komunikační systémy
Průmyslový Ethernet VI: Informační bezpečnost František Zezulka, Ondřej Hynčica
V šesté části seriálu o průmyslovém Ethernetu je věnována pozornost otázkám zabezpečení komunikace (secure communication). V českém odborném jazyce se pojem bezpečnost používá ve dvou významech. Jedním je bezpečnost osob a životního prostředí a bezpečný systém je takový, který tyto jevy nenarušuje, naopak vytváří vyšší stupeň této bezpečnosti. Současně lze však tentýž pojem použít v souvislosti s opatřeními realizovanými s cílem zabránit úmyslnému nebo i neúmyslnému ohrožení života a zdraví osob, úmyslně způsobeným škodám na majetku, úmyslnému narušování funkce či ničení technických zařízení, strojů, budov, technologických a dalších procesů. K neúmyslnému ohrožení může dojít i např. v důsledku chyby v programu počítače nebo v konfiguraci systému. Zatímco předcházející část seriálu [7] byla věnována problematice bezpečné komunikace po Ethernetu ve smyslu normy IEC 61508, tj. hlediskům funkční bezpečnosti, tato část pojednává o možných způsobech a formách útoků na průmyslový komunikační kanál jako takový (na průmyslový Ethernet speciálně) a o tom, jak jim čelit, tj. o aspektech jeho informační bezpečnosti.
1. Úvod V době stále častějšího výskytu kriminál ních a teroristických aktivit je problematice zabezpečení informačních, komunikačních a automatizačních systémů věnována mimo řádná pozornost. Automatizační systémy stály až do nedávné doby opodál této aktuální pro blematiky, neboť jejich řešení bylo z principu důsledně soukromé a nebralo v úvahu komu nikační sítě otevřené do prostoru mimo hrani ce podniku. Mnohdy bylo dokonce koncipo váno ještě úžeji – zůstávalo uzavřeno v rámci působnosti distribuovaného řídicího systé mu (DCS) a jakýkoliv vstup z předvýrobních etap či vyšších úrovní podniku z principu ne byl možný. Oproti tomu zabezpečení počíta čových sítí v bankovním a dalších komerčních sektorech se stalo již před dlouhou dobou vel mi sledovanou oblastí a úkolem s velkou prio ritou. Uvedený problém byl analyzován, byť nesystematicky, a bylo vytvořeno a zavedeno do praxe mnoho více či méně úspěšných řeše ní zajišťujících ochranu informačních sítí před útoky zvenčí. Vzhledem k citlivosti problému a snaze každé instituce vlastnit unikátní, uza vřený systém ochranných opatření nebyla tato oblast dosud standardizována žádnou národní ani mezinárodní standardizační organizací. S rozhodným průnikem Ethernetu do ob lasti průmyslové komunikace došlo ovšem při projektování, zavádění a provozování prů myslových řídicích, informačních a komuni kačních systémů k razantní aktualizaci pro blematiky informační bezpečnosti. Podniko vá síť otevřená internetu umožňuje dosahovat větší dynamiky v přípravě, sledování i říze ní výroby a také větší transparentnosti jed notlivých hierarchických úrovní celopodni kové komunikace od provozních přístrojů až po nejvyšší úroveň reprezentovanou systémy typu ERP, včetně napojení na internet. Ote
58
vřenost k internetu je užitečná i jinak již nyní a zejména pro budoucnost, neboť např. dovo luje využít nemalé investice vložené do infor matiky (IT) ve veřejném a komerčním sektoru ve prospěch poměrně malého, a tím i drahého trhu s automatizačními prostředky. Standardizací Ethernetu z hlediska infor mační bezpečnosti se v současné době v IEC (http://www.iec.ch) zabývají navzájem pro vázané pracovní skupiny WG 10 Security for industrial process measurement and control – Network and system security technic kého výboru TC 65 Industrial-process mea-
vyložit vše do patřičné hloubky. Jako výcho zí publikaci k dalšímu hlubšímu studiu dané problematiky lze doporučit příručku [2] (při čemž pojmy používané v zahraniční literatuře jako security, cybersecurity, network security, secure communication apod. jsou v tomto článku zastoupeny českými výrazy zabezpečení, popř. informační bezpečnost, a výrazy z nich odvozenými – pozn. red.).
