SecFlow Secure Industrial Gateway overview - Türkçe

Kritik Yapılar için

Güvenli Network

RADiFlow RAD Group’un bir kuruluşudur.

-2-

Wireless USB

Chipset Solutions

The Access

Company

Wireless Mobile

Backhaul

iSCSI SAN

Solutions

Hi-end Adapters

for Servers

CWDM and DWDM

Solutions

Network Test

Solutions

Integrated Application Delivery

Group Distributor

in Israel

Sub-6GHz Wireless

Backhaul

Mobile TV

Transmitters

Video Conference

Solutions over IP

Secure Industrial Communication Solutions

2010 Cirosu = 1 Milyar USD

Asli Uygulamalar: • Telekom - Sabit ve Mobile• Altyapı ve Ulaşım• Kamu & Kurumsal

Yaklaşık 4,000 çalışan

© Copyright 2011, RADiFlow Ltd.

http://www.bynet.co.il/

-3-

Endüstriyel Ethernet’e Giriş

Altyapı cihazları Ethernet’e geçiyor

On-line izleme ve kontrol

İşletme ve bakım için uzaktan erişim

Adanmış Endüstriyel Switcler artık kullanımda

Zorlu çevre koşulları

Ağ direnci ve cihaz güvenilirliği

Siber güvenlik yönleri önemlidir

Eski cihaz ve protokollerin güvenlik mekanizmaları eksiktir

Network artık insansız alanlarda dağıtılıyor


Critical

Applications

Open

Connectivity

Non-Secure

Applications

Siber Güvenlik için artan farkındalık

-5-

• Utility cyber security is in a state of near chaos (Pike Research, 2011)

• Security and risk will grab decision maker’s attention (IDC Energy 2012 predictions)

• Threats to industrial and national infrastructure… endangers the real loss of property

and life (2012 Threat Predictions, McAfee Labs)


Saldırgan Profili

• GKT – Gelişmiş Kalıcı Tehditler (APT)

“Sürekli olarak ve etkin bir şekilde özel bir birimi hedefleyen

yetenek ve niyete sahip gruba işaret eder” (wikipedia)

• Stuxnet örneği

– Birden fazla «Zero Day» açığını istismar eder

– Dijital imzalı geçerli sertifikalar kullanır

– Çok aşamalı penetrasyon kullanır

– Enfeksiyon gizleme mekanizmaları vardır.

– Belirli cihazları hedef alır

– Hedef sistemler hakkında derinlemesine bilgi

Gerektirir.

-6- © Copyright 2011, RADiFlow Ltd.

Kamu Hizmetleri Siber Tehditleri

• Kontrol Merkezinde kötü amaçlı yazılım

• Saha tarafında ihlal

• Araya girme

• Uzak ara bakım


HMI Engineering

Station

Controller1 Controller2

Dev1.2

Dev2.1

Dev2.2

Dev1.1

Facility1 Facility2

Control Room

Saldırı Örneği – Smart Grid noktalarına erişim

• Yeni Akıllı Şebeke Trafoları direkler üzerine konumlandırılıyor

• Otomasyon cihazları basit SCADA protokolleri ile uzaktan

kontrol ediliyor.


“Akıllı Şebeke Güvenlik yönergeleri önemli bir unsuru

adreslemeiyor...fiziksel ve Siber saldırıların riskleri” Electricity Grid Modernization; Report to Congressional requesters, US GAO, January 2011

DA

RTU

DA

Meter

Data

Center

Control

Center

Network Tabanlı Detaylı Savunma

-9-

Saldırı Yönü

• Kontrol Merkezinde

kötü amaçlı yazılım

• Saha tarafında ihlal

• Araya girme

• Uzak ara bakım

Security Measure

• Service-aware firewall

• Dağıtık güvenlik duvarları

• Şifreleme

• Güvenli uzak erişim


Derinlemesine Savunma Araç Seti

-10-

L2-L4 filtre Erişim Kontrolü

Siteler arası VPN

Uzak erişim

Hizmet doğrulama

IPSec tunnels

SSH gateway

Uygulama Etkileşimli

firewall

Sistem Özellikleri Müşteri kazanımı


• Switch içerinde gelişmiş güvenlik tedbirleri için adanmış servis

Motoru

• Geliştirilmiş Derinlemesine Savunma çözümü için kolay uygulama

Distributed service-aware firewall deployment

• Her son nokta için Servis-Etkileşimli trafik

incelemesi.

