基于工控协议防火墙的脆弱性研究
2019-01-14吴震生
吴震生
(中国机房设施工程有限公司,天津 300061)
工业防火墙是专门为工业控制网络量身打造的工控网络安全产品。它能实时监测工控网络的状态,检测工控网络中入侵行为,也能根据用户定义的防护控制策略,处置工控网络安全事件,及时响应和告警。
工业防火墙适用于 SCADA、DCS、PCS、PLC 等工业控制系统,可以被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政以及其他与国计民生紧密相关领域的工业控制系统。
在越来越依赖工业防火墙技术的情况下,它对于一些特殊的攻击或其他行为有时也无能为力。因此,对于工业防火墙的脆弱性进行详细的分析和研究。
1 工业防火墙的脆弱性分析
1.1 通过旁路安全机制的方法
1.1.1 脆弱性分析
未授权的个人可能试图通过旁路安全机制的方法,访问和使用提供的安全功能或非安全功能。
1.1.2 应对方法与结果
当系统响应硬中断的时候不处理报文,直接给内核触发软中断,软中断中把系统所有的接收队列的报文都处理完,在这种数据流接收模式下,所有网卡捕获的报文都会根据原始数据报文的类型交个相应的安全处理模块,不存在数据报文从其他旁路绕过的可能。通过以上安全机制,该脆弱性被解决。
1.2 使用反复猜测鉴别数据的方法
1.2.1 脆弱性分析
未授权的个人可能使用反复猜测鉴别数据的方法,并利用所获信息,对工业防火墙实施攻击[1]。
1.2.2 应对方法与结果
工业防火墙产品的管理员账户对应的密码以加密方式存储,对于非授权用户,用户账户和密码都是不可见的。
怀有恶意的远程访问者只能通过暴力破解的方式尝试获取设备的访问权限,授权的用户管理员可以设置远程登录失败尝试的次数,当达到这个次数门限时,将会锁定帐号,在人工干预之前,任何破解的企图系统将拒绝通过以上安全机制,该脆弱性被解决。
1.3 利用所获得的有效标识访问
1.3.1 脆弱性分析
未授权的个人可能利用所获得的有效标识和鉴别数据,访问和使用由工业防火墙。
1.3.2 应对方法与结果
工业防火墙设置信任主机的方法,只有信任主机或IP才能访问工业防火墙,其他非信任主机或IP都不允许访问工业防火墙。通过以上安全机制,该脆弱性被解决。
1.4 通过伪装鉴别数据或伪装成为内网合法用户
1.4.1 脆弱性分析
未授权的个人可能通过伪装鉴别数据 (例如,假冒源地址),或者伪装成为内网合法的用户或实体,来试图旁路信息流控制策略。
1.4.2 应对方法与结果
工业防火墙系统综合采用了以下技术:基于TCP/IP的传输层数据可靠传输技术、基于SSL协议的加密隧道(RSA的非对称密钥(1024位)认证技术)。基于DES、3DES、AES等的会话密钥加密技术[2]。
TCP/IP产生层协议保证的数据传输的完整性,RSA算法保证了身份认证的真实性;会话密钥的使用保证了数据传输的私密性。同时RSA和3DES等算法的加解密过程在传输内容上强化了数据传输的完整性。
1.5 通过向外发送不被允许的信息
1.5.1 脆弱性分析
未授权的个人可能向外发送不被允许的信息,导致内网资源被开发利用。
1.5.2 应对方法与结果
首先在设备上设置敏感信息关键字,当用户信息经过工业防火墙时发现信息中包含有敏感信息关键字,将阻断信息的传说,从而保护内网资源不会被开发利用。
1.6 通过监控信息流填充符获得以前信息流或残留信息
1.6.1 脆弱性分析
未授权的个人可能通过监控信息流的填充符来获得以前信息流或内部数据中的残留信息[3]。
1.6.2 应对方法与结果
工业防火墙对关键管理信息进行加密传输。
采用密码进行加密:要进入系统必须获取系统的用户及管理信息,而这些信息采用密码加密方存储,普通人员即使拿到密文也无法知道明文密码,仍然无法进入。
完整性检查内容:用户身份的标识和鉴别信息;产品的授权和鉴别信息;用户审计日志信息;系统日志信息;
完整性检查的技术机制:采用格式检查和协议检查。
1.7 远程授权管理员和间发送的安全相关信息
1.7.1 脆弱性分析
未授权的个人或未授权的外部IT实体可能浏览、修改或删除了远程授权管理员和防火墙之间发送的安全相关信息。
1.7.2 应对方法与结果
工业防火墙对关键管理信息进行加密传输。
采用密码进行加密:要进入系统必须获取系统的用户及管理信息,而这些信息采用密码加密方式存储,普通人员即使拿到密文也无法知道明文密码,仍然无法进入。
完整性检查内容:用户身份的标识和鉴别信息;产品的授权和鉴别信息;用户审计日志信息;系统日志信息。
1.8 修改或破坏了重要的安全配置数据
1.8.1 脆弱性分析
未授权的个人可能读、修改或破坏了重要的安全配置数据。
1.8.2 应对方法与结果
