey
3. Fondata a Milano nel 1979
Dal 1985 distribuisce e supporta prodotti di
GE Intelligent Platforms per lo sviluppo di
applicazioni industriali: HMI/SCADA,
Supervisione, Monitoraggio e Plant
Intelligence sui dati di impianto
Attiva nei settori Industriali (farmaceutico,
alimentare, chimico, cemento, vetro, metalli,
oil&gas, ecc.), delle Utility (acque, gas,
telecontrollo, trasporti, energia), building
management, ecc.
www.servitecno.it
Chi è ServiTecno?
4. Internet of Things (IoT), numeri e tendenze
2020
4
Billion
$4
Trillion
25+
Million
25+
Billion
50
Trillion
Connected People Revenue
Opportunity
Apps Embedded and
Intelligent Systems
GBs of Data
Mancano solo
1.000 giorni lavorativi
entro il
5. Internet è il mezzo che assolve ad un bisogno: … COMUNICARE
Quindi abbiamo bisogno di rendere gli oggetti (sensori, macchine,
impianti, M2M, Devices,…) capaci di PARLARE
Concentriamoci sull’ Industrial Internet Of Things,
ovvero Internet of Important Things
Internet Of Things: tutto e tutti sono collegati
6. Ci sono molti protocolli e standard
per far comunicare i dispositivi tra loro
PERO’, …non esiste uno standard
per la sicurezza IoT
INFATTI, abbiamo:
• elevato numero di device,
• basso livello di protezione dei
dispositivi,
• eterogeneità,
Questo porta a limitazioni nelle
regole e diverse policy di Security
IoT: tutto e tutti sono collegati
12. Esempio di “Security Architecture” nei sistemi di
automazione e controllo
Enterprise
Control
Network
Manufacturing
Operations
Network
Perimeter
Control
Network
Control
System
Network
Process
Control
Network
Source: Byres Security
13.
14. Endian 4i – Industrial IoT Security
Endian la linea 4i Edge
15. Come mantenere la sicurezza
dei sistemi in una rete aperta?
UN APPROCCIO DATATO
Security through obscurity:
Basata sulla discrezione del personale
Basata sulla segretezza delle componenti
del sistema
Basata sulla segretezza dei dati e delle
chiavi di accesso
LA VISIONE MODERNA
Protezione IT:
Sistemi semplici ma sicuri
Connessione sicura e comunicazione
criptata
Allarmi e procedure in caso di intrusione
16. Firewall
VPN sicura
Intrusion Detection / Prevention
Regolazione e filtraggio del traffico dati
AntiVirus
Cosa significa protezione IT in una rete aperta?
ASSOLUTAMENTE NON INTRUSIVA SUGLI IMPIANTI
18. Concentratore VPN
Pannello di controllo
Si presenta come modulo add-on per qualsiasi soluzione Endian
server
Piattaforma per la distribuzione di servizi cloud
Che cos’è Endian Switchboard?
Dare accesso a molti utenti (singoli o gruppi) secondo regole differenti
Bloccare rapidamente l’accesso divenuto indesiderato (ad es. al termine del rapporto di lavoro)
Impedire tentativi di intrusione su macchinari importanti
Avere un rapporto dettagliato sugli accessi (regole di compliance)
Assicurare agli utenti accesso semplice agli endpoint protetti (HMI, PLC, ecc)
Cosa posso fare con lo Switchboard?
20. 1. Layer 1 – Access Restricted:
Solo le connessioni pre – approvate (M2M, P2M, D2M) possono
essere stabilite
2. Layer 2 - Service/Port Restriction:
Decidendo quale porta deve essere bloccata si garantisce un
ulteriore livello di protezione da virus e minacce di altro genere
3. Layer 3 - Denial of Service Protection:
La nostra soluzione intercetta gli attacchi e vi protegge dalle
interruzioni di servizio
4. Layer 4 - Malformed Packet Rejection:
Il firewall stateful vi protegge dai cosiddetti “malformed packets”
che possono arrecare gravi danni ai sistemi
5. Layer 5 - Intrusion Detection Alerts:
Il costante monitoraggio di network e sistemi ci consente di dare
un allarme istantaneo in caso di attività sospetta o violazione delle
policy
6. Layer 6 - SCADA Protocol Filtering:
Su richiesta, possiamo fornire il protocollo di filtraggio Modbus
TCP per gli appliance 4i Edge
Endian 4i offre livelli multipli di protezione
23. Highlights:
0 to +60°C
operating temperature
Simple, secure VPN access
3G Module (optional)
Power input 24V DC
Endian 4i Edge 313
The DIN rail industrial solution
Performance 4i Edge 313
Firewall Throughput 120 Mbps
VPN Throughput 30 Mbps
IPS Throughput 20 Mbps
Recommended for:
Machine building
Manufacturing
Infrastructure
24. Highlights:
-20 to +70°C
operating temperature
Simple, secure VPN access
3G Module (optional)
Dual power input 24V DC
Endian 4i Edge 515
The most robust industrial solution
Performance 4i Edge 515
Firewall Throughput 120 Mbps
VPN Throughput 30 Mbps
IPS Throughput 20 Mbps
Recommended for:
Machine building
Manufacturing
Infrastructure
Healthcare
Communications
25. Grazie
Appuntamento al 14 Ottobre 2015
Hands-on tecnico Switchboard
Domande?
