Réseaux industriels sécurisés distribués

Transcription

1 Réseaux industriels sécurisés distribués Des commutateurs sensibles aux services à la base d'un réseau optimisé Introduction 2 Un modèle de sécurité commun 3 Sécurité sensible aux services distribuée 3 La boîte à outils «Défense en profondeur» de RADiFlow 5 Contrôle de l'accès au réseau 5 Réseau privé virtuel inter-sites 6 Accès distant sécurisé 6 Pare feu sensible aux applications («application aware») 7 La gamme de produits RADiFlow 8 Applications typiques 9 Services pub lics distribués 9 L'usine moderne 10 Conclusion : pourquoi RADiFlow? 12 Janvier 2011 Page 1

2 Introduction La prolifération de l'ethernet industriel en tant qu'infrastructure principale des processus sensibles soulève des craintes quant à la vulnérabilité de ces réseaux aux menaces contre la sécurité Internet. Stuxnet, découvert en juillet 2010, était le premier logiciel malveillant connu spécialement conçu pour endommager les équipements industriels automatisés. Le virus Stuxnet infectait les ordinateurs équipés de systèmes de contrôle industriel (ICS) Siemens Step7 via les périphériques USB et via le réseau. Après avoir infecté l'ordinateur, ce logiciel malveillant s'attaquait aux automates programmables industriels (API ou PLC, pour Programmable Logic Controller) de manière à modifier leur logiciel pour entraver de manière discrète et progressive le fonctionnement de l'ensemble de la chaîne de production. L'affaire Stuxnet a soulevé des inquiétudes quant aux attaques Internet des systèmes de contrôle industriels (ICS), mais de telles attaques avaient déjà eu lieu plusieurs années auparavant. En 2000, une célèbre affaire a touché le réseau d'égout du Maroochy Shire Council, en Australie. À l'aide d'un équipement radio, un ingénieur sous-traitant mécontent a accédé à distance au système d acquisition et de contrôle des données (SCADA) du réseau d'égout de Maroochy et a modifié le fonctionnement des stations de pompage. Le sous-traitant a accédé au système plusieurs fois en 3 mois, provoquant ainsi le déversement de litres d'eaux usées brutes dans les parcs et les cours d eau locaux. Un autre secteur suscite de nombreuses inquiétudes ; les infrastructures nationales telles que le réseau électrique. Dans un rapport paru en 2009 dans le Wall Street Journal, des agents du renseignement américain ont déclaré que des cyber-espions étaient parvenus plusieurs fois à accéder au réseau électrique national en y déposant des logiciels susceptibles d'être utilisés ultérieurement pour couper le système. En outre, dans une expérience de 2007 qui simulait le piratage de la réplique du système de contrôle d'une centrale électrique, le générateur s'autodétruisait suite aux modifications apportées à son cycle de fonctionnement. Le risque d'attaques Internet sur les systèmes de contrôle industriels s'est considérablement accru avec l'utilisation croissante des réseaux industriels. La migration des systèmes de contrôle industriels de la connectivité locale propriétaire vers un réseau à standard ouvert implique de nouvelles vulnérabilités en termes de sécurité. De plus, des facteurs supplémentaires spécifiques aux applications industrielles intensifient le risque sécuritaire : L'utilisation de systèmes hautement automatisés souvent déployés dans des installations autonomes et sur une large zone géographique. La pénétration d'une partie distante du système et l'activation d'un logiciel malveillant capable d'endommager le fonctionnement de manière discrète et progressive constitue un scénario tout à fait plausible. L'absence d'outils de sécurité sur les unités d'extrémité industrielles (en raison de la tendance à éviter les mises à jour logicielles, du manque de puissance de traitement permettant d'ajouter des mécanismes de sécurité et du manque de sensibilisation). En conséquence, la pénétration temporaire du réseau industriel interne suffit à attaquer les unités d'extrémité industrielles et à initier des dégâts à long terme. Des applications critiques dans lesquelles les conséquences des dommages seraient extrêmement graves, non seulement en raison de leur impact commercial, mais également parce qu'ils concerneraient des ressources nationales essentielles et potentiellement certains aspects de la sécurité de la population et de l'environnement. Janvier 2011 Page 2

