Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Peter Fodrek 13. 05. 2021, 17:24:36
-
Vážené kolegyne, vážení kolegovia!
V súvislosti s Industry 4.0 by sa mi hodilo, aba sa občas nejaké priemyselné zariadenie občas pripájalo k sieti a prenieslo nejaké údaje a väčšinu času bolo fyzicky od firemnej siete odpojené. Riešenie s vyťahovaním Ethernet kábla sa mi nepáči a riešenie cez SW vypínanie portu na sieťovom prepínači nepovažujem za dosť bezpečné.
Chcem sa opýtať, či niekto niečo podobné neriešil a neexistuje riešenie napr. podľa nadpisu?
S vďakou
Peter
-
Netuším, co to je za přístroj, aby se dala posoudit rizika. Nicméně, pokud jde o vysokou bezpečnost, pak provoz táhnout co nejvíc odizolovanou VLAN a zakončit samostatným switchem. Na něm vypínat port. Riziko, že někdo projde skrz vlany a ještě se dostane do switche je minimální. Pochopitelně, ale pokud je to sestavené z tp-linků nebo podobných laciných technologií, pak stejně o bezpečnosti moc nehovoříme. Support výrobce je nula.
Dalším řešením je osadit před zařízení router s vypnutým managementem. Na router navazovat ipsec tunel. Bez klíče se nikdo nedostane, a riziko proražení routeru bez služeb je minimální. Opět, nebavíme se o mikrotiku za pár tisíc.
Bastlit galvanický odpojovač ethernetu je blbost.
-
Existuje, ale je to dost drahá sranda.
https://www.amazon.com/Anarchy-Machines-Ethernet-Killswitch-2-0/dp/B07KW467DH
-
Jestli tomu správně rozumím, tak jde o snížení rizika napadení nějakého zařízení tím, že se razantně omezí čas, který bude mít útočník k dispozici pro útok. Jedna možnost je použít několik relé (nejlépe signálových) a těmi odpínat jednotlivé vodiče. Druhá možnost je vřadit nějaký levný switch a vypínat mu napájení.
Pokud jde o jednosměrný přenos nějakých logů přes UDP, daly by se přerušit Rx páry. Kdysi jsme si s něčím podobným hráli a dal se navodit stav, kdy zařízení neodpovídalo na ping ale přitom stále "slepě" vysílalo datový stream.
-
Vážené kolegyne, vážení kolegovia!
V súvislosti s Industry 4.0 by sa mi hodilo, aba sa občas nejaké priemyselné zariadenie občas pripájalo k sieti a prenieslo nejaké údaje a väčšinu času bolo fyzicky od firemnej siete odpojené. Riešenie s vyťahovaním Ethernet kábla sa mi nepáči a riešenie cez SW vypínanie portu na sieťovom prepínači nepovažujem za dosť bezpečné.
Chcem sa opýtať, či niekto niečo podobné neriešil a neexistuje riešenie napr. podľa nadpisu?
S vďakou
Peter
A nemuze si to zarizeni nahazovat a shazovat svuj ETH? Byl by defaultne shozeny, pred prenosem dat by si ho zarizeni nahodilo a po prenosu zase shodilo. Nebo je prenos dat inicializovany zvenci?
-
Použil bych switch napájený PoE.
Některé switche umí časování = tj. zapnutí podle plánovače nebo na povel po určitou dobu.
PoE může zapnout switch, za kterým bude bydlet takové zařízení.
Jsou i zásuvky, které se zapnou s časovačem - to je levné a snadné.
Mohlo by to zapínat laciný switch za 300.
-
Jmenuje se to LAN Blocker, cca 500 Kč: https://www.ebay.com/itm/264400797277
-
Jmenuje se to LAN Blocker, cca 500
Asi to bude mechanické, raději bych mechanickým spínačem řídil switch.
Nevěřím, že to po 100 přepnutí bude "super".
-
Nevěřím, že to po 100 přepnutí bude "super".
Jestli to má smysluplně nahradit zapojování a vypojování konektorů RJ45, tak by to mělo vydržet tisíce přepnutí.
-
by to mělo vydržet tisíce přepnutí.
Pokud je to 4vypínač, tak to chcípne dřív, než laciná Čínský myš.
Pokud to rozepíná jeden vodič, tak se s tím některé karty ASI dokáží vypořádat.
