SecFlow Secure Industrial Gateway overview - Türkçe
-
Upload
giray-oezer -
Category
Technology
-
view
367 -
download
2
Transcript of SecFlow Secure Industrial Gateway overview - Türkçe
Kritik Yapılar için
Güvenli Network
RADiFlow RAD Group’un bir kuruluşudur.
-2-
Wireless USB
Chipset Solutions
The Access
Company
Wireless Mobile
Backhaul
iSCSI SAN
Solutions
Hi-end Adapters
for Servers
CWDM and DWDM
Solutions
Network Test
Solutions
Integrated Application Delivery
Group Distributor
in Israel
Sub-6GHz Wireless
Backhaul
Mobile TV
Transmitters
Video Conference
Solutions over IP
Secure Industrial Communication Solutions
2010 Cirosu = 1 Milyar USD
Asli Uygulamalar: • Telekom - Sabit ve Mobile• Altyapı ve Ulaşım• Kamu & Kurumsal
Yaklaşık 4,000 çalışan
© Copyright 2011, RADiFlow Ltd.
-3-
Endüstriyel Ethernet’e Giriş
Altyapı cihazları Ethernet’e geçiyor
On-line izleme ve kontrol
İşletme ve bakım için uzaktan erişim
Adanmış Endüstriyel Switcler artık kullanımda
Zorlu çevre koşulları
Ağ direnci ve cihaz güvenilirliği
Siber güvenlik yönleri önemlidir
Eski cihaz ve protokollerin güvenlik mekanizmaları eksiktir
Network artık insansız alanlarda dağıtılıyor
© Copyright 2011, RADiFlow Ltd.
Critical
Applications
Open
Connectivity
Non-Secure
Applications
Siber Güvenlik için artan farkındalık
-5-
• Utility cyber security is in a state of near chaos (Pike Research, 2011)
• Security and risk will grab decision maker’s attention (IDC Energy 2012 predictions)
• Threats to industrial and national infrastructure… endangers the real loss of property
and life (2012 Threat Predictions, McAfee Labs)
© Copyright 2011, RADiFlow Ltd.
Saldırgan Profili
• GKT – Gelişmiş Kalıcı Tehditler (APT)
“Sürekli olarak ve etkin bir şekilde özel bir birimi hedefleyen
yetenek ve niyete sahip gruba işaret eder” (wikipedia)
• Stuxnet örneği
– Birden fazla «Zero Day» açığını istismar eder
– Dijital imzalı geçerli sertifikalar kullanır
– Çok aşamalı penetrasyon kullanır
– Enfeksiyon gizleme mekanizmaları vardır.
– Belirli cihazları hedef alır
– Hedef sistemler hakkında derinlemesine bilgi
Gerektirir.
-6- © Copyright 2011, RADiFlow Ltd.
Kamu Hizmetleri Siber Tehditleri
• Kontrol Merkezinde kötü amaçlı yazılım
• Saha tarafında ihlal
• Araya girme
• Uzak ara bakım
-7- © Copyright 2011, RADiFlow Ltd.
HMI Engineering
Station
Controller1 Controller2
Dev1.2
Dev2.1
Dev2.2
Dev1.1
Facility1 Facility2
Control Room
Saldırı Örneği – Smart Grid noktalarına erişim
• Yeni Akıllı Şebeke Trafoları direkler üzerine konumlandırılıyor
• Otomasyon cihazları basit SCADA protokolleri ile uzaktan
kontrol ediliyor.
-8- © Copyright 2011, RADiFlow Ltd.
“Akıllı Şebeke Güvenlik yönergeleri önemli bir unsuru
adreslemeiyor...fiziksel ve Siber saldırıların riskleri” Electricity Grid Modernization; Report to Congressional requesters, US GAO, January 2011
DA
RTU
DA
Meter
Data
Center
Control
Center
Network Tabanlı Detaylı Savunma
-9-
Saldırı Yönü
• Kontrol Merkezinde
kötü amaçlı yazılım
• Saha tarafında ihlal
• Araya girme
• Uzak ara bakım
Security Measure
• Service-aware firewall
• Dağıtık güvenlik duvarları
• Şifreleme
• Güvenli uzak erişim
© Copyright 2011, RADiFlow Ltd.
Derinlemesine Savunma Araç Seti
-10-
L2-L4 filtre Erişim Kontrolü
Siteler arası VPN
Uzak erişim
Hizmet doğrulama
IPSec tunnels
SSH gateway
Uygulama Etkileşimli
firewall
Sistem Özellikleri Müşteri kazanımı
© Copyright 2011, RADiFlow Ltd.
