ATNTICN.chinese

From Evernote:

ATNTICN.chinese

原文为Application of Trusted Network Technology to Industrial Control Networks,向作者致敬

摘要

工业控制网络和企业网络之间的连接导致设备、控制系统和关键基础设施面临着大量的网络攻击的可能,很多框架标准和安全实践被提出来用于工业控制系统,然而这些技术都是基于旧的框架,并没有考虑新的硬件和软件技术,本文描述了用于设计下一代工业控制系统安全框架的新技术,围绕着收益和设计成本对这些技术展开讨论。

一、前言

日益增长的工业控制网络与企业网终的联接摧生了工业控制网络标准通信协议,为了节省成本和效率,在TCP/IP包内封装SCADA协议,导致了网络中控制层和应用层之间的界限变得模糊,工业控制网络与企业网络所采用的商业协议的应用和控制系统存在着许多的问题,关键的基础设施容易受到多种网络攻击。

安全调查显示,针对关键基础设施的外部攻击数量显著增加。外部攻击的比例已经从26%(1982年-2001年)上升到60%(2002-2006)。这些事件大多数发生在企业广域网,业务网络,调制解调器,无线接入点和互联网的入口。

若干政府组织和工业协会提交了一些关于工业控制系统方面的标准和安全指南,然而这些尝试均基于陈旧的技术和安全架构,依赖于企业和控制的差异性和分离性,诚然这些努力毫无疑问是非常重要的,其存在着潜在着的安全隐患在缺乏配置、带外连接和盲目信任通信源等情况下暴露无疑。

新技术的出现为网络安全提供了更多的解决方案,这些技术将安全从网络的边际设备,如防火墙,拓展到所有的网络设备。本文回顾了可以用于设计下一代安全工业控制网络的技术路线,分别从安全效能和设计成本对这些技术展开了讨论。

本文的安排如下,第二节介绍了传统的工业控制网络结构框架,第三节研究了与这些框架相关的安全问题,第四节描述了可信工业控制网络的研究内容,第五节比较了在不同框架中采用的规则之间的差异,第六节研究了现有框架的优势、已知存在的的问题和攻击,最后在第七节中做出总结,相关的文献引用主要体现在第二节中。

二、控制系统安全问题回顾

工业控制系统(ICSs)是一种用于配水、污水净化、供电、油气输送、设备制造、化工等领域的高度分布网络,通常包含两个子网络:制程管制网络(Process Control Network, PCN)和企业网络(Enterprise Network, EN),前者由控制器、开关转换器、驱动器和底层控制装置构成,后者由高层监督节点和计算机设备构成。PCN网络包括控制与数据采集系统(Supervisory Control and Data acquisition, SCADA)和分布式控制系统。PCN网络的一个主要组成部分是控制服务器、主终端单元(Master Terminal Unit, MTU)、远程终端单元(Remote Terminal Units, RTUs),智能供电设备(Intelligent Electronic Devices, IEDs),可编程逻辑控制器(Programmable Logic Controllers, PLCs),操作控制台、人机界面(Human-Machine Interfaces, HMIs)和历史数据记录。

国家标准与技术研究院(National Institute of Standards and Technology, NIST)、电子电气工程师协会(Institute of Electrical and Electronics Engineers, IEEE)、仪表系统与自动化协会(Instrumentation Systems and Automation Society, ISA)、国际电工委员会(International Electrotechnical Commission, IEC)、工业自动化开放网络协会(Industrial Automation Open Networking Association, IAONA)提出了ICSs安全指南,多数安全实践建议将PCNs和ENs进行隔离。

防火墙是常用的隔离PCNs和ENS的工具,可以被配置用于阻拦不必要的服务、协议和端口,提供了较高层次的隔离。通过在防火墙前放置路由器完成简单的包过滤任务,可以使得防火墙有能力进行更复杂的任务如状态过滤和代理服务等。

在PCN和EN之间使用单个防火墙存在着严重的隐患,由于防火墙必需允许历史数据记录工具能够便捷地访问PCN,基本上,每项服务为了确保正确操作都要在防火墙上开个洞,在防火墙上配置过多特例会降低PCN-EN的分隔度,导致PCN开放并受攻击,对于这个问题通过的解决办法是创建一个“非控制区”(Demilitarized Zone, DMZ)。

