Vil IPv6 være egnet for bruk i Industrielle Kontrollnettverk?

[arne22]

Det pågår i dag mye diskusjon omkring overgang fra IPv4 til IPv6 nettverk.

Vil man måtte regne med at industrielle kontrollnettverk fortsatt vil fungere ut i fra IPv4 eller er det en sannsynlighet eller en mulighet for at det vil skje en overgang til IPv6? Hva vil dette eventuelt ha å si for sikkerheten i ICS nettverkene?

Er den såkalte Perdue modellen fortsatt relevant nå i dag, og vil den være det i framtiden?

https://www.zscaler.com/resources/security-terms-glossary/what-is-purdue-model-ics-security

Bare en tråd for å samle litt info om dette interessante temaet, i det tilfellet at det også er noen andre som har interesse av dette temaet.

Endret 7. januar 2023 av arne22

[barfoo]

Jeg forstår enkelt og greit ikke premisset for tråden.

Om du leser f.eks. IEC62443-standardene vil du se at de stiller funksjonelle, protokolluavhengige, krav. IPv6 og IPv4 er forholdsvis like protokoller som konseptuelt har omtrent samme sikkerhetsfilosofi.

Du kan lage trygge anlegg med både IPv4 og IPv6. Du kan lage utrygge anlegg med både IPv4 og IPv6.

Når det kommer til Purdue-modellen er det for det første bare en modell, og for det andre er den veldig høynivå, og totalt protokolluavhengig.

Hva er det du tenker som eventuelt bør gjøre IPv6 mer eller mindre egnet enn IPv4?

Endret 7. januar 2023 av barfoo

[arne22]

50 minutes ago, barfoo said:

Hva er det du tenker som eventuelt bør gjøre IPv6 mer eller mindre egnet enn IPv4?

Kommer tilbake til saken om litt. Gikk akkurat gjennom et par lærebøker og noen masteroppgaver om Cyber Security for Industrielle kontrollnettverk. Vil hente dem fram igjen. Interessant å se om det sies noe om saken.

[barfoo]

21 minutes ago, arne22 said:

Kommer tilbake til saken om litt. Gikk akkurat gjennom et par lærebøker og noen masteroppgaver om Cyber Security for Industrielle kontrollnettverk. Vil hente dem fram igjen. Interessant å se om det sies noe om saken.

Jeg vil tippe du ikke finner veldig mye, av to grunner:

• Forskjellene er ikke så store. TCP er fortsatt TCP.
• Veldig lite lavnivå automasjonsutstyr støtter IPv6, så det er ikke veldig relevant problemstilling enda.

[arne22]

9 minutes ago, barfoo said:

Veldig lite lavnivå automasjonsutstyr støtter IPv6, så det er ikke veldig relevant problemstilling enda.

Ja, det er akkurat det. Av akkurat den grunn så vil det nok gå "utrolig tregt".

Det kan nok være at standarder og prinsipper er "teknologiuavhengige" men for en praktisk implementering så må man ta utgangspunkt i "det utstyret som finnes i virkeligheten".

"Cyber security for operasjonell teknologi" det var jo noe som man stort sett ikke tenkte på, men plutselig så ble det veldig aktuelt ved at flere industrielle anlegg faktisk ble hacket, med store økonomiske kostnader og tap som resultat.

Mye av det gamle "rakleverket" som finnes ute i industrien det lar seg nok sannsynligvis ikke sikre "på normal måte", slik at man endre opp med å "sikre omgivelsene" i større grad enn utstyret selv. 

Et kjempeinteressant tema. Er ikke kjent med at det finnes noen utdanning i Norge som er spesifikt rettet mot "Cyber Security for OT". 

[barfoo]

16 hours ago, arne22 said:

"Cyber security for operasjonell teknologi" det var jo noe som man stort sett ikke tenkte på, men plutselig så ble det veldig aktuelt ved at flere industrielle anlegg faktisk ble hacket, med store økonomiske kostnader og tap som resultat.

Det er vel å spenne vogna for hesten.

Industrielle kontrollnettverk har jo gått fra å være kommunikasjonssystemer der en PLS snakket med en sensor, og et  SCADA-system snakket med PLSen til å bli del av ERP-systemer, med større krav til uthenting av data fra prosessen.

