Fysieke beveiliging van de netwerkinfrastructuur

Welkom
De fysieke beveiliging van uw industriële netwerk
Sjoerd Hakstege – van Eekhout
Network & Security Specialist
Phoenix Contact B.V.
Security Aanpak
• In-Depth Security = meerdere lagen
– 1. Fysieke beveiliging van de netwerkinfrastructuur
– 2. Logische beveiliging van de netwerkinfrastructuur
– 3. Logische beveiliging van de datatraffic
• Niet meer alleen de taak van IT-afdeling alleen
• Streef naar een goede dialoog tussen IT & OT
– Wederzijds opleiden
– Hybride werknemers
Security: IT vs. OT
• Andere prioriteiten - (A)vailability, (I)ntegrity, (C)onfidentiality
– Information Technology (IT): C-I-A
– Operational technology (OT): A-I-C
• Updates: niet (don’t touch a running system) of vertraagd
• Bij aanval niet onmiddellijk platgooien
• Realtime eisen belangrijker
• Ander soort data
• Locatie security hardware
– IT: Centraal
• Firewall waar internet binnen komt
– OT: Decentraal
• Zo dicht mogelijk tegen de machine
1. Fysieke beveiliging van de
netwerkinfrastructuur
• Fysieke beveiliging van de kast of de ruimte
– sleutel, badge, code
• Toegangscontrole voor personeel en externen
• Mechanische beveiliging van poorten en/of kabels
2. Logische beveiliging van de
netwerkinfrastructuur
• Managed switches
– Gebruik van VLANs
• Effectief verlagen van netwerkbelasting
• Logische scheiding tussen subnetten
– Netwerkredundantie
• RSTP, MRP, …
– Hubs vervangen
• Communicatie minder makkelijk te onderscheppen
–
–
–
–
–
Link monitoring/diagnose om uptime te optimaliseren
Poorten beveiligen/monitoren via access control
NAT-masquerading of 1:1 NAT om interne IP-structuur te verbergen
Quality of Service (QoS)
Broadcast limiting
3. Logische beveiliging van de
data(traffic)
• (User) Firewalls – Packet Filters – Integrity Monitoring
– Beperken van de traffic van en naar het productienetwerk
• Stateful inspection
• Beveiliging tegen DoS attacks, SYN-floods
• Intrusion detection via logs
– PLCs beveiligen via een user firewall
• inloggen op firewall voor toegang
• loggen van toegang (accountability)
– DmZ bouwen (best practice)
• buffer tussen office en productienetwerk
• herbergt gedeelde infrastructuur
– Integrity monitoring
• Wijzigingen rapporteren
• Externe virusscans
Beveiligen van communicatie
•
Datapakketten worden vaak volledig onbeschermd over het Internet (of andere 3d
party netwerken) verstuurd.
•
Om deze communicatie te beveiligen dienen we te voorzien:
•
ENCRYPTIE:
–
•
AUTHENTICATION:
–
•
Geheimhouding van de data  versleutelen van de data
Identiteitsgarantie van de afzender
INTEGRITEIT:
–
Controle of data al dan niet corrupt is, niet gewijzigd is tijdens het verzenden.
Firewalls
•
Definitie: Een firewall staat in voor het filteren van dataverkeer met als doel zijn
interne netwerk te behoeden voor uitval door overbelasting of misbruik vanuit het
externe netwerk.
•
•
•
Bescherming tegen denial-of-service aanvallen
Bescherming tegen malformed packets
Meestal default-deny principe:
Houdt alle verkeer tegen behalve dat wat nodig is voor de applicatie.
Vb.
•
Firewalls - Hoe IT het doet
•
•
•
Firewall daar waar het internet binnen komt is machteloos tegen infecties van binnen
uit
Policy die laptops in de productie verbiedt is vaak niet realistisch
Software firewalls bestaan niet in PLCs
Firewalls – De ideale situatie
•
•
•
In-depth security
Maakt regels van default-deny principe overzichtelijker
Biedt mogelijkheden tot user firewalls per (deel)machine
DmZ - Demilitarized Zone
• Buffer tussen office- en
productienetwerk
• Rechtstreekse communicatie
wordt geblokkeerd
• Gedeelde resources worden in de
DmZ geplaatst
• DmZ evt. via VLANs verder
opsplitsen
Praktijkvoorbeeld
Maak het netwerk redundant
Access control in switches
VLAN 1
VLAN 2
VLAN 3
WiFi Security
WEP encryption
Integrity Monitoring
• Productiesystemen: geen antivirussoftware omwille van belasting en
noodzaak voor updates
• Integrity Monitoring:
– die systemen toch beschermen
– minimale belasting
– 2 mechanismen:
• Integrity Checking
• AV Scan Connector
2.
Virtuele alleen-lezen CIFS
share wordt ter beschikking gesteld
voor een externe AV-scanner door
Antivirus Scan Connector
1.
Onverwachte wijzigingen
van uitvoerbare code detecteren
door Integrity Checking
Integrity Monitoring
Voordelen
• Veilige en betrouwbare indentificatie van wijzigingen
door malware
• Onafhankelijk, geen updates nodig van antivirus
definities
• Compact, beperkte impact op uw system en real-time
performance
Security Aanpak
• In-Depth Security = meerdere lagen
– 1. Fysieke beveiliging van de netwerkinfrastructuur
– 2. Logische beveiliging van de netwerkinfrastructuur
– 3. Logische beveiliging van de datatraffic
• Niet meer alleen de taak van IT-afdeling alleen
• Streef naar een goede dialoog tussen IT & OT
– Wederzijds opleiden
– Hybride werknemers

Download Report