Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Computernetwerk

CompuDiode - Compumatica

advertisement 
CompuDiode
Technical whitepaper
2015
ICS / SCADA
Security
Nederlands
Hackers slagen er
steeds vaker in om
.gevoelige bedrijfsdata
.te stelen, manipuleren
.en te verwijderen
// ICS / SCADA security
Vitale infrastructuren worden aangestuurd via
Organisaties zitten dan ook in een tweestrijd,
Industrial Control Systems (ICS). De gebruikte
dankzij de koppeling van kritieke systemen aan
Process Control systems (PCS) waren tot voor
het netwerk en internet kunnen medewerkers
kort autonome systemen. Om de efficiënte te
veel efficiënter werken en analyseren. Maar aan
verbeteren
Control
de
op
succesvolle inbraak toe.
Systems
worden
steeds
deze
vaker
Process
van
een
IP
gebaseerde interface voorzien en aan het
bedrijfsnetwerk en internet gekoppeld.
andere
kant
neemt
het
risico
op
een
Het op een juiste manier beveiligen van deze
netwerken is zeer complex en
beveiliging
Doordat de Process Control Systems aan het
oplossingen gaan vaak ten koste van de efficiency
internet gekoppeld zijn en niet altijd beschikken
in een organisatie.
over de laatste software versies, bestaat er een
risico dat deze systemen gehackt worden. De
systemen zijn immers vanaf elke locatie ter
wereld bereikbaar.
Om het risico van succesvolle aanvallen tot een
minimum te beperken, is het van belang dat in de
Industrial control systems de Process Control
Systems en de Supervisory Control And Data
De gevolgen van een succesvolle aanval op
Acquisition
bijvoorbeeld een energiecentrale, luchthaven of
worden van het internet en andere netwerken of
andere vitale infrastructuren zijn niet te overzien.
door een veilige toegang gecontroleerd worden.
Materiële
schade
is
het
minste
wat
een
organisatie kan overkomen.
(SCADA) netwerken
losgekoppeld
Het loskoppelen van PCS en SCADA netwerken
hoeft niet ten koste te gaan van efficiency.
De afgelopen jaren zijn er tientallen succesvolle
Wanneer deze netwerken fysiek van andere
aanvallen op deze infrastructuren geweest. Zo
netwerken worden gescheiden, kunnen beide
werd een Duitse energiecentrale met succes
onafhankelijk van elkaar blijven functioneren.
aangevallen, waardoor deze stil kwam te liggen.
Criminelen beginnen in te zien dat er veel geld te
verdienen valt door manipulatie van controle
systemen, zoals bijvoorbeeld smart meters.
Whitepaper CompuDiode
2015
The security of your
data is our mission .Cybersecurity with
.a personal touch
// Inhoudsopgave
// CompuDiode ......................................... 4
// Controle diode ....................................... 8
Gecertificeerde NextGen firewall ..................... 4
Gecontroleerde communicatie ......................... 8
Datadiode .................................................... 4
Voor
Centraal webmanagement .............................. 4
Drie verschillende types ................................. 5
Industriële hardware ...................................... 5
// Klassieke DataDiode ...............................6
Eenrichtingsverkeer ....................................... 6
Voor welke doelgroep is de klassieke datadiode
geschikt? ..................................................... 6
Voordelen .................................................... 6
// Signalling diode ...................................... 7
Signalling ..................................................... 7
Voor welke doelgroep is de signalling diode
geschikt? ..................................................... 7
Voordelen .................................................... 7
Whitepaper CompuDiode
2015
welke
doelgroep
is
de
controle
diode
geschikt? ..................................................... 8
Voordelen .................................................... 8
// NextGen Firewall / CompuWall ................ 9
Veiligheid .................................................... 9
Remote Access ............................................. 9
Overige
functionaliteiten
en
technische
achtergrond .................................................. 9
// Bedrijfsprofiel....................................... 10
// Contact informatie ................................ 10
Alles wat niet
.expliciet is
.toegestaan, is
.strikt verboden
// CompuDiode
Zoals in voorgaand hoofdstuk is beschreven, is
Door op deze manier de firewall te laten werken
het extra beveiligen van de toegang tot ICS en
is
SCADA netwerken noodzakelijk. Echter is het
beveiligingslekken uitgesloten. Enkel door de
wel van belang dat de oplossing zowel veilig
