基于工控協(xié)議防火墻的脆弱性研究

吳震生

（中國(guó)機(jī)房設(shè)施工程有限公司，天津 300061）

工業(yè)防火墻是專門為工業(yè)控制網(wǎng)絡(luò)量身打造的工控網(wǎng)絡(luò)安全產(chǎn)品。它能實(shí)時(shí)監(jiān)測(cè)工控網(wǎng)絡(luò)的狀態(tài)，檢測(cè)工控網(wǎng)絡(luò)中入侵行為，也能根據(jù)用戶定義的防護(hù)控制策略，處置工控網(wǎng)絡(luò)安全事件，及時(shí)響應(yīng)和告警。

工業(yè)防火墻適用于 SCADA、DCS、PCS、PLC 等工業(yè)控制系統(tǒng)，可以被廣泛的應(yīng)用到石油石化、天然氣、電力、智能制造、水利、鐵路、城市軌道交通、城市市政以及其他與國(guó)計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)。

在越來(lái)越依賴工業(yè)防火墻技術(shù)的情況下，它對(duì)于一些特殊的攻擊或其他行為有時(shí)也無(wú)能為力。因此，對(duì)于工業(yè)防火墻的脆弱性進(jìn)行詳細(xì)的分析和研究。

1 工業(yè)防火墻的脆弱性分析

1.1 通過(guò)旁路安全機(jī)制的方法

1.1.1 脆弱性分析

未授權(quán)的個(gè)人可能試圖通過(guò)旁路安全機(jī)制的方法，訪問(wèn)和使用提供的安全功能或非安全功能。

1.1.2 應(yīng)對(duì)方法與結(jié)果

當(dāng)系統(tǒng)響應(yīng)硬中斷的時(shí)候不處理報(bào)文，直接給內(nèi)核觸發(fā)軟中斷，軟中斷中把系統(tǒng)所有的接收隊(duì)列的報(bào)文都處理完，在這種數(shù)據(jù)流接收模式下，所有網(wǎng)卡捕獲的報(bào)文都會(huì)根據(jù)原始數(shù)據(jù)報(bào)文的類型交個(gè)相應(yīng)的安全處理模塊，不存在數(shù)據(jù)報(bào)文從其他旁路繞過(guò)的可能。通過(guò)以上安全機(jī)制，該脆弱性被解決。

1.2 使用反復(fù)猜測(cè)鑒別數(shù)據(jù)的方法

1.2.1 脆弱性分析

未授權(quán)的個(gè)人可能使用反復(fù)猜測(cè)鑒別數(shù)據(jù)的方法，并利用所獲信息，對(duì)工業(yè)防火墻實(shí)施攻擊[1]。

1.2.2 應(yīng)對(duì)方法與結(jié)果

工業(yè)防火墻產(chǎn)品的管理員賬戶對(duì)應(yīng)的密碼以加密方式存儲(chǔ)，對(duì)于非授權(quán)用戶，用戶賬戶和密碼都是不可見的。

懷有惡意的遠(yuǎn)程訪問(wèn)者只能通過(guò)暴力破解的方式嘗試獲取設(shè)備的訪問(wèn)權(quán)限，授權(quán)的用戶管理員可以設(shè)置遠(yuǎn)程登錄失敗嘗試的次數(shù)，當(dāng)達(dá)到這個(gè)次數(shù)門限時(shí)，將會(huì)鎖定帳號(hào)，在人工干預(yù)之前，任何破解的企圖系統(tǒng)將拒絕通過(guò)以上安全機(jī)制，該脆弱性被解決。

1.3 利用所獲得的有效標(biāo)識(shí)訪問(wèn)

1.3.1 脆弱性分析

未授權(quán)的個(gè)人可能利用所獲得的有效標(biāo)識(shí)和鑒別數(shù)據(jù)，訪問(wèn)和使用由工業(yè)防火墻。

1.3.2 應(yīng)對(duì)方法與結(jié)果

工業(yè)防火墻設(shè)置信任主機(jī)的方法，只有信任主機(jī)或IP才能訪問(wèn)工業(yè)防火墻，其他非信任主機(jī)或IP都不允許訪問(wèn)工業(yè)防火墻。通過(guò)以上安全機(jī)制，該脆弱性被解決。

1.4 通過(guò)偽裝鑒別數(shù)據(jù)或偽裝成為內(nèi)網(wǎng)合法用戶

1.4.1 脆弱性分析

未授權(quán)的個(gè)人可能通過(guò)偽裝鑒別數(shù)據(jù) （例如，假冒源地址），或者偽裝成為內(nèi)網(wǎng)合法的用戶或?qū)嶓w，來(lái)試圖旁路信息流控制策略。