2. Kritéria zabezpečené komunikace (security criteria) Při posuzování úrovně informační bez pečnosti komunikačního kanálu se přihlíží k tomu, do jaké míry jsou splněna zejména tato kritéria: – neporušenost dat (data integrity): cílem je zajistit, aby přenášená data nebyla bě hem přenosu změněna, byla úplná a došla do cílové stanice ve stejném pořadí, v ja kém byla odeslána (např. data přenášená při použití FTP nemohou být během pře nosu ovlivněna třetí entitou), – věrohodnost dat (data non-repudiability): v praxi toto kritérium znamená, že data v souborech typu log file musí být explicit ní a odolná proti padělání; toto je důležité
A B
intranet internet C
směrovač směrovač
směrovač
Obr. 1. Source routing of the IP protocol: útočníkův paket vytvořený s adresou zdroje z intranetu (A) prochází přes síť (B) a dostává se do intranetu (C) [1]
surement, control and automation a WG 13 Cyber Security podvýboru SC 65C Industrial networks. Obecný trend je ten, že i prů myslové komunikační sítě bez dalšího vývo je vlastních mechanismů pro zvýšení infor mační bezpečnosti průmyslových sítí budou vycházet z existujících zabezpečovacích me chanismů otevřených počítačových sítí pou žívaných v komerčním sektoru a budou pou žívat jejich nejúspěšnější realizace. V dalším textu příspěvku jsou stručně pro brány odborné pojmy se vztahem k problema tice a základní vztahy mezi nimi. Z důvodu omezeného rozsahu příspěvku a pro složitost problematiky informační bezpečnosti prů myslových komunikačních sítí nebylo možné
zejména v případě servisu na dálku (remote maintenance), kdy výrobci mají přístup ke svým výrobkům již zabudovaným v techno logickém zařízení, např. pro potřeby změny jejich vnitřního programu (v takovém přípa dě může být výrobce hnán k odpovědnosti při zásahu do řídicího systému, jehož dů sledkem by byla škoda na straně uživatele) a kdy kritérium garantuje úplné dokumen tování provedených zásahů, – utajení dat (data confidentality), které vy žaduje, aby zasílaná data nemohla při pře nosu získat třetí entita: dosáhnout toho lze např. použitím vhodného způsobu šifrování až do stupně, který je únosný pro přenos; použití velmi odolných způsobů šifrování
AUTOMA 1/2008
komunikační systémy může být ovšem v rozporu s dalšími po žadavky na přenos, např. s požadavkem na činnost systému v reálném čase, neboť ne úměrně zvětšuje pracovní zatížení proce sorů,
Jednou ze slabin je maskovací a směrova cí mechanismus sítě Etherent, který lze v zá sadě obejít dvěma způsoby. Prvním možným způsobem je předstí rat zdrojovou adresu určitého paketu IP (IP spoofing). Paket s falešnou adre sou se objeví na síťové kartě smě intranet rovače připojené k internetu a je A poslán k vnitřní síťové kartě v in B směrovač tranetu. Tak lze spustit síťový pro internet voz v rámci intranetu, přičemž útočník se jeví ze strany intrane C tu jako vnitřní oprávněný uživatel. server Provozovat tento mechanismus lze díky vlastnosti IP s názvem Obr. 2. Síťový násobič (amplifier network): útočník odešle Source routing of the IP protovšeobecnou zprávu (broadcast-ping – A), všechny stanice col (obr. 1), obsažené v protoko cílové sítě zprávu přijmou (B) a odpoví na cílový server, který tím přetíží (C)[1]
– dostupnost dat (data availability) jako kritérium, které sleduje, zda komunikují cí entity mohou vysílat a zpracovávat data v libovolném okamžiku daného časového rámce; z hlediska informační bezpečnosti automatizačních systémů představuje do stupnost jen obtížně zvládnutelný poža davek (obecně v důsledku limitovaného výpočetního výkonu vestavných systémů může být při přetížení sítě přístup k datům omezen), – prokázání totožnost (autentication): při proceduře prokazování totožnosti je po identifikaci komunikující stanice kontrolo váno, zda je stanice oprávněná k tomu, aby jí příslušná služba byla poskytnuta; v praxi se do této kategorie řadí např. kombinace uživatel/heslo (např. pro přenos při použi tí FTP) nebo digitální podpis (při použití elektronické pošty), – ochrana třetí strany (third party protection) jako kritérium charakterizující schop nost bránit šíření chyb z napadeného sys tému na další systémy s ním propojené. Na základě uvedených kritérií zabezpeče né komunikace je možné určit hlavní vlivy, proti jejichž účinkům musí být síť zabezpe čena. V oboru automatizace je kladen důraz především na zabezpečení proti: – neautorizovanému přístupu k informacím (ztráta utajení dat), – neautorizované modifikaci informace (ztrá ta neporušenosti dat), – neautorizovanému narušení funkceschop nosti (ztráta dostupnosti dat).