beheerder toegestane verbindingen, worden door
als efficiënt is.
de firewall gecontroleerd doorgelaten.
De CompuDiode van Compumatica is speciaal
Voor extra veiligheid heeft de CompuDiode twee
ontwikkeld om ICS en SCADA netwerken te
fysiek gescheiden firewalls, waardoor pakketten
beveiligen. Dankzij drie verschillende type diodes
extra gecontroleerd kunnen worden. Dankzij de
heeft Compumatica voor elke organisatie een
dubbele firewall, beide onafhankelijk beheerd, is
geschikte oplossing.
het mogelijk om dataverkeer strikt te regulieren.
De CompuDiode bestaat uit één hardware met
Datadiode
daarin twee fysieke NextGen firewalls en een
diode
koppeling. De hardware beschikt
per
NextGen firewall over twee interfaces waardoor
er een flexibele inzet van de CompuDiode
mogelijk is.
niet
mogelijk
en
zijn
Naast de twee NextGen firewalls bevat de
CompuDiode een
. Een
is een
fiber connector en werkt als een diode, waarbij
slechts
éénrichtingverkeer
tussen
netwerken
mogelijk is. De diode scheidt de netwerken fysiek
van elkaar. Er kunnen hierdoor geen succesvolle
Gecertificeerde NextGen firewall
De technologie van de NextGen firewalls komt uit
de CompuWall, een ander door Compumatica
ontwikkeld
misconfiguratie
product.
Deze
Het is ook mogelijk om de CompuDiode zonder
layer
te bestellen, zodat er gereguleerd twee
firewall is een door de Nederlandse overheid
richtingsverkeer mogelijk is. Deze Diode is terug
gecertificeerde
te vinden op pagina 8.
firewall
voor
application
aanvallen van buitenaf meer plaatsvinden.
Departementaal
Vertrouwelijk gebruik (DV).
De NextGen application layer firewall (laag 7)
biedt een hoogwaardige beveiliging en krachtige
werking door het volgende security principe:
Centraal webmanagement
De CompuDiode is zeer eenvoudig in gebruik,
dankzij
het
centrale
webmanagement,
De
beheerder kan white en black listing toepassen,
nieuwe
is str
security
policies
creëren,
updates
doorvoeren, etc.
Zoals eerder al aangegeven, beide firewalls
hebben een eigen centrale management.
Whitepaper CompuDiode
2015
4
Drie verschillende
.types voor optimale
.veiligheid en
.
Beheer / flexibiliteit CompuDiode tabel
Drie verschillende types
Compumatica heeft drie verschillende varianten
van
de
datadiode
ontwikkeld.
Dankzij
Type
de
Beheer
Flexibiliteit
inspanningen
verschillende versies is er voor de verschillende
toepassing gebieden voor elke organisatie en
Klassieke
infrastructuur een geschikte diode met passende
Datadiode
Laag
+
Middel
++
Hoog
+++
veiligheid.
Deze drie types zijn verschillend op het gebied
van
beheer
en
flexibiliteit.
Compumatica
Signalling
Diode
benadrukt dat alle versies de hoogste mate van
Controle
beveiliging biedt.
Diode
Wanneer er binnen een organisatie behoefte is
aan
een
oplossing
waarbij
er
enkel
éénrichtingverkeer plaats vindt, is de klassieke
Industriële hardware
CompuDiode
De CompuDiode is compact en bestaat uit slechts
het
ideale
product.
Deze
CompuDiode heeft weinig beheer inspanningen
nodig.
een 1HE
hardware met daarin de twee
NextGen firewalls ieder met twee interfaces, de
Een volledig afgescheiden netwerk, maar met de
mogelijkheid om beperkte informatie (signalling)
naar andere netwerken terug te sturen, met de
Signalling CompuDiode is het mogelijk. Deze
CompuDiode
heeft
een
gemiddelde
beheer
diode als koppeling en een redundante voeding.
De
CompuDiode
is
zeer
geschikt
voor
toepassingen binnen industriële omgevingen. De
hardware is speciaal ontworpen om bestand te
zijn tegen schokken en trillen, te kunnen werken
inspanning nodig.
bij een temperatuur tussen -20° en +55° Celsius.
Het te beveiligen netwerk moet niet alleen
de CompuDiode een lange levensduur.
optimaal beveiligd worden, het moet ook volledig
Mede door het ontbreken van ventilatoren heeft
kunnen communiceren met andere netwerken.
Met de Controle CompuDiode is het mogelijk.
Deze
CompuDiode
heeft
een
hoge
beheer
inspanning nodig.
Whitepaper CompuDiode
2015
5
is de veiligste diode,
.omdat de data slechts
.éénrichting op kan
.
// Klassieke DataDiode
De klassieke DataDiode kent een zeer lage
Voor welke doelgroep is de klassieke
beheer inspanning. Bij installatie moeten de
datadiode geschikt?
firewalls worden ingesteld, waarna er verder
geen onderhoud meer nodig is.
andere
Bij deze diode is het slechts mogelijk om data in
richting
te
transporteren.
klassieke
CompuDiode
is
geschikt
De
fysieke
terugweg ontbreekt waardoor het niet mogelijk is
vanuit het ontvangende netwerk data aan te
bieden voor het zendende netwerk. Het te
netwerken,
waarbij
er
ook
Voordelen

