基于工控協議防火墻的脆弱性研究

吳震生

（中國機房設施工程有限公司，天津 300061）

工業防火墻是專門為工業控制網絡量身打造的工控網絡安全產品。它能實時監測工控網絡的狀態，檢測工控網絡中入侵行為，也能根據用戶定義的防護控制策略，處置工控網絡安全事件，及時響應和告警。

工業防火墻適用于 SCADA、DCS、PCS、PLC 等工業控制系統，可以被廣泛的應用到石油石化、天然氣、電力、智能制造、水利、鐵路、城市軌道交通、城市市政以及其他與國計民生緊密相關領域的工業控制系統。

在越來越依賴工業防火墻技術的情況下，它對于一些特殊的攻擊或其他行為有時也無能為力。因此，對于工業防火墻的脆弱性進行詳細的分析和研究。

1 工業防火墻的脆弱性分析

1.1 通過旁路安全機制的方法

1.1.1 脆弱性分析

未授權的個人可能試圖通過旁路安全機制的方法，訪問和使用提供的安全功能或非安全功能。

1.1.2 應對方法與結果

當系統響應硬中斷的時候不處理報文，直接給內核觸發軟中斷，軟中斷中把系統所有的接收隊列的報文都處理完，在這種數據流接收模式下，所有網卡捕獲的報文都會根據原始數據報文的類型交個相應的安全處理模塊，不存在數據報文從其他旁路繞過的可能。通過以上安全機制，該脆弱性被解決。

1.2 使用反復猜測鑒別數據的方法

1.2.1 脆弱性分析

未授權的個人可能使用反復猜測鑒別數據的方法，并利用所獲信息，對工業防火墻實施攻擊[1]。

1.2.2 應對方法與結果

工業防火墻產品的管理員賬戶對應的密碼以加密方式存儲，對于非授權用戶，用戶賬戶和密碼都是不可見的。

懷有惡意的遠程訪問者只能通過暴力破解的方式嘗試獲取設備的訪問權限，授權的用戶管理員可以設置遠程登錄失敗嘗試的次數，當達到這個次數門限時，將會鎖定帳號，在人工干預之前，任何破解的企圖系統將拒絕通過以上安全機制，該脆弱性被解決。

1.3 利用所獲得的有效標識訪問

1.3.1 脆弱性分析

未授權的個人可能利用所獲得的有效標識和鑒別數據，訪問和使用由工業防火墻。

1.3.2 應對方法與結果

工業防火墻設置信任主機的方法，只有信任主機或IP才能訪問工業防火墻，其他非信任主機或IP都不允許訪問工業防火墻。通過以上安全機制，該脆弱性被解決。

1.4 通過偽裝鑒別數據或偽裝成為內網合法用戶

1.4.1 脆弱性分析

未授權的個人可能通過偽裝鑒別數據 （例如，假冒源地址），或者偽裝成為內網合法的用戶或實體，來試圖旁路信息流控制策略。

1.4.2 應對方法與結果

工業防火墻系統綜合采用了以下技術：基于TCP/IP的傳輸層數據可靠傳輸技術、基于SSL協議的加密隧道（RSA的非對稱密鑰（1024位）認證技術）。基于DES、3DES、AES等的會話密鑰加密技術[2]。

TCP/IP產生層協議保證的數據傳輸的完整性，RSA算法保證了身份認證的真實性；會話密鑰的使用保證了數據傳輸的私密性。同時RSA和3DES等算法的加解密過程在傳輸內容上強化了數據傳輸的完整性。

1.5 通過向外發送不被允許的信息

1.5.1 脆弱性分析

未授權的個人可能向外發送不被允許的信息，導致內網資源被開發利用。

1.5.2 應對方法與結果

首先在設備上設置敏感信息關鍵字，當用戶信息經過工業防火墻時發現信息中包含有敏感信息關鍵字，將阻斷信息的傳說，從而保護內網資源不會被開發利用。

1.6 通過監控信息流填充符獲得以前信息流或殘留信息

1.6.1 脆弱性分析

未授權的個人可能通過監控信息流的填充符來獲得以前信息流或內部數據中的殘留信息[3]。

1.6.2 應對方法與結果

工業防火墻對關鍵管理信息進行加密傳輸。

采用密碼進行加密：要進入系統必須獲取系統的用戶及管理信息，而這些信息采用密碼加密方存儲，普通人員即使拿到密文也無法知道明文密碼，仍然無法進入。

完整性檢查內容：用戶身份的標識和鑒別信息；產品的授權和鑒別信息；用戶審計日志信息；系統日志信息；

完整性檢查的技術機制：采用格式檢查和協議檢查。

1.7 遠程授權管理員和間發送的安全相關信息

1.7.1 脆弱性分析

未授權的個人或未授權的外部IT實體可能瀏覽、修改或刪除了遠程授權管理員和防火墻之間發送的安全相關信息。

1.7.2 應對方法與結果

工業防火墻對關鍵管理信息進行加密傳輸。

采用密碼進行加密：要進入系統必須獲取系統的用戶及管理信息，而這些信息采用密碼加密方式存儲，普通人員即使拿到密文也無法知道明文密碼，仍然無法進入。

完整性檢查內容：用戶身份的標識和鑒別信息；產品的授權和鑒別信息；用戶審計日志信息；系統日志信息。

1.8 修改或破壞了重要的安全配置數據

1.8.1 脆弱性分析

未授權的個人可能讀、修改或破壞了重要的安全配置數據。

1.8.2 應對方法與結果

保證工業防火墻的物理安全，禁止非授權人員的直接訪問。采用不間斷電源等設備，保證供電安全，防止數據丟失。工業防火墻硬件存儲采用CF卡技術，保證系統代碼在斷電后的系統的可靠性。劃分了多個用戶角色，可根據需要對用戶的功能和數據操作范圍進行授權限制，以避免誤操作導致系統數據被刪除；