DMZ部署框架包括三个区域:一个外围区域包括EN,一个内部区域包括PCN,还有一个DMZ包括数据记录工具。编制严格的防火墙规则保证DMZ中的记录器独立访问EN和PCN的内容,这个记录器能够为PCN提供数据,EN也能够被允许访问记录器,在此基础上防火墙屏蔽其它一切设备访问PCN。

大多数由EN发起的针对记录器的攻击不会影响到控制系统,最坏的情况是这些攻击会冲击到记录器中的数据(如造成数据的丢失等)。

图1是在PCN中部署成对的防火墙,并通过DMZ分隔的结构,这个结构简化了防火墙规则并清晰地区分了责任,使得PCN端的防火墙可以被控制部门管理,而EN端的防火墙由IT部门进行管理,这种结构倍受ICS推荐并在实践中通过对防火墙的配置得以实现。

有些机制用来处理控制系统中主机的安全问题,这些机制的一个示例是已经在控制设备中实现的基于过程的安全控制(Process-Based Security, PBS),它将访问控制从基于用户的模型转化为基于行程,基于用户模型中访问控制依赖于用户识别,一个伪饰的行程可以逐步提升权限对系统造成危害上,在基于行程的的安全模型中,被修正过的进程将不能访问非法资源,PBS减少了攻击中权限的提升行为。

三、安全问题

防火墙的配置错误可能导致安全漏洞。第一、防火墙中经常会出现的复杂规则难以验证,一项由Wool领导的研究表明,防火墙规则集中可能会出现多达2600条规则和5800项对象,在规则集复杂程度和配置错误之间存在着显著的相关性;第二、防火墙通常是最主要的防守工具,错误的配置会使得攻击者能够通过借助所攻破的防火墙作为跳板去攻击网络内其它防护能力差的设备。

Wool指出80%的规则集是允许任何进入的通信以及对防火墙不安全的访问通过,他强调“对真实配置数据的分析表明企业的防火墙经常违背安全指南”,Woll和其他的研究表明防火墙的错误配置对ICS的安全产生了确实的威胁。

即便是正确配置的防火墙也可能被绕过,利用当供应商创建了一个直接连接进行设备维修,或者连接防火墙后的不安全无线接入点。防火墙经常被合法的手段所攻击,如通过隧道(VPN)或者加密的方式(防火墙不检查加密包)。一个被广泛报道的防火墙安全事件发生在2003年1月,Oak Harbor的Davis-Besse核电站的系统被蠕虫感染。调查显示,这次事件是由于承包商绕过防火墙建立的一条不受保护的连接被蠕虫病毒所利用导致的。

通过为服务打补丁、软件升级或者安装最新版软硬件的方式可以保护好这些脆弱的设备,然后手工更新/升级/版本管理是难度大成本高,特别是粗心的用户通过无线设备访问工业控制网络时,很容易为攻击者提供新的攻击点,无线设备的移动性使得管理员难以频繁或者定期地手工更新安全补丁,因此补丁/升级/版本管理任务应该由系统能够持续地自动完成。

不安全的物理访问也同样将ICSs暴露在严重的安全威胁之下,开放的无线接入点和办公室墙壁上的以太网端口使得攻击者能够进行ICS网络并对重要目标发起攻击行为,传统的ICS结构中没有任何措施阻止非法的设备访问网络,这些被攻击者修改过的硬件、操作系统、可执行文件和配置文件将会给系统造成严重的威胁。许多ICS系统漏洞被蠕虫、病毒、木马和Rootkis等恶意软件所攻击,趋势表明,外部恶意软件攻击开始越来越普遍。最后,内部的破坏分子对ICS而言是个永远的威胁。

四 可信过程控制网络

传统的网络访问控制模型中,对访问者的授权并末考虑到访问者机器的安全状态,而机器可能运行着一个安全的操作系统,也可能是十年才打一次补丁全是漏洞和恶意软件。对于防火墙的访问控制也不会考虑到发起通信的设备的安全性,是否打开一个端口仅取决于对发送源的身份的判断。

可信网络体系使用设备硬件和软件的状态信息进行接入和访问控制决策,当设备第一次加入网络时,他的软硬件被检查,在这些检查的基础上,根据用户、设备和通信动态地调整访问控制规则。这种方法也适用于过程控制体系,本节讨论了支持这种方法的技术细节以及它们在ICSs中的应用。

