Wydajność i bezpieczeństwo – elementy projektu sieci Ethernet

W poprzednim numerze „Control Engineering Polska” omówiona została problematyka tworzenia architektury sieci Ethernet i możliwych skutecznych zabezpieczeń. Tym razem zajmiemy się szczegółowym opisem poszczególnych elementów proponowanego systemu ochrony.
Zgodnie z prezentowanym w poprzednim numerze rozwiązaniem rolę IPS (Intrusion Prevention System), czyli „antywłamaniowego” systemu obiektu, może pełnić Deep Packet Inspection/Service-Aware Distributed Firewall. Postarajmy się rozszyfrować wszystkie skróty i opisać sposób działania oraz znaczenie takiego urządzenia.
IPS. IDS. Ochrona inline i offline
Z punktu widzenia bezpieczeństwa dobrym rozwiązaniem byłby lokalny miniPersonal Firewall, zainstalowany przy każdym urządzeniu końcowym. Z oczywistych względów nie jest to jednak opcja praktyczna. W nowoczesnych projektach bezpieczeństwa dla IT stosuje się wirtualne firewalle przeznaczone do każdej stacji roboczej czy serwerów. W warunkach przemysłowych nie ma możliwości instalowania wirtualnych maszyn na wszystkich urządzeniach końcowych, takich jak sterowniki, zabezpieczenia itp. Alternatywą jest jednak zastosowanie zapór na drogach komunikacyjnych pomiędzy urządzeniami. Takim rozwiązaniem jest firewall rozproszony, zintegrowany ze switchem/routerem i umożliwiający tworzenie niezależnych reguł i instancji dla poszczególnych portów/urządzeń końcowych i kierunków. Service-Aware oznacza, że ten typ zapory jest w stanie filtrować ruch na poziomie aplikacji, a funkcjonalność Deep Packet Inspection (DPI) umożliwia analizowanie i filtrowanie zawartości ramek protokołów przemysłowych. Przykładem może być DPI Firewall firmy RadiFlow, który zawiera wydajny koprocesor do analizowania specyficznych protokołów oraz wewnętrzną magistralę łączącą go z niezależnym układem odpowiedzialnym za filtrowanie oraz przełączanie ramek i pakietów. Dzięki temu tylko wybrany ruch może być skierowany do koprocesora w celu analizy. Obecnie koprocesor obsługuje Modbus, IEC60870-5-104, IEC61850, DNP3, ProfiNet, OPC, ale jest możliwe rozwinięcie funkcjonalności o obsługę dowolnego dobrze zdefiniowanego protokołu.
DPI Firewall sprawdza:

  • poprawność protokołu – strukturę ramki, pola kontrolne vs. standard oraz to, czy sesja jest realizowana zgodnie z wynikającą z protokołu logiką (np. zapytanie od master/odpowiedź ze strony slave);
  • poprawność logiki aplikacji – umożliwia realizację komunikacji tylko w zdefiniowanym zakresie pomiędzy poszczególnymi elementami sieci;
  • anomalie – monitoruje ruch dla każdego z urządzeń w poszukiwaniu nadzwyczajnych zachowań, np. wykorzystania komend, które nie powinny być w danym momencie realizowane, nietypowej charakterystyki ruchu itd.

DPI Firewall dodatkowo jest wyposażony w funkcję RBAC (Role/Task Based Access Control) Authentication Proxy, co oznacza, że wspomaga uwierzytelnianie, w zależności od użytkownika i jego praw, zadania do zrealizowania oraz czasu, i umożliwia skorelowanie przydzielania dostępu do zasobów z planami obsługi i serwisu systemu (np. umożliwia wykonanie konkretnej akcji, dając czasowy dostęp konkretnemu użytkownikowi do danego urządzenia).

Taka funkcja, w połączeniu z narzędziem do zarządzania siecią (RadiFlow iSIM), oferująca operatorowi możliwość stworzenia modelu aplikacji i komunikacji, który zostanie „przetłumaczony” na reguły firewalla, zapewnia stosunkowo proste i szybkie wprowadzenie bardzo skutecznego zabezpieczenia (więcej o takim rozwiązaniu na www.radiflow.com).
Taki firewall, niezależnie od trybu pracy (monitorowanie/blokowanie/uczenie), jest rozwiązaniem typu inline, czyli znajduje się bezpośrednio w torze komunikacyjnym. Konsekwencją tego jest zmiana charakterystyk czasowych sieci (firewall będzie wprowadzał dodatkowe opóźnienie). Gdy dodatkowe opóźnienia są nie do zaakceptowania (np. wiadomości GOOSE protokołu IEC61850), należy zastosować rozwiązanie typu offline, jakim jest IDS, czyli Intrusion Detection System. To system alarmowy sieci, którego celem jest wykrywanie, śledzenie i alarmowanie o zagrożeniach. W praktyce złośliwe oprogramowanie może być najskuteczniej powstrzymane w fazie propagacji (albo na konkretnym urządzeniu), bo jego działania mogą się nie odróżniać od zwykłych procesów. W związku z tym IDS pozostaje jednym z najważniejszych elementów zabezpieczania systemów SCADA. Poprzez uczenie się topologii i tworzenie pełnego modelu sieci w trakcie normalnej pracy, IDS jest w stanie wykrywać anomalie oraz radzić sobie ze złożonymi cyberatakami. Dostarcza operatorom pe-łną informację, umożliwiającą efektywne zarządzanie siecią.
Rozwiązania IDS umożliwiają często jednoczesną realizację poniższych procesów:

  • monitoring sieci SCADA (w oparciu o uczenie się i skanowanie wszystkich transakcji w trybie pasywnym lub aktywnym);
  • scentralizowane zarządzanie dostępami użytkowników w ramach planowanej obsługi;
  • detekcję malware’u na podstawie bazy sygnatur znanych podatności (Signature-Based Detection);
  • stworzenie tymczasowych reguł firewall, niezależnie dla każdego połączenia i określonego czasu, np. dla planowanych prac serwisowych (Virtual Firewall/Dynamic Firewall);
  • detekcję anomalii, czyli nadzwyczajnej aktywności (zmiany firmware’u, topologii, montaż nowych urządzeń, monitorowanie nietypowych zadań dostępu do pamięci czy niespodziewanych poleceń, skanowania itd.) w odniesieniu do modelu normalnej pracy zdefiniowanego w IDS;
  • detekcję zdarzeń operacyjnych – nadzwyczajnych opóźnień, nietypowych obciążeń połączeń lub utraty pakietów czy retransmisji.

