Permalänk
Medlem

Öppet närverk

Hej, jag är väligt ny på det här med nätverk. Men jag skulle vilja skapa ett öppet nätverk som man med hjälp av en länk enkelt kan komma in på. detta för att kunna komma åt ett plc som står ute på en anläggning och Loggar värden.

Jag har kollar runt lite på olika routrar som har inbyggd VPN,men vet inte om det är den rätta vägen att gå.

Har ni någon guide man kan följa eller några andra tips så är jag ytterst tacksam.

Tack på förhand!

Permalänk
Medlem

Köp nån ciso small business och SSH in till den för att ändra confen remote. För jag antar att du ville ha nätverket på plats X och du själv på plats Y? Eller vill du ha den i närheten så du kan ta på den?

Permalänk
Medlem

Okej! jag ska kolla upp det. ja, den ska sitta ute i en anläggning och man ska kunna komma åt nätverket vart man än är. som sagt gärna en URL som man kan maila ut till den som vill komma åt det som finns på nätverket

Permalänk
Avstängd

Brrrrrr.. Såg precis säkerhets nivån sjunka till Flinta. Kolla gärna om en konsultfirma kan hjälpa dig med att säkra upp detta.

Permalänk
Inaktiv
Skrivet av Septac:

Okej! jag ska kolla upp det. ja, den ska sitta ute i en anläggning och man ska kunna komma åt nätverket vart man än är. som sagt gärna en URL som man kan maila ut till den som vill komma åt det som finns på nätverket

Hoppas jag inte bor nära den den anläggningen och att man inte kan göra något elakt med den. PLC styr ju kärnkraftverk och här märker man att säkerhetstänket inte är högt. Tråden borde låsas imho.

Permalänk
Medlem

Haha, jag är medveten om att det inte är någon bra lösning att ha ett helt öppet nätverk. men då kunden inte ville logga in utan bara klicka på en url länk och vara inne på nätverk (vet inte varför) så jag kollade bara runt vad det fanns för möjligheter. och i detta tillfället styr inte PLC:t något utan bara samlar data från analoga signaler som man i sin tur vill övervaka.

Permalänk
Medlem

@Septac: En PLC som snabbt blir rootad och en del i ett botnet... bra jobbat

Permalänk
Medlem

IPSEC-tunnel till en central enhet, där folk har klient VPN till eller där kunder själv sitter när han vill komma åt grejerna.

Ett eventuellt billigare och enklare alternativ är väl att whitelista source IPs, kräver ju dock att du gör ändringarna från en eller flera specifika IPs hela tiden.

Permalänk
Medlem
Skrivet av Septac:

Haha, jag är medveten om att det inte är någon bra lösning att ha ett helt öppet nätverk. men då kunden inte ville logga in utan bara klicka på en url länk och vara inne på nätverk (vet inte varför) så jag kollade bara runt vad det fanns för möjligheter. och i detta tillfället styr inte PLC:t något utan bara samlar data från analoga signaler som man i sin tur vill övervaka.

Snälla.. snälla förklara för dem vad botnät är, och förklara för dem hur extremt dumt det är att ha öppna nätverk.

Förslaget med VPN som @Captain_Spock gav är trots allt en början, där du kan göra ett enkelt sätt att logga in, men du skyddar iaf systemet.

Om du bara vill göra öppen statistik, gör en hemsida istället. Då kan du iaf säkra servern som det står på och det enda som kan komma på vift är statistiken. (eller ja... servern kan hackas också, men det går att säkra rätt bra iaf)

Permalänk
Inaktiv
Skrivet av Septac:

Haha, jag är medveten om att det inte är någon bra lösning att ha ett helt öppet nätverk. men då kunden inte ville logga in utan bara klicka på en url länk och vara inne på nätverk (vet inte varför) så jag kollade bara runt vad det fanns för möjligheter. och i detta tillfället styr inte PLC:t något utan bara samlar data från analoga signaler som man i sin tur vill övervaka.

Tolkar det som att du på något sätt är en "IT-konsult" du då pratar i termer som "kund" - Tydligt är att du inte på något sätt borde vara delaktig i att designa nät åt dina kunder då du uppenbarligen saknar kompentens att göra detta, du är en skam för vi som tar säkerhet åt våra kunder på allvar.

Jag skulle börja jobba på McDonlands istället

Permalänk
Medlem

Fixa ett script som vid exekvering loggar in på aktuellt nätverk och sedan öppnar webbläsaren (eller vilket program som nu används för att kolla loggarna) med rätt sida (eller fil) laddad. Lägg sedan en genväg till nämnda script på användarens skrivbord.

Inte optimal säkerhet att ha lösenordet lagrat lokalt på användarens dator, men bättre än ett öppet nätverk iaf.

Permalänk
Medlem

@Septac: Vad är det för PLC på anläggningen?
Finns färdiga lösningar men beroende på vilket PLC kan man lösa det på lite olika sätt.
Men som ovan har skrivit och repeterat: VPN är lösning.

Permalänk
Medlem
Skrivet av studiox_swe:

Hoppas jag inte bor nära den den anläggningen och att man inte kan göra något elakt med den. PLC styr ju kärnkraftverk och här märker man att säkerhetstänket inte är högt. Tråden borde låsas imho.

