AUD20 - Sicurezza delle reti industriali

Transcript

1 AUD20 - Sicurezza delle reti industriali Lesley Van Loo EMEA Senior Commercial engineer - Rockwell Automation Rev 5058-CO900B

2 Agenda Azienda connessa: valore, rischi e minacce Andamenti, difesa in profondità, architettura orientata alla sicurezza Protezione fisica (controllo degli accessi) Dispositivi più robusti (hardware ed elettronicamente) Sicurezza di rete (Firewall, VPN) Accesso remoto sicuro Riferimento 2

3 Agenda Azienda connessa: valore, rischi e minacce Andamenti, difesa in profondità, architettura orientata alla sicurezza Protezione fisica (controllo degli accessi) Dispositivi più robusti (hardware ed elettronicamente) Sicurezza di rete (Firewall, VPN) Accesso remoto sicuro Riferimenti 3

4 Azienda connessa: 4

5 Il valore dell'aggregazione delle informazioni Sistemi di gestione informativi di laboratorio Prestazioni Pianificazione della produzione Allarmi/eventi Sistemi qualità HMI Storici dei dati Sistemi di controllo Altri database Sistemi di gestione della manutenzione computerizzati Occorre trasmette le informazioni in modo veloce, affidabile e sicuro!

6 Rischi e minacce dei sistemi di controllo Applicazioni di patch di sicurezza Disastri naturali o causati dall'uomo Worm e virus Furto Sabotaggio Accesso non autorizzato Attacco Denial of Service INFORMATIVI Rischi aziendali Azioni non autorizzate dei dipendenti Accesso remoto non autorizzato Azioni involontarie dei dipendenti OPERATIVI I rischi di sicurezza aumentano le possibilità di impatto sul tempo di disponibilità del sistema, sul funzionamento sicuro e sulla perdita della proprietà intellettuale

7 Agenda Azienda connessa: valore, rischi e minacce Andamenti, difesa in profondità, architettura orientata alla sicurezza Protezione fisica (controllo degli accessi) Dispositivi più robusti (hardware ed elettronicamente) Sicurezza di rete (Firewall, VPN) Accesso remoto sicuro Riferimenti 7

8 Andamenti della sicurezza industriale Sicurezza dell'azienda connessa Infrastruttura modulare, robusta, sicura ed espandibile per l'azienda connessa: Applicazione Software Rete Difesa in profondità olistica 8

9 Andamenti della sicurezza industriale Suggerimenti rapidi sulla sicurezza Una sicurezza "accettabile" ora, è meglio di una sicurezza "perfetta"... mai (Tom West, Data General) La sicurezza in definitiva si basa - e fallisce in base - al vostro grado di accuratezza. Le persone non amano essere sempre accurate. Dipende da come si opera. (Dave Piscitello) La vostra sicurezza è forte solo quanto il vostro anello più debole Concentratevi sulle minacce note e probabili La sicurezza non è una condizione statica, è un processo interattivo Dovete solo scegliere due delle tre caratteristiche: veloce, sicuro, economico (Brett Eldridge) 9

10 Andamenti della sicurezza industriale Standard di sicurezza industriale consolidati International Society of Automation ISA/IEC (prec. ISA-99) Sicurezza dei sistemi di controllo e automazione industriale (IACS) Difesa in profondità Sviluppo IDMZ National Institute of Standards and Technology NIST Sicurezza dei sistemi di controllo industriali (ICS) Difesa in profondità Sviluppo IDMZ Department of Homeland Security / Idaho National Lab DHS INL/EXT Sicurezza informatica dei sistemi di controllo: Strategie di difesa in profondità Difesa in profondità Sviluppo IDMZ Un'applicazione sicura dipende da più livelli di protezione. La sicurezza industriale deve essere sviluppata come un sistema. 10

