SlideShare ist ein Scribd-Unternehmen logo
Zonierung und Firwalling – Wir starten in Kürze
Westermo Cyber Security Webinar
Andreas Hinterschweiger & Erwin Lasinger
20. August 2020
2
Vortragender
Thema:
Zonierung & Firewalling
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Erwin Lasinger
Industrial Cyber Security Expert
erwin.lasinger@westermo.at
+43 720 303920 11
+43 676 897262211
3
Fragen
 Verwenden Sie das Chatfenster
 Stellen Sie Ihre Frage
 Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
4
Live Stream
 Sie können den Live-Stream auch entsprechend stoppen und wieder starten
 Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
5
IT-Sicherheitslücken in Berliner Wasserbetriebe
„Böswillige Hacker könnten erfolgreich und
schwerwiegend die IT sowie das Leit- und
Informationssystem Abwasser (Lisa) angreifen,
heißt es. Berlins Abwasserentsorgung könne für
mehrere Wochen zusammenbrechen.
Besonders gefährdet seien die Firewalls.
Deren Konfiguration sei "fehlerhaft, lückenhaft und
nicht nachvollziehbar", meint Alpha Strike.“
https://www.heise.de/news/Angriffswarnung-Massive-IT-Sicherheitsluecken-in-Berliner-Wasserbetrieben-4858333.html
6
Security Advisory – Ripple20
 Schwachstelle im TCP Stack welcher sehr häufig in
IoT / IIoT Geräten verwendet wird
 CVSSv3-Score von 10
 Keines der Westermo Geräte ist von dieser
Schwachstelle betroffen
 Zur Security Advisory:
https://www.westermo.de/support/security-advisories
Wird verteilt über den Security
Advisory / WeSecure Newsletter und in WeConfig automatisch angezeigt
Zonierung und Firewalling
Erwin Lasinger
8
Zone, Conduit und Firewall?
https://upload.wikimedia.org/wikipedia/commons/thumb/6/62/Frankfurt_Am_Main-Merian1770-MFHK-Komplett.jpg/1280px-Frankfurt_Am_Main-Merian1770-MFHK-Komplett.jpg
Zone 1
Zone 2
Conduit
Firewalls
9
Zone und Conduit
 Zone:
 Eigenes Netzwerk (Subnetz, VLAN)
 Eigene Sicherheitsanforderungen -
Risikoanalyse
 Wie hoch ist das Schadensausmaß und
die Eintrittswahrscheinlichkeit?
 Abhängig von der Funktion und
geographischen Lage
 Conduit:
 Verbindung zwischen mehreren Zonen
 Anfang und Ende des Conduits sind mit
einer Firewall abgesichert
 Ein Conduit kann auch mit Hilfe von VPN
Tunnel verschlüsselt werden
Conduit
Zone A
SPS Hochbehälter X
Zone B
SCADA Zentrale
10
Die Firewall
 Eine Firewall regelt den Datenverkehr zwischen zwei oder mehreren Netzwerken
(Subnetzen)
 Dafür gibt es unterschiedliche Typen von Firewalls
 Paketfilter
 Stateful Inspection (Westermo)
 …
 Deep Packet Inspektion
 Software am PC bzw. Hardware im Router
 Anhand festgelegter Regeln wird der Verkehr weitergeleitet oder geblockt
 Diese kann den Verkehr falls notwendig auch entsprechend verändern (NAT)
 Eine Hardware Firewall ersetzt keinen Virenschutz bzw. Software Firewall am PC
11
Das Netzwerkkonzept
Fernzugriff
Dezentrales EquipmentLokales Equipment
Prozessleitsystem
User, Drucker, …
Lokale Steuerungen
Firewall
Hochbehälter
Brunnen
Drucksteigerungen
Fernwartungs-PC
12
Was ist ein Risiko?
Wikipedia definition:
„Allen Definitionen gemeinsam
ist die Beschreibung des Risikos im
Zusammenhang mit gewissen
Ereignissen, die mit einer
möglichen negativen Auswirkung
(Gefahr) verknüpft sind.“
13
Die Risikoanalyse
 Jeder Netzwerkteilnehmer ist mit den entsprechenden Bedrohungsszenarien zu
bewerten
 Je nach Wahrscheinlichkeit und Schadenspotential ergibt sich dann ein entsprechendes
Risiko
 Das Risikopotential gilt es dann auf ein Minimum zu reduzieren, um einen sicheren und
