打造安全的堡垒

Tobias Heer 认为,检测和保护是无线网络设计的两大安全支柱。

对于工业应用管理者来说,安全始终是必须加以考虑的首要问题。然而安全的讨论大部分仅仅局限于加密机制方面的需求。实际上,现代的安全措施能够提供的功能已经远超数据加密领域,集中访问控制系统、入侵检测、防火墙和管理框架保护都是工程师工具包中的重要组件,能够很好地防止无线技术遭受机密数据盗取威胁或攻击者入侵。

工业控制系统(ICS)安全要求部署多层的保护措施,从而保护重要的资产。通过纵深防御体系(DiD),我们可以检测、隔离和控制各种蓄意、无意、外部和内部的威胁,从而提供远较单纯加密有效得多的安全战略,最终实现可靠的 ICS 安全。要想充分、有效地防范网络威胁,系统管理者就必须掌握并能够随时调用几种重要的安全机制。

明确安全需求

无线局域网(WLAN)通信为工业应用开拓了各种各样的新机遇,同时也给有赖于此的网络带来了新的风险。任务关键型应用无法承受哪怕最短时间的网络停机或中断。运行过程中的一个小问题都会给企业经营造成深远的负面影响,相当于邀请攻击者把目标对准监控机制。

Tobias Heer 是百通公司嵌入式软件开发部门的经理。

一般来说,IT 管理者重视数据的机密性甚于网络的可靠性,并且在遇到攻击的时候都会关闭系统,以防信息泄漏。如果运营技术(OT)管理者也采用同样的方法,那么非正常关机将会导致整个网络的瘫痪,最终破坏安全措施的目标。正常运行时间、可用性和适当的流程控制才是 OT 管理者最关心的问题。

所以,我们采取什么措施、需要什么类型的安全是至关重要的,才能够保护工业无线网络免受内部和外部的各种威胁。

提供纵深防御

依赖单点防御来保障网络安全是不明智的做法,因为攻击者只需打破一种防御机制就能够侵入网络胡作非为。纵深防御是一种全面的安全保障方法,它通过多个相互重叠的安全控制层实现全方位的基础架构保护。纵深防御基于下列三大核心概念:

•  多个防御层:采用多种的安全解决方案,这样一旦某个防御层失陷,其他层还能够提供所需的防御。

•  差异化的防御层:每个安全防御层都稍有差异,因此攻击者无法自动穿透所有的防御层。

•  针对特定威胁的防御层:每项防御措施专门针对特定的威胁和语境而设计,从而通过既定方案、基于系统的行为和语境来实现安全保障。

除了考虑安全防御机制的力度之外,我们还必须检测是否某个机制正在遭受攻击或者已经遭到破坏。因此,检测和防御必须相互配合,相辅相成。

保护边缘

保护企业数据在无线环境中更具挑战性,因为 WLAN 可能会超越企业的资产边界。所以,攻击者无需直接、实体地接入某个工业网络,就能够干扰其运行,并获取重要的机密信息。

为了确保网络的机密性和完整性,IEEE 802.11i 标准明确规定了在 WLAN 范围内为传输用户数据而实施的密钥协商、数据加密和验证流程。行业法规要求所有供应商的所有当前产品均须配备这种基本而强大的保护。

有了这个标准,通信伙伴之间便有了成对的加密密钥,而内置的完整性保护功能则可以确保他们发送的数据不仅机密,而且不会发生改变。这样一来,我们就能够保证控制系统的可信度的同时,确保攻击者无法提取敏感的数据。

行业协会“Wi-Fi 联盟”按照 IEEE   802.11i 标准要求,将这一指定架构集成于自己的流程,即“Wi-Fi Protected Access 2 (WPA2)”。该流程规定了两种鉴权模式,即:个人模式和企业模式。

•  在 WPA 个人模式下,网络上的所有 WLAN 设备只有一个通用的密码。这个密码针对所有设备和接入点进行预先配置。该模式适用于小型网络。

• 在 WPA 企业模式下,管理员可以为每一台设备分配一个不同的密钥,并通过集中鉴权数据库管理这些密钥。接入点分别验证每一台 WLAN 设备。此外,还可以为每一台设备配置一个独特的密钥,并通过数据库进行管理。密码集中管理,丢失或被盗的设备可以断网,其信息将从数据库中移除。

