SlideShare a Scribd company logo

Port Security - Industrieller Cyber Security

Westermo Network Technologies
Westermo Network Technologies

Port Security im Netzwerk Ihrer kritischen Infrastruktur ist kein Hexenwerk. WeOS in Kombination mit WeConfig macht es sehr einfach für Sie Security zu etablieren. Sehen Sie in den Folien generelle Ansätze und Lösungen zu dem Thema von Westermo und deren Produkte. Über die Fragen "Was ist Port Security und wo startet es?" bis hin zu den einfachen Möglichkeiten / Lösungen erhalten Sie einen guten Überblick zum Thema Port Security. Mehr dazu: https://www.westermo.de/news-and-events/webinars/cyber-security-webinar-port-security

Technology
1 of 26
Download to read offline
Port Security – Wir starten in Kürze Westermo Cyber Security Webinar Conny Kern & Erwin Lasinger 27. Mai 2020
2 Ultra Robuste Hardware in stahlblau Kompaktes Metallgehäuse Umgebungstemperatur -40°C bis +70°C Höchste Qualität und sicheres Betriebssystem Gebaut aus hochwertigen Komponenten Keine Lüfter und sonstige beweglichen Teile Ohne zusätzliche Öffnungen zum Schutz vor Schmutz, Staub und Spritzwasser Zulassungen auf höchster Ebene
3 Vortragender Thema: Port Security Dauer: 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Erwin Lasinger Industrial Cyber Security Expert erwin.lasinger@westermo.at +43 720 303920 11 +43 676 897262211
4 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
5 Live Stream ▪ Sie können den Live-Stream auch entsprechend stoppen und wieder starten ▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
Port Security Erwin Lasinger
7 Was bedeutet Port Security? ▪ Anschluss an das Netzwerk verhindern ▪ Kritische Infrastrukturen sind sehr verteilt / dezentral ▪ Schaltschränke im Freien ▪ Einfacher Zugang zu Netzwerkanschlüssen ▪ Wo kann Port Security angewendet werden ▪ Verkabeltes Ethernet ▪ WLAN – als Netzwerkanschluss!
8 Wo beginnt Port Security? ▪ Port Security sind nicht nur Funktionen des Switches / Netzwerks ▪ Absicherung des physikalischen Zugriffs ▪ Zaun ▪ Gebäude ▪ Schaltschrankschlüssel ▪ Türkontakt ▪ Videoüberwachung ▪ Alarmanlage
9 Möglichkeiten – MAC Filter ▪ Der Switch lässt nur bekannte MAC-Adressen auf das Netzwerk zugreifen ▪ Kontrolle der Source-MAC im Datenpaket ▪ Vorteile: ▪ Einfache Absicherung des Anschlusses von industriellen Komponenten ▪ Vollständige Integration in WeConfig ▪ Für Endgeräte, welche keine anderen Möglichkeiten bieten, ideal ▪ Nachteile: ▪ Gerätetausch, wenn nicht mit Wildcards (*) gearbeitet wird ▪ Relativ einfach auszuhebeln, da Angreifer die MAC-Adresse am Angriffssystem verändern können
10 Was ist eine MAC-Adresse eigentlich? ▪ Geräte, die an ein Übertragungsmedium angeschlossen sind, müssen über ihre eindeutige MAC-Adresse (Media Access Control) identifiziert werden können. ▪ Sie sind weltweit eindeutig und werden normalerweise vom Hersteller bei der Produktion im Gerät programmiert. ▪ MAC der Netzwerkkarte ▪ (kann mit ipconfig /all ausgelesen werden – DOS-Eingabeaufforderung) ▪ Spezielle MAC Adressen für Multicast / VRRP / HA, … ▪ So sieht ein Datenpaket aus: Preamble Destination MAC Source MAC 802.1Q CRC/FCS Preamble Destination MAC Source MAC EtherType Size Payload