3 Au vu de la situation présentée plus haut, il est évident que tout déploiement d'automatisation industrielle utilisant une infrastructure basée Ethernet doit comprendre des mesures de sécurité appropriées. Étant donné les caractéristiques uniques des applications industrielles, les concepts actuellement utilisés dans le monde de l'entreprise ne sont pas nécessairement adaptés ; de nouveaux concepts spécifiques aux systèmes de contrôle industriels doivent être définis et mis en œuvre. Un modèle de sécurité commun Le concept de sécurité commun pour les réseaux industriels s'appuie sur la mise en place d'un réseau privé non connecté au réseau d'entreprise ni à Internet. La connexion des installations industrielles à ce réseau privé est contrôlée sur la base de leur authentification physique, de manière à ce que seules des adresses MAC ou IP spécifiques puissent se connecter sur le port réseau. Un tel concept de sécurité réseau est vulnérable dans plusieurs situations : Si le réseau privé est connecté sur des liaisons non sécurisées, comme lorsque l'on connecte des sites privés entre eux à l'aide d'un réseau de transport public. Un système hostile qui parviendrait à accéder à cette liaison non sécurisée pourrait contrôler le trafic du réseau privé, éventuellement le modifier ou soustraire des informations essentielles à l'application qui pourraient par la suite être utilisées pour pénétrer le réseau. Lorsqu'une entité externe obtient un accès temporaire au réseau privé, notamment un technicien qui se connecte localement avec son ordinateur portable ou depuis un centre d'assistance à distance. Cet accès temporaire pourrait être utilisé pour infecter les entités valides du réseau avec un logiciel malveillant susceptible de l'endommager ultérieurement. Lorsqu'un pirate parvient à accéder physiquement à certains systèmes du réseau sécurisé (par ex., lorsqu'il pénètre physiquement le site distant autonome d'un service public distribué, etc.). Dans un tel cas, le pirate peut utiliser des systèmes de stockage locaux (c.-à-d., clé USB) ou des interfaces de communication locales (c.-à-d., console série) et infecter l'entité de réseau valide avec un logiciel malveillant qui endommagera ensuite le réseau). Le pirate peut également utiliser cet accès physique pour connecter un dispositif hostile présentant des caractéristiques physiques légales à un port réseau (c.- à-d., modifier l'adresse MAC pour se conformer aux règles du réseau) et accéder au réseau. Sécurité sensible aux services distribuée Il est obligatoire, mais pas suffisant de défendre tous les points de pénétration mentionnés plus haut. En fonction de la nature critique de l'application industrielle, une couche de sécurité supplémentaire peut être déployée pour protéger les installations industrielles d'une attaque de l'intérieur, au cas où une entité hostile soit parvenue à accéder au réseau privé. La meilleure solution consisterait en un pare-feu installé sur chaque unité d'extrémité, afin de vérifier que la communication vers et depuis l'unité est valide d'après la logique d'application telle que définie par l'opérateur réseau. Il est peu probable que cette mise en application se matérialise dans les années à venir, étant donnée Janvier 2011 Page 3

4 l'évolution modérée des installations industrielles. L'alternative équivalente consiste à déployer un pare-feu sensible aux services («service-aware») sur la liaison de communication entre chaque unité d'extrémité et le réseau. Un tel pare-feu doit comprendre le protocole d'automatisation industrielle utilisé par l'application afin de pouvoir gérer le flux de communication détaillé et le vérifier en fonction de la logique de l'application. Le déploiement de sécurité sensible aux services distribuée qui en résultera surveillera l'ensemble du trafic partout sur le réseau et vérifiera que la communication des commandes et des réponses au niveau de l'application entre tous les dispositifs suit la logique applicative valide définie par l'opérateur réseau. RADiFlow offre une solution unique en attente de brevet pour un tel déploiement sensible aux services sur les réseaux industriels utilisant ses commutateurs Ethernet sensibles aux services. Les commutateurs RADiFlow contiennent un coprocesseur puissant dédié au traitement des protocoles industriels, doté d'une liaison interne optimisée avec la matrice de commutation du système, de manière à ce que le trafic sélectionné puisse être redirigé vers le coprocesseur industriel pour un traitement ultérieur. Grâce à ces capacités de traitement de protocole intégré, les commutateurs RADiFlow offrent un pare-feu sensible aux services intégré. Un pare-feu industriel sensible aux services est donc déployé près de chaque unité d'extrémité dans le cadre de l'infrastructure réseau, sans ajouter de pare-feu autonome à chaque port. HMI HMI Controllers Engineering Stations Controller Controller Field Devices Field Devices Le pare-feu sensible aux services prend actuellement en charge Modbus et IEC et sera bientôt amélioré de manière à prendre en charge les protocoles IEC61850, DNP3, ProfiNet, OPC, etc. Grâce à son moteur de traitement flexible, il pourra prendre en charge des protocoles supplémentaires si leur structure est bien définie. Ethernet Header IP Header Ind. Protocol Header Function Code Read Registers Write Registers < > Function Parameters Address Data < > IP Trailer Ethernet Trailer Le pare-feu sensible aux services vérifie en détails chaque paquet, y compris : Janvier 2011 Page 4

