【知识分享】如何登录控制系统LAN_控制系统LAN_黑客攻击

【知识分享】如何登录控制系统LAN

2013/10/17 14:36:44

如何登录控制系统LAN

本文档由美国工业控制系统网络应急响应小组（ICS-CERT)发布，由青岛多芬诺信息安全技术有限公司负责翻译整理。

攻击者首先要完成的一件事是绕过防线获得控制系统局域网的访问权限。如今大多数控制系统网络已不能通过因特网进行远程登录。多数行业的通用做法是将公司业务局域网和控制系统局域网用防火墙隔离开。这一做法不仅能够防御黑客攻击，还防止了控制系统网络受到断电、病毒及发生在公司业务网络的其他恶性事件的影响。多数黑客可以直接运用现有的攻击工具突破防护。黑客们获得权限的常规方法有好多种，而在常规路径之外的攻击方法更是不计其数。

常规网络架构

图3：双防火墙架构

在多数控制系统中有三种常见的网络架构。企业会根据他们所处的环境对自身网络结构稍作变动。在设置好恰当的防火墙、入侵检测系统和应用层权限后这三种结构都是安全可靠的。到目前为止，最常见的网络架构是图3所示的双防火墙结构。其中一个防火墙保护业务局域网免受互联网的影响，另一个独立防火墙用于保护控制系统局域网免于公司业务局域网的影响。业务层防火墙由公司IT员工来管理而控制系统防火墙则由控制系统员工来管理。

图4：将控制系统网络设为非军事区

第二种常见的网络架构是将控制系统网络设为业务局域网之外的非军事区（见图4）。即只设有一个由公司IT员工管理的防火墙，用于保护控制系统局域网免于公司局域网或互联网的影响。

大型DCS系统通常需要部分地借助于公司网络进行不同控制系统局域网之间的沟通（见图5）。每个控制系统局域网通常有自己的防火墙用于避免受到公司业务网影响，并在进程通信消息通过业务局域网时采取加密保护。这些防火墙通常是由控制系统部门和IT部门共同管理的。

图5：以业务局域网为分界区

图6：数据共享区

现在的一种新趋势是在公司局域网与控制系统局域网之前设置数据共享区（见图6）。这就增加了一层防护，因为这样一来通信消息就不能直接从控制系统局域网通向业务局域网。数据共享区附加功能的实现要看其具体如何实施的。

拨号连接RTU

图7：拨号连接RTU

进入网络最常用的手段之一是直接拨号连接现场设备的调制解调器（见图7）。在主高速线缆无法工作时，调制解调器被当作备用通信手段使用。黑客们会拨出城市内所有的电话号码寻找调制解调器。更有甚者，有的黑客还拨打公司内的每一个分机号码搜索公司电话系统关联的调制解调器。大多远程终端设备（RTU）能够识别出自身设备及其制造商，且无需认证或密码进行身份验证。因而用默认密码搜索到RTU的现象在此领域很常见。

黑客们必须懂得如何读取RTU协议才能控制RTU。这种控制通常都能实现，但并非每次都成功，这取决于单一变电站。

供应商支持

图8：供应商支持

大多控制系统都有供应商支持协议。当系统出现故障或需要更新时就需要供应商支持。最常见的供应商支持手段之一是拨号调制解调器和PCAnywhere软件（见图8）。近年来，这种手段已演变为通过VPN登录控制系统局域网。黑客会试图登录供应商内部资源库或现场笔记本电脑，并以此连接控制系统局域网。

IT通信控制仪

图9：IT通信控制仪

通常而言，协商与维护远程通信线路是公司IT部门的职责范围。一般在此情况下，从公司局域网中能够找到不止一条可控制或可管理的通信路径。用于微波链路和光纤传输的多路复用器是最常用的选择。水平高的黑客可以调整通信组件或对其重新组态，进而控制现场通信（见图9）。

公司VPN

图10：公司VPN

多数控制系统包含某些机制，可以允许公司局域网的工程师们登录控制系统局域网。最常用的机制就是用VPN方式通过控制网防火墙（见图10）。黑客会先试图控制某一台机器，然后等合法使用者通过VPN登录进控制系统局域网后再控制此连接通道。

数据库链接

图11：数据库链接

几乎每个生产管理控制系统的信息都要录入受公司LAN监控的控制系统LAN数据库。通常管理者们会花大量的时间设定防火墙规则，但不会在数据库环境安全防护上下功夫。高水平的黑客可以登录公司LAN数据库并使用专门撰写的SQL语句掌控控制系统LAN数据库服务器（见图11）。如果没有进行恰当的设置用来阻挡攻击，那几乎目前所有的数据库都可能遭受此类攻击。

配置不当的防火墙

由于历史或政治方面的原因，防火墙的设置可能存在问题。常规防火墙缺陷包括：1. 能够允许微软网络数据包通过；2. 在公司LAN设置了受信任的主机。最常见的配置问题是没有提供输出数据的规则。这就使得黑客能够窃取有效荷载到任何一台控制系统机器上然后从控制系统LAN向公司LAN或互联网发送信息（见图7）。

同路的应用链接