24
3. VDMA-TECHNIK-BENCHMARK SECURITY, 8.11.2007 Konzept Phoenix und Innominate Oliver Puls, Phoenix Contact GmbH & Co. KG, Blomberg Torsten Rössel, Innominate Security Technologies AG, Berlin Zugriff und Verkehr unter Kontrolle: Sicherheit in industriellen Netzwerken Prinzipiell ist Ethernet aufgrund der vielen standardisierten Technologien anderen Kommunikationstechnologien deutlich überlegen. Handlungsbedarf besteht dahingehend, diese Technologien in industriegerechte Produkte zu überführen. Das setzt voraus, - die für die Automatisierungstechnik geeigneten Technologien zu identifizieren und - die Handhabung auch „Nicht-IT-Fachleuten“ praktikabel zu ermöglichen. – Dazu sollten Nutzung und Parametrierung mit klassischen Engineering Tools möglich sein. Mit der zunehmenden Verbreitung von Ethernet-basierenden Automatisierungslösungen muss das Thema Security im Sinne von - Schutz vor unberechtigten Zugriffen und - die Administration von Infrastruktur stärker betrachtet werden. Der Beitrag fokussiert auf das Engineering der Netzwerkinfrastruktur, Lösungsansätze zur Veränderung eines Automatisierungsnetzwerkes im laufenden Betrieb und die Darstellung geeigneter Schutzfunktionen. Zusätzlich werden Aspekte der Netzwerk-Ferndiagnose und der sicheren Fernwartung von Anlagen erläutert. Schwerpunkt im Bereich des Engineering ist die Inbetriebnahme, Diagnose und Wartung von IT Technologien aus modernen SPS Engineering Tools. Als Beispiel werden Topologieerkennungsmechanismen (z.B. LLDP), Transportmechanismen für Diagnosedaten und die Multi-Device Konfiguration von Automatisierungsgeräten erläutert. Der Bedarf nach mehr Sicherheit für industrielle Netze wird anhand aktueller Studien- ergebnisse motiviert und die Defense-in-Depth Strategie als Best Practice Empfehlung vorgestellt. Wir zeigen auf, wie moderne Network Security Appliances in bestehende Netze nachgerüstet werden können und dort von der Erfassung der Kommunikationsbeziehungen über die Herleitung und Durchsetzung sinnvoller Regelwerke bis zu Schutzmaßnahmen bei Umbau und Erweiterung ihren Lösungsbeitrag zu wesentlichen Teilaufgaben des Benchmarks leisten. Dipl.-Ing. Oliver Puls ist Leiter Marketing Netzwerktechnik in der Business Unit Automation von Phoenix Contact. Seit 1990 arbeitete er an der Definition und Vermarktung von Interbus mit. Heute ist er verantwortlich die Definition, Entwicklung und Vermarktung Ethernet- basierender Infrastrukturprodukte und Lösungen für den industriellen Einsatz. Das Produktportfolio umfasst Wired, Wireless und Security Produkte. Oliver Puls studierte Elektrotechnik mit Schwerpunkt Automatisierungstechnik. [email protected] Dipl.-Math. Torsten Rössel ist Director Business Development bei der Innominate Security Technologies AG. Er arbeitet seit 1994 im Gebiet der Internet-Technologien. Heute verantwortet er die Definition und Positionierung neuer Produkte und Lösungen sowie die Bereiche „Technical Account Management“ und „Professional Services“. Das Unternehmen Innominate ist spezialisiert auf industrielle Netzwerksicherheit und sichere Fernwartung. [email protected]

Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

  • Upload
    buianh

  • View
    218

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK SECURITY, 8.11.2007

Konzept Phoenix und Innominate Oliver Puls, Phoenix Contact GmbH & Co. KG, Blomberg Torsten Rössel, Innominate Security Technologies AG, Berlin Zugriff und Verkehr unter Kontrolle: Sicherheit in industriellen Netzwerken Prinzipiell ist Ethernet aufgrund der vielen standardisierten Technologien anderen Kommunikationstechnologien deutlich überlegen. Handlungsbedarf besteht dahingehend, diese Technologien in industriegerechte Produkte zu überführen. Das setzt voraus,

- die für die Automatisierungstechnik geeigneten Technologien zu identifizieren und - die Handhabung auch „Nicht-IT-Fachleuten“ praktikabel zu ermöglichen. – Dazu

sollten Nutzung und Parametrierung mit klassischen Engineering Tools möglich sein.

