AUD20 - Sicurezza delle reti industriali
Lesley Van Loo
EMEA Senior Commercial engineer - Rockwell Automation
Rev 5058-CO900B
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Agenda
Azienda connessa: valore, rischi e minacce
Andamenti, difesa in profondità, architettura orientata alla sicurezza
Protezione fisica (controllo degli accessi)
Dispositivi più robusti (hardware ed elettronicamente)
Sicurezza di rete (Firewall, VPN)
Accesso remoto sicuro
Riferimento
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
2
Agenda
Azienda connessa: valore, rischi e minacce
Andamenti, difesa in profondità, architettura orientata alla sicurezza
Protezione fisica (controllo degli accessi)
Dispositivi più robusti (hardware ed elettronicamente)
Sicurezza di rete (Firewall, VPN)
Accesso remoto sicuro
Riferimenti
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
3
Azienda connessa:
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
4
Il valore dell'aggregazione
delle informazioni
Sistemi di gestione
informativi di laboratorio
Pianificazione
della produzione
Prestazioni
Allarmi/eventi
HMI
Sistemi
qualità
Sistemi di
controllo
Storici dei dati
Altri database
Sistemi di gestione della
manutenzione computerizzati
Occorre trasmette le informazioni in modo veloce, affidabile e sicuro!
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Rischi e minacce dei sistemi di controllo
Applicazioni di
patch di sicurezza
Disastri naturali o
causati dall'uomo
Worm e virus
Sabotaggio
Furto
Accesso non
autorizzato
INFORMATIVI
Attacco
Denial of
Service
Azioni non autorizzate
dei dipendenti
Rischi
aziendali
Accesso remoto
non autorizzato
Azioni
involontarie dei
dipendenti
OPERATIVI
I rischi di sicurezza aumentano le possibilità di impatto sul tempo di disponibilità del
sistema, sul funzionamento sicuro e sulla perdita della proprietà intellettuale
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Agenda
Azienda connessa: valore, rischi e minacce
Andamenti, difesa in profondità, architettura orientata alla sicurezza
Protezione fisica (controllo degli accessi)
Dispositivi più robusti (hardware ed elettronicamente)
Sicurezza di rete (Firewall, VPN)
Accesso remoto sicuro
Riferimenti
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
7
Andamenti della sicurezza industriale
Sicurezza dell'azienda connessa
 Infrastruttura modulare, robusta,
sicura ed espandibile per l'azienda
connessa:

Applicazione

Software

Rete
Difesa in profondità olistica
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
8
Andamenti della sicurezza industriale
Suggerimenti rapidi sulla sicurezza
 Una sicurezza "accettabile" ora, è meglio di una sicurezza "perfetta" ...
mai (Tom West, Data General)
 La sicurezza in definitiva si basa - e fallisce in base - al vostro grado di
accuratezza. Le persone non amano essere sempre accurate.
Dipende da come si opera. (Dave Piscitello)
 La vostra sicurezza è forte solo quanto il vostro anello più debole
 Concentratevi sulle minacce note e probabili
 La sicurezza non è una condizione statica, è un processo interattivo
 Dovete solo scegliere due delle tre caratteristiche: veloce, sicuro,
economico (Brett Eldridge)
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
9
Andamenti della sicurezza industriale
Standard di sicurezza industriale consolidati
 International Society of Automation
 ISA/IEC-62443 (prec. ISA-99)
 Sicurezza dei sistemi di controllo e automazione industriale (IACS)
 Difesa in profondità
 Sviluppo IDMZ
 National Institute of Standards and Technology
 NIST 800-82
 Sicurezza dei sistemi di controllo industriali (ICS)
 Difesa in profondità
 Sviluppo IDMZ
 Department of Homeland Security / Idaho National Lab
 DHS INL/EXT-06-11478
 Sicurezza informatica dei sistemi di controllo: Strategie di difesa in profondità
 Difesa in profondità
 Sviluppo IDMZ
Un'applicazione sicura dipende da più livelli di protezione. La sicurezza
industriale deve essere sviluppata come un sistema.
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
10
Andamenti della sicurezza industriale
Rete EtherNet/IP dei sistemi di controllo e automazione industriale
 Predefinita aperta per consentire
la coesistenza di tecnologie e
l'interoperabilità dei dispositivi per
le reti di sistemi di controllo e
automazione industriale (IACS)
 Protezione per mezzo della
configurazione:



