服务电话:021-61305946

疑问解答

自恒安全网络方案--知识点澄清

1. 网络设计时经常容易误解的技术原理澄清

1.1 广播域的作用

广播域指在局域网内的以太网广播作用范围,不是IP广播。在局域网范围内的广播共有三种。

1.1.1 地址公告类免费ARP广播

用于终端设备开机等网络地址激活公告、地址更改和切换激活时公告、网关地址定时公告等,局域网内所有计算机都会接收。此类广播包的特点是:目的地址等于源地址。当免费ARP广播包数量多时,会影响到整个广播域上设备的通讯,此类广播包过多情况下引起的故障原因和防范措施有:更换网卡及驱动、进行广播限流等。

1.1.2 寻址广播(ARP):

用于主机IP和网关IP寻址。非目的设备的网卡正常工作模式下(不在混杂模式下)工作时,网卡丢弃该包;目的设备会应答。该类广播包的特点是:目的地址不等于源地址。此类广播包过多时引起的故障和防范措施有:计算机无效网关IP地址清除、计算机软件通讯目标无效IP核对和清除、广播限流等。(通讯对象已下网的有效IP应保留,但与此相关通讯的应用程序需要退出),另外当寻址成功后,一般两分钟不引用或通讯不成功(WINDOWS缺省),会被刷新。十分钟即使不断引用也会被刷新(WINDOWS缺省),若有程序需要通讯就重新寻址。因此即使通讯完全正常仍有微量的ARP寻址包。

1.1.3 寻找目标为IP广播地址:

用于在以太网内映射成的目标MAC广播地址。目前仅用于DHCP(IP地址分配申请)。仅网关和DHCP服务器(设置本机IP为广播地址)接收,否则丢弃。包特点:目的IP是广播IP。故障和防范措施:检查网络内是否有设置了多个DHCP服务器,并清除多余DHCP服务器。多个DHCP服务器冲突故障时,二层网络不会堵塞,DHCP服务器如果不在本网段,会堵塞网关。建议采用静态手工IP地址设置。
极限广播流量值基本取决于几乎瞬时同步启动寻址的访问量,一般发生在大型SCADA服务器启动上网,二层交换机网络骨干网断网后重启,三层交换机核心骨干网(路由协议关闭时)断网后重启等场合。主要影响设备为需要网卡处于混杂侦听工作模式下的设备。如:防火墙、IDS、IPS和路由器网关(ARP代理打开)。与同网段设备数和网络规模关系不大。
一个保持清洁的网络,广播域允许很大。在千兆网内,数千台乃至万台设备运行是没有问题的,特别是受管理的工业网络和电讯网络。没有人为错误设置的情况下。常态下设备仅发送微量的广播(网关例外),同时以太网广播不会承载应用数据也基本不受应用控制。目前几乎所有网卡工作在正常通讯模式下的设备,都有广播过滤功能,因此担心广播域过大的问题已经没有实际意义。很多工程师在诊断网络通讯中断故障时会发现有大量的广播包,无经验的工程师会认为故障是由广播包引起的。但解决了网络中断后,广播包自然消失了。因为大量设备通讯寻址成功后,寻址广播就不见了。而且即使在如此广播流量严重的情况下,未中断的部分仍能正常工作。
所谓的二层网络广播风暴仅在两种情况下发生:网络端口和端口短接或网卡故障导致大量免费ARP。正常的广播流量是可计算的,设备10000台/2(主动启动寻址方)*100*8(广播包大小单位换算成BIT)/10(分钟)/60(秒)=约6.6666,近7KB/S。

