工业以太网的安装,调试和诊断技术(六)

专家:杜品圣 领域:工业以太网 行业:综合 日期:07-10-29 18:25 点击数:2095


    马玉敏(1971-)
女,江苏省丹阳市人,同济大学CIMS研究中心博士,研究方向为网络控制技术、数字化制造技术。

6.1   网络中的安全性

    信息安全、网络可用性和可靠的通信是确保一个公司商业成功的三个主要特征。针对自动化网络的攻击,或者从互联网对自动化网络未经授权的接入尝试,自动化系统的管理员都应该给予高度警惕。除此之外,在系统网络中由公司职员或外部服务人员造成的有意或无意的安全威胁,同样威胁到自动化生产过程。信息、生产过程以及操作过程的安全比以往任何时候都更为重要。

    安全并非是一个静态过程,而是一个动态过程。在这个过程中,很难对“虚拟”风险进行评估。然而,人们必须针对风险进行有效的防卫,并且根据最新的技术检测这些防卫的有效性并进一步加以改进。对于安全等级的改进应当从风险的定义和评估开始。充分认识风险有助于适当的应对风险。

    风险或者威胁总是在薄弱环节出现。在每个案例中,必须为具有潜在高风险的薄弱环节确定相应的优先级,并根据不同的优先级采取防范措施。区分优先次序涉及从经济角度衡量风险,并且与相应的安全措施的代价进行平衡。

6.2   应急规划

    关于灾难准备的全面性安全概念不仅包括如何防止病毒和黑客,也包括自然灾害、硬件错误、人为错误等预防计划。为了保护系统免受可能出现的灾难,所有与安全相关的方面都应被考虑,并且应建立全面的防护墙。该防护墙将承受攻击,并且有时可能因为一些因素而遭到破坏。用于维持防护墙功能的防范措施被概括地称为IT安全。



图1   全面的EDP防护墙


    IT安全是一个针对整个公司的全面安全策略,包括常规目标和质量目标。其中,

    ●    常规目标,包括:①保护所有的IT系统;②防止破坏;③系统遭到破坏后的恢复工作。

    ●    质量目标,包括有效性、机密性、真实性和完整性。

    6.2.1 安全漏洞和措施

    为了达到一个能接受的安全等级,大约97%的公司采用病毒扫描,70%的公司采用接入控制工具,60%的公司采用防火墙。然而数据流的编码措施却很少采用,只有不到10%的公司采用这种措施。

    根据调查,73%的公司的系统受到过病毒的感染,同时有31%的被调查者抱怨网络可用性问题,其中一小部分安全漏洞是由工业间谍引起的,有4%是由DDoS(Distributed Denial of Service,分布式拒绝服务)攻击平台所引起的,它通过使系统过载来对系统形成破坏。

    由于自动化网络并不会存在电子邮件问题,因此其风险主要是来自于网络的可用性,工业间谍和DDoS攻击。

    6.2.2 自动化中的安全性

    机器和系统的实用自动化是基于强大的通信。广泛使用的总线系统正是为其而开发的,而现在正逐渐被以太网代替。在现场层中使用主流的以太网技术有利于成本的节省,同时也能通过消除技术屏障来简化工程设计。这些都是众所周知的使用以太网所能带来的优点。但是,在安装、操作和维护方面,基于以太网的自动化解决方案也决不会是一个退步。

    关于有效的基础组件,目前已经有多种类型的产品可供使用,如工业交换机。它们的使用无需专门知识,且有足够的鲁棒性能安装在机器附近使用。合适的工业组件的有效性对以太网的成功起了很大的作用,由于RJ45端口本身的性质,即它提供了快速扩展可能性的同时,也提供了不可控制访问性,因此人们必须考虑自动化的安全性方面的问题。由于简单远程访问选项和无线LAN的使用,安全方面的讨论将变得更加迫切。

