Захист Wi-Fi в промисловому середовищі

05.12.2016

Захист Wi-Fi в промисловому середовищі

В даний час Wi-Fi є основою комунікацій, він витісняє традиційний провідний Ethernet навіть в вузлах з активним інтернет-трафіком. Завдяки своїй низькій вартості, високої продуктивності і кращої безпеки, в більшості застосувань він стає навіть кращим, ніж стільниковий зв’язок. Wi-Fi надає безліч можливостей для комунікації, але при цьому відкриває і нові напрямки для потенційних кібератак. Захист мережі – не найскладніша задача, однак вона вимагає особливої ​​відповідальності від тих, хто виробляє установку обладнання.

Історія питання

Якщо говорити в загальному, то Wi-Fi – це бездротова локальна мережа (Local Area Network, LAN), яка використовує стандарти IEEE 802.11. Власне, Wi-Fi – це торгова марка, якою володіє розробник системи Wi-Fi Alliance. У 1999 р IEEE (Institute of Electrical and Electronics Engineers, Інститут інженерів з електротехніки та електроніки) опублікував стандарт 802.11b, який описував перший механізм бездротової передачі даних з відносно високою швидкістю (по крайней мере, на той час) від 1 до 2 Мбіт / с. Стандарт швидко набув широкого поширення, так як всі основні з’єднання до цього були провідними.

Для промислового застосування Wi-Fi надав величезний потенціал для впровадження зручною високошвидкісний комунікації, хоча кінцеві пристрої все одно використовували власні запатентовані послідовні протоколи. Про безпеку на той момент ніхто не замислювався. У той час зв’язок був в основному за принципом «точка-точка», і для цього використовувалися віддалені термінали Modbus або їм подібні. Можливо, хакери і хотіли б зламати систему для створення точки підключення, проте в той час в мережі не було даних, які представляли б для них інтерес.

Еволюція технології

У той час як персональні комп’ютери та інші інформаційні технології знаходили все більше застосування в промисловій автоматизації, Ethernet піддавався ніяким змінам. Нормою стало використання TCP / IP (Transmission Control Protocol / Internet Protocol), але як і раніше поверх нього використовувалися спеціалізовані протоколи, такі як EtherNet / IP, Modbus TCP / IP, Profinet і ін. В той же час корпоративні мережі підприємств вимагали підключень до промисловій частині мережі, однак великі відстані, як і раніше цього не дозволяли. Тепер стало можливим створити прямий зв’язок між низькорівневими пристроями на виробництві та корпоративною мережею.

Хакери швидко усвідомили, що виробничі мережі є менш захищеними, ніж корпоративна мережа підприємства. Викрадення даних з виробничої мережі було дуже простою справою, оскільки зловмисники могли і тут використовувати методи, розроблені ними для локальних мереж, але в більшості виробничих мереж як і раніше просто не було нічого для них цікавого.

Просування технології Wi-Fi в рамках підприємства

Розгортання Wi-Fi в більшості промислових середовищ відразу призвело до виникнення специфічних проблем. В цілому, це як і раніше були прості з’єднання «точка-точка», де організація провідного з’єднання залишалася недоцільною або занадто дорогою. Нова технологія була розгорнута там, де раніше застосовувалися тільки оригінальні протоколи і методи зв’язку, оскільки була дешевше і простіше у використанні. Корпоративні IT-фахівці зазвичай не мали уявлення про те, що потрібно зробити, коли після сканування мережевого оточення нові бездротові мережі раптово з’явилися в списку доступних.

Ранні мережі Wi-Fi вже мали передбачену можливість захисту, але частіше за все, щоб не возитися з «нудними» паролями, мережа залишалася незахищеною. До 2003 р доступною системою безпеки залишався алгоритм WEP (Wired Equivalent Privacy), який включили в стандарт IEEE 802.11, і тоді він вже був націлений на широкий споживчий ринок (таблиця).

Спочатку цього було цілком достатньо, щоб сусіди не увійшли в вашу домашню мережу, але інструменти для злому знайшлися досить швидко. У 2003 р з’явилася захист мереж Wi-Fi за допомогою алгоритму WPA, який використовував протокол TKIP (Temporal Key Integrity Protocol – «протокол інтеграції тимчасового ключа»). Він виявився досить ефективним, а подальша його заміна на розширений протокол захисту AES (Advanced Encryption Standard) привнесла ще більше поліпшень на захист. Але незабаром ці протоколи також були зламані.

У 2006 р проблема була вирішена введенням WPA2. Як заміну TKIP був використаний AES з додатковим блоком, що забезпечує режим зчеплення лічильника з протоколом блочного шифрування з кодом автентичності повідомлення (CCMP). Але навіть для цього протоколу була доведена можливість злому, хоча це вже вимагало вкрай багато часу і зусиль.