3. Nedostatky v zabezpečení komunikace 3.1 Chyby protokolů skupiny IP Fungování internetu, celosvětové rozšíře ní této sítě a dennodenní přenosy obrovských množství dat svědčí o tom, že protokoly sku piny IP jsou velmi výkonné, flexibilní a sta bilní. Přesto však v tomto systému existují ur čitá slabá místa umožňující narušit informač ní bezpečnost komunikačního kanálu.
AUTOMA 1/2008
B
intranet
ru. K dosažení většího efektu útoku typu DoS je možné infikovat řídicí stanice připojené k internetu virem typu tzv. trojského koně, což umožní realizovat souběžný útok z ně kolika severů (distribuovaný útok typu DoS – obr. 3). Toto je obzvláště nebezpečné pro vestavné systémy s jejich poměrně malou ka pacitou paměti a výpočetním výkonem.
3.2 Chyby při implementaci Scénář útoku na komunikační kanál není jen věcí samotného protokolu, resp. jeho odolnosti proti útoku. Mnoho chyb vzniká při programování. Velmi obvyklá chyba je přetečení vyrovnávací paměti (buffer) vznika jící v důsledku toho, že rutiny pro kopírování řetězců dat nekontrolují délku ře tězce a při kopírování může dojít k přepsání části programu. Další problémy mohou být přičteny na vrub nesprávného použití zásob níku (stack).
A internet
směrovač
C
4. Strategie a taktika obrany 4.1 Metodika IAONA
Obr. 3. Distribuovaný útok typu DoS: útočník rozšíří trojského koně (A) a napadené stanice (B) pak napadnou intranet (C), aniž by byl znám skutečný útočník na intranet [1]
Na základě rozboru možných způsobů útoku vedených s cílem narušit komunikaci vytvořila or ganizace IAONA metodiku [1], [2] specifikující krok po kroku
lu proto, aby bylo možné určit internet provoz 1 úplnou cestu paketu k cíli uda správa na dálku nému v záhlaví. Použitím faleš (8a, b) (9) (2) (1) ného směrování lze poslat tento (6) kanceláře výroba běžně nesměrovaný paket k cí internetové služby li bez kontroly, zda adresa zdro (3) je je nebo není správná. Je třeba (4) (5) poznamenat, že někteří velcí po (3) skytovatelé internetových služeb stále ještě neučinili žádné kroky (2) (7) kanceláře výroba proti používání IP spoofingu, což domov/provoz je problém volající po neodklad (8a, b) (9) intranet ném řešení. Rozpoznat falešný pa provoz 2 ket přicházející z internetu je vel mi obtížné. Obr. 4. Modelová situace komunikačních vztahů v podniku Druhý způsob spočívá ve vy tvoření tzv. síťového násobiče (amplifier neoperace umožňující dosáhnout zabezpečené twork), což funguje tak, že se do sítě vyšle komunikace prostřednictvím průmyslového jako všeobecná zpráva paket formátu ICMP Ethernetu. V této kapitole jsou uvedeny zá (Internet Control Message Protocol) s faleš kladní principy této metodiky. Další detai nou zdrojovou adresou, kterou špatně nakon ly nabízí [2]. figurovaný směrovač (router) rozešle všem stanicím. Ty následně začnou na falešnou 4.2 Krok A: klasifikace požadavků na zdrojovou adresu zasílat své odpovědi. Cí zabezpečení sítí lový server se jejich zprávami zahltí a není Aby bylo možné odpovědně stanovit po schopen zajistit standardní provoz. Jde o efekt třebný stupeň zabezpečení přenosového ka nazývaný odmítnutí služby (Denial of Service – DoS). Lze ukázat, že modem s přeno nálu, je především třeba určit, jak daný sovou rychlostí 14,4 kBd je tímto způsobem útok, resp. chyba v zabezpečení komunika ce, prostřednictvím průmyslového Etherne schopen zahltit spoj s přenosovou rychlos tí 1,544 Mb/s! tu může ovlivnit chování systému ve všech Odmítnutí služby lze dosáhnou i jinak, jeho důležitých rysech. Podle [2] je mož né klasifikovat možná rizika a dopady a za např. zahlcením webového nebo FTP serve
59
komunikační systémy Tab. 1. Klasifikace možných rizik a odpovídající nezbytné úrovně zabezpečení Problémová oblast neporušenost dat věrohodnost dat utajení dat dostupnost dat průkaz totožnosti