    与自动化技术的安装方法和基础结构同样,安全措施也不能直接采用IT界的,而不作适当的修改。一种提高安全性而不增加复杂性的方法就是从机械上封锁自由端口和插线电缆,如图2所示。图3是在工业交换机中建立访问控制表,过滤访问节点。一些制造商提供了专门设计的安全产品,它们使用加密技术建立VPN(Virtual Private Network,虚拟专用网)与防火墙相连接。然而,这些解决方案仍然过于昂贵,并且在实时能力上会起到副作用,而且参数化复杂。
 



图2   自动化组件中的机械安全解决方案



图3   在工业交换机中建立访问控制表

6.3   网络攻击的检测与处理

    人们总是期望能从自己的桌面上自由地接入互联网,也希望能从办公环境接入自动化网络,因此互联网和自动化网络能直接或者间接的相互连接(例如远程诊断/监控)。由于自动化网络至少使用一些与办公环境网络相同或者相似的协议,因此它极有可能具有通过互联网被攻击的风险。遗憾的是,这些不同的网络间几乎没有采取保护内部网络的措施,这就意味着渗透进公司网络获取敏感数据或者破坏重要的操作过程的核心功能是有可能的。
因此防护概念的一个重要部分就是侦查与处理网络攻击。即时响应通常能够避免进一步破坏。

    6.3.1 网络攻击

    为了渗透进一个网络,必须具有基本现状知识,它能够使攻击获得成功。现状知识可以通过自动化生产过程(扫描)或者通过非技术(社会工程或废品)手段获得,包括连接扫描和穿越防火墙两种。
(1)连接扫描—确定公共可访问服务
    如图4所示,使用简单的建立连接尝试以及确认(端口或者返回的数据格式),就能判定目标计算机的服务类型,这样,这些服务的弱点就会被利用。为了使扫描不被记录,攻击者不将应答信息返还给目标系统,因此建立连接尝试失败。如果在短时间内多次尝试失败,这就表明一次攻击,或者至少是一次攻击的准备。
(2)穿越防火墙—确定网络拓扑
    如图5所示,在穿越防火墙中,数据包与起始值为1的TTL(Time to Live,生存期)一起发送到合法端口。第一个接收器(路由,交换机等等)将TTL减至0并拒绝该数据包。然而,数据包的被拒并不是不留痕迹的;拒绝数据包的接收器会对发送者返还一个回馈“超时,拒绝数据包,我的IP地址是…”。下一个数据包与值为2的TTL一起,重复着该过程。这样攻击者就能获得网络的拓扑结构,而不会使NAT路由器崩溃。

    网络攻击的类型主要有:

    (1)不安全的中继点

    如果一个攻击者访问了一个不安全的中继点,那么它就可以伪装成一个交换机,并对数据包相应地加以标识(标签),而真正的交换机将提供所有的网络资源的访问权。

    (2)含无效参数的IP数据包

    这种攻击经常被用来中断目标系统的操作(拒绝服务)。由于其无效参数,这些IP数据包易于识别。如果出现多次这样的数据包表明系统遭到了攻击。例如,如果源地址或目标地址,以及源端口和目标端口相同,则多数计算机会因为某种执行错误而崩溃。

    (3)SYN 泛滥

    在SYN泛滥情况下,攻击者不停地发送同步数据包以启动一个连接建立。这些数据包被发送到目标系统以打开其端口,并能不停地改变源端口。目标计算机便会建立一个TCP连接并发送带有SYN和ACK标记的确认信息,并等待通信连接的确认,但是攻击者并不会发送。这样,建立了大量的“半”连接,这最终将耗尽目标系统的大量资源,使它再也无法完成实际任务。

    (4)IP欺诈

    在IP欺诈的情况下,操作数据包的发送者IP地址,使其看上去像是来自于另一台计算机。IP欺诈经常被用来通过防火墙或是在进行攻击的情况下隐藏攻击者的身份。

    (5)登录攻击

    在登录攻击情况下,发送至目标计算机的TCP数据包具有以下属性:

