多芬諾關(guān)于Quantum PLC漏洞的解決方案
據(jù)US-CERT(美國計(jì)算機(jī)應(yīng)急響應(yīng)小組)SB11-360公告(http://www.us-cert.gov/cas/bulletins/SB11-360.html)和SB12-037公告(http://www.us-cert.gov/cas/bulletins/SB12-037.html)稱施耐德Modicon Quantum系列PLC存在多項(xiàng)安全漏洞,Tofino全球首席技術(shù)總監(jiān)Eric在2011年12月16日的博客中就提前發(fā)布過相關(guān)資訊�����,這為使用Modicon Quantum系列PLC及所有使用Modbus工業(yè)協(xié)議的用戶敲響了安全防護(hù)的警鐘,從伊朗Stuxnet到Duqu�,越來越多的攻擊破壞行為正越來越多的指向工業(yè)設(shè)備��,Tofino以其獨(dú)創(chuàng)的Modbus工業(yè)安全插件模式,為支持Modbus/TCP工業(yè)設(shè)備提供安全保障���。
1 安全漏洞分析
針對(duì)目前施耐德Modicon Quantum系列PLC的漏洞,大致可將分為以下兩方面��。
1.1 Modbus協(xié)議功能碼90(0x5A)的漏洞
根據(jù)Modbus功能碼定義�����,功能碼90為用戶保留的功能擴(kuò)展編碼段,而非Modbus協(xié)議常規(guī)的功能碼,因此����,這一漏洞是施耐德公司Modicon Quantum系列PLC所特有的��,此功能碼具有啟停PLC設(shè)備���、獲取密碼信息、圖形邏輯代碼上傳下載等可能直接影響PLC正常運(yùn)轉(zhuǎn)的高權(quán)限行為能力�����,而實(shí)際應(yīng)用中此功能碼可能并非用戶所必要���。
1.2 網(wǎng)絡(luò)端口開放漏洞
Modicon Quantum系列PLC存在多項(xiàng)網(wǎng)絡(luò)端口和服務(wù)漏洞���,其中包括許多黑客與病毒常用的通訊端口�����,通過Telnet���、FTP��、Web、遠(yuǎn)程登錄等手段可以導(dǎo)致PLC癱瘓���,PLC在實(shí)際使用中可能并不需要為用戶開放這些網(wǎng)絡(luò)端口,默認(rèn)開放的端口為非法攻擊行為創(chuàng)造了環(huán)境���。
2 安全漏洞防御解決方案:
通過對(duì)Modicon Quantum系列PLC存在的漏洞進(jìn)行分析,我們認(rèn)為可以通過如下方式徹底防御現(xiàn)有的安全漏洞�����。
2.1 PLC Modbus協(xié)議的深度防護(hù)
Tofino工業(yè)防火墻具有深度檢查和防御Modbus協(xié)議通訊的功能,它可以從Modbus的設(shè)備地址、功能碼�、寄存器地址等方面提供Modbus協(xié)議通訊的全面防護(hù)����,通過白名單方式最小化開放允許的通訊行為����,在保證PLC正常通訊的同時(shí)屏蔽一切不必要的和非法的Modbus通訊請(qǐng)求,真正的從應(yīng)用協(xié)議層面保護(hù)PLC的安全,徹底防御Modbus協(xié)議功能碼漏洞��,此功能不僅可以用于Modicon Quantum系列PLC,也可以用于所有通過Modbus協(xié)議通訊的工業(yè)設(shè)備����。
2.2 PLC的網(wǎng)絡(luò)端口與服務(wù)的安全防護(hù)
Tofino防火墻在實(shí)現(xiàn)Modbus協(xié)議深度檢查和防御的同時(shí),還可以對(duì)PLC控制器默認(rèn)開放的網(wǎng)絡(luò)端口與服務(wù)提供安全防護(hù)���,防火墻的白名單方式最小化開放必要的通訊端口�,屏蔽了Telnet�����、FTP���、Web�、遠(yuǎn)程登錄等所有不必要的和非法的通訊端口���,Tofino防火墻特有的屏蔽IP功能����,使非法攻擊者根本無法掃描并攻擊網(wǎng)絡(luò)中的PLC設(shè)備���,為其保護(hù)的工業(yè)設(shè)備提供了一個(gè)安全的運(yùn)轉(zhuǎn)環(huán)境。
2.3 隔離企業(yè)內(nèi)網(wǎng)與控制網(wǎng)絡(luò)
通過在企業(yè)內(nèi)網(wǎng)(數(shù)采網(wǎng))與PLC所在的控制網(wǎng)絡(luò)之間加入Tofino工業(yè)防火墻,安全隔離控制網(wǎng)絡(luò)的PLC設(shè)備不與外界網(wǎng)絡(luò)通訊,防御來自外網(wǎng)的非法侵入�。數(shù)采網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間往往需要進(jìn)行數(shù)據(jù)通訊���,一般采用的工業(yè)協(xié)議為OPC協(xié)議�,OPC協(xié)基于DCOM技術(shù)���,使用動(dòng)態(tài)端口進(jìn)行通訊,傳統(tǒng)防火墻無法有效的從應(yīng)用協(xié)議層面對(duì)OPC協(xié)議進(jìn)行防護(hù)���,Tofino工業(yè)防火墻恰恰具有深度檢查與防護(hù)OPC通訊協(xié)議的能力,這樣通過充分發(fā)揮Tofino防火墻作為邊界設(shè)備的優(yōu)勢(shì),能夠?qū)?shù)采網(wǎng)絡(luò)與控制網(wǎng)絡(luò)安全隔離����,防御外界網(wǎng)絡(luò)對(duì)控制網(wǎng)絡(luò)PLC設(shè)備的非法攻擊。
3 應(yīng)用案例展示:
目前Tofino防火墻已經(jīng)被廣泛的應(yīng)用于工業(yè)信息網(wǎng)絡(luò)�,為用戶提供了工業(yè)協(xié)議與工業(yè)網(wǎng)絡(luò)通訊的安全防護(hù)。
案例一:Modbus協(xié)議的防護(hù):
用戶信息:中國石化青島煉化分公司
應(yīng)用環(huán)境:SIS儀表安全控制系統(tǒng)工程師站防護(hù)
防護(hù)描述:SIS系統(tǒng)的工程師站使用IFIX軟件作為HMI平臺(tái)��,通過Modbus協(xié)議與SIS系統(tǒng)控制器進(jìn)行數(shù)據(jù)通訊�,通過流程圖顯示現(xiàn)場(chǎng)數(shù)據(jù),為用戶提供現(xiàn)場(chǎng)數(shù)據(jù)的實(shí)時(shí)信息���,同時(shí)HMI軟件也具備數(shù)據(jù)寫入能力,通過Modbus協(xié)議可以將數(shù)據(jù)寫入到控制器中��。
防護(hù)架構(gòu)圖:
防護(hù)策略:根據(jù)實(shí)際應(yīng)用的了解發(fā)現(xiàn)工程師站只使用功能碼01和03讀取現(xiàn)場(chǎng)數(shù)據(jù)����,而正常操作情況不需要通過寫入功能碼修改現(xiàn)場(chǎng)數(shù)據(jù),在防火墻安全策略設(shè)置中我們最小化開放Modbus協(xié)議的01和03功能碼及必要的地址偏移量和連續(xù)地址范圍�,這樣在保證HMI平臺(tái)正常通訊的同時(shí)也將其它所有非必要的功能碼和地址段安全保護(hù)起來,如果有Modbus協(xié)議的非法操作都將被防火墻攔截���。
案例二:齊魯石化施耐德Modicon Quantum PLC與MES網(wǎng)絡(luò)隔離防護(hù):
用戶信息:中國石化齊魯石化分公司
應(yīng)用環(huán)境:齊魯石化*****裝置
防護(hù)描述:企業(yè)MES數(shù)采網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間需要進(jìn)行數(shù)據(jù)通訊���,一般采用的工業(yè)協(xié)議為OPC協(xié)議,OPC協(xié)基于DCOM技術(shù)��,使用動(dòng)態(tài)端口進(jìn)行通訊��,傳統(tǒng)防火墻無法有效的從應(yīng)用協(xié)議層面對(duì)OPC協(xié)議進(jìn)行防護(hù)����,Tofino獨(dú)有的OPC安全插件恰恰具有深度檢查與防護(hù)OPC通訊協(xié)議的能力�,這樣通過充分發(fā)揮Tofino防火墻作為邊界設(shè)備的優(yōu)勢(shì)����,能夠?qū)?shù)采網(wǎng)絡(luò)與控制網(wǎng)絡(luò)安全隔離,防御外界網(wǎng)絡(luò)對(duì)控制網(wǎng)絡(luò)PLC設(shè)備的非法攻擊�。
防護(hù)架構(gòu)圖:
防護(hù)策略:在Modicon PLC控制網(wǎng)絡(luò)的OPC Server和上層MES數(shù)采機(jī)之間增加Tofino防火墻,并采用用OPC Enforcer安全插件進(jìn)行防護(hù)���。