1.2 网络隔离

网络隔离分为VLAN和用户组技术隔离、IP网段和子网段(ACL)隔离、端口隔离、NAT技术隔离、其它专用隔离设备隔离。

1.2.1 VLAN隔离

二层交换机的端口可以设定成不同种类的属性端口,即用户口、混杂口和骨干口。
其中用户口设置VLAN号时,只能与本VLAN成员互通,而混杂口设置VLAN号时,不仅本VLAN互通,也能和指定的其它VLAN互通。这A号VLAN可以和B号VLAN通讯,A号VLAN可以和C号VLAN通讯。而B和C不通,这样A和B同组互通,A和C同组互通,B和C不同组不通。形成“用户组”隔离技术。而且广播域也被用户组隔离。用户组可以用来设置成柔性安全区或访问控制组以满足安全网络等级保护要求。
由于不同系统及子系统在入网时,由通讯设备的端口直接贴上了本系统的传输标签,无法篡改,保证了数据传输中的访问隔离,可以多系统安全并网通讯,在国外大型工程网络系统大量应用。
但二层网络不提供路由网关,而用户组同组成员可能配置在不同IP子网段中,因此几乎所有的操作系统开发并支持高级IP设置功能,可以为不同网段通讯设置不同网段的本机地址(如下图所示),操作系统自动根据不同网段选择本机地址,应用软件不需要修改,彻底满足这类应用。
(图1:windows 系统IP网段设置)
此类设计完美体现了安全、可靠、经济、功能完整。但与其它网络设备连接时必须用用户口或走VPN通道,自成体系。以保证本网络VLAN标签完整。

1.2.2 IP网段和子网(ACL)隔离

对于IP网段和子网隔离,很多工程师而言是自然而然的事。不同网段IP的计算机如果没有通讯网关的帮助寻址,是不能通讯的。由于计算机自动判断通讯IP目标地址不在本地子网,因此把数据包发送给网关。我们把两台不同子网IP地址的计算机连接在一台二层交换机上,把本机的网关设置成本机地址(注意关闭本机防火墙),做PING包测试,本机竟然向不同IP网段的计算机发送ARP寻址包,PING通了。显然IP不同网段自然隔离是不存在的。
三层交换机的隔离是必须为每一个下联网络提供一个VLAN号或多个虚拟VLAN号(指定网关入口-即类似网关软件的端口号),网关一旦打通,全网就互通了,此时必须用交换机标准ACL和扩展ACL(访问控制列表)来隔离或指定访问。由于ACL严重影响网络通讯效率。为了时延要求,领先的工业以太网交换机产家产品为了保证网络的实时性,严格限制了ACL的规模。如:仅能允许20条等。而且ACL的隔离很难同时满足整个应用系统、分系统、子系统等隔离要求。由于必须采用三层交换机、ACL的复杂性、网关的脆弱性。网络系统非常复杂。考虑到很多年前,网卡和自研的工控设备没有广播自动过滤功能,大型网络希望采用路由器来隔离广播域,导致该设计目前在国内是主流设计。但其经济性、可靠性、灵活性都有些不足。特别是各系统、分系统和子系统需要并网传输时,系统间缺乏统一通讯管理标签隔离难度很大。

1.2.3 端口隔离技术

此技术一般用于网吧,把单台交换机上的用户端口加入隔离组。隔离组和用户组功能相反。同组用户成员相互隔离,但能和上联口通讯。这样可以避免游戏机客户被网络病毒相互感染。由于该隔离技术没有通讯标签因此仅对单台交换机有效。有意义的事,当与用户组技术结合时,利用用户组的通讯隔离功能。把每台交换机设置好隔离组并加入到不同用户组中。一个可以全网严格分布式的隔离通讯系统就形成了。SCADA系统、C/S、B/S架构都要求终端设备都能和一个或多个主服务器通讯,但终端设备间不需要通讯。所以相互屏蔽。避免网络病毒相互感染。而且减少了VLAN标签资源。
当然也可以和ACL技术结合,但较为复杂。
 

1.2.4 NAT技术

SNAT 源NAT,即对IP头中的源地址进行地址转换,一般是内网地址转为公网地址,主要用于内部主机访问外部网络。外部主机无法访问和扫描内网主机。结合对外部可访问IP的允许管理,内部木马很难与外部黑客主机建立连接。
DNAT目的NAT,即对IP头中的目的地址进行地址转换,一般用于隐藏对外提供服务的网络设备的真实IP,提供服务的网络设备一般位于DMZ区域,外部用户可以通过公网地址访问该服务。往往计算机软件对外服务端口号是固定的,结合入网帧的软件端口号过滤,外部攻击很难主动和木马自动申请的软件端口号建立连接。
NAT功能隔离,SNAT能防止外网对内网的扫描攻击,DNAT,能防止对外服务设备中木马感染后主动反弹出网,当然对外服务的软件端口本身必须有很强的防攻击能力。实际上也是如此。
NAT协议是路由器和防火墙的常规功能。是目前内外网隔离最佳方法。

