Co přesně jsou vaše konkrétní obavy s BACnet SC? Nikdy jsem neslyšel, že by někdo tvrdil, že je to nedokonalé.
TELCO operátoři vstoupili do chatu.
Myslím, že je to podobné jako když vstoupím do IT skříně a vidím všechna připojená zařízení do speciálních portů, mám stejnou nutkavou myšlenku odpojit některé, jen abych zjistil, jak špatně by to bylo. Pokud odpojím jedno nebo vyměním dvě, je to horší než udělat vše najednou? Pokud vím, co je na každém, jak špatně by to mohlo být?
Pak si uvědomím, že nejsem jediný, kdo takto myslí. Plus u BACnet bych neměl žádný záznam, odkud to zrodilo, kdo to udělal nebo co se změnilo.
Pokud používají směrování BACnet jako komunikační protokol, mohl bych vytvořit útok, který by se maskoval jako BACnet komunikace a vyhnul se VPN zabezpečení?
Jak by fungovalo připojení do oblakového analytického rámce? Poskytovatel cloudu potřebuje přístup ke všem zařízením.
A co autentizace? IT vyžaduje autentizaci před tím, než dojde k přenosu dat. To samozřejmě BACnet nedělá.
Architektura sítě, kterou navrhujete, není izolovaná. Není na izolované OT síti. Ve skutečnosti je ve stejné síti jako pokladna.
Proč by někdo toto dělal? Odkazuji na model vydírání, který navrhli jiní uživatelé. Pokud někdo má přístup ke všeobecnému systému s 30000 kusy vybavení, mohl by zneužít jakékoli zařízení na jakémkoli místě a kdykoli.
Ale oceňuji zpětnou vazbu. Pokud jsem se mýlil, dejte mi vědět, jak. Vidím váš názor na to, že směrování z místa na místo je šifrované kvůli použití IPSec.
Dva dotazy:
-
Co když máte přístup k BACnet na místě? Toto není bezpečné zařízení.
-
Co když není BACnet/SC? Jak se připojuje do oblaků, pokud je navrženo přímé BACnet/IP v místě k centrálnímu serveru?
Nezdůrazňoval jsem, kolik je na lokalitách starého zařízení. 30 000 s prakticky rovnoměrným zastoupením za posledních 15 let, některé ještě z roku 1995. Také nejběžnější řadič nemá BACnet/SC.
Rychlé googlení ukazuje, že současné řídicí systémy BASrouterSC jsou k dispozici.
Carrier XT-RB je BACnet SC. S koncem tohoto roku mají všechna řídicí zařízení Carrier BACnet být schopná BACnet SC.
Ale BACnet SC je potřeba pouze pro přenos dat do cloudu, který sídlí na serveru mimo zabezpečenou síť vlastníka. Je potřeba další SC centrum, které dešifruje data, což přidává spoustu nákladů a složitosti.
Jakmile jsou data zašifrována, vracíme se k přes nanejvýš proprietárním sítím, které byly původním důvodem vzniku BACnet. Privátní šifrovací klíče a heslem chráněné sítě omezí interoperabilitu, kterou BACnet měl umožnit vlastníkům budov a zabránit uzavření do jednoho dodavatele.
Posun směrem k SaaS v BAS bude pro vlastníky budov velmi špatný. To je alespoň můj názor.
Protokol BacnetSC vyžaduje certifikáty. V specifikaci není žádný proces, jak je distribuovat hromadně, ani podpora Automatizovaného Řízení Certifikátů (ACME). BacnetSC neumožňuje revokaci certifikátů.
Nelze tedy předat certifikát zařízení a pak ho odvolat. Neexistuje žádný mechanismus revokace certifikátů. Nejlepším řešením je vystavit krátkodobé certifikáty, ale to znamená, že je nutné distribuovat nové certifikáty do všech zařízení s pravidelnou frekvencí. Bez podpory ACME nelze automaticky vytvářet nebo nasazovat certifikáty hromadně.
Specifikace popisuje uzly a hub, ale zatím nebyl vyvinut komunikace node-to-node.
BACnetSC by mělo být vyspělejší, ale stále má co zlepšovat.
Pokud zákazník používá firewally na zdroji a cíli, pak IPSec ve firewallu zašifruje provoz BACnet při přesunu z lokality na místo nebo do podnikové nebo cloudové sítě.
Packet je zašifrovaný před odjezdem a dešifrován na cílovém firewallu. BACnet/SC to dělá na portu 443, což šifruje provoz BACnet.
BACnet neobsahuje přihlašovací údaje nebo PII, a OT data jsou většinou bez kontextu neužitečná. Proč by někdo hackoval OT síť BACnet? Pokud má takové schopnosti, hledáte cíle, které mají skutečnou hodnotu.
Risiko je minimální, pokud je IT oddělení kompetentní. Snažíte se je vystrašit z ničeho.
Ne-vzdálené, pokud nedokážou prolomit firewall. Firewall VLAN by měl chránit síť před útoky zvenčí. Navíc BACnet nevede útoky na firmy. Hackují se uživatelské přihlašovací údaje, aby se získal přístup do zabezpečených sítí.
Cloud se připojuje pouze k routerům BACnet SC. Ty pak poskytují cloudům šifrované datové proudy s BACnet daty.
Typické vzdálené spojení je přes VPN nebo povolenou IP adresu, zatímco propojení může být realizováno přes VLAN, které zahrnuje firewally nebo BBMD připojení, jež může být také za firewallem s otevřenými porty. Použití Tridium JACE zvýší šifrování spojení Niagara nebo, podle značky ovládání, REST připojení.
Téměř všichni výrobci mají možnosti BACnet SC. To by byl nejjednodušší přístup.
Existuje nějaký BACnet/MSTP směrovač s VPN nebo BACnet/SC, o kterém víte?
Jakékoliv zneužití. Nevěřím jejich řešení, a nechci, aby ho používali. Každý nejhorší scénář je skvělý.
Jsem v táboře „proti“ a chci, aby mě všechny možné scénáře odradily od jeho používání.
Co přesně jsou vaše konkrétní obavy s BACnet SC? Nikdy jsem neslyšel, že je někdo označoval za nedokonalé.
Myslím, že je to podobné jako když vstoupím do IT skříně a vidím všechna připojená zařízení do specifických portů, mám stejné nutkání odpojit některá, abych zjistil, jak špatně by to bylo. Pokud odpojím jedno nebo vyměním dvě, je to horší než udělat vše najednou? Pokud vím, co je na každém, jak by to mohlo být špatné?
Pak si uvědomím, že nejsem jediný, kdo takto přemýšlí. Plus u BACnet bych neměl žádný záznam, odkud to vzniklo, kdo to udělal nebo co se změnilo.
Pokud používají směrování BACnet jako komunikační protokol, mohl bych vytvořit útok, který by se maskoval jako BACnet komunikace a tím by obešel VPN zabezpečení?
Jak by bylo bezpečné připojit se do cloudového analytického rámce? Poskytovatel cloudu potřebuje přístup ke všem zařízením.