多芬諾關于Quantum PLC漏洞的解決方案

據(jù)US-CERT（美國計算機應急響應小組）SB11-360公告（http://www.us-cert.gov/cas/bulletins/SB11-360.html）和SB12-037公告（http://www.us-cert.gov/cas/bulletins/SB12-037.html）稱施耐德Modicon Quantum系列PLC存在多項安全漏洞，Tofino全球首席技術總監(jiān)Eric在2011年12月16日的博客中就提前發(fā)布過相關資訊，這為使用Modicon Quantum系列PLC及所有使用Modbus工業(yè)協(xié)議的用戶敲響了安全防護的警鐘，從伊朗Stuxnet到Duqu，越來越多的攻擊破壞行為正越來越多的指向工業(yè)設備，Tofino以其獨創(chuàng)的Modbus工業(yè)安全插件模式，為支持Modbus/TCP工業(yè)設備提供安全保障。

1 安全漏洞分析

針對目前施耐德Modicon Quantum系列PLC的漏洞，大致可將分為以下兩方面。

1.1  Modbus協(xié)議功能碼90（0x5A）的漏洞

根據(jù)Modbus功能碼定義，功能碼90為用戶保留的功能擴展編碼段，而非Modbus協(xié)議常規(guī)的功能碼，因此，這一漏洞是施耐德公司Modicon Quantum系列PLC所特有的，此功能碼具有啟停PLC設備、獲取密碼信息、圖形邏輯代碼上傳下載等可能直接影響PLC正常運轉的高權限行為能力，而實際應用中此功能碼可能并非用戶所必要。

1.2 網(wǎng)絡端口開放漏洞

Modicon Quantum系列PLC存在多項網(wǎng)絡端口和服務漏洞，其中包括許多黑客與病毒常用的通訊端口，通過Telnet、FTP、Web、遠程登錄等手段可以導致PLC癱瘓，PLC在實際使用中可能并不需要為用戶開放這些網(wǎng)絡端口，默認開放的端口為非法攻擊行為創(chuàng)造了環(huán)境。

2 安全漏洞防御解決方案：

    通過對Modicon Quantum系列PLC存在的漏洞進行分析，我們認為可以通過如下方式徹底防御現(xiàn)有的安全漏洞。

2.1  PLC Modbus協(xié)議的深度防護

Tofino工業(yè)防火墻具有深度檢查和防御Modbus協(xié)議通訊的功能，它可以從Modbus的設備地址、功能碼、寄存器地址等方面提供Modbus協(xié)議通訊的全面防護，通過白名單方式最小化開放允許的通訊行為，在保證PLC正常通訊的同時屏蔽一切不必要的和非法的Modbus通訊請求，真正的從應用協(xié)議層面保護PLC的安全，徹底防御Modbus協(xié)議功能碼漏洞，此功能不僅可以用于Modicon Quantum系列PLC，也可以用于所有通過Modbus協(xié)議通訊的工業(yè)設備。

2.2  PLC的網(wǎng)絡端口與服務的安全防護

Tofino防火墻在實現(xiàn)Modbus協(xié)議深度檢查和防御的同時，還可以對PLC控制器默認開放的網(wǎng)絡端口與服務提供安全防護，防火墻的白名單方式最小化開放必要的通訊端口，屏蔽了Telnet、FTP、Web、遠程登錄等所有不必要的和非法的通訊端口，Tofino防火墻特有的屏蔽IP功能，使非法攻擊者根本無法掃描并攻擊網(wǎng)絡中的PLC設備，為其保護的工業(yè)設備提供了一個安全的運轉環(huán)境。

2.3  隔離企業(yè)內網(wǎng)與控制網(wǎng)絡

通過在企業(yè)內網(wǎng)（數(shù)采網(wǎng)）與PLC所在的控制網(wǎng)絡之間加入Tofino工業(yè)防火墻，安全隔離控制網(wǎng)絡的PLC設備不與外界網(wǎng)絡通訊，防御來自外網(wǎng)的非法侵入。數(shù)采網(wǎng)絡與控制網(wǎng)絡之間往往需要進行數(shù)據(jù)通訊，一般采用的工業(yè)協(xié)議為OPC協(xié)議，OPC協(xié)基于DCOM技術，使用動態(tài)端口進行通訊，傳統(tǒng)防火墻無法有效的從應用協(xié)議層面對OPC協(xié)議進行防護，Tofino工業(yè)防火墻恰恰具有深度檢查與防護OPC通訊協(xié)議的能力，這樣通過充分發(fā)揮Tofino防火墻作為邊界設備的優(yōu)勢，能夠將數(shù)采網(wǎng)絡與控制網(wǎng)絡安全隔離，防御外界網(wǎng)絡對控制網(wǎng)絡PLC設備的非法攻擊。

3 應用案例展示：

目前Tofino防火墻已經(jīng)被廣泛的應用于工業(yè)信息網(wǎng)絡，為用戶提供了工業(yè)協(xié)議與工業(yè)網(wǎng)絡通訊的安全防護。

案例一：Modbus協(xié)議的防護:

用戶信息:中國石化青島煉化分公司

應用環(huán)境：SIS儀表安全控制系統(tǒng)工程師站防護

防護描述：SIS系統(tǒng)的工程師站使用IFIX軟件作為HMI平臺，通過Modbus協(xié)議與SIS系統(tǒng)控制器進行數(shù)據(jù)通訊，通過流程圖顯示現(xiàn)場數(shù)據(jù)，為用戶提供現(xiàn)場數(shù)據(jù)的實時信息，同時HMI軟件也具備數(shù)據(jù)寫入能力，通過Modbus協(xié)議可以將數(shù)據(jù)寫入到控制器中。

防護架構圖：

防護策略：根據(jù)實際應用的了解發(fā)現(xiàn)工程師站只使用功能碼01和03讀取現(xiàn)場數(shù)據(jù)，而正常操作情況不需要通過寫入功能碼修改現(xiàn)場數(shù)據(jù)，在防火墻安全策略設置中我們最小化開放Modbus協(xié)議的01和03功能碼及必要的地址偏移量和連續(xù)地址范圍，這樣在保證HMI平臺正常通訊的同時也將其它所有非必要的功能碼和地址段安全保護起來，如果有Modbus協(xié)議的非法操作都將被防火墻攔截。

案例二：齊魯石化施耐德Modicon Quantum PLC與MES網(wǎng)絡隔離防護:

用戶信息:中國石化齊魯石化分公司

應用環(huán)境：齊魯石化*****裝置

防護描述：企業(yè)MES數(shù)采網(wǎng)絡與控制網(wǎng)絡之間需要進行數(shù)據(jù)通訊，一般采用的工業(yè)協(xié)議為OPC協(xié)議，OPC協(xié)基于DCOM技術，使用動態(tài)端口進行通訊，傳統(tǒng)防火墻無法有效的從應用協(xié)議層面對OPC協(xié)議進行防護，Tofino獨有的OPC安全插件恰恰具有深度檢查與防護OPC通訊協(xié)議的能力，這樣通過充分發(fā)揮Tofino防火墻作為邊界設備的優(yōu)勢，能夠將數(shù)采網(wǎng)絡與控制網(wǎng)絡安全隔離，防御外界網(wǎng)絡對控制網(wǎng)絡PLC設備的非法攻擊。

防護架構圖：

防護策略：在Modicon PLC控制網(wǎng)絡的OPC Server和上層MES數(shù)采機之間增加Tofino防火墻，并采用用OPC Enforcer安全插件進行防護。