Нехтування безпекою

Хоча WPA2 почасти й вирішує проблеми хакерських атак, принаймні технічно, цей протокол не завжди підходить для вирішення практичних питань. Більшість Wi-Fi-маршрутизаторів (роутерів) мають можливість зворотної сумісності, що дозволяє користувачеві настроїти налаштування пристрою для використання застарілої технології безпеки.

Високоякісний промисловий захищений маршрутизатор може працювати багато років в жорстких умовах експлуатації, характерних для промислових підприємств, тому навіть зараз досить просто знайти пристрої, які продовжують працювати ще з 2002 р Але маршрутизатори, випущені більше десяти років тому, мали тільки один метод захисту бездротового трафіку ( WEP). Більшість тих, хто впроваджував в ті роки дане обладнання на підприємствах, були звичайним обслуговуючим персоналом, а не фахівцями ІТ-підрозділу. Вони встановлювали нові маршрутизатори і включали шифрування WEP як на новому, так і на існуючому обладнанні, не особливо вникаючи в нюанси забезпечення безпеки. Безпека є безпека, правильно? Бездротова мережа з’явилася в списку доступних мереж як захищена, стало бути, ми захищені, значить все зроблено правильно …

Деякі компанії навіть не встановлювали бездротові мережі на підприємстві. Тому, щоб вирішити проблему, обслуговуючий персонал повинен був підключати маршрутизатор безпосередньо до програмованого логічного контролера (ПЛК) або до локальної мережі підприємства. Компанії, що дотримуються політики максимальної захисту, забороняли такі маніпуляції, проте в багатьох фірмах це було звичайною справою. Добросовісний технічний персонал завжди переконається, що, коли робота виконана, маршрутизатор буде відключений від мережі. Але якщо було пропущено відключення одного з таких пристроїв, мережа ставала незахищеною. Якщо хакер виявляв цю невелику і незахищену мережу, він міг зробити вторгнення в неї, що потенційно давало йому доступ до корпоративної мережі в цілому.

Чому безпеку так важлива

Хакери намагаються проникнути в мережу підприємства, використовуючи найбільш вразливі місця, і незахищена або мінімально захищена бездротова мережа є чудовим засобом досягнення їх злочинних задумів. Основною трудністю для хакерів є можливість підібратися до заводу так близько, щоб можна було перехопити радіосигнал.

Якщо хакер зможе отримати доступ тільки до ізольованій частині мережі підприємства, кількість завданих збитків, швидше за все, буде обмеженим. Набагато більш серйозні проблеми виникнуть, коли через виробничу мережу буде отриманий доступ до корпоративної мережі підприємства, де зберігаються найбільш важливі дані.

Однією з найбільш обговорюваних тем, що стосуються кібербезпеки, є необхідність захисту важливих даних на виробництві. Інформація, що зберігається на підприємстві, насправді може бути дуже цінною, якщо вона, наприклад, включає в себе програми для верстатів з ЧПУ, що виготовляють деталі для авіалайнерів, або важливі дані для хімічних процесів.

Однак дані, доступні на більшості виробництв, будь то температура реактора або кількість деталей, які повинні вийти з-під преса за певний час, не настільки цінні, що б їх красти. Тоді навіщо ж хакерам зламувати промислові мережі?

Деякі хакери просто «зі спортивного інтересу» хочуть завдати шкоди виробництву в будь-якому вигляді, наприклад відключити важливу частину обладнання, пошкодити керуючу програму на ПЛК або відкрити не той клапан, щоб створити аварійну ситуацію або паніку. Ці дії цілком можливі, тому ви маєте бути готовими до них.

Принцип розумного і достатнього

Що найгірше може зробити хакер? Якщо системи управління на підприємстві можуть працювати з ймовірністю заподіяння шкоди здоров’ю або безпеці, то вони повинні бути переглянуті.

Це може здатися дивним, проте якщо робота оператора в контрольному залі або проникнення кіберзлочинця зовні можуть дійсно створити загрозливу ситуацію, а система безпеки при цьому не спрацювала і не перевела підприємство в захищений режим, то очевидно наявність помилок в розробці. В правильно сконструйованої системі управління хакер, може бути, і створить небезпечну ситуацію, однак вона не матиме тривалого негативного ефекту.

Ця концепція заснована на пропорційності, але і це не причина залишати мережу виробництва незахищеною, особливо бездротову мережу. План по здійсненню кіберзахисту повинен бути порівняємо з об’ємом того, що потрібно захищати. Правильно розробленою системою управління є така система, роботу якої практично неможливо порушити, неважливо, навмисно це робиться чи ні.