11 Andamenti della sicurezza industriale Rete EtherNet/IP dei sistemi di controllo e automazione industriale Predefinita aperta per consentire la coesistenza di tecnologie e l'interoperabilità dei dispositivi per le reti di sistemi di controllo e automazione industriale (IACS) Protezione per mezzo della configurazione: Proteggere la rete Perimetro di sicurezza elettronico Difendere il perimetro DMZ industriale (IDMZ) Difesa in profondità più livelli di sicurezza 11

12 Difesa in profondità - È indispensabile considerare la Profondità Un'applicazione sicura dipende da più livelli di protezione. La sicurezza industriale deve essere sviluppata come un sistema. Modello di sicurezza con più livelli Protegge i potenziali target con più livelli di protezione per ridurre i rischi di sicurezza Difesa in profondità Utilizzo di diverse contromisure di sicurezza per proteggere l'integrità di componenti o sistemi Sistema aperto Consente la partecipazione di numerosi fornitori alle nostre soluzioni di sicurezza Flessibilità Permette di soddisfare i requisiti del cliente, anche per politiche e procedure Conformità Soluzioni conformi alle direttive e ai requisiti degli enti normativi 12

13 Difesa in profondità olistica Elementi critici per la sicurezza industriale soluzione universale Un programma di sicurezza industriale bilanciato deve includere elementi Tecnici e Non-Tecnici Controlli non-tecnici regole ambientali: ad es. standard, politiche, procedure e gestione dei rischi Controlli tecnici tecnologie atte a fornire misure restrittive per controlli non tecnici: ad es. firewall, Group Policy Objects, liste di controllo degli accessi (ACL) per i livelli La sicurezza è forte solo quanto l'anello più debole Il controllo e l'attenzione ai dettagli sono ELEMENTI CHIAVE per un successo a lungo termine per la sicurezza 13

14 Innovazione nella sicurezza Realizzazione di architetture orientate alla sicurezza Requisiti di sicurezza dell'architettura Accesso autenticato Riservatezza dei dati Protezione della proprietà intellettuale Prodotti e reti più robusti Prevenzione e rilevamento di manomissioni Collaborazioni e catena di fornitura Collaborazioni Protezione e riservatezzadei dati Rete Protezione della proprietà intellettuale Sicurezza basata sui ruoli Protezione dati Rilevamento e protezione dalle manomissioni Accesso remoto Catena di fornitura 14

15 Difesa in profondità olistica Le politiche di sicurezza industriale determinano i controlli tecnici Fisica limita l'accesso fisico al solo personale autorizzato: aree/celle, pannelli di controllo, dispositivi, cablaggio e sala controllo blocchi, porte, chiavi, biometrica. Può prevedere anche politiche, procedure e tecnologie per accompagnare e monitorare i visitatori Rete infrastruttura di sicurezza ad es. firewall, lista di controllo degli accessi (ACL) switch e router, AAA, sistemi di rilevamento e prevenzione intrusioni (IDS/IPS) Robustezza di computer gestione patch, software Anti-X, rimozione di applicazioni, protocolli e servizi non utilizzati, chiusura di porte logiche non utilizzate, porte fisiche di protezione Applicazione software di autenticazione, autorizzazione e accounting (AAA) Robustezza dei dispositivi gestione delle modifiche, crittografia di comunicazione e controllo degli accessi 15

16 Architettura orientata alla sicurezza Cisco / Rockwell Automation CPwE Reference Architecture Infrastruttura di rete IACS flat e aperta Infrastruttura di rete IACS flat e aperta Infrastruttura di rete IACS strutturata e robusta 16

