1 / 30

De PROFIBUS, PROFINET & IO-Link dag 2011

De PROFIBUS, PROFINET & IO-Link dag 2011. Share our Vision for Automation. Security in industriële netwerken. Brecht Schamp Industrial Network Specialist Phoenix Contact Benelux bschamp@phoenixcontact.be. Security in industriële netwerken. Waarom TCP/IP op de productievloer? (4)

tacy
Download Presentation

De PROFIBUS, PROFINET & IO-Link dag 2011

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. De PROFIBUS, PROFINET & IO-Link dag 2011 • Share our Vision for Automation

  2. Security in industriële netwerken Brecht Schamp Industrial Network Specialist Phoenix Contact Benelux bschamp@phoenixcontact.be De PROFIBUS, PROFINET & IO-Link dag 2011

  3. Security in industriële netwerken • Waarom TCP/IP op de productievloer? (4) • Maar hoe zit dat met security? (5) • Wat is het doel van security? (6) • Security: ICT vs. Industrie (7) • Security Aanpak (8) • Fysieke beveiliging van de netwerkinfrastructuur (9) • Logische beveiliging van de netwerkinfrastructuur (10) • Logische beveiliging van de datatrafiek (11) • Firewalls (12) • DmZ (13) • Integrity Monitoring (14) • Remote Access (15) • Remote Access: Hoe? (16) • Voorbeeldproject (17-27) • Belangrijke aandachtspunten voor security (28) • Links (29) Inhoud De PROFIBUS, PROFINET & IO-Link dag 2011

  4. Security in industriële netwerken • TCP/IP integratie tussen machine netwerk en office netwerk • Eenvoudigere & transparante informatiestroom • optimaliseren productie • traceerbaarheid • bewaken productie • TCP/IP is een standaard • minder afhankelijk van 1 producent • eenvoudiger om gespecialiseerd personeel te vinden • investeringskost lager (kennis, tools, netwerkinfrastructuur, …) Waarom TCP/IP op de productievloer? De PROFIBUS, PROFINET & IO-Link dag 2011

  5. Security in industriële netwerken • Anders dan vroeger? • Vroeger ook een eis • Nu meer aandacht • Awareness vanuit ICT-wereld • Open & transparante technologie • Meer kennis • In de Industrie: • gespreid over alle producenten, geen proprietair systeem meer • Uit de ICT-wereld: • hobbyisten, netwerkadministrators, hacking community, studenten Maar hoe zit dat met security? De PROFIBUS, PROFINET & IO-Link dag 2011

  6. Security in industriële netwerken • Availability - Uptime garanderen • Integrity - Verlies van data vermijden • Confidentiality - Confidentialiteit • Beschermen van: • Productie & grondstoffen • Personeel • Machines • Milieu • Receptuur Wat is het doel van security? 99.99x % UPTIME De PROFIBUS, PROFINET & IO-Link dag 2011

  7. Security in industriële netwerken • Andere prioriteiten - (A)vailability, (I)ntegrity, (C)onfidentiality • ICT: C-I-A • Industrie: A-I-C • Updates: niet (don’t touch a running system) of vertraagd • Bij aanval niet onmiddellijk platgooien • Realtime eisen belangrijker • Ander soort data • Locatie security hardware • ICT: Centraal • Firewall waar internet binnen komt • Industrie: Decentraal • Zo dicht mogelijk tegen de machine Security: ICT vs. industrie De PROFIBUS, PROFINET & IO-Link dag 2011

  8. Security in industriële netwerken • In-Depth Security = meerdere lagen • 1. Fysieke beveiliging van de netwerkinfrastructuur • 2. Logische beveiliging van de netwerkinfrastructuur • 3. Logische beveiliging van de datatrafiek • Niet meer alleen de taak van ICT-afdeling alleen • Streef naar een goede dialoog tussen ICT & productie • Wederzijds opleiden • Hybride werknemers Security Aanpak De PROFIBUS, PROFINET & IO-Link dag 2011

  9. Security in industriële netwerken • Fysieke beveiliging van de kast of de ruimte • sleutel, badge, code • Toegangscontrole voor personeel en externen • Mechanische beveiliging van poorten en/of kabels 1. Fysieke beveiliging van de netwerkinfrastructuur De PROFIBUS, PROFINET & IO-Link dag 2011