4.1. 可信网络

可信网络(Trusted Netword, TN)体系通过现有的的标准、协议和硬件设备在网络体系中拓展“可信”的概念,可信网络提供重要的安全服务如用户认证、复杂网络设备接入控制,终端检测、基于策略的访问控制和通信过滤、自动修复不符标准的以及审计。

可信计算组织(the Trusted Computing Group, TCG)为可信网络提出了一些工业标准,已有部分商业可信网络技术被开发出来,包括思科的TrustSec、CleanAccess(原名为思科网络接入控制, Cisco Network Admission Control, NAC),微软网络访问保护(Microsoft Network Access Protection, NAP)。思科NAC与微软NAP之间可以实现交互操作,操作细节可以查阅[21]

4.1.1. 可信网络组件

可信网络组件供应商提供的产品名目林立,我们采用了一些偏向于思科CleanAccess产品通用的名称,一个可信网络包括以下组件:

  • 客户端设备:每台客户端设备必然提前经过TN认证才能接入网络。
  • 网络访问设备:所有与TN的网络连接均通过实施一定策略网络访问设备(network access device, NAD), NAD功能上实现于交换机、路由、VPN和无线接入点。
  • 认证、授权和访问控制器:认证(Authentication)、授权(Authorization)和访问控制器(Access Control Server)(AAA)管理和为NAD提供基于认证和属性验证的网络访问策略。
  • 属性验证服务器:属性验证服务器(Posture Validation Servers, PVSs)在客户接入可信网络之间评估客户端属性匹配程序,PVS通常指定客户端需要满足某项属性(如操作系统的版本或补丁包的签名等)
  • 属性修复服务器:这些服务器提供客户端残缺属性的修复服务,例如一台服务器管理着最新的病毒签名,要求不符条件的客户端在加入可信网络之间先下载这些签名。
  • 目录服务器:这些服务器根据客户端的身份和角色提供认证服务。
  • 其它服务:包括可信审计系统、DNS、DHCP和VPN服务。

4.1.2 可信网络协议

可信网络存在一些标准和协议用以实现安全功能,这些标准缩减了构建可信网络的成本,可信网络中用到的协议包括通信协议IPSec、认证协议EAP和802.1x、目录服务和认证协议RADIUS/LDAP/Kerberos、通信一致性协议HCAP以及保证AAA和审计服务之间通信的协议GAME。

4.2. TPCN体系

可信过程控制网络(Trusted Process Control Network, TPCN)体系如图2所示,客户端试图通过与NAD通信来加入网络,NAD利用EAP通过802.1x协议验证客户端设备的身份并将验证结果通过RADIUS协议发送到AAA服务器,AAA服务器返回一份属性验证和恰当的PVS地址列表。

客户端通过各个PVS验证属性,如果客户端符合标准,验证的结果将通过HCAP协议发送到AAA,如果客户端缺失某些必要属性,属性修复服务器将为客户端提供修复服务。目录服务器检测客户所属组和角色,利用所有PVS和目录服务器返回的结果,AAA服务器检测匹配客户端访问和通信的规则,并将这些规则发送至NAD。在此基础上,客户端被允许在NAD的监视下实施通信,更多的细节可见参考文献。

服务器管理的策略以满足认证和属性验证列表需要的形式保,例如基于令牌认证需要请求和利用反病毒服务器、补丁管理服务器和驱动验证服务器进行属性验证,当客户端设备加入网络时,NAD利用设备的身份与与AAA服务器进行通信。AAA服务器为设备进行认证并提供为NAD基于设备安全属性的规则,在此基础上,NAD对所有入口和出口的流量应用策略。例如一个配置通过验证的固件的RTU设备可能与记录器进行通信,其它所有的通信则被阻拦,下面的两个例子更进一步地阐明TPCN机制。