5 La validité du protocole Vérifie que la structure du paquet et ses champs de contrôle sont conforme à la norme et que le flux de la session suit la logique attendue (c.-à-d., session initiée par le maître, réponse correspondant à la demande, séquence de paramétrage de la session, etc.). Logique applicative Pour chaque paire de systèmes source et destinataire, vérifier que seule la communication autorisée est effectuée en contrôlant le code fonctionnel et les paramètres de commande par rapport aux valeurs définies par l'opérateur. Modèles anormaux Surveille la communication par système en recherchant les comportements d'applications anormaux, notamment l'usage répété de commandes sensibles spécifiques (réinitialisation, suppression, suppression de l'historique, etc.), les pics de trafic supérieurs à un seuil raisonnable, etc. Ces pare-feu sensibles aux services distribués dans les commutateurs s'accompagnent d'un outil de gestion du service qui permet à l'opérateur de configurer la logique applicative valide au niveau du réseau ; elle est ensuite traduite dans les règles spécifiques du pare-feu pour chaque commutateur. La boîte à outils «Défense en profondeur» de RADiFlow Outre le pare-feu sensible aux services, les commutateurs RADiFlow offrent une prise en charge intégrée pour un ensemble complet d'outils de sécurité, de manière à pouvoir déployer sur le réseau une solution de défense en profondeur complète sans ajouter d'appareils de sécurité dédiés en plus de l'infrastructure Ethernet industrielle. Contrôle de l'accès au réseau La connexion des installations industrielles au réseau est contrôlée sur la base de leur authentification physique, de manière à ce que seules des systèmes spécifiques puissent se connecter sur chaque port réseau. Ce niveau de sécurité de base est obtenu par authentification des entités connectées aux commutateurs RADiFlow de 2 manières possibles : La configuration de règles ACL (Access List ou Liste des droits d'accès) par port pour autoriser uniquement les appareils dotés d'adresses MAC ou IP spécifiques à se connecter à ce port. Janvier 2011 Page 5

6 Authentification des utilisateurs à l'aide du protocole IEEE 802.1x selon lequel le commutateur transmet la demande d'authentification de l'unité d'extrémité à un serveur central RADIUS pour vérifier ses droits d'accès avant d'ouvrir ce port au trafic régulier. Réseau privé virtuel (VPN) intersites Dans certains cas, un réseau opérationnel distribué doit utiliser des liaisons de transport publiques pour connecter les sites entre eux. Par exemple, dans le cas d'un service public national, certains des sites disposent d'une connectivité à fibre optique privée, tandis que certains sites distants doivent être connectés via des liaisons virtuelles de location (par 3G, DSL, etc.). Lorsque la connectivité entre les sites utilise ces infrastructures publiques, le trafic doit être codé afin de garantir sa confidentialité et son intégrité. Ces connexions VPN (Virtual Private Network ou Réseau privé virtuel) sont prises en charge par les commutateurs RADiFlow à l'aide de tunnels GRE sur une liaison IPSec codée. L'utilisation du codage IPSec garantit le caractère privé de la liaison transportée sur un réseau public. Le tunnel IPSec peut utiliser le codage 3DES ou AES en fonction de la configuration de l'utilisateur. L'utilisation d'une tunnellisation GRE supportant le trafic Ethernet permet de connecter les sites entre eux de manière transparente en tant que réseau Ethernet unique, sans paramétrer la logique d'acheminement IP entre eux. Par exemple, lorsque le réseau utilise des VLAN pour identifier les services, le tunnel GRE préserve les informations VLAN alors qu'un tunnel IPSec traditionnel dépouillerait les informations VLAN pour ne passer que les données IP. Accès distant sécurisé Lorsqu'un utilisateur distant a besoin d'accéder à un réseau sécurisé pour effectuer des tâches opérationnelles ou de maintenance, il est essentiel de s'assurer que seules les activités autorisées sont activées et sont effectuées de manière strictement sécurisée. Étant donné que cet accès distant est réalisé par une personne provenant d'un lieu inconnu, une connexion VPN, telle que décrite plus haut, comporte trop de risques. Il est donc préférable d'utiliser un tunnel plus contrôlé avec des droits d'accès limités. Les commutateurs RADiFlow contiennent un serveur SSH qui permet de mettre en place un tel accès sécurisé limité pour les opérations et la maintenance. Ainsi, la voie de communication entre l'utilisateur distant et le Janvier 2011 Page 6