Proteggere la rete
– Perimetro di sicurezza
elettronico
Difendere il perimetro
– DMZ industriale (IDMZ)
Difesa in profondità
– più livelli di sicurezza
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
11
Difesa in profondità - È indispensabile
considerare la “Profondità”
Un'applicazione sicura dipende da più livelli di protezione.
La sicurezza industriale deve essere sviluppata come un sistema.
Modello di sicurezza con più livelli
Protegge i potenziali target con più livelli
di protezione per ridurre i rischi di sicurezza
Difesa in profondità
Utilizzo di diverse contromisure di sicurezza
per proteggere l'integrità di componenti o
sistemi
Sistema aperto
Consente la partecipazione di numerosi
fornitori alle nostre soluzioni di sicurezza
Flessibilità
Permette di soddisfare i requisiti del cliente,
anche per politiche e procedure
Conformità
Soluzioni conformi alle direttive
e ai requisiti degli enti normativi
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
12
Difesa in profondità olistica
Elementi critici per la sicurezza industriale
 Un programma di sicurezza industriale bilanciato
deve includere elementi Tecnici e Non-Tecnici
 Controlli non-tecnici – regole ambientali: ad es.
standard, politiche, procedure e gestione dei rischi
 Controlli tecnici – tecnologie atte a fornire misure
restrittive per controlli non tecnici: ad es. firewall,
Group Policy Objects, liste di controllo degli accessi
(ACL) per i livelli
 La sicurezza è forte solo quanto l'anello più debole
“soluzione universale”
 Il controllo e l'attenzione ai dettagli sono ELEMENTI
CHIAVE per un successo a lungo termine per la
sicurezza
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
13
Innovazione nella sicurezza
Realizzazione di architetture orientate alla sicurezza
Requisiti di sicurezza
dell'architettura
Protezione
e
riservatezzadei dati
Accesso autenticato
Prevenzione e rilevamento di
manomissioni
Collaborazioni e catena di
fornitura
Collaborazioni
Prodotti e reti più robusti
Protezione
dati
Protezione
della
proprietà
intellettuale
Sicurezza
basata
sui ruoli
Rilevamento
e protezione
dalle manomissioni
Catena di fornitura
Rete
Riservatezza dei dati
Protezione della proprietà
intellettuale
Accesso
remoto
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
14
Difesa in profondità olistica
Le politiche di sicurezza industriale determinano i controlli tecnici
 Fisica – limita l'accesso fisico al solo personale autorizzato: aree/celle, pannelli di controllo,
dispositivi, cablaggio e sala controllo … blocchi, porte, chiavi, biometrica. Può prevedere
anche politiche, procedure e tecnologie per accompagnare e monitorare i visitatori
 Rete – infrastruttura di sicurezza – ad es. firewall,
lista di controllo degli accessi (ACL) switch e router,
AAA, sistemi di rilevamento e prevenzione intrusioni
(IDS/IPS)
 Robustezza di computer – gestione patch,
software Anti-X, rimozione di applicazioni,
protocolli e servizi non utilizzati, chiusura di porte logiche
non utilizzate, porte fisiche di protezione
 Applicazione – software di autenticazione, autorizzazione
e accounting (AAA)
 Robustezza dei dispositivi – gestione delle modifiche,
crittografia di comunicazione e controllo degli accessi
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
15
Architettura orientata alla sicurezza
Cisco / Rockwell Automation CPwE Reference Architecture
Infrastruttura di rete IACS
flat e aperta
Infrastruttura di rete IACS
flat e aperta
Infrastruttura di rete IACS
strutturata e robusta
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
16
Architettura orientata alla sicurezza
Cisco / Rockwell Automation CPwE Reference Architecture
 Infrastruttura di rete
strutturata e robusta
 Infrastruttura scalabile con un
approccio di difesa in profondità olistica
 La sicurezza è pervasiva, non è un
componente
da aggiungere a posteriori
 Allineamento agli standard di
sicurezza industriale (ad es. ISA, NIST)
 Politica di sicurezza industriale:
A-I-C rispetto a C-I-A
 Implementazione DMZ industriale
 Politica degli accessi remoti
con implementazione robusta e sicura
Buone prassi di progettazione DMZ standard
Internet
WAN
aziendale
Zona aziendale
livelli 4-5
DMZ / Firewall
esterno
Server fisici o virtualizzati
Zona demilitarizzata
industriale
(IDMZ)
•
•
•
•
VLAN
Cisco
ASA 5500
Gestione patch
Server gateway desktop remoto
Immagini speculari
Server AV
Firewall
(Standby)
Firewall impianto:
 Segmentazione di traffico
tra zone
 ACL, IPS e IDS
 Servizi VPN
 Proxy servizi desktop
remoto e portale
Firewall
(attivo)
Stato e monitoraggio
rete
AAA – FactoryTalk
Catalyst
6500/4500
Server autenticazione,
Active Directory (AD),
AAA – Radius / ISE
Resilienza dei
dispositivi di rete
Server accessi remoti
Catalyst 3750
StackWise
Stack di switch
Livello 3 – Operazioni in sito
Infrastruttura di rete
• Robustezza
• Controllo degli accessi
FactoryTalk Client
Robustezza SO
Livello 2 – Controllo di supervisione area
VLAN, segmentazione
Domini trust
HMI
Controllori, I/O,
servoazionamenti
Sicurezza delle porte
fisiche
Firewall zone
Robustezza dispositivi,
elettronica
I servizi di sicurezza di rete
non devono interferire con
le operazioni dell'impianto o del sito
Robustezza dispositivi,
crittografia comunicazioni
I/O
Robustezza dispositivi
• Sicurezza fisica
• Procedurale
Controllore
Livello 1 - Controllore
Controllore
Servoazionamento
Livello 0 - Processo
MCC
Soft
Starter
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
17
Agenda
Azienda connessa: valore, rischi e minacce
Andamenti, difesa in profondità, architettura orientata alla sicurezza
Protezione fisica (controllo degli accessi)
Dispositivi più robusti (hardware ed elettronica)
Sicurezza di rete (firewall, VPN)
Accesso remoto sicuro
Riferimenti
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
18
Architettura orientata alla sicurezza
Fisica
 Limita l'accesso ai sistemi di controllo e automazione
industriale (IACS) al solo personale autorizzato
Pannelli di controllo, dispositivi, cablaggio e sala controllo
 Blocchi, protezioni, chiavi, videosorveglianza, altri dispositivi di
autenticazione (biometrici, tastierini ecc.).
 Accesso alle porte fisiche (porte Ethernet e USB)