není požadováno žádné zajištění, pouze ukládání dat a chyb nesledováno žádná opatření nesledováno bez omezení přístupu
Úroveň (kategorie) zabezpečení nízká – střední vysoká velmi vysoká opakované odesílání dat, výpadky přijatelné výjimečně, výpadky nepřijatelné kontrolní součty zvláštní mechanismy ukládání informací o pří- používání autorizace přístupu použití bezpečnostních certifikástupu (logování) tů a zabezpečených serverů jednoduché mechanismy zabezpečené komunikační šifrování dat, prolomení šifry nepřijatelné kanály, aktivní zabezpečení prosté zálohování rychlé zálohování redundance hesla autentifikace s použitím používání certifikátů, čipových zabezpečených serverů karet
vést odpovídající zabezpečení podle tab. 1. Jako v každé organizaci se i v té modelové Předmětem zájmu a následné analýzy by na obr. 4 komunikuje mezi výrobou a kance lářemi v rámci intranetů a mezi provozy na měly být: – dopad na výrobu: určuje dopad chyby v ko vzájem a mezi jednotlivými provozy a oko munikaci na technologická zařízení, stroje lím přes internet. Intranet je reprezentován a linky a na jejich funkceschopnost, místní sítí (LAN), poskytující nejobvyklej – ohrožení bezpečné funkce zařízení (safety): ší služby, jak jsou známy z internetu – DNS, specifikuje, jak chyba vzniklá v systému e-mail (SMTP, IMAP, POP3) anebo webové v důsledku útoku na data může ovlivnit bez servery (HTTP, HTTPS) – založené na pro pečnost osob či ohrozit životní prostředí, tokolech skupiny IP. – dopad na důvěrnost informací (přístup V rámci intranetů existují dvě logické k osobním datům): specifikuje, jak chyba podsítě, a to podsíť „výroba“ a podsíť „kan celáře“. v zabezpečení ovlivní možnost přístupu Podsíť „kanceláře“ je relativně homogen k osobním datům, ní. Skládá se především z počítačů typu PC – dopad na pověst organizace (publicity): specifikuje, zda a jak chyba může poškodit se standardním ethernetovým rozhraním a je dobré jméno společnosti, – finanční ztráta: popisuje, jak intranet velkou finanční ztrátu může chyba zapříčinit, kanceláře – znehodnocení patentových a dalších práv: specifikuje, internet firewall jak chyba systému způsobe výroba ná útokem může vést k po rušení patentových práv ane bo důvěrnosti dat v oblasti Obr. 5. Strategie obranného valu (hard perimeter): intranet průmyslového a duševního je připojen pouze jedinou zabezpečenou cestou vlastnictví. Dále je třeba stanovit, do které ze čtyř ka určena k řízení podniku. Nejobvyklejšími tegorií (úrovní) informační bezpečnosti (secuuživatelskými programy v této síti jsou pro rity level) konkrétní síť spadá. Jsou to úrov gramy řešící úlohy na úrovni ERP. Tomu od ně: žádný dopad, malý až střední dopad, velký povídající protokoly aplikační vrstvy jsou dopad a velmi velký dopad. Když např. chyba TCP/IP, HTTP, FTP atd. v komunikačním kanálu má malý dopad na Podsíť „výroba“ navzájem propojuje od lišné komunikující entity, kterými jsou infor výrobu, nezpůsobí ohrožení osob či životní ho prostředí a povede ke středním až velkým mační, řídicí, diagnostické a kontrolní přístro je a zařízení zajišťující spolehlivý chod vlast finančním ztrátám, aniž by přitom nepřízni vě ovlivňovala oblast patentových a dalších ního technologického procesu (výroby). Data práv, je nezbytné kanál zabezpečit na úrovni přenášená v rámci podsítě „výroba“ jsou ge nerována na různých úrovních řízení výroby, střední až velké. bráno shora od systému operativního řízení výroby typu MES, přes úroveň operátorské 4.3 Krok B: komunikační vztahy ve ho řízení výroby a dále úrovně bezprostřed výrobním podniku ního řízení technologických zařízení v reál Aby bylo možné síť řádně zabezpečit, je ném čase až po komunikaci mezi provozními v dalším kroku třeba zmapovat komunikač