1.2.5 其它专用设备隔离技术和端口过滤技术

有防火墙、网闸、通讯前置机等等通道隔离和单向隔离设备。有些的确有技术合理性,但很多设备具体原理不清,使用场合不清,无法评估其效能。原因是其本身可以理解成就是一台单功能计算机,若没有合乎逻辑的防护技术,使用场合不正确,实际上仅仅可能是摆设品。
例如:很多用户在DCS或PLC前放置一台工业防火墙或工业安全防护模块,工业防火墙和一般内网之间防火墙的区别:主要多了两个技术,白名单技术和用户数据深度挖掘并对数据进行极限阀值限制技术。用户认为采用了这两个技术,PLC或DCS就安全了。实际上逻辑是不合理的。PLC和DCS一般是单协议通讯的,如果你认为PLC采用的工业通讯协议可以不被网络病毒利用,那么就没有放置工业防火墙的理由,如果你认为工业通讯协议能够被网络病毒所利用,你怎么把该通讯协议放入白名单?。用户数据深度挖掘根本无用,难道工业防火墙和上位机同步计算了?工业防火墙能判断其输出数据的错误?。至于阀值限制:可能媒体上报道伊朗离心机全部由于“震网”病毒的攻击烧毁了,而且上位机显示的速度数据仍正常。猜测是“震网”让离心机转速超限,同时更改了上位机的显示数据。经请教专业传动设计人员后,可调速的离心机都有转速保护的,不会听PLC、控制器和上位机超速指令的。加速是把电能变成机械能,只有减速可以把机械能变成多余的电能通过在马达和制动电阻上消耗掉并产生可观热能。要烧毁离心机,只有唯一的一种可能,在原有速度指令上,只有叠加一个高频的加减速波动数据。使得离心机不断高频加减速。由于离心机的设计是在轻载工况下工作,不是重载工况。因此被烧毁了。同时由于离心机巨大的转动惯量,高频的加速和减速相互抵消,能量只能以热能释放。仅每秒更新一次上位机的速度显示数据,不可能让人察觉数据不正常的变化。显然让离心机烧毁的速度指令不可能是超阀值极限而是正常速度调整范围内的数据,只是调整频率很高。明显阀值限制对于震网攻击是无效的。
事实上,如:攻击西门子设备的STUXNET,攻击施耐德自动化设备的TRITON都已经从逻辑上说明了问题。
在此说明一下:工业防火墙是网间隔离设备。主要应用于办公网和工控网之间的访问控制,避免不相干的人员进入工控网。
网络端口过滤技术:
MAC、网络端口、IP、软件端口号、传输协议、会话协议和用户数据(会话和数据)
MAC:计算机物理地址(物理)
网络端口:通讯设备的接入口,VLAN口(逻辑链路)
IP:计算机逻辑地址(网络层)
传输协议:TCP(柔性管道传输),UDP(车辆传输)
会话协议和用户会话协议:FTP、HTTP、DHCP、工业通讯协议
软件端口号:计算机上的软件接口地址,一侧固定不变的是服务端口号(知名和注册),另一侧临时申请的是动态端口号。(分两类,TCP端口和UDP端口),所谓的动态端口号在通讯的状态维持时,一般也不会更改端口号,但能在程序运行中,根据实际需要,申请分配和释方。
用户数据:用户软件的各类自定义相关数据、结构数据和属性数据等
蠕虫病毒扫描,实际上就是寻找蠕虫病毒本身携带的攻击手段相符合的特定的软件及其软件端口。因此,所谓的主机扫描就是在网络中寻址装载了该软件的计算机。几乎所有的扫描都是针对特定软件的服务端口号。
而有能力反弹出网木马病毒往往向本机申请动态申请,一般采用动态端口号。而没有能力反弹出网的木马病毒往往是需要在本机上申请服务端口号,该申请一般需要计算机开机后生效。静等外部主动与其建立通讯连接。不能采用动态端口号,否则外部黑客软件就可能找不到它了。

