elementy projektu sieci Ethernet

bezpieczeństwo
Wydajność i bezpieczeństwo
– elementy projektu sieci Ethernet
W poprzednim numerze „Control Engineering Polska” omówiona została problematyka tworzenia
architektury sieci Ethernet i możliwych skutecznych zabezpieczeń. Tym razem zajmiemy się
szczegółowym opisem poszczególnych elementów proponowanego systemu ochrony.
Zuzanna Wieczorek
Kierownik działu technicznego
Tekniska Polska sp. z o.o.
Główne centrum
sterowania
Z
godnie z prezentowanym
w poprzednim numerze rozwiązaniem rolę IPS (Intrusion Prevention
System), czyli „antywłamaniowego” systemu obiektu, może pełnić Deep Packet
Inspection/Service-Aware Distributed Firewall. Postarajmy się rozszyfrować wszystkie skróty i opisać sposób działania oraz
znaczenie takiego urządzenia.
Pomocnicze centrum
sterowania
IPS. IDS. Ochrona inline i offline
Z punktu widzenia bezpieczeństwa
dobrym rozwiązaniem byłby lokalny miniPersonal Firewall, zainstalowany przy każdym urządzeniu końcowym. Z oczywistych względów nie jest to jednak opcja
praktyczna. W nowoczesnych projektach
bezpieczeństwa dla IT stosuje się wirtualne firewalle przeznaczone do każdej sta-
Topologia sieci stacji zdalnej
Urządzenie
DNP 3
System
wykrywania
włamań (IDS)
Radiflow
Urządzenie
DNP 3
IED
Sieć WAN
IED
IED
Inteligentne urządzenia
elektroniczne IED
Sieć energetyczna
Urządzenie DNP 3
Terminal RTU
Rys. 1. Zastosowanie serwera IDS bezpośrednio w obiekcie
48
CONTROL ENGINEERING POLSKA
Źródło: Tekniska Polska
Tap (opcjonalnie)
bezpieczeństwo
Stacja zdalna A
Główne centrum
sterowania
Sieć VPN oparta
na IPsec
Sieć VPN oparta
na IPsec
Miernik
Router Radiflow
z Firewallem
typu DPI
Terminal
RTU
Stacja zdalna B
System
wykrywania
włamań (IDS)
Radiflow
Funkcje:
• Rozproszona analiza DPI
• Dwuczynnikowa autoryzacja
przy kontroli dostępu
• Poświadczenie Proxy
• Nauka zachowania sieci
• Modele analityczne
dla łączności M2M
• Identyfikacja wirusów typu
Signature-based Detection
Sieć VPN oparta
na IPsec
Sieć Ethernet
Połączenie szeregowe
Router Radiflow
z Firewallem
typu DPI
Źródło: Tekniska Polska
Miernik
Terminal
RTU
Rys. 2. Zastosowanie IDS w centrum zarządzania
cji roboczej czy serwerów. W warunkach
przemysłowych nie ma możliwości instalowania wirtualnych maszyn na wszystkich urządzeniach końcowych, takich jak
sterowniki, zabezpieczenia itp. Alternatywą jest jednak zastosowanie zapór na
drogach komunikacyjnych pomiędzy urządzeniami. Takim rozwiązaniem jest firewall rozproszony, zintegrowany ze switchem/routerem i umożliwiający tworzenie niezależnych reguł i instancji dla
poszczególnych portów/urządzeń końcowych i kierunków. Service-Aware oznacza, że ten typ zapory jest w stanie filtrować ruch na poziomie aplikacji, a funkcjonalność Deep Packet Inspection (DPI)
umożliwia analizowanie i filtrowanie
zawartości ramek protokołów przemysłowych. Przykładem może być DPI Firewall
firmy RadiFlow, który zawiera wydajny
koprocesor do analizowania specyficznych protokołów oraz wewnętrzną magistralę łączącą go z niezależnym układem odpowiedzialnym za filtrowanie oraz
przełączanie ramek i pakietów. Dzięki
temu tylko wybrany ruch może być skierowany do koprocesora w celu analizy.
Obecnie koprocesor obsługuje Modbus,
IEC60870-5-104, IEC61850, DNP3,
ProfiNet, OPC, ale jest możliwe rozwinięcie funkcjonalności o obsługę dowolnego
dobrze zdefiniowanego protokołu.
DPI Firewall sprawdza:
 poprawność protokołu – strukturę
ramki, pola kontrolne vs. standard
LISTOPAD/GRUDZIEŃ 2015
Poprzez uczenie się topologii i tworzenie pełnego
modelu sieci w trakcie normalnej pracy, IDS jest
w stanie wykrywać anomalie oraz radzić sobie
ze złożonymi cyberatakami.
oraz to, czy sesja jest realizowana
zgodnie z wynikającą z protokołu
logiką (np. zapytanie od master/odpowiedź ze strony slave);
 poprawność logiki aplikacji – umożliwia realizację komunikacji tylko
w zdefiniowanym zakresie pomiędzy
poszczególnymi elementami sieci;
 anomalie – monitoruje ruch dla każdego z urządzeń w poszukiwaniu nadzwyczajnych zachowań, np. wykorzystania komend, które nie powinny być
w danym momencie realizowane, nietypowej charakterystyki ruchu itd.
