【ZiDongHua 之技術文章區(qū)收錄關鍵詞:霍尼韋爾 Honeywell  過程控制系統(tǒng) EPKS C300控制器 網(wǎng)絡安全 】
 
 
  霍尼韋爾PKS Control Firewall(CF9)安全研究
 
 
EPKS是工業(yè)自動控制領域的巨頭企業(yè)霍尼韋爾的全新一代過程控制系統(tǒng),該系統(tǒng)已經(jīng)被廣泛應用于各個領域的大型企業(yè)中,如化工、能源、制造業(yè)等。C300控制器作為PKS的核心控制器在整個系統(tǒng)中起著至關重要的作用,為了抵御網(wǎng)絡攻擊,PKS自帶了防火墻卡件,即Control Firewall(CF9)。本文將針對C300控制器配置的該防火墻進行傳統(tǒng)攻擊方式的安全實驗,以探究其在網(wǎng)絡攻擊環(huán)境中面臨的安全威脅。
 
  一、背景介紹
 
  1.Experion PKS 系統(tǒng)
 
  Experion PKS 過程知識系統(tǒng)是 Honeywell 最新一代的過程自動化系統(tǒng),它將人員與過程控制、經(jīng)營和資產(chǎn)管理融合在一起。Experion PKS 為用戶提供了遠高于集散控制系統(tǒng)的能力,包括嵌入式的決策支持和診斷技術,為決策者提供所需信息;安全組件保證系統(tǒng)安全環(huán)境獨立于主控系統(tǒng),提高了系統(tǒng)的安全、可靠性。
 
  圖 1 EPKS架構圖
 
  2.EPKS的組成
 
  ▍(1)Experion 高性能服務器
 
  它是PKS系統(tǒng)大腦,可選擇冗余配置
 
  是數(shù)據(jù)通信的樞紐,從控制器讀取數(shù)據(jù)后送給操作站?完成系統(tǒng)組態(tài)設備?存儲系統(tǒng)數(shù)據(jù)庫,包括全局實時數(shù)據(jù)庫/組態(tài)數(shù)據(jù)庫/歷史數(shù)據(jù)和事件
 
  圖 2 PKS服務器
 
  ▍(2)Experion 操作站
 
  主要包括三種:ES-F(Flex操作站,簡稱F站)、ES-C(Console操作站,簡稱C站)和ES-CE(CE操作站)。
 
  F站具備操作員人機界面,能夠與服務器完成數(shù)據(jù)通訊。
 
  C站具備操作員人機界面,能夠與服務器完成數(shù)據(jù)通訊,服務器異常時可以直接與控制器通信。
 
  CE站用來與Console操作站進行數(shù)據(jù)通信。
 
 

 
  圖 3 PKS操作站
 
  ▍(3)Experion 控制器
 
  它是PKS的心臟,用來完成運算和控制策略;
 
  包括C200控制器、PM I/O卡和C300等種類。
 
  
 
  圖 4 PKS控制器
 
  ▍(4)Experion 過程控制網(wǎng)絡
 
  ?容錯型以太網(wǎng),采用 Honeywell 的專利技術與Cisco技術結合,是一種高性能的先進的工業(yè)以太網(wǎng)解決方案?它是PKS的主干網(wǎng),在物理結構上冗余,需要指定型號的Switch。
 
  
 
  圖 5 容錯以太網(wǎng)
 
  二、C300控制器
 
  C300控制器由控制器模件、對應的輸入輸出安裝接線組件(IOTA)、控制執(zhí)行環(huán)境CEE和機柜內(nèi)電源構成。
 
  C300控制器模件如圖所示,采用了垂直安裝設計,該設計改善了機柜的走線、有效利用了機柜空間,模件18度傾斜確保了運行期間機柜內(nèi)熱量均勻流過模件,保證了系統(tǒng)的高可用性。模件采用了高密度部件,減小了體積,同時提高了單模件的通道比率。
 
  
 
  圖 6 C300控制器機柜
 
  C300控制器支持非冗余或冗余配置,冗余配置只要加選第二塊C300控制模件即可。可選模塊RAM內(nèi)存具有ECC(Error Correction Checking)功能,F(xiàn)lash內(nèi)存經(jīng)過校驗和(check-summed),帶有啟動診斷與運行診斷程序。由于使用集成度更高的集成電路,更少的部件,所以具有更高的平均無故障時間(MTTF)。冗余配置的C300的可用性>99.999%。
 
  C300控制器支持與其封裝形式相同的8系列I/O模件(包括HART I/O)。每個C300控制器最多支持80個冗余I/O模件。每個監(jiān)控/對等網(wǎng)絡段支持16個或16對冗余配置的控制器。
 
  
 
  圖 7 C300控制器及其接口
 
  輸入輸出接線組件(IOTA)既是C300控制器模件的安裝底板又具備控制器所需要的全部接線端子。包括:控制網(wǎng)絡(FTE)接口、輸入輸出鏈路(I/O )接口、冗余控制器接口、GPS接口和電源接口。
 
  C300電源系統(tǒng)采用商用電源加電源控制模塊組合配置??蛇x24VDC冗余配置。電源控制模塊確保供電安全穩(wěn)定。所有的控制器、I/O系統(tǒng)及其部件,均全面滿足嚴格的工業(yè)級別的CE-Mark(歐共體標準)的安全和輻射要求。
 
