Vil IPv6 være egnet for bruk i Industrielle Kontrollnettverk?

[arne22]

Bare hobby og dette er jo diskusjon.no Vitsen var jo å lære litt og å få opplyst litt om det som går på. Har ikke fått rotet fram de bøkene som jeg refererer til (litt for mye annet å holde på med), men noe annet stoff inntil videre:

Noen litt generelle betraktninger omkring eller relatert til temaet:

https://www.tu.no/artikler/industrielle-nettverk-har-utfordringer-med-cybersikkerhet-allerede-fra-start/512948/

Lit mer i samme gata, rundt det som går på generelle prinsipper/betraktninger:

https://www.norskindustri.no/bransjer/teknobedriftene/cybersikkerhet-og-industri-4.0/veikartet/7/#part0

Så litt over mot det litt mer praktiske/konkrete:

https://download.schneider-electric.com/files?p_Doc_Ref=STN+v2

Noe av problemstillingen er altså: Hvordan vil overgangen til IPv6 eventuelt berøre de problemstillingene som er nevnt i linkene over, og hvordan og i hvilken grad vil det utstyret som beskrives av Schneider være kompatibelt med IPv6?

Her er et par bøker. Den første boken kan man lese gratis online. Bok no 2 koster penger, men jeg ser at de nå har satt ned prisen, slik at det bare er snakk om 5 dollar eller tilnærmet gratis:

Bok 1:

https://www.packtpub.com/product/industrial-cybersecurity/9781788395151

Bok 2 (Til dels revisjon og videreføring av den første.)

https://www.packtpub.com/product/industrial-cybersecurity-second-edition/9781800202092

IPv4 og IPv6 er jo sånn sett bare en liten del av en litt større og mer sammensatt problemstiling, men det må stadig vekk være slik at alle enkeltdelene i et "system" må passe sammen til en helhetlig god nok løsning både i forhold til til funksjonalitet og sikkerhet. 

Rettelse: Det står da "read for free" på begge. Da jeg kikket på disse bøkene så fikk jeg opp den første på et nokså dårlig webformat, uten å betale, og så fikk jeg opp den andre på et ganske godt e-bok format etter å ha betalt noen hundrelapper. 

 

 

 

Endret 10. januar 2023 av arne22

[barfoo]

@arne22: hva er det som er uklart med svarene du har fått til nå, som stortsett sier at det ikke er vesentlige forskjeller på IPv6 og IPv4? Hva er uklart?

Tråden fremstår i større grad som ansamling tilfeldige tanker fra din side enn et forsøk på å finne ut eller diskutere noe spesifikt.

MVH en som faktisk har sikkerhet som stor del av jobben.

[arne22]

58 minutes ago, barfoo said:

MVH en som faktisk har sikkerhet som stor del av jobben.

Han må gjerne fortelle litt. Hvilken bransje? Hvilken type anlegg? Hva slags risikovurderinger og hvilken type sikkerhet?

[barfoo]

20 minutes ago, arne22 said:

Han må gjerne fortelle litt. Hvilken bransje? Hvilken type anlegg? Hva slags risikovurderinger og hvilken type sikkerhet?

Relevante stikkord er IEC62443, fortrinnsvis del 3 og 4, altså systemlevrandør på kontrollsystemer. Detaljer utover det ser jeg ingen grunn til å dele.

Men tilbake til temaet: jeg ser frem til at du utdyper hva du tenker er relevant mtp. IPv6 vs. IPv4 i denne sammenhengen. Det er jo premisset for tråden, og en del personer har forklart deg i varierende detaljgrad at det ikke er en forskjell - men du velger å komme drassende med nye anekdoter.

Så hva er forskjellen?

Endret 10. januar 2023 av barfoo

[arne22]

1 hour ago, barfoo said:

hva du tenker er relevant mtp. IPv6 vs. IPv4 i denne sammenhengen.