17 Architettura orientata alla sicurezza Cisco / Rockwell Automation CPwE Reference Architecture Infrastruttura di rete strutturata e robusta Infrastruttura scalabile con un approccio di difesa in profondità olistica La sicurezza è pervasiva, non è un componente da aggiungere a posteriori Allineamento agli standard di sicurezza industriale (ad es. ISA, NIST) Politica di sicurezza industriale: A-I-C rispetto a C-I-A Implementazione DMZ industriale Politica degli accessi remoti con implementazione robusta e sicura Buone prassi di progettazione DMZ standard AAA FactoryTalk Server autenticazione, Active Directory (AD), AAA Radius / ISE Server accessi remoti Livello 3 Operazioni in sito Zona aziendale livelli 4-5 Zona demilitarizzata industriale (IDMZ) FactoryTalk Client Robustezza SO Livello 2 Controllo di supervisione area VLAN, segmentazione Domini trust Firewall zone VLAN Stato e monitoraggio rete Catalyst 3750 StackWise Stack di switch WAN aziendale Cisco ASA 5500 Firewall (attivo) Catalyst 6500/4500 Controllori, I/O, servoazionamenti DMZ / Firewall esterno Server fisici o virtualizzati Gestione patch Server gateway desktop remoto Immagini speculari Server AV Firewall (Standby) HMI Internet Firewall impianto: Segmentazione di traffico tra zone ACL, IPS e IDS Servizi VPN Proxy servizi desktop remoto e portale Resilienza dei dispositivi di rete Infrastruttura di rete Robustezza Controllo degli accessi Sicurezza delle porte fisiche Robustezza dispositivi, elettronica I servizi di sicurezza di rete non devono interferire con le operazioni dell'impianto o del sito Robustezza dispositivi, crittografia comunicazioni Robustezza dispositivi Sicurezza fisica Procedurale Controllore Livello 1 - Controllore Controllore I/O Servoazionamento Livello 0 - Processo MCC Soft Starter 17

18 Agenda Azienda connessa: valore, rischi e minacce Andamenti, difesa in profondità, architettura orientata alla sicurezza Protezione fisica (controllo degli accessi) Dispositivi più robusti (hardware ed elettronica) Sicurezza di rete (firewall, VPN) Accesso remoto sicuro Riferimenti 18

19 Architettura orientata alla sicurezza Fisica Limita l'accesso ai sistemi di controllo e automazione industriale (IACS) al solo personale autorizzato Pannelli di controllo, dispositivi, cablaggio e sala controllo Blocchi, protezioni, chiavi, videosorveglianza, altri dispositivi di autenticazione (biometrici, tastierini ecc.). Accesso alle porte fisiche (porte Ethernet e USB) Impostare il selettore del controllore Logix su RUN 19

20 Architettura orientata alla sicurezza Sicurezza delle porte fisiche Soluzioni codificate per rame e fibra Prodotti di blocco (Lock-in e Blockout) proteggono le connessioni Porta accesso dati (cavo e jack codificati) 20

21 Agenda Azienda connessa: valore, rischi e minacce Andamenti, difesa in profondità, architettura orientata alla sicurezza Protezione fisica (controllo degli accessi) Dispositivi più robusti (hardware ed elettronica) Sicurezza di rete (firewall, VPN) Accesso remoto sicuro Riferimenti 21

22 Architettura orientata alla sicurezza Dispositivi più robusti Controllore / moduli di comunicazione Progettazione elettronica: Cambio delle password dalle impostazioni predefinite Protezione del sorgente del controllore Logix Protezione con password Dongle hardware Sicurezza FT Istruzioni AOI con firma Controllo accesso dati del controllore Logix Firmware con firma Assegnazione Trusted Slot Disabilitazione delle porte non utilizzate Switch gestiti Stratix con CLI, Device Manager o Studio 5000 (AOP e codice) Porta USB controllore Logix e scheda di comunicazione Ethernet Istruzione di messaggio (KB AID ) o Funzione Trusted slot di Studio 5000 (V20 e successive) Porte USB PC industriale 22

23 Agenda Azienda connessa: valore, rischi e minacce Andamenti, difesa in profondità, architettura orientata alla sicurezza Protezione fisica (controllo degli accessi) Dispositivi più robusti (hardware ed elettronica) Sicurezza di rete (funzioni di sicurezza Stratix, firewall, VPN) Accesso remoto sicuro Riferimenti 23