Mit der zunehmenden Verbreitung von Ethernet-basierenden Automatisierungslösungen muss das Thema Security im Sinne von

- Schutz vor unberechtigten Zugriffen und - die Administration von Infrastruktur stärker betrachtet werden.

Der Beitrag fokussiert auf das Engineering der Netzwerkinfrastruktur, Lösungsansätze zur Veränderung eines Automatisierungsnetzwerkes im laufenden Betrieb und die Darstellung geeigneter Schutzfunktionen. Zusätzlich werden Aspekte der Netzwerk-Ferndiagnose und der sicheren Fernwartung von Anlagen erläutert. Schwerpunkt im Bereich des Engineering ist die Inbetriebnahme, Diagnose und Wartung von IT Technologien aus modernen SPS Engineering Tools. Als Beispiel werden Topologieerkennungsmechanismen (z.B. LLDP), Transportmechanismen für Diagnosedaten und die Multi-Device Konfiguration von Automatisierungsgeräten erläutert.

Der Bedarf nach mehr Sicherheit für industrielle Netze wird anhand aktueller Studien-ergebnisse motiviert und die Defense-in-Depth Strategie als Best Practice Empfehlung vorgestellt. Wir zeigen auf, wie moderne Network Security Appliances in bestehende Netze nachgerüstet werden können und dort von der Erfassung der Kommunikationsbeziehungen über die Herleitung und Durchsetzung sinnvoller Regelwerke bis zu Schutzmaßnahmen bei Umbau und Erweiterung ihren Lösungsbeitrag zu wesentlichen Teilaufgaben des Benchmarks leisten.

Dipl.-Ing. Oliver Puls ist Leiter Marketing Netzwerktechnik in der Business Unit Automation von Phoenix Contact. Seit 1990 arbeitete er an der Definition und Vermarktung von Interbus mit. Heute ist er verantwortlich die Definition, Entwicklung und Vermarktung Ethernet-basierender Infrastrukturprodukte und Lösungen für den industriellen Einsatz. Das Produktportfolio umfasst Wired, Wireless und Security Produkte. Oliver Puls studierte Elektrotechnik mit Schwerpunkt Automatisierungstechnik. [email protected]

Dipl.-Math. Torsten Rössel ist Director Business Development bei der Innominate Security Technologies AG. Er arbeitet seit 1994 im Gebiet der Internet-Technologien. Heute verantwortet er die Definition und Positionierung neuer Produkte und Lösungen sowie die Bereiche „Technical Account Management“ und „Professional Services“. Das Unternehmen Innominate ist spezialisiert auf industrielle Netzwerksicherheit und sichere Fernwartung. [email protected]

Page 2: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 1

Zugriff und Verkehr unter Kontrolle:Sicherheit in industriellen Netzwerken

Technik-Benchmark: SecurityFrankfurt am Main, 8. November 2007

Oliver Puls – Phoenix ContactTorsten Rössel – Innominate Security Technologies

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 3: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2

Bezug zur Aufgabenstellung

Konzepte in den Bereichen1. Engineering / Netzwerkinfrastruktur2. Umbau vs. Beeinträchtigung der Produktion3. Ferndiagnose4. Administration durch den „Betriebselektriker“5. Organisation, unbeabsichtigte Störungen vermeiden

6. Risikoanalyse: Vorgehensweise, Bewertung, Kosten7. Weitere Aspekte: Sicherheit von Bedienoberflächen, Lebensdauer von PC-Systemen, OPC, Industrial Ethernet Protokolle unsicher?

Die Aufgabenstellung ist sehr komplex und im Rahmen einer 30-minütigen Präsentation nicht in ausreichender Tiefe und vollem Umfang zu behandeln. Um dennoch praxisrelevante Lösungen zu erläutern, beschränkt sich unser Vortrag heute auf die Punkte 1 bis 5.

