Sök

Nyhetsbrev OT-Säkerhet #22 - Segmentering


OT-Säkerhet Segmentering

Segmentering är temat för detta nyhetsbrev kring OT-Säkerhet. Jag tittar närmare på en riktigt häftig säkerhets-produkt, en nätverksdiod från svenska Advenica! Nu kan du luta dig mot fysikens lagar för att segmentera dina system! Det blir en spännande artikel om att segmentera information och sedan blir det den äldsta sortens segmentering: Fysiskt skydd!


Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är en kusin till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter.


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se . Jag lovar att din mejladress inte används till något annat än detta!


Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen!

Läskigaste nyheten på länge...

OT-Säkerhet Segmentering

Tamás Jós, mer känd under namnet SkelSec, twittrade nyligen något som till en början mest var imponerande men som sedan blir allt mer skrämmande när jag funderar över konsekvenserna.


WebAssembly är ett sätt att köra binär kod i exempelvis webbläsare som är en av W3Cs rekommenderade standarder sedan ett drygt år tillbaka.


Det SkelSec gjort är att implementera det klassiska Windows-protokollet SMB i WebAssembly. Fundera på vad det betyder... Nu kan alltså en sida som en användare öppnat i sin webbläsare agera som SMB-klient/server på det lokala nätverket... Sedan dess har han även implementerat LDAP...


En uppenbar första tanke är vad detta betyder i form av nya möjligheter för producenter av skadlig kod att göra helt nya saker! Vi får se vart det tar vägen...


Men vi som tänker på OT-säkerhet ser ju förstås ytterligare problem... Om Tamás lyckats implementera ett så pass komplext protokoll som SMB, så blir det inget problem för någon annan att implementera Modbus, BACnet eller PROFINET!


Aldrig har vi väl fått en så tydlig orsak till att bli duktiga på att segmentera våra nätverk och hålla noga koll på trafiken i dem! Det här blir nästan en lite för bra övergång till nästa artikel här nedanför, apropå segmentering...

Stopp! Det är enkelriktat här!

Det finns många tillfällen när man önskar att man kunde se till att information verkligen bara kan skickas åt ett håll.


Det kan handla om att loggar från ett känsligt OT-system ska skickas ut till ett analysverktyg på "IT-sidan" eller kanske att det ska gå att skicka in uppdateringar till ett system men inte hämta känslig information från det. För OT-verksamheter handlar det ofta om att replikera en information från en historian ut till kontorsnätverket, att få ut loggar till en gemensam SIEM-lösning eller att skicka en kopia på all nätverkstrafik till en IDS utan att riskera att förbindelsen kan användas för att angripa OT-världen.


Generellt så handlar det om att bara kunna skicka till ett nät där man vill skydda hemlig information, alternativt att bara kunna skicka från ett nät där man vill skydda integriteten hos system eller information.


Man kan komma ganska långt med enkla och klassiska metoder som brandväggar och härdade applikationer men det finns fortfarande alltid en risk för att någon sårbarhet går att utnyttja "åt fel håll". In på scenen kommer då nätverksdioden! Det här är en fysisk utrustning som med fysiska åtgärder ser till att information garanterat bara kan strömma åt ett håll. I sin enklaste form är det en vanlig fiberanslutning där ena sidan bara har en sändande laser och den andra sidan bara kan ta emot. Då blir det ju bevisligen omöjligt att skicka någonting åt andra hållet!

OT-Säkerhet Segmentering

En sådan enkel diod fungerar bra om man skickar nätverkstrafik som inte behöver svar. Tekniskt sett skulle det kunna vara gammaldags Syslog som skickas med udp-paket eller kanske Netflow som fungerar på ett liknande sätt. Men så snart man försöker kommunicera via tcp fungerar det inte eftersom handskakningen mellan de kommunicerande enheterna inte kommer fram!