11 Konfiguration in WeOS Trunk Ports müssen ausgenommen werden
12 WeConfig
13 XRD Serie
14 Möglichkeiten – 802.1X ▪ Um auf das Netzwerk zugreifen zu können, muss man sich anmelden ▪ Anmeldung am Netzwerk über 802.1X auf RADIUS Server ▪ Vorteile: ▪ Anmeldung am Netzwerk mit User/Passwort ▪ Vollständige Integration in WeConfig ▪ Sehr gute Absicherung, da dies nicht von der MAC-Adresse abhängig ist ▪ Zentrale Userdatenbank ▪ Nachteile: ▪ Externer Server (RADIUS) erforderlich ▪ Externer Server muss entsprechend gewartet / gehärtet sein
15 Was ist 802.1X? LAN Netzwerk Authenticator Authentication Server RADIUS Supplicant Port – Start EAPoL – Start EAP – Request/Identity EAP – Response/Identity Radius-Access-Request Radius-Access-Challenge EAP – Request (Credentials) EAP – Response (Credentials) Radius-Access-Request Radius-Access-Challenge EAP – Success Zugriff geblockt Zugriff gewährt Client – Switch Kommunikation Switch – Radius Server Kommunikation EAP = Extensible Authentication Protocol EAPoL = EAP over LAN RADIUS = Remote Authentication Dial-In User Service Abkürzungen
16 Konfiguration in WeOS Trunk Ports müssen ausgenommen werden
17 WeConfig
18 Ungenutzte Ports deaktivieren ▪ Alle nicht verwendeten Ports sollten deaktiviert werden ▪ Somit ist ein Zugriff über diese Ports nicht mehr möglich ▪ Port geht gar nicht auf UP – als wäre kein Netzwerkkabel gesteckt ▪ Vollständige Integration in WeConfig ▪ WeConfig bringt auch einen Hinweis dazu beim Security Scan ▪ Diese Art von Netzwerk-Härtung kann über einen Wizzard direkt in WeOS ausgeführt werden
19 WeConfig
20 Ports deaktivieren – weitere Möglichkeiten ▪ Auto Disable ▪ Wenn ein Port auf Down geht, bleibt er down, bis dieser erneut manuell aktiviert wird ▪ Timeout ist einstellbar ▪ Kann für prozessrelevante Komponenten möglicherweise ein Problem darstellen
21 Ports deaktivieren – weitere Möglichkeiten ▪ Temporary Enable ▪ Ist ein Port deaktiviert, kann dieser temporär aktiviert werden ▪ Deaktiviert sich wieder automatisch, nachdem der Port auf Down gegangen ist ▪ Timeout ist einstellbar
22 Ports per SNMP monitoren ▪ Ports per Network Management System (NMS) oder vom Prozessleitsystem, sofern diese SNMP unterstützt, überwachen ▪ Bei Port Down / Up auf jeden Fall Kontrolle, warum das Ereignis eingetreten ist ▪ OID-Nummer für ETH-Ports: ▪ 1.3.6.1.2.1.2.2.1.8.X ▪ Port 1: X = 4096 ▪ Port 2: X = 4097 ▪ Port 3: X = 4098 ▪ … ▪ IF-Index Nummer kann in WeOS auch angepasst werden
23 Eigentlich ein „Muss“: ▪ Nicht genutzte Ports deaktivieren ▪ Port-Status per SNMP überwachen Eigentlich ein „Soll“: ▪ Ports per 802.1X absichern, sofern die Endgeräte es unterstützen ▪ Alle anderen Ports per MAC-Filter absichern Generelle Empfehlungen
24 Fragen?
25 Weitere Webinare ▪ Alle Webinare / Aufzeichnungen sind zu finden unter: ▪ https://www.westermo.de/news-and-events/webinars ▪ Weitere Webinare der Cyber Security-Reihe: ▪ Zonierung & Firewalling (TbD) ▪ WAN Interfaces absichern (TbD) ▪ VPN (TbD) ▪ Logging & IDS (TbD) ▪ Einladungen werden über WeSecure Newsletter verteilt: ▪ https://www.westermo.de/news-and- events/newsletters/wesecure
26

