多芬諾關于Quantum PLC漏洞的解決方案
據US-CERT(美國計算機應急響應小組)SB11-360公告(http://www.us-cert.gov/cas/bulletins/SB11-360.html)和SB12-037公告(http://www.us-cert.gov/cas/bulletins/SB12-037.html)稱施耐德Modicon Quantum系列PLC存在多項安全漏洞,Tofino全球首席技術總監Eric在2011年12月16日的博客中就提前發布過相關資訊,這為使用Modicon Quantum系列PLC及所有使用Modbus工業協議的用戶敲響了安全防護的警鐘,從伊朗Stuxnet到Duqu,越來越多的攻擊破壞行為正越來越多的指向工業設備,Tofino以其獨創的Modbus工業安全插件模式,為支持Modbus/TCP工業設備提供安全保障。
1 安全漏洞分析
針對目前施耐德Modicon Quantum系列PLC的漏洞,大致可將分為以下兩方面。
1.1 Modbus協議功能碼90(0x5A)的漏洞
根據Modbus功能碼定義,功能碼90為用戶保留的功能擴展編碼段,而非Modbus協議常規的功能碼,因此,這一漏洞是施耐德公司Modicon Quantum系列PLC所特有的,此功能碼具有啟停PLC設備、獲取密碼信息、圖形邏輯代碼上傳下載等可能直接影響PLC正常運轉的高權限行為能力,而實際應用中此功能碼可能并非用戶所必要。
1.2 網絡端口開放漏洞
Modicon Quantum系列PLC存在多項網絡端口和服務漏洞,其中包括許多黑客與病毒常用的通訊端口,通過Telnet、FTP、Web、遠程登錄等手段可以導致PLC癱瘓,PLC在實際使用中可能并不需要為用戶開放這些網絡端口,默認開放的端口為非法攻擊行為創造了環境。
2 安全漏洞防御解決方案:
通過對Modicon Quantum系列PLC存在的漏洞進行分析,我們認為可以通過如下方式徹底防御現有的安全漏洞。
2.1 PLC Modbus協議的深度防護
Tofino工業防火墻具有深度檢查和防御Modbus協議通訊的功能,它可以從Modbus的設備地址、功能碼、寄存器地址等方面提供Modbus協議通訊的全面防護,通過白名單方式最小化開放允許的通訊行為,在保證PLC正常通訊的同時屏蔽一切不必要的和非法的Modbus通訊請求,真正的從應用協議層面保護PLC的安全,徹底防御Modbus協議功能碼漏洞,此功能不僅可以用于Modicon Quantum系列PLC,也可以用于所有通過Modbus協議通訊的工業設備。
2.2 PLC的網絡端口與服務的安全防護
Tofino防火墻在實現Modbus協議深度檢查和防御的同時,還可以對PLC控制器默認開放的網絡端口與服務提供安全防護,防火墻的白名單方式最小化開放必要的通訊端口,屏蔽了Telnet、FTP、Web、遠程登錄等所有不必要的和非法的通訊端口,Tofino防火墻特有的屏蔽IP功能,使非法攻擊者根本無法掃描并攻擊網絡中的PLC設備,為其保護的工業設備提供了一個安全的運轉環境。
2.3 隔離企業內網與控制網絡
通過在企業內網(數采網)與PLC所在的控制網絡之間加入Tofino工業防火墻,安全隔離控制網絡的PLC設備不與外界網絡通訊,防御來自外網的非法侵入。數采網絡與控制網絡之間往往需要進行數據通訊,一般采用的工業協議為OPC協議,OPC協基于DCOM技術,使用動態端口進行通訊,傳統防火墻無法有效的從應用協議層面對OPC協議進行防護,Tofino工業防火墻恰恰具有深度檢查與防護OPC通訊協議的能力,這樣通過充分發揮Tofino防火墻作為邊界設備的優勢,能夠將數采網絡與控制網絡安全隔離,防御外界網絡對控制網絡PLC設備的非法攻擊。
3 應用案例展示:
目前Tofino防火墻已經被廣泛的應用于工業信息網絡,為用戶提供了工業協議與工業網絡通訊的安全防護。
案例一:Modbus協議的防護:
用戶信息:中國石化青島煉化分公司
應用環境:SIS儀表安全控制系統工程師站防護
防護描述:SIS系統的工程師站使用IFIX軟件作為HMI平臺,通過Modbus協議與SIS系統控制器進行數據通訊,通過流程圖顯示現場數據,為用戶提供現場數據的實時信息,同時HMI軟件也具備數據寫入能力,通過Modbus協議可以將數據寫入到控制器中。
防護架構圖:
防護策略:根據實際應用的了解發現工程師站只使用功能碼01和03讀取現場數據,而正常操作情況不需要通過寫入功能碼修改現場數據,在防火墻安全策略設置中我們最小化開放Modbus協議的01和03功能碼及必要的地址偏移量和連續地址范圍,這樣在保證HMI平臺正常通訊的同時也將其它所有非必要的功能碼和地址段安全保護起來,如果有Modbus協議的非法操作都將被防火墻攔截。
案例二:齊魯石化施耐德Modicon Quantum PLC與MES網絡隔離防護:
用戶信息:中國石化齊魯石化分公司
應用環境:齊魯石化*****裝置
防護描述:企業MES數采網絡與控制網絡之間需要進行數據通訊,一般采用的工業協議為OPC協議,OPC協基于DCOM技術,使用動態端口進行通訊,傳統防火墻無法有效的從應用協議層面對OPC協議進行防護,Tofino獨有的OPC安全插件恰恰具有深度檢查與防護OPC通訊協議的能力,這樣通過充分發揮Tofino防火墻作為邊界設備的優勢,能夠將數采網絡與控制網絡安全隔離,防御外界網絡對控制網絡PLC設備的非法攻擊。
防護架構圖:
防護策略:在Modicon PLC控制網絡的OPC Server和上層MES數采機之間增加Tofino防火墻,并采用用OPC Enforcer安全插件進行防護。
