ЖУРНАЛ «СТА» 1/2019

нарий позволяет получить информа- цию о топологии сети, функционально- сти устройства, адресах памяти и других данных. Эта атака может привести к то- му, что будет осуществлён перехват как основных данных, так и информации о топологии сети. Baseline Response Replay (повторение базового ответа): данная методика ата- ки сводится к тому, что атакующий ПК либо вредоносное ПО имитирует отве- ты ведущему устройству при отправке ложных сообщений на внешние устрой- ства. При этом возможны различные варианты, начиная от прерывания веду- щего устройства, заканчивая передачей ложных данных. Rogue Interloper: атакующий ПК уста- навливает устройство типа «человек по- середине» между ведущим устройством и удалёнными станциями, которые мо- гут читать, изменять и создавать DNP3- сообщения. Используя данные подходы, можно скомпрометировать данные на каждом из трёх уровней. Для примера рассмотрим прикладной уровень. Прикладной уровень обеспечивает основную функциональность для си- стем, работающих на базе протокола DNP3, и, как правило, наибольшее ко- личество угроз и атак связано именно с ним. Рассмотрим несколько наиболее популярных атак. Outstation Write Attack. При реали- зации данной атаки происходит отправ- ка DNP3-сообщение с кодом функ- ции 2, который приводит к записи объ- ектов данных в удалённое устройст- во. Атака может изменить информа- цию, хранящуюся в памяти устройства, что приведёт к ошибкам или, что бо- лее вероятно, к переполнению буфера памяти. Clear Objects Attack. Эта атака реализу- ется при отправке сообщения с кодом функции 9 или 10, чтобы «заморозить» или стереть объекты данных. Атака мо- жет очистить критические данные или привести к сбою удалённого устройства. При этом подобная атака с использова- нием кода функции 10 является наибо- лее проблематичной, так как сообще- ние с этим функциональным кодом не требует подтверждения. Outstation Data Reset. Сообщение DNP3 с кодом функции 15 заставляет оконечное устройство повторно ини- циализировать объекты данных, сбро- сить к их изначальным значениям, не соответствующим текущему состоянию системы. Outstation Application Termination. Если атакующий отправит DNP3-сообщение с кодом функции 18, который исполь- зуется для прекращения работы прило- жений, выполняющихся на удалённых устройствах, то устройство перестанет отвечать на обычные запросы от ма- стер-устройства. Configuration Capture Attack. Данная атака отправляет сообщение, которое указывает на повреждение файла кон- фигурации. Атака заставляет ведущее устройство передать новый файл кон- фигурации, который затем можно пере- хватить. Дальнейшее развитие сценария предполагает выполнение отдельной атаки, нацеленной на изменение файла конфигурации и загрузку на целевое удалённое устройство. Описанные типы атак являются лишь небольшой частью из возможных [8]. При этом они могут исходить как от ре- ального злоумышленника, так и от не- правильно сконфигурированного ПО или написанного кода. Для обеспече- ния защиты протокола необходим глу- бокий анализ, который позволит соз- дать фильтры, способные обеспечить требуемую защиту. DNP3 E NFORCER LSM Модуль DNP3 Enforcer LSM отвечает за анализ трафика протокола DNP3. Пользователю доступен графический интерфейс (рис. 6), который предна- значен для создания необходимой кон- фигурации брандмауэра. Как и в случае с остальными модулями, анализ DNP3- трафика можно контролировать для каждого соединения. На рис. 6 показан набор правил. Он включает ряд дополнительных возмож- ностей по анализу протокола DNP3: ● Sanity Check – проверка DNP3- трафика на полное соответствие спе- цификации; ● Reset TCP – отправка сообщения TCP-reset в случае, если пакет не был пропущен; ● Reset TCP Debug позволяет генериро- вать отладочное сообщение при от- правке сообщения сброса сессии; ● Check CRC – проверка контрольной суммы CRC, как в заголовках каналь- ного уровня, так и на прикладном уровне протокола DNP3; данная про- верка реализована на аппаратном уровне и не сказывается на быстро- действии брандмауэра; ● Check Outstation Traffic – проверка пакетов, исходящих от удалённых устройств (Outstation Devices). З АКЛЮЧЕНИЕ Концепция Defense in Depth, опи- санная в предыдущих статьях цикла, является одним из методов обеспече- ния безопасности сети промышленно- го объекта. Реализация всех четырёх этапов [9] позволит существенно повысить за- щиту, взлом которой будет представ- лять очень сложную задачу для атакую- щего. Глубокая проверка данных – это под- ход, позволяющий обеспечить защиту тех протоколов, которые в принципе не имеют механизмов защиты. Протоко- лы IEC 104, GOOSE и DNP3, уязви- мость которых была описана в данной статье, применяются в энергетике и яв- ляются базовыми для многих промыш- ленных предприятий. ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И СТА 1/2019 42 www.cta.ru Рис. 6. Настройка DPI-фильтра для протокола DNP3