Raději bych přidal vypínač na takový laciný switch: https://www.alza.cz/tenda-s105-d139040.htm
-
Existuje, ale je to dost drahá sranda.
https://www.amazon.com/Anarchy-Machines-Ethernet-Killswitch-2-0/dp/B07KW467DH
vďaka = Keby to stálo 200 EUR bolo by to veľa. ale 25 EUR je OK
-
Jestli tomu správně rozumím, tak jde o snížení rizika napadení nějakého zařízení tím, že se razantně omezí čas, který bude mít útočník k dispozici pro útok. Jedna možnost je použít několik relé (nejlépe signálových) a těmi odpínat jednotlivé vodiče. Druhá možnost je vřadit nějaký levný switch a vypínat mu napájení.
Ide o dáta z výrobnej linky v master databáze/databázach pričom na druhej strane je firemená sieť so slave databázou, ktorá je master databázou pre backup a niektoré tabuľky budú posielané z backupu, druhej databázy cez synchronizáciu VPN k odberateľom. A výrobná llnka by síce mala byť podľa Industry 4.0 k dispozícii partnrrom na cez VTS, alebo aspoň dáta z nej. A ja sa bojím výrobnej linky trvalo fyzicky spojenej s VTS. Raz za nejaký čas zapnem switch a slave databáza si natiahne dáta z liniek a odpojíme sa. a partneri a vedenie majú dáta k nejakému času, ak chcú novšie, zapen vypínač v trezore a o pár sekúnd je hotovo a môžem linku odpojiť.
-
Jmenuje se to LAN Blocker, cca 500 Kč: https://www.ebay.com/itm/264400797277
vďaka
-
ďakujem všetkým.
-
Vypnutí napájení levného switche mi přijde jako dobré řešení.
-
Vypnutí napájení levného switche mi přijde jako dobré řešení.
Řídil bych to tímhle:
https://www.alza.cz//emos-digitalni-spinaci-zasuvka-ip20-d5096874.htm
X krát za den se to zapne, odešle data a zase vypne.
Za pět kil včetně switche a nemusím nikam chodit něco zapínat :-D
-
A nemuze si to zarizeni nahazovat a shazovat svuj ETH? Byl by defaultne shozeny, pred prenosem dat by si ho zarizeni nahodilo a po prenosu zase shodilo. Nebo je prenos dat inicializovany zvenci?
Bohužiaľ nie lebo je to sieťový riadiaci systém a teda tá mašina prijíma dáta z inej podčasti stále
cez ETH a má len jeden port.-.
-
Vypnutí napájení levného switche mi přijde jako dobré řešení.
Takže přepínač použitý jako vypínač.
-
No tak si kup za 2 stovky nejakej walike talkie switch pripoj to pres nej a k tomu switchi zasuvku programovatelnou ktera ti bude ten switch vypinat zapinat podle tvych potreb, sice hrozna ptakovina ale ;-)
-
Pojďme na to úplně jinak.
1) Proč chceš, aby nějaké zařízení bylo oddělené od firemní sítě? Zřejmě proto, že mnoho průmyslových zařízení je na tom s možnostmi zabezpečení tak, že by z toho odborník na IT bezpečnost okamžitě omdlel. Ač nevím, jaké zařízení to je a jaké hrozby řešíš, tak souhlasím, že to chce řešit. A jelikož to řešení neplatím a nejsem za něj zodpovědný, tak ti tu budu radit, že to řešení by mělo být systémové.
2) Odpojovat zařízení od firemní sítě (a je jedno, jestli odpojovat konektor, nebo vypínač na eth kabelu, nebo vypínač na napájení dedikovaného switche) je hezké řešení, které je levné, jednoduché a v principu špatné. Nevím, jaká rizika řešíš, ale spousta útoků může být automatizována a pak čekat - a pak zaútočí v tu chvíli, když připojíš to zranitelné zařízení.
Nemluvě o tom, že situace, že někdo nechá to zařízení připnuté ne pár minut, ale pár hodin (nebo dní) není z kategorie JESTLI, ale z kategorie KDY.
3) Co máš za problém s řešením odpojováním/vypínáním portu na switchi? Že to někdo zapomene pak vypnout/odpojit ten port? V čem se to liší od situace, kdy někdo zapomene odepnout fyzický vypínač? Že selže nějaký skript, který má vypínat ten port? No to se dá řešit jiným skriptem, který bude kontrolovat stav toho portu. Nebo co je tam za problém?