保证工业防火墙的物理安全,禁止非授权人员的直接访问。采用不间断电源等设备,保证供电安全,防止数据丢失。工业防火墙硬件存储采用CF卡技术,保证系统代码在断电后的系统的可靠性。划分了多个用户角色,可根据需要对用户的功能和数据操作范围进行授权限制,以避免误操作导致系统数据被删除;
1.9 耗尽审计存储空间方法来掩盖攻击者的攻击行为
1.9.1 脆弱性分析
未授权的个人可能通过耗尽审计数据存储空间的方法,导致审计记录的丢失或阻止未来审计记录的存储,从而掩盖攻击者的攻击行为。
1.9.2 应对方法与结果
当日志接近达到存储空间上限时,可以自动滚动存储,拒绝存储。存储空间接近上限的情况下可自动向管理员发送告警,管理员可以手工进行日志的维护。
1.10 基本级别的威胁
1.10.1 脆弱性分析
针对可发现的、可利用的脆弱性的恶意攻击威胁被认为是基本级别的威胁。
1.10.2 应对方法与结果
针对可发现的、可利用的脆弱性的恶意攻击威胁,工业防火墙通过安全策略的配置,已经有一套完整的应对识别措施,所以被定义为基本级别的威胁。通过以上安全机制,该脆弱性被解决。
1.11 窥探与外部授权实体间的传输数据
1.11.1 脆弱性分析
未授权的个人或未授权的外部IT实体可能窥探与外部授权实体间的传输数据。
1.11.2 应对方法与结果
工业防火墙系统在分离部件之间(工业防火墙和web管理平台)的数据传输(包括:控制命令及反馈信息、事件报警和日志、事件数据库、软件包升级等)综合采用了以下技术:基于TCP/IP的传输层数据可靠传输技术、基于SSL协议的加密隧道(RSA的非对称密钥 (1024位)认证技术)、基于DES、3DES、AES等的会话密钥加密技术。TCP/IP产生层协议保证的数据传输的完整性,RSA算法保证了身份认证的真实性;会话密钥的使用保证了数据传输的私密性。同时RSA和3DES等算法的加解密过程在传输内容上强化了数据传输的完整性。
1.12 未授权的访问滥用发生
1.12.1 脆弱性分析
未授权的访问滥用发生在IT系统上。
1.12.2 应对方法与结果
执行代码在运行开始时,须对用户身份进行鉴别;用户只有通过在身份鉴别成功后,才能使用功能。
系统提供并维护角色权限分配表。角色权限分配表按照不同的用户角色分布分配了对所有功能模块的访问权限。
系统一旦被调入运行,首先在对用户身份进行鉴别。在身份鉴别成功后,系统被赋予特殊的用户标记。在系统调入功能模块时,系统检查角色权限分配表,只有用户所属组具有对此项功能模块的访问权限时,该功能模块才准许使用。上述安全机制有效地保证了系统对用户角色授权及其功能操作的隔离。
1.13 工控协议应用防护方面的威胁
1.13.1 脆弱性分析
应用防护方面的威胁需考虑并加入。
1.13.2 应对方法与结果
工业防火墙针对实际用户需求和设置,可以识别应用层协议,在应用层和网络层解析深度解析工控协议,针对相关的应用功能使用白名单机制进行限制和防护,防止非法应用程序的使用。
1.14 抵御攻击者对工控网络攻击
1.14.1 脆弱性分析
工业防火墙是否能够抵御攻击者对网络攻击?1.14.2 应对方法与结果
工业防火墙只开放了 TCP 8889,5555,23,502端口等几个少数的业务必须端口,其他端口都是关闭的,以防止被一些攻击软件利用。在必须开放的几个业务端口,工业防火墙侧只是接收预先设定好格式的数据报文,如果接收到报文数据格式检查失败,将直接丢弃工业防火墙自身内置了最常流行的拒绝服务攻击功能,可以有效抵御:land-base,ping of death,syn-flag,tear-drop,winnuke,smurf等拒绝服务攻击软件。
1.15 SSH登录口令存在被暴力破解的隐患
1.15.1 脆弱性分析
防火墙存在SSH登录口令存在被暴力破解的隐患,设备在Web页面登录管理设备口令输错次数超过设定的次数后会自动锁定账号,但后台SSH时口令输错次数超过设定的次数后并未自定锁定账号,还可继续输入[4]。
1.15.2 应对方法与结果
后台实现与页面同样的功能,对于超过验证次数的用户锁定一段时间。
1.16 更改默认端口后无法进行协议控制功能
1.16.1 脆弱性分析
无法对 HTTP、FTP、POP3、SMTP 协议进行识别,更改默认端口后无法进行协议控制功能,目前的协议识别是根据端口+特征进行识别的,修改端口后无法进行协议识别。
1.16.2 应对方法与结果
在协议识别时取消端口匹配,同时增强特征识别。
2 结语
网络的安全是一种相对的安全,目前还没有一种技术可以百分之百解决网络上的信息安全问题。防火墙是一个确保网络安全的强大工具,但是现有的防火墙有其局限性。针对工业控制系统的应用场景,针对工业控制协议的工业防火墙,其适用性和扩展性均有一定的局限,对网络攻击的检测和告警将成为防火墙的重要功能,将逐步建立和完善入侵检测数据库。
