SURF Systemic Security for Critical Infrastructures - ITS | KRITIS
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SURF
Systemic Security for Critical Infrastructures
Gesamtüberblick des Projekts
2. VeSiKi-Jahreskonferenz, Bremen, 20.06.2016
Referenten: Prof. Dr.-Ing. Georg Carle, Dr. Holger Kinkelin
Technische Universität München
© SURF Konsortium. Alle Rechte vorbehalten.
Einleitung Ursprünglich Laufzeit : 09/2014 – 08/2016 Wg. verzögertem Projektstart verlängert bis 12/2016 Status • Entwicklungsarbeiten zum Großteil abgeschlossen • Integration und Evaluation laufen derzeit • Projekt bei 1. VeSiKi-Jahreskonferenz vorgestellt Ziele des heutigen Vortrags • Wiederholung allgemeiner Projektinformationen • Aktuelle Arbeiten und Ergebnisse
1) MOTIVATION
Probleme bei KRITIS-IT Große räumliche Ausdehnung der KRITIS • Manipulation exponierter IT-Komponenten möglich Zentrale Steuerung und Fernwartung • Vernetzung eröffnet Angriffe auf IT-(Teil)-Systeme Mobile Geräte werden mit KRITIS-IT verbunden • Einschleppen von Schadcode möglich Heterogenität und Legacy-Komponenten Verkomplizieren/verhindern Schutzmechanismen
Ziele des Projekts KRITIS-IT kann heute nicht mehr komplett von der Außenwelt abgeschottet werden Es gibt nicht die eine Lösung, daher: Ziel: Systemische Lösung zur Verbesserung der IT-Sicherheit in KRITIS durch: • Überwachung des IT-Systemzustands • Präsentation gesammelter Information • Assistenz bei der Lösung erkannter Probleme • Absicherung einzelner Netzkomponenten
2) VORGEHEN
Zielsetzungen
Situative
Hilfestellungen
Informationen
sammeln
Kombination von
Lösungen
Ganzheitlich,
systemischer
Schutz
Die Schaffung eines gemeinsamen
Verständnis Verständnisses für die Anforderungen und
schaffen Besonderheiten kritischer Infrastrukturen
bildet ein wichtiges Fundament für
entstehende Modelle, Soft- sowie Hardware-
komponenten.
Zielsetzungen
Situative
Hilfestellungen
Informationen
sammeln
Kombination von
Lösungen
Ganzheitlich,
systemischer
Schutz
Ein ganzheitlicher, systemischer Ansatz als
Verständnis integriertes Schutzkonzept soll eine
schaffen Verbesserung der IT-Sicherheit kritischer
Infrastrukturen erreichen ohne sich negativ auf
die Verfügbarkeit bzw. die Betriebs- und
Personensicherheit auszuwirken.
Zielsetzungen
Situative
Hilfestellungen
Informationen
sammeln
Kombination
von Lösungen
Ganzheitlich,
systemischer
Schutz
Die Kombination verschiedener Hard- und
Verständnis Softwarekomponenten soll
schaffen anforderungsgerechte und risikoabhängige
Lösungen bieten und auf dem Fundament
eines sicheren Kernnetzes zuverlässig und
kosteneffizient arbeiten.Zielsetzungen
Situative
Hilfestellungen
Informationen
sammeln
Kombination von
Lösungen
Ganzheitlich,
systemischer
Schutz
Die verlässliche Informationsgewinnung und
Verständnis -bündelung soll aktuelle Systemzustände
schaffen wiederspiegeln, für Administratoren
benutzbar und übersichtlich zur Verfügung
stellen und verschiedene Analysefunktionen
ermöglichen.Zielsetzungen
Situative
Hilfestellungen
Informationen
sammeln
Kombination von
Lösungen
Ganzheitlich,
systemischer
Schutz
Die geschaffene Datenbasis soll mittels eines
Verständnis Assistenzsystems in der Lage sein, situative
schaffen Hilfestellungen auf Grundlage verschiedener
Analysen zu liefern und durch entsprechende
Vorverarbeitungsmechanismen ein
umfassendes Gesamtbild des Netzes liefern.Ganzheitliche Sicht auf das System
High-Level-
Komponenten liefern
eine Top-Down-Sicht
für Überwachung
und Steuerung
Low-Level-
Komponenten
Härten das System
und liefern eine
Bottom-Up-Sicht3) PARTNERÜBERSICHT
Konsortium
Forschungs-