I tillegg har bransjen vært preget av en don't touch it if it ain't broken-mentalitet, der man ikke oppgraderte software med mindre man måtte. Resultatet var anlegg som kjørte ti-femten år gamle operativsystm som ikke en gang har tilgjengelige sikkerhetsfikser installert.

Personlig haller jeg mot at Zero Trust er relativt god ide i automasjonsnettverk, men det er en veldig lang vei dit.

Når det kommer til IPv6 vs. IPv4 greier jeg imidlertid ikke å se at det skal utgjøre en relevant forskjell på noe som helst vis.

Endret 8. januar 2023 av barfoo

[arne22]

11 hours ago, barfoo said:

Når det kommer til IPv6 vs. IPv4 greier jeg imidlertid ikke å se at det skal utgjøre en relevant forskjell på noe som helst vis.

Det er nok slik at både utstyret og personellet må være kompatibelt med IPv6 før IPv6 kan bli tatt i bruk på en sikker måte.

Hvis de som skal operere og drifte systemene ikke kan teknologien godt nok, så mener jeg at det i seg selv er en risikofaktor.

Mener at disse to hackerangrepene er eksempler på nokså enkle feil ifb med konfigurering av brannmur:

https://www.nrk.no/norge/dataangrep-mot-norkart_-3_3-millioner-kan-vaere-berort-1.15962268

https://www.nrk.no/innlandet/kan-ta-et-halvt-ar-for-ostre-toten-a-rette-opp-dataangrep-1.15364106

Teknologi kan ikke være mer komplisert enn at man har "full kontroll" slik at tingene blir gjort riktig.

Sikkerhetsnivået avhenger ikke av en faktor, men av summen av alle faktorer til sammen. Menneskelige feil og kompetanse i forhold til teknologien utgjør vel kanskje en større risikofaktor enn teknologien selv.

Vil forsøke å finne fram litt mer info, om litt.

 

Endret 8. januar 2023 av arne22

[barfoo]

15 minutes ago, arne22 said:

Hvis de som skal operere og drifte systemene ikke kan teknologien godt nok, så mener jeg at det i seg selv er en risikofaktor.

Det er ikke et argument mot IPv6; det er et argument for opplæring.

 

Endret 8. januar 2023 av barfoo

[aklla]

IPV4 og IPV6 er like sikkert og usikkert alt etter hvordan alt annet er satt opp.
IPV4 og IPV6 i seg selv har ingenting med sikkerhet i seg selv å gjøre..
IPV6 vil være egnet for alle situasjoner og scenarioer der man bruker IPV4 i dag så lenge det er med utstyr som støtter IPV6.

Ser ikke helt hvor du egentlig vil?
En usikker brannmur for IPV4 er like usikker på IPV6..

Ellers går det nok mist 10 år før IPV4 i stor grad er faste ut på interne nett. Antagelig mye lengre på visse steder som bruker utstyr/programmer som ikke støtter IPV6.

Litt av samme grunn som at disketter fortsatt er i bruk i dag..

Endret 8. januar 2023 av aklla

[arne22]

34 minutes ago, barfoo said:

Det er ikke et argument mot IPv6; det er et argument for opplæring.

Hvem gir opplæring i sikker bruk av IPv6 for industrielle kontrollsystemer?

Hvem gir i det hele tatt opplæring i cybersikkerhet for operasjonell teknologi?

Hvordan gjennomfører man opplæringen for å nå disse målene?

https://www.norskindustri.no/bransjer/teknobedriftene/cybersikkerhet-og-industri-4.0/veikartet/

Problemstillingen rundt IPv6 kommer jo sånn sett bare til som et tillegg til det øvrige, som også skal læres. 

Endret 8. januar 2023 av arne22

[aklla]

Problemstillingen rundt IPV6 er helt separert fra problemstillingen rundt sikkerhet..
F.eks glasspaper har mange kurs, antagelig også på sikkerhet.
Ellers er det en drøss av andre kursholdere som holder kurs i sikkerhet.
Så kan man også leie inn ekspertise.

Klarer ikke helt å forstå problemstillingen du forsøker å vinkle her.