OT-Säkerhet Segmentering

Lösningen blir att sätta en proxyfunktion på var sin sida om den där fibern. Dessa får i uppdrag att "fejka" handskakning mm på ett sätt som gör att de kommunicerande enheterna upplever kommunikationen "som vanligt" trots att den gör ett envägshopp på vägen. Som du förstår kan det bli ganska klurigt att få till stöd för vissa nätverksprotokoll...

OT-Säkerhet Segmentering

Jag har tittat närmare på just en sådan lösning, det är en SecuriCDS DD1000i från Malmö-baserade firman Advenica. Advenica har flera olika modeller av dioder, allt från det enklaste till det mycket sofistikerade. DD1000i är i den mer sofistikerade änden av den skalan.


Det lilla fönstret i mitten av utrustningen går rakt igenom lådan och det enda som går mellan vänster och höger halva är den där fiberanslutningen. Det är en tjusig illustration av att det under huven är två helt separata servrar som kommunicerar via den fibern.

OT-Säkerhet Segmentering

Att det är två separata system syns ännu tydligare på baksidan. Generellt kallas de två sidorna "upstream" och "downstream" för att göra det tydligt åt vilket håll informationen ska flöda.


Det finns tre tjänster inbyggda:

  • "NTP Bridge service" som skickar vidare rätt tid från upstream-sidan till downstream.

  • "Syslog service" som skickar vidare loggar från enheter på upstream-nätverket till downstream-sidan.

  • "UDP/TCP service" som kan konfigureras för att skicka vidare en eller flera nätverksprotokoll från system på upstream-sidans nätverk till downstream. Trafiken skickas då "rått" utan att dioden försöker tolka innehållet, vilket är användbart för protokoll som i sig är informationsmässigt enkelriktade.

OT-Säkerhet Segmentering

Utöver de inbyggda protokollen kan man lägga till stöd för filöverföring med ftp/sftp, e-post med SMTP och filhantering med NFS eller SMB. Om man saknar ett protokoll är det alltid möjligt att lägga till stöd i produkten. När man valt protokoll får man svara på några konfigurationsinställningar och sedan skapa en konfigurationsfil. Denna fil laddar man sedan upp i administrationsgränssnitten för var och en av de två halvorna i dioden.

Status för tjänsterna kan man se i administrationsgränssnittet och man kan skicka alla loggar via syslog till ett SIEM-system. Även här får man tänka till lite eftersom det är två systemhalvor i samma låda och därmed två uppsättningar loggar som ska hanteras.


De olika protokollen som kan konfigureras är alla väldigt enkla att konfigurera. Beroende på vilken funktion man vill uppnå kan vissa av dem köras i lite olika varianter. Exempelvis kan stödet för filöverföring i Windows-världen via SMB ställas in att fungera på två sätt:

  • Som en brevlåda, "Dropzone mode", där system och användare kan lägga filer i en katalog. Filerna hämtas av dioden, överförs och raderas sedan från katalogen.

  • Som en katalogspegling, "Mirror mode", där filer i en katalog på "uppströms"-sidan replikeras till en katalog på "nedströms"-sidan. Ändringar och nya filer på "uppströms"-sidan överförs löpande till "nedströms"-sidan.

OT-Säkerhet Segmentering

Om man vill ha extra hög tillförlitlighet går det att klustra två DD1000i. Eftersom de två sidorna i en DD1000i bara kan kommunicera åt ett håll blir klustringen lite klurig att få till men Advenica har löst det på ett listigt sätt!

Att sköta om en sådan här mackapär är förstås lite speciellt även om det inte är så svårt. Advenica skickar med rekommendationer kring hur man organiserar arbetet och vilka roller som behövs för att ha koll även i riktigt känsliga verksamheter. Man behöver också ha rutiner för att hantera incidenter, reparation av trasig hårdvara och skrotning av utrustning där känslig information passerat. Riktigt snyggt av Advenica att alltid stötta kunderna på det här viset!

Direkt måste jag ge Advenica två tummar upp för kvalitén på dokumentationen. Riktigt tydligt men samtidigt kortfattat och lätt att hitta i! Svaren på alla mina funderingar gick lätt att hitta!


