RAD SecFlow

Transcript

1. Kritik Yapılar için Güvenli Network

2. RADiFlow RAD Group’un bir kuruluşudur. - 2 - Wireless USB

   Chipset Solutions The Access Company Wireless Mobile Backhaul iSCSI SAN Solutions Hi-end Adapters for Servers CWDM and DWDM Solutions Network Test Solutions Integrated Application Delivery Group Distributor in Israel Sub-6GHz Wireless Backhaul Mobile TV Transmitters Video Conference Solutions over IP Secure Industrial Communication Solutions 2010 Cirosu = 1 Milyar USD Asli Uygulamalar: • Telekom - Sabit ve Mobile • Altyapı ve Ulaşım • Kamu & Kurumsal Yaklaşık 4,000 çalışan © Copyright 2011, RADiFlow Ltd.

3. - 3 - Endüstriyel Ethernet’e Giriş Altyapı cihazları Ethernet’e geçiyor

    On-line izleme ve kontrol  İşletme ve bakım için uzaktan erişim Adanmış Endüstriyel Switcler artık kullanımda  Zorlu çevre koşulları  Ağ direnci ve cihaz güvenilirliği Siber güvenlik yönleri önemlidir  Eski cihaz ve protokollerin güvenlik mekanizmaları eksiktir  Network artık insansız alanlarda dağıtılıyor © Copyright 2011, RADiFlow Ltd. Critical Applications Open Connectivity Non-Secure Applications

4. Siber Güvenlik için artan farkındalık - 5 - • Utility

   cyber security is in a state of near chaos (Pike Research, 2011) • Security and risk will grab decision maker’s attention (IDC Energy 2012 predictions) • Threats to industrial and national infrastructure… endangers the real loss of property and life (2012 Threat Predictions, McAfee Labs) © Copyright 2011, RADiFlow Ltd.

5. Saldırgan Profili • GKT – Gelişmiş Kalıcı Tehditler (APT) “Sürekli

   olarak ve etkin bir şekilde özel bir birimi hedefleyen yetenek ve niyete sahip gruba işaret eder” (wikipedia) • Stuxnet örneği – Birden fazla «Zero Day» açığını istismar eder – Dijital imzalı geçerli sertifikalar kullanır – Çok aşamalı penetrasyon kullanır – Enfeksiyon gizleme mekanizmaları vardır. – Belirli cihazları hedef alır – Hedef sistemler hakkında derinlemesine bilgi Gerektirir. - 6 - © Copyright 2011, RADiFlow Ltd.

6. Kamu Hizmetleri Siber Tehditleri • Kontrol Merkezinde kötü amaçlı yazılım

   • Saha tarafında ihlal • Araya girme • Uzak ara bakım - 7 - © Copyright 2011, RADiFlow Ltd. HMI Engineering Station Controller1 Controller2 Dev1.2 Dev2.1 Dev2.2 Dev1.1 Facility1 Facility2 Control Room

7. Saldırı Örneği – Smart Grid noktalarına erişim • Yeni Akıllı

   Şebeke Trafoları direkler üzerine konumlandırılıyor • Otomasyon cihazları basit SCADA protokolleri ile uzaktan kontrol ediliyor. - 8 - © Copyright 2011, RADiFlow Ltd. “Akıllı Şebeke Güvenlik yönergeleri önemli bir unsuru adreslemeiyor...fiziksel ve Siber saldırıların riskleri” Electricity Grid Modernization; Report to Congressional requesters, US GAO, January 2011 DA RTU DA Meter Data Center Control Center

8. Network Tabanlı Detaylı Savunma - 9 - Saldırı Yönü •

   Kontrol Merkezinde kötü amaçlı yazılım • Saha tarafında ihlal • Araya girme • Uzak ara bakım Security Measure • Service-aware firewall • Dağıtık güvenlik duvarları • Şifreleme • Güvenli uzak erişim © Copyright 2011, RADiFlow Ltd.