Endret 8. januar 2023 av aklla

[arne22]

Det vil ikke være tilstrekkelig å forstå eller å kunne IPv6 eller noen annen enkeltfaktor, hver for seg. Man må kunne gjennomføre en helhetlig risikovurdering av hele det industrielle anlegget som helhet, og så må man gjennomføre nødvendige sikkerhetstiltak i forhold til det. Forutsetningen vil jo være at de som kan alt det andre også kan IPv6.

Fant ikke noe her nei: https://www.glasspaper.no/

Hvem i Norge er det som gir opplæring i Cyber Security for ICS, med eller uten IPv6?

 

Endret 8. januar 2023 av arne22

[aklla]

Hva trenger man å kunne om IPv6 for å lage ett sikkert nettverk?
Hva trenger man å kunne om IPv4 for å lage ett sikkert nettverk?

Verken IPV4 eller IPV6 har så vidt jeg vet noen kjente svakheter på sikkerheten i seg selv, i den grad det det er fornuftig å snakke om sikkerhet på den måten..

En del kurs om f.eks brannmurer der: https://www.glasspaper.no/sok/?q=firewall
ICS: https://proactima.com/2019/02/forst-i-norge-med-ics-e-laeringskurs/

Endret 8. januar 2023 av aklla

[barfoo]

1 hour ago, arne22 said:

Hvem gir opplæring i sikker bruk av IPv6 for industrielle kontrollsystemer?

Er dette en gish gallop?

I første innlegget mitt i tråden stilte jeg et spørsmål:

On 1/7/2023 at 4:24 PM, barfoo said:

Hva er det du tenker som eventuelt bør gjøre IPv6 mer eller mindre egnet enn IPv4?

Jeg har ikke sett forsøk på å besvare det. Jeg har registrert at du plutselig snakker om helt andre ting, som opplæring også videre. Det har ingenting med IPv4 eller IPv6 å gjøre.

Så jeg prøver igjen.

Hva er det som gjør IPv6 mer eller mindre egnet enn IPv4?

[barfoo]

55 minutes ago, arne22 said:

Forutsetningen vil jo være at de som kan alt det andre også kan IPv6.

Nei, forutsetningen er at de forstår nettverk. Om det er IPv6 eller IPv4 er ikke avgjørende. Protokollene fungerer relativt likt. Begge er basert på ruting, begge bruker stortsett TCP og UDP. For all del, det er en del tekniske detaljer som er ulike, f.eks. bruken av NDP istedenfor ARP, men det er i liten grad relevant i sikkerhetssammenheng ettersom det kun opptrer i det enkelte nettverkssegment. Rutere og brannmurer fungerer stortsett på svært nær identisk måte i begge protokollene, og som nevnt er TCP og UDP felles for både IPv4 og IPv6.

Som nevnt tar ikke standarder som IEC-62443 for seg protokoller, men sikkerhetsmetodikk.

Så hvor vil du? Påpeke at sikkerheten i mange kontrollsystemer er dårlig? Ja, absolutt. Men det er ikke på grunn av IPv6.

 

[Eskove]

barfoo skrev (50 minutter siden):

Hva er det som gjør IPv6 mer eller mindre egnet enn IPv4?

Det er svart på flere ganger.
Det er ikke noe som gjør IPv6 mer eller mindre egnet en IPv4

Alle hullene i v4 finnes i v6
Og alle hullene i v6 finner du i v4
Alt vi snakker om er måten å gi et navn til en enhet på ikke noe annet.

om enheten heter 127.0.0.1 eller 0:0:0:0:0:0:0:1 eller /home er styrkene og svakhetene mer eller mindre nøyaktig de samme.
Det er hvordan man setter opp nettverket og brannmurene som betyr noe, ikke om man bruker v4 eller v6

Alt vi snakker om er om folk kan jobben sin eller ikke.
Nytter ikke å gi en sikkerhetsvakt kevlar og L85 om sikkerhetsvakten ikke kan bruke dem.

barfoo skrev (13 timer siden):

Når det kommer til IPv6 vs. IPv4 greier jeg imidlertid ikke å se at det skal utgjøre en relevant forskjell på noe som helst vis.