Поділ корпоративної і виробничої мереж

З’єднання між промисловою частиною мережі і корпоративної її частиною зазвичай допускає проходження даних вгору по ланцюжку. Щоб уникнути будь-якого втручання кого-небудь з офісних працівників в діяльність виробничої мережі і захистити її від вторгнення хакерів з боку корпоративної мережі, зворотне повідомлення повинно бути обмежено. Однак деяким компаніям потрібно як входить, так і вихідне повідомлення з мережею виробництва, наприклад для завантаження інструкцій, необхідних для здійснення виробничого процесу.

Більшість IT-підрозділів компаній можуть створити бар’єр між корпоративної і виробничої мережею. Як правило, це файервол (міжмережевий екран, що забезпечує мережеву безпеку шляхом контролю вхідного і вихідного трафіку), демілітаризована зона DMZ (Demilitarized Zone – сегмент мережі, що містить загальнодоступні сервіси і відокремлює їх від приватних) або VPN-сервер для контролю проходження даних. Однак, як згадувалося вище, ці кошти призначені для контролю трафіку, що проходить з корпоративної мережі в виробничу. Вони не можуть бути використані для контролю за потоком даних з виробничої мережі в корпоративну.

Крім того, крім індивідуальної надійності конфігурації, корпоративні системи мають високий рівень сумісності з виробничими мережами і більшістю виробленого обладнання, тому правила контролю трафіку рідко налаштовані саме так, як того вимагають міркування безпеки. Таким чином, якщо хакер хоче проникнути у велику корпоративну мережу, використовуючи Wi-Fi, йому буде потрібно всього лише виявитися досить близько, щоб встановити з’єднання. Якщо він розширить свою проникнення до рівня корпоративної мережі, то зможе створити лазівку і надалі проникнути туди вже через Інтернет.

Якщо фахівці IT-підрозділу турбуються про безпеку, вони можуть встановити недалеко від підприємства невеликі пристрої, які мають можливість з’єднуватися з виробничою мережею через Wi-Fi і передавати в подальшому інформацію в важливі місця, використовуючи стільникову мережу зв’язку. Так чи інакше, існує безліч шляхів організації взаємодії між корпоративною мережею підприємства і Wi-Fi-мережею виробництва.

Варіанти вирішення проблем

Звичайно ж, завжди першочерговим фактором є уважність і відповідальна поведінка персоналу підприємства. Але ми також рекомендуємо не нехтувати такими діями:

Замініть всі маршрутизатори, випущені до 2006 року, на більш сучасні.
Налаштуйте всі мережі на використання WPA2.
Використовуйте складні паролі.
Розглянемо дані заходи докладніше.

Маршрутизатор з роком випуску до 2006 р все ще можуть відмінно працювати, однак якщо вони не підтримують захищений доступ з використанням WPA2, то повинні бути замінені на більш нові. Більш того, якщо маршрутизатор був випущений пізніше 2006 року, це ще не означає, що він буде підтримувати шифрування WPA2, тому обов’язково перевірте наявність цієї опції. Якщо все маршрутизатори, встановлені у вашій компанії, мають підтримку WPA2, зробіть цей протокол використовується за умовчанням і примусово виставте його використання на всіх маршрутизаторах. Далі, слід пам’ятати, що критичним при створенні пароля є його довжина і різноманітність символів, включаючи цифри, використання літер верхнього та нижнього регістру і т. Д. У більшості випадків для доступу до бездротової мережі потрібно пароль не менше ніж з 13 символів різного типу. Крім того, слід розуміти, що пароль, яким би складним він не був, абсолютно даремний, якщо написаний на клаптику паперу, приклеєному до маршрутизатора.

Управління паролями має бути організовано найсерйознішим чином. Єдиний співробітник, який може (і повинен) знати всі паролі доступу, – це системний адміністратор конкретної мережі. В його обов’язки входить негайна їх зміна (блокування), як тільки відповідний працівник звільняється. Не забувайте: незадоволений співробітник набагато більш небезпечний, ніж самий кваліфікований хакер, тому що він / вона можуть мати дуже важливими знаннями про те, як все працює і як воно налаштоване. Відсторонений від роботи співробітник може надати такі дані кваліфікованому хакеру, і це буде найгіршим варіантом розвитку подій.

Згадані заходи безпеки ефективні, прості в реалізації і недорогі. Персонал, відповідальний за Wi-Fi і інші мережі на підприємстві, може і повинен підтримувати відповідний рівень безпеки, вносячи, тим самим, найважливіший внесок в роботу компанії.

Брюс Білледо (Bruce Billedeaux), переклад Control Engineering

 

Статьи

10.10.2018

Мільйони виробників насправді стикаються зі страхом банкрутства, в разі того, якщо вони не проведуть цифрові перетворення, але, на жаль, це не так просто. Якщо (читать далее)

01.10.2018

У доступному для огляду майбутньому польові шини не зникнуть з промислової автоматизації, однак стандарт Ethernet для швидкісних мереж (TSN) спільно з незалежним стандартом сумісності (читать далее)