Zarówno IPS, jak i IDS umożliwiają ciągły monitoring, wykrywanie rzeczywistych ataków i ich prób poprzez analizę i archiwizację podejrzanego ruchu i zdarzeń. Analiza ruchu sieciowego odbywa się w trybie rzeczywistym i jest porównywana z dynamicznym modelem odniesienia, którego wcześniej nauczyliśmy system. IDS nie znajduje się w torze komunikacyjnym tylko poza nim, dzięki czemu nie wpływa na wydajność i elastyczność kontrolowanych procesów. Pasywna natura sprawia, że jest on stosunkowo łatwy do wdrożenia, ponieważ nie ingeruje w ruch sieci operacyjnej. Przy wdrożeniu potrzebny jest jednak okres nauki, pozwalający na normalizację działań i zmniejszenie liczby wyników fałszywie pozytywnych lub fałszywie negatywnych. IDS może mieć naturę scentralizowaną i może być zainstalowany w centrum sterowania, obsługując wiele lokalizacji, lub zdecentralizowany i instalowany bezpośrednio w obiektach. Zarówno w jednym, jak i drugim przypadku istnieje możliwość zarządzania z centralnej lokalizacji (oprogramowanie RadiFlow iSID).

W przypadku struktury zdecentralizowanej ruch jest równolegle kopiowany (port mirroring skonfigurowany na switchach) do lokalnego IDS. Gdy istnieje ryzyko powstania przeciążenia łącza na skutek kopiowania całego ruchu w jedno miejsce, opcjonalnie można uzupełnić system o tzw. TAP-y, czyli inteligentne sondy, które zbierają i wysyłają do IDS już wstępnie wyfiltrowany ruch. Jeśli IDS zainstalowano centralnie, sondy w obiektach stają się konieczne.
Żeby odpowiedzieć sobie na pytanie, który z tych dwóch modeli wybrać – IPS czy IDS, należy przeanalizować wymagania dotyczące poziomu bezpieczeństwa oraz złożoność sieci dla danego obiektu.
Można przyjąć, że IDS powinien być instalowany w obiektach, które mają naturę strategiczną (krytyczną, są narażone na atak typu in-field). Zwykle chodzi o większe obiekty o dużej złożoności sieci, w której pracuje wiele niezabezpieczonych urządzeń, co bardzo utrudnia zewnętrzną detekcję źródła i ścieżki cyberataku. Zagrożenia mogą nie być wychwytywane przez typowe zapory ogniowe przeznaczone do filtrowania ruchu przychodzącego do i wychodzącego z obie-ktu. Zastosowanie DPI Firewall wiąże się natomiast z wprowadzaniem dodatkowego opóźnienia. Zarządzanie serwerami IDS w obiektach może się odbywać centralnie, za pośrednictwem oprogramowania RadiFlow iSID.
SIEM. RadiFlow iSID. RadiFlow iSIM
Obok SPI & Signature Based Firewall, niezależnie od architektury IDS i IPS, w centrum zarządzania będzie potrzebne oprogramowanie do zarządzania wybranymi elementami oraz oprogramowanie, które zautomatyzuje procesy przetwarzania danych. Dane w systemie są zbierane z IPS/IDS, TAP/sond, urządzeń końcowych, urządzeń sieciowych w formie logów (sys-log) i dodatkowo poprzez protokół SNMP.

Im więcej parametrów jest monitorowanych, tym lepszy otrzymuje się obraz sieci, ale wymaga to przetwarzania ogromnej ilości danych. Rozwiązaniem jest agregowanie i przetwarzanie danych ze wszystkich systemów w centrum zarządzania w systemie SIEM (Security Information and Event Management), który jest w stanie agregować i korelować dane z dzienników, dane o zdarzeniach, dane monitorowane. W powiązaniu z danymi o zagrożeniach i podatnościach, na podstawie kontekstowej analizy danych z wielu źródeł umożliwia on bieżące szacowanie i zarządzanie ryzykiem. W celu umożliwienia czasowej korelacji zdarzeń wszystkie dane trafiające do systemu SIEM powinny mieć znacznik czasowy, czyli sieć musi być synchronizowana do wspólnego zegara.
Dodatkowo potrzebne jest oprogramowanie do centralnego zarządzania firewallami i urządzeniami sieciowymi (RadiFlow iSIM) oraz IDS (RadiFlow iSID).
Podsumowanie
Jak widać, architektura umożliwiająca zabezpieczenie sieci na każdym poziomie jest dość złożona i nieco inna dla każdej sieci, a samą ochronę należy rozpatrywać jako proces, który wymaga ciągłego monitorowania i zarządzania. Rozwój technologii sprawia jednak, że pojawiają się na rynku gotowe, choć elastyczne rozwiązania, umożliwiające realizację wyznaczonych zadań i minimalizacjęryzyka.
Autorka: Zuzanna Wieczorek, Kierownik działu technicznego Tekniska Polska sp. z o.o.