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 4: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 3

Engineering / Netzwerkstruktur

Büronetz (vorhanden)Überlagertes Anlagennetz (jeweils redundante Verbindung zum Router)Hallennetz – Teilnetz (mehrere Anlagen) redundant an Hallen-Switch

Router

Router

Hallen-Switch

Hallen-Netz

Switchbzw. Anlagen-internesNetz (opt.)

Im Strukturbild der heutigen Anlagen der Spanplattenanlagen der Fa. Dieffenbacher ist eine typische heterogene Struktur von Kommunikationssystemen (Kombination von Ethernet und verschiedenen Feldbussen zu erkennen).

Für Anlagenerweiterungen gehen wir von einer einheitlichen Ethernet-Technologie aus. Besondere Vorteile ergeben sich bei auf Ethernet basierender Automatisierung gerade durch Redundanzkonzepte, leistungsfähige Diagnose und vor allem rückwirkungsfreies Ankoppeln/Abdocken von Segmenten. Zusätzlich sind leistungsfähigere Ferndiagnosemöglichkeiten gegeben.

Zum leichteren Verständnis soll der Aspekt Engineering / Netzwerkinfrastruktur auf Basis dieser simplifizierten Anlagentopologie erläutert werden.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 5: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 4

Aufbau einer Automatisierungszelle

Die wichtigste Komponente auf dieser Ebene stellt die SPS dar. Hier müssen alle Daten, die für den Prozessbetrieb erforderlich sind, zusammenfließen. Elementare Grundfunktionen sind dabei die Überwachung der Geräte und des Netzwerkes. Daher ist es zwingend erforderlich, Netzwerkmanagementfunktionen der SPS und des dazugehörigen Engineering Systems zur Verfügung zu stellen.

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 6: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 5

Engineering Netzwerkinfrastruktur – klassisch

Manager

Agent

Wert x = ?

Trap: x = 100 !

x = 15

MIB

MIB

MIB

Administration durch Betriebselektriker ?

Die klassische Form des Netzwerkmanagements basiert auf einer Manager-Agenten Beziehung.

Agenten sind auf den Infrastrukturkomponenten implementiert, analysieren kontinuierlich den Datenverkehr und stellen entsprechende Daten in der Management Information Base (MIB) zur Verfügung. Von dort werden Diagnosedaten per SNMP Protokoll auf Anfrage oder eigeninitiiert dem Manager, einer Netzwerkmanagementsoftware zur Verfügung gestellt.

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 7: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 6

Sinnvolle Integration von IT-Funktionen in das Engineering Tool der SPS

SNMP Trap ReceiverTFTP ServerLLDPMulti-Device Configuration

Infrastruktur-Komponenten (SNMP Kommunikation):– RSTP– MRP– Multicast– IGMP Snooping– VLAN– GVRP– Port Security– IP Adressvergabe (BootP DHCP, DHCP Option 82, DCP)

Ethernet Infrastruktur ist in der Regel nur mit IT Know-how zu administrieren. Dazu werden in der Regel spezielle Netzwerkmanagement-Tools verwendet. Nachteile dieser Tools sind hohe Lizenzkosten, hoher Einarbeitungsbedarf und das obwohl nur eine Teilmenge der umfangreichen Funktionen für die Inbetriebnahme, Wartung und ggf. den Austausch von Automatisierungsgeräten benötigt wird.

Diese Folie zeigt die für Automatisierungstechnik sinnvollen Funktionen zur Administration der Ethernet Infrastruktur aus einem Engineering Tool. Die Funktionen gliedern sich in die Bereiche:

- Geräte- und Netzwerkdiagnose (SNMP Trap)

- Firmware Download (TFTP Server)

- Topologieerkennung (LLDP)

- Typische Infrastrukturparameter, die weitestgehend identisch sind und daher vorzugsweise zentral verwaltet werden

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 8: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 7

Engineering Netzwerkstruktur – heute

Die Folie zeigt ein klassisches Engineering Werkzeug für SPSen. In einer Baumstruktur sind die angeschlossenen Automatisierungsgeräte erkennbar, die Verfügbarkeit wird kontinuierlich überprüft.

