1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Ohne Passwortschutz: Experten warnen…

Internet@SCADA

  1. Thema

Neues Thema Ansicht wechseln


  1. Internet@SCADA

    Autor: yeti 03.08.11 - 15:59

    Man sollte das eigentlich nicht ans Internet hängen.
    Zumindest muss man sich in klaren sein, was man tut.

    Es könnte z.B. sinnvoll sein, einem Wartungstechniker temporär Zugriff über das Internet zu gewähren.
    Es könnte auch sinnvoll sein, über das Internet beobachten zu können (nicht steuern).

    Ich hänge bei http://pvbrowser.org mit drin.
    Da gibt es u.a. folgende Möglichkeiten.
    - Verwendung von ssh
    - Verwendung von "allow" und "deny" files, um nur bestimmten Client Adressen Zugriff zu erlauben.

    In der Regel sollte man SCADA aber auf das Intranet beschränken.

  2. Re: Internet@SCADA

    Autor: blubberdiblubb 03.08.11 - 16:32

    im internet hat das nun wirklich nichts zu suchen. Dafür gibt es VPN (in das sich dann auch ein Servicetechniker von sonstwo einwählen kann)...

  3. Re: Internet@SCADA

    Autor: yeti 03.08.11 - 16:50

    Ist ein VPN sicher ?
    Sicherer als ssh ?

    Es gibt nun mal Anwendungsfälle, bei der eine WAN Verbindung notwendig ist.
    Beispiele:
    - Gasversorger / Pipeline
    - Eisenbahn
    - Verteilte virtuelle Kraftwerke (müssten noch relisiert werden )

    Das wird auch nicht über ein VPN laufen können.

    Wir werden uns da also Gedanken machen müssen.

  4. Ein möglicher Ansatz

    Autor: yeti 03.08.11 - 17:00

    Man erlaubt nur die Kommunikation zwischen bekannten IP Adressen und
    stellt sicher, dass die entsprechenden Nodes permanent am Internet hängen.

    Man kann das sehr einfach über ACCEPT oder DROP in iptables definieren.
    http://de.wikipedia.org/wiki/Iptables

    Der Rest der Kommunikation (höhere Ebenen) benutzt dann die bekannten Authentifizierungsverfahren.

  5. Re: Internet@SCADA

    Autor: blubberdiblubb 03.08.11 - 17:00

    ja, ein vpn ist sicher. Und da gibt es verschiedene Varianten (u.a. Verschlüsselung über ssh, aber auch IPsec, etc..)
    Und warum sollten deine Beispile nicht über ein VPN laufen können? VPN ist dafür da, sichere Netzwerke (Intranet) über eine unsichere Leitung (Internet) miteinander zu verbinden (tunneln).
    Wird zum Beispiel benutzt um das Firmennetzwerk übers Internet mit einer Zweigestelle zu verbinden

  6. Re: Internet@SCADA

    Autor: scinaty 03.08.11 - 17:08

    blubberdiblubb schrieb:
    --------------------------------------------------------------------------------
    > ja, ein vpn ist sicher. Und da gibt es verschiedene Varianten (u.a.
    > Verschlüsselung über ssh, aber auch IPsec, etc..)
    > Und warum sollten deine Beispile nicht über ein VPN laufen können? VPN ist
    > dafür da, sichere Netzwerke (Intranet) über eine unsichere Leitung
    > (Internet) miteinander zu verbinden (tunneln).
    > Wird zum Beispiel benutzt um das Firmennetzwerk übers Internet mit einer
    > Zweigestelle zu verbinden

    Ich würde yeti mal ganz frech unterstellen, dass er nicht wirklich weiß, was ein VPN ist. Natürlich sind all die vorgeschlagenen Scenarien über ein VPN realisierbar, und sicher ist das ebenfalls.

  7. Re: Internet@SCADA

    Autor: yeti 03.08.11 - 17:22

    scinaty schrieb:
    > Ich würde yeti mal ganz frech unterstellen, dass er nicht wirklich weiß,
    > was ein VPN ist.

