استفاده از DPI به منظور تامین امنیت سامانه‌های کنترل صنعتی و SCADA

استفاده از  DPI به منظور  تامین امنیت سامانه‌های کنترل صنعتی و SCADA

مقدمه

 

دنیای تولید، انرژی، صنعت و زیرساخت‌های حمل و نقل در حال حاضر در مواجه با تهدیدی خطیر هستند. بسترها و سامانه‌های این زیرساخت‌ها هم اکنون از محصولات و پروتکل‌های کنترل صنعتی و SCADA استفاده می‌کنند. بسیاری از این محصولات سال‌ها پیش و بدون در نظر گرفتن بحث امنیت در حین طراحی آن‌ها ساخته و روانه بازار شده اند. با این حال صنعت همچنان پذیرای پروتکل‌ها و فناوری‌های شبکه جدید نظیر اترنت و TCP/IP است. استفاده از راهکارهای فناوری اطلاعات به شرکت‌ها و سازمان‌ها امکان کارآمدی اقتصادی بهینه تر و پیاده سازی سریعتر روش‌های کسب کار را می‌دهد؛ از سوی دیگر دسترسی به اطلاعات سازمان را در سراسر سازمان و واحدهای تولیدی سهولت می‌بخشد.

درکنار به کارگیری فناوری‌های رایانه‌ای و مزایای آن در صنعت به منظور بهبود کارایی، امنیت به طرز قابل توجهی به خطر می‌افتد و امکان افشای سامانه‌های کنترل در برابر تهدیدات خارجی افزایش می‌یابد. تهدیداتی چون کرم‌ها، ویروس‌ها و حمله هکرها.

نزدیک به 20 سال از به کارگیری سامانه‌های کنترل صنعتی و استفاده از تجهیزات و پروتکل‌های کنترل صنعتی و SCADA امن به صورت فراگیر می‌گذرد. این فاصله زیاد بین زمان به کارگیری و امن سازی، باعث شده تا میلیون‌ها سامانه کنترل در سراسر جهان در معرض حمله هکرهای با خبره و تجربه قرار داشته باشد. اگر یک هکر یا کرم بتواند به یک سامانه کنترل صنعتی دسترسی داشته باشد، خواهد توانست با بهره برداری از آسیب پذیری پروتک بسیاری از کنترل گر‌های صنعتی را از کار انداخته یا خراب کند.

برای حل این مشکل چند راهکار موجود است. این راهکارها عبارتند از:

  • رمز نگاری یا Encryption

  • احراز هویت یا Authentication

  • اصلاح و تغییر استانداردهای ODVA [1]

سند حاضر قصد دارد راهکاری ویژه‌ای به نام بازبینی عمیق بسته[2] -به اختصار DPI- را برای امنیت سامانه‌های کنترل صنعتی معرفی کند.

هدف

هدف از تهيه اين سند آشنایی با فناوری بازبینی عمقی بسته و به کارگیری از آن در سامانه‌ها و دیوارآتش‌های صنعتی است.

 

معرفی بازبینی عمیق بسته یا DPI

 

بازبینی عمیق بسته یکی از شیوه‌های پیشرفته فیلترینگ بسته‌ها در شبکه‌ است. این تکنیک در لایه کاربردی (لایه 7) از مدل مرجع OSI عمل می‌کند. بهره گیری از بازبینی عمیق بسته این امکان پیداکردن، شناسایی، دسته بندی، مسیردهی مجدد یا مسدود کردن بسته‌ها براساس معیار داده بسته یا کدهای payload را فراهم می‌آورد. در روش‌های فیلترینگ معمول، تنها سرآیند بسته‌ها بازبینی می‌شود که قسمت payload بسته‌ها در آن قابل بازبینی و شناسایی نیست.

با استفاده از تکنیک بازبینی عمیق بسته، ارائه دهندگان خدمات ارتباطی می‌توانند منابع خود را به جریان ترافیک خاص اختصاص دهند. برای مثال بسته‌های پیام دارای برچسب پراهمیت اولویت بالاتری نسبت به بسته‌های دارای برچسب کم اهمیت برای گشت و گذار در اینترنت دارند.