 Impostare il selettore del controllore
Logix su “RUN”
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
19
Architettura orientata alla sicurezza
Sicurezza delle porte fisiche
 Soluzioni codificate per
rame e fibra
 Prodotti di blocco (Lock-in
e Blockout) proteggono le
connessioni
 Porta accesso dati
(cavo e jack codificati)
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
20
Agenda
Azienda connessa: valore, rischi e minacce
Andamenti, difesa in profondità, architettura orientata alla sicurezza
Protezione fisica (controllo degli accessi)
Dispositivi più robusti (hardware ed elettronica)
Sicurezza di rete (firewall, VPN)
Accesso remoto sicuro
Riferimenti
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
21
Architettura orientata alla sicurezza
Dispositivi più robusti – Controllore / moduli di comunicazione
 Progettazione elettronica:
Cambio delle password dalle impostazioni predefinite
 Protezione del sorgente del controllore Logix








Protezione con password

Dongle hardware
Sicurezza FT
Istruzioni AOI con firma
Controllo accesso dati del controllore Logix
Firmware con firma
Assegnazione Trusted Slot
Disabilitazione delle porte non utilizzate



Switch gestiti Stratix con CLI, Device Manager o Studio 5000 (AOP e codice)
Porta USB controllore Logix e scheda di comunicazione Ethernet
 Istruzione di messaggio (KB AID 618101) o
 Funzione Trusted slot di Studio 5000 (V20 e successive)
Porte USB PC industriale
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
22
Agenda
Azienda connessa: valore, rischi e minacce
Andamenti, difesa in profondità, architettura orientata alla sicurezza
Protezione fisica (controllo degli accessi)
Dispositivi più robusti (hardware ed elettronica)
Sicurezza di rete (funzioni di sicurezza Stratix, firewall, VPN)
Accesso remoto sicuro
Riferimenti
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
23
Architettura orientata alla sicurezza
Rete robusta
In che modo posso proteggere le mie reti industriali dalle minacce?

“Temo che degli hacker stiano cercando di entrare nel mio sistema di controllo per interferire
o modificane il funzionamento – La sicurezza, la disponibilità e la protezione della proprietà
intellettuale per me sono tutte importanti.”
 Una rete robusta garantisce la sicurezza della connettività aziendale,
della produzione e dello sviluppo remoti.
 Le soluzioni di Rockwell Automation disponibili oggi includono:
 Regole generali di architettura
 Servizi di rete e sicurezza
 Progettazione elettronica:
 Modulo di comunicazione sicuro ControlLogix
 Portfolio Stratix di router e switch
 Novità! Router a servizi integrati Stratix 5900
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
24
Il portfolio Stratix
Integrazione dell'ambiente industriale e aziendale
Prodotti che offrono:
Tecnologia che offre:
 Commutazione livello 2 e livello 3 per applicazioni con
reti da semplici a complesse
 Funzioni avanzate di commutazione, instradamento e
sicurezza
 Servizi di sicurezza avanzata
 Strumenti comuni per controlli e IT
 Integrazione di stabilimento e azienda
 Miglioramento della manutenzione
 Connettività “On-Machine”
 Design flessibile
 Integrazione wireless in aree remote e difficili da cablare
 Personalizzazione basata sulle esigenze del vostro
impianto
Soddisfa le
esigenze di
automazione…
Stratix 8000/8300
livello 2, livello 3
Router a
servizi integrati
Stratix 5900
Stratix 2000
non gestito
Stratix 5100 punto di accesso
wireless/Workgroup Bridge
…di
ArmorStratix 5700
stabilimento
e IT
Stratix 5700
livello 2
Stratix 6000
livello 2
ETAP Stratix
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
25
Il valore di Stratix
Progettato e sviluppato per applicazioni EtherNet/IP industriali
Ottimizzazione delle prestazioni di rete

QoS – Qualità del servizio - le configurazioni predefinite sono allineate agli standard ODVA per
applicazioni industriali EtherNet/IP per applicazioni discrete, di controllo assi, di sicurezza e processo;
sicurezza: minimizzare l'impatto degli attacchi DoS

IEEE1588 (CIP Sync) - L'implementazione ODVA del protocollo PTP (precision time protocol) IEEE 1588
assicura buone prestazioni di connessione ai dispositivi EtherNet/IP
Semplifica progettazione, sviluppo e manutenzione

DHCP per porta - assegna uno specifico indirizzo IP a ogni porta, per garantire che il dispositivo collegato
a una determinata porta ottenga lo stesso indirizzo IP

Rilevamento cavo interrotto - rileva problemi di cablaggio quali interruzioni, rotture, fili tagliati, fili
intrecciati cortocircuitati con disponibilità dello stato in Logix