24 Architettura orientata alla sicurezza Rete robusta In che modo posso proteggere le mie reti industriali dalle minacce? Temo che degli hacker stiano cercando di entrare nel mio sistema di controllo per interferire o modificane il funzionamento La sicurezza, la disponibilità e la protezione della proprietà intellettuale per me sono tutte importanti. Una rete robusta garantisce la sicurezza della connettività aziendale, della produzione e dello sviluppo remoti. Le soluzioni di Rockwell Automation disponibili oggi includono: Regole generali di architettura Servizi di rete e sicurezza Progettazione elettronica: Modulo di comunicazione sicuro ControlLogix Portfolio Stratix di router e switch Novità! Router a servizi integrati Stratix

25 Il portfolio Stratix Integrazione dell'ambiente industriale e aziendale Prodotti che offrono: Commutazione livello 2 e livello 3 per applicazioni con reti da semplici a complesse Servizi di sicurezza avanzata Integrazione di stabilimento e azienda Connettività On-Machine Integrazione wireless in aree remote e difficili da cablare Tecnologia che offre: Funzioni avanzate di commutazione, instradamento e sicurezza Strumenti comuni per controlli e IT Miglioramento della manutenzione Design flessibile Personalizzazione basata sulle esigenze del vostro impianto Soddisfa le esigenze di automazione Stratix 8000/8300 livello 2, livello 3 Router a servizi integrati Stratix 5900 Stratix 2000 non gestito Stratix 5100 punto di accesso wireless/workgroup Bridge ArmorStratix 5700 di stabilimento Stratix 5700 livello 2 Stratix 6000 livello 2 ETAP Stratix e IT 25

26 Il valore di Stratix Progettato e sviluppato per applicazioni EtherNet/IP industriali Ottimizzazione delle prestazioni di rete QoS Qualità del servizio - le configurazioni predefinite sono allineate agli standard ODVA per applicazioni industriali EtherNet/IP per applicazioni discrete, di controllo assi, di sicurezza e processo; sicurezza: minimizzare l'impatto degli attacchi DoS IEEE1588 (CIP Sync) - L'implementazione ODVA del protocollo PTP (precision time protocol) IEEE 1588 assicura buone prestazioni di connessione ai dispositivi EtherNet/IP Semplifica progettazione, sviluppo e manutenzione DHCP per porta - assegna uno specifico indirizzo IP a ogni porta, per garantire che il dispositivo collegato a una determinata porta ottenga lo stesso indirizzo IP Rilevamento cavo interrotto - rileva problemi di cablaggio quali interruzioni, rotture, fili tagliati, fili intrecciati cortocircuitati con disponibilità dello stato in Logix Traduzione degli indirizzi di rete NAT Una traduzione degli indirizzi IP 1:1 per segmentare i dispositivi di rete a livello di macchina dalla rete dell'impianto, traduce solo i dispositivi che devono essere visibili alla rete dell'impianto

27 Funzioni di sicurezza Stratix Accesso alle porte basato su applicazione/progetto (CIP) Controllo delle porte basato su controllore (on/off) Impostazioni predefinite per l'accesso alle porte basato sulla modalità del controllore (riposo/errore) Identificazione dispositivo non autorizzato (tag) per ogni porta Sicurezza delle porte configurabili Sicurezza delle porte preconfigurata mediante smartport Configurazione del numero di dispositivi consentiti per porta Autenticazione ID MAC dispositivo configurabile Funzione Storm control (controllo della congestione) per ogni porta Traffico amministrativo crittografato Compatibile con SSHv2, SNMPv3 e HTTPS Capacità avanzata (con CLI) Più livelli (7) di protezione con password Liste di controllo accessi (ACL) per applicare le politiche di sicurezza per ogni porta 802.1x per l'autenticazione utente DHCP Snooping e IP source guard per impedire lo spoofing TACACS+ e Radius per l'autenticazione centralizzata Semplici strumenti per standardizzare e applicare le politiche di sicurezza