1.4.2 應(yīng)對(duì)方法與結(jié)果

工業(yè)防火墻系統(tǒng)綜合采用了以下技術(shù)：基于TCP/IP的傳輸層數(shù)據(jù)可靠傳輸技術(shù)、基于SSL協(xié)議的加密隧道（RSA的非對(duì)稱密鑰（1024位）認(rèn)證技術(shù)）。基于DES、3DES、AES等的會(huì)話密鑰加密技術(shù)[2]。

TCP/IP產(chǎn)生層協(xié)議保證的數(shù)據(jù)傳輸?shù)耐暾?，RSA算法保證了身份認(rèn)證的真實(shí)性；會(huì)話密鑰的使用保證了數(shù)據(jù)傳輸?shù)乃矫苄浴Ｍ瑫r(shí)RSA和3DES等算法的加解密過(guò)程在傳輸內(nèi)容上強(qiáng)化了數(shù)據(jù)傳輸?shù)耐暾浴?/p>

1.5 通過(guò)向外發(fā)送不被允許的信息

1.5.1 脆弱性分析

未授權(quán)的個(gè)人可能向外發(fā)送不被允許的信息，導(dǎo)致內(nèi)網(wǎng)資源被開發(fā)利用。

1.5.2 應(yīng)對(duì)方法與結(jié)果

首先在設(shè)備上設(shè)置敏感信息關(guān)鍵字，當(dāng)用戶信息經(jīng)過(guò)工業(yè)防火墻時(shí)發(fā)現(xiàn)信息中包含有敏感信息關(guān)鍵字，將阻斷信息的傳說(shuō)，從而保護(hù)內(nèi)網(wǎng)資源不會(huì)被開發(fā)利用。

1.6 通過(guò)監(jiān)控信息流填充符獲得以前信息流或殘留信息

1.6.1 脆弱性分析

未授權(quán)的個(gè)人可能通過(guò)監(jiān)控信息流的填充符來(lái)獲得以前信息流或內(nèi)部數(shù)據(jù)中的殘留信息[3]。

1.6.2 應(yīng)對(duì)方法與結(jié)果

工業(yè)防火墻對(duì)關(guān)鍵管理信息進(jìn)行加密傳輸。

采用密碼進(jìn)行加密：要進(jìn)入系統(tǒng)必須獲取系統(tǒng)的用戶及管理信息，而這些信息采用密碼加密方存儲(chǔ)，普通人員即使拿到密文也無(wú)法知道明文密碼，仍然無(wú)法進(jìn)入。

完整性檢查內(nèi)容：用戶身份的標(biāo)識(shí)和鑒別信息；產(chǎn)品的授權(quán)和鑒別信息；用戶審計(jì)日志信息；系統(tǒng)日志信息；

完整性檢查的技術(shù)機(jī)制：采用格式檢查和協(xié)議檢查。

1.7 遠(yuǎn)程授權(quán)管理員和間發(fā)送的安全相關(guān)信息

1.7.1 脆弱性分析

未授權(quán)的個(gè)人或未授權(quán)的外部IT實(shí)體可能瀏覽、修改或刪除了遠(yuǎn)程授權(quán)管理員和防火墻之間發(fā)送的安全相關(guān)信息。

1.7.2 應(yīng)對(duì)方法與結(jié)果

工業(yè)防火墻對(duì)關(guān)鍵管理信息進(jìn)行加密傳輸。

采用密碼進(jìn)行加密：要進(jìn)入系統(tǒng)必須獲取系統(tǒng)的用戶及管理信息，而這些信息采用密碼加密方式存儲(chǔ)，普通人員即使拿到密文也無(wú)法知道明文密碼，仍然無(wú)法進(jìn)入。

完整性檢查內(nèi)容：用戶身份的標(biāo)識(shí)和鑒別信息；產(chǎn)品的授權(quán)和鑒別信息；用戶審計(jì)日志信息；系統(tǒng)日志信息。

1.8 修改或破壞了重要的安全配置數(shù)據(jù)