Im ersten Unterfenster ist nun ein managebarer Switch zu erkennen, er wird seitens der SPS oder des Embedded Controllers wie ein HMI oder eine E/A-Station gesehen.

Das dritte Fenster zeigt die Automatische Topologieerkennung und deren Überwachung auf Basis LLDP. Diese Topologieansicht unterstützt auch redundante, derzeit nicht aktive Pfade.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 9: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 8

Informationen zu Leistung, Netzwerklast

Bestandteil des SPS EngineeringsWBM

Eine wesentliche Information zur Bewertung der Leistung des Netzwerkes ist die sogenannte Port-Statistik. Jede Art von Datenverkehr wird hier dargestellt. Diese Diagnose setzt den Einsatz managebarer Switches voraus, was bereits in der IT Infrastruktur üblich ist, sich in der Automatisierungswelt langsam entwickelt. Die Port-Statistik liefert auch der SPS die erforderlichen Diagnosedaten.

Die Abbildungen zeigen die Darstellung dieser Information im Web-based Management und im Engineering Tool der SPS.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 10: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 9

Zusammenfassung Engineering

Die Erfassung des Ist-Zustandes ist gelöstUmfangreiche IT Diagnosefunktionen stehen heute auch SPSenzur VerfügungDamit kann der Betriebselektriker Anlagennetze administrieren (weitere Vereinfachungen erstrebenswert)Mit der Integration von IT Funktionen in SPS Engineering Tools ist ein „Look & Feel“ von IT-Werkzeugen hinfällig

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 11: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 10

Lösungen zur Erhöhung der Security

Switches mit mechanischer Zugriffsverriegelung

Layer-2 Switch-Funktionen (VLANs, ACL, Multicastfilter, …)

Router/Security Produkte

Im Bereich der Security gibt es ein weites Feld von IT Technologien (z.B. Paketfilter/Firewalls, VPN, WPA, …). Aus Automatisierungssicht ist es nach wie vor schwierig, die vielen Technologien auf Ihre Wirksamkeit hin zu bewerten. Zudem taucht auch hier die Frage des Schutzbedarfes, der Kosten und der Komplexität der Anwendung auf. Als erster Lösungsansatz sind hier 3 Security Level vorgestellt. Es wird nicht der Anspruch erhoben, damit alle denkbaren Security-Szenarien abzudecken, sondern diese Ansätze beziehen sich in erster Linie auf das Thema „unbeabsichtigter Zugriff auf Automatisierungsnetze bzw. -komponenten“.

Außerdem ist zu berücksichtigen, dass bisher eingesetzte Feldbussysteme leichter zu manipulieren sind als ein ungeschütztes Ethernet Netzwerk und die Security weit mehr durch organisatorische als durch technische Maßnahmen erhöht werden kann.

In Stufe 1 geht es einfach darum, den Zugriff auf freie RJ45-Ports von Ethernet-Geräten ohne Software-Schutzmechanismen mechanisch zu erschweren (z.B. Servicetechniker).

Stufe 2 beinhaltet die Nutzung vorhandener Software Features auf managebaren Switches.

Stufe 3 umfasst dedizierte Gerätetechnik in Form von Routern/Firewalls (Network Security Appliances).

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 12: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 11

Mehr Sicherheit ins industrielle Netz

Braucht es das überhaupt?Best Practice: Defense-in-DepthWomit? – Software vs. AppliancesLösung folgender Teilaufgaben:

Nachrüstung in bestehendes NetzErfassen der KommunikationsbeziehungenVerdichten zu Regelwerk (Legislative)Regelwerk implementieren / durchsetzen (Exekutive)Schutzmaßnahmen bei Umbau / ErweiterungNetzwerk-FerndiagnoseFernwartung (Online Service)

Überblick über den 2. Teil des Vortrags.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 13: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 12

Industrielle Steuerungen sind unsicherer als Sie vielleicht denken …

Quelle: The Industrial Ethernet Book, November 2006

Entgegen dem immer noch weit verbreiteten Glauben an ihre Robustheit, sind auch traditionelle Komponenten der industriellen Automatisierung, wie SPSen mit Ethernet-Schnittstellen, durchaus anfällig für Netzwerk-basierte Störungen.