例1,考虑这样一个场景,在工作站上的分析人员有通过意无线连接到PCN访问有关工厂运行的历史数据。工作站连接到企业网络中一个带有NAD功能的无线接入点(Access Point, AP)。AP采取预设的政策,除了建立信任连接以外阻止其它所有流量。工作站在AP上利用EAP通过802.1x协议发送存储的证书实施验证。 AP使用RADIUS将工作站的身份发送到AAA服务器。AAA服务器将用户的身份验证发送到知道用户角色为“分析师”的目录服务器。 AAA服务器使用RADIUS发送工作站的属性清单(反病毒的版本号和操作系统补丁的历史)。工作站使用一个可信平台监视器(Trusted Platform Monitor, TPM)芯片签署和发送与PVSs有关的属性值进行验证。补丁管理PVS检查工作站操作系统缺少的补丁,并将相应缺失的补丁发送到工作站。 PVSS使用HCAP的协议将结果传回AAA服务器。如果工作站是符合要求的,AAA在AP上设置相应的规则。由于用户的角色是“分析师”,规则集允许TCP连接历史记录,但阻止其他所有设备的访问。

例2,考虑这样一种情况:一个RTU试图加入PCN。RTU通过工厂车间的网络电缆连接到交换机;交换机具有NAD功能。协议的使用与例1中的情况相似,这里不再复述。交换机使用的RTU的存储令牌对RTU进行认证。AAA服务器要求RTU利用配置管理服务器验证其配置。RTU将其配置发送到配置管理服务器,配置管理服务器将成功的结果返回至AAA服务器。 反过来AAA服务器发送符合RTU的规则至交换机。RTU可以与其它的RTU、MTU以及历史数据记录进行通信,而交换机将阻止所有其它流量。在下一节,我们将展示重要设备如何在不失可用性的前提下执行身份验证和状态验证。本质上,AAA服务器拥有两套角色和两套政策。在该配置验证未中断前,该设备仍然可以通过备份策略连接网络。

五、TPCN实施条件与可用性

为了将已有的PCN转为TPCN,包括简单的给软件打补丁到添加新的硬件等一系列的改变都需要付诸实施,本节中讨论了构建TPCN的需求、成本与安全之间的权衡。可用性是任何过程控制系统的核心问题,我们讨论了如何定制一个满足TPCN所需的高可用可信网络。

5.1. TPCN需求

为了增长安全性和责任分享,TPCN至少需要两个NADs(带防火墙的交换机)和一个AAA服务器,企业可以根据需要添加PVSs,如反病毒验证服务器能够保证设备能够得到最新的防护,补丁管理服务器用来检查设备厂是否被正确的补丁,软件验证服务器检测嵌入式设备固件的合法性。很多PVSs系统都是是开箱即用,仅仅需要根据控制系统的需求加以配置,多个PVS的增加了TPCN的成本,但是提升了安全性。

所有的NAD(交换机、路由器、无线接入点等)必然支持可信网络功能,许多供应商提供了可信网络功能的产品,然后如果企业启用了新的设备,实施TPCN的效益非常好,但是如何依然采用旧的系统,将会涉及到重大的系统升级问题,其代价可能是非常高昂。TPCN架构的防火墙功能通常集成于NAD中。

客户端设备可能需要软硬件的升级才能支持可信网络功能,一个可信网络客户端是AAA服务器验证身份和发送属性值所必需的。对于安全应用程序,TPM芯片用于验证配置和获取属性签名,RUS和PLC通常没有TPM芯片,但是某些RTU已经内置了Web服务器,尤其是如果政府通过规章强制执行可信ICS架构的情况,为这些设备添加TPM是可行的。

客户端设备对PVS而言必需是智能的并且是可配置的,最低的限度上必需能够向PVS发送其配置,如果不是智能终端(如简单的机械继电器),对其配置的检查是不必要的,否则PVS通过检查设备的属性值来实施控制(如RTU控制继电器),来自于不同供应商的可信网络客户端软件是跨平台的,但是对于特殊或者小型设备需要额外的代码实现将配置发送至PVS。