störungsfreien Betrieb zu garantieren
Wagnis / Wahrscheinlichkeit
Auswirkung / Schaden
vernachlässigbar existenzbedrohendbegrenzt
seltenhäufigmittel
Geringes
Risiko
Geringes
Risiko
Mittleres
Risiko
Geringes
Risiko
Mittleres
Risiko
Mittleres
Risiko
Mittleres
Risiko
Mittleres
Risiko
Hohes
Risiko
Hohes
Risiko
Hohes
Risiko
Hohes
Risiko
14
Risikobeispiel: Prozessleitsystem
Fernzugriff
Dezentrales EquipmentLokales Equipment
Prozessleitsystem
User, Drucker, …
Lokale Steuerungen
Firewall
Hochbehälter
Brunnen
Drucksteigerungen
Fernwartungs-PC
15
Risikobeispiel: Prozessleitsystem
Prozessleitsystem
Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Resultierender Schutzbedarf:
Hoch
Gefährdung:
Beeinträchtigung durch Cyber-Angriffe
Beeinträchtigte Grundwerte:
Vertraulichkeit, Verfügbarkeit
Wahrscheinlichkeit Auswirkung Risiko ohne Maßnahmen Risiko mit Maßnahmen
Hoch Existenz-
bedrohend
Hoch Gering
Maßnahmen:
 Verwendung von Antivirus und lokalem Zugriffsschutz
 Härtung des Betriebssystems nach Herstellerangaben
 Segmentierung / Absicherung des Netzwerks
16
Der Kommunikationsplan – Generell gilt
 Alle Netzwerkteilnehmer müssen erfasst und betrachtet werden
 Wenn möglich, sollte nur von einem höheren Sicherheitslevel in ein geringeres
Sicherheitslevel kommuniziert werden
 Kommunikation auf das Notwendigste einschränken / limitieren
 Datenverkehr zwischen den unterschiedlichen Sicherheitsbedürfnissen muss über
mindestens eine, besser zwei Packet-Filter-Firewalls laufen
17
Der Kommunikationsplan
Quelle Sicherheits-
bedarf Quelle
Ziel Sicherheits-
bedarf Ziel
Protokoll
PLS Hoch Steuerung HB Mittel IEC 60870-5-104
User Mittel Webserver PLS Mittel HTTPS
PLS Hoch Webserver PLS Mittel 8000/TCP
Fernwartung Hoch PLS Hoch 21002/TCP
…
18
Die Ausgangssituation
Fernzugriff
Dezentrales EquipmentLokales Equipment
Prozessleitsystem
User, Drucker, …
Lokale Steuerungen
Firewall
Hochbehälter
Brunnen
Drucksteigerungen
Fernwartungs-PC
19
Das Resultat
Hochbehälter
Fernzugriff
Zone PLS
Prozessleitsystem
Zone SPS (lokal)
Lokale Steuerungen
Zone IT (Überblick)
User, Drucker, …
Firewall IT
Zone SPS (HB)
Steuerung
Zone Fernzugriff:
Fernwartungs-PC
Zone Web (intern)
PLS Webserver
Firewall OT
Zone HMI (HB)
HMI
Brunnen
Zone SPS (BR)
Steuerung
Zone Video (BR)
Kamera
Druckstg.
Zone SPS (DST)
Steuerung
Lokales Equipment
Dezentrales Equipment
FW
FW
FW
VLAN PLS
DMZ
VLAN SPS
20
Zone PLS – Zone IT – Zone Web (intern)
 Jede Zone stellt ein eigenes VLAN dar
 Zone PLS sendet die Daten an den
PLS Webserver
 Zone IT greift auf den PLS
Webserver zu
 Somit ist der direkte Daten-
verkehr zwischen dem Webserver
und den Usern entsprechend
geblockt und gesichert
 Der Datenverkehr ist hier
in beiden Firewalls (IT & OT)
entsprechend den verwendeten
Protokollen limitiert
Zone PLS
Prozessleitsystem
Zone SPS (lokal)
Lokale Steuerungen
Zone IT (Überblick)
User, Drucker, …
Firewall IT
Zone Web (intern)
PLS Webserver
Firewall OT
Lokales Equipment
Port 8000/TCP
HTTPS
VLAN PLS
DMZ
VLAN SPS
21
Zone PLS – Zone SPS (lokal)
 Auch hier gibt es eine saubere Auf-
trennung mit Hilfe von VLANs
 Zone PLS hat Sicherheitsbedarf:
Hoch
 Zone SPS (lokal) hat Sicherheits-
bedarf: Mittel
 Somit ist die Kommunikation von
PLS in Richtung SPS
 Lediglich das IEC104 Protokoll ist
in der OT Firewall freigegeben
Zone PLS
Prozessleitsystem
Zone SPS (lokal)
Lokale Steuerungen
Zone IT (Überblick)
User, Drucker, …
Firewall IT
Zone Web (intern)