– Role-tabanlı SCADA akışı doğrulama

– Dahili Saldırganı engelleme

• Network Switch’ine Entegre Güvenlik Duvarı

– Dağıtık küçük bölümler için etkili IPS

uygulamaları

– Seri ve Ethernet cihazlar için koruma

• Merkezi Servis Yönetim Aracı

– Uçtan uca güvenlik kuralları sağlama

– Network çapında güvenlik olaylarını raporlama


HMI Engineering

Station

Controller1 Controller2

Dev1.2

Dev2.1

Dev2.2

Dev1.1

Facility2

Control Center

Facility1

Protocol

Header

Function

Code

Function

Parameters

Ethernet & IP

Header

• Desteklenen protokoller Modbus, IEC101/104, DNP3; IEC61850

Güvenlik Duvarı Kullanımı- Saha ihlali

-12-

• IEC104 dağıtık güvenlik duvarı

üzerinde diğer trafo

merkezlerinden gelen komutları

engelleyerek sadece izleme

yetkisi ile sınırlandırılır.


Data

Center

Control

Center

Uygulama Etkileşimli Güvenlik Duvarı

• iSIM aracı kullanılarak kullanıcılar kendi network ve haritalarını ilgili servis

gruplarına göre planlayabilirler.

• Her bir çift cihaz için belirli güvenlik duvarı kuralları uygulama seviyesinde

tanımlanabilir. (fonksiyon kodları, adres aralıkları vb.)

– Kullanıcı aynı güvenlik duvarı profiline birden fazla cihaz çifti ekleyebilir.


Güvenlik Duvarı Olay Kayıtları

-14-

• Güvenlik Duvarı kurallarında oluşan her türlü sapma switch içerisinekayıt olur ve merkezi yönetim aracına rapor edilir.

– Güvenlik olaylarının kayıtları harita üzerinde ve ilgili kayıt dosyasındatutulur.

• Simülasyon modu network trafik akışlarını öğrenmek için kullanılabilir.

– Uygunsuz trafik raporlanır ancak bloklanmaz.


GSM networkü üzerinde Encrypted tüneller


• GSM network üzerinden özel şebeke networküne bağlantı

• Hub & Spoke GRE tünelleri kullanarak Uzak Nokta bağlantısı

• GRE tünellerde IPsec kullanılır

• Uzak noktaları doğrulama için sertifikalar kullanılır.

Cell site

ISP #1

NAT

router

Cell site

ISP #2

Primary

SIM

Secondary

SIM

ACTIVE

OFF INTERNET

IPSec tunnel

IPSec tunnel

Güvenli Uzak Erişim

-17-

• Entegre Uzak erişim gateway encrypted SSH tünel kullanır.

• Optionally use reverse-SSH initiated from the secure site

• Access rights per user (locally or from RADIUS server)