شکل(1): مقایسه بازبینی عمیق بسته با روش بازبینی سنتی

استفاده از تکنیک بازبینی عمیق بسته در ابتدا در دیوارآتش‌های تجاری مطرح گردید. مزایای این روش باعث به کارگیری از آن در کاربردی‌های دیگری نیز گردید. تا جایی جای خود را در بین دیوارآتش‌های صنعتی امروزی نیز باز کرده است. شیوه‌های بازبینی عمیق بسته دارای ابعاد کارکرد بالقوه‌ای است که در زیر تشریح شده است:

  • امنیت شبکه: قابلیت بازبینی عمقی بسته در بررسی جریان داده‌ها در سطوح بالا از ورود یا خروج ویروس‌ها و نرم افزارهای جاسوسی از شبکه جلوگیری می‌کند.

  • دسترسی شبکه: بازبینی عمقی بسته شرایط را برای ساده‌تر شدن اعمال قواعد دسترسی به شبکه فراهم می‌آورد.

  • امکان اجرای تفاهم نامه سطح خدمات[3]: ارائه دهندگان سرویس‌های اینترنتی می‌توانند از DPI به منظور اطمینان از استفاده درست از سرویس‌ها و اعمال خط‌مشی‌های مصوب، بهره مند شوند. به عنوان مثال با استفاده از DPI، محتوای غیرمجاز یا استفاده غیرمتعارف از پهنای باند را شناسایی و موقعیت یابی کنند.

  • کیفیت خدمات[4]: اداره ترافیک شبکه نظیر به نظیر برای فراهم کنندگان سرویس اینترنت کار دشواری است. DPI به مراکز سرویس کننده امکان کنترل ترافیک و اختصاص پهنای باند را به صورت مجتمع فراهم می‌آورد.

  • سرویس بهینه: DPI با فراهم آوردن امکان ایجاد طرح‌های خدمات دهی مختلف برای ارائه دهندگان سرویس، امکان پرداخت به ازای حجم پهنای باند و اولویت ترافیکی را برای کاربران فراهم می‌آورد.

  • اجرای قوانین حقوق دیجیتال[5]: فناوری DPI قابلیت فیلترینگ ترافیک و حذف موارد دارای حق کپی رایت را دارد. در این راستا فشارهای زیادی بر ارائه دهندگان سرویس اینترنت از سوی صنایعی همچون فیلم و موسیقی برای جلوگیری از انتشار موارد دارای حق کپی راینت وجود دارد.

کاربردهای بالا همگی به طور بالقوه قابلیت ایجاد محیط مناسب تر برای استفاده کاربران از اینترنت را به ارمغان می‌آورد. لذا به کار گیری روز افزون از این فناوری در آینده‌ پیش بینی می‌شود. برای درک بهتر مبحث تکنیک DPI دانستن برخی مقدمات مربوط به دیوار آتش لازم است.

 

دیوارهای آتش

 

در ابتدا باید دانست دیوارآتش‌های سنتی چگونه کار می‌کند. یک دیوارآتش یک تجهیز است که ترافیک ورودی در شبکه و بین شبکه‌ها را پایش و کنترل می‌کند. دیوارآتش این کار را با ضبط کردن ترافیک عبوری و مقایسه آن با مجموعه‌ای از قواعد از پیش تعریف شده(بنام لیست‌های کنترل دسترسی) انجام می‌دهد. هر پیامی که با قواعد تعریف شده در لیست کنترل دسترسی دیوارآتش تطابق نداشته باشد دور انداخته می‌شود. دیوارآتش‌های سنتی به لیست کنترل دسترسی امکان بررسی سه فیلد اصلی در پیام را می‌دهند.

