IT Sicherheit in der Gebäudeautomation. Gefahren und Möglichkeiten sich zu schützen

Transkript

1 IT Sicherheit in der Gebäudeautomation Gefahren und Möglichkeiten sich zu schützen

2 Schon wieder IT Sicherheit? Wir befinden uns auf dem Weg ins IoT; das bedeutet dass in Zukunft noch mehr netzwerkfähige Geräte einen direkten Zugang zum Internet erhalten werden. Ein Zugang zu einem Netzwerk, bedeutet immer auch ein potentielles Risiko! Die meisten Embedded Systeme verfügen über einen Webzugang zur Konfiguration. Gebäuderegelungen werden per Netzwerkzugriff programmiert und überwacht. Server sind nicht mehr nur lokal im Einsatz, sondern stellen ihre Services auch Nutzern unterwegs bereit. 2

3 Externe Sicherheit Wie wird dies realisiert? Um Anlagen fernsteuern zu können, wird ein Internetzugriff vorausgesetzt. Hinter meiner Firewall bin ich doch aber sicher! Dies stimmt nur bedingt; jede Firewall muss für Fernsteuerungen mit Öffnungen versehen werden. Eine häufig angewandte Methode ist es, die externe IP des Internetzugangs mittels Portforwarding auf interne Server, Regler und Dienste weiterzuleiten. 3

4 Interne Sicherheit Gefahren für Gebäudesteuerungen existieren nicht nur von Außen, auch im eigenen Netzwerk können Sicherheitsrisiken lauern: Universitäten geben ihren Studenten Zugriff auf ihr Campus-Netzwerk. Verärgerte Angestellte könnten versuchen Schaden an Anlagen zu verursachen. Aus Unwissenheit können Einstellungen verändert oder Anlagen beschädigt werden. Andere interne PCs können selbst befallen werden und so einen Zugang zum Netzwerk öffnen. Mitarbeiter könnten eigene PCs mit ggf. veralteten Sicherheits-Updates zur Arbeit bringen und sie mit dem lokalen Netzwerk verbinden. 4

5 Shodan - das Hacker Google Erschreckend aber Wahr Hacker schlafen nicht 5

6 Das Objekt der Begierde Was könnte alles zugänglich sein? Das IoT ist wie ein neues glänzendes Spielzeug für Hacker. Aktuellen Berichten zufolge sind bereits unzählige Zugänge zu Webcams, Überwachungskameras (CCTV), Baby Monitoren, uvm. veröffentlicht. Darunter zahlreiche Geräte mit Standardlogins. Dies betrifft genauso auch Gebäudesteuerungen! Screenshot einer von Hackern veröffentlichten Website. Zu sehen sind private Webcams in Firmen und Privaträumen. 6

7 Mögliche Konsequenzen Konsequenzen eines erfolgreichen Eindringens können sein: Schaden an Mensch und Material. Schaden an der Reputation eines Unternehmens. Finanzieller Schaden in nicht geringem Maße. 7

8 Gegenmaßnahmen Welche Maßnahmen kann man ergreifen um einem Angreifer das Leben so schwer wie möglich zu machen? Software stets auf dem neusten Stand halten. Login mit starkem Benutzernamen und Kennwort. Zugriff auf Daten und Informationen sinnvoll verteilen. Verschlüsselte Verbindungen benutzen. Offene nicht verwendete Ports schließen. Netzwerk Topologie anpassen. Für Fernwartungen VPN Verbindungen bevorzugen. 8

9 Sicherheitsupdates Installieren Software wird ständig weiterentwickelt. Treibende Kraft ist die Verbesserung des Produkts und der Sicherheit. Oft werden nach Bekanntwerden von Sicherheitslücken Sicherheitsupdates bereitgestellt die diese Lücke schließen. Tridium veröffentlicht Sicherheitsupdates und Neuigkeiten regelmäßig auf der Niagara Central: Sicherheitsupdates sollten zeitnah nach Erscheinen installiert werden. Wenden Sie sich auch vertrauensvoll an Ihre Zulieferer in Sachen Sicherheit stehen wir Ihnen zur Seite. 9

10 Passwort Schutz Embedded Controller wie die JACE verlangen einen Benutzernamen und ein Kennwort zum Login. Somit wird ein grundlegender Schutz gewährleistet. Die Stärke dieses Schutzes richtet sich nach der Stärke des gewählten Passworts. Standard Passwörter sind meist sehr gut bekannt und sollten stets umgehend geändert werden! Ein paar Negativbeispiele: Auszug aus der jährlich erscheinenden Hitliste der schwächsten Passwörter 2014, zusammengestellt von SplashData. qwertz bzw. qwerty trustno1 letmein abc123 10