• SSH tunnel used a secure transport for any user IP-based session

• User session re-routed to a local-host which sends the data via the SSH tunnel

• Gateway as session proxy hiding the local network

• On-line app-aware session security checks are performed

• May be combined with the serial gateway for secure access to console ports


RS-232

Ethernet

RS-485

Internet

Integrated Security in a Multi-Service Industrial Switch

-18-

Çoklu

Hizmet

Esnek

Network

Güçlendirilmiş

Sistem

Güvenli

Erişim

Servis

Doğrulama

Servis

Yönetimi Operasyonel Basitlik

Derinlemesine Güvenlik

Sağlam Altyapı


Portfolio Overview

• Endüstriyel Dizayn

• Modüler DIN rail switchler (3/7 I/O slots) veya kompakt yapı

• Zorlu ortamlar- IP30, - 40 ÷ +75° C, IEC 61850-3 EMI

• ETH or RS-232/RS-485 seri arayüz modülleri

• Networking

• Gelişmiş Ethernet anahtarlama ve IP Routing fonksiyonu

• Seri Tünel veya servis çevrimi

• Multi-Service network modemler – xDSL, Cellular

• Entegre Güvenlik Mekanizmaları

• Port başına MAC/IP filtreleme

• Dağıtık app-aware firewall

• Uzak erişim ve Inter-site bağlantı

• iSIM –Network Yönetim aracı

• Topoloji planlama ve Hizmet sağlama

• Network tanılama

• RADView EMS ile entegrasyon

© Copyright 2011, RADiFlow Ltd. -19-

Uyumlu geçiş – RADiFlow katma değeri

• Switch’lerde 3 operasyonel Entegre seri arayüz

• Seri bölümler arasında tünelleme

• Byte / Bit-stream

• Multipoint desteği

• Hizmet tanımlamalı güvenlik

– Ethernet ve seri cihazlar arası bağlantı geçidi

• Modbus, IEC101/104, DNP3 desteği

– Seri cihazlara bağlanmak için Terminal Server


RS-232/RS-485 link

Ethernet link

Serial Tunnel

Gateway service

G.8032 ETH Ring desteği


Çoklu Hizmet Taşıma

• Altyapı ağları %100 fiber bağlantıya sahip değil.

• RADiFlow switchler alternatif bağlantıları destekler

– GPRS/UMTS – 2 operatör ile GSM kapsama

– SHDSL – Özel Bakır hatlar

• Entegre Güvenlik mekanizmaları ile kullanım

-24-

FiberFiber

SHDSL

Ethernet Ring

over Mixed medias

Internet

Private ETH

Network

Private ETH

Network


Uzak noktalar için esnek GSM bağlantısı


• GPRS/UMTS desteği

• 2 SIM kart aracılığı ile sürekli esnek link kullanımı

• Hub & Spoke GRE tüneller kullanarak uzak erişim bağlantısı

• GSM kullanıcılar için dinamik IP adres çözümleyici (NHRP)

• Hat güvenliği için Entergre Güvenlik Mekanizmaları

Cell site

ISP #1

NAT

router

Cell site

ISP #2

Primary

SIM

Secondary

SIM

ACTIVE

OFF INTERNET

IPSec tunnel

IPSec tunnel

Digital I/O geçişi

• Kritik kontrol fonksiyonları için farklı dijital sinyal kullanımı

• RADiFlow switchler, Ethernet üzerinden I/O geçişlerini sağlar

– Giriş sinyalinin Çoklu-nokta desteği

– Sinyal geöişlerinin garantilenmiş zamanlama geçişi


iSIM – Hizmet-Duyarlı Network Yönetimi

• O&M araçları

– Hata raporları ve kayıtları

– Network çapında bakım

– Network kullanım takibi


• End-to-End sağlama

– Network topoloji haritası

– Hizmet Sağlama

– Güvenlik yapısı ve uygulama duyarlı

kurallar

• Genel

– Client/Server

– Switch başı lisans

– RADView entegrasyonu

Rekabet Analizi

-28-

Özellik Endüstri

Kriteri

RADiFlow

teklifi

Yorumlar

Endüstriyel Sınıf + +

Ethernet switching + +

Industrial Ethernet + + Hızlı Ring esnekliği

Clock sync. + + 1588v2

IP routing + ++ RADiflow switchlerde var

Network Security + +++ Hizmet Duyarlı Firewall

Remote Security - +++ Entegre kriptolu tünel

Serial migration + +++ Entegre legacy tunnel/gateway

Multi-Service - ++ Integrated GSM modem

Management tools + +++ Uçtan uca Hizmet yönetimi


Dağıtık Altyapı Ağı– Güvenli ve Kolay


RTUs

Secure Gateway

RTUs IEDs

Utility

Site

Utility

Site

Serial

IEDs

3G Modem RADiFlow

Switch

Serial Gateway

Service-aware Firewall

Internet

Private

Network

Control Center Utility site (zoom-in)

Ethernet

Switch

Uygulama Örnekleri

• İletim ve Dağıtım

– Smart-Grid Dağıtımı

– Trafo Merkezi LAN

– Yeşil Enerji Kontrolü


• Akıllı Taşımacılık

– Metro Subway ağı

– Büyük ölçekli Raylı Sistemler

– Otoban trafik kontrolü

Smart-Grid distribution network

“New intelligent MV-LV transformation centres with metering, power monitoring and capacity automation”

