【ZiDongHua 之技術(shù)文章區(qū)收錄關(guān)鍵詞:霍尼韋爾 Honeywell  過程控制系統(tǒng) EPKS C300控制器 網(wǎng)絡(luò)安全 】
 
 
  霍尼韋爾PKS Control Firewall(CF9)安全研究
 
 
EPKS是工業(yè)自動(dòng)控制領(lǐng)域的巨頭企業(yè)霍尼韋爾的全新一代過程控制系統(tǒng),該系統(tǒng)已經(jīng)被廣泛應(yīng)用于各個(gè)領(lǐng)域的大型企業(yè)中,如化工、能源、制造業(yè)等。C300控制器作為PKS的核心控制器在整個(gè)系統(tǒng)中起著至關(guān)重要的作用,為了抵御網(wǎng)絡(luò)攻擊,PKS自帶了防火墻卡件,即Control Firewall(CF9)。本文將針對(duì)C300控制器配置的該防火墻進(jìn)行傳統(tǒng)攻擊方式的安全實(shí)驗(yàn),以探究其在網(wǎng)絡(luò)攻擊環(huán)境中面臨的安全威脅。
 
  一、背景介紹
 
  1.Experion PKS 系統(tǒng)
 
  Experion PKS 過程知識(shí)系統(tǒng)是 Honeywell 最新一代的過程自動(dòng)化系統(tǒng),它將人員與過程控制、經(jīng)營和資產(chǎn)管理融合在一起。Experion PKS 為用戶提供了遠(yuǎn)高于集散控制系統(tǒng)的能力,包括嵌入式的決策支持和診斷技術(shù),為決策者提供所需信息;安全組件保證系統(tǒng)安全環(huán)境獨(dú)立于主控系統(tǒng),提高了系統(tǒng)的安全、可靠性。
 
  圖 1 EPKS架構(gòu)圖
 
  2.EPKS的組成
 
  ▍(1)Experion 高性能服務(wù)器
 
  它是PKS系統(tǒng)大腦,可選擇冗余配置
 
  是數(shù)據(jù)通信的樞紐,從控制器讀取數(shù)據(jù)后送給操作站?完成系統(tǒng)組態(tài)設(shè)備?存儲(chǔ)系統(tǒng)數(shù)據(jù)庫,包括全局實(shí)時(shí)數(shù)據(jù)庫/組態(tài)數(shù)據(jù)庫/歷史數(shù)據(jù)和事件
 
  圖 2 PKS服務(wù)器
 
  ▍(2)Experion 操作站
 
  主要包括三種:ES-F(Flex操作站,簡稱F站)、ES-C(Console操作站,簡稱C站)和ES-CE(CE操作站)。
 
  F站具備操作員人機(jī)界面,能夠與服務(wù)器完成數(shù)據(jù)通訊。
 
  C站具備操作員人機(jī)界面,能夠與服務(wù)器完成數(shù)據(jù)通訊,服務(wù)器異常時(shí)可以直接與控制器通信。
 
  CE站用來與Console操作站進(jìn)行數(shù)據(jù)通信。
 
 

 
  圖 3 PKS操作站
 
  ▍(3)Experion 控制器
 
  它是PKS的心臟,用來完成運(yùn)算和控制策略;
 
  包括C200控制器、PM I/O卡和C300等種類。
 
  
 
  圖 4 PKS控制器
 
  ▍(4)Experion 過程控制網(wǎng)絡(luò)
 
  ?容錯(cuò)型以太網(wǎng),采用 Honeywell 的專利技術(shù)與Cisco技術(shù)結(jié)合,是一種高性能的先進(jìn)的工業(yè)以太網(wǎng)解決方案?它是PKS的主干網(wǎng),在物理結(jié)構(gòu)上冗余,需要指定型號(hào)的Switch。
 
  
 
  圖 5 容錯(cuò)以太網(wǎng)
 
  二、C300控制器
 
  C300控制器由控制器模件、對(duì)應(yīng)的輸入輸出安裝接線組件(IOTA)、控制執(zhí)行環(huán)境CEE和機(jī)柜內(nèi)電源構(gòu)成。
 