原则上,可信网络可能在任何物理和链路层上得到实现(如无线、局域网或串行链路),然后据我们所知,目前可信网络仅支持Lan和无线网络,利用在可信网络中串行控制设备有两种评估信度的方式,一是在连接LAN和串行控制设备的主设备中放置可信网络客户端软件,在这种情况下,主设备中客户端软件负责获取串行设备的属性状态并利用AAA进行认证。控制设备上的客户端软件在成功认证之间阻止串行设备的通信行为,这种方式适合于使用现有的硬件设备。另外一种串行设备与TPCN通信的方式是使用串行以太网转换器,直接将设备连接到NAD,这些转换器将串行(RSS232/422/485)转换为TCP或者UDP包,并通过以太网进行传输,转换的过程可以通过特定的IP地址进行配置,串行-以太网转换器适用于将独立的设备或者通过机架将多个设备以紧凑的形式连接到以太网,使用串行-以太网转换器有利于串行控制设备保持独立,另外一方面,能够有效地降低额外的硬件成本和由于网络原因所千万的延迟。这个方式在考虑到成本和具体的控制系统要求的情况下解决了串行设备与TPCN连接的问题。

5.2. TPCN可用性

为了升级系统,管理员对AAA或者属性验证服务器提出了新的要求,AAA服务器将通知终端设备这些新的策略,如果存在更新,则利用属性验证服务器评估更新。然后如果没有新的需求,通过服务器提供相应的补丁(或者自动安装),接下来我们讨论备得角色和策略以避免服务中断的情况发生。

TPCN与传统的PCN在应用补丁可能导致系统崩溃的情况下存在着相似的可用性问题,因此任何补丁或者更新在放置在AAA服务器之间都要在组件的精确副本上通过彻底的测试,如果测试后存在疑虑,在TPCN中应当放置专用的备份组件,在实践的角色中实施某项策略而在备份的组件上实施其它的策略。备份策略不强制要求在备份设备能够满足新的需求直到在实际设备上的补丁动作正常为止,在此之后管理员才会在备份设备上实施新的需求。如果实际的设备的正常运行受到了补丁的影响,备份设备未受补丁影响而在功能上能够正常连接到网络。TPCN不会积极或消极地影响系统的可用性,而仅仅是强制地执行了某些需求,在规范化需求之前取决于是否会影响到系统的可用性而仍处于测试阶段。

为了加强TPCN的可用性,框架中必需使用冗余服务器,如果TPCN中的重要的服务失败了,设备无法加入到网络中的情况将危害控制系统的可用性,商业的可信网络支持一种称为“高可用性”(High Availability mode, HA-Mode)的模式,在这种模式中重要可信网络服务(如AAA和PVS)拥有备用的模块,“心跳”信号的在主服务器与备用服务器之间利用专用的串行连接或者UDP包在网络上频繁地交换,如果出现故障,心跳信号灯中止(如系统崩溃或者重新启动),备用服务器立即替换故障服务器以防止服务中断。由于可用性在控制系统中的优先级较高,建议在TPCN中采用HA模式。

备份设备与备用服务器之间的界线非常重要,备份设备是为了在控制设备(如MTU和RTU)出现故障后提供新的补丁或更新,备份策略的应用保证备份设备能够保证主设备更新失败后依然能够提供服务。而备用服务器则提升了TPCN基础设施的可用性以保证控制设备可以在任何时间,即便是主服务器崩溃的情况下访问网络(使用自动故障转移机制)。这两种方式解决了TPCN的高可用性需求,能够在最大限度上缩减服务中断的风险。

六、NAD规则冲突

在防火墙规则(通常称为过滤器冲突)的冲突,总是危及仪表和控制系统的安全性或可用性。这种冲突可能会导致不必要的流量进入过程控制网络,暴露给攻击或拒绝合法流量,危及系统的可用性。在本节中,我们研究了在防火墙规则冲突的实质,并指出在分布式过滤环境的有效冲突的总数比传统网络更大。

6.1. 过滤器冲突

当过滤规则集中的包分类出现不确定时,过滤器发生冲突。虽然我们仅研究防火墙规则中的过滤器冲突,但是这种冲突存在于任何通过规则进行包分类的网络接入设备中,如路由器,VPN,或QoS设备。

每个过滤器R是一个n元组(R[1], R[2],…, R[N]),其中R[i]是一个定义该字段可以接受值的子集。每个领域通常被定义为一个前缀。例如,前缀10.*是指源IP地址中所有第一项为10的IP地址集。规则是一个用于指引动作Act(R)(通常允许或拒绝)的过滤器R。虽然每个设备上的过滤器取决于许多不同的领域,我们专注于五个最常见的领域中的防火墙规则:源IP,源端口,目的IP,目的端口,协议。注意,这里的分析是具有普遍意义的,可以应用到任何n元组。