Förutom den allmänna dokumentationen är var och en av de olika proxyfunktionerna dokumenterade för sig så att man enkelt förstår vad de olika inställningarna ger för möjligheter.

OT-Säkerhet Segmentering

Som demonstration gjorde jag en enkel uppsättning för skydd av mejl-överföring. Tjänster för mejl har historiskt varit säkerhetsmässigt utmanande så det är en välkommen funktion att få starkt enkelriktad mailtrafik. I mitt exempel tänker vi oss en känslig OT-miljö som behöver kunna skicka ut email-meddelanden till kontorets IT-nätverk. Vi vill vara säkra på att mejlservern på OT-sidan inte behöver kommunicera direkt med någonting på IT-sidan men att den ändå kan skicka mejl dit...

I konfigurationsprogrammet förbereder man hur dioden ska bete sig. Inställningarna är väldigt lätta att förstå och man får bra hjälp direkt i programmet och från den tillhörande manualen! Det du i praktiken gör är att skapa en SMTP-server på "uppströms"-sidan som tar emot mejl. Dessa mejl överförs via dioden och landar i en SMTP-klient på "nedströms"-sidan där mejlet skickas till lämplig mejlserver. I princip behöver du bara ställa in vilka IP-adresser som ska användas och sedan fungerar det!

OT-Säkerhet Segmentering

DD1000i är en utpräglad datacenter-produkt eftersom den rackmonteras och kräver en kontrollerad miljö för att må bra. Vill man ha diod-funktioner ute i en anläggning finns även DD1G som är en diod utan inbyggda proxy-funktioner men som DIN-monteras och drivs med 12 VDC. Det här kan vara en väldigt praktisk lösning på kluriga problem kring exempelvis loggning och nätverksövervakning.

OT-Säkerhet Segmentering

Vad är då typiska användningsområden för en diod i en OT-verksamhet? Jag nämnde tidigare att replikera över Historian-information till IT-sidan är vanligt. Att plocka in uppdateringar och patchar är också ett vanligt behov som behöver styras upp. I vissa situationer kan man ha två dioder, en åt vardera hållet, för att styra upp kommunikation. Det kan tyckas vara en konstig lösning men det är i många fall en riktigt bra idé. Men det finns andra sätt att närma sig sådana situationer också...

OT-Säkerhet Segmentering

Utrustningen jag tittat på här är en utpräglad envägs-diod. Advenica har även något man kallar "ZoneGuard" där den viktigaste skillnaden mot DD1000i, kanske lite kontra-intuitivt, är att man kan skicka trafik åt båda hållen! Här är fokus mer på att styra upp vilken information som överförs åt respektive håll och säkerställa att protokollen inte missbrukas.


En "vanlig" brandvägg inspekterar trafiken och skickar den vidare utan ändring. I en ZoneGuard bryter man sönder protokollet helt, plockar ut informationen som ska överföras, applicerar regler och filter på själva innehålket och bygger sedan ihop helt nya nätverkspaket. Angrepp som utnyttjar felformatterade nätverkspaket har alltså inte en chans! Detta är ett koncept som brukar kallas "Information Exchange Gateway" vilket ursprungligen är ett militärt begrepp. ZoneGuard har stöd för en rad spännande protokoll och format som exempelvis SOAP, XML, MySQL och RDP! Det finns också bra stöd för organisationens egna utvecklare att anpassa stödet till de egna systemens krav. Det här är också en väldigt spännande produkt för OT-verksamheter eftersom integrationen mellan IT och OT är helt avgörande för både organisationens effektivitet och dess säkerhet!

Som summering kan jag konstatera att Advenica verkligen lyckats ta hand om klurigheterna kring att få till en diod som fungerar i praktiken. Både systemet och dess dokumentation är som sagt föredömligt tydliga och enkla att förstå. Det här en teknik jag tror allt fler av mina kunder kommer anamma framöver!

Nytt fast precis som förut!

OT-Säkerhet Segmentering