Traduzione degli indirizzi di rete – NAT – Una traduzione degli indirizzi IP 1:1 per segmentare i dispositivi
di rete a livello di macchina dalla rete dell'impianto, traduce solo i dispositivi che devono essere visibili alla
rete dell'impianto
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Funzioni di sicurezza Stratix




Accesso alle porte basato su applicazione/progetto (CIP)
 Controllo delle porte basato su controllore (on/off)
 Impostazioni predefinite per l'accesso alle porte basato sulla modalità
del controllore (riposo/errore)
 Identificazione dispositivo non autorizzato (tag) per ogni porta
Sicurezza delle porte configurabili
 Sicurezza delle porte preconfigurata mediante smartport
 Configurazione del numero di dispositivi consentiti per porta
 Autenticazione ID MAC dispositivo configurabile
 Funzione Storm control (controllo della congestione) per ogni porta
Traffico amministrativo crittografato
 Compatibile con SSHv2, SNMPv3 e HTTPS
Capacità avanzata (con CLI)
 Più livelli (7) di protezione con password
 Liste di controllo accessi (ACL) per applicare le politiche di sicurezza per ogni porta
 802.1x per l'autenticazione utente
 DHCP Snooping e IP source guard per impedire lo spoofing
 TACACS+ e Radius per l'autenticazione centralizzata
Semplici strumenti per standardizzare e applicare le politiche di sicurezza
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Sicurezza porte
basata su indirizzi MAC
 Questa funzione è disponibile sugli switch gestiti Stratix 5700, 8000 e 8300.
 Offre un metodo semplice per limitare l'accesso host alla rete in base agli
indirizzi MAC (Media Control Access Address).
 È possibile bloccare una specifica porta dello switch quando:
 Sulla porta si vede un numero di indirizzi MAC sorgente superiore a
quello configurato.
 Gli indirizzi MAC sorgente presenti sulla porta non sono contenuti in un
elenco predefinito.
 Ogni violazione della politica di sicurezza per le porte attiva un allarme
nello switch.
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
28
Liste di controllo accessi (ACL)
 Nelle reti di computer è il metodo preferito dagli amministratori di rete per filtrare il
traffico e applicare le politiche di sicurezza.
 Un amministratore di rete che, ad esempio, vuole consentire l'accesso degli
utenti a Internet per esplorare pagine Web (HTTP), ma non autorizzare lo scambio
di file (FTP).
 Una lista ACL è un elenco sequenziale di enunciati di autorizzazione o rifiuto
applicabili agli indirizzi (MAC e IP) o ai protocolli di livello superiore.
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
29
Liste di controllo accessi (ACL)
 Le liste ACL sono applicabili a un'interfaccia (IP o porta switch)



Modalità inbound (entrata) o outbound (uscita).
Gli switch Stratix 5700, 8000 e 8300 supportano solo la modalità inbound per tutte
le liste ACL.
Quando si applica una lista di accesso all'interfaccia inbound, i pacchetti vengono
controllati rispetto alla lista di accesso prima che avvenga il processo di ricerca nella
tabella di instradamento o commutazione .
 Tutte le liste ACL hanno un comando “Deny Any Any” implicito alla fine;
 Tutto il traffico non espressamente autorizzato viene bloccato
 Non controlla il traffico
 È possibile configurare le liste di controllo degli accessi utilizzando:

Command Line Interface (CLI)



Interfaccia operatore principale per configurare, monitorare e manutenere i dispositivi Cisco.
È lo strumento IT più utilizzato dai professionisti oggi.
Cisco network Assistant (CNA) (Stratix 5700, 8000 e 8300)
Configuratore Stratix (Stratix 5900)
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
30
Segmentazione di rete
Infrastruttura di rete strutturata e robusta
 Blocchi modulari più piccoli minimizzano l'espansione della rete
per realizzare un'infrastruttura di rete scalabile, modulare ed espandibile



Domini di errore ridotti (ad es. loop livello 2)
Domini di broadcast ridotti
Domini trust ridotti (sicurezza)
 Diverse tecniche per creare blocchi modulari di rete ridotti
(domini di livello 2)

Struttura e gerarchia
Modello logico – organizzazione geografica e funzionale dei dispositivi IACS
 Modello di rete campus - modello di switch multi-tier (a più livelli) – livello 2 e livello 3
 Quadro logico


Segmentazione





Più schede di interfaccia di rete (NIC) – ad es. ponte CIP
Traduzione indirizzi di rete (NAT)
Reti VLAN (Virtual Local Area)
VLAN con NAT
Router a servizi integrati (Stratix 5900)
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
31
Demo Funzioni di sicurezza della
piattaforma Stratix
 Prodotti di blocco (lock-in e block-out) Panduit
 Accesso alle porte basato su applicazione/progetto (CIP)

Controllo delle porte basato su controllore (on/off)