28 Sicurezza porte basata su indirizzi MAC Questa funzione è disponibile sugli switch gestiti Stratix 5700, 8000 e Offre un metodo semplice per limitare l'accesso host alla rete in base agli indirizzi MAC (Media Control Access Address). È possibile bloccare una specifica porta dello switch quando: Sulla porta si vede un numero di indirizzi MAC sorgente superiore a quello configurato. Gli indirizzi MAC sorgente presenti sulla porta non sono contenuti in un elenco predefinito. Ogni violazione della politica di sicurezza per le porte attiva un allarme nello switch. 28

29 Liste di controllo accessi (ACL) Nelle reti di computer è il metodo preferito dagli amministratori di rete per filtrare il traffico e applicare le politiche di sicurezza. Un amministratore di rete che, ad esempio, vuole consentire l'accesso degli utenti a Internet per esplorare pagine Web (HTTP), ma non autorizzare lo scambio di file (FTP). Una lista ACL è un elenco sequenziale di enunciati di autorizzazione o rifiuto applicabili agli indirizzi (MAC e IP) o ai protocolli di livello superiore. 29

30 Liste di controllo accessi (ACL) Le liste ACL sono applicabili a un'interfaccia (IP o porta switch) Modalità inbound (entrata) o outbound (uscita). Gli switch Stratix 5700, 8000 e 8300 supportano solo la modalità inbound per tutte le liste ACL. Quando si applica una lista di accesso all'interfaccia inbound, i pacchetti vengono controllati rispetto alla lista di accesso prima che avvenga il processo di ricerca nella tabella di instradamento o commutazione. Tutte le liste ACL hanno un comando Deny Any Any implicito alla fine; Tutto il traffico non espressamente autorizzato viene bloccato Non controlla il traffico È possibile configurare le liste di controllo degli accessi utilizzando: Command Line Interface (CLI) Interfaccia operatore principale per configurare, monitorare e manutenere i dispositivi Cisco. È lo strumento IT più utilizzato dai professionisti oggi. Cisco network Assistant (CNA) (Stratix 5700, 8000 e 8300) Configuratore Stratix (Stratix 5900) 30

31 Segmentazione di rete Infrastruttura di rete strutturata e robusta Blocchi modulari più piccoli minimizzano l'espansione della rete per realizzare un'infrastruttura di rete scalabile, modulare ed espandibile Domini di errore ridotti (ad es. loop livello 2) Domini di broadcast ridotti Domini trust ridotti (sicurezza) Diverse tecniche per creare blocchi modulari di rete ridotti (domini di livello 2) Struttura e gerarchia Modello logico organizzazione geografica e funzionale dei dispositivi IACS Modello di rete campus - modello di switch multi-tier (a più livelli) livello 2 e livello 3 Quadro logico Segmentazione Più schede di interfaccia di rete (NIC) ad es. ponte CIP Traduzione indirizzi di rete (NAT) Reti VLAN (Virtual Local Area) VLAN con NAT Router a servizi integrati (Stratix 5900) 31

32 Demo Funzioni di sicurezza della piattaforma Stratix Prodotti di blocco (lock-in e block-out) Panduit Accesso alle porte basato su applicazione/progetto (CIP) Controllo delle porte basato su controllore (on/off) Funzione storm control (AOP) Sicurezza delle porte configurabile Limite indirizzi MAC statici e dinamici Smartport -> impostazione della sicurezza delle porte preconfigurata (numero di dispositivi consentiti per porta) Segmentazione VLAN 32

33 Architettura orientata alla sicurezza Rete robusta - Segmentazione Rete a livello aziendale Rete a livello aziendale Rete a livello aziendale Rete a livello aziendale Rete a livello di impianto Switch con VLAN Rete a livello di impianto Rete a livello di impianto Rete a livello di impianto Non raccomandate come soluzioni indipendenti Raccomandata Dipende basata sugli standard del cliente, le politiche e le procedure di sicurezza, la tolleranza ai rischi e l'allineamento agli standard di sicurezza IACS Rete a livello aziendale Rete a livello aziendale Rete a livello aziendale Router (FW basato su zone) Firewall IDMZ Rete a livello di impianto Rete a livello di impianto Rete a livello di impianto Buona Migliorativa Ottima 33