De flesta PLC är inte anslutna till The Internet och på ett kärnkraftverk är PLC:n definitivt inte anslutna, det var ju därför Stuxnet spreds från dator1-->USB-minne-->dator2... så den kunde tillslut hitta sitt S7-300 system i Iran.

Skickades från m.sweclockers.com

Permalänk
Inaktiv
Skrivet av SWEHACKER:

De flesta PLC är inte anslutna till The Internet och på ett kärnkraftverk är PLC:n definitivt inte anslutna, det var ju därför Stuxnet spreds från dator1-->USB-minne-->dator2... så den kunde tillslut hitta sitt S7-300 system i Iran.

Jag har ingen samlad kunskap om samtliga industrier i världen, men jag blir allt förvånad över vad som är anslutet till Internet, hittade en rätt stor shoppingarena som gick att komma åt via Internet, detta i Sverige. Dra igång brandlarmet kanske? I Polen hittade jag ett sjukhus som hade dina CTV öppet på Internet, gick att titta på operationer och uppvakning, sjukt läskigt.

Permalänk
Medlem
Skrivet av studiox_swe:

Jag har ingen samlad kunskap om samtliga industrier i världen, men jag blir allt förvånad över vad som är anslutet till Internet, hittade en rätt stor shoppingarena som gick att komma åt via Internet, detta i Sverige. Dra igång brandlarmet kanske? I Polen hittade jag ett sjukhus som hade dina CTV öppet på Internet, gick att titta på operationer och uppvakning, sjukt läskigt.

Fräckt, det kan vara därför kritisk infrastruktur i Sverige oftas går över Tele nätet med sin styrning/larm till vattenkraftverk/vindkraftverk/transformatorstationer eller de är dåliga på att förnya det gamla. Det flesta PLC man har jobbat med är de inte anslutna utan kommunicerar med en SQL-server på nätverket för data logging eller loggar det på en "industri-PC" där de går varje skift och byter ut en hårddisk/USB-minne. Men oftas så sköter IT-avdelningen på det företaget VPN-anslutning eller så blir det att någon får åka ditt med en dator koppla upp den med ett 4G modem och kopplar in den i industri-nätverket sen sitter där och sover medan någon annan letar problem i programmet över teamviewer.

Skickades från m.sweclockers.com

Permalänk
Inaktiv
Skrivet av SWEHACKER:

Fräckt, det kan vara därför kritisk infrastruktur i Sverige oftas går över Tele nätet med sin styrning/larm till vattenkraftverk/vindkraftverk/transformatorstationer eller de är dåliga på att förnya det gamla. Det flesta PLC man har jobbat med är de inte anslutna utan kommunicerar med en SQL-server på nätverket för data logging eller loggar det på en "industri-PC" där de går varje skift och byter ut en hårddisk/USB-minne. Men oftas så sköter IT-avdelningen på det företaget VPN-anslutning eller så blir det att någon får åka ditt med en dator koppla upp den med ett 4G modem och kopplar in den i industri-nätverket sen sitter där och sover medan någon annan letar problem i programmet över teamviewer.

Som sagt har jag ingen samlad kunskap över hur kritisk infrastruktur går, beroende på vem man frågar har man ju olika uppfattningar om vad som är kritiskt också

Just nu finns det runt 1.500 Siemens S7 system som är öppna på Internet, en hel del annat också.
Du kan ju läsa lite mer här https://www.shodan.io/explore/category/industrial-control-sys...

Permalänk
Inaktiv

Du kan inte göra något med inbakat lösen mm typ:

http://username:password@example.com/public_html/test/

Permalänk
Medlem

En klientbaserad VPN-lösning. Är det bara en webbsida så kör en web-vpn. Där brandväggen krypterar om sidan och skyddar

Skickades från m.sweclockers.com

Permalänk
Medlem

Skaffa en RPI som sparar ned dessa logga från PLC. Sedan använder du SSH och rsync för
att ladda upp detta till en annan server som kunden kan komma åt med en URL.

Som andra har sagt tidigare, du bör anställa någon kunnig som hjälper dig med detta.
Att vända PLC system mot internet är att be om problem.

Permalänk
Medlem
Skrivet av studiox_swe:

Som sagt har jag ingen samlad kunskap över hur kritisk infrastruktur går, beroende på vem man frågar har man ju olika uppfattningar om vad som är kritiskt också

Just nu finns det runt 1.500 Siemens S7 system som är öppna på Internet, en hel del annat också.
Du kan ju läsa lite mer här https://www.shodan.io/explore/category/industrial-control-sys...

Jävligt intressant att se alla system som ligger öppna mot internet även om de flesta Siemens system är av äldre modell(tack och lov för jag hatar det jävla programmet och de borde bytas ut för mänsklighetens bästa). Undra om det finns något sårbarhet i den nya* S7-1500 serien för det finns några attacker mot S7-1200 där man kan sätta den i stop eller värre han på Black-Hat som skappade en mask som levde i maskin koden och spreds från PLC till PLC.

Skickades från m.sweclockers.com