Funzione storm control (AOP)
 Sicurezza delle porte configurabile

Limite indirizzi MAC statici e dinamici

Smartport -> impostazione della sicurezza delle porte preconfigurata (numero di
dispositivi consentiti per porta)
 Segmentazione – VLAN
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
32
Architettura orientata alla sicurezza
Rete robusta - Segmentazione
Rete a livello aziendale
Rete a livello aziendale
Rete a livello aziendale
Rete a livello aziendale
Switch
con VLAN
Rete a livello di impianto
Rete a livello di impianto
Rete a livello di impianto
Rete a livello di impianto
Non raccomandate come soluzioni indipendenti
Raccomandata – Dipende … basata sugli standard del cliente, le politiche e le procedure di sicurezza, la tolleranza ai rischi
e l'allineamento agli standard di sicurezza IACS
Rete a livello aziendale
Router
(FW basato su
zone)
Rete a livello aziendale
Firewall
Rete a livello aziendale
IDMZ
Rete a livello di impianto
Rete a livello di impianto
Rete a livello di impianto
Buona
Migliorativa
Ottima
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
33
Architettura orientata alla sicurezza
Router a servizi integrati Stratix 5900™ livello 2 e livello 3
 Servizi di sicurezza e instradamento ottimali per livello 2 o livello 3





Router + Firewall
Virtual Private Network (VPN)
Traduzione indirizzi di rete (NAT)
Liste di controllo accessi (ACL)
1GE WAN, 4 FE LAN, 1 porta seriale
 Realizzato con la tecnologia Cisco (IOS)
Funzioni comuni della famiglia di switch gestiti Stratix Ethernet
 Strumenti di sviluppo IT comuni (CLI, DM, CiscoWorks, CCP)
 Supporta il monitoraggio e la ricerca guasti avanzati (Netflow)

 Robusto per il settore industriale, montaggio su guida DIN
 Ideale per connessione tra siti, firewall a zone cella/area e integrazione
Ideale
OEMper migliorare la protezione della comunicazione tra canali sicuri e limitare
comunicazioni indesiderate per mezzo della politica adottata e del controllo
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Stratix 5900 Device Manager
 Strumento di gestione dei dispositivi
grafico basato su Web
 Viste Cruscotto, Configurazione,
Monitoraggio e Manutenzione per
migliorare la gestione e la diagnosi dei
problemi di rete
Visualizzazione in tempo reale della
configurazione e delle prestazioni
 Semplifica le attività di configurazione del
router (LAN, WAN)
 La visualizzazione grafica semplifica il
monitoraggio e la diagnosi del router
 Strumenti di allarme per avvisare, identificare e
risolvere i problemi di rete

Connessione sicura dal vostro browser Internet
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Configuratore Stratix – CCP
 Software applicativo basato su PC per la gestione
di dispositivi per i prodotti Stratix basati su IOS
 Basato su Cisco Configuration Professional (CCP)
 Semplici procedure guidate di configurazione
per router, firewall, sistema di prevenzione
dalle intrusioni (IPS), VPN, comunicazioni
unificate, configurazioni WAN e LAN
 Download gratuito disponile dal sito di download e
compatibilità dei prodotti:
http://www.rockwellautomation.com/
rockwellautomation/support/pcdc.page?
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
36
Architettura orientata alla sicurezza
Router a servizi integrati Stratix 5900™ livello 2 e livello 3
Il router di servizi
Stratix 5900 è ideale per:
Sistemi gestionali
a livello aziendale
Livelli 4 e 5 – Data Center
zona aziendale
Livello 3-5 - IDMZ
Sistemi operativi
a livello di impianto
a livello di sito
Stratix 5900
2) Firewall zona
cella/area
Connessione
tra siti
•
•
•
•
•
Livello 3 – Operazioni
sito zona industriale
Piattaforma server e servizi FactoryTalk
Servizi di rete – ad es. DNS, AD, DHCP, AAA
Server accessi remoti (RAS)
Gestore chiamate
Storage Array
Livelli 0-2 Zone
cella/area
Stratix 5900
3) Integrazione OEM
Stratix 5900
1) Connessione tra siti
Sito remoto 1
Server fisici o virtualizzati
Zona cella/area locale 1
Skid OEM locale / Macchina 1
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
37
Firewall tradizionali
 Il classico controllo stateful del firewall Cisco IOS (noto in precedenza
come controllo degli accessi basato sul contesto o CBAC) impiega un
modello di configurazione basato su interfaccia in cui a un'interfaccia si
applica una politica di controllo stateful.
 Tutto il traffico che attraversa l'interfaccia è soggetto alla stessa politica di
controllo
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
38
Firewall basato su zone (ZBF)
 Il Firewall con politica basata su zone (noto anche come firewall a zone) cambia la
configurazione del firewall passando dal precedente modello basato su interfaccia al
nuovo modello più flessibile e comprensibile basato su zone
 Le interfacce sono assegnate alle zone di sicurezza e si applica la politica di controllo
al traffico tra le zone.
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
39
Terminologia per firewall basati su zone
 Zona di sicurezza
Una zona di sicurezza è un gruppo di interfacce a cui può
essere applicata una politica.
Ad esempio una zona di sicurezza “Controllo” e una zona di
sicurezza “Informazioni”.
Per default, il traffico avviene liberamente tra interfacce nella
stessa zona.
 Coppie di zone
Specifica una politica del firewall unidirezionale tra due zone.
Le coppie di zone definiscono la comunicazione tra diverse
zone.
 Politica delle zone
Una politica delle zone definisce quale traffico è consentito o
bloccato tra zone. Per le azioni nelle mappe della politica
le selezioni sono Drop, Pass e Inspect (rifiuto, accettazione e
controllo).
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
40
Demo Firewall basato su zone Stratix 5900
 L'obiettivo finale di questa dimostrazione è creare
due zone di sicurezza in Stratix 5900 per
consentire a un laptop con Studio 5000 all'interno
di una zona di sicurezza di comunicare con un
controllore Logix in una differente zona di
sicurezza.
 Le due zone di sicurezza sono configurate
come segue
Zona di sicurezza informativa utilizzata per
pannelli operatore e workstation di progettazione con
FTSudio 5000
 Zona di sicurezza per il controllo utilizzata per il
processore ControlLogix e i sottosistemi I/O