  • آدرس ip رایانه‌ای که ارسال کننده پیام است-آدرس IP مبدا

  • آدرس ip رایانه‌ای که دریافت کننده پیام است- آدرس IP مقصد

  • پروتکل لایه بالایی در فیلد شماره درگاه مقصد[6] در فریم IP

پروتکل لایه بالاتر که فریم ip را دریافت می‌کند در فیلد شماره پورت مقصد تعریف می‌شود. شماره پورت مقصد، یک درگاه فیزیکی مانند پورت اترنت نیست، بلکه درگاه‌های مجازی خاصی هستند که در هر پیام TCP و UDP برای شناسایی برنامه استفاده کننده از پیام، در بسته‌ها گنجانده می‌شود. برای مثال، Modbus/TCP از درگاه 502 و HTTP از شماره پورت 80 استفاده می‌کند. این اعداد طبق نظارت نهاد اختصاص شماره‌های اینترنتی [7] (IANA) ثبت شده و به ندرت تغییر داده می‌شوند.

با توجه به موارد فوق، فرض کنید می‌خواهید ترافیک وب(ترافیک HTTP) تنها امکان ارسال از یک کاربر با آدرس 192.168.1.10 به یک سرور وب با آدرس 192.168.1.20 داشته باشد. برای اینکار باید یک قاعده کنترل لیست دسترسی به صورت زیر بنویسید:

“Allow Src=192.168.1.10 Dst=192.168.1.20 Port=HTTP”

شما باید این قاعده لیست کنترل دسترسی را به دیوار آتش اضافه کنید، تا زمانی که سه معیار تعریف شده در دستور فوق تامین شوند پیام‌ها اجازه عبور دارند. در صورتیکه بخواهید تمام ترافیک Modbus عبوری از دیوارآتش مسدود شود، کافیست یک قاعده تعریف کنید که بسته‌های حاوی شماره پورت مقصد 502 را مسدود کند.

 

مشکل پروتکل‌های سامانه‌های کنترل صنعتی و SCADA

 

مشکل پروتکل‌های صنعتی استفاده از یک الگوی ساده و غیر قابل انعطاف (اصطلاحاً Sharp) است. در پروتکل‌های صنعتی شما اجازه استفاده از یک پروتکل معین را می‌دهید و یا اینکه کلاً استفاده از آن را مسدود می کنید. در ساختار حاضر کنترل Fine-grained پروتکل غیر ممکن است. علت این امر بد این است که پروتکل‌های صنعتی و SCADA در ساختار خود هیچگونه قابلیت دانه بندی یا granularity ندارند. از اینرو قابلیت fine-grain در پروتکل‌های SCADA تقریبا غیرممکن می‌باشد. از دیدگاه شماره درگاه‌[8]، یک پیام خواندن داده، دقیقا مشابه یک پیام بروزرسانی سفت افزار[9] در نظر گرفته می‌شود. در نتیجه زمانی که اجازه پیام‌های خواندن داده را از یک HMI به یک PLC را می‌د‌هید ناچار به دادن مجوز عبور پیام‌های برنامه نویسی از دیوارآتش سنتی نیز هستید. این یک مسئله امنیتی جدی است. در بهار سال 2009 میلادی یکی از آژانس‌های دولتی ایالات متحده امریکا گزارشی از شرکت‌ها و بنگاه‌های فعال در حوزه انرژی منتشر کرد که بیان می داشت: یک آسیب پذیری در فرآیند به روز رسانی سفت افزار سامانه‌های کنترل مورد استفاده در منابع کلیدی و زیرساخت‌های حیاتی(CIKR) شناسایی و تصدیق شده است. به منظور حفاظت از منابع کلیدی، زیرساخت‌های حیاتی و پایگاه‌های کاربران به توسعه یک طرح کاهش مخاطره نیاز است. مراحل کاهش آسیب پذیری‌های سفت افزار شامل مسدود کردن سفت افزار شبکه و به روز رسانی قواعد دیوار آتش می‌باشد.

دیوار آتش‌های کنونی موجود در بازار رایانه و فناوری اطلاعات قادر به ایجاد تمایز بین دستورات SCADA نیستند، از این رو مسدود نمودن بسته‌های به روز رسانی سفت افزار شبکه توسط قواعد دیوار آتش منجر به انسداد تمامی ترافیک SCADA خواهد شد. از آنجا که جریان قابل اطمینان ترافیک SCADA برای تاسیسات صنعتی حیاتی به شمار می آید، بسیاری از شرکت‌ها و سازمان‌ها اجازه عبور هر نوع ترافیکی را داده و امنیت را به دست اقبال می‌سپارند.