Anwender Unternehmen
einrichtungenZiele der Anwendungspartner
Airbus:
• Ziel: Sicheres, Ethernet-basiertes Kabinennetzwerk
• Insb.: Sicherheit von SOME/IP zur Steuerung von
Komponenten
Flughafen München:
• Ziel: Sichere Gebäudeautomation
• Insb.: Sicherheit von BacNet/IP zur Steuerung von
KomponentenZiele der Forschungseinrichtungen
Technische Universität München
• Visualisierung von Verkehrsströmen
• Detektion von Netzwerkanomalien/Protokollfehlern
Technische Hochschule Deggendorf
• Plug-in-Sicherheitslösung für Legacy-Geräte
• Mess-Sonde zur Anomalieerkennung in Netzwerken
Fraunhofer
• Protokolle zur Bewertung der Integrität
(eingebetteter) Geräte [0]
[0] A. Fuchs et al; Time-Based Uni-Directional Attestation; https://tools.ietf.org/html/draft-birkholz-tuda-01Ziele der Unternehmen
Infineon
• Weiterentwicklung und Standardisierung Hardware-
basierter Sicherheitslösungen (TPM 2.0)
Hirschmann
• Integration von TPM in (eingebettete) Geräte zur
Wahrung und Bewertung deren IntegritätÜbersicht der Zusammenarbeit
Anwendungsfälle Airbus Group Flughafen München
Innovations GmbH
Technische Universität
High-Level München
Komponenten Technische Hochschule
Fraunhofer-Institut SIT
Deggendorf
Hardware-nahe Hirschmann Automation Infineon Technologies
Komponenten and Control GmbH AGSicherheit im Ethernet-basierten Kabinennetzwerk der Zukunft 4.1) ANWENDUNGSFALL AIRBUS
Topologie eines zukünftigen
Kabinennetzwerks
Airbus arbeitet am Kabinennetz der Zukunft:
• Ethernet-basiertes IP-Netzwerk
• Steuern von Aktoren mittels SOME/IPSicherheit eines Kabinennetzwerks
Mockup eines funktionsfähigen
Kabinennetzes bei Airbus
Hirschmann Switch
• Sichere Identität durch Infineon
TPM
• Integritätsbewertung durch
Fraunhofer SIT
Erkennung von Netzwerk-
Anomalien:
• Mess-Sonde von THD [1, 2]
• SOME/IP-Protokollanalyse von
TUM [3,4,5]
[1] Karl Leidl: Intrusion Detection Sensoren für industrielle Netzwerke, CYBICS, Würzburg, Juni 2016
[2] Peter Semmelbauer: Schwachstellen, Angriffsszenarien und Schutzmaßnahmen bei
industriellen Protokollen am Beispiel von Profinet IO, Automation 2016, Baden-Baden, Juni 2016SOME/IP-Protokollanalyse
SOME/IP implementiert keine Mechanismen, um die
Sicherheit und Zuverlässigkeit von Paketen zu wahren
TUM-Tool [3,4,5] findet Protokollfehler und Anomalien in
SOME/IP-Kommunikationsabläufen, z.B.:
• Anfrage ohne Antwort, Bestätigung ohne zugehöriges Event
• Ausbleibende Heartbeat-Nachrichten
• Nachrichten von unbekannten Geräten
Main Cabin Java-An- Esper Alarm
Switch wendung Engine
Regelsatz in EPL
[3] Nadine Herold, Stephan-A. Posselt, Oliver Hanka, Georg Carle: Anomaly Detection for SOME/IP using
Complex Event Processing, 2nd IEEE/IFIP Workshop DISSECT, Istanbul, April 2016
[4] TUM i8 SURF Team: https://github.com/Egomania/SOME-IP_Analyzer
[5] TUM i8 SURF Team: https://github.com/Egomania/SOME-IP_GeneratorSicherheit in der Gebäudeautomation 4.2) ANWENDUNGSFALL FLUGHAFEN
Sicherheit in der Gebäudeautomation
Flughafen MUC nutzt BACNet/IP
zur Gebäudeautomatisierung
Keine Authentisierung und
Autorisierung in BACNet/IP
Problem:
• Wenn Konnektivität zum
Gebäudeautomationsnetz besteht,
können Geräte unbefugt gesteuert
werden
• Bsp: Techniker eines Gewerks
(Beleuchtung) kann auch auf
Geräte anderer Gewerke zugreifen
(Entrauchungsanlage)Absicherung des
Gebäudeautomationsnetzes
Schritte zur Erhöhung der Sicherheit:
• Starke Segmentierung des Gebäudeautomationsnetzes (VLAN, VPN)
• Eingeschränkte Kommunikation zwischen (Sub-)Netzwerken
• Strikte Netzzugriffskontrolle
Möglichkeiten für Segmentierung:
• Nach Hersteller, Funktion, Ort?