9. Derinlemesine Savunma Araç Seti - 10 - L2-L4 filtre Erişim

   Kontrolü Siteler arası VPN Uzak erişim Hizmet doğrulama IPSec tunnels SSH gateway Uygulama Etkileşimli firewall Sistem Özellikleri Müşteri kazanımı © Copyright 2011, RADiFlow Ltd. • Switch içerinde gelişmiş güvenlik tedbirleri için adanmış servis Motoru • Geliştirilmiş Derinlemesine Savunma çözümü için kolay uygulama

10. Distributed service-aware firewall deployment • Her son nokta için Servis-Etkileşimli

    trafik incelemesi. – Role-tabanlı SCADA akışı doğrulama – Dahili Saldırganı engelleme • Network Switch’ine Entegre Güvenlik Duvarı – Dağıtık küçük bölümler için etkili IPS uygulamaları – Seri ve Ethernet cihazlar için koruma • Merkezi Servis Yönetim Aracı – Uçtan uca güvenlik kuralları sağlama – Network çapında güvenlik olaylarını raporlama - 11 - © Copyright 2011, RADiFlow Ltd. HMI Engineering Station Controller1 Controller2 Dev1.2 Dev2.1 Dev2.2 Dev1.1 Facility2 Control Center Facility1 Protocol Header Function Code Function Parameters Ethernet & IP Header • Desteklenen protokoller Modbus, IEC101/104, DNP3; IEC61850

11. Güvenlik Duvarı Kullanımı- Saha ihlali - 12 - • IEC104

    dağıtık güvenlik duvarı üzerinde diğer trafo merkezlerinden gelen komutları engelleyerek sadece izleme yetkisi ile sınırlandırılır. © Copyright 2011, RADiFlow Ltd. Data Center Control Center

12. Uygulama Etkileşimli Güvenlik Duvarı • iSIM aracı kullanılarak kullanıcılar kendi

    network ve haritalarını ilgili servis gruplarına göre planlayabilirler. • Her bir çift cihaz için belirli güvenlik duvarı kuralları uygulama seviyesinde tanımlanabilir. (fonksiyon kodları, adres aralıkları vb.) – Kullanıcı aynı güvenlik duvarı profiline birden fazla cihaz çifti ekleyebilir. - 13 - © Copyright 2011, RADiFlow Ltd.

13. Güvenlik Duvarı Olay Kayıtları - 14 - • Güvenlik Duvarı

    kurallarında oluşan her türlü sapma switch içerisine kayıt olur ve merkezi yönetim aracına rapor edilir. – Güvenlik olaylarının kayıtları harita üzerinde ve ilgili kayıt dosyasında tutulur. • Simülasyon modu network trafik akışlarını öğrenmek için kullanılabilir. – Uygunsuz trafik raporlanır ancak bloklanmaz. © Copyright 2011, RADiFlow Ltd.

14. GSM networkü üzerinde Encrypted tüneller - 15 - © Copyright

    2011, RADiFlow Ltd. • GSM network üzerinden özel şebeke networküne bağlantı • Hub & Spoke GRE tünelleri kullanarak Uzak Nokta bağlantısı • GRE tünellerde IPsec kullanılır • Uzak noktaları doğrulama için sertifikalar kullanılır. Cell site ISP #1 NAT router Cell site ISP #2 Primary SIM Secondary SIM ACTIVE OFF INTERNET IPSec tunnel IPSec tunnel

15. Güvenli Uzak Erişim - 17 - • Entegre Uzak erişim

    gateway encrypted SSH tünel kullanır. • Optionally use reverse-SSH initiated from the secure site • Access rights per user (locally or from RADIUS server) • SSH tunnel used a secure transport for any user IP-based session • User session re-routed to a local-host which sends the data via the SSH tunnel • Gateway as session proxy hiding the local network • On-line app-aware session security checks are performed • May be combined with the serial gateway for secure access to console ports © Copyright 2011, RADiFlow Ltd. RS-232 Ethernet RS-485 Internet

16. Integrated Security in a Multi-Service Industrial Switch - 18 -

    Çoklu Hizmet Esnek Network Güçlendirilmiş Sistem Güvenli Erişim Servis Doğrulama Servis Yönetimi Operasyonel Basitlik Derinlemesine Güvenlik Sağlam Altyapı © Copyright 2011, RADiFlow Ltd.