 

راهکار DPI برای امنیت SCADA

 

با توجه به موارد اشاره شده فوق، دیوارآتش‌ها نیازمند تحلیل دقیق تر و کاوش جزئی تری در پروتکل‌ها است. این امر مسلتزم ادراک بیشتری از چگونگی عملکرد پروتکل‌های صنعتی است، یعنی دقیقا همان کاری که تکنیک بازبینی عمیق بسته یا Deep Packet Inspection انجام می دهد. پس از اینکه قواعد دیوار آتش سنتی اعمال می شوند، دیوار آتش محتوای بسته‌های پیغام مورد بررسی قرار می‌گیرند و قواعد جزئی تری اعمال می‌شود.

به طور مثال یک دیوارآتش ModBus مجهز به فناوری بازبینی عمیق بسته (مانند Honeywell Modbus Read-only Firewall) با بررسی پیغام های Modbus پیغام‌های read و write را بررسی کرده و سپس پیغام‌های write را مسدود می‌کند. دیوارآتش‌های نوع DPI همچنین می‌توانند Sanity Check ترافیک را به منظور پیغام های با فرمت مناسب یا رفتارهای غیر متعارف (مانند دریافت 1000 پاسخ در ازای ارسال یک پیغام درخواست) را انجام دهد. این نوع از پیغام‌های نامتعارف در پاسخ به بسته‌های درخواست می‌تواند نشانگر تلاش یک هکر برای از کار انداختن PLC باشد و باید مسدود گردد.

امنیت SCADA در عمل با استفاده از بازبینی عمیق بسته

کنترل ریز دانه[10] ترافیک سامانه های کنترل صنعتی و SCADA می‌تواند به طرز قابل ملاحظه‌ای موجب افزایش امنیت و قابلیت اطمینان یک سیستم شود. به عنوان مثال یک شرکت مدیریت خطوط دریایی را در نظر بگیرید. این شرکت از PLC های برند اشنایدر در تمامی قفل‌ها و پل‌های کنترلی برای تضمین ایمنی ترافیک حمل و نقل و ماشین‌ها استفاده می کند. در چنین شرایطی اطمینان از اینکه این PLC ها قابل دستکاری نیستند از هر دو منظر نقل وانتقال دریایی و مسافرت عمومی بسیار حیاتی است. مشکلی در این سناریو شرکت با آن روبروست، تعدادی رایانه است که برای تبادل داده نیازمند دسترسی مداوم به PLC ها دارند. از طرفی تنها رایانه‌های ویژه‌ای باید بتوانند اجازه ارسال فرمان و تغیر در عملیات تهجیزات را داشته باشند. استفاده از روش‌های قدیمی اعمال گذرواژه با راهکارهای دیوارآتش قدیمی علت عدم تامین کنترل ریز دانه لازم، مورد اطمینان نمی‌باشند.

راهکار پیشنهادی در چنین سناریویی براساس استفاده از دیوارآتش‌ مبتنی بر DPI برای کنترل ترافیک بر روی PLC ها است. در این راهکار تنها به پیغام های Read اجازه رسیدن به PLC ها داده می شود(به جز تعداد اندکی رایانه خاص و دارای امنیت بالا). تمامی فرامین و دستورات برنامه نویسی مدباس مسدود شده و فقط مهندسین درون سایت قادر به اعمال این دستورات هستند.

مهاجرت از دیوار آتش قدیمی به DPI برای امنیت SCADA

ایجاد امنیت با به کارگیری روش ساده مسدود سازی یا مجور عبور دادن به کل کلاس‌های پروتکل در شبکه برای عملیات سامانه‌های کنترل و SCADA نوین امروزی کافی نیست. پروتکل‌هایی که سامانه‌های کنونی در حال استفاده از آن‌ها می‌باشند بسیار قدرتمند و در عین حال بسیار نا امن می‌باشند. اکنون زمانی است که باید با مورد توجه قرار دادن فناوری‌هایی نظیر بازبینی عمیق بسته روش‌هایی برای دستیابی به سامانه‌هایی ایمن تر و با اطمینان تر به کار گرفت.