  10. Security in industriële netwerken • Managed switches • Gebruik van VLANs • Effectief verlagen van netwerkbelasting • Logische scheiding tussen subnetten • Netwerkredundantie • RSTP, MRP, … • Hubs vervangen • Communicatie minder makkelijk te onderscheppen • Link monitoring/diagnose om uptime te optimaliseren • Poorten beveiligen/monitoren via access control • NAT-masquerading of 1:1 NAT om interne IP-structuur te verbergen • Quality of Service (QoS) • minimale doorvoer garanderen voor control data • Broadcast limiting • Effecten van broadcast storms minimaliseren 2. Logische beveiliging van de netwerkinfrastructuur De PROFIBUS, PROFINET & IO-Link dag 2011

  11. Security in industriële netwerken • (User) Firewalls – Packet Filters – Integrity Monitoring • Beperken van de trafiek van en naar het productienetwerk • Stateful inspection • Beveiliging tegen DoS attacks, SYN-floods • PLCs beveiligen via een user firewall • inloggen op firewall voor toegang • loggen van toegang (accountability) • DmZ bouwen (best practice) • buffer tussen office en productienetwerk • herbergt gedeelde infrastructuur • Integrity monitoring • Extern monitoren van CIFS shares met kritische stuurprogramma’s/data • Wijzigingen rapporteren • Externe virusscans 3. Logische beveiliging van de data(trafiek) De PROFIBUS, PROFINET & IO-Link dag 2011

  12. Security in industriële netwerken • Op de productievloer • Vooral decentraal • Streven naar individuele bescherming van units op de werkvloer • Kan niet via software oplossingen Firewalls • Voor IT • Centraal waar internet binnenkomt • Decentraal via software firewalls De PROFIBUS, PROFINET & IO-Link dag 2011

  13. Security in industriële netwerken DmZ - Demilitarized Zone • Vormt de buffer tussen office en productie netwerk • Rechtstreekse communicatie tussen office en productie netwerk wordt geblokkeerd • Servers die zowel vanuit productie als vanuit office beschikbaar moeten zijn worden in de DmZ geplaatst • vb. Historian, SQL Server, AV Server, Syslog Server • Via VLANs kan de DmZ nog eens opgesplitst worden De PROFIBUS, PROFINET & IO-Link dag 2011

  14. Security in industriële netwerken • Productiesystemen: geen antivirus-software omwille van belasting en nood aan updates • Integrity Monitoring: • die systemen toch beschermen • minimale belasting • 2 mechanismen: • Integrity Checking • AV Scan Connector Integrity Monitoring 2. Virtuele alleen-lezen CIFS share wordt ter beschikking gesteld voor een externe AV-scanner door Antivirus Scan Connector 1. Onverwachte wijzigingen van uitvoerbare code detecteren door Integrity Checking De PROFIBUS, PROFINET & IO-Link dag 2011

  15. Security in industriële netwerken • Integratie van TCP/IP in de productie brengt nieuwe mogelijkheden met zich mee voor remote access • Maar dient op een veilige manier te gebeuren! • Transport van pakketten over potentieel onveilig netwerk • Extra ingang naar productienetwerk = extra risico • Selectieve toegang voorzien • Enkel het nodige • Afwegen noden vs. risico • Meer kennis over netwerktechnologie vereist dan voor de meeste andere taken op de productievloer Remote Access De PROFIBUS, PROFINET & IO-Link dag 2011

  16. Security in industriële netwerken • VPN (Virtual Private Network) tunneling • Veilige tunnel tot aan de machine • Geen repercussies op het office netwerk • Geen backdoor zoals analoge modems • Gaat nog steeds door firewall(s) • Mechanismen ingebouwd voor • authenticatie • encryptie • integriteit • Uitgaand en inkomend verkeer • Bewuste keuze maken • Verschil voor firewall configuratie en port forwarding op de eindpunten • Firewall binnen VPN tunnel voor extra flexibiliteit in controle en restrictie van de communicatie • Mogelijkheden voor 1:1 NAT aan beide kanten • Machinebouwers geven vaak hetzelfde IP-adres aan alle machines Remote Access: Hoe? De PROFIBUS, PROFINET & IO-Link dag 2011