Recommended

Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Neuigkeiten von Westermos Betriebssystem WeOS 4.28Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Neuigkeiten von Westermos Betriebssystem WeOS 4.28Westermo Network Technologies
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecurityWestermo Network Technologies
 
Layer 2 Redundanzen
Layer 2 RedundanzenLayer 2 Redundanzen
Layer 2 RedundanzenWestermo Network Technologies
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternWestermo Network Technologies
 
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische InfrastrukturWestermo Network Technologies
 
WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1Westermo Network Technologies
 
WeOS 4.30.0
WeOS 4.30.0WeOS 4.30.0
WeOS 4.30.0Westermo Network Technologies
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPGerrit Beine
 

Recommended

Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Neuigkeiten von Westermos Betriebssystem WeOS 4.28Neuigkeiten von Westermos Betriebssystem WeOS 4.28
Neuigkeiten von Westermos Betriebssystem WeOS 4.28Westermo Network Technologies
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecurityWestermo Network Technologies
 
Layer 2 Redundanzen
Layer 2 RedundanzenLayer 2 Redundanzen
Layer 2 RedundanzenWestermo Network Technologies
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternWestermo Network Technologies
 
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische InfrastrukturWestermo Network Technologies
 
WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1Westermo Network Technologies
 
WeOS 4.30.0
WeOS 4.30.0WeOS 4.30.0
WeOS 4.30.0Westermo Network Technologies
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPGerrit Beine
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linuxmarkusmarkert
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0Westermo Network Technologies
 
Sicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPSicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPGerrit Beine
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Maximilian Wilhelm
 
LMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonLMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonSven Nierlein
 
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionSicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionGerrit Beine
 
CheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaCheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaOpenNebula Project
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothThierry Zoller
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk BackbonesMaximilian Wilhelm
 
Out-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsOut-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsMaximilan Wilhelm
 
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Maximilan Wilhelm
 
TechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover ClusterTechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover Clusternine
 
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...NETWAYS
 
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim RiemannTim Riemann
 
Wlan sicherheit
Wlan sicherheitWlan sicherheit
Wlan sicherheitMichael Semper
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdfWestermo Network Technologies
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdfWestermo Network Technologies
 
E Security
E SecurityE Security
E SecurityUdo Ornik
 
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
SwitchkonfigurationWestermo Network Technologies
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackDaniel Schneller
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
MobilfunkanbindungenWestermo Network Technologies
 
WLAN
WLANWLAN
WLANWestermo Network Technologies
 

More Related Content

What's hot

Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linuxmarkusmarkert
 
Sicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPSicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPGerrit Beine
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Maximilian Wilhelm
 
LMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonLMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonSven Nierlein
 
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionSicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionGerrit Beine
 
CheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaCheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaOpenNebula Project
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothThierry Zoller
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk BackbonesMaximilian Wilhelm
 
Out-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsOut-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsMaximilan Wilhelm
 
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Maximilan Wilhelm
 
TechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover ClusterTechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover Clusternine
 
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...NETWAYS
 
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim RiemannTim Riemann
 

What's hot (15)

Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
 
Sicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMPSicheres Anwendungs-Monitoring mit SNMP
Sicheres Anwendungs-Monitoring mit SNMP
 
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
 
LMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool DaemonLMD - Livestatus Multitool Daemon
LMD - Livestatus Multitool Daemon
 
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - KurzversionSicheres Anwendungs-Monitoring mit SNMP - Kurzversion
Sicheres Anwendungs-Monitoring mit SNMP - Kurzversion
 
CheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebulaCheckPoint R80.30 Installation on OpenNebula
CheckPoint R80.30 Installation on OpenNebula
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Out-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-BoardsOut-of-Band-Management für APU-Boards
Out-of-Band-Management für APU-Boards
 
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
Wie baue ich ein Freifunkbackbone - Was wir in den letzten 5 Jahren gelernt h...
 
TechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover ClusterTechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
TechTalkThursday 27.10.2016: Redundante Linux Failover Cluster
 
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...
 
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
 
Wlan sicherheit
Wlan sicherheitWlan sicherheit
Wlan sicherheit
 

Similar to Port Security - Industrieller Cyber Security

Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackDaniel Schneller
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityWestermo Network Technologies
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk BackbonesMaximilan Wilhelm
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Gunther Pippèrr
 
Agorum Core Installation Netzlaufwerke
Agorum Core Installation NetzlaufwerkeAgorum Core Installation Netzlaufwerke
Agorum Core Installation Netzlaufwerkeguest41eb8bd
 
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...inovex GmbH
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der EnergiewirtschaftWestermo Network Technologies
 
WPC Wireless Pressure Control
WPC Wireless Pressure ControlWPC Wireless Pressure Control
WPC Wireless Pressure ControlGesaSrensen
 
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]Dominik Obermaier
 

Similar to Port Security - Industrieller Cyber Security (20)

Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
 
E Security
E SecurityE Security
E Security
 
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
 
WLAN
WLANWLAN
WLAN
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber Security
 
Software Defined Freifunk Backbones
Software Defined Freifunk BackbonesSoftware Defined Freifunk Backbones
Software Defined Freifunk Backbones
 