4) IMHO je správné a systémové řešení toto: Požádáš firemního IŤáka, ať pomocí firewallu, managovaného switche a VLAN zařídí unikátní prostup. Tedy, že s tím zranitelným zařízením bude moci komunikovat pouze jeden počítač, který je píchlý v jednom portu jednoho switche. A náš IŤák to měl ještě pojištěno tak, že když se tomu počítači změnila MAC adresa, tak se ten prostup zavřel a musel to ručně nahodit (a zahájilo se vyšetřování kdo a proč připojil jiné koncové zařízení). Ale to je nepodstatná třešnička na dortu. Ten počítač (i switch) může být umístěn tak, že se k němu fyzicky nedostane nikdo, kdo nemá.
Čili to zranitelné zařízení vlastně není ve firemní síti - je schopno se bavit pouze s jedním definovaným počítačem ve firemní síti. A ten počítač může poskytovat služby ostatním počítačům ve firemní síti, protože to už je normální počítač s normálním (ve firmě schváleným a provozovaným) operačním systémem, na který firemní IT dokáže aplikovat normální pravidla bezpečnosti.
-
Měl jste si to patentovat :-)
https://www.lupa.cz/clanky/co-neni-online-to-hacker-nenajde-goldilock-na-zabezpeceni-pomoci-fyzickeho-air-gapu-vybral-dalsi-milion-dolaru/
-
A uplne failsafe reseni by byl ten malej switch napajeny baterii, nabijecka a diskretni casovac s prepinacim kontaktem.
(baterie se bud nabiji ze site a switch nejede, nebo vybiji a napaji switch)
To jen proto, ze kdyz selze casovac, aby jste nezustal viset ve stavu "pripojeno do internetu".
-
A uplne failsafe reseni by byl ten malej switch napajeny baterii, nabijecka a diskretni casovac s prepinacim kontaktem.
(baterie se bud nabiji ze site a switch nejede, nebo vybiji a napaji switch)
To jen proto, ze kdyz selze casovac, aby jste nezustal viset ve stavu "pripojeno do internetu".
Nevím, co vede jinak rozumné diskutéry, aby se pouštěli do takových obskurností, co tady předvádí, ale budiž. Ale, co vede někoho k tomu, aby tohle nazval "úplně failsafe řešením", to je zcela mimo moje chápání.
-
A uplne failsafe reseni by byl ten malej switch napajeny baterii, nabijecka a diskretni casovac s prepinacim kontaktem.
(baterie se bud nabiji ze site a switch nejede, nebo vybiji a napaji switch)
To jen proto, ze kdyz selze casovac, aby jste nezustal viset ve stavu "pripojeno do internetu".
Nevím, co vede jinak rozumné diskutéry, aby se pouštěli do takových obskurností, co tady předvádí, ale budiž. Ale, co vede někoho k tomu, aby tohle nazval "úplně failsafe řešením", to je zcela mimo moje chápání.
Asi tím chce rozumný diskutér poukázat na to, že produkt, který prakticky existuje už desítky let, je sám obskurní. Ale dokázat to prodat za milióny dolarů a navíc patentovat, to už chce opravdu umění najít správné hejly, zde z krypto oblasti.
Já bych to ještě vylepšil o PANIC BUTTON, krásný červený fyzický čudlík, který když uživatel zmáčkne, tak se připojí na tu baterku 230V a zařízení se vypaří ;)
-
Já bych to ještě vylepšil o PANIC BUTTON, krásný červený fyzický čudlík, který když uživatel zmáčkne, tak se připojí na tu baterku 230V a zařízení se vypaří ;)
Vidíš, někde to červené tlačíko usilovně budují. :-(
Takový SI (směnový inženýr) v Dukovanech/Temelíně měl pravomoc a dneska už i bude mít konečně své "červené tlačítko", aby při pocitu/náznaku od podpůrných systémů, že se něco děje špatně a má to vztah k IT komunikacím, tak při jeho aktivaci dojde k úplnému odpojení od řídícího systému všech podružných komunikací a systémů, co nejsou nezbytně nutné minimum pro bezpečný provoz/odstavení/udržení na výkonu. A pak se bude dodatečně zkoumat, že se se jen blbě vyspal nebo se doopravdy něco dělo. :-)
-
A uplne failsafe reseni by byl ten malej switch napajeny baterii, nabijecka a diskretni casovac s prepinacim kontaktem.
(baterie se bud nabiji ze site a switch nejede, nebo vybiji a napaji switch)
To jen proto, ze kdyz selze casovac, aby jste nezustal viset ve stavu "pripojeno do internetu".