    ●    SYN标志被置位;

    ●    发送地址与目标计算机的地址是相同的。

    目标计算机便会将它本身的ACK标志当作是新建立连接的SYN标志。这种无限循环将导致目标系统的崩溃。

    (6)MAC(地址)泛滥/人为干扰

    诸如“disniff”或“macof”这种软件,会产生带有不同MAC地址的数据包。如果在网络攻击中,一个交换机面对带有成千上万的不同的MAC发送地址的数据包,其内部的MAC列表(ARP列表)便会超出限度。交换机因此无法为特殊的数据包转发使用其分配选项。结果,交换机就变成了集线器。这意味着它将所有接收到的数据包发送到所有端口,由此攻击者便能记录所要的数据包。

    其它的攻击方式还有:数据泛滥、SYN发送者无法找到、ICMP回复请求、缓冲器溢出、Smurf攻击和整数溢出等。

    6.3.2 Rootkit

    Rootkit是在系统中隐藏运行的程序,它最早出现于2000年左右,鉴于其结构,功能和操作方法,是最复杂的一种攻击形式,它威胁着网络以及自动控制系统的安全。为了不被识破,Rootkit隐藏了它的过程、注册表信息、相关文件和网络连接。Rootkit截取了所有与硬盘空间相关的请求、运行过程以及注册表信息,并操纵它们使自己不被发现并删除。Rootkit可以无需交换文件就可以隐藏目标。它也可以在网络扫描下隐藏自身的网络连接信息,并使自己不被包括在连接列表窗体(网络统计)中。它们和正在运行的服务使用同一端口,这样它们就可以顺利通过防火墙了。

    要保护系统不受Rootkit的侵害非常困难,因为系统的源代码一般都是公开的,也就是说要编译一个新的不被防毒系统所识破的Rootkit是一件十分容易的事情。由于Rootkit一般都在系统的核心活动,它们拥有与操作系统本身相同的权限。它们操纵防火墙和病毒扫描器的驱动程序。

    Rootkit的应用范围很广,包括:

    ●    可以隐藏键盘记录程序和其它间谍软件,这些软件可以获取密码或用于工业间谍活动;

    ●    可以在不需要服务器操作知识的情况下通过网络或FTP服务器散布非法的内容;

    ●    可以用来建立后门,为了DDoS攻击和其它网络攻击提供方便;

    ●    可以用来操纵签名和样本文件,它们被用来侦测垃圾邮件、病毒、蠕虫病毒、特洛伊木马等。

6.4 防范机制

    信息安全包括了保护数据/文件不被误操作、盗窃、间谍以及操纵的所有合适的措施。为了防止机密数据的丢失越来越多地使用了防火墙,入侵检测/响应和防入侵系统。这些系统也可以结合在一起使用,其目的就是将公司网络屏蔽于外网之外。

    6.4.1 分级保护机制

    一个结合安全措施的解决方法主要针对于它的最薄弱的连接,所以,所有可能的薄弱环节都必须考虑周到。所需要的安全措施一般应该提供相同的防护等级,因为攻击总是对准那些最薄弱的点。为了使过程更为简单,可将可能的保护机制划分等级。表1显示了所达到的保护程度。