我们采用由Hari等人给规则冲突所作的定义。

定义1. 规则A被称为规则B的前缀,对于每个领域i,A[i]都是B[i]的前缀,A[i]至少是B[i]的一个严格前缀。

如果且仅只有两个过滤器交叉时两个规则发生冲突(即流量同时匹配两个规则),彼此不是对方的前缀且二者的行为不一致,更一般地分为以下几种情况。

定义2. 发生以下情况时规则A和B冲突:

  1. 对于所有的i,A[i]和B[i]是无关的
  2. A不是B的前缀
  3. B不是A的前缀
  4. Act(A)与Act(B)的行为不一致

定义3. 规则集是一个排序的规则集合。

例如,考虑到PCN内置防火墙中的规则:

R1: <PCN.MTU.* any PCN.RTU_farm1.* any TCP> allow R2: <PCN.MTU.* any PCN.RTU_farm2.* any TCP> allow R3: <PCN.* any PCN.RTU_farm1.* any TCP> deny R4: <PCN.* any PCN.RTU_farm2.* any TCP> deny R5: <PCN.RTU_farm1.* any PCN.* any TCP> allow R6: <PCN.RTU_farm2.* any PCN.* any TCP> allow 

前两项规则使得任何从MTU发送到RTU的IP数据包都允许通过,这两个规则相互之间不存在冲突,因为二者是不交叉或者互为前缀,例如R1与R4、R5是分享的,而R6是R3的前缀。

然而,R3和R6之间、R4和R5之间存在冲突,R3和R6均处理任何从RTUfarm2中发送到RTUfarm1的流量,R3拒绝通过而R6允许通过,同样的冲突出现在R4和R5之间。

在许多防火墙实例中,首先匹配的规则被赋于了较高的优先权,规则所描述的行为没有顺序。Hari等人指出这种情况在规则中出现环路时会发生这种情况。解决方案是“添加”规则覆盖原先规则集冲突的规则。这些规则被称为“解决冲突”的规则。例如,R7是为R4和R5的解决冲突的规则。

R7: <PCN.RTU_farm1.* any PCN.RTU_farm2.* any TCP> deny 

6.2. 分布式防火墙中的冲突

在本节中,我们指出,在分布式防火墙环境(如TPCNs)冲突的总数比传统结构中的冲突数量更多。在TPCN冲突的总数是所有的网络接入设备(Network Access Devices, NAD)规则集中冲突数量。注意分布在NAD和每个NAD中的规则可能存在一个更小的规则集,这使得情况不再复杂且便于管理,冲突的总数仍然在由单一规则集模型的冲突的数量范围内。

为了证明这一点,首先考虑在操作规则集中的简单的”有序子集“,我们将规则子集RA称为是RB的一个顺序子集当且仅当:

  1. 每一条RA中的规则都在RB中
  2. RA中的每一对规则Ri和Rj如果在RB中Ri优先于Rj,那么在RA中Ri同样优先于Rj。

有序操作子集是由从规则集中抽取出来的一定数量的规则加以排序构成,我们不能确定RA中冲突的数量,它甚至有可能比RB中冲突的数量还要多,假设三个规则R1, R2和R3,其中R1和R2存在冲突,R3是用来解决这两个冲突规则的规则,如果RB中包括有R1-R3而RA中仅包含R1和R2,那么RB不存在冲突而RA中有一个冲突。冲突的增多源于在有序操作子集中有可能没有包括消除冲突的规则。

现在在不同NAD中的单一防火墙规则集上考虑以下方法:

  1. 防火墙规则集中每一条规则都被添加到NAD的规则集中,如果它的源或者目的在由NAD控制的的子集中。
  2. 对于NAD规则集中每一对对规则Ri和Rj,如果在防火墙规则集中Ri的优先级高于Rj的优先级,那么在NAD规则集中Ri的优先级也高于Rj。

这种方法将所有与某个子网相关的规则放置入该子网的NAD规则集中以维护秩序,在防火墙中有可能由于错误的配置而存在有不属于任何由防火墙控制的子网的残坏规则,这些规则将不被收入任何NAD规则集,因此,在这里我们考虑“有效冲突”涉及到实际到达防火墙的网络流。

