Securing Profinet Networks

Abstract

This Thesis was made to study Profinet networks and means to secure them. The assignment for this Thesis came from Mission Critical Network team of Pöyry Finland Oy.

The objective of this thesis was to study Profinet networks; what they are, how they differ from standard office networks and how they are secured.

The first part of the thesis covers some basics of Ethernet technology along with the networking reference models OSI and TCP/IP. The second part is about Profinet itself and how Profinet networks are designed. The final part includes common methods for securing Profinet networks and descriptions of three attacks against Profinet.

Industrial systems are moving towards Industrial Ethernet which is based on standard Ethernet used everywhere nowadays. It is a totally different world from the traditional serial based field bus systems which were designed to be implanted in totally isolated networks where cyber security was not a concern unlike today when everything is connected via different networks. Today, network engineers designing industrial networks need to know the demands and requirements of automation applications along with the threats of modern networks and how to protect against them.

As a conclusion, Profinet seems like a solid concept but the devices it is used in have vulnerabilities. Vendors are working on updates but the updates need to be done and deployed fast. Meanwhile vendors just give advice on how to mitigate problems but this is not acceptable. Problems need to be resolved, not just trust in firewalls to keep the attackers out. For the most part, Profinet networks are secured with the same technologies as other Ethernet based networks. The only exception comes from how security aspects are emphasized. In automation networks the emphasis is more on availability when office environments consider confidentiality to be more important.

Tämän työn tarkoituksena oli tutustua Profinet-verkkoihin, niiden tietoturvaan ja ottaa selvää miten Profinet-verkoista tehdään tietoturvallisia. Työ tehtiin Pöyry Finland Oy:n MCN teamin toimeksiannosta.

Työssä käydään ensin läpi Ethernet-tekniikkaa sekä teollisuusympäristöihin suunnattua teollisuuden Ethernet-tekniikkaa yleisesti läpi. Tämän jälkeen tutustutaan Profinet-tekniikkaan ja sen vaatimuksiin. Viimeisessä osassa käydään läpi teollisuusverkkojen ja Profinetin tietoturvaa ja esitellään kolme Profinettiin liittyvää hyökkäystä.

Teollisuusverkot siirtyvät yhä enenevissä määrin Ethernet-pohjaisiin teknologioihin, joita kutsutaan Teollisuus-Ethernetiksi. Tämä asettaa aivan erilaisia vaatimuksia teollisuusverkkosuunnittelijoille. Vanhat sarjapohjaiset tiedonsiirtoteknologiat on suunniteltu sijaitsemaan täysin omissa suljetuissa verkoissaan, joten tietoturvalle ei ollut tarvetta samalla lailla kuin nykyään, kun kaikki ovat yhteydessä toisiinsa erilaisten verkkojen välityksellä. Tämä kaikki asettaa vaatimuksia tänä päivänä teollisuusverkkoja suunnitteleville tietoverkkosuunnittelijoille; heidän pitää tuntea teollisuusympäristöjen vaatimukset sekä modernien verkkojen uhat ja puolustuskeinot hyökkäyksiä vastaan.

Profinet vaikuttaa olevan vankalla pohjalla mutta itse laitteissa, joissa Profinet-protokollaa käytetään, on haavoittuvuuksia. Valmistajat kyllä tekevät korjauksia ohjelmistoihin paikatakseen aukkoja, mutta näissä päivityksissä yleensä kestää ja valmistajat tyytyvät vain antamaan neuvoja miten lieventää haavoittuvuuksien vaikutuksia. Tämä lähestymistapa ei ole oikea tapa hoitaa haavoittuvuuksia. Haavoittuvuudet pitää paikata mahdollisimman nopeasti eikä vain luottaa siihen, että hyökkääjät eivät pääse sisälle verkkoon. Profinet-verkot suojataan pitkälti samalla lailla kuin mikä tahansa muu Ethernet-pohjainen verkko. Eroja tulee siinä miten tietoturvanäkökulmia painotetaan. Teollisuusverkoissa painotetaan verkkojen käytettävyyttä ja saatavuutta, kun taas toimistoverkoissa voidaan kärsiä hieman verkkokatkoksista, kunhan data pysyy tallessa.