    表1   分级安全机制
   

  等 级 

 功能/设备

 保  护

 努力/知识

 费  用
 0  设备不含密码保护
-使用集线器
-可自由访问的设备,连接和电缆		      
 1  从机械方面保护的电缆,设备和连接(控制柜,安全罩等)
-无自由连接的电缆。		  提供保护,防止环路的无意形成,电缆中断,和非授权的网络连接   最小
 2 等级一
-不使用网络集线器
-使用非管理交换机		  通过数据的专门转发,防止数据和信息的被动记录。   非常低
 3  等级一
-使用管理交换机
-无默认密码;
独立强效密码		  提供更强的保护,防止对配置的篡改,配置的篡改会使数据和信息访问简单,并能够对其进行操作。 极低   低
 4  等级一,三
-不使用DHCP(动态主机配置协议)
-激活访问控制
(限制IP地址)		  -第二层屏障防止对配置的篡改
-不会为了与网络连接,而“公开发送”所需的配置设定(第三层屏障防止数据间谍,第二层屏障防止数据操作)		   低   低
 5  等级一,三,四和五
-使用VLAN
-开启冗余机制		  -第二层屏障防止机械上的配置错误
-第四/三层屏障防止数据间谍和操作
-如果接入非授权的端口,开启附加的自动冗余报警(本地/远程)来通知人员。		  中   低
 6  从机械方面保护的电缆,设备和连接(控制柜,安全罩等)
-无自由连接的电缆。		  -第五/四层屏障防止数据间谍和操作
-通过逻辑冲突区增强其有效性
-如果接入非授权的端口,开启附加的自动冗余报警(本地/远程)来通知人员。
-如果非法接入端口,开启不可中断的远程报警。
-如果某个被使用的端口在机械上有所改变(例如:断开连接器,为一个非法的笔记本获取一个空闲的端口),则开启附加的报警(其它的远程/本地)		 中/高   低
 7  等级一,三,四,五和六
使用附加的设备来保护每一个独立的网络岛(防火墙,数据包过滤器,病毒扫描器,入侵检测)		  -只适用于被批准的服务
-只使用被批准的硬件
-病毒保护
-在逻辑层检测攻击
-高性能需求
-与实时应用相结合的问题		  高  高
 8  等级一,三,四,五,六和七
-授权机制的集成(RADIUS服务器)
-入侵响应/回避 PKI系统(公开密钥基础结构)
-加密(带IPSec的VPN)
-登录
-生物学方法(指纹,虹膜,签名,声音,等)
-智能卡		  -只允许授权的人员(授权系统不可被操纵)
-在逻辑层对攻击进行防御与响应(反击)
-可以对攻击的类型进行跟踪,检测到薄弱环节,
-数据与信息保护,通过加密防止操纵与间谍		 非常高 非常高
 9  等级一,三,四,五,六,七,八
-证书
-一次性密码
-tempest(抑制和防止电磁泄漏)系统
-异常检测机制		  最高安全等级,被用于ABC武器或智能服务  极高 极高


    6.4.2 防火墙

    防火墙的任务可以分成两个主要部分:

    ●    检查数据包

    ●    日志和报警生成

    在检查数据包时,每个数据包都会被调查,以确定是否允许它在期望的方向上通过防火墙。该检查遵循预定的准则,也就是规则。每个输入输出的数据包都必须通过防火墙。环绕防火墙的各条其它的路径都会削弱检查的效果,甚至可能完全消除防火墙的作用。因此,识别和消除其它路径是非常重要的。

    这些其它路径可能是私有的调制解调器,来自于这些调制解调器的数据流绕开每个防火墙,直接进入网络,建议调制解调器安装在防火墙外部“非安全”一侧。

    因此,建议将防火墙安装在公司网络与外界网络中间连接点的位置上。这样能够通过简单的配置就可以得到高等级的安全性。

    日志和报警的生成能使管理人员对攻击作出快速而准确地响应。日志能有助于重建攻击,并确定被利用的薄弱点,从而优化防火墙的配置。

    6.4.3 数据包过滤器

    根据每个数据包头部的相关信息,数据包过滤器确定这个数据包是否被继续转发还是被拒绝。被评估的信息包括来源和目的IP地址,所使用的传输协议,相关端口号,涉及到的设备的MAC地址。

