Embed Size (px)
Citation preview
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 1
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Industrial Wireless LAN
SCALANCE SLe concept de sécurité de réseaux Ethernet industriels
IndustrialSecurity
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 2
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Les tendances en automatisation
Des structures de Contrôle centralisées aux architectures distribuées
Utilisation d’Ethernet à tous les niveaux de l’automatisation
Utilisation croissante de mécanismes IT dans l’automatisation
Les frontières entre l’informatique et l’automatisation se réduisent
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 3
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Ethernet permet une communication globale
World Wide WebIT functionsWebserverEmail, SMS
Networkingof
stations
Remote serviceHome office
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 4
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Principaux dangers pour la sécurité du réseau
Risque
Attaques internes/externes (hacker) 35.9%
Viruses, Chevaux de troie 33.8%
Erreurs de manipulation dues à des utilisateurs normalement non autorisés, personnel mal qualifié, négligence
14.8%
Espionnage 9.9%
Sabotage et manipulation (données, machines)
9.9%
Etude de marché Consultic: Principaux risques pour la sécurité des réseaux locaux
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 5
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Network
10.2.1.1
10.2.1.2
102.2.1.2
Ping 10.2.1.2
Ping 102.2.1
.2
Sources de défauts dues aux extensions du réseau
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 6
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Définition des besoins pour la sécurité des réseaux
La confidentialité des informations:Les données doivent être protégées et inaccessibles à des utilisateurs non autorisés
Les mesures de sécurité consistent en général à introduire au sein du système de communication des barrières et restrictions suffisantes pour assurer:
L’intégrité des données échangées:Aucune possibilité d’interception et de manipulation des données
L’authentification et autorisation des utilisateurs:Il doit être possible d’attribuer une identité et des droits à chaque partenaire
La disponibilité du réseau:L’accès au réseau et aux services doit être possible à tout moment
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 7
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Mécanismes de protection des réseaux Ethernet
Solutions de sécurisation
Il n’existe pas de solution unique pour sécuriser un réseau mais un mélange de plusieurs techniques pouvant suffire à un instant « t » !
Firewall ou Mur Pare-FeuFiltre les échanges entre un réseau non sécurisé (internet) et un réseaulocal (intranet) Scanners de sécuritéPistent les failles liées à des logiciels sensibles, l’administration etles activités des utilisateurs. Systèmes de détection d’intrusionExaminent le trafic en amont ou en aval des murs pare-feu et contrôlentl’authentité des utilisateurs Le cryptageLes données cryptées ne seront exploitables que par les détenteurs de la clé de décryptage Le tunnel VPN (Virtual Private Network)Permet le transfert sécurisé de données sur un réseau IP public
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 8
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Peut-on se protéger de tout ???
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 9
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Besoins pour la Securité des réseau d’automatisation
Protection contre Les erreurs d’adressage
Aucun impact sur
les infrastructures existantes
Diagnostic et enregistrementdes tentatives
d’attaque
Adaptable auxbesoins de
securité
Protection contrela manipulation
des données
Securiserle réseau
d’ automatisation
Protection contreles surcharges
de réseaux
Protection Contre
l’espionnage
Facilitéde
configurationsans connaissances
d’expert
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 10
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Concept Industrial Security avec les Modules de Sécurité
Internet
Intranet
VPN tunnel
IP subnet A IP subnet C
IP subnet DIP subnet B
VPN=Virtual Private Network
Contrôle du trafic entre le réseau interne et l’extérieur à l’aide des modules de sécurité
Cryptage des données échangées entre les modules de sécurité
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 11
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Acces interne/externe protégé
Protection contre Les erreurs d’adressage Les accès non-autorisés L’espionnage La manipulation des données
La solution de Sécurité est évolutive et ne perturbe pas les infrastructures
Elle est utilisable sans connaissancesd’expert en réseaux
Utilisation de mécanismes standard et certifiés de sécuritéProtection contre les dysfonctionnements, la manipulation et l’espionnage, basée sur des standards de sécurité d’accès réseau
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 12
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Scalance S : Le matériel
Port sécurisé(connexion du segment de réseau interne à protéger)
Port non-sécurisé(vers le LAN ou WAN non-protégé )
Diagnostics LEDs
SCALANCE S612 / 613
A l’arrière: C-PLUG
SCALANCE S 61x Module de Sécurité
Produits
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 13
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Internet Company network (LAN)
Hackers
Firewall
Fonction firewall
Adresses (IP, MAC)Protocoles (ports)
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 14
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Authentification: Les données proviennent d’une source spécifique
connue.
+ Integrité: Les données n’ont pas été modifiées en cours de
transmission.
= Confidentialité: Des personnes non-autorisées ne peuvent décrypter
l’information.
Communication sécurisée
Fonction VPN
Communication Confidentielle Sécurisée:
Auth Auth
Technologie
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 16
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Exemple de Configuration
Module de sécuritéModule de sécurité
Liaison sécuriséeLiaison sécurisée(VPN tunnel)(VPN tunnel) Firewall
ouS 612 / S 613
Protection sans impact sur les liaisons critiques
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 17
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Protection du réseau radio et des liaisons mixtes
Exemple de Configuration avec un réseau intégrant la radio IWLAN
Composant Composant Ind. securityInd. security
Liaison sécurisée Liaison sécurisée (VPN tunnel) (VPN tunnel)
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 18
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Industrial Security Portfolio
Infrastructure (hardware)
Client (software)
SOFTNET Security Client VPN Software
SCALANCE S612
SCALANCE S613
Disponible en Dec. 2004
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 19
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Module de sécurité SCALANCE S 61x
Indice de protection IP30 2x RJ45 10/100 Mbit/s Ethernet Liaison sécurisée via tunnel VPN IPSec
Firewall intégré C PLUG (configuration plug) – Support amovible (optionnel) pour
l’enregistrement de la configuration (remplacement rapide du module en cas de panne)
Certification ISO/IEC 15408 selon les Critères communs (EAL4+)
Infrastructure - Caractéristiques
SCALANCE S612
SCALANCE S613
Nombre de noeud Max. protégés sur un réseau interne
32 64
Nombre de tunnels VPN vers d’autres modules de sécurité
64 128
Température de fonctionnement
0°C to +60°C
-20°C to +70°C
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 20
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Clients (Software)
SOFTNET Security ClientIntegrated security concept with SCALANCE S and SOFTNET Security Client
VPN client pour PCs, PGs et notebooks Facile d’utilisation, sans connaissances spéciales Sans changements: Ne nécessite aucune modification au
niveau des infrastructures de réseau existantes
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 21
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Configuration des modules de Sécurité
Configuration Intuitive
Création automatique des certificats via l’outil de configuration
Apprentissage automatique des noeuds sur le réseau interne et détection des autres modules de sécurité sur le réseau externe
Automation and Drives
GG-Kennungoder Produktname
Industrial Communication SIMATIC NET Industrial Security, 08/2004 22
Gliederungspunkt 1
Gliederungspunkt 2
Gliederungspunkt 3
Gliederungspunkt 4
Gliederungspunkt 5
Gliederungspunkt 6
Gliederungspunkt 7
Gliederungspunkt 8
Gliederungspunkt 9
Gliederungspunkt 10
Security in Industry
© Siemens AG 2004 - Subject to change without prior notice
Exemple de configuration
A
B C
PGSP1
G1: A+B+C+PGG2: SP1 + AG3: SP2 + B
SP2
