Ponieważ wiele przemysłowych urządzeń jest podatnych na ataki hakerów, zastosowanie choćby najprostszych zapór sieciowych w pobliżu sterowników PLC lub integracja funkcji zapory w samych urządzeniach to praktyczny sposób na zwiększenie bezpieczeństwa.
Małe, podłączone do Internetu urządzenia sterują fabrykami, zarządzają siecią energetyczną, dozują lekarstwa i wpływają na nasze codzienne życie w różnorodny sposób. Wielu projektantów systemów wbudowanych nie integruje w nich żadnej zapory sieciowej chroniącej przed cyberatakami, sądząc, że jest ona niepotrzebna, a urządzenie nigdy nie będzie celem ataku.
Większość konwencjonalnych i wbudowanych urządzeń automatyki opracowanych w ostatnich latach ma interfejs ethernetowy, za pomocą którego może uzyskać dostęp do Internetu. Niektóre z nich oferują pewne zabezpieczenia, takie jak hasła, SSH czy SSL, ale toza mało. Inne urządzenia nie oferują nawet tak prostych mechanizmów bezpieczeństwa, w pozostałych nazwy kont i hasła ustawione przez producenta nie mogą być zmieniane. Gdyby w taki sposób udało się gwarantować bezpieczeństwo, nie słyszelibyśmy w mediach o cyberwłamaniach. Starsze systemy są jeszcze bardziej podatne. Zaprojektowano je do pracy w izolowanej części sieci, dlatego nie wyposażono ich w żadne zabezpieczenia. Dziś wiele z nich pracuje w otwartych sieciach bez jakichkolwiek zabezpieczeń. Popularna definicja bezpieczeństwa jest przestarzała i wymaga ponownego sformułowania.
Realne zagrożenia i rozwiązania
Inżynierowie zakładają często, że hakerzy nie będą atakować sieci przemysłowych, ponieważ wg nich przestępcy są zainteresowani wyłącznie atakiem na komputery i sieć warstwy biznesowej. Ostatnie doniesienia przeczą jednak tej teorii. Wiele przemysłowych sterowników PLC i PAC, a także inne komponenty automatyki stanowią łatwy cel, jeśli są dostępne z zewnątrz macierzystej sieci. Haker może spowodować bardzo wiele problemów.
Inżynierowie przemysłowych systemów sieciowych i systemów wbudowanych mogą się wiele nauczyć od specjalistów IT, wdrażając wielowarstwową strategię ochrony [zwaną strategią głębokiej ochrony ? przyp. tłum.] wykorzystującą zapory sieciowe i szyfrowane protokoły. Zapora sieciowa stanowi krytyczną warstwę bezpieczeństwa dla takich urządzeń, a wraz z mechanizmami uwierzytelniania i odpierania ataków oferuje bezpieczeństwo, którego nie jest w stanie zapewnić samo uwierzytelnianie i szyfrowanie. Zapora sieciowa musi być efektywna, powinna konsumować mało zasobów systemowych i być skalowalna, zapewniając pracę z małymi, 8-bitowymi urządzeniami pracującymi z niewielkimi/bez systemów operacyjnych oraz z rozbudowanymi wielordzeniowymi systemami z uruchomionym systemem RTOS (ang. Real-Time
Operating System ? system operacyjny czasu rzeczywistego). Aplikacje realizujące funkcje zapory w biurowych systemach IT nie spełniają tych wymagań. Bazujące na systemach Windows i Linux zapory sieciowe są efektywne, ale nie nadają się do ochrony urządzeń przemysłowych.
Sprzętowe zapory pomagają, ale…
Sprzętowe zapory sieciowe są stosowane do izolacji prywatnych sieci od Internetu. Cały ruch sieciowy pomiędzy komputerami wewnątrz sieci a Internetem musi przejść przez zaporę. Reguły zapory są tak określone, żeby chronić sieć lokalną przed atakami z Internetu. Reguły dotyczą protokołów, portów i adresów IP, które są przepuszczane przez zaporę. Sprzętowe zapory mogą przeprowadzać zaawansowaną analizę pakietów sieciowych, blokując szkodliwe oprogramowanie atakujące systemy Windows. Poprawnie skonfigurowane są w stanie zapewnić efektywną warstwę ochrony przed atakami DoS (ang. Denial of Service ? odmowa usługi), wirusami i szkodliwym oprogramowaniem.
