СТА 3/2018

Inspection. SPI можно дословно переве- сти как инспекция пакетов с хранением состояния. Брандмауэр, в котором за- явлена поддержка SPI, является пакет- нымфильтром, анализирующим данные на транспортном уровне модели OSI. Изначально технология SPI создава- лась, исходя из необходимости защи- тить сессию протокола TCP/IP. Когда протокол ТСР создаёт сессию с другим сетевым устройством, используется определённый порт на устройстве с про- тивоположной стороны, также открыва- ется порт на исходном устройстве-от- правителе. В соответствии со специфи- кацией ТСР-порт отправителя будет не- которым числом, большим чем 1023 и меньшим чем 16384. Порт назначения на удалённом устройстве имеет фикси- рованный номер. Например, для SMTP это будет 25, для Modbus TCP – 502. Смысл SPI – это реализация пакетного фильтра, который должен разрешать ли- бо запрещать трафик по определённым портам. Один из примеров настройки правила для пакетного фильтра (не SPI и DPI) – это разрешение на пропуск всего входящего трафика для портов с большими номерами, так как это будут возвращаемые пакеты от системы на- значения. Но подобное открытие пор- тов создаёт риск несанкционированно- го проникновения в локальную сеть [2]. Брандмауэры с поддержкой SPI ре- шают эту проблему путём создания списка для исходящих ТСР-соедине- ний, соответствующих каждой сессии. Данный список затем используется для проверки допустимости любого входя- щего трафика. В сущности, если у брандмауэра заявлена функциональ- ность SPI, это добавляет анализ транс- портного уровня в архитектуру пакетно- го фильтра. Пример подобного бранд- мауэра был описан в статье [3]. Как пра- вило, подобная функциональность не- обходима на границе сети. Немного иной принцип работы у брандмауэров с поддержкой Deep Packet Inspection. DPI – это глубокая проверка данных не только на сетевом и транс- портном уровне, как в случае с SPI, но и проверка на всех вышестоящих уров- нях модели OSI, включая прикладной (рис. 2). Это очень ресурсозатратный про-цесс, который, как правило, требует существенных вычислительных мощно- стей. При этом зачастую возникает во- прос относительно того, откуда брать данные и что анализировать? Сейчас су- ществует ряд подходов, которые исполь- зуют разработчики DPI-систем, один из самых распространённых – это получе- ние данных из SPAN-порта коммутатора (Switch Port Analyzer). Подключив к нему мощную платформу для проверки и ана- лиза трафика, можно выявить многие процессы, происходящие в сети. Но это решение не всегда является хорошим, так как при анализе данных необходимо чётко понимать структуру сети, какие именно данные проходят в данном сег- менте сети, что является входящим и ис- ходящим потоком данных, а также отку- да их нужно брать. При этом знание про- токола передачи должно быть достаточ- но глубоким и применимым в реальной системе. Если рассмотреть популярный промышленный протокол Ethernet/IP (EIP – Ethernet Industrial Protocol), кото- рый используется в сетях ControlNet и DeviceNet, то можно констатировать, что для анализа данных, помимо стандарт- ного ряда параметров, присущих любой Ethernet-сети, необходимо учитывать до- статочно большое количество служебной информации, передающейся в пакете (Class ID, Member ID, Service ID, Con- nection Point, Port Seg Number, Data Seg Number, CIP service, Instance ID и т.д.) Подобный перечень индикаторов по- тенциально вредоносных действий мож- но обозначить практически для любо- го промышленного протокола. Помимо Ethernet/IP сюда можно отнестиModbus TCP, OPC Classic, DNP3, IEC104, GOOSE и т.д., и достаточно большое ко- личество проприетарных протоколов, данные которых могут быть скомпроме- тированы, например, WAGOCODESYS, S7-COMM, Emerson DeltaV и т.д. В итоге можно констатировать, что DPI – это комплексная и сложная про- верка на уровне данных, которые несут полезную нагрузку в промышленных протоколах. Для её реализации необхо- димо чётко понимать структуру переда- ваемой информации, как на уровне стандартов, так и на уровне возможных отклонений от них, а также присутствие их в том или ином сегменте сети. При этом помимо проверки данных необхо- димо анализировать полученную ин- формацию о нетипичном поведении протоколов, вовремя сигнализировать об этом поведении и предотвращать по- добные ситуации. T OFINO X ENON – НЕВИДИМЫЙ ЗАЩИТНИК ПРОМЫШЛЕННЫХ ПРОТОКОЛОВ Одним из примеров устройства, в ко- тором реализована технология DPI, яв- ляется программно-аппаратный ком- плекс Tofino Xenon . Комплекс состоит из аппаратной платформы и программного обеспечения. Аппаратная платформа реализована в промышленном исполне- нии, при этом является конфигурируе- мой и позволяет подстроиться под суще- ствующую сетевую инфраструктуру. Комплекс устанавливается в разрыв сети и может быть оснащён как оптическими, так и медными портами типа RJ-45 со скоростью до 100 Мбит/с. Из важных особенностей аппаратной части можно отметить пропускную способность, ко- торая составляет 2000 пакетов в секунду, а также то, что комплекс является пол- ностью прозрачным на сетевом уровне, ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И СТА 3/2018 Фильтр по порту получателя Фильтр по MAC-адресу Фильтр по IP-адресу Протоколы верхних уровней Ethernet IP TCP FCS Нечитаемая часть Что традиционный брандмауэр может «понять» и отфильтровать Фильтр по порту получателя Фильтр по MAC-адресу Фильтр по IP-адресу Данные Ethernet Протокол SCADA IP TCP FCS Команды, сервисы, объекты Что брандмауэр с DPI может «понять» и отфильтровать 23 www.cta.ru Рис. 2. Отличия принципа работы DPI-брандмауэра от традиционного Рис. 1. Внешний вид брандмауэра Tofino Xenon