přístroji (tzv. úroveň 0) a jim bezprostředně ní vztahy uvnitř i vně podniku, tj. určit, kdo nadřazenou řídicí úrovní (úroveň 1), rovněž s kým komunikuje v rámci intranetů a s kým probíhající v reálném čase. Součástí této pod sítě jsou i servisní programy systému údrž entity z intranetů komunikují s použitím in ternetu, a následně určit, která z těchto spo by. V podsíti „výroba“ se používají tytéž ko jení musí být zabezpečena. Jako jednoduchý munikační protokoly jako v podsíti „ kance láře“ a navíc také průmyslové protokoly jako model lze použít situaci podle obr. 4, kdy dva provozy (provoz 1 a provoz 2) jednoho podni EtherNet/IP, EtherCat, Profinet, SERCOS III, ku komunikují mezi sebou přes internet. Modbus TCP, PowerLink a další průmyslové
60
sítě ethernetového typu, které umožňují do sáhnout potřebných vlastností komunikace z hlediska reálného času. V daném kontextu se na internet nahlíží jako na velkou síť složenou z jednotlivých dílčích sítí a definovanou organizací Internet Engineering Task Force (IETF) v RFC 2026 jako volně organizovaná mezinárodní koo perace autonomních, propojených sítí, která podporuje komunikaci mezi hostitelskými po čítači prostřednictvím dobrovolného dodržo vání otevřených protokolů a procedur defino vaných internetovým standardem. V modelové síti na obr. 4 lze vysledovat tyto typy komunikační vazeb: – kanceláře – internet (1): osobní počítače (PC) v kancelářích komunikují přes inter net a mají přístup ke zdrojům dat mimo podnik (prostřednictvím webového serve ru a protokolu HTTP nebo FTP), – kanceláře – výroba (2): na úrovni „kance láře“ jde o systém typu ERP a na úrovni „výroba“ o MES, které navzájem komu nikují za účelem řízení výrobního proce su; komunikace probíhá téměř v reálném čase, bloky dat jsou krátké, – kanceláře – vzdálená výroba (3): propoje ní mezi systémem typu ERP a vzdáleným MES za účelem koordinování distribuo vané výroby; komunikace probíhá téměř v reálném čase, objem přenášených dat je malý, – výroba – výroba (4): komunikace za úče lem koordinování výrobního procesu mezi různými výrobními zařízeními, kdy musí mezi sebou komunikovat dva systémy typu MES; komunikuje se v čase blízkém reál nému, objem přenášených dat je větší, – kanceláře – kanceláře (5): komunikace na úrovni ERP, tj. sdílení dat mezi vyšší mi vrstvami v obou výrobních závodech, přenos dokumentů apod.; jde o časově ne kritické přenosy velkých objemů dat, – správa na dálku – výroba (6): komunika ce za účelem údržby a oprav realizovaná z notebooku opraváře do prostředí výro by přes intranet, internet nebo přímým připojením ve výrobním provozu; komu nikace není časově kritická, objemy dat jsou větší, – domov/provoz – kanceláře (7): spojení mezi detašovaným pracovištěm či provo zem a kanceláří ke komunikaci mezi pro gramátorem pracujícím doma a kanceláří
AUTOMA 1/2008
komunikační systémy nebo údržbářem v provozu a kanceláří; je – vedle chráněného rozhraní s internetem nutné sdílet větší objemy dat v časově ne musí intranet tak jako tak mít určitá dal kritické komunikaci, ší rozhraní pro komunikaci s okolím, přes – uvnitř jednotlivého provozu (8a): standard která popřípadě lze do intranetu pronik nout. ní komunikace při výrobě v rámci intrane tu v čase blízkém reálnému s většími obje 4.4.3 Defence-in-depth my dat, Alternativní strategie obrany typu defence– bezprostřední řízení výroby v rámci jednoho provozu/zařízení (8b): propojení ří in-depth nahrazuje jednoduchou jednovrstvou dicích stanic, provozních přístrojů a ope obranu (firewall) strategií hloubkové obrany rátorské úrovně; systém tvrdého reálné v několika vrstvách. V jejím rámci je vytvoře ho času, objemy dat jsou malé, intranet – uvnitř kanceláří (9): ča aplikační sově nekritické propojení kanceláře brána počítačů