دو نوع دیوار آتش دارای ویژگی بازبینی عمیق بسته برای سامانه‌ها و شبکه‌های صنعتی عبارتند از:

  • دیوارآتش فقط-خواندنی مدباس Honeywell

  • دیوارآتش Schneider ConneXium Tofino Firewall

در ادامه هریک از این محصولات تشریح و مزایای هر کدام اشاره خواهد شد.

دیوارآتش Honeywell Modbus Read-only

شرکت Honeywell از پیشگامان استفاده از فناوری DPI برای سامانه‌های صنعتی است. دیوارآتش فقط-خواندنی مدباس این شرکت از در سال 2011 برای اولین باز از فناوری بازبینی عمیق بسته توسعه یافته توسط tofino در محصول خود استفاده کرد. دیوارآتش فقط خواندنی این شرکت به منظور امن سازی سامانه‌های مجتمع امنیت[11] طراحی و ساخته شده است. این دیوارآتش پیام‌های شبکه ای را که امکان ایجاد تغییر، برنامه ریزی یا اعمال تنظیمات در سامانه‌های حیاتی را دارند شناسایی و مسدود می کند. این دیوارآتش یک لایه محافظتی افزونه در برابر ترافیک مخرب و ناخواسته ایجاد کرده و در نتیجه موجب افزایش امنیت شبکه، قابلیت اطمینان و کارایی می‌شود.

سامانه‌های ایمنی ابزاردقیق[12] نظیر سامانه‌ مدیریت ایمنی Honeywell آخرین لایه دفاعی در برابر حوادث و سانحه‌های مخاطره انگیز در فرآیند‌های صنعتی است. مثلا پالایش نفت و تولید انرژی از جمله صنایع دارای مخاطرات بالا هستند. سامانه‌های ایمنی ابزار دقیق فرآیندها را به طور مداوم پایش کرده و در صورت مشاهده وضعیت غیرعادی کارخانه را به صورت امن خاموش می‌کنند.به علت نقش مهم این سامانه‌ها در ایجاد امنیت و قابلیت اطمینان در عملیات، فرآیندها و کارمندان، باید از هر نوع تهدید چه سهوی و چه عمدی در امان باشند.

دیوارآتش فقط خواندنی مدباس Honeywell اولین دیوارآتش موجود برای شبکه‌های صنعتی با پیکربندی ثابت از فناوری DPI استفاده می‌کند. این دیوارآتش توانایی کارکردن با پروتک‌های SCADA و مدباس را دارد. در این فناروی تمامی بسته‌های پیام در شبکه بررسی می شود و تنها به تعداد محدودی از دستورات فقظ-خواندنی مدباس اجازه عبور و رسیدن به سامانه ایمنی داده می‌شود. این دستورات، دستورات امنی هستند که نمی‌توانند بوسیله بدافزارها مورد سوء استفاده قرار بگیرند. مجموعه قواعد تنظیم شده به صورت ایستا دراین دیوارآتش امکان دستکاری یا پیکربندی نادرسا را غیر ممکن می‌سازد و عملا تلاش مدیر شبکه صنعتی کارخانه را به مظور نگهداری دیوارآتش کاهش می‌دهد.

شکل(2):  دیوار آتش فقط خواندنی مدباس honeywell

این محصول Plug-n-Protect بوده و به طور پیشفرض پیکربندی شده است تا دیوار آتش به سادگی در محیط واقعی شبکه بین سامانه ایمنی و دیگر سامانه‌های کنترل قابل نصب باشد. بر خلاف دیوارآتش‌های فناوری اطلاعات که نیاز به افراد متخصص وخبره برای پیکربندی آن‌ها است، در این محصول نیاز به هیچگونه پیکربندی نیست و به مجرد اتصال به شبکه به فعالیت می پردازد. دیوار آتش فقط-خواندنی مدباس فقط مختص محصولات و سامانه‌های ایمنی Honeywell نیست. از این محصول می‌توان در کنار سامانه‌های ایمنی دیگر برندها و سازندگن نیز استفاده کرد. نحوه استفاده از این محصول در یک شبکه صنعتی نمونه در شکل 3 آمده است.