Lage beheer inspanning

Aanvallen van buitenaf via het internet op
het
overige netwerken gescheiden en niet meer
uitgesloten
geclassificeerde
netwerk
kwetsbaar voor aanvallen.
Data transport via het TCP/IP protocol is dus niet
mogelijk met deze klassieke datadiode. Enkel
UDP verkeer vanuit het te beveiligen netwerk is
mogelijk.
2015
geen
communicatie terug hoeft te worden verstuurd.
beveiligen netwerk wordt dus volledig van de
Whitepaper CompuDiode
voor
netwerken die afgeschermd moeten worden van
Eenrichtingsverkeer
één
De
6
zijn
Wel een terugkoppeling
maar geen volledige
.twee richting
.communicatie
// Signalling diode
De signalling diode heeft een breder inzet
Voor welke doelgroep is de signalling
gebied in ICS omgevingen. Dit komt, omdat er
diode geschikt?
een gereguleerde twee richting communicatie
mogelijk is.
De signalling diode is het meest geschikt voor
organisaties waarvan de Information Technologie
(IT) en de Operations technologie (OT) netwerk
Signalling
Het basis principe van deze diode is hetzelfde als
de klassieke datadiode. De diode laat nog steeds
de data alleen maar in een richting door, maar de
omgevingen met elkaar verbonden dienen te zijn,
zonder dat deze volledig in twee richtingen data
hoeven te communiceren.
de
Door gebruik te maken van communicatie met
protocollen die gebruik maken van signalering
signalling is communicatie tussen IT en OT
voor de bevestiging van de ontvangst van een
netwerken mogelijk en is het OT geclassificeerde
pakket,
netwerk wel beter beschermd tegen aanvallen
ontvangende firewall zorgt er
deze
ook
voor dat
daadwerkelijk
ook
terug
van buitenaf.
ontvangen.
Door
de
toevoeging
van
deze
signalling
mogelijkheden kunnen beide netwerken met
elkaar communiceren en is er zowel UDP als
Voordelen

Signalling
protocollen
in
een
omgeving is mogelijk
TCP/IP data verkeer in een richting mogelijk.

Aanvallen van buitenaf (internet) zijn
uitgesloten
Whitepaper CompuDiode
2015
diode
7
Veilige twee richting
communicatie dankzij
.twee gekoppelde
.NextGen firewalls
// Controle diode
De Controle diode is het meest geschikt voor
Voor welke doelgroep is de controle
organisaties waarbij het altijd mogelijk moet
diode geschikt?
zijn
om
twee
netwerken
met
elkaar
te
verbinden om data en instellingen te kunnen
uitwisselen tussen IT en OT netwerken. Bij
deze
netwerken
dient
er
meer
zekerheid
ingebouwd te worden dan er met een op
software gebaseerde firewall gerealiseerd kan
worden.
elkaar
netwerken
overdragen
waarbij
tweerichting communicatie van wezenlijk belang
is.
firewalls is het mogelijk om de communicatie
management toegang, ontstaat er een diode
sterk te regulieren, maar is er wel de mogelijkheid
die tot op heden uniek in de markt is.
tot veilige twee richting communicatie.
Gecontroleerde communicatie
Voordelen
is
het
van
aan
verschillende
Door de twee afzonderlijke application layer
diode
combinatie
informatie
waarbij
NextGen firewalls, beide beheert door eigen
deze
een
organisaties
twee
Met
Door
De controle diode is het meest geschikt voor
mogelijk
om

gecontroleerde twee richting communicatie uit te
voeren, dankzij de application layers firewalls.
Deze firewalls kunnen zo ingesteld worden dat
aanvallen van buitenaf geblokkeerd worden, maar
Tweerichting communicatie in een diode
mogelijk

Aanvallen van buitenaf (internet) zijn
uitgesloten
dat er wel verkeer tussen beide netwerken
mogelijk is.
Whitepaper CompuDiode
2015
8
Remote access
onderhoud plegen
.is mogelijk dankzij
.de VPN concentrator
// NextGen Firewall / CompuWall
Zoals in de beschrijving van de CompuDiode

door
Compumatica
ontwikkelde
NextGen
Firewall. De NextGen Firewall is onderdeel van
de CompuWall.
De CompuWall software, een proxy application