  C300控制器配套的Control Firewall(CF9)相當于一層固定的交換機,無需配置,不能防病毒,只能用來過濾垃圾信息。
 
 
  三、工控安全研究
 
  1.針對C300防火墻的ARP攻擊
 
  在內(nèi)網(wǎng)中針對C300控制器和上位機進行ARP欺騙攻擊,以獲取上位機和控制器通信中的數(shù)據(jù)包信息,實現(xiàn)對目標系統(tǒng)的信息獲取效果。
 
 
  ▍(1)欺騙C300控制器的實驗
 
  在攻擊機上運行準備好的Python代碼,同時通過wireshark抓包觀察實驗結果。
 
  可以在攻擊者主機上抓包看到C300控制器(192.168.40.41)到上位機(192.168.40.45)的流量,此時Control Firewall未進行任何防御。
 
 
  ▍(2)欺騙上位機的實驗
 
  上位機的原始ARP列表
 
  運行攻擊代碼之后,再次查看上位機的ARP列表。
 
  Wireshark抓包可見,上位機到C300控制器的流量,已被攻擊者截獲,而自帶的Control Firewall并未發(fā)現(xiàn)攻擊行為。
 
  ARP欺騙攻擊成功獲取了霍尼韋爾上位機和C300控制器之間相互通信的流量,C300控制器中的Control Firewall并未針對ARP欺騙攻擊做出有效的防御,ARP欺騙攻擊對整個系統(tǒng)的安全造成了一定的影響。實驗發(fā)包的時間間隔在5s時,可以截獲幾乎所有流量,不論發(fā)包時間間隔多短,都無法阻止上位機發(fā)出的ARP包,導致ARP緩存出現(xiàn)短暫的恢復。如果對截獲的數(shù)據(jù)包直接丟棄,5s已經(jīng)能夠?qū)е律衔粰C和控制器之間斷開連接,上位機讀數(shù)顯示為0。
 
  2.針對C300的SYN洪泛攻擊
 
  PKS上位機和C300控制器之間的通信使用了TCP/IP協(xié)議,其私有協(xié)議在TCP/IP協(xié)議的數(shù)據(jù)包中傳輸。通過在內(nèi)網(wǎng)中針對C300控制器發(fā)起SYN洪泛攻擊,可以達到影響PKS操作員對控制器的操作,實現(xiàn)控制器無響應的攻擊效果。
 
  開始攻擊之前,通過上位機上的wireshark抓包可以看到上位機和C300控制器之間的正常通信數(shù)據(jù)包。
 
  攻擊之后,發(fā)送數(shù)據(jù)包的速度在12KB/S的時候,通過wireshark抓包可以看到上位機和C300控制器之間正常的通信延遲嚴重。導致上位機上的界面讀數(shù)變?yōu)?,這種情況在持續(xù)較長時間(約2分40秒左右)之后,數(shù)據(jù)會被重新從C300控制器讀出并顯示在上位機上(顯示約12秒左右),之后上位機和C300控制器的通信又陷入通信延遲的狀態(tài),如此重復上面的狀態(tài)轉(zhuǎn)換。同時,控制器的屏顯信息正常,霍尼韋爾PKS自帶的Control Firewall并未對流量進行攔截。
 
  圖 17 SYN攻擊導致上位機與控制器之間的通信幾乎中斷上面進行的安全實驗是IT安全領域中常見的攻擊方法,以上攻擊方法可能帶來的安全影響有:
 
 ?、偻ㄟ^ARP欺騙,攻擊者可以過濾上位機和控制器之間的流量,導致信息泄露。
 
 ?、诋斏衔粰C通過操作界面操作控制器時,如果通過雙向的ARP欺騙,導致雙方斷開連接,則上位機失去對控制器的控制,導致安全隱患。
 
 ?、跾YN洪泛攻擊會影響控制系統(tǒng)的正常操作運行,給系統(tǒng)帶來安全隱患。
 
  四、總結
 
  根據(jù)霍尼韋爾官方針對CF9的文檔描述信息,CF9的主要功能包括三個方面:
 
 ?。?)拒絕所有控制器不需要的網(wǎng)絡流量。
 
 ?。?)當網(wǎng)絡流量趨于飽和時,將提高下行鏈路端口上的流量的優(yōu)先級,使其高于上行鏈路端口上額流量。
 
  (3)只允許符合C300控制器要求的有效信息傳遞到C300域中。
 
  盡管如此,通過上面的實驗可以看出,IT安全領域中常見的攻擊方法依然能夠輕松穿透CF9直接影響到C300控制器。這也從側(cè)面反映出工控系統(tǒng)在設計初期注重系統(tǒng)的正常穩(wěn)定,而忽略了對系統(tǒng)抵御安全攻擊的考慮。霍尼韋爾PKS雖然提供了Control Firewall,但是防護能力有限,需要引起企業(yè)的重視。
 
  
 
  公司簡介
 
  Company Profile
 
  浙江國利網(wǎng)安科技有限公司堅守“讓控制更安全,讓用戶更放心”的使命,憑借30年的工控技術積累和12年的工控安全研究,已形成了“工控安全試驗場”“工控安全盾”等獨具特色與優(yōu)勢的攻防核心技術、安全產(chǎn)品與服務體系,以及完整的行業(yè)解決方案,在水務水利、石油煉化、油氣管網(wǎng)、城市燃氣、電力能源、軌道交通、智能制造等行業(yè)擁有眾多客戶,致力于成為世界一流的關鍵基礎設施安全整體解決方案提供商。