So wurden im Jahre 2005 am Europäischen Forschungszentrum CERN 25 marktgängige SPSen von sieben Herstellern mit im Mittel je zwei verschiedenen Firmware-Ständen unter Nutzung der allgemein zugänglichen Werkzeuge Nessus (Penetrations- und Verwundbarkeits-Scanner) und Netwox (simulierte Denial-of-Service Attacken) einem Test mit unspezifischen, d.h. nicht gezielt auf die Geräte hin optimierten Angriffen unterzogen:

Selbst ohne sonstige Belastung durch kontinuierlichen produktionstypischen Datenaustausch führten 39% der Tests zu einer Fehlfunktion, in bis zu 32% der Fälle sogar zu System-Abstürzen. Bei einer Wiederholung der Tests, etwa ein Jahr später in 2006 mit neueren Firmware-Ständen, fielen die Ergebnisse zwar etwas besser aus, nach wie vor führten aber 34% der Tests zu einer Fehlfunktion und in bis zu 26% der Fälle weiterhin zu Abstürzen. Ferner zeigten stichprobenartige Tests unter produktionstypischer Last, dass ein Verlust der Kommunikationsfähigkeit unter diesen Umständen noch sehr viel wahrscheinlicher wird.

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 14: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 13

Best Practice: Defense-in-Depth

Gängige Empfehlungen:Perimeter-Schutz (ein Zaun ums ganze Netz) reicht nichtTiefengestaffelte Schutzmaßnahmen bis hin zu schutzwürdigen Endsystemen erforderlich, z.B. für

Steuerungsbereiche / ZellenLeitstände, Bedienrechner

Was nicht explizit erlaubt ist, ist verboten!

Aber:Woher bekommt man das Regelwerk?Und wie setzt man es dann praktisch durch?

Die Defense-in-Depth Strategie kannte man bereits im Mittelalter: gute Burgen hatten schon damals gestaffelte Verteidigungsanlagen, die Angreifern das Leben schwer machten. Man findet sie auch in modernen Büronetzen verwirklicht, von der Corporate Firewall zum Internet bis zur Personal Firewall auf jedem PC.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 15: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 14

Endpunkt-Sicherheit durch Software allein?

Personal Firewall / Internet Security Paket auf jeder industriellen Komponente wie in der Office-IT?Nicht praktikabel (heute jedenfalls), u.a. wegen

Heterogenität und Alter der SystemeMangelnder Rechenleistung ( Denial of Service)Patches/Updates vs. „Never touch a running system“

Mögliche Zukunft:Multi-Core CPUs, isolierte „Virtual Appliances“

Gegenwart:Reale Security Appliances= autonome Hardware + integrierte Security Firmware

Eine inhärente Sicherung der schutzbedürftigen Endsysteme durch reine Software-Maßnahmen nach dem Vorbild der Personal Firewalls aus der Office-IT ist u.a. aus den o.g. Gründen im industriellen Umfeld heute nicht praktikabel.

Gegenwärtig bieten nur „echte“ Security Appliances eine universell nutzbare und dadurch auch einheitlich managebare Lösung für Endpunkt-Sicherheit im Sinne der Defense-in-DepthStrategie. In einigen Jahren könnten diese durch vergleichbar gut von der eigentlichen Nutzfunktion isolierte virtuelle Appliances in Geräten mit entspr. Ressourcen, insbes. auf Basis von Multi-Core CPUs ergänzt oder abgelöst werden.

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 16: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 15

Verteilte Security Applianceshelfen bei der Lösung vieler Teilaufgaben

= Security Appliance (mGuard)

= Syslog Server

Hier haben wir exemplarisch verteilte Security Appliances in den Netzwerkplan der erweiterten Dieffenbacher Anlage (Soll-Zustand) integriert. Jeder der (räumlich recht weit verteilten) Steuerungsbereiche wird durch eine eigene Appliance gesichert.

