it sicherheit in der gebäudeautomation - niagaraforum.de · kameras (cctv), baby monitoren, uvm....
TRANSCRIPT
IT Sicherheit in der Gebäudeautomation
Gefahren und Möglichkeiten sich zu schützen
Schon wieder IT Sicherheit?
Wir befinden uns auf dem Weg ins IoT; das bedeutet dass in
Zukunft noch mehr netzwerkfähige Geräte einen direkten Zugang
zum Internet erhalten werden.
Ein Zugang zu einem Netzwerk, bedeutet immer auch ein
potentielles Risiko!
Die meisten Embedded Systeme verfügen über einen Webzugang zur
Konfiguration.
Gebäuderegelungen werden per Netzwerkzugriff programmiert und
überwacht.
Server sind nicht mehr nur lokal im Einsatz, sondern stellen ihre Services
auch Nutzern unterwegs bereit.
2
Externe Sicherheit
Wie wird dies realisiert?
Um Anlagen fernsteuern zu können, wird ein Internetzugriff
vorausgesetzt.
Hinter meiner Firewall bin ich doch aber sicher!
Dies stimmt nur bedingt; jede Firewall muss für Fernsteuerungen
mit „Öffnungen“ versehen werden.
Eine häufig angewandte Methode ist es, die externe IP des
Internetzugangs mittels Portforwarding auf interne Server, Regler
und Dienste weiterzuleiten.
3
Interne Sicherheit
Gefahren für Gebäudesteuerungen existieren nicht nur von Außen,
auch im eigenen Netzwerk können Sicherheitsrisiken lauern:
Universitäten geben ihren Studenten Zugriff auf ihr Campus-Netzwerk.
Verärgerte Angestellte könnten versuchen Schaden an Anlagen zu
verursachen.
Aus Unwissenheit können Einstellungen verändert oder Anlagen beschädigt
werden.
Andere interne PCs können selbst befallen werden und so einen Zugang
zum Netzwerk öffnen.
Mitarbeiter könnten eigene PCs mit ggf. veralteten Sicherheits-Updates zur
Arbeit bringen und sie mit dem lokalen Netzwerk verbinden.
4
Shodan - das Hacker Google
Erschreckend aber Wahr – „Hacker schlafen nicht“
5
Das Objekt der Begierde
Was könnte alles zugänglich sein?
6
Screenshot einer von Hackern
veröffentlichten Website.
Zu sehen sind private
Webcams in Firmen und
Privaträumen.
Das IoT ist wie ein neues
glänzendes Spielzeug für
Hacker.
Aktuellen Berichten zufolge sind
bereits unzählige Zugänge zu
Webcams, Überwachungs-
kameras (CCTV), Baby
Monitoren, uvm. veröffentlicht.
Darunter zahlreiche Geräte mit
Standardlogins.
Dies betrifft genauso auch
Gebäudesteuerungen!
Mögliche Konsequenzen
Konsequenzen eines erfolgreichen Eindringens können sein:
7
Schaden an Mensch und Material.
Finanzieller Schaden in nicht geringem Maße.
Schaden an der Reputation eines Unternehmens.
Gegenmaßnahmen
Welche Maßnahmen kann man ergreifen um einem Angreifer
das Leben so schwer wie möglich zu machen?
Software stets auf dem neusten Stand halten.
Login mit „starkem“ Benutzernamen und Kennwort.
Zugriff auf Daten und Informationen sinnvoll verteilen.
Verschlüsselte Verbindungen benutzen.
Offene – nicht verwendete – Ports schließen.
Netzwerk Topologie anpassen.
Für Fernwartungen VPN Verbindungen bevorzugen.
8
Sicherheitsupdates Installieren
Software wird ständig weiterentwickelt.
Treibende Kraft ist die Verbesserung des Produkts und der
Sicherheit.
Oft werden nach Bekanntwerden von Sicherheitslücken
Sicherheitsupdates bereitgestellt die diese Lücke schließen.
Tridium veröffentlicht Sicherheitsupdates und Neuigkeiten
regelmäßig auf der Niagara Central:
www.tridium.com/technical-updates
Sicherheitsupdates sollten zeitnah nach Erscheinen installiert
werden.
Wenden Sie sich auch vertrauensvoll an Ihre Zulieferer – in
Sachen Sicherheit stehen wir Ihnen zur Seite.
9
Passwort Schutz
Embedded Controller – wie die JACE – verlangen einen
Benutzernamen und ein Kennwort zum Login.
Somit wird ein grundlegender Schutz gewährleistet.
Die Stärke dieses Schutzes richtet sich nach der Stärke des
gewählten Passworts.