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
 
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
 
Agorum Core Installation Netzlaufwerke
Agorum Core Installation NetzlaufwerkeAgorum Core Installation Netzlaufwerke
Agorum Core Installation Netzlaufwerke
 
Die beliebtesten kvm switches
Die beliebtesten kvm switchesDie beliebtesten kvm switches
Die beliebtesten kvm switches
 
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
 
WPC Wireless Pressure Control
WPC Wireless Pressure ControlWPC Wireless Pressure Control
WPC Wireless Pressure Control
 
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
 
20181018 stp
20181018 stp20181018 stp
20181018 stp
 

More from Westermo Network Technologies

Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationWestermo Network Technologies
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWestermo Network Technologies
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo Network Technologies
 

More from Westermo Network Technologies (16)

Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
 
DHCP
DHCPDHCP
DHCP
 
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
 
Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
 
SHDSL & Glasfaser
SHDSL & GlasfaserSHDSL & Glasfaser
SHDSL & Glasfaser
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communications
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet Networking
 
How to build resilient industrial networks
How to build resilient industrial networksHow to build resilient industrial networks
How to build resilient industrial networks
 
Westermo solutions for trackside networks
Westermo solutions for trackside networksWestermo solutions for trackside networks
Westermo solutions for trackside networks
 
Westermo solutions for onboard rail networks
Westermo solutions for onboard rail networksWestermo solutions for onboard rail networks
Westermo solutions for onboard rail networks
 