DPI Firewall dodatkowo jest wyposażony
w funkcję RBAC (Role/Task Based Access
Control) Authentication Proxy, co oznacza,
że wspomaga uwierzytelnianie, w zależności od użytkownika i jego praw, zadania do zrealizowania oraz czasu, i umożliwia skorelowanie przydzielania dostępu
do zasobów z planami obsługi i serwisu
systemu (np. umożliwia wykonanie konkretnej akcji, dając czasowy dostęp kon-
kretnemu użytkownikowi do danego urządzenia).
Taka funkcja, w połączeniu z narzędziem do zarządzania siecią (RadiFlow
iSIM), oferująca operatorowi możliwość
stworzenia modelu aplikacji i komunikacji, który zostanie „przetłumaczony”
na reguły firewalla, zapewnia stosunkowo proste i szybkie wprowadzenie bardzo skutecznego zabezpieczenia (więcej
o takim rozwiązaniu na www.radiflow.
com).
Taki firewall, niezależnie od trybu
pracy (monitorowanie/blokowanie/uczenie), jest rozwiązaniem typu inline, czyli
znajduje się bezpośrednio w torze komunikacyjnym. Konsekwencją tego jest
zmiana charakterystyk czasowych sieci
(firewall będzie wprowadzał dodatkowe
opóźnienie). Gdy dodatkowe opóźnienia
są nie do zaakceptowania (np. wiadomości GOOSE protokołu IEC61850), należy
zastosować rozwiązanie typu offline, jakim
jest IDS, czyli Intrusion Detection System.
To system alarmowy sieci, którego celem
jest wykrywanie, śledzenie i alarmowa-
49
bezpieczeństwo
nie o zagrożeniach. W praktyce złośliwe
oprogramowanie może być najskuteczniej
powstrzymane w fazie propagacji (albo na
konkretnym urządzeniu), bo jego działania mogą się nie odróżniać od zwykłych
procesów. W związku z tym IDS pozostaje jednym z najważniejszych elementów zabezpieczania systemów SCADA.
Poprzez uczenie się topologii i tworzenie
pełnego modelu sieci w trakcie normalnej
pracy, IDS jest w stanie wykrywać anomalie oraz radzić sobie ze złożonymi
cyberatakami. Dostarcza operatorom pełną informację, umożliwiającą efektywne
zarządzanie siecią.
Rozwiązania IDS umożliwiają często
jednoczesną realizację poniższych procesów:
 monitoring sieci SCADA (w oparciu
o uczenie się i skanowanie wszystkich transakcji w trybie pasywnym lub
aktywnym);
 scentralizowane zarządzanie dostępami
użytkowników w ramach planowanej
obsługi;
 detekcję malware’u na podstawie bazy
sygnatur znanych podatności (Signature-Based Detection);
 stworzenie tymczasowych reguł firewall, niezależnie dla każdego połączenia i określonego czasu, np. dla planowanych prac serwisowych (Virtual
Firewall/Dynamic Firewall);
 detekcję anomalii, czyli nadzwyczajnej
aktywności (zmiany firmware’u, topologii, montaż nowych urządzeń, monitorowanie nietypowych zadań dostępu
do pamięci czy niespodziewanych
poleceń, skanowania itd.) w odniesieniu do modelu normalnej pracy zdefiniowanego w IDS;
 detekcję zdarzeń operacyjnych – nadzwyczajnych opóźnień, nietypowych
obciążeń połączeń lub utraty pakietów
czy retransmisji.
Zarówno IPS, jak i IDS umożliwiają ciągły monitoring, wykrywanie rzeczywistych ataków i ich prób poprzez analizę
i archiwizację podejrzanego ruchu i zdarzeń. Analiza ruchu sieciowego odbywa
się w trybie rzeczywistym i jest porównywana z dynamicznym modelem odniesienia, którego wcześniej nauczyliśmy system. IDS nie znajduje się w torze komunikacyjnym tylko poza nim, dzięki czemu
Główne zalety
i wady instalacji IDS
bezpośrednio w obiekcie
+ lokalny monitoring wszystkich
+
+
+
+
informacji, bez potrzeby kierowania całości ruchu na zewnątrz –
konieczność opracowania metody
aktualizacji baz sygnatur
łatwość do zaimplementowania
i obsługi
nieingerowanie w działanie sieci
współpraca z istniejącą
architekturą
analiza ruchu operacyjnego zgodnie z modelami zachowań
− konieczność opracowania metody
aktualizacji baz sygnatur
nie wpływa na wydajność i elastyczność kontrolowanych procesów. Pasywna
natura sprawia, że jest on stosunkowo
łatwy do wdrożenia, ponieważ nie ingeruje w ruch sieci operacyjnej. Przy wdrożeniu potrzebny jest jednak okres nauki,
pozwalający na normalizację działań
i zmniejszenie liczby wyników fałszywie
pozytywnych lub fałszywie negatywnych.