Standard Passwörter sind meist sehr gut bekannt und sollten stets
umgehend geändert werden!
10
qwertz bzw. qwerty
trustno1
letmein
123456
abc123
Auszug aus der jährlich erscheinenden
Hitliste der schwächsten Passwörter 2014,
zusammengestellt von SplashData.
Ein paar Negativbeispiele:
Zugriffsbeschränkungen
Nach dem Login sind alle Daten zugänglich – jedoch nur jene
die man auch sehen darf.
Zugriffssteuerung hilft die Sicherheit noch etwas zu steigern.
Nicht jeder benötigt einen Vollzugriff auf ein System.
Schreiben und Programmieren muss in der Regel nur der System-
integrator bzw. Fachpersonal.
Zum Auslesen von Verlaufswerten genügt ein Lesezugriff auf bestimmte
Datenpunkte.
Nutzern genügt der Zugriff auf bestimmte Bereiche, um etwa
Temperaturwerte ändern zu können.
Vollzugriff besitzt einzig und allein der Administrator.
11
Wird ein Konto mit Nur-Leserechten geknackt, ist der Schaden
weniger groß als wenn ein Administratorenkonto gehackt wird.
Verschlüsselt vs. Unverschlüsselt
Es existieren verschiedene Arten sich per HTTP zu authentifizieren
Plain Text
Die am wenigsten sichere Variante.
Name und Passwort werden unverschlüsselt und leserlich für
Programme wie Wireshark übermittelt.
MD5
Eine eher simple Form der Verschlüsselung. Nachweißlich anfällig
für Kollisionsangriffe.
SSL (HTTPS)
Verwendet digitale Zertifikate auf den angesprochenen Clients
(JACE).
Sehr sichere Variante der Authentifizierung.
12
Klartext und SSL in Wireshark
13
Hier gezeigt, die detaillierte Wireshark Ausgabe eines abgefangenen Ethernet
Pakets während der HTTP Authentifikation – ohne Verschlüsselung.
Klartext und SSL in Wireshark
14
Im Gegensatz dazu, zwei Pakete einer Kommunikation mit aktiver SSL
Verschlüsselung (beispielhaft).
Verschlüsselung aktivieren
15
Ein Login ist dann nur noch über eine verschlüsselte
Verbindung möglich.
Niagara 4 schaltet Standardmäßig SSL für FOXS ein und
deaktiviert gleichzeitig den unverschlüsselten Dienst FOX.
Laufende Dienste
Zur Kommunikation über ein Netzwerk, bedienen sich Clients
verschiedener Dienste die auf dem Betriebssystem im Hintergrund –
also nicht unmittelbar sichtbar – mitlaufen.
Viele embedded Systeme unterstützen FTP und Telnet – dies
sind unverschlüsselte und somit potentiell unsichere Dienste.
SSH und SFTP sind direkte aber verschlüsselte Verwandte
dieser Dienste und sollten bevorzugt werden.
Alle Dienste „lauschen“ auf einem bestimmten Port.
Jeder Dienst verfügt über einen bevorzugten Standard-Port um
ihn eindeutig einem Protokoll zuordnen zu können. z.B.: FTP (21); Telnet (23); HTTP (80); HTTPS (443)
16
nmap – scannen nach offenen Ports
17
Hier gezeigt, ein Ausschnitt eines kompletten Netzwerkscans mit nmap.
Zu sehen sind alle Geräte einer kleinen Testumgebung – gelistet mit allen offenen
Ports auf denen aktive Dienste laufen.
Dauer des Scans von 256 potentiellen Adressen: 10.36s
Dienste abschalten
Der Screenshot zeigt deutlich – auch wenn man sie nicht bemerkt,
im Hintergrund laufen oft Programme die unter Umständen eine
Hintertür darstellen können.
Dienste die nicht benötigt werden sollten deaktiviert werden.
Ein deaktivierter Dienst lauscht nicht mehr auf dem ihm
zugeteilten Port – der Zugang bleibt verschlossen.
Viele unverschlüsselte Dienste haben mittlerweile verschlüsselte
Verwandtschaft bekommen – verschlüsselte Dienste sollten
stets ihren unverschlüsselten Verwandten vorgezogen
werden!
18
Niagara 4 – Safety First
Tridium stellt mit Niagara 4 bereits alle genannten Maßnahmen
zur Steigerung der Sicherheit von vornherein bereit.
Während der Kommissionierung der Regler:
Es werden sichere Passwörter verlangt (mindestens acht Zeichen,
bestehend aus Zahlen, Sonderzeichen und Groß- & Kleinbuchstaben).
Die Änderung der Standardwerte wird bei erster Konfiguration erzwungen.