    Ich würde mal als eine ganz freche Unterstellung ansehen.

    > Natürlich sind all die vorgeschlagenen Scenarien über ein
    > VPN realisierbar, und sicher ist das ebenfalls.

    Dann stellen wir uns mal ein virtuelles Kraftwerk vor,
    bei dem 1 Leitwarte über das Internet BHKW bei 1000enden Privatleuten steuert.

  8. Re: Internet@SCADA

    Autor: yeti 03.08.11 - 17:47

    > > Natürlich sind all die vorgeschlagenen Scenarien über ein
    > > VPN realisierbar, und sicher ist das ebenfalls.
    >
    > Dann stellen wir uns mal ein virtuelles Kraftwerk vor,
    > bei dem 1 Leitwarte über das Internet BHKW bei 1000enden Privatleuten
    > steuert.

    In meiner großen "Naivität" würde ich erst mal dafür sorgen, dass die Leitwarte eine wohlbekannte IP Adresse hat und immer am Internet hängt.

    Bei den Privatleuten würde alles per iptables ge"DROP"ed, was nicht von der Leitwarte kommt.

    Der Transport würde dann mit ssh über das Internet getunnelt,
    wobei die Leitwarte der Client wäre (der, der connect aufruft).

    Das wäre mein erster Ansatz.
    Nun warte ich auf Verbesserungvorschläge.

  9. Re: Internet@SCADA

    Autor: elgooG 03.08.11 - 21:06

    Das Szenario von yeti lässt sich sowohl mit VPN als auch SSH oder anderen Tunnels realisieren. (Nur um Missverständnisse auszuschließen: VPN erzwingt nicht für jeden Tunnel ein eigenes Netzwerk anzulegen.) SSH wäre eben ressourcensparend und ausreichend genug.

    Nur eine IP per IPTables zuzulassen finde ich aber nicht ausreichend, da dies keine gefälschten Pakete oder zB.: Replay-Attacken ausschließt. Aber dazu bietet SSH ja die Möglichkeit, dass sich beide Stellen gegenüber authentifizieren. IPTables ist hier ganz sicher NICHT ausreichend.

    Eine fixe IP hat den weiteren Nachteil das ein späterer Ausbau erschwert wird und richtig problematisch wird es dann wenn die IP dann doch mal nicht verwendbar ist und man alle Endstellen updaten müsste.

    So oder so. Es gibt absolut gar keine Ausrede die es rechtfertigt solche Maschinen (kritisch oder nicht) über das Netz ungeschützt zu steuern/überwachen. Wer hier spart handelt verantwortungslos. Die Technik ist nicht das Problem, die Umsetzung auch nicht. Das Problem ist mangelndes Bewusstsein gegenüber Sicherheitsproblemen.

  10. Re: Internet@SCADA

    Autor: Yeeeeeeeeha 04.08.11 - 00:40

    Man kann es drehen und wenden wie man will: Solche Systeme haben im Internet nichts zu suchen. Jedes komplexe System hat Sicherheitslücken, jeder Dienst ist potentiell angreifbar, auch VPN-Protokolle.

    Man kann das Risiko nie ausschließen, sondern nur minimieren. Ist Fernzugriff gewünscht/erforderlich, sollte zumindest ein System zwischen dem Internet und dem kritischen System sitzen, das SO einfach und unkomplex ist, dass man seine Sicherheit verifizieren oder zumindest seine Angreifbarkeit definieren kann.

    Das hilft aber auch nichts gegen die Inkompetenz und fehlende Integrität von vermeintlich vertrauenswürdigen Personen. Social Engineering setzt dort an, wo Sicherheitssysteme unvermeidliche Lücken haben: Am zugangsberechtigten Nutzer.