شکل(3): نحوه قرارگیری دیوار آتش فقط خواندنی مدباس در شبکه صنعتی

دیوارآتش Schneider ConneXium Tofino 

دیوارآتش مبتنی بر راهکار DPI شرکت اشنایدر با نام ConneXium Tofino Firewall در سال 2012 عرضه شد. این محصول با پایش و بازبینی ترافیک شبکه‌ عبوری از تجهیزات اتوماسیون و کنترل صنعتی اشنایدر، شبکه صنعتی را از طوفان ترافیک، پیغام‌های نا متعارف و نفوذ مهاجمان محافظت می‌کند. علاوه بر آن امکان استفاده از آن در اعمال برخی رویه‌های کارخانه‌ای وجود دارد. برای مثال، از این محصول می‌توان در مسدود کردن امکان دستکاری‌ تنظیمات یا برنامه نویسی کنترلرها که اشتباه در آن‌ها موجب بروز هزینه‌های هنگفت می‌شود استفاده کرد.

هسته مرکزی عملکرد این ConneXium دیوار آتشی است که هریک از پیام‌های شبکه‌ای که از خود عبور می‌دهد بازرسی کرده و از ارسال شدن بسته‌ها تنها از رایانه‌های مشخص به کنترل کننده‌های حیاتی در شبکه اطمینان حاصل می‌کند. بدین طریق اقدامات نفوذ، بسته‌های معیوب و حتی طوفان بسته‌های ترافیک به طرز موثری پیشگیری می‌شود.

این محصول به نحوی طراحی شده است که بدون نیاز به تخصص بالا قابل استفاده است. قابلیت plug-n-Protect بودن و پیش پیکربندی شدن آن برای محصولات اتوماسیون صنعتی رایج، عدم نیاز به متخصصین و افراد خبره به منظور راه اندازی آن را موجب شده است. مجهز بودن ConneXium به فناوری که قابلیت شناسایی اشتباهات رایج در دیوارآتش و برطرف کردن آن‌ها با تنها یک کلیک، از مزیت‌های دیگر این محصول است.

محافظت پیشرفته از طریق فناوری DPI به کارگرفته شده در این دیوارآتش فراهم آمده است. در دیوارآتش‌های سنتی تنها سرآیند بسته‌های شبکه TCP/IP بررسی می‌شد و سپس بر اساس این اطلاعات محدود نسبت به اجازه عبور یا مسدود کردن ترافیک تصمیم گیری می‌شد. در فناوری DPI به دیوارآتش اجازه داده می‌شود به عمق بسته‌های پروتکل‌های سامانه‌های کنترل صنعتی و SCADA در لایه فوقانی TCP/IP رفته و عملیات بررسی را انجام دهد. با این عمل دیوارآتش نوع پروتکل مورد استفاده بسته‌ها را دقیقا شناسایی می‌کند و نسبت به مسدود کردن یا اجازه عبور دادن بسته‌ها تصمیم گیری بهتری انجام می‌دهد.

نسخه منتشر شده در سال 2012 میلادی ConneXium شامل قابلیت DPI برای پروتکل Modbus TCP است. در سال 2013 قابلیت DPI برای بررسی پروتکل EtherNet/IP نیز به این دیوارآتش اضافه گردید. عملکردهای ویژه‌ای که برای ارتباطات EtherNet/IP در این ابزار افزوده شد. شامل موارد زیر است:

  • پشتیبانی از تمامی اشیا و سرویس‌های پروتکل‌های صنعتی رایج[13]-CIP- به همراه عناصر رابط گرافیکی کاربر براساس ویژگی‌های ODVA

  • اعتبارسنجی سرآیند بسته‌های CIP و EtherNet/IP به منظور پیشگیری شیوه‌های رایج نفوذ، مانند حملات سرریز بافر.

  • گنجاندن گزینه تنظیمات پیشرفته که به مهندسان اجازه تنظیم اشیا و سرویس‌ها را بر اساس لیست از پیش تعیین شده می‌دهد.

دیوارآتش ConneXium با قابلیت حفاظت EtherNet/IP آخرین محصول ارائه شده در خانواده محصولات الکترونیکی ارتباطات و امنیتی شرکت اشنایدر است. این محصول در سال 2012 این محصول ارائه شده و قابلیت محافظت و رمزنگاری برای تاسیسات صنعتی ارائه می‌دهد.