 L'obiettivo è il ping del controllore Logix e la
corretta connessione con un controllore Logix
nella zona di sicurezza del controllo
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
41
Virtual Private Network (VPN)
Ogni membro remoto della rete può comunicare in modo sicuro e affidabile utilizzando
Internet o altre reti non affidabili come mezzi trasmissivi per il collegamento alla rete LAN
privata o affidabile.
 Riservatezza dei dati - Internet Protocol Security Protocol (IPsec), Point-to-Point Tunneling Protocol
(PPTP), Layer 2 Tunneling Protocol (L2TP)/IPsec
 Integrità dei dati - Controllare che la parte crittografata del pacchetto o l'intero header e la parte dei dati del
pacchetto non sia stata manomessa. In caso di rilevamento della manomissione, il pacchetto è bloccato.
 Autenticazione dell'origine dei dati (considerazione di secondo livello) - È estremamente
importante verificare l'identità dell'origine dei dati inviati.
 Anti-replay - La capacità di rilevare e rifiutare i pacchetti duplicati (attacco replay) e impedire spoofing.
 Tunneling dei dati/Riservatezza del flusso di traffico - Il tunneling è il processo di
incapsulamento di un intero pacchetto in un altro pacchetto e l'invio su una rete.
 Autenticazione, autorizzazione e accounting (AAA)
 Nonrepudiation (non-ripudio, considerazione di secondo livello)
È possibile scegliere i protocolli VPN e le tecnologie a supporto dei requisiti elencati sopra
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
42
Demo – Connessione VPN da sito a sito
 Un sito è già configurato
 Impostiamo l'altro sito utilizzando il configuratore Stratix

VPN da sito a sito
172.16.0.0
rete
172.16.0.250 Gi
192.168.2.0
rete
Gi
172.16.0.251
192.168.1.0
rete
Dispositivo IACS
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
43
Infrastruttura di sicurezza della rete
Stratix 5900 - Firewall a celle e VPN tra siti
 Consente la distribuzione in sicurezza di
un sistema tra un sito centrale e siti più
piccoli.
 Applicazioni:



Trattamento delle acque / acque reflue
Oleodotti
Oil e Gas
 Il firewall Stratix 5900 consente di
limitare/filtrare il traffico diretto alle o
proveniente dalle Zone cella / area
 Stratix 5900 offre:





Traduzione indirizzi di rete (NAT)
Controllo stateful base di tutto il traffico
Firewall trasparenti e con instradamento
Netflow
Syslog
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Agenda
Azienda connessa: valore, rischi e minacce
Andamenti, difesa in profondità, architettura orientata alla sicurezza
Protezione fisica (controllo degli accessi)
Dispositivi più robusti (hardware ed elettronica)
Sicurezza di rete (funzioni di sicurezza Stratix, firewall, VPN)
Accesso remoto sicuro
Riferimenti
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
45
Soluzione per l'accesso remoto sicuro Rockwell
Gateway desktop remoto (implementazione NSS)
Accesso remoto in sicurezza per dipendenti
e collaboratori affidabili
Soddisfa i requisiti IT e consente al personale
dell'impianto di sfruttare risorse aziendali
distribuite, condivise e dei collaboratori affidabili
Infrastruttura IT comune

Conformità agli standard di sicurezza dei sistemi
di controllo e automazione industriale (IACS)





Difesa in profondità

DMZ
Data center
aziendale
Protocollo desktop
remoto (RDP)
su RCP/HTTPS
Gestione patch
Immagini speculari
Server AV
Semplifica la gestione delle modifiche, il controllo
della versione, la conformità normativa e la
gestione della licenza software
Un'unica soluzione non basta per tutto – servono
soluzioni sicure e modulari
Internet
Zona aziendale
livelli 4 e 5
Tecnico
azienda
connessa
WAN
aziendale
Zona aziendale
livelli 4 e 5
Consente la gestione delle risorse da remoto:
monitoraggio, configurazione e verifica
Permette la gestione remota dello stato generale
client
Client VPN
generico
Firewall
perimetro
aziendale
SSL VPN