v kancelářích za internet účelem sdílení dokumen výroba firewall filtr paketů tů, koordinace řídicího pro cesu, výměny dat v rámci ERP apod.; časově nekritic Obr. 6. Příklad realizace strategie několikavrstvé obrany ké přenosy velkých objemů (defence-in-depth) dat. no několik obranných zón, z nichž každá pou Na základě výsledků podrobného rozbo ru vazeb je dále třeba rozhodnout o důležitos žívá jinou metodu obrany a jiné obranné pro ti té které vazby a všech dílčích spojení, je středky, popř. i od různých výrobců. Systém jichž prostřednictvím je realizována, v daném je sice složitější, má však tyto přednosti: jednotlivém případě (podniku). Konkrétně se – použití několika různých zabezpečovacích uvažuje v kategoriích vazeb nezbytných, vo technik znamená delší dobu potřebnou litelných, postradatelných apod. k prolomení ochranného systému a obec ně vyšší úroveň zabezpečení (po obejití jednoho opatření zůstávají nedotčena ješ 4.4 Krok C: obranné strategie tě opatření další, a to odlišná), 4.4.1 Nabízené možnosti – při odstupňovaném zabezpečení lze kom Na základě výsledků analýz provedených binovat různá obranná opatření včetně v krocích A a B lze zvolit obrannou strategii, např. detekce právě prováděného pokusu o průnik, která umožní dosáhnout potřebné úrovně za bezpečení sítě. Lze navrhnout a vybudovat – delší doba potřebná na prolomení zname ná také více času na odhalení probíhající buď masivní jednovrstvé zabezpečení (me toda hard perimeter), nebo ochranu typu deho útoku. fence in depth, tj. v několika úrovních. Obě Na obr. 6 je ukázán příklad realizace stra metody jsou dále stručně charakterizovány. tegie několikavrstvé obrany pro již zmíně nou úlohu spočívající v zabezpečení intra Rozhodnutí, kterou z obranných strategií po užít, velmi závisí na typu sítě. Podrobnosti netu spojujícího několik pružných výrob ních buněk navzájem a s okolím. Je zřejmé, jsou uvedeny ve [2]. že v tomto případě musí útočník překonat 4.4.2 Hard perimeter několik zabezpečovacích opatření. Nejprve Obranná strategie typu hard perimeter sta musí obejít první filtr paketů, který byl reali ví na neproniknutelné hradbě okolo systému. zován výrobcem X. Poté musí překonat tzv. Celý intranet je připojen k internetu přes je aplikační bránu (application gateway), logic den, popř. skupinu zabezpečovacích prvků ky i fyzicky oddělující privátní síť (intranet) (např. firewall). Každý přenos dat mezi in od veřejné (internet). Chce-li libovolná enti tranetem a internetem musí probíhat přes ten ta z intranetu komunikovat se zařízením vně to zabezpečovací prvek (skupinu prvků) a je intranetu, musí použít aplikační bránu. Apli kační brána analyzuje provoz na sběrnici, posuzován podle zvolených zabezpečovacích identifikuje jakékoliv podezřelé nebo zaká kritérií. Jako příklad lze uvést intranet pro pojující několik pružných výrobních buněk, zané operace (např. příchod ilegálního obsa hu na webový server) a posílá data příjemci který musí zajistit vzájemnou koordinaci čin nosti jednotlivých buněk i dalších kooperují v intranetu. Směrem od intranetu je aplikační cích vzdálených výrobních zařízení, s nimiž brána chráněna firewallem nebo paketovým je nutné komunikovat po internetu. Intranet je filtrem od jiného výrobce než zmíněného X, proto chráněn prostřednictvím firewallu. např. Y, a nakonec jsou pružné výrobní buňky Přes svou jednoduchou architekturu chráněny ještě jedním filtrem paketů. (obr. 5) má obranná strategie typu hard perimeter určité nevýhody, a to zejména: 4.5 Krok D: struktura zabezpečení – pokud se útočníkovi podaří prolomit jedi Po rozhodnutí o strategii zabezpečení sítě ný firewall, je intranet kompletně otevřen je třeba navrhnout vlastní architekturu systé jeho útoku,
AUTOMA 1/2008