  C300控制器模件如圖所示,采用了垂直安裝設(shè)計(jì),該設(shè)計(jì)改善了機(jī)柜的走線、有效利用了機(jī)柜空間,模件18度傾斜確保了運(yùn)行期間機(jī)柜內(nèi)熱量均勻流過模件,保證了系統(tǒng)的高可用性。模件采用了高密度部件,減小了體積,同時(shí)提高了單模件的通道比率。
 
  
 
  圖 6 C300控制器機(jī)柜
 
  C300控制器支持非冗余或冗余配置,冗余配置只要加選第二塊C300控制模件即可??蛇x模塊RAM內(nèi)存具有ECC(Error Correction Checking)功能,F(xiàn)lash內(nèi)存經(jīng)過校驗(yàn)和(check-summed),帶有啟動(dòng)診斷與運(yùn)行診斷程序。由于使用集成度更高的集成電路,更少的部件,所以具有更高的平均無故障時(shí)間(MTTF)。冗余配置的C300的可用性>99.999%。
 
  C300控制器支持與其封裝形式相同的8系列I/O模件(包括HART I/O)。每個(gè)C300控制器最多支持80個(gè)冗余I/O模件。每個(gè)監(jiān)控/對(duì)等網(wǎng)絡(luò)段支持16個(gè)或16對(duì)冗余配置的控制器。
 
  
 
  圖 7 C300控制器及其接口
 
  輸入輸出接線組件(IOTA)既是C300控制器模件的安裝底板又具備控制器所需要的全部接線端子。包括:控制網(wǎng)絡(luò)(FTE)接口、輸入輸出鏈路(I/O )接口、冗余控制器接口、GPS接口和電源接口。
 
  C300電源系統(tǒng)采用商用電源加電源控制模塊組合配置??蛇x24VDC冗余配置。電源控制模塊確保供電安全穩(wěn)定。所有的控制器、I/O系統(tǒng)及其部件,均全面滿足嚴(yán)格的工業(yè)級(jí)別的CE-Mark(歐共體標(biāo)準(zhǔn))的安全和輻射要求。
 
  C300控制器配套的Control Firewall(CF9)相當(dāng)于一層固定的交換機(jī),無需配置,不能防病毒,只能用來過濾垃圾信息。
 
 
  三、工控安全研究
 
  1.針對(duì)C300防火墻的ARP攻擊
 
  在內(nèi)網(wǎng)中針對(duì)C300控制器和上位機(jī)進(jìn)行ARP欺騙攻擊,以獲取上位機(jī)和控制器通信中的數(shù)據(jù)包信息,實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的信息獲取效果。
 
 
  ▍(1)欺騙C300控制器的實(shí)驗(yàn)
 
  在攻擊機(jī)上運(yùn)行準(zhǔn)備好的Python代碼,同時(shí)通過wireshark抓包觀察實(shí)驗(yàn)結(jié)果。
 
  可以在攻擊者主機(jī)上抓包看到C300控制器(192.168.40.41)到上位機(jī)(192.168.40.45)的流量,此時(shí)Control Firewall未進(jìn)行任何防御。
 
 
  ▍(2)欺騙上位機(jī)的實(shí)驗(yàn)
 
  上位機(jī)的原始ARP列表
 
  運(yùn)行攻擊代碼之后,再次查看上位機(jī)的ARP列表。
 
  Wireshark抓包可見,上位機(jī)到C300控制器的流量,已被攻擊者截獲,而自帶的Control Firewall并未發(fā)現(xiàn)攻擊行為。
 
  ARP欺騙攻擊成功獲取了霍尼韋爾上位機(jī)和C300控制器之間相互通信的流量,C300控制器中的Control Firewall并未針對(duì)ARP欺騙攻擊做出有效的防御,ARP欺騙攻擊對(duì)整個(gè)系統(tǒng)的安全造成了一定的影響。實(shí)驗(yàn)發(fā)包的時(shí)間間隔在5s時(shí),可以截獲幾乎所有流量,不論發(fā)包時(shí)間間隔多短,都無法阻止上位機(jī)發(fā)出的ARP包,導(dǎo)致ARP緩存出現(xiàn)短暫的恢復(fù)。如果對(duì)截獲的數(shù)據(jù)包直接丟棄,5s已經(jīng)能夠?qū)е律衔粰C(jī)和控制器之間斷開連接,上位機(jī)讀數(shù)顯示為0。
 
