Článek ve formátu PDF je možné stáhnout
zde.
Ralf Kaptur
Ethernet se z úrovně informačních systémů pro ekonomické řízení výroby rozšiřuje stále více také na provozní úroveň průmyslové automatizace, a dokonce až na úroveň snímačů a akčních členů. V této souvislosti roste také význam zabezpečení průmyslové techniky (Industrial Security). V současnosti však bezpečnostní koncepce zřídka přesahují opatření používaná ve světě běžné informatiky, jako jsou např. firewally nebo dobře míněné rady a modely postupů pro výstavbu a provoz síťové infrastruktury. Nové přístupy by měly vyhovět uživatelům, kteří požadují zavedení jednoznačně klasifikovatelných integrovaných bezpečnostních funkcí.
Současné bezpečnostní koncepce využívané v průmyslové výrobě se zpravidla zakládají na segmentaci sítí prostřednictvím firewallů. Takové opatření především snižuje riziko nekontrolovaného šíření bezpečnostních problémů v rámci celé sítě, nemůže však zaručit, že budou terminály samy o sobě bezpečnější. Co to znamená?
Automatizační prostředky, jako programovatelné automaty, moduly I/O nebo jednotky HMI, nejsou klasické síťové počítače se softwarovým vybavením založeným na operačních systémech Windows nebo Linux, které by byly neustále aktualizovány. V jejich zabezpečení jsou proto často značné rezervy. Nezřídka nejsou zdokumentovány, nebo dokonce ani známy všechny služby a otevřené porty, které jsou na zařízeních implementovány. Nesprávně implementované sestavy protokolů (protocol stacks) nebo jejich staré verze vedou mnohdy k tomu, že zařízení reagují na permutace datových paketů nebo na přetížení sítě zhroucením systému.
1. „Vnitřní“ bezpečnost sítí
Stále více uživatelů požaduje informační systémy a sítě, které budou bezpečné „samy o sobě“. Díky organizacím jako německé (resp. evropské) sdružení Namur nebo severoamerické NERC se toto téma dostává také na mezinárodní normalizační grémia. Vliv těchto skutečností je patrný především ve vývoji nových řízení, u nichž se zabezpečení začíná promítat už do samotného návrhu. Naproti tomu je nutné najít řešení také pro velké množství již instalovaných systémů. Stále hlasitěji se ozývá i volání po klasifikaci vlastností zabezpečení průmyslových zařízení a strojů, analogické ke známým úrovním celkové bezpečnosti SIL (Safety Integrity Level).
Ze speciálních normalizačních grémií zabývajících se zabezpečením sítí v automatizační technice se tomuto tématu jako první začala věnovat americká organizace ISA (Instrumentation, Systems, and Automation Society), konkrétně její pracovní skupina SP99 Zabezpečení výrobních a řídicích systémů (Manufacturing and Control Systems Security). Část 1 normy ISA-SP99 [1] se zabývá obvyklým strukturováním sítě pomocí různých známých bezpečnostních opatření (counter-measures) a jejich odstupňováním (defense in depth). Mimo jiné stanovuje úrovně bezpečnosti, Security Levels SL1 až SL3, které by měly platit pro určité zóny sítě. Pro dosažení každé bezpečnostní úrovně jsou nutná jak organizační, tak technická opatření.
V připravované části 4 mají být blíže specifikovány technické požadavky, jež musí splňovat každý síťový uzel v rámci zóny s určitou bezpečnostní úrovní. Certifikační instituce pro nezávislé posouzení těchto vlastností (ISA Security Compliance Institute) byla založena již na konci roku 2007 (obr. 1).