mu zabezpečení a vybrat vhodné prostředky. V případě průmyslové automatizace je třeba pamatovat mj. na to, že časově kritické pro cesy je zapotřebí řídit v reálném čase. V těch to případech je z technických důvodů obtíž né či zcela nemožné použít klasické postu py jako filtry paketů nebo šifrování přenosu, především pro jejich nadměrné požadavky na výpočetní výkon, popř. čas. Řešením zde může být rozdělení komunikační sítě do ně kolika vzájemně oddělených okruhů (automation cell) zabezpečených jako celky. Část technologického zařízení vyžadující řízení v reálném čase se uzavře do jednoho okru hu, který je zabezpečen proti zásahům zven čí. Komunikace uvnitř okruhu je považována za důvěryhodnou a není chráněna. Komuni kace mimo okruh je vedena přes zabezpečený uzel a chráněna firewallem nebo filtrem pake tů, které mohou být integrovány v přepínači (switch) a musí plnit tyto základní úkoly: – omezit příchozí komunikaci do chráněného okruhu, což je opatření nezbytné zejména pro zachování komunikace v reálném čase a zajištění dostupnosti komunikačních slu žeb, které chrání nejen před úmyslnými útoky typu DoS, ale i před neúmyslným přetížením v důsledku nevhodné obsluhy apod., – zabránit průniku malwaru (malicious software: programy typu virů, trojských koní, červů apod.): oddělením okruhů se zabrá ní šíření nechtěného softwaru do dalších částí sítě.
4.6 Krok E: použité protokoly a zařízení Aby bylo možné efektivně definovat pravi dla pro filtrování zpráv v síti, je třeba posou dit jednotlivá komunikující zařízení a použi té protokoly z hlediska jejich komunikačních vazeb. Pozornost je nutné věnovat jak použi tým protokolům průmyslového Ethernetu, tak i rozhraním, která tyto protokoly využívají. Zjištění skutečného stavu v této oblasti a jeho zdokumentování je základním předpokladem úspěchu při definování obranných opatření, např. specifikování funkcí firewallu. Podrobný přehled protokolů a jejich vlastností v kontex tu zabezpečovacích (obranných) opatření pře sahuje rámec toto článku. Obsahuje ho např. IAONA Handbook – Network Security [2].
4.7 Krok F: realizace zabezpečení Posledním krokem je realizace připrave ných strategií a opatření. Realizační etapa za hrnuje dva hlavní soubory činností, a to: – instalování a konfigurování zabezpečova cích prvků, – stanovení organizačních a administrativ ních pravidel. Organizace IAONA vypracovala pro rea lizaci zabezpečení sítí na bázi průmyslového Ethernetu metodiku [2], jejíž jádro tvoří do kumentování procesu výstavby zabezpeče ní sítě při použití tzv. Security Data Sheets
61
komunikační systémy (SDS), což je systém tabulek umožňujících podrobně specifikovat vlastnosti lokální ko munikační sítě. Projektant zabezpečené sítě vychází z těchto specifikací a navrhuje odpo vídající konfiguraci zabezpečovacích prvků a opatření a následně stanovuje i organizační a administrativní pravidla pro jejich úspěšné zavedení a používání. První soubor činností, tj. instalování a kon figurování zabezpečovacích prvků, vychá zí z definice komunikačních vazeb, použi té obranné strategie a vlastností lokální sítě zachycených v systému SDS a končí defino váním funkcí a nakonfigurováním firewallu. Tím však proces realizace zabezpečení sítě nemůže skončit. Neodmyslitelně musí násle dovat jeho druhá fáze, spočívající ve stano vení organizačních a administrativních pravi del, která doplňují samotné technické řešení zabezpečení a vytvářejí na jeho základě sku tečný systém informační bezpečnosti sítě. Je např. nezbytně nutné připravit a uvést v život opatření zajišťující ochranu počítačů připoje ných k síti před zavirováním a minimalizující možnost výskytu příhod typu ztráty nebo od cizení přenosného počítače, pravidla upravu jící používání osobních přenosných počítačů externími pracovníky apod.