IPSEC VPN

Tecnico o
collaboratore
remoto
Servizi gateway remoto
Zona demilitarizzata (DMZ)
Rilevamento
errori
link Gbps
Protocollo Desktop
remoto (RDP)
Firewall
(Standby)
Firewall
(attivo)
Zona demilitarizzata (DMZ)
Server applicazione FactoryTalk
•
•
•
•
Visualizzazione
Storico
AssetCentre
Transaction Manager
Piattaforma servizi
FactoryTalk
• Directory
• Sicurezza/Audit
Server dati
Catalyst
6500/4500
Server accessi remoti
• Servizi desktop remoto
• RSLogix 5000
• FactoryTalk View Studio
Catalyst 3750
Stack di switch
StackWise
EtherNet/IP
Zona industriale
Operazioni del sito e controllo
livello 3
Zone cella/area
Livelli 0–2
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
57
Accesso remoto
WebPort - Spectrum Control
• Connessioni Webport
Sviluppo della connettività remota
–
–
–
–
–
Gestione e connessione a Webport da 1 posizione centrale
Sviluppato sulla piattaforma cloud Azure di Microsoft
Tecnologia VPN sicura (basata su cloud – Windows Azure)
Registra e aggrega i dati di più webport in un database SQL
Crea report dai datalog. Cruscotti personalizzati
per la visualizzazione dei dati
– API Web – consentono la condivisione dei dati
• Caratteristiche Webport
–
–
–
–
–
–
–
Connettività Ethernet o 3G
Sistema operativo Linux
Database SQL
Micro SD per estesa archiviazione dati (immediata)
Switch LAN 4 porte
2 porte seriali (RS-232/RS485)
Interfaccia operatore semplificata
• Semplicità di utilizzo dell'intuitiva
interfaccia operatore
– Interfaccia basata su icone
– Display a scorrimento per aggiornamenti immediati
– Guida interattiva contestuale
Ethernet
Cellulare 3G
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
47
Accesso remoto
eWON – Router VPN industriale – Talk2M
Collegamento e attivazione con
tutti i dispositivi attraverso Internet
Servizio gratuito illimitato
+
Servizi
cloud
Talk2M
Router
VPN
industriale
eWON
Montaggio su guida DIN, 24 VCC
Facile tunneling VPN (sicuro e
crittografato) attraverso la LAN del
cliente
LAN e porte seriali per il
collegamento dei dispositivi
(PLC, HMI,…)
Modem opzionale (2G/3G)
Ideale per firewall
Accesso Web mobile
SMS ed e-mail relay
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
48
L'unione
Accesso remoto sicuro – Soluzione buona, migliorativa, ottima
 Scenario/Riconoscimento di un problema

Un dipendente, o una terza parte, vuole accedere al sistema
di controllo da una rete esterna alla zona di produzione per
partecipare alla ricerca guasti e alla
Rischio/minaccia
manutenzione
Accesso remoto
non autorizzato
Worm e virus
 Buona soluzione

Dispositivo di accesso remoto
Furto
 Soluzione migliorativa

Soluzione buona + supporto tecnico con espansione del
perimetro di sicurezza (ad es. Stratix 5900 come firewall,
utilizzando FactoryTalk Security, …)
 La soluzione migliore

Soluzione migliorativa + supporto tecnico con espansione
del perimetro di sicurezza - attraverso l'implementazione di
gateway di accesso remoto in una zona DMZ industriale
Sabotaggio
$$$
Problemi di qualità per tempi
di fermo non pianificatiImmagine del marchio
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
49
Cos'è la sicurezza industriale?
 Riduzione dei rischi
L'utilizzo di tecnologie,
politiche e prassi per…
 Aumento della possibilità di
evitare rischi, pericoli e perdite
 Miglioramento della protezione
 Protezione e limite
RISCHIO =
Vulnerabilità× Minaccia × Conseguenza x
Frequenza
Protezione di persone, proprietà e informazioni proprietarie
da azioni sfavorevole malevoli e indesiderate
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
63
Difesa in profondità aggiuntiva
Valori di sicurezza
Protezione e rilevamento delle manomissioni - In che modo posso accertarmi che la configurazione del mio sistema di controllo non sia
cambiata? Come posso assicurare che sia possibile accedere al controllore attraverso un percorso di connessione sicuro?
“Temo che modifiche al sistema di controllo possano influenzarne la produttività e interferire con la sicurezza degli operatori.”

Firme digitali del firmware

Rilevamento e registrazione delle modifiche al controllore (memorizzazione su SD o FT AssetCentre)

AOI ad alta integrità

Trusted slot per le comunicazioni (+ collegamento opzionale al numero seriale)

Disabilitazione delle porte USB non utilizzate
Protezione della protezione intellettuale - In che modo posso impedire che le persone possano vedere il contenuto interno e come funziona
esattamente?
“Ho progettato un processo o una macchina di controllo industriale molto innovativa. Temo che la mia concorrenza possa cercare di contraffarli con
il reverse engineering

Protezione del codice sorgente Logix
Controllo degli accessi all'applicazione - In che modo posso limitare chi compie determinate azioni da punti specifici?
“Nel mio impianto ci sono diversi utenti e diverse aree. Non tutti dovrebbero essere in grado di fare tutto.”