1.8.1 脆弱性分析

未授權(quán)的個(gè)人可能讀、修改或破壞了重要的安全配置數(shù)據(jù)。

1.8.2 應(yīng)對(duì)方法與結(jié)果

保證工業(yè)防火墻的物理安全，禁止非授權(quán)人員的直接訪問(wèn)。采用不間斷電源等設(shè)備，保證供電安全，防止數(shù)據(jù)丟失。工業(yè)防火墻硬件存儲(chǔ)采用CF卡技術(shù)，保證系統(tǒng)代碼在斷電后的系統(tǒng)的可靠性。劃分了多個(gè)用戶角色，可根據(jù)需要對(duì)用戶的功能和數(shù)據(jù)操作范圍進(jìn)行授權(quán)限制，以避免誤操作導(dǎo)致系統(tǒng)數(shù)據(jù)被刪除；

1.9 耗盡審計(jì)存儲(chǔ)空間方法來(lái)掩蓋攻擊者的攻擊行為

1.9.1 脆弱性分析

未授權(quán)的個(gè)人可能通過(guò)耗盡審計(jì)數(shù)據(jù)存儲(chǔ)空間的方法，導(dǎo)致審計(jì)記錄的丟失或阻止未來(lái)審計(jì)記錄的存儲(chǔ)，從而掩蓋攻擊者的攻擊行為。

1.9.2 應(yīng)對(duì)方法與結(jié)果

當(dāng)日志接近達(dá)到存儲(chǔ)空間上限時(shí)，可以自動(dòng)滾動(dòng)存儲(chǔ)，拒絕存儲(chǔ)。存儲(chǔ)空間接近上限的情況下可自動(dòng)向管理員發(fā)送告警，管理員可以手工進(jìn)行日志的維護(hù)。

1.10 基本級(jí)別的威脅

1.10.1 脆弱性分析

針對(duì)可發(fā)現(xiàn)的、可利用的脆弱性的惡意攻擊威脅被認(rèn)為是基本級(jí)別的威脅。

1.10.2 應(yīng)對(duì)方法與結(jié)果

針對(duì)可發(fā)現(xiàn)的、可利用的脆弱性的惡意攻擊威脅，工業(yè)防火墻通過(guò)安全策略的配置，已經(jīng)有一套完整的應(yīng)對(duì)識(shí)別措施，所以被定義為基本級(jí)別的威脅。通過(guò)以上安全機(jī)制，該脆弱性被解決。

1.11 窺探與外部授權(quán)實(shí)體間的傳輸數(shù)據(jù)

1.11.1 脆弱性分析

未授權(quán)的個(gè)人或未授權(quán)的外部IT實(shí)體可能窺探與外部授權(quán)實(shí)體間的傳輸數(shù)據(jù)。

1.11.2 應(yīng)對(duì)方法與結(jié)果

工業(yè)防火墻系統(tǒng)在分離部件之間（工業(yè)防火墻和web管理平臺(tái)）的數(shù)據(jù)傳輸（包括：控制命令及反饋信息、事件報(bào)警和日志、事件數(shù)據(jù)庫(kù)、軟件包升級(jí)等）綜合采用了以下技術(shù)：基于TCP/IP的傳輸層數(shù)據(jù)可靠傳輸技術(shù)、基于SSL協(xié)議的加密隧道（RSA的非對(duì)稱密鑰 （1024位）認(rèn)證技術(shù)）、基于DES、3DES、AES等的會(huì)話密鑰加密技術(shù)。TCP/IP產(chǎn)生層協(xié)議保證的數(shù)據(jù)傳輸?shù)耐暾?，RSA算法保證了身份認(rèn)證的真實(shí)性；會(huì)話密鑰的使用保證了數(shù)據(jù)傳輸?shù)乃矫苄浴Ｍ瑫r(shí)RSA和3DES等算法的加解密過(guò)程在傳輸內(nèi)容上強(qiáng)化了數(shù)據(jù)傳輸?shù)耐暾浴?/p>

1.12 未授權(quán)的訪問(wèn)濫用發(fā)生

1.12.1 脆弱性分析

未授權(quán)的訪問(wèn)濫用發(fā)生在IT系統(tǒng)上。

1.12.2 應(yīng)對(duì)方法與結(jié)果

執(zhí)行代碼在運(yùn)行開始時(shí)，須對(duì)用戶身份進(jìn)行鑒別；用戶只有通過(guò)在身份鑒別成功后，才能使用功能。

系統(tǒng)提供并維護(hù)角色權(quán)限分配表。角色權(quán)限分配表按照不同的用戶角色分布分配了對(duì)所有功能模塊的訪問(wèn)權(quán)限。