Sprzętowe zapory są jednak zaprojektowane do ochrony całej sieci ? stosowanie reguł ma sens w przypadku traktowania sieci jako całości. Wymagania komunikacyjne pojedynczych sterowników i innych urządzeń wbudowanych są często bardzo specyficzne i ograniczone do kilku obsługiwanych protokołów, portów i niewielkiej liczby urządzeń, z którymi mogą nawiązać łączność. Wbudowana w urządzenie zapora sieciowa jest lepszym zabezpieczeniem, ponieważ udostępnia reguły dostosowane do jego wymagań, zapewniając lepszą kontrolę.
Źródłem ataków może być też sieć macierzysta. Nie da się ich powstrzymać za pomocą sprzętowej zapory izolującej sieć lokalną od Internetu, jedyną barierą są zapory wbudowane w poszczególne urządzenia. Ataki mogą być przeprowadzane przez osoby mające dostęp do lokalnych zasobów albo za pomocą pakietów z Internetu, które nie zostały przechwycone przez zaporę główną (np. Stuxnet infekował jednostki w sieci, rozprzestrzeniając się dzięki pamięci USB).
Idąc krok dalej, trzeba być ostrożnym, przyjmując założenie, że sterownik lub inne urządzenie będzie zawsze znajdować się za zaporą. Sieć zmienia się z czasem, a zapory mogą stać się w końcu podatne na ataki nowego typu. Czy można być absolutnie pewnym, że urządzenie wbudowane będzie działać zawsze za zaporą sieciową? Nawet jeśli tak, to czy jesteś w stanie zaufać zaporze jako podstawowej i prawdopodobnie jedynej linii obrony?
Zapory wbudowane w urządzenie
Zapora sieciowa wbudowana w urządzenie automatyki lub pracująca bezpośrednio przy nim wzbogaca zbiór reguł, które tworzą bezpieczną przestrzeń pracy dla urządzenia. Reguły zapór decydują o protokołach i portach zdolnych do komunikacji z urządzeniem. Tego typu zapory są zintegrowane bezpośrednio ze stosem TCP/IP urządzenia i filtrują pakiety na poziomie protokołu IP. Blokują niechciane pakiety i ataki DoS jeszcze przed rozpoczęciem procesu uwierzytelniania.
Istnieje wiele strategii wspomagających reguły zapory. Typowe metody to:
- Filtrowanie na podstawie reguł: sprawdzanie każdego pakietu pod względem zgodności z regułami. Pakiet jest akceptowany lub odrzucany. Decyzję podejmuje się na podstawie informacji zawartej w pakiecie.
- Filtrowanie SPI (ang. Stateful Packet Inspection): dopuszczanie do ruchu sieciowego pakietów pochodzących wyłącznie od zaufanych aplikacji.
- Filtrowanie progowe: analiza ilościowa otrzymywanych pakietów. Przekroczenie wartości progowej jest uznawane za flood lub atak DoS.
Filtrowanie na podstawie reguł wzmacnia działanie zapory poprzez blokadę zbędnych protokołów, portów i korzystanie z list dozwolonych i zastrzeżonych adresów IP. Dla niektórych urządzeń jest to wystarczające zabezpieczenie. Pomyśl o hakerze, usiłującym wpłynąć na pracę pompy za pośrednictwem Internetu. Zazwyczaj sterownik pompy komunikuje się z małą liczbą znanych urządzeń o określonym adresie IP. Dodanie tych sprawdzonych adresów do listy dozwolonych nadawców uniemożliwi atak.
Filtrowanie SPI zapewnia ochronę przed pakietami z niepoprawną informacją o stanie, które są często wykorzystywane do ataków w Internecie. SPI może być wykorzystane do trybu blokady, w którym wymaga się, aby wszystkie połączenia pochodziły od urządzenia wbudowanego.
Filtrowanie progowe jest bardziej złożone i wymaga znacznych zasobów sprzętowych, ale jest skutecznym narzędziem wykrywającym flood i ataki DoS.
Coraz częściej słychać o atakach na termostaty, komputery podkładowe samochodów, urządzenia medyczne i systemy SCADA. Powinniśmy raczej zapytać: Dlaczego nie stosować zapory sieciowej?
Opracował Łukasz Urbański, Zachodniopomorski Uniwersytet Technologiczny w Szczecinie
CE