Hvis vi nå tar utgangspunkt i den første figuren i heftet til Schneider, som et lite eksempel (se vedlagt figur):

Vil Scada-systemer normalt støtte IPv6?

Hva med de PLS'ene eller "controllerne" som er tegnet inn. Vil de normalt støtte IPv6? Hvilke PLS'er er det eventulet som støtter IPv6?

Hva med den HMI'en som er tegnet inn?

Hvis man for eksempel har en del utstyr som ikke støtter IPv6, samtidig som man ønsker en gradvis overgang til IPv6 hvordan går man da for eksempel fram for å integrere "IPv4 utstyr" inn mot "IPv6 utstyr", deler man da nettverket inn i ulike segmenter, med ulik adressering, eller hvordan løser man dette i praksis?

Dette var da et forholdsvis enkelt eksempel,  men hva hvis man har flere nettverkssegmenter, der noe utstyr er gammelt, og så har man kanskje andre seksjoner/segmenter som er mer egnet for IPv6, hva blir da prinsippene for å få dette til å fungere som en helhet, selvfølgelig med tilstrekkelig grad av sikkerhet? 

Endret 10. januar 2023 av arne22

[nightowl]

arne22 skrev (25 minutter siden):

Hvis man for eksempel har en del utstyr som ikke støtter IPv6, samtidig som man ønsker en gradvis overgang til IPv6 [..]

Hvorfor skulle man ønske dette. Er det for morroskyld?

[arne22]

43 minutes ago, nightowl said:

Hvorfor skulle man ønske dette. Er det for morroskyld?

Ja, det som nok jeg tenkte om den saken, sånn innledningsvis, og som min første tanke, det er at dette blir såpass komplisert at i forhold til den praktiske virkelighet, så blir ICS systemene for en stor del værende i IPv4 fortsatt i lang tid framover.

Så får man jo litt input og så begenner man å tenke, at kanskje det ikke er slik allikevell. Jeg vet jo ikke svarene på disse tingene, men det er nok sannsynligvis problemstillinger som man jobber med "i den store verden", og kanskje også i den litt mindre lokale verden.

På bedriftsnivå, så må det vel være overveiende sannsynlig at bedriftens overordenede systemer vil bevege seg mot IPv6, samtidig som det kanskje finnes en del produksjonsutstyr som ikke er særlig kompatibelt, og så skal man få det hele til å fungere og kommunisere som en helhet.

Fant noe informasjon fra Siemens som kanskje indikerer at IPv6 og automatisering, kanskje ikke er så utenkelig, som jeg kanskje i utgangspunktet ville trodd at det var. Hele vitsen med å diskutere det er jo å lære noe nytt, og å oppdage at "det som man trodde" kanskje ikke er helt slik som man trodde.

https://assets.new.siemens.com/siemens/assets/api/uuid:67742ab6-e541-48fa-bf89-6a4994368a9b/whitepaper-ipv6-6zb5530-0dh02-0ba0-en.pdf

Bedriftene moderniserer jo ikke og de sikrer vel heller ikke sine ICS for moro skyld, men heller for at det er nødvendig både av hensyn til sikkerhet og effektivitet.

Endret 10. januar 2023 av arne22

[aklla]

Det er ikke noe problem å kjøre IPV4 og IPV6 samtidig på det aller meste av utstyr.
Om noe ikke støtter IPV6 blir IPV4 tatt i bruk i stedet.

Det er i det hele tatt en ganske standard løsning å gjøre det slik, selv kjører jeg begge deler på mitt lille hjemme-nettverk.
Skal man fjerne IPV4 er man jo avhengig av at alt utstyr man har støtter IPV6, men ingen grunn til å fjerne IPV4

[nightowl]

Siden IPv6 er såpass interessant, tydeligvis. Ser jeg frem til neste tråd som handler om TCP vs. UDP ... Et tema jeg syns er langt mer fengende, spesielt som utvikler når jeg inniblant må fokusere på skalerbarhet og lastbalansering. 🙂

[barfoo]

9 hours ago, arne22 said:

Hva med de PLS'ene eller "controllerne" som er tegnet inn. Vil de normalt støtte IPv6? Hvilke PLS'er er det eventulet som støtter IPv6?