Verbergen van netwerk infrastructuur
De netwerk infrastructuur wordt geheim
gehouden, zodat potentiele aanvallers langer
werk nodig hebben om het netwerk in kaart te
brengen.
layer firewall, zoals toegepast in de CompuDiode
is aangepast om de drie beschreven varianten te
kunnen ondersteunen.
Naast de NextGen Firewall is de CompuWall ook
Administratie op toegangscontrole
Toegang is enkel mogelijk met de toegestane
protocollen en systemen die zijn gelimiteerd
door de administrator. Tijdslimiet is ook
mogelijk.
aangegeven wordt gebruik gemaakt van de

een VPN concentrator.
Versleuteld management
Toegang tot het centrale management is altijd
versleuteld via HTTPS (optioneel beveiligd
met een persoonlijk certificaat) of SSH.
De CompuWall en dus ook de CompuDiode
maakt gebruik van een centraal management
d.m.v.
een
management
webbrowser.
worden
de
Met
het
centrale
security
policies
ingesteld.
Remote Access
Dankzij
ze
de
Virtual
Private
Network
(VPN)
functionaliteit zoals aanwezig op de CompuWall, kan
Veiligheid
de CompuDiode vanaf elke locatie op een veilige
De belangrijkste kenmerken van de CompuWall
die ook van belang zijn voor de CompuDiode zijn:

manier worden beheerd en waar nodig updates worden
uitgevoerd.
Security principe
Beveiligingslekken door misconfiguratie is
uitgesloten, dankzij het volgende security
principe.
Overige functionaliteiten en technische
achtergrond
Voor een meer uitgebreide functionaliteit van de
NextGen
firewall
als
onderdeel
van
de
CompuWall verwijzen we u graag naar de

CompuWall brochure en whitepaper.
Toegangscontrole op netwerk niveau
Alleen toegestane verbindingen worden
doorgelaten.
Whitepaper CompuDiode
2015
9
The security of your
data is our mission .Cybersecurity with
.a personal touch
// Bedrijfsprofiel
In 1991 toen bijna niemand bekend was met
cyber security, werd Compumatica opgericht
en liep voorop in de ontwikkelingen op dit
gebied. Compumatica heeft een volwaardig en
modern product portfolio van beveiligings
oplossingen ontwikkeld op basis van de
nieuwste technieken en haar expertise op het
gebied van cryptografie.
Compumatica secure networks is een volledig
onafhankelijke private onderneming. De klanten
van Compumatica zijn overheden en bedrijven,
voornamelijk uit de Top500.
Compumatica
ontwikkelt,
produceert
en
implementeert oplossingen met een hoge
beveiligingsgraad zonder achterdeuren. Tijdens
de ontwikkeling van de producten staat veiligheid
centraal met in het achterhoofd snelle
implementatie en integratie, eenvoudig beheer en
gemak voor de eindgebruiker.
Whitepaper CompuDiode
2015
Elk
product
ondergaat
een
gefaseerde
kwaliteitstest waarbij het wordt onderworpen aan
grondige duurproeven en
testen. Voor
elk product wordt minstens 10 jaar lang support
(incl. updates) geleverd.
Met onze nieuwe slogan
pers
willen we benadrukken dat
klanten bij Compumatica hoog in het vaandel
staan. Hebt u na de aankoop nog vragen of hulp
nodig, wilt u uw oude producten inwisselen voor
de
nieuwste
techniek
of
heeft
u
specifieke wensen
of
behoeften?
Bij
Compumatica staan wij altijd voor u klaar.
.
10
The security of your
data is our mission .Cybersecurity with
.a personal touch
// Contact informatie
Nederland
Duitsland
Compumatica secure networks BV
Compumatica secure networks GmbH
Oude Udenseweg 29
5405PD Uden
The Netherlands
Monnetstraße 9
52146 Würselen
Germany
Tel.: +31 (0) 413 334 668
Fax: +31 (0) 413 334 669
Tel.: +49 (0) 2405 8924 400
Fax: +49 (0) 2405 8924 410
www.compumatica.com
[email protected]
www.compumatica.com
[email protected]
Whitepaper CompuDiode
2015
11
Related documents
Opgave 1 - Home pages of ESAT
Opgave 1 - Home pages of ESAT
Met een gezond netwerk, een goed werkende organisatie!
Met een gezond netwerk, een goed werkende organisatie!
De halfgeleiderdiode
De halfgeleiderdiode
Managed Firewall - BizQIT Managed Services
Managed Firewall - BizQIT Managed Services
Managed Firewall
Managed Firewall
Managed Firewall
Managed Firewall
kathode is positief tov anode à voorwaartse stroom = 0
kathode is positief tov anode à voorwaartse stroom = 0
Met een Intelligent Edge- oplossing in elke telecomimplementatie
Met een Intelligent Edge- oplossing in elke telecomimplementatie
Managed Firewall checkup
Managed Firewall checkup
Hoe bescherm je kinderen op internet?
Hoe bescherm je kinderen op internet?
Arbeidsproductiviteit verhogen door sociale innovatie
Arbeidsproductiviteit verhogen door sociale innovatie
Beleidsplan (Bijgewerkt op: 01/05/2014)
Beleidsplan (Bijgewerkt op: 01/05/2014)
Download
advertisement