定理1. 在第个NAD规则集都采用以上方法的分布式防火墙系统中,有效冲突的总数不比单个防火墙中有效冲突的总数多。

证明 假设上述理论不成立,设R1和R2是在分区内冲突但不在防火墙内冲突的规则,R1和R2在同一NAD中且不存在消除二者冲突的规则,但是防火墙中存在一个规则R3用于消除这个冲突,R3不在NAD规则集中。R3是R1和R2的交叉,比二者的约束性更强,根据这种分布式的方法可以推导出R3必须被包括于NAD的规则集中,因此假设的R1与R2的冲突不存在,原假设矛盾。

作为示例,考虑在如图Fig.3中所示的结构和以下规则集。

R1: <PCN.* any PCN.RTU_farm1.* any TCP> deny R2: <PCN.RTU_farm2.* any PCN.* any TCP> allow R3: <PCN.* any PCN.MTU.* any TCP> deny R4: <PCN.RTU_farm2.* any PCN.RTU_farm1.* any TCP> deny 

NAD2规则集包括规则R1、R2和R4,NAD1包括规则R3,注意NAD2规则集中包括的R4可以削除R1和R2之间的冲突。

定理1表明尽管在分布式防火墙架构中每个NAD潜在地包括了一个较小的子集以便于管理和减少错误的产生,有效冲突的总数量不比传统架构中的有效冲突数量多。

防火墙规则冲突可能允许攻击流量进入网络而危及网络的安全性。更严重的是,他们可能阻止合法流量危及网络的可用性。考虑到PCN中可用性的重要性,亟须在TPCN背景中解决此问题。在本节中,我们提出了一个关于在TPCN NAD中分配PCN防火墙规则,避免引入新的规则冲突。此外,我们证明,如果使用这种方法划分的规则,在NAD中冲突的总数不比集中的规则集模型中冲突的总数多。

七、TPCN评估

最能体现TPCN好处的是通过观察其是如何解决传统网络中的安全问题,TPCN可以解决以下部分或者分部的安全问题。

  • 防火墙配置错误(部分解决):TPCN将防火墙规则分解为与访问控制用户组或者角色相关联较小的规则集,AAA服务器完成谁阶段后,这些规则集被AAA服务器发送到NAD,Wool指出配置错误的数量与规则集的复杂程度呈对数关系,由于TPCN的规则集较小,由于防火墙配置造成的错误相对较低。此外,TPCN中的访问规则是基于用户组或者角色而不是IP地址,有助于减轻混乱。由于配置错误所导致的问题永远不可能完全消除,TPCN只是提供了一种缓解的方案。
  • 绕过防火墙(完全解决):由于NAD的安全性以及NAD之间在转发流量(包括无线网线流量和VPN流量)之间所建立的相互信任关系,TPCN完全能够阻止客户端绕过防火墙进行通信。访问控制和流量规则在每一个接入点上都加以实施,几乎不可能通过钩子借助其它链路绕过防火墙规则,因为所有的链路上都被强制执行规则过滤。
  • 弱势设备(部分解决):在传统的网络架构,由网络管理员手动补丁/更新/版本/配置管理。对于远程和移动设备而言这是一个极其困难的任务。执行的频率往往少于建议的次数甚至被简单地忽略掉。在TPCN中,设备的状态在其加入网络之间被自动检查。此外,其行为被持续监测,状态检查也可以保证所需的频率。因此,TPCN不太容易受到已知的攻击。但是请注意,TPCN在O’Day攻击前仍然脆弱。
  • 不安全的物理访问(完全解决):TPCN再通过在NAD端口上强制执行安全策略解决这个问题,这种方式有时被称为“基于端口的访问控制”,即恶意或粗心的用户无法将设备挂入一个开放式的以太网端口并获许进入网络。还要注意上TPCN交换机和无线接入点的端口在与通信实体建立信任关系之前绝对不会转发流量。
  • 恶意软件(部分解决):加入TPCN之前或者之后在设备上强制执行规则将减少病毒感染的可能性。 一份SCADA的安全性的研究注意到,“大多数的蠕虫事件发生数月或数年后,相应的补丁和防范措施会得到贯彻”。这意味着节点加入网络前可以通过强制遵守规则阻止大多数事件。近78%(外部)的SCADA安全事故是由恶意软件造成,TPCN事件正在大幅减少。然而TPCN在O’Day攻击前仍然脆弱。
  • 不可信设备(完全解决):TPCN通过验证应用TPM芯片设备的关键部件的签名和检查设备状态明确地解决了这个问题。需要注意的是,如果TPM芯片是可信的,该设备可以证明其身份。
  • 不受信任的用户(部分解决):通过使用更强的身份验证方法,并明确定义用户角色,TPCN能够阻止诸如密码破解/窃取,访问冲突和模拟攻击。此外,通过屏蔽所有不必要的访问,TPCN部分防止由于内部人士的粗心所造成的所有安全事故中超过30%的事故。我们采用了常见的攻击模式的枚举和分类(CAPEC)数据库[26],以进一步比较了TPCN架构与传统的PCN。 CAPEC包含12个攻击类别与相关的描述、先决条件、方法、后果和预防策略。我们考量了9个攻击类(包括31攻击模式),它们在ICS背景下和展示TPCNs和传统的PCN之间差异。例如,虽然缓冲区溢出攻击是对软件程序有效,他们与评估网络设计无关。

