Добрый день!
Сегодня расскажем о средствах обеспечения информационной безопасности в контроллерах ОВЕН. В последнее десятилетие данная тема в области АСУ ТП становятся более актуальной - в частности, из-за сложности систем диспетчеризации и управления. Ведь сложность постоянно увеличивается, и возникает потребность их интеграции с другими сервисами.
В статье рассмотрим контроллеры, которые используют операционную систему OpenWrt на базе ядра Linux и программируются в среде CODESYS 3.5.
Подробнее читайте ниже:
#ОВЕН_ПолезныеМатериалы
В последнее десятилетие вопросы информационной безопасности в области АСУ ТП становятся более актуальными - в частности, из-за того, что сложность систем диспетчеризации и управления постоянно увеличивается, и возникает потребность их интеграции с другими сервисами - в том числе, с использованием передачи данных через сеть Интернет. Это открывает возможность для злоумышленников удаленно эксплуатировать уязвимости таких систем для вмешательства в работу промышленных объектов. По статистике «Лаборатории Касперского» в 2023 году треть компьютеров в системах АСУ были атакованы вредоносным ПО. Но чаще целью атак становятся не только компьютеры, но и программируемые логические контроллеры (ПЛК). Исторически контроллеры рассматривались как «закрытые» для пользователя устройства, работающие в изолированной локальной сети и поэтому не требующие специальных защитных средств – но, как уже упоминалось выше, в последние годы эта тенденция стала меняться.
Современные контроллеры ОВЕН (ПЛК210, ПЛК200, СПК1хх, СПК210) используют операционную систему OpenWrt на базе ядра Linux и программируются в среде CODESYS V3.5. В данной статье мы рассмотрим средства обеспечения информационной безопасности, которые поддерживаются этими двумя программными комплексами.
Ограничение доступа к web-конфигуратору
Web-конфигуратор – это основной инструмент для настройки контроллера. Он позволяет изменить сетевые параметры ПЛК, создать резервную копию его настроек, загрузить приложение CODESYS и т. д. Полный список возможностей web-конфигуратора рассмотрен в документации.
Доступ к web-конфигуратору требует авторизации. По умолчанию используется логин root и пароль owen. Логин не может быть изменен, а пароль задается на вкладке Система – Управление – Пароль устройства. Рекомендуется на этапе настройки установить свой надёжный пароль, чтобы запретить доступ к web-конфигуратору для посторонних.
Что ещё более важно – эти же логин и пароль используются для подключения к терминалу контроллера по протоколу SSH. Такое подключение обычно используется для отладки и предоставляет подключившемуся неограниченные возможности по работе в операционной системе контроллера – это одна из наиболее желаемых точек проникновения для злоумышленника.
На вкладке Система – Управление – Доступ по SSH можно изменить номер порта SSH-сервера (потому что стандартные порты проверяются злоумышленниками в первую очередь) и выбрать сетевой интерфейс, по которому он будет доступен (например, можно сделать так, чтобы SSH-сервер будет доступен только по интерфейсу USB). На вкладке Система – Управление – Ключи SSH можно задать ключ, наличие которого потребуется на SSH-клиенте для подключения к SSH-серверу ПЛК.
По умолчанию сервер web-конфигуратора поддерживает подключение и по протоколу HTTP (незащищенному), и HTTPS (защищенному). На вкладке Службы – HTTP/HTTPS можно поменять номера портов web-конфигуратора и сгенерировать или импортировать сертификаты безопасности для протокола HTTPS.
Для контроллеров СПК1хх пароль используется не только для доступа к web-конфигуратору и SSH-серверу, но и экранному конфигуратору, позволяющему настраивать контроллер с его дисплея.
Использование VPN
Если ПЛК «общается» через Интернет с другими устройствами или сервисами – то этот трафик может быть перехвачен злоумышленником (например, с целью получения доступа к конфиденциальной информации о производственном процессе). Чтобы избежать этого – можно использовать виртуальные частные сети (VPN). VPN позволяет организовать защищенный виртуальный канал связи поверх незащищенного соединения. Контроллеры ОВЕН поддерживают два популярных VPN-клиента: OpenVPN и WireGuard.
Настройка OpenVPN производится на вкладке Службы – OpenVPN-клиент.
Настройка WireGuard выполняется путем создания виртуального интерфейса: Сеть – Интерфейсы – Добавить новый интерфейс – Протокол: WireGuard VPN.
Межсетевой экран (firewall)
Важным компонентом OpenWrt является межсетевой экран, который позволяет осуществлять фильтрацию межсетевого трафика. Это особенно важно в тех случаях, когда ПЛК «напрямую» подключен к сети Интернет или используется в качестве шлюза между сетью АСУ и корпоративной сетью предприятия.
Настройка межсетевого экрана выполняется в web-конфигураторе на вкладке Сеть – Межсетевой экран. На вкладке Правила для трафика можно указать порты, доступ по которым будет разрешен (запросы, полученные по другим портам, будут отбрасываться). На вкладке Перенаправление портов настраиваются правила маршрутизации – это позволяет использовать ПЛК как шлюз (например, конфигурировать с ПК подключенные к ПЛК модули ввода-вывода).
Важно отметить, что по умолчанию настройки межсетевого экрана распространяются только на сетевые интерфейсы, размещенные в зоне WAN. Выбрать зону можно в настройках интерфейса (Сеть – Интерфейсы – Изменить – Настройки межсетевого экрана).
Использование промежуточного оборудования
Использование встроенного межсетевого экрана в случае подключения ПЛК к сети Интернет не является перестраховкой – существует достаточное количество ботнетов, сканирующих весь пул IP-адресов по портам с целью эксплуатации известных уязвимостей.
Например, в логе одного из контроллеров, подключенных к интернету, мы увидели такие «злоумышленные» запросы:
Комментарии по некоторым из них приведены в интернете.
Аппаратных ресурсов ПЛК может быть недостаточно для противодействия такому интенсивному сканированию – в результате его web-визуализация (или даже приложение CODESYS) могут прекратить работу. Поэтому рекомендуется использоваться специализированное промежуточное межсетевое оборудование для подключения ПЛК к сети Интернет. Примером такого оборудования может служить промышленный межсетевой экран InfoWatch ARMA Industrial Firewall от компании InfoWatch, прошедший тестирование на совместимость с контроллерами ОВЕН.
© Материал является объектом авторского права компании ОВЕН. Запрещается копирование, распространение или любое иное использование информации и объектов данного материала без предварительного согласия правообладателя.