ЖУРНАЛ «СТА» 4/2016

ды число промышленных систем управ- ления с высокой степенью уязвимости существенно увеличилось за счёт устройств, имеющих пароль для доступа к управлению, заданный по умолча- нию. Причины, по которым пароль и логин остаются неизменными, – это простота обслуживания, лёгкость уп- равления и восстановления системы при неполадках и интеграции с други- ми системами. С точки зрения удобства управления, это упрощает жизнь поль- зователям, но угрожает сетевой без- опасности. Правильным решением будет созда- ние списка имён пользователей и паро- лей, который может храниться как ло- кально на сетевом устройстве, так и уда- лённо на сервере авторизации (напри- мер, на сервере RADIUS – Remote Au- thentication in Dial-In User Service), и организация процедур аутентификации и авторизации пользователей (рис. 4). Рассмотрим процедуру аутентифика- ции на примере стандарта 802.1x [1] и протокола RADIUS [2]. Стандарт 802.1x определяет следующие элементы: ● субъект или клиент – устройство, которое должно получить доступ к сети; ● хозяин системы аутентификации (аутентификатор) – сетевое устрой- ство, например, управляемый комму- татор, которое принимает или блоки- рует запросы от субъекта; ● сервер аутентификации, который хранит учётные данные и осуществ- ляет аутентификацию пользователя. Аутентификатор использует инфор- мацию от сервера аутентификации (на- пример, RADIUS-сервера), чтобы определить, давать доступ клиенту или нет. RADIUS-сервер даёт доступ на ос- нове проверки учётных данных клиен- та или его физического (MAC) адреса. Диаграмма, показывающая этапы про- цесса аутентификации по протоколу RADIUS, показана на рис. 5. Если использование учётных данных (логина и пароля) невозможно – ис- пользуется простейшее устройство вво- да-вывода без человеко-машинного ин- терфейса, сетевой накопитель или дру- гое устройство без возможности уста- новки 802.1x-клиента и ввода логина и пароля, – тогда для аутентификации используется MAC-адрес такого устройства. Чтобы облегчить процесс замены вышедшего из строя оборудова- ния, для аутентификации можно ис- пользовать лишь первые три байта MAC-адреса, идентифицирующие про- изводителя устройства. Все устройства с интерфейсом Ethernet, производимые определённой компанией, имеют оди- наковые значения первых трёх байтов MAC-адреса. В случае выхода из строя конечного устройства, например ПЛК, его можно просто заменить новым того же про- изводителя из комплекта ЗИП, и оно продолжит работать в сети без огра- ничений. Если же поставить устройство другого производителя, трафик от него будет блокирован. Дополнительную степень защиты се- тевой инфраструктуры можно обеспе- чить, если зашифровать файл, в кото- рый записывается конфигурационная информация для сохранения на внеш- нем носителе (переносной флэш-нако- питель или адаптер ACA производства Hirschmann). Это несколько усложнит замену коммутатора в случае выхода его из строя, но затруднит доступ к файлу и конфигурационной информации воз- можному злоумышленнику. О БНАРУЖЕНИЕ КОНФЛИКТОВ IP- АДРЕСОВ Обнаружение двух одинаковых IP-ад- ресов в сети может означать, что зло- умышленник пытается обойти огра- ничение доступа к сети по IP-адресам или организовать DoS-атаку (Denial of Service – отказ в обслуживании), в ре- зультате которой рабочая станция опе- ратора промышленной сети может по- терять возможность контроля над сете- вым устройством. Конфликт IP-адресов также может быть результатом ошибки управляюще- го персонала (человеческий фактор), что само по себе является угрозой без- опасности сети. Есть два способа выявить ситуацию, когда IP-адрес коммутатора совпадает с адресом конечного устройства в се- ти или терминала управления. Пер- вый – заставить устройство (комму- татор) активно сканировать сеть с це- лью обнаружения такого же IP-адреса. Второй – настроить устройство на пассивный анализ сетевого трафика с целью поиска устройств с адресом, совпадающим с его собственным IP-ад- ресом. Оба способа реализованы в ви- де соответствующего алгоритма в ком- мутаторах Hirschmann, настройка про- изводится на странице Web-интерфей- са (рис. 6) или при помощи текстовых команд. В случае обнаружения другого уст- ройства с таким же адресом коммутатор попытается защитить свой адрес, сделав запрос конечному устройству на сме- ну адреса, который оно использует. Если устройство откажется менять ад- рес, тогда коммутатор перестаёт ис- пользовать конфликтный IP-адрес и выдаёт в систему мониторинга сообще- ние о конфликте. 96 СТА 4/2016 АППА РАТ НЫЕ С Р Е ДС Т В А / С Е Т Е ВОЕ ОБОР УДОВ АНИЕ www.cta.ru Рис. 4. Списки аутентификации пользователей и политик доступа в коммутаторах Hirschmann Рис. 5. Аутентификация пользователей в соответствии с 802.1x, протокол RADIUS LAN Хозяин системы аутентификации (коммутатор) Клиент аутентификации (RADIUS-клиент) 1. EAPoL – Cообщение об активации соединения 2. EAP – Запрос на аутентификацию 3. EAP – Ответ на запрос аутентификации 4. EAP – Запрос параметров аутентификации 5. EAP – ответ с параметрами аутентификации 6. EAP – Сообщение об успешной аутентификации или отказ 7. EAP – Запрос на выход из системы RADIUS – Запрос на доступ клиента (ЕАР – Ответ на запрос аутентификации) RADIUS – Разрешение на доступ или отказ (ЕАР – Сообщение об успешной аутентификации или отказ) RADIUS – Ответ на соглашение (ЕАР – Ответ с параметрами аутентификации) RADIUS – Соглашение о доступе (ЕАР – Запрос параметров аутентификации) Cервер аутентификации (RADIUS-сервер)