PLS Webserver
Firewall OT
Lokales Equipment
IEC104
VLAN PLS
DMZ
VLAN SPS
22
Zone PLS – Zone SPS (HB)
Hochbehälter
Zone PLS
Prozessleitsystem
Zone SPS (lokal)
Lokale Steuerungen
Zone IT (Überblick)
User, Drucker, …
Firewall IT
Zone SPS (HB)
Steuerung
Zone Web (intern)
PLS Webserver
Firewall OT
Zone HMI (HB)
HMI
Brunnen
Zone SPS (BR)
Steuerung
Zone Video (BR)
Kamera
Druckstg.
Zone SPS (DST)
Steuerung
Lokales Equipment
Dezentrales Equipment
FW
FW
FW
IEC104VLAN PLS
DMZ
VLAN SPS
23
Die Policy – Firewallregel
(Forward)
 Diese Policy definiert den erlaubten Datenverkehr
 Bestehend aus:
 Allow / Deny
 Source Interface
 Destination Interface
 Source Address
 Destionation Address
 Source Port
 Destination Port
 Viele Felder sind „kann“ aber keine „muss“ Felder
Generell: Wer will von wo wohin mit wem und was kommunizieren
24
Die Policy – Firewallregel
(Input / Management)
 Diese Policy definiert wer auf das Gerät
zugreifen darf
 Bestehend aus:
 Allow / Deny
 Source Interface
 Source Address
 Destination Port
 Out Interface bleibt zwingend leer!
Generell: Wer darf wie auf das Gerät zugreifen
25
Regelmäßiger Überprüfungsprozess
 Generieren Sie einen Prozess zur regelmäßigen Überprüfung
 Diese Prüfung soll mindestens beinhalten
 Sind Kommunikationen weggefallen
 Hat sich eine Kommunikation verändert
 Prüfung auf Funktion (Pentesting)
26
Firewall-Logging
 Angriffe auf Ihr Netzwerk / Ihre Firewall werden Sie am schnellsten dann erkennen, wenn
Sie diese auch entsprechend überwachen
 Syslog (Kernel – Log)
 Syslog Server sollte im Netzwerk bereitgestellt werden
 Net-Filter Format
 Das erste Datenpaket der Kommunikation wird entsprechend aufgezeichnet
 Startet mit: FW-ALLOW, FW-DENY, FW-NAPT, FW-1TO1 oder FW-PF (Port Forwarding)
27
Jan 15 14:44:49 example kernel: FW-ALLOW: IN=vlan1 OUT=vlan2 MAC=00:07:7c:10:de:c1:00:80:c8:3c:25:b7:08:00:45:00:00:54:c9:84
SRC=192.168.2.10 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=51588 DF PROTO=ICMP TYPE=8 CODE=0 ID=10941 SEQ=1
Beispiel Logeintrag:
Logeintrag Bedeutung
Jan 15 14:44:49 Zeitstempel
example Hostname des Systems
kernel: Speicherort: kernel.log
FW-ALLOW: Art der Firewall-Regel, welche zugetroffen hat
IN=vlan1 Eingehendes Interface; kann bei NAT Regeln
leer sein
OUT=vlan2 Ausgehendes Interface
MAC=
00:07:7c:10:de:c1:
00:80:c8:3c:25:b7:
08:00:
45:00:00:54:c9:84
Ziel MAC-Adresse des Datenpakets
Source MAC-Adresse des Datenpakets
Ethertype, 08:00 ist IP
Daten des ersten Teils des IP-Headers
Logeintrag Bedeutung
SRC=192.168.2.10 Absender IP-Adresse, welche immer die original
IP vor einer NAT Übersetzung ist
DST=192.168.3.100 Ziel IP-Adresse (vor einer NAT Übersetzung)
LEN=84
TOS=0x00
PREC=0x00
TTL=63
ID=51588
DF
Packet-Länge und andere IP-Header
Informationen
PROTO=ICMP Das verwendete Protokoll
TYPE=8
CODE=0
ID=10941
SEQ=1
Protokollspezifische Daten und Flags (hier zum
ICMP Ping Request)
28
 Zonieren Sie Ihr Netzwerk
 Limitieren Sie per FW Regeln den Datenverkehr
auf das Notwendigste
 Überprüfen Sie diese regelmäßig
 Aktivieren / Monitoren Sie das Firewall-Logging
Generelle Empfehlungen
29
Fragen?
30
Weitere Webinare
 Alle Webinare / Aufzeichnungen sind zu finden unter:
 https://www.westermo.de/news-and-events/webinars
 Weitere Webinare der Cyber Security-Reihe:
 WAN Interfaces absichern (TbD)
 VPN (TbD)
 Logging & IDS (TbD)
 Einladungen werden über WeSecure Newsletter verteilt:
 https://www.westermo.de/news-and-
events/newsletters/wesecure
31