• Switch içerinde gelişmiş güvenlik tedbirleri için adanmış servis
Motoru
• Geliştirilmiş Derinlemesine Savunma çözümü için kolay uygulama
Distributed service-aware firewall deployment
• Her son nokta için Servis-Etkileşimli trafik
incelemesi.
– Role-tabanlı SCADA akışı doğrulama
– Dahili Saldırganı engelleme
• Network Switch’ine Entegre Güvenlik Duvarı
– Dağıtık küçük bölümler için etkili IPS
uygulamaları
– Seri ve Ethernet cihazlar için koruma
• Merkezi Servis Yönetim Aracı
– Uçtan uca güvenlik kuralları sağlama
– Network çapında güvenlik olaylarını raporlama
-11- © Copyright 2011, RADiFlow Ltd.
HMI Engineering
Station
Controller1 Controller2
Dev1.2
Dev2.1
Dev2.2
Dev1.1
Facility2
Control Center
Facility1
Protocol
Header
Function
Code
Function
Parameters
Ethernet & IP
Header
• Desteklenen protokoller Modbus, IEC101/104, DNP3; IEC61850
Güvenlik Duvarı Kullanımı- Saha ihlali
-12-
• IEC104 dağıtık güvenlik duvarı
üzerinde diğer trafo
merkezlerinden gelen komutları
engelleyerek sadece izleme
yetkisi ile sınırlandırılır.
© Copyright 2011, RADiFlow Ltd.
Data
Center
Control
Center
Uygulama Etkileşimli Güvenlik Duvarı
• iSIM aracı kullanılarak kullanıcılar kendi network ve haritalarını ilgili servis
gruplarına göre planlayabilirler.
• Her bir çift cihaz için belirli güvenlik duvarı kuralları uygulama seviyesinde
tanımlanabilir. (fonksiyon kodları, adres aralıkları vb.)
– Kullanıcı aynı güvenlik duvarı profiline birden fazla cihaz çifti ekleyebilir.
-13- © Copyright 2011, RADiFlow Ltd.
Güvenlik Duvarı Olay Kayıtları
-14-
• Güvenlik Duvarı kurallarında oluşan her türlü sapma switch içerisinekayıt olur ve merkezi yönetim aracına rapor edilir.
– Güvenlik olaylarının kayıtları harita üzerinde ve ilgili kayıt dosyasındatutulur.
• Simülasyon modu network trafik akışlarını öğrenmek için kullanılabilir.
– Uygunsuz trafik raporlanır ancak bloklanmaz.
© Copyright 2011, RADiFlow Ltd.
GSM networkü üzerinde Encrypted tüneller
-15- © Copyright 2011, RADiFlow Ltd.
• GSM network üzerinden özel şebeke networküne bağlantı
• Hub & Spoke GRE tünelleri kullanarak Uzak Nokta bağlantısı
• GRE tünellerde IPsec kullanılır
• Uzak noktaları doğrulama için sertifikalar kullanılır.
Cell site
ISP #1
NAT
router
Cell site
ISP #2
Primary
SIM
Secondary
SIM
ACTIVE
OFF INTERNET
IPSec tunnel
IPSec tunnel
Güvenli Uzak Erişim
-17-
• Entegre Uzak erişim gateway encrypted SSH tünel kullanır.
• Optionally use reverse-SSH initiated from the secure site
• Access rights per user (locally or from RADIUS server)
• SSH tunnel used a secure transport for any user IP-based session
• User session re-routed to a local-host which sends the data via the SSH tunnel
• Gateway as session proxy hiding the local network
• On-line app-aware session security checks are performed
• May be combined with the serial gateway for secure access to console ports
© Copyright 2011, RADiFlow Ltd.
RS-232
Ethernet
RS-485
Internet
Integrated Security in a Multi-Service Industrial Switch
-18-
Çoklu
Hizmet
Esnek
Network
Güçlendirilmiş
Sistem
Güvenli
Erişim
Servis
Doğrulama
Servis
Yönetimi Operasyonel Basitlik
Derinlemesine Güvenlik
Sağlam Altyapı
© Copyright 2011, RADiFlow Ltd.