Verschlüsselte Kommunikation standardmäßig aktiviert (FOXS und
HTTPS).
Sensible Daten werden verschlüsselt abgespeichert.
Benutzer erhalten individuelle Zugriffsberechtigungen.
Sourcecode wird durch Tridium signiert.
JACE 8000 besitzt außerdem einen Secure Boot.
19
Der Niagara Hardening Guide
Tridium stellt neben Informationen auch einen Hardening Guide
online zum Download bereit.
Darin enthalten:
Detaillierte Beschreibungen wie Sicherheitsmechanismen in
Niagara aktiviert und verstärkt werden können.
Weitere Hinweise um die Sicherheit eines Systems weiter zu
steigern.
20
Zum Download
Externe Faktoren
Neben inhärenten Sicherheitsfunktionen, können weitere
Maßnahmen ergriffen werden um die Sicherheit eines
Netzwerks zu verbessern.
Die Netzwerk Topologie kann Teile eines Netzwerks für Angreifer
vollkommen unerreichbar machen.
Zum Fernzugriff auf entfernte Anlagen können verschlüsselte
Kommunikationskanäle eingerichtet werden. (VPN)
21
Netzwerk Topologie anpassen
Der Aufbau eines Netzwerks kann essentiellen Einfluss auf dessen
Sicherheit haben. Was sich nicht im gleichen Netzwerk befindet, ist
auch nicht unmittelbar erreichbar.
Eine JACE verfügt über zwei Ethernet Anschlüsse.
Beiden Anschlüssen können verschiedene IP Adressen zugeteilt
werden. Sie können damit an verschiedene Netzwerke
angeschlossen werden.
Ein Anschluss kann der Kommunikation im Gebäude zugeteilt
werden, während der zweite Anschluss zur Kommunikation über
das Internet verwendet wird.(~> VPN Kommunikation für Fernwartungen).
22
Beispiel: Netzwerk Topologie
23
Anschluss 1
zum GLT Netzwerk
Anschluss 2
für Fernzugriffe
Zugang zum
Internet
Internet
VPN – ein verschlüsselter Tunnel
Fernzugriffe auf entfernte Anlagen sind zur Notwendigkeit
geworden. Diese Kommunikationen verlangen nach einem
besonderen Maß an Sicherheit.
VPN – Virtual Private Network
Benötigt kein Portforwarding auf dem IP Router.
Nutzt IPsec oder SSL zur Verschlüsselung der Kommunikation.
Bietet den umfangreichsten Schutz für Kommunikationen über
das Internet.
24
openVPN – VPN ganz einfach
openVPN ist Open Source Software – daher auf openvpn.net frei
erhältlich.
Setzt auf SSL Verschlüsselung.
Wird bereits auf zahlreichen Routern angeboten (z.B. CControls
EIPR-V)
Findet Anwendung in VPN-Server Diensten wie der
BAScloudVPN.
Client Software für openVPN Verbindungen sind für alle gängigen
Betriebssysteme erhältlich: Windows, Linux, Android, Mac & iOS.
Erlaubt diesen Geräten einen komfortablen Zugang zu einem VPN
Netzwerk.
25
VPN auf einer Anlage
26
Internet
JACE/SupervisorEIPR-VIP Router
mit Internetzugang
Eine komplette Anlage kann mit Hilfe eines VPN fähigen Routers
über eine existierende Internetverbindung an ein VPN Netzwerk
angeschlossen werden.
Einfache – auch nachträgliche – Installation.
Es wird kein Portforwarding benötigt.
BAScloudVPN – ein Netz im Netz
27
JACE/Supervisor
EIPR-V
IP Router
Smart Phone
mit openVPN
Desktop PC
mit openVPN Client
Internet
BAScloudVPN Server
Tablet mit
openVPN Client
Schlussfolgerungen
Tridium Regler bringen bereits ein hohes Maß an Sicherheit mit.
Sicherheitsupdates sollten umgehend nach Erscheinen installiert
werden.
Die Verwendung sicherer Passwörter und das Ersetzen von
Standardeingaben ist essentiell.
Nicht benötigte Dienste (Telnet, FTP, HTTP) sollten deaktiviert
werden.
Werden zusätzliche Dienste benötigt, sollten deren verschlüsselte
Äquivalente bevorzugt eingesetzt werden (SSH, SFTP, HTTPS).
Standard Ports sollten wenn möglich geändert werden.
SSL Verschlüsselung ist zu bevorzugen.
Wenn Fernwartung, dann mit verschlüsselter VPN Verbindung.
28
29
IT Sicherheit in der Gebäudeautomation
Christian Blenz