Weitere ähnliche Inhalte

Ähnlich wie Zonierung und firewalling - Industrieller Cyber Security

Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimag
Belsoft
 
Sensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und FensterSensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und Fenster
Didactum
 
DevicePro Flyer deutsch
DevicePro Flyer deutschDevicePro Flyer deutsch
DevicePro Flyer deutsch
cynapspro GmbH
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
Thierry Zoller
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutsch
cynapspro GmbH
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutsch
cynapspro GmbH
 
Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Dry Contact Erweiterungseinheit für Didactum Monitoring SystemeDry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Didactum
 
ApplicationPro Flyer deutsch
ApplicationPro Flyer deutschApplicationPro Flyer deutsch
ApplicationPro Flyer deutsch
cynapspro GmbH
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Udo Ornik
 
EntwicklungEinesNetzwerkmonitors
EntwicklungEinesNetzwerkmonitorsEntwicklungEinesNetzwerkmonitors
EntwicklungEinesNetzwerkmonitorsJohannes Martens
 
WPC Wireless Pressure Control
WPC Wireless Pressure ControlWPC Wireless Pressure Control
WPC Wireless Pressure Control
GesaSrensen
 
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
Didactum
 
Alarmsirene mit Blitzlicht
Alarmsirene mit BlitzlichtAlarmsirene mit Blitzlicht
Alarmsirene mit Blitzlicht
Didactum
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
NoCodeHardening
 
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1
Andreas Schulte
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011jamescv31
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011jamescv31
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Research
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
Andreas Pelka
 

Ähnlich wie Zonierung und firewalling - Industrieller Cyber Security (20)

Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimag
 
Cryption proflyer de
Cryption proflyer deCryption proflyer de
Cryption proflyer de
 
Sensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und FensterSensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und Fenster
 
DevicePro Flyer deutsch
DevicePro Flyer deutschDevicePro Flyer deutsch
DevicePro Flyer deutsch
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutsch
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutsch
 
Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Dry Contact Erweiterungseinheit für Didactum Monitoring SystemeDry Contact Erweiterungseinheit für Didactum Monitoring Systeme
Dry Contact Erweiterungseinheit für Didactum Monitoring Systeme
 