Portfolio Overview
• Endüstriyel Dizayn
• Modüler DIN rail switchler (3/7 I/O slots) veya kompakt yapı
• Zorlu ortamlar- IP30, - 40 ÷ +75° C, IEC 61850-3 EMI
• ETH or RS-232/RS-485 seri arayüz modülleri
• Networking
• Gelişmiş Ethernet anahtarlama ve IP Routing fonksiyonu
• Seri Tünel veya servis çevrimi
• Multi-Service network modemler – xDSL, Cellular
• Entegre Güvenlik Mekanizmaları
• Port başına MAC/IP filtreleme
• Dağıtık app-aware firewall
• Uzak erişim ve Inter-site bağlantı
• iSIM –Network Yönetim aracı
• Topoloji planlama ve Hizmet sağlama
• Network tanılama
• RADView EMS ile entegrasyon
© Copyright 2011, RADiFlow Ltd. -19-
Uyumlu geçiş – RADiFlow katma değeri
• Switch’lerde 3 operasyonel Entegre seri arayüz
• Seri bölümler arasında tünelleme
• Byte / Bit-stream
• Multipoint desteği
• Hizmet tanımlamalı güvenlik
– Ethernet ve seri cihazlar arası bağlantı geçidi
• Modbus, IEC101/104, DNP3 desteği
– Seri cihazlara bağlanmak için Terminal Server
-20- © Copyright 2011, RADiFlow Ltd.
RS-232/RS-485 link
Ethernet link
Serial Tunnel
Gateway service
G.8032 ETH Ring desteği
-22- © Copyright 2011, RADiFlow Ltd.
Çoklu Hizmet Taşıma
• Altyapı ağları %100 fiber bağlantıya sahip değil.
• RADiFlow switchler alternatif bağlantıları destekler
– GPRS/UMTS – 2 operatör ile GSM kapsama
– SHDSL – Özel Bakır hatlar
• Entegre Güvenlik mekanizmaları ile kullanım
-24-
FiberFiber
SHDSL
Ethernet Ring
over Mixed medias
Internet
Private ETH
Network
Private ETH
Network
© Copyright 2011, RADiFlow Ltd.
Uzak noktalar için esnek GSM bağlantısı
-25- © Copyright 2011, RADiFlow Ltd.
• GPRS/UMTS desteği
• 2 SIM kart aracılığı ile sürekli esnek link kullanımı
• Hub & Spoke GRE tüneller kullanarak uzak erişim bağlantısı
• GSM kullanıcılar için dinamik IP adres çözümleyici (NHRP)
• Hat güvenliği için Entergre Güvenlik Mekanizmaları
Cell site
ISP #1
NAT
router
Cell site
ISP #2
Primary
SIM
Secondary
SIM
ACTIVE
OFF INTERNET
IPSec tunnel
IPSec tunnel
Digital I/O geçişi
• Kritik kontrol fonksiyonları için farklı dijital sinyal kullanımı
• RADiFlow switchler, Ethernet üzerinden I/O geçişlerini sağlar
– Giriş sinyalinin Çoklu-nokta desteği
– Sinyal geöişlerinin garantilenmiş zamanlama geçişi
-26- © Copyright 2011, RADiFlow Ltd.
iSIM – Hizmet-Duyarlı Network Yönetimi
• O&M araçları
– Hata raporları ve kayıtları
– Network çapında bakım
– Network kullanım takibi
-27- © Copyright 2011, RADiFlow Ltd.
• End-to-End sağlama
– Network topoloji haritası
– Hizmet Sağlama
– Güvenlik yapısı ve uygulama duyarlı
kurallar
• Genel
– Client/Server
– Switch başı lisans
– RADView entegrasyonu
Rekabet Analizi
-28-
Özellik Endüstri
Kriteri
RADiFlow
teklifi
Yorumlar
Endüstriyel Sınıf + +
Ethernet switching + +
Industrial Ethernet + + Hızlı Ring esnekliği
Clock sync. + + 1588v2
IP routing + ++ RADiflow switchlerde var
Network Security + +++ Hizmet Duyarlı Firewall
Remote Security - +++ Entegre kriptolu tünel
Serial migration + +++ Entegre legacy tunnel/gateway
Multi-Service - ++ Integrated GSM modem
Management tools + +++ Uçtan uca Hizmet yönetimi
© Copyright 2011, RADiFlow Ltd.
Dağıtık Altyapı Ağı– Güvenli ve Kolay
-30- © Copyright 2011, RADiFlow Ltd.
RTUs
Secure Gateway
RTUs IEDs
Utility
Site
Utility
Site
Serial
IEDs
3G Modem RADiFlow
Switch
Serial Gateway
Service-aware Firewall
Internet
Private
Network
Control Center Utility site (zoom-in)
Ethernet
Switch
Uygulama Örnekleri
• İletim ve Dağıtım
– Smart-Grid Dağıtımı
– Trafo Merkezi LAN
– Yeşil Enerji Kontrolü
© Copyright 2011, RADiFlow Ltd.
