Mám zákazníka, který zkoumá otevřené směrování BACnet mezi jejich systémem BACnet/MSTP a BACnet/IP napříč velkým portfoliem lokalit. Existují nějaká významná bezpečnostní rizika s tím spojená? Víš o nějakých způsobech, jak by to bylo možné zneužít?
Každý provoz, který není zabezpečený, bude ohrožen. VPN nebo Bacnet/SC by tyto problémy měly vyřešit
BACnet/IP je odesílán jako jasný text. BACnet S/C používá šifrování TLS 1.3.
Níže jsou některé související zprávy o novinkách. Osobně znám výškovou budovu, která v roce 2019 měla vydírání svého BMS. Velmi opatrně by měl být váš zákazník, pokud je to biopharma, technika, výroba nebo zdravotnictví.
Shodan dokáže vyhledávat BACnet zařízení na internetu. Je jich tam spousta exponovaných.
Bohužel, zranitelnosti, které jsou odhaleny, vám mohou způsobit problémy. Lidé jsou nepřátelští.
Jak již bylo zmíněno, použití VLAN, VPN nebo BACnet SC je vaše nejlepší řešení.
Zabezpečeno před čím? Jaký je případ zneužití, kterému se chcete vyhnout?
O jaké zneužitelnosti se bojíte? Někdo může získat přístup k zařízení BACnet a použít ho k vniknutí do podnikové sítě nebo někdo může získat kontrolu nad vaším mechanickým zařízením a způsobit škody a potenciálně zničit vybavení/vlastnictví?
První je možné, ale druhé je velmi pravděpodobné.
To je inherentně nezabezpečené. Říkám, že je jedno, jestli necháte auto odemčené, a druhé, jestli vám ho někdo vypáčí.
Zobrazí se vaše místo a IP adresa na SHODAN jako s BACnet. Ano. Někdo může mapovat vaše zařízení a řídit se jimi. To může vést k poškození majetku. Ano.
Stane se to?.. eh. Pravděpodobně ne. Není zde finanční motivace zničit vaše RTU tak, že poběží kompresor bez větráku.
Je to špatná praxe a odhaluje vaše místo. Použijte možnost VPN uvedenou zde. Pokud je to tak velké, mají IT oddělení. Ať to udělají za vás.
BACnetSC ještě není plně hotové. Ne ještě.
Řekněme, že pokud používáte BACnet pro spojení lokalit, 1 škodlivý zaměstnanec dodavatele může okamžitě objevit všechna zařízení BACnet v každé připojené lokalitě. Jakmile je objeví, může vypnout čerpadla chladicí vody a kondenzátoru při běžícím chilleru. To samo o sobě by nesmazalo chiller, ale způsobilo by velký problém a nešlo by to lidem líbit. V závislosti na tom, co je závislé na této systémové operaci s chladicí vodou, může být ovlivněno, a vaši operátoři budou mít špatný den.
BACnet SC je váš nový přítel.
Provádím síťovou bezpečnost/IT a z nějakého podivného důvodu také stavební inženýr a naprogramoval jsem nějaké Delta automatizační věci. Doporučuji mít správné nastavení VPN a pak provozovat BACnet SC přes toto spojení. Otevření síťového koncového bodu přímo na internetu není dobrý nápad, i když jsou komunikace zašifrovány. Chraňte věci, které nechcete, aby byly zneužity, používáním průmyslově standardních síťových zařízení k vytvoření VPN spojení mezi lokalitami. Stačí jedno neaktualizované zařízení BACnet k získání přístupu do celé sítě. Před lety jsem online nasadil čerstvě nainstalovaný Linux kvůli aktualizacím zabezpečení. Systém byl napaden během 5 minut.
BACnet je otevřený protokol určený pro interoperabilitu. Proto měl být nezabezpečený. Používá pouze BACnetSC, který přenáší šifrovaná data. Imo, BACnet SC je v rozporu s původním účelem BACnet.
Nicméně, i na systémech s více lokalitami by celý síť měl být na izolovaném, zabezpečeném vLAN přesně tak, jak je to u firemních počítačů, které jsou schopny být ve stejné firemní síti bez ohledu na to, ve které budově jsou.
Proto by BAS nebo vendor vLAN neměly být méně zabezpečené než jejich vlastní zabezpečená podniková síť. Výhodou je, že bezpečnost je většinou na IT oddělení vlastníka, nikoliv na dodavateli BAS.
Při použití sítě VPN si myslím, že není správné, aby se to označovalo jako VPN. Většinou se používá výraz VLAN a VPN jako zabezpečené připojení na dálku. Tak je to používáno v mém okolí.
Pokud používá zákazník firewally na zdroji a cíli, pak může IPSec v firewallu zašifrovat provoz BACnet při přechodu z lokalit na místo nebo do podnikové nebo cloudové sítě.
Packet je zašifrován před odjezdem a dešifrován na cílovém firewallu před pokračováním.
BACnet/SC dělá totéž na portu 443, přitom zašifruje provoz BACnet.
BACnet neobsahuje přihlašovací údaje nebo PII a OT data jsou většinou zbytečná bez kontextu. Proč by někdo hackoval OT BACnet síť? Pokud máte takové schopnosti, hledáte skutečné cíle.
Neexistuje žádné riziko, pokud IT oddělení ví, co dělá, snažíte se je vystrašit z ničeho.
Není vzdálené, pokud nemohou prolomit firewall. Firewall VLAN by měl chránit síť před útoky zvenčí. Kromě toho BACnet nevede útoky na firmy. Hackují se přihlašovací údaje operátorů k získání přístupu do zabezpečených sítí.
Cloud se připojuje pouze k routerům BACnet SC. Routry pak poskytují cloudům šifrovaný datový tok s daty BACnet.
Typický dálkový přístup je přes VPN nebo povolenou IP, zatímco propojení mohou být realizována přes VLAN, které zahrnuje firewally nebo BBMD připojení, které mohou být také za firewallem s otevřenými porty pro příchozí provoz. Použití Tridium JACE zvýší možnost šifrování připojení Niagara nebo, v závislosti na značce řízení, může být použito REST připojení.
Téměř všichni výrobci mají možnosti BACnet SC. Toto by byl nejjednodušší přístup.
Je nějaký BACnet/MSTP směrovač s VPN nebo BACnet/SC, o kterém víte?
Skvělé čtení. Děkuji za sdílení.
Any misuse. I don’t believe in their solution, and I want them to not do it. Every worst case scenario is great.
Jsem v „proti“ táboře a snažím se všechny možné scénáře, aby je odradili od toho, aby to dělali.