شکل(4):  دیوارآتش مبتنی بر DPI شرکت اشنایدر

شکل(5): نمایی از صفحه تنظیمات و پیکربندی دیوارآتش در Tofino

 

بدافزارهای جدید و لزوم استفاده از فناوری DPI

 

تا چند سال پیش از فناوری DPI به عنوان یک قابلیت اختیاری و یک مزیت اختیاری که داشتن آن خالی از لطف نیست یاد می شد. اما با پیدایش نسل جدید بدافزارها نظیر Stuxnet، Duqu و Conficker این قابلیت تبدیل به یک فناوری الزامی و ضروری شده است که برای داشتن سامانه‌های SCADA و کنترل صنعتی امن به آن نیاز است.

طراحان بدافزار امروزی به خوبی می‌دانند که دیوارآتش‌ها استفاده از پروتکل‌های غیرمعلوم را فورا مسدود می‌کنند لذا اغلب سعی بر استفاده از پرتکل‌‌های رایجی همچون HTTP( پروتکل کاوشگر وب)، Modbus و MS-SQL(برای جستارهای پایگاه‌داده) دارند. طراحان کرم‌های اینترنتی به عبور ترافیک بدخواه، ترافیک خود را درون پروتکل‌های رایج شبکه‌ای که مورد حمله می‌کنند، قرار می‌دهند. به عنوان مثال بسیاری از بدافرازها ارتباطات خروجی خود را در پیغام‌های HTTP عادی مخفی می‌کنند. در این باره استاکسنت یک نمونه‌ بارز از این شیوه مخفی سازی است. در این بدافزار استفاده بسیار زیادی از پروتکل موسوم به RPC(Remote Procedure Call) برای هردو منظور آلوده سازی قربانی‌های جدید و ارتباطات نظیر به نظیر(p2p) بین ماشین‌های آلوده استفاده می‌کند.

شکل(6): انتشار استاکس نت با به کارگیری RPC

اکنون RPC یک پروتکل ایده آل برای حمله به سامانه‌های کنترل صنعتی و SCADA به شمار می‌آید. RPC برای انجام بسیاری از فرآیندهای مشروع در سامانه های کنترل مدرن مورد استفاده قرار می‌گیرد. مثلا فناوری dominant industrial integration در OPC بر پایه DCOM است که به منظور فعالیت نیاز به اجازه عبور ترافیک RPC می‌باشد. علاوه بر این سرورهای سامانه‌های کنترل و ایستگاه‌های کاری به طور معمول به نحوی پیکربندی می‌شوند که امکان اشتراک گذاری فایل‌‌ها یا چاپگرها را با استفاده از پروتکل SMB فراهم آورند. این پروتکل نیز بر بروی RPC فعالیت می‌کند. شاید مرتبط ترین مثال در این نمونه تمامی سامانه‌های کنترل زیمنس PCS 7 باشد که به طرز گسترده‌ای از یک فناوری پیام رسانی اختصاصی بر پایه RPC استفاده می‌کند. در صورتی که شما مدیر شبکه‌ای باشید که به Stuxnet آلوده است و در صورت پایش ترافیک شبکه تنها مقدار اندکی افزایش ترافیک RPC در مقایسه با حالت عادی را مشاهده می‌کنید. این افزایش تاچیز در ترافیک RPC در مقایسه با حالت عادی کار تشخیص آلوده شدن شبکه را دشوار می‌کند و به سختی موجب ایجاد هشدار شده و یا هشداری را موجب نمی‌شود.

حتی در صورتی که شما متوجه اشکال مشکوکی در شبکه شوید، به علت وجود دیوار آتش عادی احتمالا آنرا نادیده می‌گیرد. در صورت مسدود کردن همه ترافیک RPC موجب خودالقایی انکار سرویس بر علیه کل شبکه صنعتی کارخانه خود خواهید شد.

بدون ابزاری به منظور بررسی محتوای پیغام‌های RPC و مسدود ساختن ترافیک مشکوک مانند بازبینی عمیق بسته، کار مدیریت شبکه دشوار خواهد بود.