2. Základní ochrana automatizačních systémů
Přístup stanovený ISA-SP99 lze jedině uvítat. Budou-li muset všechny automatizační komponenty instalované uvnitř jedné bezpečnostní zóny splňovat příslušné bezpečnostní standardy (v prvním kroku úrovně SL1), výrazně se tak zvýší stabilita zabezpečení celého systému. To může zajistit bezproblémový chod i větších, heterogenních automatizačních sítí, přinejmenším tehdy, když nebudou vystaveny cíleným útokům zvnějšku. Jistota takové základní bezpečnosti potom může být výchozím bodem všech dalších úvah o tématu ochrany a zabezpečení. Avšak pro to, aby bylo možné dosáhnout vyšší úrovně zabezpečení, by měly být v následujícím kroku základní požadavky (úroveň SL1) doplněny rozšiřujícím opatřením k zabezpečení sítě.
V dnešní době navíc ještě nelze předpokládat, že všechna používaná koncová zařízení, jako např. PLC, splňují požadavky úrovně zabezpečení SL1 bez některých externích opatření. V praxi to znamená, že k dosažení potřebné úrovně ochrany jsou nutná – přinejmenším přechodně – zvláštní zabezpečovací zařízení sítě.
V tomto bodě přichází společnost Hirschmann se strategií integrované bezpečnostní architektury, která zahrnuje několik stratifikovaných funkcí, jež jsou k dispozici za každým jednotlivým portem sítě. Interaktivní systém správy navíc zajistí, že síť bude schopna reagovat na všechny informace až na úroveň portu, a také naopak, že bude sama poskytovat detailní informace.
3. Rozšířená ochrana prostřednictvím síťové infrastruktury
Ideální by bylo, kdyby měl každý port vlastní firewall se systémem detekce průniků IDS (Intrusion Detection System) a antivirovou ochranou. Potom by bylo možné přímo kompenzovat každou bezpečnostní slabinu připojených terminálů. Tento model však velmi rychle narazí na své přirozené hranice: konfigurace a správa takové sítě by byly extrémně složitými úkoly, výkon sítě by byl velmi omezený a pořizovací náklady vysoké. Řešení společnosti Hirschmann pracuje proto s modelem, v němž jsou bezpečnostní funkce v síti rozděleny tak, aby byly realizovány na vhodném místě a v souladu s výkonem daných síťových komponent, avšak virtuálně fungovaly na každém portu zvlášť (obr. 2).
Z hlediska přístupu k síti, tj. portů k připojení počítačů, serverů a PLC, je nutné zajistit, aby byla k síti připojena pouze předem daná zařízení. K ověřování nezbytnému pro tento proces už existuje standardizovaný mechanismus (IEEE 802.1X – Port Based Network Access Control), který podporují také např. přepínače od firmy Hirschmann. Realizace tohoto přístupu v praxi, zvlášť v oblasti automatizační techniky, je ale využitelná jen omezeně. Proto je nutné umožnit identifikaci a klasifikaci terminálů s využitím různých mechanismů a interaktivní podpory správy sítě. Na základě provedeného ověření a identifikace připojených zařízení už mohou komunikační přepínače učinit primární rozhodnutí ohledně využívaných sítí VLAN a priorit i ohledně omezení šířky pásma.
Směrem k centru sítě jsou umístěny výkonné přepínače s rozšířenými bezpečnostními mechanismy, které zajišťují, aby závady jednotlivých zařízení nebo částí sítě neměly negativní důsledky pro celou síť. Při tom jde především o síťové filtry s různými bezpečnostními funkcemi, od jednoduchých seznamů pro kontrolu přístupu až po firewally využívající dynamické filtrování paketů (stateful inspection). Inteligentní senzory v síti navíc kontrolují tok dat, zda neobsahuje podezřelé známky útoku, a v případě ohrožení vydají odpovídající výstrahu (IDS, Intrusion Detection Systems).
Na místech, na nichž jsou k automatizační síti připojeny jiné sítě, stroje nebo zařízení, se nadále využívají klasická zařízení na ochranu vnější hranice sítě (perimetru; Perimeter Security Devices), tedy samostatné firewally s rozšířenou funkcí (obr. 3). Zapomenout nelze ani na připojení vzdálených koncových zařízení, která jsou realizována prostřednictvím zakódovaných virtuálních sítí (VPN), a na ochranu před viry a červy. Obě funkce jsou implementovány přímo v koncových zařízeních a částečně také v zařízeních na ochranu perimetru.