    Yeeeeeeeeha - Nur echt mit 2^3 e
    Perl-Monk, Java-Trinker, Objective-C Wizard, PHP-Kiddie, unfreiwilliger FreeBSD-/Linux-Teilzeitadmin

  11. Re: Internet@SCADA

    Autor: yeti 04.08.11 - 06:59

    Im Prinzip hast Du natürlich recht mit,
    > Man kann es drehen und wenden wie man will:
    > Solche Systeme haben im Internet nichts zu suchen.

    Aber es gibt nun mal Bereiche, wie Infrastruktur
    (Gas/Strom-Versorger, Eisenbahnen, Telekommunikation, ...)
    in denen eine WAN (wide area) Kommunikation notwendig ist.

    Vor ca. 20 Jahren habe ich mal für einen Gasversorger gearbeitet.
    Da waren eigene Leitungen entlang der Pipelines verlegt,
    über die mit X.25 kommuniziert wurde.
    http://de.wikipedia.org/wiki/X.25
    Also kein Internet mit TCP/IP.

    Aber, wie Du schon richtig sagst
    > Social Engineering setzt dort an, wo ...
    Sicherheit ist also mit X.25 genau so wenig zu erreichen.
    SCADA kann also auch nicht "sicherer" als ein Atomkraftwerk sein.

    Ich habe oben das Beispiel "virtuelles Kraftwerk" gebracht.
    Da wäre es schon wünschenswert,
    das Internet als Kommunikationskanal nutzen zu können.
    Da könnte z.B. der Internetprovider (Telekom ...) der Leitwarte
    direkt mitteilen, welche IP Adresse der jeweilige BHKW Betreiber
    momentan hat.
    Man hätte also eine Kommunikation, bei der die Teilnehmer über Ihre
    IP Adressen fest verdrahtet wären.
    Alle Teilnehmer könnten dann eine "Box" als Zugang verwenden,
    die "DROP" macht, wenn Pakete nicht von bekannter Stelle kommen.

    Wir müssen in Zukunft wahrscheinlich solche zusätzlichen Schranken aufbauen,
    um das "sicher" zu machen. (Zusätzlich zu shh, VPN ...)

    Wahrscheinlich ist das sogar für das ganz normale Internet erforderlich.
    Nicht nur für SCADA Anwendungen.
    Wie wäre es, wieder Grenzkontrollen einzuführen ?
    An den Internet-Grenzen von DE zum Ausland könnte z.B. gecheckt werden
    ob ein Connect Request von einer IP Adresse in DE oder dem Ausland kommt.
    Wenn der vom Ausland kommende Connect Request eine deutsche IP Adresse
    als Absender enthält, wurde ich den Request nicht passieren lassen.
    Damit könnte man es "sicherer" stellen,
    dass deutsche IP Adressen auch aus Deutschland kommen.
    Dann könnten die Anwender in Deutschland schon mal ein "DROP" machen,
    wenn eine rein deutsche Anwendung betrieben wird.
    Für den Betrieb von Proxies in DE wird es wahrscheinlich Auflagen geben müssen.

  12. Re: Internet@SCADA

    Autor: Der Kaiser! 16.01.12 - 23:04

    > Wie wäre es, [virtuelle] Grenzkontrollen einzuführen?

    So wie Youtube es macht?

    > "sicherer" stellen, dass deutsche IP Adressen auch aus Deutschland kommen.

    Man kann IP-Pakete fälschen.

    ___

    Die ganz grossen Wahrheiten sind EINFACH!

    Wirkung und Gegenwirkung.
    Variation und Selektion.
    Wie im grossen, so im kleinen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. A. Menarini Research & Business Service GmbH, Berlin
  2. CodeCamp:N GmbH, Nürnberg
  3. SCHOTT AG, Mainz
  4. Stadt Frankfurt am Main, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)
  2. (u. a. Asus Dual GeForce RTX 3060 Ti für 629€)
  3. (u. a. KFA2 GeForc® RTX 3090 SG OC 24GB für 1.790,56€)


Haben wir etwas übersehen?

E-Mail an news@golem.de