• Kombinationen der obigen Kriterien?
Welche Möglichkeit ist optimal?Netzwerkverkehr verstehen durch
Visualisierung
Visualisierung des Netzwerk-
verkehrs von TUM [6]
Unterstützt verschiedene
Protokoll-Schichten
• Ethernet, IP, UDP, ...
Diagramme für z.B.
• Traffic zwischen Rechnern
• Zuordnungen MAC-IP-Ports
[6] TUM i8 SURF Team: https://github.com/Egomania/TraViSyOptimierung der Netztopologie
Mit Hilfe dieser
Visualisierungen [6] DC
konnte eine optimierte roDC
FW FMG Verwaltungsnetz
Segmentierung des Ge- BBMD
Koppelrouter FMG
bäudenetzes erstellt MBE Netz
werden [7]
roDC
Gewählte Lösung: 3 x T1 3 x T2 3 x Rest
FW SAT
Segmentierung nach Ort ACL
BBMD
HKL+
ACL
BBMD
HKL+
ACL
BBMD
HKL+
und Funktion ACL
BBMD
BEL
ACL
BBMD
BEL
ACL
BBMD
BEL
Satellit
BBMD BBMD BBMD mit eigenem AD, Gewerke
werden über die Satelliten
PCA + FGB PCA + FGB PCA + FGB
Firewall getrennt
ACL ACL ACL
BBMD BBMD BBMD
ELT ELT ELT
ACL ACL ACL
Controller FMG Gesamt
[7] Michael Lemmer: IT-Netzwerke und IT-Sicherheit im Umfeld der Gebäudeautomation,
2. VDI-Fachkonferenz Gebäudeautomation, Bade-Baden, Juni 2016Plug-in Security für Legacy-Geräte
• THD Vorschaltgerät [1,8] wird vor Geräten, z.B.
BACnet-Controller oder Legacy-Geräte, positioniert
• Vorschaltgerät berechnet und prüft kryptographische
Prüfsummen über den Paketinhalt
• Alarm bei kompromittierten unbekannten Paketen
Netzwerk
MA-B MA-B MB-A MB-A
Device A Device B
192.168.6.10 HMAC(MA-B) HMAC(MB-A) 192.168.6.20
Switch
192.168.6.1
Eth0 Eth1 Eth0 Eth1
br0 br0
Vorschaltgerät A Vorschaltgerät B
Eth2 Eth2
192.168.6.100 192.168.6.101
[8] Securing Industrial Legacy System Communication Through Interconnected Embedded Plug-In Devices,
Applied Research Conference – ARC, Augsburg, Juni 2016Ausblick
GPLMT [9,10] dient in SURF PING.xml
zur automatischen und
reproduzierbaren
Durchführung von
Experimenten im Testbett
A
A BB CC D
D EE FF
Geplant:
• automatische Belastungs-
und Penetration-Tests echter
IT-Systeme
• Automatisch ausgeführte
Gegenmaßnahmen anhand
eines Aktionsplans
[9] TUM i8 GPLMT Team: https://github.com/docmalloc/gplmt
[10] Matthias Wachs, Nadine Herold, Stephan-A. Posselt, Florian Dold, and Georg Carle. GPLMT: A Light-
weight Experimentation and Testbed Management Framework, PAM 2016; Heraklion, März/Apr. 2016Kontakt Web: https://www.net.in.tum.de/html/surf/ https://www.itskritis.de/systemic-security-for-critical-infrastructures.html Koordination: Dr.-Ing. Florian Schreiner Dr. Werner Weber (Infineon Technologies) (Infineon Technologies) 089 234 21833 089 234 48470 florian.schreiner@infineon.com werner.weber@infineon.com
Sie können auch lesen