2. 工业控制网络面对的威胁分析和防护技术选择

2.1 威胁和防护需求

2.1.1 网络病毒种类和防护需求

网络病毒分为两大类:木马和蠕虫。为特定系统开发的用于APT攻击的网络病毒也属于两大类。
木马病毒通常是基于计算机网络的,是由客户端程序和服务端程序的通信构成的监控程序。客户端的程序用于黑客远程控制,可以发出控制命令,接收服务端程序传来的信息。服务端程序运行在被控计算机上,一般隐藏在被控计算机中,可以接收客户端发来的命令并执行,将客户端需要的信息发回,也就是常说的木马程序。
木马病毒可以发作的必要条件是客户端和服务端必须建立起网络通信,这种通信是基于IP地址和端口号的。藏匿在服务端的木马程序一旦被触发执行,就会不断将通信的IP地址和端口号发给客户端。客户端利用服务端木马程序通信的IP地址和端口号,在客户端和服务端建立起一个通信链路。客户端的黑客便可以利用这条通信链路来控制服务端的计算机。木马病毒原理(引用百度百科
但某些支持IP欺骗(ARP欺骗)技术的木马程序在已激活状态下仍有攻击行为,试图劫持主机、网关等,并造成主机或网络通讯中断。(防范措施:不能让木马出网上公网,采用用户组隔离+IP端口确认)
根据蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段,首先蠕虫程序随机(或在某种倾向性策略下)选取某一段IP地址,接着对这一地址段的主机扫描,当扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机(是否有主机扫描行为是的蠕虫攻击行为直接判据)。然后,蠕虫程序进入被感染的系统,对目标主机进行现场处理。同时,蠕虫程序生成多个副本,重复上述流程。各个步骤的繁简程度也不同,有的十分复杂,有的则非常简单。蠕虫病毒原理(引用百度百科),根据蠕虫病毒原理,最直接的判据就是是否发生IP扫描(主机扫描)。(防范措施:侦听主机扫描即IP扫描、IP端口确认和确认主机扫描源)

2.1.2 APT攻击流程

由于工业自动化系统的集成几乎都是使用工业市场的商品,攻击者非常容易获知的本工业自动化系统所采用的通讯协议、通讯防护特点、软件、硬件设置、甚至自动化控制算法和负载工况等。为特定工业控制系统设计的网络病毒的确难以防范。但自恒防护方案是针对每个用户组的防护。其通讯范围是用户组同组成员,减少了对主机扫描进行判断的难度和计算量,成功实现了对恶意程序非法扫描的判别,可以及时阻止网络病毒对工业网络系统的入侵。在黑客尚未发明第三类的网络病毒前,APT只能采用目前定义的木马和蠕虫病毒技术,原理上无法在采用我们用户组防护方案的内网中传播。目前大多数网络没有防止内部APT攻击防御机制。(防范措施:用户组隔离+扫描侦听+端口IP确认。防护范围:全部网络连接的设备)
(图2:病毒防护能力,通过公安部门的认证)
显然通过公安部三所的检测,该测试方案,可以及时检测到恶意程序的扫描并隔离扫描源,而网络蠕虫作为恶意程序的一员,正是利用IP(主机)扫描来寻找攻击目标的。因此,该技术实现了对网络蠕虫扫描的检测并隔离。真正做到了威胁感知、主动防御的效果。

2.1.3 其它网络攻击和防护需求

很多工程担心DOS、DDOS、CC等攻击。一般这类攻击由受控于黑客的已感染木马病毒的计算机或黑客计算机发起的。在多重隔离的网络内,黑客无法与内网连接、控制足够的计算机资源并确定攻击对象,因此木马不可能发作。但不排除外来工程师在调试安装软件系统的过程中留存激活的网络病毒,进行ARP欺骗类攻击。如:网关劫持、主机劫持等。造成网络通讯的不稳定。(防范措施:不能让木马出网上公网,采用用户组隔离+IP端口确认)
文件恶意代码和邮件传输和防护要求
恶意代码和邮件,在工业系统中产生的日志文件、生产和操作记录、报表等由计算机自动生成。没有外部文件传输内网。因此仅需要计算安全防护。
设备接入和外部人员接入维护和防护需求:
根据系统在停运、调试、检验等不同运营状态。可采用不同的防护方案,如系统在停用和检验期间可采用告警隔离模式,防止网络病毒的动态扩散,确认网络中无网络蠕虫,而在运行中可处于告警模式,以保证系统安全运行。
系统运维状态管理、协同和防护需求
系统在维修、运行的不同状态需要调整告警、阻断、IP阻断等防御处理方式。

2.2 等保要求防护技术选择和说明

2.2.1 安全区和访问控制隔离技术选择

由于SCADA(DCS上位机)软件含有编程服务器、采集和指令服务器、告警服务器、日志服务器、报表服务器等软件组件模块,可分布式物理布置。中控室还有历史服务器,打印机,工程师站。PLC/DCS、现场I/O站、智能仪器仪表和变频等传动设备等。应尽可能实现应该通的通,不需要通的不通。最大可能防止网络病毒的交叉传播。建议采用用户组(柔性安全区)和用户组(访问控制组)隔离方案。如下所示:两个安全区内通讯隔离和不同安全区的访问控制示意图