  2.針對(duì)C300的SYN洪泛攻擊
 
  PKS上位機(jī)和C300控制器之間的通信使用了TCP/IP協(xié)議,其私有協(xié)議在TCP/IP協(xié)議的數(shù)據(jù)包中傳輸。通過在內(nèi)網(wǎng)中針對(duì)C300控制器發(fā)起SYN洪泛攻擊,可以達(dá)到影響PKS操作員對(duì)控制器的操作,實(shí)現(xiàn)控制器無響應(yīng)的攻擊效果。
 
  開始攻擊之前,通過上位機(jī)上的wireshark抓包可以看到上位機(jī)和C300控制器之間的正常通信數(shù)據(jù)包。
 
  攻擊之后,發(fā)送數(shù)據(jù)包的速度在12KB/S的時(shí)候,通過wireshark抓包可以看到上位機(jī)和C300控制器之間正常的通信延遲嚴(yán)重。導(dǎo)致上位機(jī)上的界面讀數(shù)變?yōu)?,這種情況在持續(xù)較長時(shí)間(約2分40秒左右)之后,數(shù)據(jù)會(huì)被重新從C300控制器讀出并顯示在上位機(jī)上(顯示約12秒左右),之后上位機(jī)和C300控制器的通信又陷入通信延遲的狀態(tài),如此重復(fù)上面的狀態(tài)轉(zhuǎn)換。同時(shí),控制器的屏顯信息正常,霍尼韋爾PKS自帶的Control Firewall并未對(duì)流量進(jìn)行攔截。
 
  圖 17 SYN攻擊導(dǎo)致上位機(jī)與控制器之間的通信幾乎中斷上面進(jìn)行的安全實(shí)驗(yàn)是IT安全領(lǐng)域中常見的攻擊方法,以上攻擊方法可能帶來的安全影響有:
 
 ?、偻ㄟ^ARP欺騙,攻擊者可以過濾上位機(jī)和控制器之間的流量,導(dǎo)致信息泄露。
 
 ?、诋?dāng)上位機(jī)通過操作界面操作控制器時(shí),如果通過雙向的ARP欺騙,導(dǎo)致雙方斷開連接,則上位機(jī)失去對(duì)控制器的控制,導(dǎo)致安全隱患。
 
 ?、跾YN洪泛攻擊會(huì)影響控制系統(tǒng)的正常操作運(yùn)行,給系統(tǒng)帶來安全隱患。
 
  四、總結(jié)
 
  根據(jù)霍尼韋爾官方針對(duì)CF9的文檔描述信息,CF9的主要功能包括三個(gè)方面:
 
  (1)拒絕所有控制器不需要的網(wǎng)絡(luò)流量。
 
 ?。?)當(dāng)網(wǎng)絡(luò)流量趨于飽和時(shí),將提高下行鏈路端口上的流量的優(yōu)先級(jí),使其高于上行鏈路端口上額流量。
 
 ?。?)只允許符合C300控制器要求的有效信息傳遞到C300域中。
 
  盡管如此,通過上面的實(shí)驗(yàn)可以看出,IT安全領(lǐng)域中常見的攻擊方法依然能夠輕松穿透CF9直接影響到C300控制器。這也從側(cè)面反映出工控系統(tǒng)在設(shè)計(jì)初期注重系統(tǒng)的正常穩(wěn)定,而忽略了對(duì)系統(tǒng)抵御安全攻擊的考慮。霍尼韋爾PKS雖然提供了Control Firewall,但是防護(hù)能力有限,需要引起企業(yè)的重視。
 
  
 
  公司簡介
 
  Company Profile
 
  浙江國利網(wǎng)安科技有限公司堅(jiān)守“讓控制更安全,讓用戶更放心”的使命,憑借30年的工控技術(shù)積累和12年的工控安全研究,已形成了“工控安全試驗(yàn)場”“工控安全盾”等獨(dú)具特色與優(yōu)勢(shì)的攻防核心技術(shù)、安全產(chǎn)品與服務(wù)體系,以及完整的行業(yè)解決方案,在水務(wù)水利、石油煉化、油氣管網(wǎng)、城市燃?xì)?、電力能源、軌道交通?a href="http://m.openheartcreations.com/tags/zhinengzhizao.html" target="_blank" class="keylink">智能制造等行業(yè)擁有眾多客戶,致力于成為世界一流的關(guān)鍵基礎(chǔ)設(shè)施安全整體解決方案提供商。