Agenda:
Endian presenta: linea Endian 4i Edge e UTM
Introduzione tecnica all’architettura dello Switchboard e alle sue funzionalità
Perché scegliere Endian 4i Edge rispetto ad un comune connettore VPN
Presentazione di un caso applicativo
Endian Switchboard in funzione: dimostrazione pratica dell’uso del prodotto
26. Endian Switchboard Featurelist
Connections
Secure connections through
OpenVPN
Connect with one single click to
endpoints, gateways or entire remote
networks
Open applications directly from the
Connect App
Connection status of all devices
See whether devices are available or
other users are already connected
User Management Users
Automatic VPN account creation for
all users
Can be members or administrators of
an unlimited number of user groups
Can connect to single devices or all
devices in a group they have access
to
Can modify and create single devices
or device groups
Permissions:
Superuser, Group creation and
management, Application
management, API usage,
access to internal networks
Endian Network account data for
device registration (provisioning)
Users Groups
Can contain an unlimited number of
users
Permission management for devices
and device groups
User permission management
(member/administrator of group)
Device Management Gateways
Automatic VPN account creation for
all gateways (OpenVPN support on
the
gateway required)
Endpoint configuration
Provisioning options for Endian
gateways
User/User group permission
management (connect/manage)
Can be part of an unlimited number of
device groups
Exportable logs in CSV format
Endpoints
Configurable for each gateway
Application profile assignment to
launch applications with a single click
from Connect App
Custom attribute definitions can be
used with the API
Every single endpoint can be reached
through its own Virtual IP address
Exportable logs in CSV format
Device Groups
Can have their own virtual IP pool
(configurable)
Can contain an unlimited number of
gateways
User/User group permission
management (connect/manage)
Application Management
Applications
Program calls
URL calls
Placeholders for program paths,
URLs and IP addresses
Application Profiles
Group multiple applications
Can be assigned to Endpoints
Settings
Fully configurable OpenVPN modes
OpenVPN fallback support through
multi-server configuration
Virtual IP configuration for
simultaneous connections to many
endpoints with the same IP address
Virtual IP Pools configurable globally
and for single device groups
Exclusive access configuration (on
gateway level, on endpoint level,
disabled)
Provisioning
Gateway model configuration for
provisioning
Encryption support for provisioning
files
Automatic gateway registration on
Endian Network
Provisioning modules for
Base system information
Network settings
VPN Gateway-to-Gateway
configuration
Upstream proxy
Port forwarding
Source NAT
API
Can be activated/deactivated
Secured with API Token
Superuser API with full read and write
access
User API
Activate/deactivate user-gateway
connections
Activate/deactivate user-endpoint
connections
Connect App
One-click application calls
Shows only available functionalities
based on user permissions
Local application management
Automatic OpenVPN connection on
program start
Automatic reconnection on failure
Support for connection through HTTP
Proxy (basic/NTLM authentication)
Includes auto-update routine
Integrated Downloader (logs and
provisioning files)
No administrator privileges needed
after the installation
According to the Siemens documentation, a high security site is separated into at five networks and four security zones as follows:
The “Enterprise Control Network” (pink) zone is the corporate network. It hosts the business users and corporate accounting and planning systems. Security of this zone is typically managed by the corporate IT group.
The “Manufacturing Operations Network” (yellow) zone hosts the SIMATIC IT servers that exchange information between the control system and applications on the Enterprise Control Network (such as an Enterprise Resource Planning (ERP) system).
The “Perimeter Network” (Brown) zone hosts servers that manage equipment in the control system, as well as servers that provide information to end users on the Enterprise Control Network. This is a common location for servers responsible for providing software patches and updates, including Windows security updates and anti-virus updates. Many of the servers within this zone provide information to end users via web servers and web services. People sometimes refer to this zone as a “demilitarized zone” or DMZ.
The final security zone hosts two networks: The green “Process Control Network” and the blue “Control System Network.” The Process Control Network hosts the 24x7 plant operators on their Human Machine Interface (HMI) workstations. It also connects to the WinCC/PCS 7 control system servers. The Control System Network connects to the Programmable Logic Controllers (PLCs). It also connects directly to the WinCC/PCS 7 control system servers.