ЖУРНАЛ «СТА» 1/2019

IEC 60870. Он предназначен для ин- формационного обмена между энерго- системами, а также для получения дан- ных от измерительных преобразовате- лей. Протокол определяет профиль свя- зи для отправки базовых сообщений те- лемеханики между двумя системами че- рез сеть, работающую на базе стека про- токолов TCP/IP, что позволяет одно- временно передавать данные между не- сколькими устройствами и службами (рис. 1). В ряде документов было описано, что организация безопасности IEC 104 яв- ляется проблематичной [2, 3], так как в протоколе довольно много слабых сто- рон, связанных с отсутствием шифро- вания данных и недостаточной провер- кой подлинности. Фактически, имея доступ к сети, можно захватывать и пе- редавать ложные данные. Проблемы безопасности протокола связи IEC 104 можно определить следующим образом: ● отсутствие поля контрольной суммы; ● отсутствие встроенных механизмов безопасности на канальном уровне и уровне приложений; ● отсутствие возможности увеличения длины пакета – протокол IEC 104 под- разумевает передачу только 255 бай- тов информации в любой момент времени, это косвенно ограничива- ет количество битов, которые могут быть использованы для реализации функций безопасности во время пе- редачи данных. Не так давно IEC (Международная электротехническая комиссия) опубли- ковала стандарт безопасности IEC 62351, который описывает меры по за- щите серии протоколов IEC 61850. В их числе описаны методы для аутентифи- кации и шифрования, которые направ- лены на увеличение уровня защищён- ности протокола от возможных кибер- атак, таких как «человек посередине», инжекция трафика и т.п. Но, к сожале- нию, меры, которые описаны в IEC 62351, являются сложнореализуемыми и достаточно редко внедряются, осо- бенно на уже существующих объектах. У ЯЗВИМОСТИ ПРОТОКОЛА IEC 104 Многие промышленные протоколы, включая IEC 104, не имеют механизма аутентификации, а также у них отсут- ствует механизм шифрования. Это по- тенциально добавляет возможность из- менять данные в пакетах со служебной информацией. На рис. 2 показан сценарий атаки, в результате которой атакующий ПК мо- жет вклиниться в поток данных и изме- нить значимые параметры. Если разбить подобный сценарий на этапы, то полу- чается следующая последовательность: Этап 1 – проникновение в сетевую структуру. Этот шаг может быть осу- ществлён как изнутри сети, так и из-за её пределов. Фактически это сбор ин- формации о сети путём использования таких методов, как разведка (Foot printing), сканирование и т.д. Для про- тиводействия подобной деятельности необходимо правильно сконфигуриро- вать средства защиты на границе сети [4]. Например, не отключённый порт в Ethernet-коммутаторе – это типичная возможность проникнуть в сетевую структуру. Этап 2 – получение доступа к трафи- ку промышленной сети. Основной целью этого этапа является получение доступа к контролю служебного трафика. Это может быть реализовано путём прове- дения атак канального уровня, напри- мер, «человек посередине» или отравле- ние ARP-кэша. Более подробно описа- но в [5]. Этап 3 – обнаружение устройств IEC 104. Основная цель данного этапа – это обнаружение подключённых устройств, которые работают по протоколу IEC 104. Это можно сделать одним из двух способов – пассивным или активным. Пассивный подразумевает прослуши- вание и анализ всех полученных паке- тов. Активное обнаружение – это от- правка как целенаправленных запро- сов, так и сканирование сетевого про- странства на предмет наличия устройств, работающих с протоколом IEC 104. Этап 4 – сброс существующей сессии TCP. IEC 104 создан специально для ра- боты по стеку протоколов TCP/IP. TCP- соединения используются для всех ком- муникаций протокола IEC 104. Одно- временно к главной контролирующей станции, мастер-устройству, могут под- ключаться несколько подчинённых устройств, но для передачи данных мо- жет использоваться только одно актив- ное соединение. Для внедрения ложной команды в существующее соединение необходимо, чтобы действующее TCP- соединение было прервано. В дальней- шем атакующий ПК должен создать по- стоянное TCP-соединение. Этап 5 – создание постоянного TCP- соединения с устройством IEC 104. Для отправки данных необходимо обеспече- ние непрерывного соединения с целе- вым устройством. В противном случае данные будут отклонены принимающей стороной, так как порядок передачи данных будет нарушен. Этап 6 – отправка ложных данных. На этом этапе целевое атакуемое устрой- ство уже известно, как и пул адресов контрольных точек. Фактически не- обходимо создать корректное сообще- ние IEC 104. Также стоит упомянуть, что отправ- ленная команда IEC 104 обычно гене- рирует несколько ответных сообщений. Например, если мастер-устройству по- требуется совершить модификацию на одном из оконечных устройств, то для этого необходимо отправить адресату сообщение типа «управляющая коман- да». Принимающая сторона должна от- ветить на это сообщение. Далее про- исходит генерация и отправка несколь- ких ответных сообщений в процессе и после выполнения команд. С первого приближения может показаться, что данный сценарий является достаточно сложным для реализации. Но в сети ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И СТА 1/2019 35 www.cta.ru Рис. 2. Пример атаки на протокол IEC 104 Атакующий ПК 1 Проникновение в сетевую структуру 3 Обнаружение устройств IEC 104 5 Создание постоянного TCP-соединения с устройством IEC 104 4 Сброс существующей сессии TCP 6 Отправка ложных данных 2 Получение доступа к трафику промышленной сети Инженерная станция Локальный пульт Человеко- машинный интерфейс Устройство связи с объектом