5. Závěr Šestý díl seriálu o průmyslovém Ether netu je věnován otázkám zabezpečení sítí průmyslového Ethernetu před útoky na data, která jsou v nich přenášena, popř. uchovává na, tj. problematice informační bezpečnos ti (security, popř. network security). Tato problematika, klíčová pro přenos dat ve ve řejných sítích, zejména v internetu, je-li vy užíván pro bankovní a další citlivé činnos ti, se s průnikem Etherentu a internetu do oboru řídicí techniky objevuje ve stejné in tenzitě i při návrhu a provozování komuni kačních sítí určených pro účely automati zace v průmyslu, dopravě a dalších oblas tech. Nedostatečně zabezpečená privátní síť (podnikový intranet a další privátní sítě včet ně sítí určených ke komunikaci v reálném čase) může být napadena útokem z vnějšku nebo ohrožena neúmyslnou vnitřní chybou s možným fatálním dopadem nejen v po době úniku nebo zcizení výrobních tajem ství, ale i nebezpečné funkce komunikační ho a řídicího systému a následného vzniku nebezpečné situace s rizikem ohrožení kva lity životního prostředí, zdraví, či dokonce lidských životů.
Literatura: [1] LÜDER, B. – LORENZ, K.: IAONA Handbook – Industrial Ethernet. IAONA e. V., 3rd edition, Magdeburg, 2005. [2] TANGERMANN, M. – LÜDER, B.: IAONA Handbook – Network security. IAONA e. V., Magdeburg, 2005. [3] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet I: Historický úvod. Automa, 2007, roč. 13, č. 1, s. 41–43. [4] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet II: Referenční model ISO/OSI. Auto ma, 2007, roč. 13, č. 3, s. 86–90. [5] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet III: Fyzické provedení sítě Ethernet. Automa, 2007, roč. 13, č. 6, s. 40–44. [6] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet IV: Principy průmyslového Ethernetu. Automa, 2007, roč. 13, č. 10, s. 57–60. [7] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet V: Bezpečná komunikace po Ethernetu. Automa, 2007, roč. 13, č. 12, s. 58–61.
prof. Ing. František Zezulka, CSc. (
[email protected]), Ing. Ondřej Hynčica (
[email protected]), UAMT FEKT VUT v Brně
Soutěž Automation Award 2007 na norimberském výstavišti Soutěž Automation Award na veletrhu SPS/IPC/Drives (27. až. 27. 11. 2007 v No rimberku) je zajímavá tím, že o vítězích roz hodují hlasy návštěvníků veletrhu. Do loň ského sedmého ročníku soutěže bylo přihlá šeno 49 exponátů a do finále postoupilo deset z nich. Ty vybrala odborná porota složená ze zástupců německého profesního svazu inže nýrů strojnictví (VDMA) a federace ZVEI, sdružující německé výrobce v elektronic kém a elektrotechnickém oboru. Členem po roty byl také šéfredaktor elektroAutomation (nakladatelství Konradin Verlag). Deset vybraných exponátů bylo představe no návštěvníkům veletrhu v diskusním fóru ve výstavní hale 2 (obr. 1). Poté měli návštěv níci možnost ve stánku časopisu elektroAu tomation dát hlasy svým favoritům. Celkem hlasovalo přibližně 1 700 návštěvníků. Nej více hlasů (22,5 %) získal datový terminál do ruky MC 9090ex firmy Bartec, navržený do prostředí s nebezpečím výbuchu. Především v chemických výrobních závodech zajistí ten
62
který zjistí přítomnost kovu včetně jeho složení, bez ohle du na velikost a vzdálenost ob jektu. Na třetí příčce skončila firma Euchner (15,9 % hlasů) se systémem zabezpečovacích elektronických klíčů EKS FSA. Čtvrtým oceněným výrobkem se stal počítač na montážní liš tu ThinkIO Duo firmy Kontron, pro který hlasovalo 11,2 % ná vštěvníků. Počítač má dvoujá drový procesor a ke svému pro vozu nepotřebuje baterii, větrák ani rotující paměť, a tudíž nevy žaduje ani žádnou údržbu. Obr. 1. Šéfredaktor časopisu elektroAutomation Stefan Firma Leuze electronic uspě Ziegler uvádí soutěž Automation Award 2007 na veletrhu la v soutěži jako pátá s optický SPS/IPC/Drives v Norimberku mi senzory řady 53 s nově navr to přístroj spolehlivý přenos dat prostřednic ženými pouzdry z ušlechtilé oceli 316L s opti tvím rádiové techniky WLAN. malizovanou drsností povrchu v omyvatelném, Druhé místo se ziskem 17,6 % hlasů ob hygienickém provedení bez štěrbin. (ev) sadila firma Turck se svým snímačem kovů,
AUTOMA 1/2008