1.9 耗盡審計存儲空間方法來掩蓋攻擊者的攻擊行為

1.9.1 脆弱性分析

未授權的個人可能通過耗盡審計數據存儲空間的方法，導致審計記錄的丟失或阻止未來審計記錄的存儲，從而掩蓋攻擊者的攻擊行為。

1.9.2 應對方法與結果

當日志接近達到存儲空間上限時，可以自動滾動存儲，拒絕存儲。存儲空間接近上限的情況下可自動向管理員發送告警，管理員可以手工進行日志的維護。

1.10 基本級別的威脅

1.10.1 脆弱性分析

針對可發現的、可利用的脆弱性的惡意攻擊威脅被認為是基本級別的威脅。

1.10.2 應對方法與結果

針對可發現的、可利用的脆弱性的惡意攻擊威脅，工業防火墻通過安全策略的配置，已經有一套完整的應對識別措施，所以被定義為基本級別的威脅。通過以上安全機制，該脆弱性被解決。

1.11 窺探與外部授權實體間的傳輸數據

1.11.1 脆弱性分析

未授權的個人或未授權的外部IT實體可能窺探與外部授權實體間的傳輸數據。

1.11.2 應對方法與結果

工業防火墻系統在分離部件之間（工業防火墻和web管理平臺）的數據傳輸（包括：控制命令及反饋信息、事件報警和日志、事件數據庫、軟件包升級等）綜合采用了以下技術：基于TCP/IP的傳輸層數據可靠傳輸技術、基于SSL協議的加密隧道（RSA的非對稱密鑰 （1024位）認證技術）、基于DES、3DES、AES等的會話密鑰加密技術。TCP/IP產生層協議保證的數據傳輸的完整性，RSA算法保證了身份認證的真實性；會話密鑰的使用保證了數據傳輸的私密性。同時RSA和3DES等算法的加解密過程在傳輸內容上強化了數據傳輸的完整性。

1.12 未授權的訪問濫用發生

1.12.1 脆弱性分析

未授權的訪問濫用發生在IT系統上。

1.12.2 應對方法與結果

執行代碼在運行開始時，須對用戶身份進行鑒別；用戶只有通過在身份鑒別成功后，才能使用功能。

系統提供并維護角色權限分配表。角色權限分配表按照不同的用戶角色分布分配了對所有功能模塊的訪問權限。

系統一旦被調入運行，首先在對用戶身份進行鑒別。在身份鑒別成功后，系統被賦予特殊的用戶標記。在系統調入功能模塊時，系統檢查角色權限分配表，只有用戶所屬組具有對此項功能模塊的訪問權限時，該功能模塊才準許使用。上述安全機制有效地保證了系統對用戶角色授權及其功能操作的隔離。

1.13 工控協議應用防護方面的威脅

1.13.1 脆弱性分析

應用防護方面的威脅需考慮并加入。

1.13.2 應對方法與結果

工業防火墻針對實際用戶需求和設置，可以識別應用層協議，在應用層和網絡層解析深度解析工控協議，針對相關的應用功能使用白名單機制進行限制和防護，防止非法應用程序的使用。

1.14 抵御攻擊者對工控網絡攻擊

1.14.1 脆弱性分析

工業防火墻是否能夠抵御攻擊者對網絡攻擊？1.14.2 應對方法與結果

工業防火墻只開放了 TCP 8889，5555，23，502端口等幾個少數的業務必須端口，其他端口都是關閉的，以防止被一些攻擊軟件利用。在必須開放的幾個業務端口，工業防火墻側只是接收預先設定好格式的數據報文，如果接收到報文數據格式檢查失敗，將直接丟棄工業防火墻自身內置了最常流行的拒絕服務攻擊功能，可以有效抵御：land-base，ping of death，syn-flag，tear-drop，winnuke，smurf等拒絕服務攻擊軟件。

1.15 SSH登錄口令存在被暴力破解的隱患

1.15.1 脆弱性分析

防火墻存在SSH登錄口令存在被暴力破解的隱患，設備在Web頁面登錄管理設備口令輸錯次數超過設定的次數后會自動鎖定賬號，但后臺SSH時口令輸錯次數超過設定的次數后并未自定鎖定賬號，還可繼續輸入[4]。

1.15.2 應對方法與結果

后臺實現與頁面同樣的功能，對于超過驗證次數的用戶鎖定一段時間。

1.16 更改默認端口后無法進行協議控制功能

1.16.1 脆弱性分析

無法對 HTTP、FTP、POP3、SMTP 協議進行識別，更改默認端口后無法進行協議控制功能，目前的協議識別是根據端口+特征進行識別的，修改端口后無法進行協議識別。

1.16.2 應對方法與結果

在協議識別時取消端口匹配，同時增強特征識別。

2 結語

網絡的安全是一種相對的安全，目前還沒有一種技術可以百分之百解決網絡上的信息安全問題。防火墻是一個確保網絡安全的強大工具，但是現有的防火墻有其局限性。針對工業控制系統的應用場景，針對工業控制協議的工業防火墻，其適用性和擴展性均有一定的局限，對網絡攻擊的檢測和告警將成為防火墻的重要功能，將逐步建立和完善入侵檢測數據庫。