• Modern secondary sub-station requiring

-35-

PLC

RTU Power

Monitoring

Meters

Concentrator

Secondary

Sub-stations

3080

switch

Metering

Data Center

Secondary

Sub-station

Automation

Control Center

WiMAX

Modem

Cellular

Antenna


• Encrypted tunnels when using

a public network

• Firewall for uplink protocols

(IEC104, IEC61850, Modbus)

• Gateway for serial IEDs

RADiFlow compact switch integrates all the functions

Migration to IP-based SCADA to sub-stations

• Connectivity of sub-station devices to new IP-based SCADA– Per-site firewall for industrial automation protocols

– Secure terminal server for maintenance sessions

– Encrypted tunnels when using wireless links

– Serial to ETH protocol gateway

-37-

Control Center Sub-Station


Trafo Merkezlerinin Bağlantıları- Mevcut durum


Network Kısıtlamaları

• S.S. IEDs SCADA direct erişimi

• Saha teknisyeni erişimi:

– Diğer Trafo Merkezleri

– Merkezi Depolama

– RTU tesisi

• Uzak noktalara Teknisyen erişimi

• Trafo Merkezleri arasında bilgi

paylaşımı

SCADA

Sub-Station

Control Center

SDH/Packet

Network

Sub-station

RTU

Facility RTU

Sub-station IEDs

Field

Technician

Internet

Remote

Technician

Storage

Trafo Merkezleri arasında güvenli bağlantı

ihtiyacı

Trafo Merkezlerinin Bağlantıları- Beklenen Gelişmeler

-40-

SCADA


Sub-Station

Control Center

SDH/Packet

Network

S.S.

RTU

Facility RTU

Sub-station IEDs Field

Technician

Internet

Remote

Technician

Storage

LAN cihazlarının Omurgaya

güvenli switchler ile bağlanması

• VLAN/SubNet kullanılarak

Network ayırımı

• Cihaz başına Uygulama-Duyarlı

Firewall

• Güvenli Uzak Erişim

• Serial-to-ETH protocol gateway

Packet-tabanlı network WAN ve LAN


• Her lokasyonda PE Router kullanılark oluşturulmuş Omurga yapısı

• Kritik WAN hizmetleri dağıtık güvenlik gerektirir

• Trafo Merkezi LAN desteği

• Güvenli SCADA IEC104 RTU

• IEC61850 LAN

• Serial IED geçişiControl Center

Sub-station

Power

Generation

Sub-stations

3700

switch

3700

switch

RTU

RTU

IEDs

IEDs

Metro subway Kontrol Ağı

• Metro subway Kontrol uygulamaları her istasyondabulunan akıllı cihazların iletişimini gerektirir

– VLANs as service ID kullanarak IP/MPLS omurgasınabağlanan Ethernet erişim switchleri

– Dağıtık ModBus firewall kullanan Ethernet, Serial &Discrete cihazların birlikteliği

– Dağıtık cihaz sonlandırma metodları kullanaraktrenlerden kontrol merkezine güvenli mobil erişim.


IP/MPLS

backbone

RADiFlow switches build a secure subway network

Large scale transportation control network

• Large-scale transportation control applications require

communication with smart devices along the route

– Ethernet access sub-nets with IP/MPLS backbone

– Secure access to the critical services using mainly

ModbBus protocol

– Mixture of Ethernet, Serial & Discrete devices

– Variety of inter-site links


IP/MPLS

backbone

ETH Ring

(over Fiber & Copper) ETH

Ring

Özet

• Ethernet kullanan Modern Kritik yapı uygulamaları

– Ağlar arası güvenlik bir zorunluluktur.

• RADiFlow Hizmet-Duyarlı Endüstriyel Ethernet çözümü

– Unique distributed service-aware firewall by the network

– Integrated defense-in-depth tool-set

– Optimize CapEx and OpEx


Daha fazla bilgi için:

[email protected]

+90 553 465 40 90

SecFlow Secure Industrial Gateway overview - Türkçe

Technology

Transcript of SecFlow Secure Industrial Gateway overview - Türkçe