【工业以太网连载六】工业以太网安全设计
工业以太网的应用安全问题分析
(1)在传统工业工业以太网中上下网段使用不同的协议无法互操作,所以使用一层防火墙防止来自外部的非法访问,但工业以太网将控制层和管理层连接起来,上下网段使用相同的协议,具有互操作性,所以使用两级防火墙,第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限合法用户的不同授权。另外还可用根据日志记录调整过滤和登录策略。
要采取严格的权限管理措施,可以根据部门分配权限,也可以根据操作分配权限。由于工厂应用专业性很强,进行权限管理能有效避免非授权操作。同时要对关键性工作站的操作系统的访问加以限制,采用内置的设备管理系统必须拥有记录审查功能,数据库自动记录设备参数修改事件:谁修改,修改的理由,修改之前和之后的参数,从而可以有据可查。
(2)在工业以太网的应用中可以采用加密的方式来防止关键信息窃取。目前主要存在两种密码体制:对称密码体制和非对称密码体制。对称密码体制中加密解密双方使用相同的密钥且密钥保密,由于在通信之前必须完成密钥的分发,该体制中这一环节是不安全的。所以采用非对称密码体制,由于工业以太网发送的多为周期性的短信息,所以采用这种加密方式还是比较迅速的。对于工业以太网来说是可行的。还要对外部节点的接入加以防范。
(3)工业以太网的实时性目前主要是由以下几点保证:限制工业以太网的通信负荷,采用100M的快速以太网技术提高带宽,采用交换式以太网技术和全双工通信方式屏蔽固有的CSMA/CD机制。随着网络的开放互连和自动化系统大量IT技术的引入,加上TCP/IP协议本身的开放性和层出不穷的网络病毒和攻击手段,网络安全可以成为影响工业以太网实时性的一个突出问题。
1)病毒攻击。在互联网上充斥着类似Slammer、“冲击波”等蠕虫病毒和其它网络病毒的袭击。以蠕虫病毒为例,这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器,但是攻击是通过网络进行的,因此当这些蠕虫病毒大规模爆发时,交换机、路由器会首先受到牵连。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。蠕虫病毒攻击能够导致整个网络的路由震荡,这样可能使上层的信息层网络部分流量流入工业以太网,加大了它的通信负荷,影响其实时性。在控制层也存在不少计算机终端连接在工业以太网交换机,一旦终端感染病毒,病毒发作即使不能造成网络瘫痪,也可能会消耗带宽和交换机资源。
2) MAC攻击。工业以太网交换机通常是二层交换机,而MAC地址是二层交换机工作的基础,网络依赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后(AGE TIME)会发生更新。如果某端口一直没有收到源地址为某一MAC地址的数据包,那么该MAC地址和该端口的映射关系就会失效。这时,交换机收到目的地址为该MAC地址的数据包就会进行泛洪处理,对交换机的整体性能造成影响,能导致交换机的查表速度下降。而且,假如攻击者生成大量数据包,数据包的源MAC地址都不相同,就会充满交换机的MAC地址表空间,导致真正的数据流到达交换机时被泛洪出去。这种通过复杂攻击和欺骗交换机入侵网络方式,近来已有不少实例。一旦表中MAC地址与网络段之间的映射信息被破坏,迫使交换机转储自己的MAC地址表,开始失效恢复,交换机就会停止网络传输过滤,它的作用就类似共享介质设备或集线器,CSMA/CD机制将重新作用从而影响工业以太网的实时性。
目前信息层网络采用的交换机安全技术主要包括以下几种。流量控制技术 ,把流经端口的异常流量限制在一定的范围内。访问控制列表(ACL)技术 ,ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。 安全套接层(SSL) 为所有 HTTP流量加密,允许访问交换机上基于浏览器的管理 GUI。802.1x和RADIUS 网络登录 控制基于端口的访问,以进行验证和责任明晰。源端口过滤只允许指定端口进行相互通信。Secure Shell (SSHv1/SSHv2) 加密传输所有的数据,确保IP网络上安全的CLI远程访问。安全FTP 实现与交换机之间安全的文件传输,避免不需要的文件下载或未授权的交换机配置文件复制。不过,应用这些安全功能仍然存在很多实际问题,例如交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。一些交换机具有ACL,但如果ASIC支持的ACL少仍旧没有用。一般交换机还不能对非法的ARP(源目的MAC为广播地址)进行特殊处理。网络中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等,都是交换机面临的潜在威胁。
在控制层,工业以太网交换机,一方面可以借鉴这些安全技术,但是也必须意识到工业以太网交换机主要用于数据包的快速转发,强调转发性能以提高实时性。应用这些安全技术时将面临实时性和成本的很大困难,目前工业以太网的应用和设计主要是基于工程实践和经验,网络上主要是控制系统与操作站、优化系统工作站、先进控制工作站、数据库服务器等设备之间的数据传输,网络负荷平稳,具有一定的周期性。但是,随着系统集成和扩展的需要、IT技术在自动化系统组件的大力应用、B/S监控方式的普及等等,对网络安全因素下的可用性研究已经十分必要,例如猝发流量下的工业以太网交换机的缓冲区容量问题以及从全双工交换方式转变成共享方式对已有网络性能的影响。所以,另一方面,工业以太网必须从自身体系结构入手,加以应对。