34 Architettura orientata alla sicurezza Router a servizi integrati Stratix 5900 livello 2 e livello 3 Servizi di sicurezza e instradamento ottimali per livello 2 o livello 3 Router + Firewall Virtual Private Network (VPN) Traduzione indirizzi di rete (NAT) Liste di controllo accessi (ACL) 1GE WAN, 4 FE LAN, 1 porta seriale Realizzato con la tecnologia Cisco (IOS) Funzioni comuni della famiglia di switch gestiti Stratix Ethernet Strumenti di sviluppo IT comuni (CLI, DM, CiscoWorks, CCP) Supporta il monitoraggio e la ricerca guasti avanzati (Netflow) Robusto per il settore industriale, montaggio su guida DIN Ideale per connessione tra siti, firewall a zone cella/area e integrazione Ideale OEMper migliorare la protezione della comunicazione tra canali sicuri e limitare comunicazioni indesiderate per mezzo della politica adottata e del controllo

35 Stratix 5900 Device Manager Strumento di gestione dei dispositivi grafico basato su Web Viste Cruscotto, Configurazione, Monitoraggio e Manutenzione per migliorare la gestione e la diagnosi dei problemi di rete Visualizzazione in tempo reale della configurazione e delle prestazioni Semplifica le attività di configurazione del router (LAN, WAN) La visualizzazione grafica semplifica il monitoraggio e la diagnosi del router Strumenti di allarme per avvisare, identificare e risolvere i problemi di rete Connessione sicura dal vostro browser Internet

36 Configuratore Stratix CCP Software applicativo basato su PC per la gestione di dispositivi per i prodotti Stratix basati su IOS Basato su Cisco Configuration Professional (CCP) Semplici procedure guidate di configurazione per router, firewall, sistema di prevenzione dalle intrusioni (IPS), VPN, comunicazioni unificate, configurazioni WAN e LAN Download gratuito disponile dal sito di download e compatibilità dei prodotti: rockwellautomation/support/pcdc.page? 36

37 Architettura orientata alla sicurezza Router a servizi integrati Stratix 5900 livello 2 e livello 3 Il router di servizi Stratix 5900 è ideale per: Sistemi gestionali a livello aziendale Livelli 4 e 5 Data Center zona aziendale Livello IDMZ Connessione tra siti Stratix ) Connessione tra siti Stratix ) Firewall zona cella/area Sistemi operativi a livello di impianto a livello di sito Livello 3 Operazioni Server fisici o virtualizzati sito zona industriale Piattaforma server e servizi FactoryTalk Servizi di rete ad es. DNS, AD, DHCP, AAA Server accessi remoti (RAS) Gestore chiamate Storage Array Stratix ) Integrazione OEM Livelli 0-2 Zone cella/area Sito remoto 1 Zona cella/area locale 1 Skid OEM locale / Macchina 1 37

38 Firewall tradizionali Il classico controllo stateful del firewall Cisco IOS (noto in precedenza come controllo degli accessi basato sul contesto o CBAC) impiega un modello di configurazione basato su interfaccia in cui a un'interfaccia si applica una politica di controllo stateful. Tutto il traffico che attraversa l'interfaccia è soggetto alla stessa politica di controllo 38

39 Firewall basato su zone (ZBF) Il Firewall con politica basata su zone (noto anche come firewall a zone) cambia la configurazione del firewall passando dal precedente modello basato su interfaccia al nuovo modello più flessibile e comprensibile basato su zone Le interfacce sono assegnate alle zone di sicurezza e si applica la politica di controllo al traffico tra le zone. 39

40 Terminologia per firewall basati su zone Zona di sicurezza Una zona di sicurezza è un gruppo di interfacce a cui può essere applicata una politica. Ad esempio una zona di sicurezza Controllo e una zona di sicurezza Informazioni. Per default, il traffico avviene liberamente tra interfacce nella stessa zona. Coppie di zone Specifica una politica del firewall unidirezionale tra due zone. Le coppie di zone definiscono la comunicazione tra diverse zone. Politica delle zone Una politica delle zone definisce quale traffico è consentito o bloccato tra zone. Per le azioni nelle mappe della politica le selezioni sono Drop, Pass e Inspect (rifiuto, accettazione e controllo). 40

