【专家博客】SCADA安全和深度数据包检测DPI(一)
之前我已经多次提到过深度数据包检测(DPI)以及它对SCADA/ICS安全为什么重要的原因(见网闸无法阻止Stuxnet的变异病毒)。现在的问题是,我从未描述过DPI到底是什么。所以在今天的博文中,我会回过头来解释DPI防火墙技术都包括什么。
防火墙的一些基本要素
为了更好地理解DPI,首先要了解传统的IT防火墙是如何工作的。防火墙只是一个监测、控制网络内或网络间通讯流量的设备。它先要捕捉流经它的通讯,然后把这些通讯与预定义的一套规则(也就是所谓的访问控制表ACL)进行对比。任何与ACL不匹配的信息都会被丢弃。
传统的IT防火墙允许ACL检查一条信息的三个主要方面1。
1. 发送信息的计算机的IP地址(即源IP),
2. 接收信息的计算机的IP地址(即目标IP),
3. IP帧中“TCP目的端口号”所定义的上层协议。
对于TCP目的端口号,需要进一步解释的是这些端口不是物理端口,如以太网端口,而是嵌入在每个TCP或UDP信息中用来识别信息携带的应用协议的特殊号码。例如,Modbus/TCP使用502端口,HTTP使用80端口。这些号码已在互联网地址编号分配机构(IANA)注册,很少变更。
结合起来看的话,假设你只允许IP地址为192.168.1.10的客户端到IP地址为192.168.1.20的web服务器之间的web通讯(即HTTP通讯)。你可以写这样一条ACL规则:
“Allow Src=192.168.1.10 Dst=192.168.1.20 Port=HTTP”
然后将这一ACL装载到防火墙中,任何信息只要满足这三个条件就允许通过。或者如果你想阻止所有的Modbus通讯通过防火墙的话,你只需在目的端口区域定义一条阻止所有包含502端口的数据包的规则就可以了。看起来很简单,对吗?
问题是: SCADA/ICS协议本身没有细粒度控制
这个简单计划的问题在于它的黑白分明。你要么允许某一协议,要么阻止它。协议的细粒度控制是不可能的。这一点很不好,原因在于SCADA/ICS协议本身并没有细粒度控制。从端口号的角度看,数据读取信息酷似固件升级信息。所以如果你允许从HMI到PLC的数据读取信息通过传统的防火墙,同时也就允许了编程信息通过防火墙。这是一个严重的安全问题。
解决方案:深度数据包检测
很明显防火墙需要更深入地探究协议,确切地理解该协议主要用于什么。这正是深度数据包检测的工作内容。在应用传统的防火墙规则后,防火墙检查信息内容并应用更详细的规则。
例如,Modbus DPI防火墙(如霍尼韦尔的Modbus只读防火墙2)可以决定Modbus信息是读信息还是写信息,然后丢弃所有的写信息。一个好的DPI防火墙也能针对非法格式的信息以及异常行为(如10,000个应答信息都是响应的单个请求信息)对通讯进行完整性检查。这些异常信息都表明黑客创建的通讯正试图破坏PLC,必需被阻止。
在SCADA安全中应用DPI的案例
SCADA/ICS通讯的细粒度控制可以显著提高系统的安全性和可靠性。
例如某个航道管理公司的案例。该公司在其所有的控制水闸和桥梁处都使用施耐德PLC来确保船只和车辆交通的安全。确保这些PLC不被篡改对于保障船只以及在桥上行驶的公众的安全是至关重要的.
公司面临的问题是一些操作计算机需要持续访问PLC来获取数据。但是,只有特殊的控制计算机才允许发送指令,影响设备的操作。传统的密码或IT防火墙解决方案并不安全,因为它们不能提供必要的细粒度控制。
实际应用的解决方案是使用Modbus DPI防火墙3来控制所有到PLC的通讯。只允许Modbus读信息到达PLC(除了少数高度安全的电脑外)。所有的远程Modbus编程命令都被阻止,只有现场工程师才有编程权限。总共在24个位置安装了54个DPI防火墙,系统从2008年年底运行以来从未出现过故障。
是时候采用超越传统防火墙的技术来保障SCADA的安全了
通过简单地阻止或允许网络间的整个类别的协议已无法满足现代SCADA/ICS操作。我们的系统所依靠的协议太强大太不安全。是时候考虑怎样应用DPI这样的技术来使我们的系统更安全更可靠了。
1、 从技术上来讲,典型的IT防火墙也可以检查其他区域,但是这三个区域占据了99.9%的防火墙规则。
2、 霍尼韦尔的Modbus只读防火墙产品是由多芬诺和 MTL共同开发的。
3、 使用的Modbus DPI防火墙由多芬诺TSA和Modbus TCP Enforcer firewall共同组成。
投诉建议
提交
能源领域网络安全框架实施指南(英文版)
【指导手册】有效网络防御的关键控制
【操作指南】SCADA与过程控制网络防火墙配置指南
【指导手册】控制系统安全实践汇编
【操作指南】工业控制系统(ICS)安全指南