    数据包过滤器被用来限制和防止特定计算机或网络之间的通信,并限制和防止特定设备的使用。由于对计算性能的要求极低,数据包过滤器常被直接应用在路由器或接入点上。

    数据包过滤器的配置非常简单,但经过长时间的使用后,其规则将变得模糊。另一方面,服务与被所使用的端口进行动态协商,这也将带来问题。为了确保非限制操作,所有可能被使用的的端口都必须打开。很显然,这与大多数安全概念相冲突。

    6.4.4 入侵检测/响应

    入侵检测是指一个系统,它可以自动检测出对网络的试图攻击,并且对相关管理人员触发报警。入侵响应则是指一个系统,当它受到试图攻击时将自动采取适当的对策。

6.5 蓝牙安全性

    在蓝牙规范中来提供的密码安全机制有两个主要目的:防止未授权的蓝牙设备干扰通信,并彻底禁止活动的未授权的通信。除了传输错误检测和消除的非密码的方式,规范还详细定义了密码的授权和加密算法。由于它们已经在芯片层实现了,所以在链路层,他们可以以标准化的形式提供。

    链接密钥是其所使用的加密方法的基础。在配对时,两个蓝牙设备将统一链接密钥。

    蓝牙的定义中介绍了三种安全模式:
   
    ●    安全模式1:蓝牙设备自己不启动任何有效的安全机制,只是响应其它设备的认证请求;

    ●    安全模式2:根据蓝牙设备和所使用的服务,由用户对安全机制加以选择和使用。设备只有当已经接受了建立连接的请求时才启动安全机制;

    ●    安全模式3:在建立连接时,认证总是必需的。但可以选择对传输的数据进行加密。
另外,下列的查询模式用于发现蓝牙设备:
   
    ●    不可发现的:对其它设备的查询,设备不作响应;

    ●    有限的可发现:设备只在用户发出指令时,才对其它设备的查询作出响应;

    ●    一般可发现:设备自动对其它设备的查询作出响应。

    其它操作模式有“不可连接模式”(不响应页面请求)或“可连接模式”,“不可配对模式”(不可能配对)或“可配对模式”。

6.6无线局域网的安全性

    2003年6月,《ZDNet》有一则下面的消息:

    ●    德国慕尼黑在4.5个小时中发现了356个接入点;

    ●    60%的无线局域网完全没有受保护;

    ●    219个局域网没有WEP加密;

    ●    72个局域网使用默认的SSID;

    ●    在2004年6月,无安全保护的无线局域网占50%(总共调查了1400个接入点)。

    无线局域网(WLAN)技术给我们带来了很多方便和可移动性,节约了网络电缆的安装,并在网络中接入其它设备不存在任何问题等等,但是无线局域网有其自身的缺点。与有线网络不同,任何一个在接入点有效区域内的无线网用户都可以接收到所有的数据包并加以评估。这就意味着在操作WLAN时,除了有线网络中所用到的安全机制外,还必须添加其它的安全机制。需要其它机制的主要原因就是传输介质(共享媒介)缺少物理保护。

    在规划和创建一个WLAN时,正确的规划无线系统能有效地阻止无授权的访问及相关损失。这些措施包括:

    ●    适当的天线选址,以确保良好的覆盖;

    ●    选择合适性能的天线以及天线运行时的合适发送功率;

    ●   选择合适的频率实现理想的覆盖(2.4 GHz和/或5GHz);

    ●    信道选择不要重叠;

    ●    负载平衡;

    ●    使用无线指令探测;

    ●    使用无线传感器探测干扰源和非授权的接入点;
   
    ●    检测验证系统中的逻辑DoS攻击和EAP泛滥;。

    ●    定期的更新设备固件,并检查制造商网站支持网页上的有关故障和安全问题信息,及时获取制造商关于修补漏洞的支持。

作者信息: 

    马玉敏(同济大学CIMS中心)   

    张 龙(菲尼克斯亚太电气(南京) 有限公司) 



图4   连接扫描

 



图5   穿越防火墙

 


热点新闻
推荐产品