IT-Sicherheit in der Produktion Herausforderungen und Notwendigkeiten Frank Merkel Sales Manager DACH - 1 -
Industrial Network Security Made in Germany Berlin Innominate Security Technologies AG Führender Hersteller von Network Security Lösungen für industrielle Applikationen Bedienterminals Urheber der mguard Technologie Gegründet 2001, ~ 30 Mitarbeiter Ein PHOENIX CONTACT Unternehmen seit 2008 Indirekter Vertrieb über OEMs und Channel Partner - 2 -
Kunden & Partner, die mguard vertrauen Automobilindustrie OEM Partner Maschinenbauer Prozessindustrie - 3 -
IT in der Produktion Eine andere Welt..mit anderen Anforderungen und Prioritäten - 4 -
Netzwerke in der Produktion IT Landschaft: Vernetzung: Flexibilität Konfiguration: Patch Management: Fernwartung: Netzwerktopologie: Zugang zum Netzwerk: Security Awareness: Lebensdauer Systeme: Heterogen zunehmend teilweise gering selten / nie zunehmend teilweise Daisy Chain offen gering 10 20 Jahre - 5 -
Bedrohungen in der Produktion Überlastung von einzelnen Systemen (z.b. Steuerungen) Netzwerksegmenten Beabsichtigte / unbeabsichtigte Manipulation Produktionsdaten auf Servern Projekten/Daten auf Steuerungen / HMI / PCs Unberechtigter Zugriff vor Ort / via Fernwartung auf Netzwerke einzelne Systeme Infektion von HMI / IPC mit Malware via Netzwerk, Datenträger Unberechtigte Nutzung von Software auf HMI / IPC - 6 -
Beispiel Automobil Zulieferer 3.000 Beschäftigte, 4 Werke Internet Firewall Office Produktion Servicetechniker Segment = Insel Steuerungen IPC, HMI Arbeitsplätze Server Maschine Roboter ohne Default Gateway Fernwartung - 7 -
Herausforderung und Notwendigkeiten Notwendigkeit 1. Vernetzung der Produktion 2. Absicherung der Produktion gegen existierende Bedrohungen Die Herausforderung Nachrüstung von Security / Netzwerk-Komponenten bei laufender Produktion Ziel Sicherung der höchstmöglichen Verfügbarkeit der Produktion unter den gegebenen IT Rahmenbedingungen Reduktion des Risikos - 8 -
Servicetechniker im Produktionsnetz Segmentierung mittels Firewall Internet mguard Benutzer-Firewall erlaubt temporären Zugriff auf vordefinierte IP Adressen / Ports Firewall Office Produktion Eingeschränkter Zugriff Steuerungen IPC, HMI Arbeitsplätze Server FIREWALL Maschine Roboter ohne Default Gateway - 9 -
Non-Patchable Systeme Individuelle Absicherung mittels Firewall Sicheres System mit neustem Betriebsssystem- Patch und VirenScanner FIREWALL LAN Erlaubte Verbindung X Gesperrte Verbindungen X X Schutz gegen Befall mit Schadsoftware (Viren, Würmer, etc) Einschränkung auf Kommunikation mit sicherem System - 10 -
Don t Touch a Running Network Stealth Modus (Autodetect) Schützt einzelne Geräte ohne Änderung der IP Konfiguration des Gerätes oder des Netzes / LANs Eine separate Management IP für die mguard Konfiguration wird nicht benötigt Management IP (intern) https://1.1.1.1 Management IP (extern) 192.168.1.24 (falls extern erlaubt) Network 192.168.1.0/24 IPC Konfiguration Statisch oder DHCP, z.b. IP: 192.168.1.24 MAC Adr. 00:0c:be:01:07:e0 Sicht vom Netzwerk auf den mguard / IPC IP: 192.168.1.24 MAC Adr. 00:0c:be:01:07:e0-11 -
Virenschutz - CIFS Integrity Monitoring Geschützter IPC mit CIFS basierenden Windows FileShares (1) CIFS Integrity Checking Erkennt unerwartete Veränderung in statischen Dateisystemen externen Virenscanner (2) CIFS AV Scan Connector (a) Prüfung von Dynamischen Fileshares durch externen Virenscanner (Read Only) (b) Datenaustausch mit dem umgebenden Netzwerk (Read Only) - 12 -
Sichere Fernwartung mit Zusatznutzen Betreiber-Netz Produktion Maschine VPN Gateway Betreiber FIREWALL Internet x x x Servicetechniker Anbieter / Lieferant Maschinenbauer FIREWALL Rückgriff der Servicetechniker auf Produktionsnetz wird verhindert - Fernwartung unter Quarantäne Kein unberechtigte Nutzung, - 13 -