Am Beispiel der - wie wir vermuten - räumlich konzentrierteren HMI-Systeme(Bedienen/Beobachten) wird gezeigt, dass auch ganze Subnetze durch eine Applianceabgesichert werden können, wo dies ausreichend und sinnvoll erscheint.

Ferner wurde der Übergang vom Produktionsnetz ins Office Network durch eine Appliancegesichert. Die Funktion des (temporär eingebrachten) Syslog Servers wird aus den folgenden Folien verständlich.

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 17: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 16

Nachrüsten und „Lernen“

Nachrüstung der Security Appliances in bestehendes Netztransparent, auch in flachen Netzen ohne Routing möglichdank „Stealth Mode“mit minimaler Netzwerk-Unterbrechungmax. eine Management-IP je Appliance benötigtkeine Wechselwirkung mit den geschützten Systemenkeine Änderungen an der sonstigen Netzwerk-Konfiguration

Erfassen der KommunikationsbeziehungenBetrieb der Appliances im „Learning Mode“mit zusätzlichem (temporärem) Syslog Server als DatensammlerTool-gestützte Auswertung / Verdichtung zu Regelwerk

Die hier beschriebenen Fähigkeiten zum einfachen, transparenten Nachrüsten der Sicherheitsgeräte und zum Erlernen der Kommunikationsbeziehungen werden dem geforderten Umgang mit einem gewachsenen, nicht komplett dokumentierten Netzwerk in besonderer Weise gerecht.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 18: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 17

Per Learning Mode zum Firewall Regelwerk

2.Konzentriere Log-Daten

zu Firewall Regeln(Werkzeug-gestützt)

3.Verifiziere und

implementiere Regelnfür bekannten Verkehr auf Appliance

1.Logge unbekannten Verkehr

auf einen Syslog Server

Iteriere bis kein unbekannterVerkehr mehr beobachtet:

Das Diagramm illustriert den Ablauf des Learning Mode Verfahrens zur Ermittlung eines sinnvollen Firewall Regelwerks für eine Security Appliance an ihrem jeweils gewählten Einsatzpunkt. Das Werkzeug-gestützte Verfahren wird von Innominate und zertifiziertenPartnern als Dienstleistung angeboten.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 19: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 18

Bestandsnetz schützen

Aktivieren des (gelernten) Firewall RegelwerksBestandsnetz damit vor unbekannter / ungewollter Kommunikation geschützt

Bei Sorge vor Überlastung / EngpässenQoS-Regeln ergänzen (Quality of Service)Zusicherung von Mindestdurchsätzen (für kritische Protokolle)Limitierung von max. Datenraten / Bandbreiten

In den Security Appliances findet das schließlich verabschiedete Firewall Gesetzeswerk nach Aktivierung seine gnadenlos wirksame Exekutive. Weil alle erlaubten Datenpakete gleich (erlaubt) sind, aber manche eben evtl. doch ein wenig „gleicher“ sein sollen als andere, erlauben Quality of Serivce Funktionen, Protokolle und Netzwerkteilnehmer in Klassen mit unterschiedlichen Prioritäten und Durchsatzbegrenzungen nach unten und/oder oben einzuteilen.

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 20: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 19

Schutzmaßnahmen bei Umbau / Erweiterung

Abschottung der neuen SegmentePhysischer Netzzugang beschränkt, z.B.

nur aus Engineering Raumnur über (mindestens eine) Security Appliance

Authentisierung der MitarbeiterUser Firewall (benutzerspezifische Regeln)Zugang nur über VPNs mit Zertifikat und Passwort

Kontrollierte, beschränkte VerbindungenDefinierte Zielsysteme / Protokolle (individuell)

Quality of Service (QoS)Limitierung von Bandbreiten bzw. PaketratenAbhängig von Zielsystemen und Protokollen

Alle genannten Maßnahmen zielen darauf ab, wie beim lfd. Betrieb des Bestandsnetzes auch bei Umbau und Erweiterung nur explizit gewollte Verbindungen und produktiv notwendige Kommunikation im Netz zuzulassen. Dabei können beteiligte (externe) Mitarbeiter für einen gesicherten, authentisierten Zugang zum Netz ebenfalls mit (mobilen) Security Appliancesausgestattet werden.