Aner ikke. Har aldri tatt i en Schneider-kontroller. Men det er jo et distinkt spørsmål fra om det er egnet eller ikke. Om du lurer på hvilket utstyr som støtter IPv6 ville jeg tatt kontakt med en selger fra aktuell levrandør.

 

[arne22]

3 hours ago, nightowl said:

Siden IPv6 er såpass interessant, tydeligvis. Ser jeg frem til neste tråd som handler om TCP vs. UDP ... Et tema jeg syns er langt mer fengende, spesielt som utvikler når jeg inniblant må fokusere på skalerbarhet og lastbalansering. 🙂

Interessant nok, men brukes det UDP i forbindelse med automatiserte anlegg? Kan ikke huske det. Så vidt jeg mener å ha observert så kjører det meste på høyere nivå enn feltbuss TCP. Det samme gjelder vel bedriftens overordnede systemer.

For automatiserte systemer så er det jo ofte (men ikke alltid) snakk om forholdsvis små datamengder, og så stilles det forholdsvis store krav til å verifisere at data har kommet korrekt fram.

Assosierer UDP først og fremst med slike ting som VIOP og mediastream, og kanskje også VPN.

Er dette korrekt nok, eller er det jeg som er akterutseilt? 

[arne22]

1 hour ago, barfoo said:

Aner ikke. Har aldri tatt i en Schneider-kontroller. Men det er jo et distinkt spørsmål fra om det er egnet eller ikke. Om du lurer på hvilket utstyr som støtter IPv6 ville jeg tatt kontakt med en selger fra aktuell levrandør.

Jo, det er jo det man også må gjøre. Har vært i kontakt med noen og vil nok sjekke litt nærmere med tiden. 

Har stort sett vært borte i utstyr fra Siemens, Schneider, Unitronics og Omron, og har i alle fall ikke lagt merke til at noe av dette utstyret har støttet IPv6. (Men alt utstyret har ikke vært siste årgang.) Vil tro at den linken til Simens som jeg la ut over, indikerer en noenlunde rett status, altså en slags "oppstartfase". 

[nightowl]

arne22 skrev (53 minutter siden):

Interessant nok, men brukes det UDP i forbindelse med automatiserte anlegg? Kan ikke huske det.

Ingen aning.

arne22 skrev (55 minutter siden):

Assosierer UDP først og fremst med slike ting som VIOP og mediastream, og kanskje også VPN.

Er dette korrekt nok, eller er det jeg som er akterutseilt? 

Ja, stemmer. UDP benyttes gjerne når noe er litt tidskritisk. F.eks. VoIP som nevnt.

[arne22]

19 hours ago, aklla said:

Det er ikke noe problem å kjøre IPV4 og IPV6 samtidig på det aller meste av utstyr.
Om noe ikke støtter IPV6 blir IPV4 tatt i bruk i stedet.

Ja, men hvordan løser man dette i forhold til det som går på sikkerhetssoner i et industrielt datanettverk?

Vil man normalt dele inn i sikkerhetssoner ved hjelp av routere eller ved hjelp av VLAN?

For VLAN som kjører layer 2 i OSI modellen så er den vel like glad med om det er IPv4 eller IPv6? (Her går det jo på MAC adressser.)

For routere og eventuelle layer 3 VLAN, så vil det vel behøves "dual stack" både i forbindelse med routere/brannmurer og i forbindelse med eventuelle layer 3 VLAN?

IPv4 og IPv6. det er vel ikke bare en "måte å adressere på", det er også snakk om to forskjellige protokoller. Når man endrer fra en til to protokoller, for dette laget, så øker man jo samtidig den tilgjengelige angrepsflaten som en hacker kan jobbe opp i mot.