17. Portfolio Overview • Endüstriyel Dizayn • Modüler DIN rail switchler

    (3/7 I/O slots) veya kompakt yapı • Zorlu ortamlar- IP30, - 40 ÷ +75° C, IEC 61850-3 EMI • ETH or RS-232/RS-485 seri arayüz modülleri • Networking • Gelişmiş Ethernet anahtarlama ve IP Routing fonksiyonu • Seri Tünel veya servis çevrimi • Multi-Service network modemler – xDSL, Cellular • Entegre Güvenlik Mekanizmaları • Port başına MAC/IP filtreleme • Dağıtık app-aware firewall • Uzak erişim ve Inter-site bağlantı • iSIM –Network Yönetim aracı • Topoloji planlama ve Hizmet sağlama • Network tanılama • RADView EMS ile entegrasyon © Copyright 2011, RADiFlow Ltd. - 19 -

18. Uyumlu geçiş – RADiFlow katma değeri • Switch’lerde 3 operasyonel

    Entegre seri arayüz • Seri bölümler arasında tünelleme • Byte / Bit-stream • Multipoint desteği • Hizmet tanımlamalı güvenlik – Ethernet ve seri cihazlar arası bağlantı geçidi • Modbus, IEC101/104, DNP3 desteği – Seri cihazlara bağlanmak için Terminal Server - 20 - © Copyright 2011, RADiFlow Ltd. RS-232/RS-485 link Ethernet link Serial Tunnel Gateway service

19. G.8032 ETH Ring desteği - 22 - © Copyright 2011,

    RADiFlow Ltd.

20. Çoklu Hizmet Taşıma • Altyapı ağları %100 fiber bağlantıya sahip

    değil. • RADiFlow switchler alternatif bağlantıları destekler – GPRS/UMTS – 2 operatör ile GSM kapsama – SHDSL – Özel Bakır hatlar • Entegre Güvenlik mekanizmaları ile kullanım - 24 - Fiber Fiber SHDSL Ethernet Ring over Mixed medias Internet Private ETH Network Private ETH Network © Copyright 2011, RADiFlow Ltd.

21. Uzak noktalar için esnek GSM bağlantısı - 25 - ©

    Copyright 2011, RADiFlow Ltd. • GPRS/UMTS desteği • 2 SIM kart aracılığı ile sürekli esnek link kullanımı • Hub & Spoke GRE tüneller kullanarak uzak erişim bağlantısı • GSM kullanıcılar için dinamik IP adres çözümleyici (NHRP) • Hat güvenliği için Entergre Güvenlik Mekanizmaları Cell site ISP #1 NAT router Cell site ISP #2 Primary SIM Secondary SIM ACTIVE OFF INTERNET IPSec tunnel IPSec tunnel

22. Digital I/O geçişi • Kritik kontrol fonksiyonları için farklı dijital

    sinyal kullanımı • RADiFlow switchler, Ethernet üzerinden I/O geçişlerini sağlar – Giriş sinyalinin Çoklu-nokta desteği – Sinyal geöişlerinin garantilenmiş zamanlama geçişi - 26 - © Copyright 2011, RADiFlow Ltd.

23. iSIM – Hizmet-Duyarlı Network Yönetimi • O&M araçları – Hata

    raporları ve kayıtları – Network çapında bakım – Network kullanım takibi - 27 - © Copyright 2011, RADiFlow Ltd. • End-to-End sağlama – Network topoloji haritası – Hizmet Sağlama – Güvenlik yapısı ve uygulama duyarlı kurallar • Genel – Client/Server – Switch başı lisans – RADView entegrasyonu

24. Rekabet Analizi - 28 - Özellik Endüstri Kriteri RADiFlow teklifi

    Yorumlar Endüstriyel Sınıf + + Ethernet switching + + Industrial Ethernet + + Hızlı Ring esnekliği Clock sync. + + 1588v2 IP routing + ++ RADiflow switchlerde var Network Security + +++ Hizmet Duyarlı Firewall Remote Security - +++ Entegre kriptolu tünel Serial migration + +++ Entegre legacy tunnel/gateway Multi-Service - ++ Integrated GSM modem Management tools + +++ Uçtan uca Hizmet yönetimi © Copyright 2011, RADiFlow Ltd.

25. Dağıtık Altyapı Ağı– Güvenli ve Kolay - 30 - ©

    Copyright 2011, RADiFlow Ltd. RTUs Secure Gateway RTUs IEDs Utility Site Utility Site Serial IEDs 3G Modem RADiFlow Switch Serial Gateway Service-aware Firewall Internet Private Network Control Center Utility site (zoom-in) Ethernet Switch

26. Uygulama Örnekleri • İletim ve Dağıtım – Smart-Grid Dağıtımı –

    Trafo Merkezi LAN – Yeşil Enerji Kontrolü © Copyright 2011, RADiFlow Ltd. • Akıllı Taşımacılık – Metro Subway ağı – Büyük ölçekli Raylı Sistemler – Otoban trafik kontrolü

