从控制系统网络的内部和外部对控制系统进行攻击时,控制系统是脆弱的。要了解控制系统相关的漏洞,用户必须知道通信类型和与控制系统的相关操作,以及解了攻击者如何利用系统漏洞使他们获益。本文仅提供一种高层的概述,不讨论攻击者利用漏洞完成入侵的细节。
我们将从下面几个方面进行介绍: ●了解控制系统的网络漏洞; ●访问控制系统局域网: o 常见的网络架构; o 拨号访问远程终端; o 供应商支持; o 信息技术(IT)控制的通信装备; o 企业的虚拟专用网(VPN); o 数据库链接; o 配置不当的防火墙; o 对等设施链接。 ●过程发现; ●过程控制: o 命令直接发送到数据采集设备; o 输出到人机界面(hmi)屏幕; o 更改数据库; o 中间人攻击。 一、了解控制系统的网络漏洞 要了解工业控制系统(ICS)的相关漏洞,用户必须首先了解所有可能流入和流出ICS的通信路径。图1给出了用于典型过程系统组件通信的各种设备、通信路径和方法。
如图1中所示,使用各种计算和通信设备,有许多方法与ICS网络和组件通信。一个人如果具有对工艺设备、网络、操作系统和软件应用的知识,就可以使用这些设备和其他电子工具访问ICS。目前在未经授权连接系统和网络的无线接入点出现了漏洞。
控制器单元连接到过程设备和传感器收集状态数据,并提供设备的操作控制。控制单元与ICS数据采集服务器的通信使用不同的通信协议(用不同格式为传输的数据打包)。一个系统中的数据采集服务器和控制器单元之间的通信,在本地通常使用高速线、光纤电缆;对远程的控制器单元,通常使用无线、拨号、以太网,或组合的通信方法。
在大多数控制系统中,有三种常见的架构。每个企业都有自己的细微变化,这由他们所处的环境所决定。如果防火墙、入侵检测系统以及应用级权限都实施到位,就有三重安全性。目前最常见的结构是两个防火墙的体系结构(参见图3)。业务局域网由一个隔离因特网的防火墙来保护,控制系统局域网由另一个防火墙保护,与业务局域网隔离。业务防火墙由企业的IT人员管理,控制系统防火墙由控制系统人员管理。
第二种常见的架构是在控制系统网络建立一个隔离区(DMZ)隔开与业务局域网的连接(见图4)。这个防火墙由IT人员管理,从业务局域网和互联网两个方面保护控制系统的局域网。 图5:业务局域网作为骨干网 大型DCS往往需要使用业务网络的多个部分作路由,连接多个控制系统局域网(见图5)。每个控制系统局域网都有自己的防火墙,使他与业务局域网分开,并且加密保护每个过程通信,因为信息要穿越业务局域网。防火墙的管理一般由控制系统和IT部门的人员共同完成。
一种新的趋势是在企业局域网和控制系统局域网之间(参见图6)安装数据DMZ。它提供了一个额外的保护层,因为从控制系统局域网到业务局域网没有直接通讯。数据DMZ的增强性能取决于它的实施细节。
其中最常见的接入途径是对连接现场设备的调制解调器直接拨号(参见图7)。如果主高速线路发生故障时,调制解调器用做备份通信路径。攻击者会在一个城市拨打每个电话号码寻找调制解调器。此外,攻击者还会拨打公司每个分机寻找挂在企业电话系统中的调制解调器。大多数远程终端单元(RTU)能识别他们自己和制造他们的供应商。大多数的RTU不需要证明或密码进行验证。使用默认密码的RTU非常常见,现场仍在使用。
大多数控制系统都具有供应商支持协议。在升级过程或当系统发生故障时提供支持。供应商最常见的支持手段是通过调制解调器或通过因特网与PC连接(见图8)。近年来,已过渡到用虚拟专用网(VPN)访问控制系统局域网。攻击者会尝试获取对内部供应商资源或现场笔记本电脑的访问,然后间接连接到控制系统的局域网。
通常情况下,企业IT部门负责长距离通讯线路的运营和维护。这时,常见的问题是其中一条或多条通信线路被业务局域网控制和使用。使用微波链路和光纤线路多路复用器是最常见的解决方案。一个高水平的攻击者可以重新配置或改变那些通信装备连接控制现场网络(见图9)。
大多数控制系统提供一些机制,允许业务局域网的工程师访问控制系统局域网。最常用的方法是通过VPN到达控制防火墙(见图10)。攻击者会试图接管一台机器,等待合法用户通过VPN连接控制系统局域网,然后搭载这个连接。
几乎每个生产控制系统都将日志记录到控制系统局域网上的数据库,然后再映射到企业局域网上。通常情况下,管理员按照规则去配置防火墙,但没花很多时间来保护数据库。一个高水平的攻击者可以访问企业局域网上的数据库,并使用特定的结构化查询语言(SQL)接管在控制系统局域网上的数据库服务器(参见图11)。如果没有使用正确的配置来阻止,几乎所有的现代数据库都会受到这种类型的攻击。 图12:对等设施链接 通常连接一个控制系统局域网最简单的方法是接管临近的公共设施或合作伙伴。从历史上看,伙伴或邻居的链接已被信任。在这种情况下,系统的安全是最弱成员的安全(参见图12)。最近,对等链接已被限制在防火墙后面的特定主机和端口。
控制过程最简单的方法是将命令直接发送到数据采集设备(参见图13)。大多数plc、协议转换器、数据采集服务器都缺乏基本的鉴权功能。他们通常接受任何格式正确的命令。攻击者希望只需建立一个与数据采集设备的连接,然后发出相应的命令。
一个有效的攻击方式是给攻击者导出操作员人机界面控制台的屏幕(参见图14)。市售的工具可以在Windows和Unix环境下完成此功能。只要攻击存在,操作员会看到一个“巫毒老鼠”在屏幕上到处点击。攻击者也受限于当前登录操作员可以操作的命令。举例来说,他不能改变变压器上的相线接头。
有些(但不是所有的)供应商的控制系统,操作数据库中的数据可以执行控制系统的任何动作(参见图15)。
如果攻击者知道他所操作的协议,中间人攻击可在控制系统的协议上进行。攻击者可以修改传输过程中的数据包,可以恶搞操作员人机界面的显示,也可以完全控制ICS(参见图16)。通过对命令流插入命令,攻击者可以发出任意的或针对的命令。通过更改回复,操作员得到的显示是更改后的过程画面。 |
电工学习网 ( )
GMT+8, 2021-12-6 20:47