7 commutateur est codée en SSH. La session SSH est généralement initiée par l'utilisateur distant, mais pour les sites exigeant une sécurité stricte, elle peut également être limitée de manière à être initiée en appel sortant par le site sécurisé, en utilisant un SSH inverse. Une fois le tunnel SSH créé, l'accès est contrôlé par authentification de l'utilisateur et des droits d'accès spécifiques configurés localement au niveau du commutateur ou récupérés à partir d'un serveur RADIUS central. À l'origine, le SSH était prévu pour être un terminal sécurisé, mais il est aujourd'hui utilisé comme transport sécurisé pour toute session basée sur IP. En conséquence, la passerelle SSH est utilisée pour les accès distants sécurisés pour tout protocole avec réacheminement simple du trafic de l'ordinateur distant vers un hôte local encapsulé sur le tunnel SSH sécurisé qui mène au réseau sécurisé. Dans cette configuration, le commutateur tient lieu de proxy dans la session, de sorte que la structure du réseau local dans le site sécurisé n'est pas exposée à l'extérieur et que des vérifications de sécurité en ligne supplémentaires sont effectuées comme avec un pare-feu sensible aux services. Pare feu sensible aux applications («application aware») Comme cela est décrit plus haut, les commutateurs RADiFlow contiennent un pare-feu intégré sur chaque port, offrant ainsi une solution de sécurité distribuée basée sur le réseau qui équivaut à utiliser des pare-feu personnels sur tous les systèmes industriels de l'usine. Ce déploiement distribué de pare-feu sensibles aux services permet de valider la logique applicative telle qu'elle est représentée dans le flux de communication entre tous les dispositifs du réseau. Janvier 2011 Page 7

8 La gamme de produits RADiFlow RADiFlow propose toute une famille de commutateurs industriels sensibles aux services spécialement conçus pour résister aux conditions difficiles d'un environnement industriel et pour prendre en charge un ensemble complet de fonctionnalités Ethernet et IP. La gamme de produits s'étend du commutateur compact 2xGbE+8x100 pour sites distants au commutateur modulaire 28xGbE pour sites centraux. Les commutateurs disposent également de capacités multiservices et supportent divers modules d'interface : Ethernet 10/100/1000 cuivre et 100/1000 fibre optique. Les interfaces à fibre optique sont fournies au format SFP pour une flexibilité maximale. RS-232/RS-485 série utilisée pour la connectivité des systèmes hérités au réseau Ethernet moderne. Le commutateur peut offrir des services de tunnellisation pour connecter des liaisons série distantes ou des services de passerelle en traduisant le protocole d'automatisation industrielle de sa variante série vers la variante paquet équivalente. Des modems intégrés pour qu'un moyen de transport sélectionné (3G, DSL) puisse transporter le flux de données Ethernet sur plusieurs moyens de transport. Ces fonctionnalités multiservices intégrées permettent de configurer un réseau qui s'adapte à un large éventail de topologies existantes à l'aide d'un seul type de dispositifs réseau, pour une solution simple et rentable. L'outil d'administration des services industriels isim prend en charge l'exploitation et la maintenance du réseau et des services qui passent à travers lui sans nécessiter d'importantes connaissances en informatique. Les principales fonctions d'isim sont les suivantes : Gestion de la topologie du réseau, y compris les commutateurs RADiFlow et les unités d'extrémité industrielles, notamment Autodiscovery, la gestion de la topologie et les diagnostics réseau. Provisionning de services de la connectivité au niveau de l'application entre les unités d'extrémité industrielles et les règles d'accès sécurisées entre les paires d'unités d'extrémité. Les règles de connectivité et de sécurité du groupe de services sont automatiquement traduites en règles de configuration pour les commutateurs Ethernet et les pare-feu intégrés. Janvier 2011 Page 8