La oss for eksempel ta utgangspunkt i angrepet mot Norsk Hydro i 2019. Her klarte man vel å infisere en desktop PC ved klikkbart vedlegg, og så skaffet hackere seg i første omgang kontroll over en desktop PC. Der i fra så brukte hackerne denne "angrepsvektoren" til å undersøke "angrepsflater" i nettverket rundt og der i fra så klarte de å ta kontroll over hele nettverket. (Ved å hacke seg videre inn i Windows domenekontroller.)

https://sikkerhet.el3.no/angrep-mot-norsk-hydro-19-mars-2019/

Man skulle jo tro at når man øker eller "dobler" angrepsflaten ved å kjøre doble protokoller, så svekker man også sikkerheten i det tekniske anlegge totalt sett.  

Ellers noen historiske utsagn fra den samme bloggen (år 2010) vedrørende IPv6:

Quote

Bedrifter bør derfor begynne å tenke på IPv6. Først og fremst bør en sørge for at den nye protokollen er sperret for å unngå overraskelser i nær fremtid og beholde kontrollen over hva slags trafikk som går inn og ut av bedriftens nettverk. Deretter kan en begynne å planlegge når en vil implementere IPv6 og finne ut hva som må gjøres i nettet. Relevant personell må også sannsynligvis sette seg bedre inn i IPv6 og hvordan det hele fungerer.
 

https://telenorsoc.blogspot.com/2010/04/den-kommende-ipv6-protokollen-og.html

Fant ellers en veldig bra beskrivelse av "nettverkslagene", synes jeg. Men dette er jo IPv4. Blir beskrivelsen av IPv6 lik, bortsett fra at det det dreier seg om lengre adresser og forskjellig protokoll (eller dobbelt protokoll) for nettverkslaget?

https://www.uio.no/studier/emner/matnat/ifi/IN1020/h20/foiler/uke-45-nettverk-lagdeling.pdf

Spørsmålet er egentlig til alle som måtte ha greie på dette her.

Edit:

Ser at "packet header" for IPv4 og IPv6 ikke ser ut til å være like. Da blir vel det man kan filtrere i forhold til en brannmur også litt forskjellig, ved at det man kan filtrere i forhold til vel faktisk er innholdet i "packet header". (Ved ordinær pakkefiltrering.)

https://docs.oracle.com/cd/E18752_01/html/816-4554/ipv6-ref-2.html

Endret 11. januar 2023 av arne22

[Gjest Slettet-7QKwQIfm]

En IP-adresse blir tildelt en enhet i et nettverk, enten manuelt eller via DHCP.

Så brukes protokollen TCP for hvordan data blir sendt. TCP deler opp data i "pakker" som inneholder flere deler, hvorav en del sier hvilken IP pakken sendes fra og hvilken IP den skal sendes fra. (Veldig kort forklart).

Om et nettverk benytter IPv4 eller IPv6 tror jeg ikke spiller noen rolle for sikkerheten.

Det viktigste er segregering av ulike nettverk og, brannmur.

Det er veldig usikkert å ha industrielle enheter på samme nettverk hvor alle klient-PCer er - disse bør ikke være på samme nettverk.

Optimalt, vil jeg tro at man øker sikkerheten ved å ha egne nettverk for: klientutstyr (PC, nettbrett, mobiltelefon), skrivere og møterommsutstyr, servere, industrielle enheter, med mer.

Der hvor jeg jobber har man f.eks eget nettverk for enhetene de på driftsavdelingen bruker: Adgangskontroll, SD-anlegg, vannesystem, eksterne sensorer, lysstyring, med mer.

Hvilken IP-adresse disse enhetene har, tror jeg ikke har noen betydning for sikkerheten.

Nå skriver jeg ut fra min erfaring innen IT, hvor jeg jobbet i over 10 år etter endt IT-utdanning, men byttet fag for 10 år siden, så er litt rusten.