41 Demo Firewall basato su zone Stratix 5900 L'obiettivo finale di questa dimostrazione è creare due zone di sicurezza in Stratix 5900 per consentire a un laptop con Studio 5000 all'interno di una zona di sicurezza di comunicare con un controllore Logix in una differente zona di sicurezza. Le due zone di sicurezza sono configurate come segue Zona di sicurezza informativa utilizzata per pannelli operatore e workstation di progettazione con FTSudio 5000 Zona di sicurezza per il controllo utilizzata per il processore ControlLogix e i sottosistemi I/O L'obiettivo è il ping del controllore Logix e la corretta connessione con un controllore Logix nella zona di sicurezza del controllo 41

42 Virtual Private Network (VPN) Ogni membro remoto della rete può comunicare in modo sicuro e affidabile utilizzando Internet o altre reti non affidabili come mezzi trasmissivi per il collegamento alla rete LAN privata o affidabile. Riservatezza dei dati - Internet Protocol Security Protocol (IPsec), Point-to-Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP)/IPsec Integrità dei dati - Controllare che la parte crittografata del pacchetto o l'intero header e la parte dei dati del pacchetto non sia stata manomessa. In caso di rilevamento della manomissione, il pacchetto è bloccato. Autenticazione dell'origine dei dati (considerazione di secondo livello) - È estremamente importante verificare l'identità dell'origine dei dati inviati. Anti-replay - La capacità di rilevare e rifiutare i pacchetti duplicati (attacco replay) e impedire spoofing. Tunneling dei dati/riservatezza del flusso di traffico - Il tunneling è il processo di incapsulamento di un intero pacchetto in un altro pacchetto e l'invio su una rete. Autenticazione, autorizzazione e accounting (AAA) Nonrepudiation (non-ripudio, considerazione di secondo livello) È possibile scegliere i protocolli VPN e le tecnologie a supporto dei requisiti elencati sopra 42

43 Demo Connessione VPN da sito a sito Un sito è già configurato Impostiamo l'altro sito utilizzando il configuratore Stratix VPN da sito a sito rete Gi Gi rete rete Dispositivo IACS 43

44 Infrastruttura di sicurezza della rete Stratix Firewall a celle e VPN tra siti Consente la distribuzione in sicurezza di un sistema tra un sito centrale e siti più piccoli. Applicazioni: Trattamento delle acque / acque reflue Oleodotti Oil e Gas Il firewall Stratix 5900 consente di limitare/filtrare il traffico diretto alle o proveniente dalle Zone cella / area Stratix 5900 offre: Traduzione indirizzi di rete (NAT) Controllo stateful base di tutto il traffico Firewall trasparenti e con instradamento Netflow Syslog

45 Agenda Azienda connessa: valore, rischi e minacce Andamenti, difesa in profondità, architettura orientata alla sicurezza Protezione fisica (controllo degli accessi) Dispositivi più robusti (hardware ed elettronica) Sicurezza di rete (funzioni di sicurezza Stratix, firewall, VPN) Accesso remoto sicuro Riferimenti 45