Controllo dell'accesso ai dati
FactoryTalk® Security
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
51
L'unione
Protezione da azioni indesiderate – Soluzione buona, soluzione migliorativa, la migliore soluzione
 Scenario/Riconoscimento di un problema

Il fornitore che si collega alla rete dell'impianto per
apportare modifiche o integrare una nuova linea
genera dei tempi di fermo dovuti all'introduzione di
virus o configurazioni indesiderate
 Buona soluzione



Rilevare modifiche non autorizzate con il valore di
verifica (audit value) di rilevamento modifiche
Utilizzare switch gestiti per segmentare l'architettura
con VLAN
Scansione dei dispositivi del fornitore
 Soluzione migliorativa

Azioni non autorizzate
dei dipendenti
Azioni
indesiderate
dei dipendenti
Buona soluzione + applicazione accesso VLAN con
Liste di controllo degli accessi
 La soluzione migliore

Rischio/minaccia
Soluzione migliorativa + limitazione accessi con
FactoryTalk Security con la funzione Security
Authority Binding attivata
Perdita di $$$
Danneggiamento al prodotto o ai macchinari
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
52
Agenda
Azienda connessa: valore, rischi e minacce
Andamenti, difesa in profondità, architettura orientata alla sicurezza
Protezione fisica (controllo degli accessi)
Dispositivi più robusti (hardware ed elettronica)
Sicurezza di rete (funzioni di sicurezza Stratix, firewall, VPN)
Accesso remoto sicuro
Riferimenti
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
53
Rockwell Automation:
Risorse di sicurezza industriale
 Prodotti e tecnologie di sicurezza avanzata

I prodotti e le tecnologie Rockwell Automation con funzioni di sicurezza migliorano la
sicurezza del sistema di controllo a livello dell'intero sistema.

http://www.rockwellautomation.com/security
 Architetture di riferimento EtherNet/IP a livello di impianto

La struttura validata del sistema di controllo e le migliori prassi di sicurezza complementano
le misure di difesa in profondità/sicurezza a più livelli raccomandate.

http://www.ab.com/networks/architectures.html
 Network & Security Services (NSS)

I consulenti specializzati RA si occupano delle valutazioni dei rischi di sicurezza e
forniscono raccomandazioni sulle modalità di segnalazione dei rischi e riduzione delle
vulnerabilità.

http://www.rockwellautomation.com/services/security
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
54
Sicurezza industriale
http://rockwellautomation.com/security
Servizi di
valutazione
Tecnologia
di sicurezza
FAQ sulla
sicurezza
Servizi di
sicurezza
Leadership e
standard
Risorse di
sicurezza
Avvisi di
sicurezza
Qualificazione
patch MS
Architetture di
riferimento
Servizi di
valutazione
[email protected]
Chiave pubblica Pretty Good Privacy (PGP)
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
55
Avvisi di sicurezza
Vulnerabilità, avvisi e distribuzione




Li prevediamo.
Li pianifichiamo.
Lavoriamo per evitarli.
Supportiamo i nostri clienti.
https://rockwellautomation.custhelp.com/app/utils/create_account
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
56
Materiale supplementare
Collaborazione Cisco e Rockwell Automation
 Siti Web
 Architetture di riferimento
 Guide alla progettazione
 Converged Plant-wide Ethernet (CPwE)
 CPwE Resilient Ethernet Protocol (REP)
 Guide applicative
 Guida applicativa Infrastruttura in fibra ottica
 Considerazioni sulla progettazione wireless per le applicazioni
industriali
 Libri bianchi
 I 10 consigli per gli sviluppi EtherNet/IPa livello di impianto
 Sicurezza degli asset (controllore e computer di produzione)
 Software di produzione con architetture di riferimento della produzione
 Accesso remoto sicuro alle applicazioni e ai dati a livello di impianto
 Considerazioni sulla progettazione della sicurezza delle reti dei sistemi
di controlloe automazione industriale
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
57
Servizi di rete e sicurezza
VALUTAZIONE
• Valutazione dello stato corrente di programma, progetto e politica di sicurezza.
• Valutazione dello stato corrente della progettazione e dello sviluppo della rete
PROGETTO/PIANIFICAZIONE
• Progettazione e pianificazione di un'infrastruttura di rete
• Progettazione e pianificazione del programma di sicurezza, della politica,
dell'infrastruttura e piano di continuità aziendale
SVILUPPO
• Installazione e configurazione di una rete
• Sviluppo di un programma di sicurezza, del progetto dell'infrastruttura e della formazione sulla
politica
AUDIT
• Verifica della conformità dell'architettura corrente rispetto ai requisiti degli enti
normativi (ODVA, CNI, IEEE, TIA/EIA)
• Verifica del programma di sicurezza sulla base dei requisiti degli enti normativi
(NERC CIP, ISA SP-99, NIST 800-53, NIST 800-82)
GESTIONE/MONITORAGGIO
• Gestione, manutenzione e monitoraggio del tempo di disponibilità e dei problemi sulla rete
• Servizi di sicurezza gestiti (risposta agli incidenti, disaster recovery e monitoraggio)
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
71
Materiale aggiuntivo
Vantaggi del protocollo IP industriale
 Una nuova risorsa consultabile per la formazione e le
informazioni tecniche relative alle comunicazioni
industriali (inclusa la sicurezza industriale!)
 Protocollo Internet (IP) standard per applicazioni
industriali
 Coalizione di aziende innovative
www.industrial-ip.org
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
59
Grazie per la partecipazione!
Vogliamo conoscere la vostra opinione!
Vi invitiamo a compilare il questionario.
Follow ROKAutomation on Facebook & Twitter.
Connect with us on LinkedIn.
www.rockwellautomation.com
Rev 5058-CO900B
60
Copyright © 2012 Rockwell Automation,
Inc. All rights reserved.