• Akıllı Taşımacılık
– Metro Subway ağı
– Büyük ölçekli Raylı Sistemler
– Otoban trafik kontrolü
Ağ Bileşenleri
İletim
Dağıtım
Smart Grid ölçüm
Evolving
Evolving
New
Üretim
© Copyright 2011, RADiFlow Ltd. -33-
Smart-Grid distribution network
“New intelligent MV-LV transformation centres with metering, power monitoring and capacity automation”
• Modern secondary sub-station requiring
-35-
PLC
RTU Power
Monitoring
Meters
Concentrator
Secondary
Sub-stations
3080
switch
Metering
Data Center
Secondary
Sub-station
Automation
Control Center
WiMAX
Modem
Cellular
Antenna
© Copyright 2011, RADiFlow Ltd.
• Encrypted tunnels when using
a public network
• Firewall for uplink protocols
(IEC104, IEC61850, Modbus)
• Gateway for serial IEDs
RADiFlow compact switch integrates all the functions
Migration to IP-based SCADA to sub-stations
• Connectivity of sub-station devices to new IP-based SCADA– Per-site firewall for industrial automation protocols
– Secure terminal server for maintenance sessions
– Encrypted tunnels when using wireless links
– Serial to ETH protocol gateway
-37-
Control Center Sub-Station
© Copyright 2011, RADiFlow Ltd.
Trafo Merkezlerinin Bağlantıları- Mevcut durum
-39- © Copyright 2011, RADiFlow Ltd.
Network Kısıtlamaları
• S.S. IEDs SCADA direct erişimi
• Saha teknisyeni erişimi:
– Diğer Trafo Merkezleri
– Merkezi Depolama
– RTU tesisi
• Uzak noktalara Teknisyen erişimi
• Trafo Merkezleri arasında bilgi
paylaşımı
SCADA
Sub-Station
Control Center
SDH/Packet
Network
Sub-station
RTU
Facility RTU
Sub-station IEDs
Field
Technician
Internet
Remote
Technician
Storage
Trafo Merkezleri arasında güvenli bağlantı
ihtiyacı
Trafo Merkezlerinin Bağlantıları- Beklenen Gelişmeler
-40-
SCADA
© Copyright 2011, RADiFlow Ltd.
Sub-Station
Control Center
SDH/Packet
Network
S.S.
RTU
Facility RTU
Sub-station IEDs Field
Technician
Internet
Remote
Technician
Storage
LAN cihazlarının Omurgaya
güvenli switchler ile bağlanması
• VLAN/SubNet kullanılarak
Network ayırımı
• Cihaz başına Uygulama-Duyarlı
Firewall
• Güvenli Uzak Erişim
• Serial-to-ETH protocol gateway
Packet-tabanlı network WAN ve LAN
-41- © Copyright 2011, RADiFlow Ltd.
• Her lokasyonda PE Router kullanılark oluşturulmuş Omurga yapısı
• Kritik WAN hizmetleri dağıtık güvenlik gerektirir
• Trafo Merkezi LAN desteği
• Güvenli SCADA IEC104 RTU
• IEC61850 LAN
• Serial IED geçişiControl Center
Sub-station
Power
Generation
Sub-stations
3700
switch
3700
switch
RTU
RTU
IEDs
IEDs
Metro subway Kontrol Ağı
• Metro subway Kontrol uygulamaları her istasyondabulunan akıllı cihazların iletişimini gerektirir
– VLANs as service ID kullanarak IP/MPLS omurgasınabağlanan Ethernet erişim switchleri
– Dağıtık ModBus firewall kullanan Ethernet, Serial &Discrete cihazların birlikteliği
– Dağıtık cihaz sonlandırma metodları kullanaraktrenlerden kontrol merkezine güvenli mobil erişim.
-44- © Copyright 2011, RADiFlow Ltd.
IP/MPLS
backbone
RADiFlow switches build a secure subway network
Large scale transportation control network
• Large-scale transportation control applications require
communication with smart devices along the route
– Ethernet access sub-nets with IP/MPLS backbone
– Secure access to the critical services using mainly
ModbBus protocol
– Mixture of Ethernet, Serial & Discrete devices
– Variety of inter-site links
-45- © Copyright 2011, RADiFlow Ltd.
IP/MPLS
backbone
ETH Ring
(over Fiber & Copper) ETH
Ring
Özet
• Ethernet kullanan Modern Kritik yapı uygulamaları
– Ağlar arası güvenlik bir zorunluluktur.
• RADiFlow Hizmet-Duyarlı Endüstriyel Ethernet çözümü
– Unique distributed service-aware firewall by the network
– Integrated defense-in-depth tool-set
– Optimize CapEx and OpEx
-46- © Copyright 2011, RADiFlow Ltd.
Daha fazla bilgi için:
+90 553 465 40 90