系統(tǒng)一旦被調(diào)入運(yùn)行，首先在對(duì)用戶身份進(jìn)行鑒別。在身份鑒別成功后，系統(tǒng)被賦予特殊的用戶標(biāo)記。在系統(tǒng)調(diào)入功能模塊時(shí)，系統(tǒng)檢查角色權(quán)限分配表，只有用戶所屬組具有對(duì)此項(xiàng)功能模塊的訪問(wèn)權(quán)限時(shí)，該功能模塊才準(zhǔn)許使用。上述安全機(jī)制有效地保證了系統(tǒng)對(duì)用戶角色授權(quán)及其功能操作的隔離。

1.13 工控協(xié)議應(yīng)用防護(hù)方面的威脅

1.13.1 脆弱性分析

應(yīng)用防護(hù)方面的威脅需考慮并加入。

1.13.2 應(yīng)對(duì)方法與結(jié)果

工業(yè)防火墻針對(duì)實(shí)際用戶需求和設(shè)置，可以識(shí)別應(yīng)用層協(xié)議，在應(yīng)用層和網(wǎng)絡(luò)層解析深度解析工控協(xié)議，針對(duì)相關(guān)的應(yīng)用功能使用白名單機(jī)制進(jìn)行限制和防護(hù)，防止非法應(yīng)用程序的使用。

1.14 抵御攻擊者對(duì)工控網(wǎng)絡(luò)攻擊

1.14.1 脆弱性分析

工業(yè)防火墻是否能夠抵御攻擊者對(duì)網(wǎng)絡(luò)攻擊？1.14.2 應(yīng)對(duì)方法與結(jié)果

工業(yè)防火墻只開放了 TCP 8889，5555，23，502端口等幾個(gè)少數(shù)的業(yè)務(wù)必須端口，其他端口都是關(guān)閉的，以防止被一些攻擊軟件利用。在必須開放的幾個(gè)業(yè)務(wù)端口，工業(yè)防火墻側(cè)只是接收預(yù)先設(shè)定好格式的數(shù)據(jù)報(bào)文，如果接收到報(bào)文數(shù)據(jù)格式檢查失敗，將直接丟棄工業(yè)防火墻自身內(nèi)置了最常流行的拒絕服務(wù)攻擊功能，可以有效抵御：land-base，ping of death，syn-flag，tear-drop，winnuke，smurf等拒絕服務(wù)攻擊軟件。

1.15 SSH登錄口令存在被暴力破解的隱患

1.15.1 脆弱性分析

防火墻存在SSH登錄口令存在被暴力破解的隱患，設(shè)備在Web頁(yè)面登錄管理設(shè)備口令輸錯(cuò)次數(shù)超過(guò)設(shè)定的次數(shù)后會(huì)自動(dòng)鎖定賬號(hào)，但后臺(tái)SSH時(shí)口令輸錯(cuò)次數(shù)超過(guò)設(shè)定的次數(shù)后并未自定鎖定賬號(hào)，還可繼續(xù)輸入[4]。

1.15.2 應(yīng)對(duì)方法與結(jié)果

后臺(tái)實(shí)現(xiàn)與頁(yè)面同樣的功能，對(duì)于超過(guò)驗(yàn)證次數(shù)的用戶鎖定一段時(shí)間。

1.16 更改默認(rèn)端口后無(wú)法進(jìn)行協(xié)議控制功能

1.16.1 脆弱性分析

無(wú)法對(duì) HTTP、FTP、POP3、SMTP 協(xié)議進(jìn)行識(shí)別，更改默認(rèn)端口后無(wú)法進(jìn)行協(xié)議控制功能，目前的協(xié)議識(shí)別是根據(jù)端口+特征進(jìn)行識(shí)別的，修改端口后無(wú)法進(jìn)行協(xié)議識(shí)別。

1.16.2 應(yīng)對(duì)方法與結(jié)果

在協(xié)議識(shí)別時(shí)取消端口匹配，同時(shí)增強(qiáng)特征識(shí)別。

2 結(jié)語(yǔ)

網(wǎng)絡(luò)的安全是一種相對(duì)的安全，目前還沒有一種技術(shù)可以百分之百解決網(wǎng)絡(luò)上的信息安全問(wèn)題。防火墻是一個(gè)確保網(wǎng)絡(luò)安全的強(qiáng)大工具，但是現(xiàn)有的防火墻有其局限性。針對(duì)工業(yè)控制系統(tǒng)的應(yīng)用場(chǎng)景，針對(duì)工業(yè)控制協(xié)議的工業(yè)防火墻，其適用性和擴(kuò)展性均有一定的局限，對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警將成為防火墻的重要功能，將逐步建立和完善入侵檢測(cè)數(shù)據(jù)庫(kù)。