11 Zugriffsbeschränkungen Nach dem Login sind alle Daten zugänglich jedoch nur jene die man auch sehen darf. Zugriffssteuerung hilft die Sicherheit noch etwas zu steigern. Nicht jeder benötigt einen Vollzugriff auf ein System. Schreiben und Programmieren muss in der Regel nur der Systemintegrator bzw. Fachpersonal. Zum Auslesen von Verlaufswerten genügt ein Lesezugriff auf bestimmte Datenpunkte. Nutzern genügt der Zugriff auf bestimmte Bereiche, um etwa Temperaturwerte ändern zu können. Vollzugriff besitzt einzig und allein der Administrator. Wird ein Konto mit Nur-Leserechten geknackt, ist der Schaden weniger groß als wenn ein Administratorenkonto gehackt wird. 11

12 Verschlüsselt vs. Unverschlüsselt Es existieren verschiedene Arten sich per HTTP zu authentifizieren Plain Text Die am wenigsten sichere Variante. Name und Passwort werden unverschlüsselt und leserlich für Programme wie Wireshark übermittelt. MD5 Eine eher simple Form der Verschlüsselung. Nachweißlich anfällig für Kollisionsangriffe. SSL (HTTPS) Verwendet digitale Zertifikate auf den angesprochenen Clients (JACE). Sehr sichere Variante der Authentifizierung. 12

13 Klartext und SSL in Wireshark Hier gezeigt, die detaillierte Wireshark Ausgabe eines abgefangenen Ethernet Pakets während der HTTP Authentifikation ohne Verschlüsselung. 13

14 Klartext und SSL in Wireshark Im Gegensatz dazu, zwei Pakete einer Kommunikation mit aktiver SSL Verschlüsselung (beispielhaft). 14

15 Verschlüsselung aktivieren Niagara 4 schaltet Standardmäßig SSL für FOXS ein und deaktiviert gleichzeitig den unverschlüsselten Dienst FOX. Ein Login ist dann nur noch über eine verschlüsselte Verbindung möglich. 15

16 Laufende Dienste Zur Kommunikation über ein Netzwerk, bedienen sich Clients verschiedener Dienste die auf dem Betriebssystem im Hintergrund also nicht unmittelbar sichtbar mitlaufen. Viele embedded Systeme unterstützen FTP und Telnet dies sind unverschlüsselte und somit potentiell unsichere Dienste. SSH und SFTP sind direkte aber verschlüsselte Verwandte dieser Dienste und sollten bevorzugt werden. Alle Dienste lauschen auf einem bestimmten Port. Jeder Dienst verfügt über einen bevorzugten Standard-Port um ihn eindeutig einem Protokoll zuordnen zu können. z.b.: FTP (21); Telnet (23); HTTP (80); HTTPS (443) 16

17 nmap scannen nach offenen Ports Hier gezeigt, ein Ausschnitt eines kompletten Netzwerkscans mit nmap. Zu sehen sind alle Geräte einer kleinen Testumgebung gelistet mit allen offenen Ports auf denen aktive Dienste laufen. Dauer des Scans von 256 potentiellen Adressen: 10.36s 17

18 Dienste abschalten Der Screenshot zeigt deutlich auch wenn man sie nicht bemerkt, im Hintergrund laufen oft Programme die unter Umständen eine Hintertür darstellen können. Dienste die nicht benötigt werden sollten deaktiviert werden. Ein deaktivierter Dienst lauscht nicht mehr auf dem ihm zugeteilten Port der Zugang bleibt verschlossen. Viele unverschlüsselte Dienste haben mittlerweile verschlüsselte Verwandtschaft bekommen verschlüsselte Dienste sollten stets ihren unverschlüsselten Verwandten vorgezogen werden! 18

19 Niagara 4 Safety First Tridium stellt mit Niagara 4 bereits alle genannten Maßnahmen zur Steigerung der Sicherheit von vornherein bereit. Während der Kommissionierung der Regler: Es werden sichere Passwörter verlangt (mindestens acht Zeichen, bestehend aus Zahlen, Sonderzeichen und Groß- & Kleinbuchstaben). Die Änderung der Standardwerte wird bei erster Konfiguration erzwungen. Verschlüsselte Kommunikation standardmäßig aktiviert (FOXS und HTTPS). Sensible Daten werden verschlüsselt abgespeichert. Benutzer erhalten individuelle Zugriffsberechtigungen. Sourcecode wird durch Tridium signiert. JACE 8000 besitzt außerdem einen Secure Boot. 19

