ЖУРНАЛ «СТА» 4/2018

СТА 4/2018 ОБЗОР /ПРОМЫШЛЕННЫЕ СЕТИ В ВЕДЕНИЕ Как было упомянуто в [1], тщатель- ная и глубокая проверка данных (DPI), передаваемых по промышленной Ethernet-сети, является узконаправлен- ным механизмом защиты, который поз- воляет нейтрализовать угрозы, направ- ленные на оконечные устройства, функционирующие на базе широко из- вестных промышленных протоколов. В данной части статьи рассмотрим бо- лее подробно популярный протокол EtherNet/IP, методы его защиты на базе DPI, а также её реализацию на базе про- мышленного DPI-брандмауэра Tofino Xenon и модуля Tofino EtherNet/IP Enforcer LSM. П РОТОКОЛ E THER N ET /IP EtherNet/IP – это промышленный протокол, который фактически адапти- рует известный протокол CIP (Common Industrial Protocol) для использования в сетях Industrial Ethernet. При этом, если мы рассматриваем любые аспекты управления, контроля и обеспечения безопасности, то необходимо углубить- ся не только в заголовки протокола EtherNet/IP, но и в структуру протоко- ла CIP, представляющую собой доста- точно сложную для понимания объ- ектно-ориентированную модель. Как и в случае с Modbus TCP [1], EtherNet/IP – это протокол CIP (Common Industrial Protocol), который «упакован» в Ethernet-пакет. Но в отли- чие от Modbus CIP является достаточно гибким протоколом для приложений промышленной автоматизации, он включает в себя комплексный набор сервисов для систем АСУ ТП: сбор па- раметров, контроль, синхронизация и т.д. И для общего понимания организа- ции защиты необходимо уяснить базо- вые принципы работы протокола. Рас- смотрим протокол CIP более подробно. Протокол CIP CIP-протокол изначально был пред- ставлен ассоциацией ODVA (Open DeviceNet Vendors Association), в кото- рую входят более чем 300 участников из различных стран. Он позволяет создать единую коммуникационную систему в масштабах как отдельного производ- ственного процесса, так и предприятия Сергей Воробьёв Данный материал продолжает цикл статей, посвящённых многоуровневой защите промышленных Ethernet-сетей на базе принципа “Defense in Depth”. В статье рассмотрен ряд базовых уязвимостей промышленного протокола EtherNet/IP, а также методы его защиты, основанные на глубокой инспекции трафика. 28 www.cta.ru “Defense in Depth” в действии. Уровень 4: защита промышленных протоколов Часть 2 ПЛК Другие устройства ПК для задания конфигурации Устройства ввода/вывода Пускатель Преобразователь частоты Контроллер двигателя Устройства ввода Промышленная сеть на базе протокола CIP Датчик Сканер штрих-кодов Рис. 1. Группа промышленных устройств, использующих протокол EtherNet/IP и CIP для взаимодействия