表1和表2给出比较的结果。H(高)是指用仅需要很少的精力和成本就可以完成攻击; M(中)意味着攻击仍然是可能的,但需要的专业知识和昂贵成本付出; L(低)表示,攻击是极不可能的,或涉及巨大的精力、时间成本。表1和表2的最后一列所示的解决攻击的安全控制由TPCN提供。

在所有的31个攻击模式,PCN有19个(61.3%)高,9个(29%)中,3个(9.7%)低。另一方面,TPCN只有2个(6.5%)高危,九个(29%)中和20个(64.5%)低。注意,这是两种架构的网络架构的定性比较,安全指标的量化评估是一个开放的研究问题,超出了本文的范围。

请注意,一个可信网络中的智能设备和配置都必须通过认证和属性验证。如果旧设备未经认证和验证被允许加入网络,可以潜在地消除TPCN的所有的益处。前面我们已经讨论了如何将传统和小型设备的客户端接入可信网络的方法。

我们计划实施一个基于网络安全测试平台的TPCN,并已经开发原型。测试平台被用来在一个大型电力基础设施上进行评估和研究攻击/防御方案。它包括一些真实和模拟设备和两个不同的模拟器。真实的RTU,控站系统,一直在测试平台使用的数据记录。我们还模拟了一些IED,发电和配电仿真过程,一个连接到真正的设备中的电网模拟器为设备提供网格参数和在某些情况下的指令。所有的网络通信是通过RINSE进行,RINSE是一个模拟通信基础设施中网络行为的模拟器。

在TPCN原型中,我们计划使用可信网络连接(TNC)开源健康检查协议(IF-MAP.),传统控制装置可以通过简单的开源客户端增强验证和发送状态信息。TNC的开源项目也可以用于简单的PV和AAA服务器。许多现有的接入点(以太网交换机和无线接入点),在我们的测试平台中都已经支持NAD功能。

八、结论

在本文中,我们已经讨论了在现代ICS中具有挑战性的的安全问题,并基于PCN可信网络的概念上提出了一个新的网络架构。讨论了TPCN基本组成部分、协议和相关的操作,研究了这种架构的需求,尤其是在传统的PCN上构建TPCN的需求。此外,特别在保证可用性的前提下研究了定制和架构选择。我们提出了两个增加终端设备和TPCN基础设施可用性的方法。流量限制规则(防火墙规则)的冲突可能会严重危及系统安全甚至影响TPCN的可用性。为了解决这个问题,提出了规则分配方法并加以证明,使用这种方法,不需要引入额外的防火墙规则解决冲突。最后就是否能够解决安全问题和抵御常见攻击模式对TPCN展开了评估。

可信网络技术可以帮助解决关键基础设施中至关重要的工业控制系统是所涉及的问题。在工业控制网络添加信任机制,消除由于错误的控制、不符合安全要求的设备和恶意用户带来的安全问题。它极大地减少了被外部恶意攻击所利用的漏洞。通过完全验证、端口访问控制和设备与用户认证,降低了内部攻击的可能性。

致谢

Advertisements
此条目发表在未分类分类目录。将固定链接加入收藏夹。

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s