IDS może mieć naturę scentralizowaną
i może być zainstalowany w centrum sterowania, obsługując wiele lokalizacji, lub
zdecentralizowany i instalowany bezpo-
Źródło: Tekniska Polska
IDS nie znajduje się w torze komunikacyjnym tylko
poza nim, dzięki czemu nie wpływa na wydajność
i elastyczność kontrolowanych procesów. Pasywna
natura sprawia, że jest on stosunkowo łatwy do
wdrożenia, ponieważ nie ingeruje w ruch sieci
operacyjnej.
Rys. 3. Systemy zarządzania – RadiFlow iSID. iSIM
50
CONTROL ENGINEERING POLSKA
bezpieczeństwo
średnio w obiektach. Zarówno w jednym,
jak i drugim przypadku istnieje możliwość
zarządzania z centralnej lokalizacji (oprogramowanie RadiFlow iSID).
W przypadku struktury zdecentralizowanej ruch jest równolegle kopiowany
(port mirroring skonfigurowany na switchach) do lokalnego IDS. Gdy istnieje
ryzyko powstania przeciążenia łącza na
skutek kopiowania całego ruchu w jedno
miejsce, opcjonalnie można uzupełnić
system o tzw. TAP-y, czyli inteligentne
sondy, które zbierają i wysyłają do IDS
już wstępnie wyfiltrowany ruch. Jeśli IDS
zainstalowano centralnie, sondy w obiektach stają się konieczne.
Żeby odpowiedzieć sobie na pytanie,
który z tych dwóch modeli wybrać – IPS
czy IDS, należy przeanalizować wymagania dotyczące poziomu bezpieczeństwa
oraz złożoność sieci dla danego obiektu.
Można przyjąć, że IDS powinien być
instalowany w obiektach, które mają
naturę strategiczną (krytyczną, są narażone na atak typu in-field). Zwykle chodzi o większe obiekty o dużej złożoności sieci, w której pracuje wiele niezabezpieczonych urządzeń, co bardzo utrudnia
zewnętrzną detekcję źródła i ścieżki
cyberataku. Zagrożenia mogą nie być wychwytywane przez typowe zapory ogniowe przeznaczone do filtrowania ruchu
przychodzącego do i wychodzącego z obiektu. Zastosowanie DPI Firewall wiąże się
natomiast z wprowadzaniem dodatkowego opóźnienia. Zarządzanie serwerami
IDS w obiektach może się odbywać centralnie, za pośrednictwem oprogramowania RadiFlow iSID.
SIEM. RadiFlow iSID.
RadiFlow iSIM
Obok SPI & Signature Based Firewall, niezależnie od architektury IDS i IPS, w centrum zarządzania będzie potrzebne oprogramowanie do zarządzania wybranymi
elementami oraz oprogramowanie, które
zautomatyzuje procesy przetwarzania danych. Dane w systemie są zbierane z IPS/
IDS, TAP/sond, urządzeń końcowych,
urządzeń sieciowych w formie logów (syslog) i dodatkowo poprzez protokół SNMP.
Im więcej parametrów jest monitorowanych, tym lepszy otrzymuje się
obraz sieci, ale wymaga to przetwarzania
ogromnej ilości danych. Rozwiązaniem
jest agregowanie i przetwarzanie danych
LISTOPAD/GRUDZIEŃ 2015
Im więcej parametrów jest monitorowanych,
tym lepszy otrzymuje się obraz sieci,
ale wymaga to przetwarzania ogromnej
ilości danych.
ze wszystkich systemów w centrum
zarządzania w systemie SIEM (Security Information and Event Management),
który jest w stanie agregować i korelować dane z dzienników, dane o zdarzeniach, dane monitorowane. W powiązaniu z danymi o zagrożeniach i podatnościach, na podstawie kontekstowej analizy
danych z wielu źródeł umożliwia on bieżące szacowanie i zarządzanie ryzykiem.
W celu umożliwienia czasowej korelacji
zdarzeń wszystkie dane trafiające do systemu SIEM powinny mieć znacznik czasowy, czyli sieć musi być synchronizowana do wspólnego zegara.
Dodatkowo potrzebne jest oprogramowanie do centralnego zarządzania firewal-
lami i urządzeniami sieciowymi (RadiFlow
iSIM) oraz IDS (RadiFlow iSID).
Podsumowanie
Jak widać, architektura umożliwiająca
zabezpieczenie sieci na każdym poziomie
jest dość złożona i nieco inna dla każdej
sieci, a samą ochronę należy rozpatrywać
jako proces, który wymaga ciągłego monitorowania i zarządzania. Rozwój technologii sprawia jednak, że pojawiają się na
rynku gotowe, choć elastyczne rozwiązania, umożliwiające realizację wyznaczonych zadań i minimalizację ryzyka.
CE