  17. Security in industriële netwerken Voorbeeldproject +één groot mesh-netwerk +hoge dekkingsgraad +hoge datasnelheid VPN -potentieel onveilig -kosten voor publieke IP-adressen De PROFIBUS, PROFINET & IO-Link dag 2011

  18. Security in industriële netwerken +ook mobiele stations kunnen verbonden worden -snelheid lager dan bedraad -hogere latency dan bedraad -kosten -dekking? De PROFIBUS, PROFINET & IO-Link dag 2011

  19. Security in industriële netwerken PxC Zevenaar (NL) • bedraad internet • 1 statisch IP-adres (of dynDNS) • mGuard in serverruimte De PROFIBUS, PROFINET & IO-Link dag 2011

  20. Security in industriële netwerken • Lokaal AX-IF netwerk serverruimte • VMWare ESX Server • VM met AutomationWorX • VM met SQL? • VM met FTP? • Vaste ILC De PROFIBUS, PROFINET & IO-Link dag 2011

  21. Security in industriële netwerken PxC Zaventem (BE) De PROFIBUS, PROFINET & IO-Link dag 2011

  22. Security in industriële netwerken • Remote Sites • Meerdere toestellen (machines) toevoegen aan het Virtual Private Network • bvb. /29 netwerk • => 6 toestellen worden beschikbaar • Doel • Toegang vanop afstand naar deze machines • Middel • VPN tunnel • Beveiligde verbinding over onveilige internet De PROFIBUS, PROFINET & IO-Link dag 2011

  23. Security in industriële netwerken • Remote Sites • 1) Bedraad internet • 2) GPRS/EDGE De PROFIBUS, PROFINET & IO-Link dag 2011

  24. Security in industriële netwerken • Remote Sites • 1) Bedraad internetmGuard • 2) GPRS/EDGE De PROFIBUS, PROFINET & IO-Link dag 2011

  25. Security in industriële netwerken • Remote Sites • 1) Bedraad internetmGuard • 2) GPRS/EDGE •  2G/3G modem De PROFIBUS, PROFINET & IO-Link dag 2011

  26. Security in industriële netwerken • Road Warriors • 1 enkele laptop of pc toevoegen aan het Virtual Private Network • => /32 netwerk • Doel • Machines servicen • Mobiliteit en gebruiksgemak staan centraal • Middel • VPN Tunnel • Beveiligde verbinding over onveilige internet • Software client of mobiele mGuard Smart² De PROFIBUS, PROFINET & IO-Link dag 2011

  27. Security in industriële netwerken Road Warriors Remote Sites 1) Bedraad mGuard software client 2) Draadloos software client De PROFIBUS, PROFINET & IO-Link dag 2011

  28. Security in industriële netwerken • Risicoanalyse! • Kosten-batenanalyse • 100% security bestaat niet: niet praktisch of financieel haalbaar • Periodiek testen van de security en remote access voorzieningen • Change management & documentatie • Security Policy • Meer dan enkele onderdelen monteren • Totaalconcept • Procedures • ISA99 standaarden schrijft de stappen voor om tot een volledig totaalconcept voor security te komen • afgeleid van ISO/IEC 17799:2005 en ISO/IEC 27001:2005 uit ICT Belangrijke aandachtspunten voor security De PROFIBUS, PROFINET & IO-Link dag 2011

  29. Security in industriële netwerken • Phoenix Contact België • http://www.phoenixcontact.be • Phoenix Contact mGuard info • http://www.phoenixcontact.com/mGuard • ISA – International Society of Automation • http://www.isa.org/ • ISA99 –Industrial Automation and Control Systems Security • http://www.isa-99.com/ • ISO – International Organization for Standardization • http://www.iso.org Links De PROFIBUS, PROFINET & IO-Link dag 2011

  30. Bedankt! Meer info? Brecht Schamp Industrial Network Specialist Phoenix Contact Benelux bschamp@phoenixcontact.be De PROFIBUS, PROFINET & IO-Link dag 2011

More Related