[Gjest Slettet-7QKwQIfm]

arne22 skrev (55 minutter siden):

La oss for eksempel ta utgangspunkt i angrepet mot Norsk Hydro i 2019. Her klarte man vel å infisere en desktop PC ved klikkbart vedlegg, og så skaffet hackere seg i første omgang kontroll over en desktop PC.

Nå kjenner jeg ikke saken her veldig godt.

Men skulle jeg gjettet, sto industriell utstyr på samme nettverk som de som har desktop-PC.

Hadde nettverket vært segregert,  ville ikke dette skjedd.

Endret 11. januar 2023 av Slettet-7QKwQIfm

[arne22]

1 hour ago, Bugle said:

Hadde nettverket vært segregert,  ville ikke dette skjedd.

Nei, det var delt opp i sikkerhetssoner, men alt sammen var kontrollert av den samme Microsoft Active Directory og hacker fikk kontroll over denne. (Ved å først hacke en ordinær desktop PC, og så videre der i fra.) Tilsvarende skjedde vel også ved det store angrepet mot Maersk i 2017. 

https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-how-notpetya-accidentally-took-down-global-shipping-giant-maersk/

Angrepet mot Østre Toten kommune var vel så vidt jeg husker også ved å ta kontroll over Microsoft Active directory. (Via en dårlig konfigurert VPN tilgang som første angrepsflate.)

https://www.nrk.no/innlandet/ostre-toten-kommune-far-fire-millioner-i-bot-etter-dataangrepet-mot-kommunen-1.15695776

Endret 11. januar 2023 av arne22

[Gjest Slettet-7QKwQIfm]

arne22 skrev (7 minutter siden):

Nei, det var delt opp i sikkerhetssoner, men alt sammen var kontrollert av den samme Microsoft Active Directory og hacker fikk kontroll over denne. (Ved å først hacke en ordinær desktop PC) Tilsvarende skjedde vel også ved det store angrepet mot Maersk i 2017. 

https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-how-notpetya-accidentally-took-down-global-shipping-giant-maersk/

Angrepet mot Østre Toten kommune var vel så vidt jeg husker også ved å ta kontroll over Microsoft Active directory.

https://www.nrk.no/innlandet/ostre-toten-kommune-far-fire-millioner-i-bot-etter-dataangrepet-mot-kommunen-1.15695776

Igjen, nå kjenner jeg ikke saken godt nok, og det er 10 år siden jeg jobbet med IT.

Men dette handler ikke om de brukte IPv4 eller IPv6

Nå er jeg på tynn is, fordi det er så lenge siden jeg har jobbet med dette.

Men jeg antar svakheten her, var at brannmur var for dårlig "satt opp", slik at man kunne bevege seg fra "klientnett" og over til "servernett".

For å komme tilbake til tema med industrielle enheter. Problemet her er at software til enhetene, eller det som styrer enhetene, enten det er via en software i en PLS eller software på en server, er at software sjeldent blir oppdatert ihht. dagens sikkerhetshull - nemlig fordi man har en mentalitet om at man ikke skal fikse på noe som funker.

Derfor er det viktig at man har industrielle enheter på egne nettverk med strenge regler for hvem som kan styre disse - altså, via åpne og stengte porter.

[Gjest Slettet-7QKwQIfm]

F.eks. det finnes mange industrielle software på en server som fortsatt kun benytter .net freamwork 2.5.

Sist jeg jobbet med dette, var 3.5 standard.

[arne22]

Barfoo -> Har du noe syn på dette?

Vil man normalt dele et ICS inn i sikkerhetssoner ved hjelp av routere eller ved hjelp av VLAN?

For VLAN som kjører layer 2 i OSI modellen så er den vel like glad med om det er IPv4 eller IPv6? (Her går det jo på MAC adressser.)

For routere og eventuelle layer 3 VLAN, så vil det vel behøves "dual stack" både i forbindelse med routere/brannmurer og i forbindelse med eventuelle layer 3 VLAN?

Hva er vanlige løsninger?