4. Interaktivní správa zabezpečení
Není pochyb o tom, že konfigurace všech funkcí zabezpečení a jejich komplexní spolupráce musí být spravovány centrálně. Společnost Hirschmann proto plánuje zahrnout tyto funkce do svého softwaru pro správu sítí Industrial HiVision. Již následující verze bude podporovat multikonfigurační dialogová okna, jimiž bude možné konfigurovat několik firewallů Eagle současně. Navíc bude možné vytvořené sady pravidel označit názvem a pracovat s nimi jako se šablonami.
Pro efektivní správu zabezpečení je kromě toho nutné implementovat zpětnou vazbu. To znamená, že systém také musí poskytovat informace o účinnosti implementovaných řešení (monitoring a logging). V rámci popsaného integrovaného bezpečnostního řešení jsou k tomu využívány nejrůznější informace od jednotlivých zařízení infrastruktury a od agentů IDS. Pro to, aby mohly být tyto informace správně posouzeny a konsolidovány, je i tady zapotřebí podpora centrální správy dat (obr. 4).
Vyhodnocením různých běžně dostupných dat je možné již současnými prostředky vytvořit aktuální obraz konfigurace sítě. K odhalení potenciálních bezpečnostních problémů lze doplňkově využít také výstrahy a stavové zprávy. I v tomto bodě směřuje strategie společnosti Hirschmann k integraci těchto funkcí do centrální správy zabezpečení. Dále by měly být v každém okamžiku k dispozici informace o tom, jaký druh zařízení s jakými hardwarovými a IP adresami je připojen do sítě a na kterých portech. Poskytování těchto informací je užitečné z několika důvodů.
Velká přednost takového komplexního řešení spočívá v tom, že získávání dat důležitých z hlediska bezpečnosti a jejich vyhodnocování (včetně zahájení patřičných protiopatření) jsou zcela nezávislé na prostorové rozlehlosti sítě. Teprve díky tomu je integrovaná a rozdělená implementace funkcí, která byla popsána v předcházejících odstavcích, využitelná praxi. Velká nevýhoda singulárního, neintegrovaného zabezpečení totiž spočívá v tom, že se reakce na ohrožení bezpečnosti omezuje pouze na činnost konkrétního zabezpečeného zařízení.
Následující tři příklady ilustrují možnosti, které z integrované a centralizované správy zabezpečení vyplývají:
-
Plošná implementace ověřování založeného na certifikátech podle IEEE 802.1X je velmi obtížná už v homogenních kancelářských sítích (srov. [5]). V heterogenním světě průmyslové automatizace je každý takový pokus už předem odsouzen k nezdaru. Začlenění serveru RADIUS proxy do řešení správy zabezpečení však vedle standardního ověřovacího procesu nabízí také další možnosti, např. webové přihlašování prostřednictvím uživatelského jména a hesla, identifikaci založenou na adrese MAC nebo využití protokolu LLDP-MED.
-
Jestliže klasický systém IDS rozpozná typické známky útoku, okamžitě zablokuje komunikaci v části sítě, která je jejich nositelem. To však útočníkovi nezabrání v tom, aby pokračoval v útocích na koncová zařízení v nechráněné síti. Když se ovšem zjistí, na jakém portu k útoku dochází, lze ho díky systému interaktivní správy bez prodlení vypnout.
