Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Hálózati csomagszűrő megoldások használata ipari rendszerek hálózataiban

2016. július 16. - icscybersec

A különböző forgalomszűrő eszközök (Layer-2 és Layer-3 ACL-ek, tűzfalak, IDS/IPS eszközök) használata mára az ICS rendszerek hálózataiban is elterjedtnek számít, az ICS-CERT rendszeresen ad olyan kockázatcsökkentést célzó tanácsokat, amelyek között az első az ipari rendszerek hálózatának publikus hálózatoktól történő szeparálását sürgeti.

A mai poszt a Belden Industrial blog-ján megjelent cikk alapján az ipari rendszereknél használt különböző forgalomszűrési módszereket fogja áttekinteni.

Csomagszűrés ACL-ek használatával

Az ACL-ek használata az IT hálózatokban több évtizedes múltra tekint vissza, mind a mai napig használják költséghatékony forgalomszűrésre olyan esetekben, amikor nincs lehetőség tűzfalak használatára.

Előnyük továbbá a nagyon gyors csomagszintű ellenőrzés, ami egyes valósidejű működésre épülő ipari rendszerek esetén az egyetlen elfogadható csomagszűrő eszközzé teszik az ACL-eket. Hátrányuk a nem állapottartó működés (vagyis nem képesek felismerni, hogy egy bejövő csomag egy kimenőre érkező válasz vagy fordítva), emiatt minden kapcsolat működéséhez két szabályt kell felvenni. Ez meglehetősen nagy ACL-eket eredményezhet, ami extrém esetekben azt eredményezheti, hogy a L2-L3 eszközök már CPU-ból próbálják végezni az alapvető routing feladatokat, ez pedig komolyabb teljesítményromlást eredményezhet.

Állapottartó csomagszűrés

Eredeti angol kifejezéssel stateful packet filtering (SPI), az egyik legalapvetőbb hálózati forgalomszűrő módszer, amire számos ipari környezetbe szánt eszköz épül, ilyen többek között a Hirschmann EAGLE tűzfalak vagy a Tofino Xenon Security Appliance-ek illetve ugyanerre a technológiára épül számos ipari hálózati eszköz, mint például a GarrettCom 5RX és 10RX sorozatú routerei vagy a Hirschmann OpenBAT vezeték nélküli hálózatokhoz használható AP.

Az SPI-alapú eszközök egyik legnagyobb előnye az ACL-ekkel szemben, hogy képesek felismerni a csomagok közül azokat, amelyek egy kimenő csomagra válaszul érkeznek, ezen az alapon tudják elhárítani azoknak a támadásoknak egy részét, amik a védendő hálózatot célozzák. Az SPI működéséből adódóan lassabb, mint az ACL, az ilyen módon működő eszközök már mérhető késleltetést okoznak a hálózati kommunikációban. Ipari környezetben történő használatuknál ezt a tényt minden esetben figyelembe kell venni még a tervezési fázisban.

Magas szintű csomagelemzés (Deep Packet Inspection - DPI)

Úgy az ACL-ek, mint az SPI-alapú eszközök biztosítanak bizonyos szintű védelmet az ipari rendszerek számára, azonban ezek sok esetben nem képesek megelőzni, hogy a támadók rossz szándékkal készített csomagokat juttassanak be az ipari rendszerek hálózatába. Az ACL vagy az SPI csak abban segít, hogy eldöntsük, egy adott kapcsolatot engedélyezünk vagy tiltunk, ennél alaposabb vizsgálatra egyik eszköz sem képes. Például ha ACL-ekkel vagy egy SPI-szabállyal engedélyezzük a forgalmat az HMI és egy PLC között azért, hogy az HMI-ról ki lehessen olvasni a PLC állapotát, egyúttal arra is lehetőséget biztosítunk, hogy programozási parancsokat adjanak ki ugyanarról az HMI-ról, ami komoly biztonsági problémákat okozhat. Egy bizonyos pontig ez a szintű védelem megfelelő lehet, de minél mélyebbre megyünk az ipari rendszerek hálózataiban (és elérjük a PLC-k és RTU-k és egyéb ipari eszközök szintjét), már ennél finomabban hangolható szabályrendszerre lesz szükség.

Erre találták ki a DPI-t, ami nem csak a csomagok fejléceit vizsgálják, hanem magát a csomag adattartalmát is ellenőrzik, így teszik lehetővé finomra hangolt szabályrendszer kialakítását. Az előző példával élve, ha egy DPI-eszközt megfelelően felparaméterezünk, az eszköz képes lehet arra, hogy a HMI-től a PLC-hez érkező olvasási utasításokat tartalmazó csomatokat átengedje, de a programozási utasításokat hordozó csomatokat blokkolja. A minta-illesztéses DPI-elemzéseknek természetesen megvan az ára, a nagyobb biztonságért cserébe nagyobb feldolgozási teljesítménnyel és nagyobb hálózati késleltetéssel kell fizetni. Ipari környezetbe szánt DPI-képes eszközből is többféle van, ilyen például a Tofino Xenon Security Appliance vagy az EAGLE 20/30 típusú tűzfalak.
A DPI-eszközök (különösen pedig a minta-illesztést alkalmazó DPI-megoldások) legnagyobb hátránya, hogy csak a már ismert fenyegetések ellen tudnak megfelelő védelmet nyújtani - hasonlóan a szignatúra-alapú víruskereső megoldásokhoz, amelyek hatásfokáról sokunknak vannak tapasztalatai.

A fent ismertetett megoldások egyike sem jelent újdonságot a vállalati hálózatok biztonságáért felelős szakembereknek, azonban ipari rendszerek esetén még ma sem magától értetődő, elég csak azt megnézni, hány ipari eszköz érhető el az Internetről. A különböző csomagszűrő megoldásokkal és egyéb biztonsági eszközökkel (valamint egyéb biztonsági megoldásokkal és a megfelelő eljárásokkal) ki lehet alakítani egy olyan mélységi védelmet, amely ha megakadályozni nem is tudja, hogy egy elszánt és megfelelő tudással és háttérrel rendelkező támadó bejusson az ipari rendszerek hálózatába, de hozzásegíthetnek ahhoz, hogy minél gyorsabban felismerhető legyen egy biztonsági incidens.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr978733104

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása