Wpisz czego szukasz
i kliknij enter

Jak zabezpieczyć komunikację do sterowników PLC w płaskiej sieci OT?

cybersecurity laptop

Gdy organizacja podejmie decyzję o wprowadzeniu u siebie programu cyberbezpieczeństwa to w jakimś momencie, zwykle po wykonanej ocenie ryzyka, rozpoczyna wprowadzanie zabezpieczeń mającymi chronić system przemysłowy przed cyberzagrożeniami.

Jednym z takich podstawowych środków zaradczych jest segmentacja sieci polegająca na zdefiniowaniu stref i kanałów, najlepiej zgodnie z rekomendacjami zapisanymi w standardzie IEC 62443.  

Czym jest strefa?

Strefa (zone) to kombinacja zasobów logicznych bądź fizycznych spełniających wspólne wymagania w zakresie bezpieczeństwa. Posiada ona jasno określoną granicę (także logiczną bądź fizyczną), która rozgranicza elementy znajdujące się wewnątrz i na zewnątrz. 

Przykładowo możemy mieć strefę lokalnego nadzoru (poziom 2 modelu Purdue) z urządzeniami HMI oraz stacjami inżynierskimi, która komunikuje się ze strefą sterowania (poziom 1 modelu Purdue) z licznymi sterownikami PLC. 

Pomiędzy strefami należy zdefiniować kanał (conduit) określający wszystkie ścieżki komunikacyjne wraz z regułami regulującymi ruch sieciowy. Dobrą praktyką jest gdy filtrowanie ruchu sieciowego pomiędzy strefami odbywa się z wykorzystaniem tzw. białych list reguł, które precyzyjnie definiują ruch dopuszczony i blokują pozostały. 

Segmentacja sieci

Typowym podejściem przy segmentacji sieci jest podział na mniejsze sieci, w których występują różne adresacje IP. Pomiędzy różnymi podsieciami IP w celu zapewnienia dokładnie zdefiniowanej komunikacji potrzebne jest urządzenie łączące funkcje routera i firewall-a.  Nierzadkim przypadkiem jest sytuacja, w której, owszem, pogrupowaliśmy urządzenia w strefy, ale sieć jest płaska i z różnych powodów musi taka pozostać, a musimy wdrożyć zabezpieczenie kanału komunikacyjnego pomiędzy urządzeniami we właśnie zdefiniowanych grupach. 

Z pomocą przychodzą tu firewalle przemysłowe z tzw. funkcją filtrowania transparentnego. Urządzenia te pozwalają, że wybrane porty Ethernet (minimum dwa) są zgrupowane i przypisane do mostka sieciowego (bridge). Urządzenia końcowe (np. HMI, PLC, PC,..) podłączone do tych portów komunikują się ze sobą jakby były podłączone do przełącznika LAN (urządzenie działające w warstwie drugiej modelu ISO/OSI). Jednakże dla komunikacji pomiędzy portami można założyć reguły filtrujące dodatkowo w warstwach wyższych czyli w IP, transportowej i aplikacyjnej. 

Przykładem takich rozwiązań są urządzenia StormShield SNi20 i SNi40. Na rysunku pokazano ideę wprowadzenia filtrowania komunikacji za pomocą firewalla SNi40 pomiędzy strefę zaufaną i niezaufaną, w których urządzenia sieciowe zaadresowane są z wykorzystaniem adresów IP należących do tej samej podsieci.

Stormshield

Filtrowanie ruchu

Urządzenie może filtrować ruch sieciowy w oparciu o reguły tradycyjnego firewalla (SPI) jak i w oparciu o głęboką analizę pakietów (DPI). 

W pierwszym przypadku reguły są oparte o adresy IP oraz porty, w drugim dokonywana jest analiza w warstwie aplikacyjnej dla protokołów przemysłowych takich jak: BACnet/IP, CIP, EtherNet/IP, IEC 60870-5-104, Modbus TCP, UMAS, Siemens s7, Profinet IO, Profinet RT, OPC AE, OPC DA, OPC HDA, OPC UA. Można precyzyjnie określić jakie komendy mogą być przekazywane, a które będą blokowane. 

Dodatkowymi parametrami są oprócz adresów IP identyfikatory urządzeń UID oraz konkretne adresy rejestrów. Bardzo istotnym czynnikiem mającym wpływ na powodzenie implementacji firewalli w sieci OT jest zapewnienie ciągłości procesu. Tu nie ma możliwości na błędy i przypadkowe zablokowanie potrzebnej komunikacji. Dlatego wszystkie reguły jakie chcemy wprowadzić mogą zostać dokładnie zweryfikowane dzięki zastosowaniu trybu monitorowania (IDS) zanim zastosujemy tryb filtrowania (IPS). 

W trybie monitorowania w logach zobaczymy pełną informację o tym, jaki ruch zostanie przepuszczony, a jaki zostałby zablokowany. Dopiero po zweryfikowaniu i ewentualnym dostrojeniu reguł można bezpiecznie dla procesu uruchomić filtrowanie. 

Chciałbyś dowiedzieć się więcej? Sprawdź inne nasze artykuły dotyczące cyberbezpieczeństwa.

Zobacz inne wpisy

Cyberbezpieczeństwo
Zabbix dla monitorowania elementów infrastruktury krytycznej

Wykorzystanie systemu Zabbix do monitorowania elementów infrastruktury krytycznej

OTnośnik – cykliczny biuletyn z komentarzami ekspertów Tekniska
OTnośnik: Siemens, Motorola, Honeywall i inni z lukami w zabezpieczeniach ICEFALL

Zapraszamy do lektury pierwszego wydania OTnośnika – cyklicznego biuletynu z komentarzami ekspertów Tekniska!
Piotr Urbańczyk (SCADA Security Architect Tekniska) komentuje artykuł „Siemens, Motorola, Honeywell and more affected by 56 ‘ICEFALL’ vulnerabilities”.

Ta strona używa plików Cookie. Korzystając ze strony wyrażasz zgodę na używanie Cookie, zgodnie z aktualnymi ustawieniami używanej przeglądarki. Szczegóły znajdziesz w Polityce prywatności.