-
Vytváření aktuálního obrazu sítě ve správě zabezpečení nabízí spolu s centrálním řízením ověřování totožnosti zařízení další možnosti v oblasti adaptivní konfigurace koncových zařízení. Například konfigurace firewallů je v průmyslových sítích často obtížná z toho důvodu, že není detailně zdokumentováno, jaké funkce připojená koncová zařízení (PLC, moduly I/O, jednotky HMI atd.) vyžadují. Zpravidla není k dispozici ani přesná informace o tom, které síťové protokoly a které síťové porty jsou využívány kterými zařízeními, a nelze proto správně nastavit filtry sítě. Řešením může být v tomto případě softwarová obdoba typového štítku, jakou už delší dobu propaguje organizace SecIE, a to v podobě datového listu Security Data Sheet [6]. Protože je tento bezpečnostní datový list uložen jako soubor XML v daném zařízení, lze během procesu ověřování vyvolat příslušné parametry a tím částečně automatizovat konfiguraci sítě.
Pro případ, že by byly automatizační komponenty v síti prověřovány v rámci bezpečnostní certifikace (prováděné např. ISA Security Compliance Institute) a byla by zjišťována potenciální rizika, jsou k dispozici rovněž anonymizovaná data. Z takto nalezených možných scénářů útoků lze přímo vyvodit odpovídající konfiguraci zabezpečení pro danou síť, počínaje omezením paketů broadcast a unicast a konče nalezením typických příznaků útoku pro systémy IDS nebo firewally DPI (Deep Packet Inspection).
5. Shrnutí
Ideální situace by nastala, kdyby síť dokázala chránit samu sebe i všechna připojená koncová zařízení před možnými útoky; na každém portu by disponovala všemi možnými funkcemi zabezpečení (filtrování přes bránu firewall, detekce virů, identifikace známek útoku, blokování útoků typu DoS). Navíc by byla schopna od sítě automaticky odpojit rušící koncová zařízení a zatížit ostatní účastníky jen natolik, kolik jsou schopni snést. Systém s takovou přemírou bezpečnosti však v praxi není realizovatelný, protože by byl celkově příliš náročný, nákladný a navíc by bezpečnostní funkce chod sítě výrazně zpomalovaly. Naproti tomu lze v síti dobře realizovat rozdělenou distribuci bezpečnostních funkcí. K tomu je však zapotřebí instance, jež tyto funkce na jednom místě logicky integruje, koordinuje interakce jednotlivých prvků a to vše nakonec ještě učiní ovladatelným. Takovým nástrojem je např. interaktivní systém správy zabezpečení na bázi Industrial HiVision.
Literatura:
[1] Standard ANSI/ISA-99.00.01-2007: Security for Industrial Automation and Control Systems. Part 1: Terminology, Concepts, and Models. ISA, 2007.
[2] Technical Report ANSI/ISA-TR99.00.01-2007: Security Technologies for Manufacturing and Control Systems. ISA, 2007.
[3] Technical Report ANSI/ISA-TR99.00.02-2004: Integrating Electronic Security into the Manufacturing and Control Systems Environment. ISA, 2004.
[4] Benutzergruppe Netzwerke: Informationsleitfaden Sicherer LAN-Zugang. BGNW Positionspapier, 2007.
[5] Benutzergruppe Netzwerke: IEEE 802.1X. BGNW Positionspapier, 2005.
Dipl.-Ing. Ralf Kaptur,
produktový manažer Industrial Networking
u společnosti Hirschmann Automation and Control GmbH,
Neckartenzlingen, Německo
Komponenty od společnosti Hirschmann Automation and Control na český trh dodává společnost Colsys Automatik (
www.colaut.cz).
Obr. 1. Norma ISA-SP99 navrhuje rozdělení sítě do bezpečnostních zón
Obr. 2. Rozdělené funkcí v rámci integrované bezpečnostní architektury
Obr. 3. Průmyslové firewally umožňují rozdělení sítě do bezpečnostních zón; obrázek znázorňuje firewall Eagle (vlevo), jehož prostřednictvím jsou připojeny přepínač a řídicí systém
Obr. 4. Správa zabezpečení je ústřední instancí interaktivního ovládání rozdělených bezpečnostních funkcí