ApplicationPro Flyer deutsch
ApplicationPro Flyer deutschApplicationPro Flyer deutsch
ApplicationPro Flyer deutsch
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
 
EntwicklungEinesNetzwerkmonitors
EntwicklungEinesNetzwerkmonitorsEntwicklungEinesNetzwerkmonitors
EntwicklungEinesNetzwerkmonitors
 
WPC Wireless Pressure Control
WPC Wireless Pressure ControlWPC Wireless Pressure Control
WPC Wireless Pressure Control
 
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
 
Alarmsirene mit Blitzlicht
Alarmsirene mit BlitzlichtAlarmsirene mit Blitzlicht
Alarmsirene mit Blitzlicht
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
 

Mehr von Westermo Network Technologies

Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Network Technologies
 
Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
Westermo Network Technologies
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Westermo Network Technologies
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
Westermo Network Technologies
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
Westermo Network Technologies
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
Westermo Network Technologies
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
Westermo Network Technologies
 
DHCP
DHCPDHCP
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
Westermo Network Technologies
 
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
Westermo Network Technologies
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
Westermo Network Technologies
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
Westermo Network Technologies
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
Westermo Network Technologies
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
Westermo Network Technologies
 
Firewall.pdf
Firewall.pdfFirewall.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
Westermo Network Technologies
 
WLAN
WLANWLAN
Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
Westermo Network Technologies
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
Westermo Network Technologies
 
Layer 2 Redundanzen
Layer 2 RedundanzenLayer 2 Redundanzen
Layer 2 Redundanzen
Westermo Network Technologies
 

Mehr von Westermo Network Technologies (20)

Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
 
Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
 
DHCP
DHCPDHCP
DHCP
 
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
 
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
 
WLAN
WLANWLAN
WLAN
 
Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
 
Layer 2 Redundanzen
Layer 2 RedundanzenLayer 2 Redundanzen
Layer 2 Redundanzen
 

Zonierung und firewalling - Industrieller Cyber Security

  • 1. Zonierung und Firwalling – Wir starten in Kürze Westermo Cyber Security Webinar Andreas Hinterschweiger & Erwin Lasinger 20. August 2020
  • 2. 2 Vortragender Thema: Zonierung & Firewalling Dauer: 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Erwin Lasinger Industrial Cyber Security Expert erwin.lasinger@westermo.at +43 720 303920 11 +43 676 897262211
  • 3. 3 Fragen  Verwenden Sie das Chatfenster  Stellen Sie Ihre Frage  Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
  • 4. 4 Live Stream  Sie können den Live-Stream auch entsprechend stoppen und wieder starten  Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
  • 5. 5 IT-Sicherheitslücken in Berliner Wasserbetriebe „Böswillige Hacker könnten erfolgreich und schwerwiegend die IT sowie das Leit- und Informationssystem Abwasser (Lisa) angreifen, heißt es. Berlins Abwasserentsorgung könne für mehrere Wochen zusammenbrechen. Besonders gefährdet seien die Firewalls. Deren Konfiguration sei "fehlerhaft, lückenhaft und nicht nachvollziehbar", meint Alpha Strike.“ https://www.heise.de/news/Angriffswarnung-Massive-IT-Sicherheitsluecken-in-Berliner-Wasserbetrieben-4858333.html
  • 6. 6 Security Advisory – Ripple20  Schwachstelle im TCP Stack welcher sehr häufig in IoT / IIoT Geräten verwendet wird  CVSSv3-Score von 10  Keines der Westermo Geräte ist von dieser Schwachstelle betroffen  Zur Security Advisory: https://www.westermo.de/support/security-advisories Wird verteilt über den Security Advisory / WeSecure Newsletter und in WeConfig automatisch angezeigt
  • 8. 8 Zone, Conduit und Firewall? https://upload.wikimedia.org/wikipedia/commons/thumb/6/62/Frankfurt_Am_Main-Merian1770-MFHK-Komplett.jpg/1280px-Frankfurt_Am_Main-Merian1770-MFHK-Komplett.jpg Zone 1 Zone 2 Conduit Firewalls
  • 9. 9 Zone und Conduit  Zone:  Eigenes Netzwerk (Subnetz, VLAN)  Eigene Sicherheitsanforderungen - Risikoanalyse  Wie hoch ist das Schadensausmaß und die Eintrittswahrscheinlichkeit?  Abhängig von der Funktion und geographischen Lage  Conduit:  Verbindung zwischen mehreren Zonen  Anfang und Ende des Conduits sind mit einer Firewall abgesichert  Ein Conduit kann auch mit Hilfe von VPN Tunnel verschlüsselt werden Conduit Zone A SPS Hochbehälter X Zone B SCADA Zentrale
  • 10. 10 Die Firewall  Eine Firewall regelt den Datenverkehr zwischen zwei oder mehreren Netzwerken (Subnetzen)  Dafür gibt es unterschiedliche Typen von Firewalls  Paketfilter  Stateful Inspection (Westermo)  …  Deep Packet Inspektion  Software am PC bzw. Hardware im Router  Anhand festgelegter Regeln wird der Verkehr weitergeleitet oder geblockt  Diese kann den Verkehr falls notwendig auch entsprechend verändern (NAT)  Eine Hardware Firewall ersetzt keinen Virenschutz bzw. Software Firewall am PC
  • 11. 11 Das Netzwerkkonzept Fernzugriff Dezentrales EquipmentLokales Equipment Prozessleitsystem User, Drucker, … Lokale Steuerungen Firewall Hochbehälter Brunnen Drucksteigerungen Fernwartungs-PC
  • 12. 12 Was ist ein Risiko? Wikipedia definition: „Allen Definitionen gemeinsam ist die Beschreibung des Risikos im Zusammenhang mit gewissen Ereignissen, die mit einer möglichen negativen Auswirkung (Gefahr) verknüpft sind.“