46 Soluzione per l'accesso remoto sicuro Rockwell Gateway desktop remoto (implementazione NSS) Accesso remoto in sicurezza per dipendenti e collaboratori affidabili Soddisfa i requisiti IT e consente al personale dell'impianto di sfruttare risorse aziendali distribuite, condivise e dei collaboratori affidabili Infrastruttura IT comune Conformità agli standard di sicurezza dei sistemi di controllo e automazione industriale (IACS) Difesa in profondità DMZ Consente la gestione delle risorse da remoto: monitoraggio, configurazione e verifica Semplifica la gestione delle modifiche, il controllo della versione, la conformità normativa e la gestione della licenza software Permette la gestione remota dello stato generale client Un'unica soluzione non basta per tutto servono soluzioni sicure e modulari Protocollo desktop remoto (RDP) su RCP/HTTPS Gestione patch Immagini speculari Server AV Servizi gateway remoto Server applicazione FactoryTalk Visualizzazione Storico AssetCentre Transaction Manager Piattaforma servizi FactoryTalk Directory Sicurezza/Audit Server dati Tecnico o collaboratore remoto Data center aziendale WAN aziendale Rilevamento errori link Gbps Firewall (attivo) SSL VPN Catalyst 6500/4500 IPSEC VPN Client VPN generico Firewall (Standby) Catalyst 3750 Stack di switch StackWise Firewall perimetro aziendale Tecnico azienda connessa Internet Zona aziendale livelli 4 e 5 Zona aziendale livelli 4 e 5 Zona demilitarizzata (DMZ) Protocollo Desktop remoto (RDP) Zona demilitarizzata (DMZ) Server accessi remoti Servizi desktop remoto RSLogix 5000 FactoryTalk View Studio Zona industriale Operazioni del sito e controllo livello 3 EtherNet/IP Zone cella/area Livelli

47 Accesso remoto WebPort - Spectrum Control Connessioni Webport Sviluppo della connettività remota Gestione e connessione a Webport da 1 posizione centrale Sviluppato sulla piattaforma cloud Azure di Microsoft Tecnologia VPN sicura (basata su cloud Windows Azure) Registra e aggrega i dati di più webport in un database SQL Crea report dai datalog. Cruscotti personalizzati per la visualizzazione dei dati API Web consentono la condivisione dei dati Caratteristiche Webport Connettività Ethernet o 3G Sistema operativo Linux Database SQL Micro SD per estesa archiviazione dati (immediata) Switch LAN 4 porte 2 porte seriali (RS-232/RS485) Interfaccia operatore semplificata Semplicità di utilizzo dell'intuitiva interfaccia operatore Interfaccia basata su icone Display a scorrimento per aggiornamenti immediati Guida interattiva contestuale Ethernet Cellulare 3G 47

48 Accesso remoto ewon Router VPN industriale Talk2M Servizi cloud Talk2M Collegamento e attivazione con tutti i dispositivi attraverso Internet Servizio gratuito illimitato + Router VPN industriale ewon Montaggio su guida DIN, 24 VCC Facile tunneling VPN (sicuro e crittografato) attraverso la LAN del cliente LAN e porte seriali per il collegamento dei dispositivi (PLC, HMI, ) Modem opzionale (2G/3G) Ideale per firewall Accesso Web mobile SMS ed relay 48

49 L'unione Accesso remoto sicuro Soluzione buona, migliorativa, ottima Scenario/Riconoscimento di un problema Un dipendente, o una terza parte, vuole accedere al sistema di controllo da una rete esterna alla zona di produzione per partecipare alla ricerca guasti e alla manutenzione Buona soluzione Dispositivo di accesso remoto Soluzione migliorativa Soluzione buona + supporto tecnico con espansione del perimetro di sicurezza (ad es. Stratix 5900 come firewall, utilizzando FactoryTalk Security, ) Rischio/minaccia Accesso remoto non autorizzato Worm e virus Furto Sabotaggio La soluzione migliore Soluzione migliorativa + supporto tecnico con espansione del perimetro di sicurezza - attraverso l'implementazione di gateway di accesso remoto in una zona DMZ industriale $$$ Problemi di qualità per tempi di fermo non pianificati- Immagine del marchio 49

50 Cos'è la sicurezza industriale? Riduzione dei rischi L'utilizzo di tecnologie, politiche e prassi per Aumento della possibilità di evitare rischi, pericoli e perdite Miglioramento della protezione Protezione e limite RISCHIO = Vulnerabilità Minaccia Conseguenza x Frequenza Protezione di persone, proprietà e informazioni proprietarie da azioni sfavorevole malevoli e indesiderate 63