docL4-Appliance für Innere Suche
download 
Denúncia Transcrição
L4-Appliance für Innere Suche
Innere Suche .... Anforderungen .. Umsetzung ...... L4-Appliance für Innere Suche VeSiKi-Jahreskonferenz 2016, Bremen Christoph Moder genua gmbh [email protected] 2016-06-21 Innere Suche .... Anforderungen .. Umsetzung ...... Aufgabe: Überwachung von Industriesteuerungen Innere Suche .... Anforderungen .. Umsetzung ...... Einsatzort: innerhalb der Anlage Innere Suche .... Anforderungen .. Umsetzung ...... Anbindung an Kontrollzentrum Innere Suche .... Anforderungen .. Umsetzung ...... Anbindung an Kontrollzentrum Innere Suche .... Anforderungen .. Anforderungen Anlagennetz scannen Kommunikation mit PLC Daten für Abruf bereit halten Mehrwert für Betreiber Umsetzung ...... Innere Suche .... Anforderungen .. Sicherheit kein Wirt für Schadcode ⇒ Sandboxing kein DoS durch Fehlfunktion ⇒ Datenfluss limitieren Netztrennung ⇒ Einweg-Datenverkehr Umsetzung ...... Innere Suche .... Anforderungen .. L4-Appliance: Überblick Zotac ZBOX CI521 nano CPU: Intel Core M 2 Ethernet-NICs L4-Microkernel L4Linux/L4OpenBSD Umsetzung ...... Innere Suche .... Anforderungen .. Umsetzung ...... Was ist ein Microkernel? nur Basisfunktionen: Rechenzeit, Speicherschutz Kommunikation zwischen Tasks Anwendung Kernel + Treiber kleine Trusted Computing Base (≈ Faktor 100 kleiner) Funktionalität in Userspace Anwendung µ-Kernel Treiber Innere Suche .... Anforderungen .. Umsetzung ...... L4 Fiasco.OC L4-Familie = Jochen Liedtke Capabilities Whitelisting von Datenflüssen Hardware exklusiv an Task paravirtualisiertes Linux/OpenBSD µ-Kernel L4Linux Object Capabilities: L4Linux TU Dresden; Kernkonzept L4Linux Fiasco.OC: Innere Suche .... Anforderungen .. Umsetzung ...... L4-Appliance Netztrennung Firewall Kontrollnetz Industrie-Anlage Suche LogPuffer Innere Suche .... Anforderungen .. Umsetzung ...... L4-Appliance Innere Suche Netztrennung Diode: Einweg-Kommunikation Log-Puffer: Abholung Industrie-Anlage regelt Datenrate Suche Firewall LogPuffer Kontrollnetz Firewall: Innere Suche .... Anforderungen .. Umsetzung ...... Zusammenfassung Industrieanlagen-Überwachung von innen L4: Abschottung von Prozessen ⇒ Aufteilung in Compartments L4: Whitelisting von Datenfluss ⇒ Kontrolle der Kommunikationskanäle Dioden-Task ⇒ Netztrennung, Einweg-Datenverkehr Danke! Innere Suche .... Anforderungen .. Umsetzung ...... Zusammenfassung Industrieanlagen-Überwachung von innen L4: Abschottung von Prozessen ⇒ Aufteilung in Compartments L4: Whitelisting von Datenfluss ⇒ Kontrolle der Kommunikationskanäle Dioden-Task ⇒ Netztrennung, Einweg-Datenverkehr Danke!