محدودیت‌های استفاده از DPI

  • تکنولوژی DPI می‌تواند همانگونه که جلوی برخی از آسیب‌ها را می‌گیرد باعث ایجاد آسیب‌پذیری‌های جدید نیز شود. به عنوان مثال همان‌گونه که جلوی حملاتی مانند سرسیز بافر، انکار سرویس و انواع خاصی از بدافزارهای مخرب را می‌گیرد می‌تواند راهی برای تسهیل همان حملات نیز باشد.

  • تکنولوژی DPI باعث پیچیدگی و سنگین شدن سیر حرکت داده‌ها در دیوارآتش و دیگر ابزار های جانبی می‌شود و البته نباید فراموش کرد که خود این تکنولوژی نیاز به‌روز نیز دارد.

  • تکنولوژی DPI می‌تواند باعث کند شدن سرعت رایانه‌ها از طریق افزایش بار بر روی پردازنده شود. همین امر باعث می‌شود که بسیاری از مدیران شبکه از پذیرش این تکنولوژی در محیط شبکه خود سر باز زنند.

روش کارکرد DPI

بازرسی عمیق بسته روش پیشرفته‌ای از فیلترینگ می‌باشد که تابع لایه کاربردی از مدل مرجع OSI است. استفاده از DPI امکان پیدا کردن، شناسایی، طبقه‌بندی و تغییر مسیر بلوک داده‌ها و یا محموله بسته را ممکن می‌سازد و این قابلید در فیلترینگ بسته‌های معمولی امکان‌پذیر نمی‌باشد. البته شایان ذکر است که این قابلیت بیشتر برای جلوگیری از حملاتی مانند DOS و یا DDOS در فراهم کنندگان سرویس مورد استفاده قرار می‌گیرد.

شکل(7): دیاگرام روش بازبینی عمیق بسته در زیرساخت‌های صنعتی

تکنولوژی بازرسی عمیق بسته که در حال حاضر محبوب‌ترین تکنولوژی تشخیص داده‌های در ارتباطات نقطه به نقطه می‌باشد.اصل اساسی دست‌یابی به این روش استفاده از مخزن داده در سرآیند بسته در لایه کاربرد می‌باشد. این مخزن محل نگهداری داده‌ها بصورت رشته‌های پیوسته و یا جدا شده می‌باشد که با تجزیه و آشکار شدن توسط رجوع به کتابخانه ی دیوارآتش، نوع و محموله بسته مورد نظر در لایه هفتم مشخص خواهد شد.

شکل(8): مراحل بازبینی عمیق بسته در سرآیند لایه‌های هفتگانه

مراجع

http://www.techrepublic.com/blog/data-center/deep-packet-inspection-what-you-need-to-know

http://cybersecurity.mit.edu/2013/10/security-of-scada-systems-deep-packet-inspection/

http://www.wired.co.uk/news/archive/2012-04/27/how-deep-packet-inspection-works#SubscriptionOptions

http://www.symantec.com/connect/articles/perils-deep-packet-inspection

https://www.tofinosecurity.com/blog/scada-security-deep-packet-inspection-%E2%80%93-part-1

http://www.symantec.com/connect/articles/firewall-evolution-deep-packet-inspection

کلمات و اصطلاحات

[1] یک استاندارد مستقل از پروتکل برای شبکه‌های اتوماسیون صنعتی است.

[2] Deep Packet Inspection

[3] SLA enforcement

[4] QoS

[5] Digital rights management

[6] TCP Destination Port Number

[7] Internet Assigned Numbers Authority (IANA)

[8] port number

[9] firmware update‎ message

[10] Fine-grained

[11] Safety Integrated Systems (SIS)

[12] Safety Instrumented Systems

[13] Common Industrial Protocol (CIP)

فایل این سند را از اینجا می‌توانید دانلود کنید.

مولف: ICSdefender

کد: 50013242

زمان انتشار: سه شنبه 25 دی 1397 08:30 ب.ظ

تعداد نمایش: 481

ورود به سامانه


نام کاربری
گذر واژه
کد امنیتی

شبکه های اجتماعی

ما را در شبکه های اجتماعی دنبال کنید