Her svarte du på ditt eget spørsmål helt perfekt.
Det er ingen relevante forskjeller mellom v4 og v6

Endret 8. januar 2023 av Eskove
glemte et komma

[arne22]

Her var det mange interessante opplysninger og synspunkter. Grunnen til at tråden ble opprettet er jo ikke at jeg vet svarene på forhånd, men heller at jeg synes det er interessant å forsøke å finne dem. En annen side ved saken, det er jo at når man kanskje forsøker å spå om framtiden, så følger jo "riktig løsning" sånn litt etter hvert.

5 hours ago, Eskove said:

Det er ingen relevante forskjeller mellom v4 og v6

For den som kan begge deler like godt så kan det vel de ut som at der er slik. For IPv4 så har det imidlertid blitt utviklet kurs/opplæring/dokumentasjon, i stort omfang over en periode på 30 år eller så, slik at det er lett å utvikle kompetanse innenfor denne genereasjonen av teknolog.

For IPv6, så synes jeg ikke opplæringstilbudet er like omfattende og like komplett. Jeg etterlyste i tåden over linker eller eksempler på for eksempel online kursressurser som ikke bare gir "en introduksjon til IPv6", men også litt mer generelt omkring bruken av IPv6, sånn i en litt større sammenheng, gjerne med fokus på sikkerhet.

Så langt har det ikke blitt lagt ut noen slike opplysninger, og spørsmålet "hvor finner man nødvendige ressurser for opplæring omkring IPv6 med vekt på sikkerhet og praktisk anvendelse" slik at denne problemstillingen fortsatt står ubesvart. (Det ble lagt ut en link, men jeg oppfatter det som et kurs som ført og fremst gir en introduksjon til IPv6.)

Jeg googlet ellers opp et par dokumenter og problemstillinger som jeg synes det kan være interessant å ta vare på, sånn i et litt helhetlig perspektiv. IIOT eller "Industrial Internet of Things" er jo også en problemstilling som vil være relevant og som vil påvirke kompleksiteten i et samlet risikobilde.

https://www.novotek.no/insights/hva-er-iiot/

https://www.osti.gov/servlets/purl/1642737

https://citeseerx.ist.psu.edu/document?repid=rep1&type=pdf&doi=09c6f20848d28fb97b942a78199cf163832211b5

Sammenkoblingen mellom ICS (Industrial Control Systems) og skybaserte systemer er også en del av en litt større problemstilling, der alle delene i et helhetlig system skal "henge sammen" på en sikker måte.

Når sant skal sies så peker jo mye av dette i retning av at det faktisk er nødvendig å komme over i IPv6 baserte løsninger, selv om det kanskje kommer til å finnes en del "lappetepper" på veien.

 

Endret 9. januar 2023 av arne22

[barfoo]

7 hours ago, Eskove said:

Det er svart på flere ganger.

Ja, jeg innser at jeg burde spesifisert at det er trådstarter sit svar på det jeg etterlyser

Når det kommer til resten av diskusjonen trekker jeg meg. @arne22 ser ikke ut til å vite hvor han vil med tråden. Det fremstår som en tråd som forsøker å ta for seg alle sider av nettverkssikkerhet, og ikke spesifikt hva som endrer seg med IPv6, slik åpningsinnlegget gir uttrykk for.

Endret 9. januar 2023 av barfoo

[arne22]

3 hours ago, barfoo said:

Når det kommer til resten av diskusjonen trekker jeg meg. @arne22 ser ikke ut til å vite hvor han vil med tråden.

Joda. Refererer til et par lærebøker i "Cyber Security for Industrial Control Systems" og et par masteroppgaver innenfor samme tema, pluss ogaå litt annet lærestoff. Det som jeg er på jakt etter det er å få utdypet inholdet i disse "lærekildene" i forhold til problemstillingen rundt IPv6. Synes faktisk at jeg har lært en hel del allerede.

Kommer tilbake om litt med opplysninger om hvilke lærebøker og hvilke masteroppgaver det dreier seg om. En av de to lærebøkene ligger åpent på nett, og den andre må man kjøpe tilgang til. Masteroppgavene ligger åpent.

Kommer tilbake med nærmere info, når det blir litt ledig tid.

[aklla]

Jeg og sikkert flere venter i spenning på resultatet
Bare lurer, har du jobbet mye med sikkerhet og IPV4?

Endret 9. januar 2023 av aklla