Besser - Fernwartungskontrolle Fernwartungskontrolle wird sowohl den Anforderungen von IT Abteilungen nach Security als auch den Anforderungen der Verantwortlichen in der Produktion nach Flexibilität gerecht. Fernwartungskontrolle bietet zusätzlich zu den vorher beschriebenen Security-Merkmalen: 1. Einrichtung einmalig durch die IT Abteilung 2. Aktivierung / Deaktivierung Fernwartung durch die Produktion direkt an einer Maschine mittels Schlüsselschalter für mehrere Maschinen mittels Software-Konsole von einem PC aus Fallbezogene Rücksprache mit der IT Abteilung nicht erforderlich 3. Filterung / Scanning / Logging des unverschlüsseten Fernwartungs-Datenverkehrs durch die IT möglich - 14 -
Fernwartungskontrolle Lokal an der Maschine oder Zentral Lieferant / Internet Fernwartungs- Vermittlung LAN / Produktionsnetz Betreiber Maschinen Gateway Der Servicetechniker kann seine VPN Verbindung jederzeit aufbauen SERVICENETZ (b) (a) Lieferant nutzt IPsec VPN z.b. mguard delta oder VPN Software Client Lieferanten Gateway mguard oder existierendes VPN Gateway Servicenetz = Scanning, Logging Monitoring von Verbindungen Aktivierung/Deaktivierung Fernwartung (a) Lokal an der Maschine = Schlüsselschalter oder (b) Zentral für alle Maschinen = Konsole / Operator - 15 -
mguard Produkt Portfolio Template-based Configuration Device-oriented Structure Core Innominate Device Manager (IDM) Integrated Certificate Authority (CA) Efficient, automated Roll-out Security Config Push & Pull Status Control Event Management Device Management Hardened Linux Routing Remote Logging Web Interface Firewall VPN CIFS Integrity Monitoring SNMP Firmware mguard PCI mguard industrial RS mguard rs2000/4000 mguard delta2 mguard blade mguard centerport mguard smart2 mguard core2 Hardware Appliances Industrietaugliche Feldgeräte VPN Gateway Security Zentrale - 16 - Backbone VPN Gateway Mobil OEM
Hutschienenmontierbar, 24V Spannungsversorung Erweiterter Temperaturbereich (-20 bis +60 C) Kompaktes, lüfterloses Hutschienengehäuse aus Metall Security Router mit intelligenter Firewall und optionalem IPsec VPN (10 250 Tunnel) Funktionalität erweiterbar (Redundanz, CIFS Integrity Monitoring) Wechselbarer Konfigurationsspeicher (SD-Card) - 17 -
mguard PCI und pcie2 / pci2 PCI-Karte zur Integration in einzelne Maschine Stromversorgung über PCI Bus Seit Q3 / 2012 Nachfolge-Varianten: mguard pci2 / pcie2 mguard pci2 SD / pcie2 SD Konfiguration via WebInterface oder SD Karte - 18 -
Innominate Device Manager Features Umfassendes Device Management Konfiguriert alle mguard Features Kontrollierte Konfiguration und Firmware Updates Skalierbarkeit Zentrales Management mehrerer tausend mguard Geräte Effizienz Automatisierte Gerätekonfiguration Praktisches Rollen-Modell IT Security Administratoren: wenige, Experten Techniker für Installation und Maintenance: viele, keine Experten für Netzwerksicherheit - 19 -
Innominate Device Manager Architektur und Funktion - 20 -
Danke für Ihre Aufmerksamkeit! Innominate Security Technologies AG Frank Merkel Rudower Chaussee 13 12489 Berlin E-Mail: fmerkel@innominate.com Tel.: +49(0)30-921028-300 Fax: +49(0)30-921028-020-21 -
Auflösung von IP Adresskonflikten Nachträgliche Vernetzung der Produktion Optional Netzwerk Betreiber IP: 10.10.0.0 10.10.255.255 Insel Maschine #1 172.16.1.0 / 24 Internet Maschine #2 10.10.23.0 / 24 Insel Maschine #3 172.16.1.0 / 24-22 -
Auflösung von IP Adresskonflikten Nachträgliche Vernetzung der Produktion Optional Netzwerk Betreiber IP: 10.10.0.0 10.10.255.255 10.10.2.0/24 Maschine #1 172.16.1.0 / 24 Internet Maschine #2 10.10.23.0 / 24 10.10.3.0/24 Maschine #3 172.16.1.0 / 24 Lösung: Die IP Adressen aus den Maschinen werden 1:1 in IP Adressen aus dem Netz des Betreibers übersetzt. - 23 -