Das QoS-Konzept kann man sich zunutze machen, um auch während bzw. durch Umbau und Erweiterung keine Überlastungen und Engpässe entstehen zu lassen.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 21: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 20

Netzwerk-Überwachung und Ferndiagnose

Netzwerkmanagement-Infrastruktur kann remote über Internet/VPN angebunden werden

SNMP Server (Netzwerk-Zustand aus Traps und Polling)Syslog Server (Firewall Events)

Appliances können aktiv Meldungen dorthin schickendirekt oder ggf. indirekt und lokal vorgefiltert

Beispiele für Alarmierungs-LogikAusfall, Nicht-Erreichbarkeit von GerätenÄnderungen an TopologieAuftreten unbekannter Kommunikation

Option: zentrales Management von Konfigurations- und Firmware-Updates

Neben der laufenden Überwachung und Diagnose des Netzwerks können bei Bedarf auch Updates von Konfiguration und Firmware-Stand der Security Appliances von zentraler Stelle ausgelöst werden. Konfigurations-Updates wie z.B. geänderte Firewall-Regeln sowie in gewissen Grenzen sogar Firmware-Updates sind auf den mGuard Appliances dabei im lfd. Betrieb und ohne Neustart der Geräte möglich.

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Page 22: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 21

Mehrwert sicherer Internet Online Service –Fernwartung über Virtual Private Networks

Sicherheit der VerbindungSchutz „voreinander“Schutz vor Übergriffen in andere Segmente

Sind aus Sicherheitsgründen ohnehin Security Appliances an fernzuwartenden Teilen einer Anlage vorhanden, lassen sich diese mit geringem Mehraufwand auch sehr elegant für die VPN-basierte sichere Fernwartung über Internet nutzen.

Dies stellt einen interessanten Mehrwert dar, da die Appliances in dieser Verwendung nicht nur Unerwünschtes (Angriffe, Schäden) verhindern, sondern eben auch etwas Erwünschtes (die Fernwartung) ermöglichen. Gerne erläutern wir Ihnen die besonderen Vorzüge dieser Lösung auf Anfrage.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Vielen Dank für Ihr Interesse und Ihre Aufmerksamkeit

Page 23: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

2 | Corporate Charts 2007

Unternehmensstruktur i

i

i i i i i

1 | Corporate Charts 2007

Welcome to PHOENIX CONTACT

Blomberg

Bad Pyrmont

Page 24: Konzept Phoenix und Innominate - all-electronics.de · 3. VDMA-TECHNIK-BENCHMARK, KONZEPT PHOENIX UND INNOMINATE 2 Bezug zur Aufgabenstellung Konzepte in den Bereichen 91. Engineering

Innominate Security Produkte Innominate – Über uns 2November 2007 www.innominate.de

Aktuelles Produkt-Portfolio

Security

Firewall

VPN

Anti-Virus

Event Management

Remote Logging

SNMP

Core

Hardened Linux

Web Interface

mGuard blademGuard deltamGuard smart mGuard PCI mGuard industrial mGuard core

Innominate Device Manager (IDM)

Vorlagenbasierte KonfigurationGeräteorientierte Struktur

De

vic

eM

anagem

ent

Firm

ware

Hard

ware

Applia

nces

Integrierte Certificate Authority (CA)Effizienter, automatisierter Roll-out

Config Push & PullStatus-Kontrolle

Innominate Security Produkte Innominate – Über uns 1November 2007 www.innominate.de

Innominate Firmenprofil:

Industrial Network Security – Made in Germany

Hersteller von innovativen Embedded Security

Lösungen für industrielle Anwendungen

Gegründet 2001

Firmensitz in Berlin

Nicht börsennotierte AG, Hauptaktionäre:

Deutsche Venture Capital (D),

TecVenture Partners (D/USA),

Good News Communications (USA/Korea)

Partnerschaft mit Phoenix Contact seit April 2007

weltweite Vermarktung von OEM-Produkten ab 2008