2.2.2 工业控制网入侵检测与办公网入侵检测的不同点,以及其它。如:地址、协议、会话和软件端口号过滤的防护

采用IP确认(过滤),闲置的交换机端口应关闭。所有设备离线和接入都有日志记录,其它防护措施可根据具体情况而定。
入侵检测-主机扫描侦听和判据技术(系统安全技术)
基于防火墙的IPS、旁路IDS检测方案,通常对主要网络路径通道进行入侵检测。即经常用于互联网到办公网的网络路径通道,入侵攻击通过某个已布置防火墙或其它检测设备的路径时,才能被检测到,对不经过此路径的数据不能检测到,只要守护好主要路径通道,一切都安全。因此需要考虑路由变化、网络冗余切换等因素。
而工控网络是一张网,入侵检测的对象是所有可能被网络病毒感染的入网设备,可能是智能仪表、计算机、变频器、PLC、SCADA、打印机、数据库、以及网络或检测设备本身。各设备入口不同。如果说重点防护的含义是防止系统性失效。在办公室网络中,往往只有一些服务器是重点防护对象,而工业控制系统中任何一个智能测量仪表、变频器、PLC和SCADA都是关键部件都可能会导致系统性失效,都应该是重点防护对象。需要对全网防护。因此通过公安三所检测确认的用例方案,已经显示了对所有各用户组成员端口的入侵检测能力。即采用交换机作为检测扫描入侵平台的合理性。满足对工业系统内网入侵防护的要求。在不同的工业系统中其防护重点防护对象可能不一样,但其多样性远超办公网络。

2.2.3 等保级别相同和不同区域的通讯访问技术和防护

相同等级区域间通讯:需指定双方通讯互连设备,其他设备不能互访。由于自恒的方案中,用户组既可以划定互通的安全区,让区内设备互相连通,也可以划定访问控制组,两个安全区中指定计算机可以连通,而其它设备不能跨区互连。避免了使用复杂的ACL编程的痛苦。
等级不同区域连通:需指定双方互连设备,其它设备不能互访。根据工业网络等保要求中的扩展要求,还需采用单向隔离技术。其中的含义没有明确,有两种解释。1)允许等级高的一方访问低的一方、反之不能访问。(简单说:一方可以PING通另一方,而另一方则不能,即命令单向访问)。2)不允许用户数据从保护等级高的区域流向保护等级低的区域。由于网络安全防护不是安全密级防护护。故一般采用前一种单向隔离技术。

2.2.4 可信、审计和集中管控

所有的工业控制系统一般都是轮询验证,也都能集中管控,但有二点需要关注:
其一,三级等保要求对网络安全检测设备需提供独立的数据通道。其二,网络事件记录的完整性。交换机用作为主机扫描检测设备,需要有独立的数据连接通道,其网管通道本身是独立的数据通道,而防火墙可能需要独立的物理通道,投资会增加。防火墙系统本身不能完整记录网络所有重要事件,如:网络链路故障引起的冗余切换事件,没有通过防火墙接入设备的接入和断网事件。
 

2.2.5 网络部分整体方案设计和自我评估

(图3:网络安全方案示例)
该系统被划分了11个安全区(组)或访问控制组,完美实现了边界隔离和全网防护的技术方案。其中所有的交换机含有IP(主机)扫描检测功能。防护系统达成了威胁感知、主动防御的理想要求。
模拟了各个设备被病毒感染,发生主机(IP)扫描。都能快速报警,急速隔离感染源,空运行一段时间后,确认网内设备都没有主机扫描行为,即所有设备都没有感染已经激活的网络蠕虫,关闭空置的网络交换机端口,可以投入运营。

备注信息:

      如需要了解更多的工业交换机产品,请浏览:上海自恒信息科技有限公司官网,查看自恒信息推荐IPS系统-用户组防御技术,工业交换机,光纤收发器,等相关产品。
下载本文档PDF版请点击自恒安全网络方案_知识点澄清
 


工业交换机Copyright © 2016-2020 上海自恒信息科技有限公司 版权所有
推荐产品:工业交换机 | 光纤收发器 | 工业路由器 | 工业以太网交换机 | 二层工业以太网交换机 | 三层工业以太网交换机 | 工业级sfp光模块
网站地图|XML地图 备案序号:沪ICP备17046400号-1

友情链接: 揽阁信息 儿童内衣 UPS不间断电源 AOI 工业CT