СТА 3/2018

СТА 3/2018 ОБЗОР /ПРОМЫШЛЕННЫЕ СЕТИ В ВЕДЕНИЕ Тщательная и глубокая проверка дан- ных, передаваемых по промышленной Ethernet-сети, является следующим уров- нем защиты согласно принципу “Defense in Depth” [1]. Фактически это узкона- правленный механизм защиты, который позволяет нейтрализовать угрозы, на- правленные на оконечные устройства. Известно, что датчики, ПЛК, HMI – это устройства, которые функциони- руют на базе хорошо известных про- мышленных протоколов Modbus TCP, Ethernet/IP, DNP3 и других. И если ана- лизировать IP-пакет данных, например, протоколаModbus TCP, с которым рабо- тает датчик или ПЛК, то можно конста- тировать, что вся необходимая служеб- ная информация находится внутри па- кета. Если злоумышленник или вредо- носное ПО использует узкоспециализи- рованные шаблоны атак, которые на- правлены на изменение передаваемых данных внутри промышленных прото- колов, то это может привести не только к полной потере контроля над оконечны- ми устройствами, но и к компрометации передаваемых данных. Практических примеров подобных инцидентов доста- точно много, начиная от воровства топ- лива на АЗС путём передачи ложных данных о температуре окружающей сре- ды, заканчивая выходом из строя крити- чески важных узлов и агрегатов про- мышленного предприятия. Наглядной демонстрацией последнего может слу- жить широко известный промышлен- ный вирус Stuxnet, а также авария на ста- лелитейном заводе в Германии. В первом случае это привело к выходу из строя центрифуг для обогащения урана, во втором к застыванию доменной печи. Методики защиты, описанные в пре- дыдущих статьях цикла, позволяют обеспечить защиту от самых многочис- ленных и разнообразных угроз, но если атака направлена на протокол передачи данных, на изменение служебной ин- формации, содержащейся в передавае- мых пакетах, и атакующий уже получил доступ к сети, то нужен иной инстру- мент анализа и защиты. Средства, осно- ванные на использовании классическо- го L3- или L2-брандмауэра, не позво- ляют это реализовать, так как принцип их работы основан на проверке заголов- ка в начале пакета либо фрейма. Бранд- мауэр, функционирующий на уровне L3, согласно модели OSI позволит вне- сти ограничение на уровне порта, на- пример, полностью закрыть протокол Modbus TCP путём ввода ограничений на передачу по порту 502. Это даст воз- можность отключить множество ненуж- ных клиентов от оконечных устройств, но не предотвратит передачу ложных данных. Необходим иной подход, кото- рый позволит «залезть» внутрь пакета и проанализировать передаваемые дан- ные на уровне регистров протокола. Ре- шение, которое поможет преодолеть данную проблему и защитить оконечное устройство, – это проверка пакетов дан- ных (packet inspection). Осуществлять её необходимо непосредственно на верх- них уровнях модели OSI при помощи специализированных брандмауэров. При работе подобного устройства каж- дый пакет передаваемых данных пол- ностью распаковывается и проверяется на уровне протоколов и полезной на- грузки. А задержки, которые очень кри- тичны в промышленной сети, должны быть сведены к минимуму. Далее в качестве примера подобного брандмауэра рассмотрим функциональ- ность программно-аппаратного ком- плекса Tofino Xenon от компании Hirschmann (рис. 1), который позволяет защитить не только промышленные, но и проприетарные протоколы различных устройств, работающих по Ethernet-сети. SPI И DPI: В ЧЁМ РАЗЛИЧИЕ ? Начнём с того, что сейчас встречаются два достаточно близких термина, отно- сящихся к проверке данных, которые со- держатся в IP-пакетах, это SPI – Stateful Packet Inspection и DPI – Deep Packet “Defense in Depth” в действии. Уровень 4: защита промышленных протоколов Часть 1 Сергей Воробьёв Данный материал служит продолжением цикла статей, посвящённых многоуровневой защите промышленных Ethernet-сетей на базе принципа “Defense in Depth”. В статье рассмотрен ряд базовых уязвимостей промышленных протоколов Modbus TCP и OPC Classic, а также методы защиты, основанные на глубокой инспекции трафика. 22 www.cta.ru