Port Security - Industrieller Cyber Security

  • 1. Port Security – Wir starten in Kürze Westermo Cyber Security Webinar Conny Kern & Erwin Lasinger 27. Mai 2020
  • 2. 2 Ultra Robuste Hardware in stahlblau Kompaktes Metallgehäuse Umgebungstemperatur -40°C bis +70°C Höchste Qualität und sicheres Betriebssystem Gebaut aus hochwertigen Komponenten Keine Lüfter und sonstige beweglichen Teile Ohne zusätzliche Öffnungen zum Schutz vor Schmutz, Staub und Spritzwasser Zulassungen auf höchster Ebene
  • 3. 3 Vortragender Thema: Port Security Dauer: 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Erwin Lasinger Industrial Cyber Security Expert erwin.lasinger@westermo.at +43 720 303920 11 +43 676 897262211
  • 4. 4 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
  • 5. 5 Live Stream ▪ Sie können den Live-Stream auch entsprechend stoppen und wieder starten ▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
  • 7. 7 Was bedeutet Port Security? ▪ Anschluss an das Netzwerk verhindern ▪ Kritische Infrastrukturen sind sehr verteilt / dezentral ▪ Schaltschränke im Freien ▪ Einfacher Zugang zu Netzwerkanschlüssen ▪ Wo kann Port Security angewendet werden ▪ Verkabeltes Ethernet ▪ WLAN – als Netzwerkanschluss!
  • 8. 8 Wo beginnt Port Security? ▪ Port Security sind nicht nur Funktionen des Switches / Netzwerks ▪ Absicherung des physikalischen Zugriffs ▪ Zaun ▪ Gebäude ▪ Schaltschrankschlüssel ▪ Türkontakt ▪ Videoüberwachung ▪ Alarmanlage
  • 9. 9 Möglichkeiten – MAC Filter ▪ Der Switch lässt nur bekannte MAC-Adressen auf das Netzwerk zugreifen ▪ Kontrolle der Source-MAC im Datenpaket ▪ Vorteile: ▪ Einfache Absicherung des Anschlusses von industriellen Komponenten ▪ Vollständige Integration in WeConfig ▪ Für Endgeräte, welche keine anderen Möglichkeiten bieten, ideal ▪ Nachteile: ▪ Gerätetausch, wenn nicht mit Wildcards (*) gearbeitet wird ▪ Relativ einfach auszuhebeln, da Angreifer die MAC-Adresse am Angriffssystem verändern können
  • 10. 10 Was ist eine MAC-Adresse eigentlich? ▪ Geräte, die an ein Übertragungsmedium angeschlossen sind, müssen über ihre eindeutige MAC-Adresse (Media Access Control) identifiziert werden können. ▪ Sie sind weltweit eindeutig und werden normalerweise vom Hersteller bei der Produktion im Gerät programmiert. ▪ MAC der Netzwerkkarte ▪ (kann mit ipconfig /all ausgelesen werden – DOS-Eingabeaufforderung) ▪ Spezielle MAC Adressen für Multicast / VRRP / HA, … ▪ So sieht ein Datenpaket aus: Preamble Destination MAC Source MAC 802.1Q CRC/FCS Preamble Destination MAC Source MAC EtherType Size Payload
  • 11. 11 Konfiguration in WeOS Trunk Ports müssen ausgenommen werden
  • 14. 14 Möglichkeiten – 802.1X ▪ Um auf das Netzwerk zugreifen zu können, muss man sich anmelden ▪ Anmeldung am Netzwerk über 802.1X auf RADIUS Server ▪ Vorteile: ▪ Anmeldung am Netzwerk mit User/Passwort ▪ Vollständige Integration in WeConfig ▪ Sehr gute Absicherung, da dies nicht von der MAC-Adresse abhängig ist ▪ Zentrale Userdatenbank ▪ Nachteile: ▪ Externer Server (RADIUS) erforderlich ▪ Externer Server muss entsprechend gewartet / gehärtet sein
  • 15. 15 Was ist 802.1X? LAN Netzwerk Authenticator Authentication Server RADIUS Supplicant Port – Start EAPoL – Start EAP – Request/Identity EAP – Response/Identity Radius-Access-Request Radius-Access-Challenge EAP – Request (Credentials) EAP – Response (Credentials) Radius-Access-Request Radius-Access-Challenge EAP – Success Zugriff geblockt Zugriff gewährt Client – Switch Kommunikation Switch – Radius Server Kommunikation EAP = Extensible Authentication Protocol EAPoL = EAP over LAN RADIUS = Remote Authentication Dial-In User Service Abkürzungen
  • 16. 16 Konfiguration in WeOS Trunk Ports müssen ausgenommen werden
  • 18. 18 Ungenutzte Ports deaktivieren ▪ Alle nicht verwendeten Ports sollten deaktiviert werden ▪ Somit ist ein Zugriff über diese Ports nicht mehr möglich ▪ Port geht gar nicht auf UP – als wäre kein Netzwerkkabel gesteckt ▪ Vollständige Integration in WeConfig ▪ WeConfig bringt auch einen Hinweis dazu beim Security Scan ▪ Diese Art von Netzwerk-Härtung kann über einen Wizzard direkt in WeOS ausgeführt werden
  • 20. 20 Ports deaktivieren – weitere Möglichkeiten ▪ Auto Disable ▪ Wenn ein Port auf Down geht, bleibt er down, bis dieser erneut manuell aktiviert wird ▪ Timeout ist einstellbar ▪ Kann für prozessrelevante Komponenten möglicherweise ein Problem darstellen
  • 21. 21 Ports deaktivieren – weitere Möglichkeiten ▪ Temporary Enable ▪ Ist ein Port deaktiviert, kann dieser temporär aktiviert werden ▪ Deaktiviert sich wieder automatisch, nachdem der Port auf Down gegangen ist ▪ Timeout ist einstellbar
  • 22. 22 Ports per SNMP monitoren ▪ Ports per Network Management System (NMS) oder vom Prozessleitsystem, sofern diese SNMP unterstützt, überwachen ▪ Bei Port Down / Up auf jeden Fall Kontrolle, warum das Ereignis eingetreten ist ▪ OID-Nummer für ETH-Ports: ▪ 1.3.6.1.2.1.2.2.1.8.X ▪ Port 1: X = 4096 ▪ Port 2: X = 4097 ▪ Port 3: X = 4098 ▪ … ▪ IF-Index Nummer kann in WeOS auch angepasst werden
  • 23. 23 Eigentlich ein „Muss“: ▪ Nicht genutzte Ports deaktivieren ▪ Port-Status per SNMP überwachen Eigentlich ein „Soll“: ▪ Ports per 802.1X absichern, sofern die Endgeräte es unterstützen ▪ Alle anderen Ports per MAC-Filter absichern Generelle Empfehlungen
  • 25. 25 Weitere Webinare ▪ Alle Webinare / Aufzeichnungen sind zu finden unter: ▪ https://www.westermo.de/news-and-events/webinars ▪ Weitere Webinare der Cyber Security-Reihe: ▪ Zonierung & Firewalling (TbD) ▪ WAN Interfaces absichern (TbD) ▪ VPN (TbD) ▪ Logging & IDS (TbD) ▪ Einladungen werden über WeSecure Newsletter verteilt: ▪ https://www.westermo.de/news-and- events/newsletters/wesecure
  • 26. 26