9 Applications typiques Les commutateurs Ethernet industriels sensibles aux services RADiFlow offrent un large éventail de fonctionnalités permettant le déploiement d'une solution réseau simple et sécurisée adaptée à diverses topologies d'applications. Services publics distribués Un service public national dispose de nombreux sites distribués qui doivent être connectés entre eux. En général, un tel site comporte un commutateur Ethernet, des passerelles série pour connecter les dispositifs hérités et éventuellement un modem 3G cellulaire prévu pour les sites distants situés hors de la portée du réseau privé du service public. En outre, comme indiqué plus haut, pour une solution de sécurité appropriée, un pare-feu sensible aux applications doit contrôler l'ensemble du trafic vers les dispositifs ; une passerelle VPN sécurisée doit également coder les données transférées sur le réseau cellulaire public. Grâce au commutateur sensible aux services RADiFlow, ce site peut être largement simplifié à l'aide des fonctions intégrées au commutateur, notamment de la passerelle série, du pare-feu sensible aux services, de la Janvier 2011 Page 9

10 passerelle VPN IPSec et d'un modem 3G. L'usine moderne Une usine moderne utilise Ethernet depuis le niveau contrôle jusqu au niveau dispositif. Elle requiert des connexions externes sécurisées au réseau de l'entreprise et à des opérateurs distants ou des experts en services. Une usine de ce type comporte généralement un réseau Ethernet, des passerelles série pour connecter les dispositifs hérités, des pare-feu entre les zones et une passerelle sécurisée pour l'accès distant sur Internet. Grâce au commutateur sensible aux services RADiFlow, cette usine peut être davantage sécurisée grâce au déploiement du pare-feu distribué, tout en étant simplifiée à l'aide des fonctions intégrées au commutateur, notamment de la passerelle série, du pare-feu sensible aux services et de la passerelle SSH. Janvier 2011 Page 10

11 Janvier 2011 Page 11

12 Conclusion : pourquoi RADiFlow? L'utilisation accrue de réseaux Ethernet industriels soulève les craintes quant aux applications industrielles vitales susceptibles d'être endommagées en conséquence des menaces contre la sécurité Internet. Il existe donc un réel besoin pour une solution de défense en profondeur dédiée aux réseaux industriels et conservant la simplicité de la conception globale du réseau. RADiFlow offre une solution unique avec un moteur de pare-feu sensible aux applications intégré à ses commutateurs Ethernet industriels ; il permettra le déploiement simple de mesures de sécurité strictes sur l'ensemble du réseau de communication interne. En outre, la gamme de produits RADiFlow propose divers formats avec une architecture multiservice modulaire qui prend en charge l'évolution du réseau avec des dispositifs série hérités et des dispositifs Ethernet, ainsi que le besoin croissant de ports Ethernet et de bande passante. La solution RADiFlow complète s'accompagne de l'outil d'administration des services industriels isim, qui prend en charge l'exploitation et la maintenance faciles du réseau. La solution de bout en bout ainsi obtenue est à la fois sûre et rentable et permet de poursuivre avec succès le déploiement de réseaux Ethernet industriels. Main Controllers SCADA Work-Stations Remote Maintenance Center HMI Internet HMI Facility Controller Facility Controller Field Devices Pour en savoir plus sur les produits RADiFlow info@radiflow.com Site Web : Copyright 2011, RADiFlow Ltd. Ver 1.0 Janvier 2011 Page 12