27. Ağ Bileşenleri İletim Dağıtım Smart Grid ölçüm Evolving Evolving New

    Üretim © Copyright 2011, RADiFlow Ltd. - 33 -

28. Smart-Grid distribution network “New intelligent MV-LV transformation centres with metering,

    power monitoring and capacity automation” • Modern secondary sub-station requiring - 35 - PLC RTU Power Monitoring Meters Concentrator Secondary Sub-stations 3080 switch Metering Data Center Secondary Sub-station Automation Control Center WiMAX Modem Cellular Antenna © Copyright 2011, RADiFlow Ltd. • Encrypted tunnels when using a public network • Firewall for uplink protocols (IEC104, IEC61850, Modbus) • Gateway for serial IEDs RADiFlow compact switch integrates all the functions

29. Migration to IP-based SCADA to sub-stations • Connectivity of sub-station

    devices to new IP-based SCADA – Per-site firewall for industrial automation protocols – Secure terminal server for maintenance sessions – Encrypted tunnels when using wireless links – Serial to ETH protocol gateway - 37 - Control Center Sub-Station © Copyright 2011, RADiFlow Ltd.

30. Trafo Merkezlerinin Bağlantıları- Mevcut durum - 39 - © Copyright

    2011, RADiFlow Ltd. Network Kısıtlamaları • S.S. IEDs SCADA direct erişimi • Saha teknisyeni erişimi: – Diğer Trafo Merkezleri – Merkezi Depolama – RTU tesisi • Uzak noktalara Teknisyen erişimi • Trafo Merkezleri arasında bilgi paylaşımı SCADA Sub-Station Control Center SDH/Packet Network Sub-station RTU Facility RTU Sub-station IEDs Field Technician Internet Remote Technician Storage Trafo Merkezleri arasında güvenli bağlantı ihtiyacı

31. Trafo Merkezlerinin Bağlantıları- Beklenen Gelişmeler - 40 - SCADA ©

    Copyright 2011, RADiFlow Ltd. Sub-Station Control Center SDH/Packet Network S.S. RTU Facility RTU Sub-station IEDs Field Technician Internet Remote Technician Storage LAN cihazlarının Omurgaya güvenli switchler ile bağlanması • VLAN/SubNet kullanılarak Network ayırımı • Cihaz başına Uygulama-Duyarlı Firewall • Güvenli Uzak Erişim • Serial-to-ETH protocol gateway

32. Packet-tabanlı network WAN ve LAN - 41 - © Copyright

    2011, RADiFlow Ltd. • Her lokasyonda PE Router kullanılark oluşturulmuş Omurga yapısı • Kritik WAN hizmetleri dağıtık güvenlik gerektirir • Trafo Merkezi LAN desteği • Güvenli SCADA  IEC104 RTU • IEC61850 LAN • Serial IED geçişi Control Center Sub-station Power Generation Sub-stations 3700 switch 3700 switch RTU RTU IEDs IEDs

33. Metro subway Kontrol Ağı • Metro subway Kontrol uygulamaları her

    istasyonda bulunan akıllı cihazların iletişimini gerektirir – VLANs as service ID kullanarak IP/MPLS omurgasına bağlanan Ethernet erişim switchleri – Dağıtık ModBus firewall kullanan Ethernet, Serial & Discrete cihazların birlikteliği – Dağıtık cihaz sonlandırma metodları kullanarak trenlerden kontrol merkezine güvenli mobil erişim. - 44 - © Copyright 2011, RADiFlow Ltd. IP/MPLS backbone RADiFlow switches build a secure subway network

34. Large scale transportation control network • Large-scale transportation control applications

    require communication with smart devices along the route – Ethernet access sub-nets with IP/MPLS backbone – Secure access to the critical services using mainly ModbBus protocol – Mixture of Ethernet, Serial & Discrete devices – Variety of inter-site links - 45 - © Copyright 2011, RADiFlow Ltd. IP/MPLS backbone ETH Ring (over Fiber & Copper) ETH Ring

35. Özet • Ethernet kullanan Modern Kritik yapı uygulamaları – Ağlar

    arası güvenlik bir zorunluluktur. • RADiFlow Hizmet-Duyarlı Endüstriyel Ethernet çözümü – Unique distributed service-aware firewall by the network – Integrated defense-in-depth tool-set – Optimize CapEx and OpEx - 46 - © Copyright 2011, RADiFlow Ltd. Daha fazla bilgi için: [email protected] +90 553 465 40 90