逐帧保护

控制网络管理功能的管理帧特别容易受到伪造和窃听。这些网络分组通过无线传输,就像数据分组一样,不过它们不含用户数据,而是为了组织网络的内部运行。

设备可以通过管理帧来登录和注销网络,发起新的密钥交换,以及报告它们在接入点之间的漫游情况。因此,通过窃听管理帧可以获取信息,也可以利用错误的发送者身份来发送伪造的管理帧。这样一来,攻击者就可以通过断开受害设备网络,从而干扰网络的正常运行。

为了打击此类攻击行为,“受保护管理帧(PMF)”对管理帧进行了加密和保护,以防伪造,并将 WPA2 的鉴权和加密机制扩展至管理帧,彻底消除了攻击者滥用敏感的管理功能来攻击网络的可能性。

限制通信

如果攻击者来自于内部,那么即便最有效的 WLAN 加密也无法提供保护。通过将网络通信选择性地限制于运行工业应用所必需的范围,管理员可以设置额外的障碍,阻止内部攻击扩大影响。此类限制是另外一种纵深防御机制,可以极大地提升网络的总体安全性。下面列举了一些经过实践检验的通信限制策略:

•  禁止所有联网客户端之间的所有通信,从而将所有客户端彼此隔离。这种方法在企业应用中比较管用,但通常不适用于工业网络,因为联网的 WLAN 客户端有可能需要直接中继信息才能够操作和监控生产设备。

•  在以太网层实施一种可配置的 L2 防火墙。这种防火墙可以选择性地过滤 WLAN 客户端之间的流量,并限制流向特定节点或协议的许可流量。这种方法能够针对每种协议实现更加精细和更加灵活的控制。

•  安装以太网流量入侵检测系统(IDS)。这种系统能够识别存在错误、可疑或非正常行为的客户端,这样我们就能够识别和记录网络内部的攻击。

• 实施状态深度包检测(DPI)。这种检测可以限制某些节点的通信、通信协议甚至协议行为。我们可以建模并执行工业应用设备之间的逻辑关系。

检测异常情况

在无线应用中,用户无法观察网络的运行和通信,因为许多流程是自动执行的,完全不可见。这些流程使得我们难以识别攻击和其他可疑的用户行为,并采取适当的纠正措施。所以,无线解决方案必须能够迅速检测出通信中存在的异常情况,从而避免攻击者影响设备运行。

•  接入点中的无线入侵检测系统(WIDS)可以检测并报告各种各样的可疑行为,例如攻击者是否扫描开放式网络,伪造管理帧,或者试图通过伪造的鉴权消息破坏网络通信。WIDS 可以记录这些行为,并通过电子邮件等方式告知用户。

•  常规的 IDS 便可识别网络中的可疑活动。 即使简单的IDS功能在工业网络中也非常有效,因为网络的流量模式通常是可以预测的。这使得 IDS 很容易就能够检测出可疑的行为。

环境感知

无线网络的其他两种危险情况不涉及受保护的企业网络,而是涉及其他未授权的或者伪造的 网络。因此,感知无线环境对于挫败下列威胁至关重要:

•  未授权访问点是指未经授权、不安全地访问生产网络的接入点。例如,想要在工作场所使用私人无线设备的员工可能会将自己的(可能不安全的)接入点连接到有线网络,从而为攻击者打开了一个不受控制的、存在安全隐患的入口。

•  无线网络钓鱼,或者说 WiPhising,是指在 WLAN 网络附近建立接入点,从而在工业网络附近提供几乎完全相同的无线服务,最终将 WLAN 客户端引诱至假冒的网络。假冒的接入点使用与工业网络相同的网络名称或服务集标识(SSID),但通常没有密码保护,因此设备非常容易泄露敏感数据。

这两种攻击源于同样的问题:对无线环境的感知不足。没有积极主动的监控,无线网络环境在很大程度上是不可见的,直至实际问题的发生。运营者必须完全洞悉其网络,才能够抵御这些威胁。

我们可以选择各种方法来保护 WLAN 网络不受内、外部的各种威胁。本文描述的各种安全机制分别服务于不同的目的,必须配合使用才能够创建一个全面的方案,实现 ICS 的安全。当这些方法综合运用于同一台设备时,它们就能够形成一种灵活而强大的安全手段,针对各种来源的威胁提供多层次的防御。

评价!您认为该篇文章:

非常好          一般           没有价值

无需注册,直接提交,定期抽奖,祝您好运!

  • 转发至:
  • 收藏到QQ书签

相关报导