  • 13. 13 Die Risikoanalyse  Jeder Netzwerkteilnehmer ist mit den entsprechenden Bedrohungsszenarien zu bewerten  Je nach Wahrscheinlichkeit und Schadenspotential ergibt sich dann ein entsprechendes Risiko  Das Risikopotential gilt es dann auf ein Minimum zu reduzieren, um einen sicheren und störungsfreien Betrieb zu garantieren Wagnis / Wahrscheinlichkeit Auswirkung / Schaden vernachlässigbar existenzbedrohendbegrenzt seltenhäufigmittel Geringes Risiko Geringes Risiko Mittleres Risiko Geringes Risiko Mittleres Risiko Mittleres Risiko Mittleres Risiko Mittleres Risiko Hohes Risiko Hohes Risiko Hohes Risiko Hohes Risiko
  • 14. 14 Risikobeispiel: Prozessleitsystem Fernzugriff Dezentrales EquipmentLokales Equipment Prozessleitsystem User, Drucker, … Lokale Steuerungen Firewall Hochbehälter Brunnen Drucksteigerungen Fernwartungs-PC
  • 15. 15 Risikobeispiel: Prozessleitsystem Prozessleitsystem Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Resultierender Schutzbedarf: Hoch Gefährdung: Beeinträchtigung durch Cyber-Angriffe Beeinträchtigte Grundwerte: Vertraulichkeit, Verfügbarkeit Wahrscheinlichkeit Auswirkung Risiko ohne Maßnahmen Risiko mit Maßnahmen Hoch Existenz- bedrohend Hoch Gering Maßnahmen:  Verwendung von Antivirus und lokalem Zugriffsschutz  Härtung des Betriebssystems nach Herstellerangaben  Segmentierung / Absicherung des Netzwerks
  • 16. 16 Der Kommunikationsplan – Generell gilt  Alle Netzwerkteilnehmer müssen erfasst und betrachtet werden  Wenn möglich, sollte nur von einem höheren Sicherheitslevel in ein geringeres Sicherheitslevel kommuniziert werden  Kommunikation auf das Notwendigste einschränken / limitieren  Datenverkehr zwischen den unterschiedlichen Sicherheitsbedürfnissen muss über mindestens eine, besser zwei Packet-Filter-Firewalls laufen
  • 17. 17 Der Kommunikationsplan Quelle Sicherheits- bedarf Quelle Ziel Sicherheits- bedarf Ziel Protokoll PLS Hoch Steuerung HB Mittel IEC 60870-5-104 User Mittel Webserver PLS Mittel HTTPS PLS Hoch Webserver PLS Mittel 8000/TCP Fernwartung Hoch PLS Hoch 21002/TCP …
  • 18. 18 Die Ausgangssituation Fernzugriff Dezentrales EquipmentLokales Equipment Prozessleitsystem User, Drucker, … Lokale Steuerungen Firewall Hochbehälter Brunnen Drucksteigerungen Fernwartungs-PC
  • 19. 19 Das Resultat Hochbehälter Fernzugriff Zone PLS Prozessleitsystem Zone SPS (lokal) Lokale Steuerungen Zone IT (Überblick) User, Drucker, … Firewall IT Zone SPS (HB) Steuerung Zone Fernzugriff: Fernwartungs-PC Zone Web (intern) PLS Webserver Firewall OT Zone HMI (HB) HMI Brunnen Zone SPS (BR) Steuerung Zone Video (BR) Kamera Druckstg. Zone SPS (DST) Steuerung Lokales Equipment Dezentrales Equipment FW FW FW VLAN PLS DMZ VLAN SPS
  • 20. 20 Zone PLS – Zone IT – Zone Web (intern)  Jede Zone stellt ein eigenes VLAN dar  Zone PLS sendet die Daten an den PLS Webserver  Zone IT greift auf den PLS Webserver zu  Somit ist der direkte Daten- verkehr zwischen dem Webserver und den Usern entsprechend geblockt und gesichert  Der Datenverkehr ist hier in beiden Firewalls (IT & OT) entsprechend den verwendeten Protokollen limitiert Zone PLS Prozessleitsystem Zone SPS (lokal) Lokale Steuerungen Zone IT (Überblick) User, Drucker, … Firewall IT Zone Web (intern) PLS Webserver Firewall OT Lokales Equipment Port 8000/TCP HTTPS VLAN PLS DMZ VLAN SPS
  • 21. 21 Zone PLS – Zone SPS (lokal)  Auch hier gibt es eine saubere Auf- trennung mit Hilfe von VLANs  Zone PLS hat Sicherheitsbedarf: Hoch  Zone SPS (lokal) hat Sicherheits- bedarf: Mittel  Somit ist die Kommunikation von PLS in Richtung SPS  Lediglich das IEC104 Protokoll ist in der OT Firewall freigegeben Zone PLS Prozessleitsystem Zone SPS (lokal) Lokale Steuerungen Zone IT (Überblick) User, Drucker, … Firewall IT Zone Web (intern) PLS Webserver Firewall OT Lokales Equipment IEC104 VLAN PLS DMZ VLAN SPS
  • 22. 22 Zone PLS – Zone SPS (HB) Hochbehälter Zone PLS Prozessleitsystem Zone SPS (lokal) Lokale Steuerungen Zone IT (Überblick) User, Drucker, … Firewall IT Zone SPS (HB) Steuerung Zone Web (intern) PLS Webserver Firewall OT Zone HMI (HB) HMI Brunnen Zone SPS (BR) Steuerung Zone Video (BR) Kamera Druckstg. Zone SPS (DST) Steuerung Lokales Equipment Dezentrales Equipment FW FW FW IEC104VLAN PLS DMZ VLAN SPS
