ЖУРНАЛ «СТА» 1/2019

Internet уже опубликовано достаточно много исследований и примеров раз- личных сценариев атак на протокол IEC 104 [2]. Отсутствие механизмов защиты про- токола IEC 104 от атак различных уров- ней может привести к тому, что критиче- ски важные инфраструктурные объекты и системымогут столкнуться с достаточ- но серьёзными угрозами кибератак. IEC 104 E NFORCER LSM Модуль IEC 104 Enforcer LSM являет- ся дополнительным загружаемым моду- лем в устройство Tofino Xenon и предна- значен для глубокой инспекции трафика (DPI – Deep Packet Inspection) протоко- ла IEC 60870-5-104. Как было обозначе- но ранее, протокол IEC 104 не обладает достаточным уровнем защиты, механиз- мы аутентификации и шифрования от- сутствуют, в связи с чем подход с глубо- кой аналитикой трафика и настройкой комплексных фильтров – это один из методов, который позволит существен- но повысить уровень безопасности. На рис. 3 представлен графический интерфейс среды Tofino Configurator модуля IEC 104 Enforcer LSM. Помимо точного задания адресатов путём указа- ния связки MAC/IP-адрес пользовате- лю доступны следующие настройки DPI-фильтра: ● Type ID определяет допустимые иден- тификаторы ID для входящего трафи- ка протокола IEC 104; возможно соз- дание различных типов групп: Read Only, Read/Write, Common и т.д.; ● Ordinator Address –перечень устройств, которые могут отправлять пакеты; ● CommonAddress –перечень устройств, которые принимают пакеты; ● Sanity Check – проверка трафика на полное соответствие спецификации; ● Reset – отправка сообщения TCP-reset в случае, если пакет не был пропущен. Настроив фильтр при помощи дан- ных параметров, можно существенно снизить риск возникновения нештат- ной ситуации для различных оконеч- ных устройств. GOOSE GOOSE (Generic Object-Oriented Substation Event) является также прото- колом, который особенно востребован в энергетике, в частности, на подстан- циях. Как и IEC 104, он является стан- дартом МЭК 61850 и описан в главе МЭК 61850-8-1. Фактически это надёж- ный сервис, предназначенный для об- мена сигналами между устройствами релейной защиты и автоматики (РЗА). Архитектура современных систем РЗА построена с применением цент- ральной шины процесса – Process Bus (рис. 4), которая обеспечивает комму- тационную связь устройств, входящих в состав системы РЗА [6]. Как и все описанные ранее прото- колы, GOOSE использует в качестве транспорта Ethernet-сеть. При этом GOOSE-протокол использует механизм многоадресных сетевых рассылок на канальном уровне модели OSI и слу- жит для передачи данных реального времени. Передача информации GOOSE-со- общениями реального времени накла- дывает жёсткие ограничения на время доставки пакетов (до 4 мс). В качестве устройств коммутации трафика применяются промышленные Ethernet-коммутаторы, которые адап- тированы к передаче больших по объё- му GOOSE-сообщений. Как правило, если коммутатор имеет сертификацию IEC 61850, то приоритет передачи GOOSE-сообщений установлен на мак- симальный уровень по умолчанию. При этом никакой аутентификации и шиф- рования в базовой реализации GOOSE- протокола не предусмотрено. Имея до- ступ к шине процесса, можно передать любую ложную информацию. Но в отличие от многих других прото- колов ситуация с GOOSE не такая пла- чевная: в стандарте МЭК 62351 «Защита информации и данных» 6-я глава которого посвящена безопасности про- филей обмена данными МЭК 61850 (GOOSE), описано использование циф- ровой подписи, которая подтверждает целостность данных и однозначно опре- деляет отправителя сообщения. Соглас- но МЭК 62361 цифровая подпись фор- мируется по RSA-алгоритму и приме- няется не ко всему сообщению, а к его хэш-сумме, вычисленной по алгоритму SHA-256 [6]. Но если проанализировать, какие за- держки будет вносить данная реализа- ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И СТА 1/2019 36 www.cta.ru Рис. 3. Настройка DPI-фильтра для протокола IEC 104 Интеллектуальное электронное устройство защиты Process Bus GOOSE Сигналы управления Интеллектуальное электронное устройство управления Интеллектуальное электронное устройство защиты Интеллектуальное электронное устройство управления Условное обозначение: Process Bus – центральная шина процесса. Рис. 4. Пример использования протокола GOOSE