20 Der Niagara Hardening Guide Tridium stellt neben Informationen auch einen Hardening Guide online zum Download bereit. Darin enthalten: Detaillierte Beschreibungen wie Sicherheitsmechanismen in Niagara aktiviert und verstärkt werden können. Weitere Hinweise um die Sicherheit eines Systems weiter zu steigern. Zum Download 20

21 Externe Faktoren Neben inhärenten Sicherheitsfunktionen, können weitere Maßnahmen ergriffen werden um die Sicherheit eines Netzwerks zu verbessern. Die Netzwerk Topologie kann Teile eines Netzwerks für Angreifer vollkommen unerreichbar machen. Zum Fernzugriff auf entfernte Anlagen können verschlüsselte Kommunikationskanäle eingerichtet werden. (VPN) 21

22 Netzwerk Topologie anpassen Der Aufbau eines Netzwerks kann essentiellen Einfluss auf dessen Sicherheit haben. Was sich nicht im gleichen Netzwerk befindet, ist auch nicht unmittelbar erreichbar. Eine JACE verfügt über zwei Ethernet Anschlüsse. Beiden Anschlüssen können verschiedene IP Adressen zugeteilt werden. Sie können damit an verschiedene Netzwerke angeschlossen werden. Ein Anschluss kann der Kommunikation im Gebäude zugeteilt werden, während der zweite Anschluss zur Kommunikation über das Internet verwendet wird. (~> VPN Kommunikation für Fernwartungen). 22

23 Beispiel: Netzwerk Topologie Internet Zugang zum Internet Anschluss 1 zum GLT Netzwerk Anschluss 2 für Fernzugriffe 23

24 VPN ein verschlüsselter Tunnel Fernzugriffe auf entfernte Anlagen sind zur Notwendigkeit geworden. Diese Kommunikationen verlangen nach einem besonderen Maß an Sicherheit. VPN Virtual Private Network Benötigt kein Portforwarding auf dem IP Router. Nutzt IPsec oder SSL zur Verschlüsselung der Kommunikation. Bietet den umfangreichsten Schutz für Kommunikationen über das Internet. 24

25 openvpn VPN ganz einfach openvpn ist Open Source Software daher auf openvpn.net frei erhältlich. Setzt auf SSL Verschlüsselung. Wird bereits auf zahlreichen Routern angeboten (z.b. CControls EIPR-V) Findet Anwendung in VPN-Server Diensten wie der BAScloudVPN. Client Software für openvpn Verbindungen sind für alle gängigen Betriebssysteme erhältlich: Windows, Linux, Android, Mac & ios. Erlaubt diesen Geräten einen komfortablen Zugang zu einem VPN Netzwerk. 25

26 VPN auf einer Anlage Eine komplette Anlage kann mit Hilfe eines VPN fähigen Routers über eine existierende Internetverbindung an ein VPN Netzwerk angeschlossen werden. Internet IP Router mit Internetzugang EIPR-V JACE/Supervisor Einfache auch nachträgliche Installation. Es wird kein Portforwarding benötigt. 26

27 BAScloudVPN ein Netz im Netz BAScloudVPN Server Smart Phone mit openvpn Internet Tablet mit openvpn Client JACE/Supervisor Desktop PC mit openvpn Client IP Router EIPR-V 27

28 Schlussfolgerungen Tridium Regler bringen bereits ein hohes Maß an Sicherheit mit. Sicherheitsupdates sollten umgehend nach Erscheinen installiert werden. Die Verwendung sicherer Passwörter und das Ersetzen von Standardeingaben ist essentiell. Nicht benötigte Dienste (Telnet, FTP, HTTP) sollten deaktiviert werden. Werden zusätzliche Dienste benötigt, sollten deren verschlüsselte Äquivalente bevorzugt eingesetzt werden (SSH, SFTP, HTTPS). Standard Ports sollten wenn möglich geändert werden. SSL Verschlüsselung ist zu bevorzugen. Wenn Fernwartung, dann mit verschlüsselter VPN Verbindung. 28

29 29

30 IT Sicherheit in der Gebäudeautomation Christian Blenz