  • 23. 23 Die Policy – Firewallregel (Forward)  Diese Policy definiert den erlaubten Datenverkehr  Bestehend aus:  Allow / Deny  Source Interface  Destination Interface  Source Address  Destionation Address  Source Port  Destination Port  Viele Felder sind „kann“ aber keine „muss“ Felder Generell: Wer will von wo wohin mit wem und was kommunizieren
  • 24. 24 Die Policy – Firewallregel (Input / Management)  Diese Policy definiert wer auf das Gerät zugreifen darf  Bestehend aus:  Allow / Deny  Source Interface  Source Address  Destination Port  Out Interface bleibt zwingend leer! Generell: Wer darf wie auf das Gerät zugreifen
  • 25. 25 Regelmäßiger Überprüfungsprozess  Generieren Sie einen Prozess zur regelmäßigen Überprüfung  Diese Prüfung soll mindestens beinhalten  Sind Kommunikationen weggefallen  Hat sich eine Kommunikation verändert  Prüfung auf Funktion (Pentesting)
  • 26. 26 Firewall-Logging  Angriffe auf Ihr Netzwerk / Ihre Firewall werden Sie am schnellsten dann erkennen, wenn Sie diese auch entsprechend überwachen  Syslog (Kernel – Log)  Syslog Server sollte im Netzwerk bereitgestellt werden  Net-Filter Format  Das erste Datenpaket der Kommunikation wird entsprechend aufgezeichnet  Startet mit: FW-ALLOW, FW-DENY, FW-NAPT, FW-1TO1 oder FW-PF (Port Forwarding)
  • 27. 27 Jan 15 14:44:49 example kernel: FW-ALLOW: IN=vlan1 OUT=vlan2 MAC=00:07:7c:10:de:c1:00:80:c8:3c:25:b7:08:00:45:00:00:54:c9:84 SRC=192.168.2.10 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=51588 DF PROTO=ICMP TYPE=8 CODE=0 ID=10941 SEQ=1 Beispiel Logeintrag: Logeintrag Bedeutung Jan 15 14:44:49 Zeitstempel example Hostname des Systems kernel: Speicherort: kernel.log FW-ALLOW: Art der Firewall-Regel, welche zugetroffen hat IN=vlan1 Eingehendes Interface; kann bei NAT Regeln leer sein OUT=vlan2 Ausgehendes Interface MAC= 00:07:7c:10:de:c1: 00:80:c8:3c:25:b7: 08:00: 45:00:00:54:c9:84 Ziel MAC-Adresse des Datenpakets Source MAC-Adresse des Datenpakets Ethertype, 08:00 ist IP Daten des ersten Teils des IP-Headers Logeintrag Bedeutung SRC=192.168.2.10 Absender IP-Adresse, welche immer die original IP vor einer NAT Übersetzung ist DST=192.168.3.100 Ziel IP-Adresse (vor einer NAT Übersetzung) LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=51588 DF Packet-Länge und andere IP-Header Informationen PROTO=ICMP Das verwendete Protokoll TYPE=8 CODE=0 ID=10941 SEQ=1 Protokollspezifische Daten und Flags (hier zum ICMP Ping Request)
  • 28. 28  Zonieren Sie Ihr Netzwerk  Limitieren Sie per FW Regeln den Datenverkehr auf das Notwendigste  Überprüfen Sie diese regelmäßig  Aktivieren / Monitoren Sie das Firewall-Logging Generelle Empfehlungen
  • 30. 30 Weitere Webinare  Alle Webinare / Aufzeichnungen sind zu finden unter:  https://www.westermo.de/news-and-events/webinars  Weitere Webinare der Cyber Security-Reihe:  WAN Interfaces absichern (TbD)  VPN (TbD)  Logging & IDS (TbD)  Einladungen werden über WeSecure Newsletter verteilt:  https://www.westermo.de/news-and- events/newsletters/wesecure
  • 31. 31

Hinweis der Redaktion

  1. Insgesamt über 30 Schachstellen 8 davon als "kritisch", weitere 9 als hoch Der IT-Sicherheitszustand sei insgesamt mangeldhaft und die aktuelle Gefährdungslage hoch Firewalls seien fehlerhaft, lückenhaft und nicht nachvollziehbar konfiguriert, auuserdem fehlen Prozesse für die regelmässige Regelwerksüberprüfung. Aussenstation teilweise schlecht abgesichert (kein Türkontakt und mit Hand aufzubrechen) und Info über Satndort öffentlich verfügbar Sofortmassnahmen: Türkontakte und Übersicht der Standorte der Aussenstationen von Homepage genommen
  2. Fa. Treck Betroffen Siemens, Schneider Electric
  3. Ergibt sich aus Schutzbedarf