Student: | Thibault Cools |
---|
Richting: | Master of Science in de industriële wetenschappen: informatica |
---|
Abstract: | Deze thesis tracht de beveiliging van de spoorwegsystemen van Televic GSP te verbeteren. Na een algemeen overzicht van de evolutie van de beveiliging van Televic GSP, gaat de aandacht naar het beveiligen van de Secure Shell (SSH) die de onderhoudsinterface is voor de systemen. SSH-certificaten worden voorgesteld als een veilig alternatief voor de momenteel gebruikte authenticatiemethodes. Auditen van de configuratie resulteerde in een veiliger algemeen SSH-gebruik. Voor situaties waarin nog geen certificaten worden toegepast, wordt een oplossing voorgesteld die gebruik maakt van een aangepaste ssh-agent om op afstand handtekeningen te genereren. Een ander onderdeel in het beveiligingstraject van Televic GSP was de introductie van een Public Key Infrastructure (PKI) om X.509 certificaten te gebruiken voor authenticatie. In dit document wordt een overzicht gegeven van het beheer van hun sleutel- en certificaatlevenscyclus, samen met suggesties voor het oplossen van de problemen die ze hebben met de huidige implementatie ervan. Ten slotte gebruiken de boordapparaten nog steeds onveilige protocollen om met elkaar te communiceren. Om dit te verhelpen zonder de protocollen of de software die ze gebruiken te wijzigen, moet een veilige tunnel tussen de boordapparaten worden opgezet. Hiervoor waren er twee opties: SSH-tunnels of OpenVPN. Een vergelijking, zowel qua veiligheid als qua prestaties, wordt gemaakt tussen de twee om uit te vinden welke het beste past. |
---|
Abstract (Eng): | This thesis attempts to harden the security of
Televic GSP’s railway systems. After presenting a general
overview of Televic GSP’s security evolution, the focus goes to
securing the Secure Shell (SSH) which is the maintenance
interface for the railway systems. SSH certificates are
presented as a secure alternative to the currently used
authentication methods. Auditing its configuration resulted in a
more secure SSH usage overall. For situations where
certificates are not applied yet, a solution that uses a custom
ssh agent to remotely create signatures is presented. Another
part in Televic GSP’s security journey was introducing a Public
Key Infrastructure (PKI) to use X.509 certificates for
authentication. In this paper an overview is given of their key
and certificate life cycle management together with suggestions
on fixing the current issues they have with its implementation.
Finally, the on-board devices are still using insecure protocols
to communicate with each other. To mitigate this without
changing the protocols or the software that use them a secure
tunnel has to be set up between the on-board devices. For this
there were two options: SSH tunnels or OpenVPN. A
comparison, both security and performance wise, is made
between the two to find out which suites best. |
---|