Nevím, co vede jinak rozumné diskutéry, aby se pouštěli do takových obskurností, co tady předvádí, ale budiž. Ale, co vede někoho k tomu, aby tohle nazval "úplně failsafe řešením", to je zcela mimo moje chápání.
Mimo vase chapani je tedy bezpecnost, ktera funguje ciste na zaklade fyzikalnich zakonu a zcela pasivne.
Tj. i kdyby se porouchal casovac, tak aby po nejake dobe se ty site rozpojili. Tohle nejde resit aktivni ochranou na zaklade druheho casovace, pocitadla uptimu a resetu, aktivni rekonfiguraci atd.. protoze vsechno muze selhat a neprovest se. Ale baterie, v zapojeni ktere jsem navrhnul, nemuze fungovat vecne.
Na podobnem principu snad funguji i urcite bezpecnostni systemy v jadernych elektrarnach - kde si nemuzete dovolit neco ridit aktivne, kdyz system selze.
Musi to zafungovat ze sve podstaty.
-
RDa: Tak ono je třeba také zvážit škody z případného neoprávněného odepření služby, že se to bezpečnostní zařízení porouchá. I ten aku s přepínači chcípne, tak když to chcípne tak, že to neumožní oprávněný přenos, tak to bude nějaká škoda a jde o posouzení, co víc bude bolet.
Kdysi jsme podobně řešili napájení nějakého specifického měřícího zařízení, co mělo 3 akumulátory, z jednoho to jelo, druhý se dobíjel a třetí byl horká záloha, kde se relátkově přepínaly akumulátory z pozic pracovní/záložní/dobíjené a dlouhodobě to byl dost porod. :-(
Dají se dneska sehnat i programovatelné časové relé, co mají dle "atom norem" certifikace pro zařízení třídy A / BT1 (komponenta, která když selže, tak to bude příčinou vzniku jaderné havárie), takového bych se nebál v té fabrice použít.
Chápu, že u výrobní linky je to problém, když se to posere, tak dohledáš, co se stalo. U atomky mám výhodu, že když se to opravdu posere hodně, tak nikdo 100+ let se nepůjde podívat, zda to relátko ne/seplo, to už budu mrtvej a budu mít klid. :-)
Ano, používají se "pasivní systémy" bezpečnosti, kde se dá dokázat funkčnost - např. zjedodušeně, mám bazén vody nad reaktorem, rupne trubka u hlavního cirkulačního čerpadla, tím pádem klesne v reaktoru tlak a pokud v té chvíli někdo nepředělá gravitační zákony, tak voda pro nouzové chlazení poteče z bazénu celkem spolehlivě, u IT světa k takovým věcem se bude muset teprve postupně dospět...
-
Mimo vase chapani je tedy bezpecnost, ktera funguje ciste na zaklade fyzikalnich zakonu a zcela pasivne.
15. 05. 2021, 21:23:51 jsem napsal příspěvek, kde to nějak shrnuji. Předpokládám, že jste ho četl. Současně předpokládám, že nemáte od původního tazatele žádné dodatečné informace, které sem nenapsal.
Mimo moje chápání je v první řadě to, proč tak usilovně a komplikovaně řešíte, aby se systém překlopil do "superbezpečného stavu", když se předtím nějakou dobu vystavuje ve stavu, který je (s největší pravděpodobností) zcela nezabezpečený.
Pokud má ten systém nějakou zranitelnost, tak je potřeba ho chránit - a to pořád. A ne chvíli superbezpečně a chvíli vůbec.
Pokud je v té síti nějaká automaticky se šířící hrozba, tak může mít různou frekvenci s níž zkoumá síť a hledá cíle, ale je jenom věc statistiky, než se trefí do chvíle, kdy bude dané zařízení připojeno.
Pokud je v té síti nějaký útočník, který cílí přímo na ten systém, tak si napíše skript, který bude pingovat ten zranitelný systém (případně jinak detekovat, že je systém připojen) a až uvidí, že je systém připojen, tak zaútočí.
Vaše řešení (tedy nejenom vaše, ale vy jste tu obskurnost dotáhl nejdál) mi připadá jako: Pohlavní styk s neznámými provozuji bez kondomu, ale jenom krátce. A když ten pohlavní styk neprovozuji, tak mám nasazeny 2 kondomy.
-
RDa: Tak ono je třeba také zvážit škody z případného neoprávněného odepření služby, že se to bezpečnostní zařízení porouchá. I ten aku s přepínači chcípne, tak když to chcípne tak, že to neumožní oprávněný přenos, tak to bude nějaká škoda a jde o posouzení, co víc bude bolet.
Kdysi jsme podobně řešili napájení nějakého specifického měřícího zařízení, co mělo 3 akumulátory, z jednoho to jelo, druhý se dobíjel a třetí byl horká záloha, kde se relátkově přepínaly akumulátory z pozic pracovní/záložní/dobíjené a dlouhodobě to byl dost porod. :-(
Tak u tazatele je preferovany stav "odpojeno" (a spolehlive odpojit po urcitem case), nez u vas - to "udrzet v provozu skrze 3 aku", ne?
15. 05. 2021, 21:23:51 jsem napsal příspěvek, kde to nějak shrnuji. Předpokládám, že jste ho četl. Současně předpokládám, že nemáte od původního tazatele žádné dodatečné informace, které sem nenapsal.
Unika vam smysl airgap:
https://en.wikipedia.org/wiki/Air_gap_(networking) (https://en.wikipedia.org/wiki/Air_gap_(networking))
Slouzi prave k tomu, ze nic nelze 100% zabezpecit, a jedinou ochranou zustava skutecne *fyzicke* odpojeni se od site.
Jinak hodne stesti v zabezpecovani binarniho hnoje od stovky dodavatelu (hw/sw), jiste to zvladnete levou zadni ve svem vyrobnim podniku s miliardovym obratem. A hned druhej den zabezpecite i druhou stranu spoje - cely internet, jste totiz buh, vid?
Jestli je v dane siti utocnik zevnitr, tak to mate problem nekde jinde, nez na obcasne spravcovske pripojce.
-
Unika vam smysl airgap:
https://en.wikipedia.org/wiki/Air_gap_(networking) (https://en.wikipedia.org/wiki/Air_gap_(networking))
Slouzi prave k tomu, ze nic nelze 100% zabezpecit, a jedinou ochranou zustava skutecne *fyzicke* odpojeni se od site.
Jinak hodne stesti v zabezpecovani binarniho hnoje od stovky dodavatelu (hw/sw), jiste to zvladnete levou zadni ve svem vyrobnim podniku s miliardovym obratem. A hned druhej den zabezpecite i druhou stranu spoje - cely internet, jste totiz buh, vid?
Jestli je v dane siti utocnik zevnitr, tak to mate problem nekde jinde, nez na obcasne spravcovske pripojce.
Tak jako v mateřské školce, sjedeme si to ještě jednou:
1+3) Nevíme co a proč chce ten člověk zabezpečovat. A také nevíme, proč má ten člověk problém s odpojováním portu na chytrém switchi. Nicméně vzhledem k tomu kde se ptá a jak se ptá, je nepravděpodobné, že se snaží zabezpečovat zařízení, které brání puknutí Zeměkoule. Těžko to bude typ zařízení, kde dává skutečný smysl air-gapping. Nenapadá mě situace, kdy by dávalo smysl kombinovat air-gapping a občasné fyzické připojení zařízení.
4) Řešení jsem navrhl na úrovni pravidel firewallu, tzn. že se k tomu zařízení (bez hacknutí toho firewallu) nedostane nikdo, kromě schváleného komunikačního partnera. Ano, je to řešení velmi nudné, neobsahuje žádné fyzické odpojování a vybíjení baterek, ale funguje pořád. Není to to "sundávání kondomu na pohlavní styk". Jestli se ti to řešení nelíbí, tak nějak argumentuj. Jestli máš pocit, že se ve velkých výrobních podnicích používá obskurní "máme to odpojeno a jenom na chvíli to fyzicky připojíme", tak jsi zřejmě v žádném nebyl.
Jestli je (resp. může být) v síti útočník zevnitř (což tazatel fakticky naznačuje), tak moje řešení bude fungovat tak dlouho, dokud neovládne firewall nebo toho komunikačního partnera, což může být velmi velmi dlouho. Tvoje odpojovací řešení bude fungovat do prvního připojení.
Přijde mi, že je veliké štěstí, že ten člověk nenapsal, že chce fyzický přístup k zařízení zabezpečit plotem s vysokým napětím, protože vy byste se tady vůbec neptali, jestli to není blbost a začali mu radit jaké VN trafo použít.
-
Firewall bych přirovnával spíše k hormonální antikoncepci než ke kondomu.