Помощь студентам в учебе
Методическое обеспечение стенда «Исследование атак на сети АСУ ТП и промышленные протоколы сетевой передачи данных»
|
ВВЕДЕНИЕ 10
ГЛАВА 1 АНАЛИТИЧЕСКОЕ ОБОСНОВАНИЕ НЕОБХОДИМОСТИ РАЗРАБОТКИ МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ СТЕНДА 12
1.1 Аналитическое описание частей АСУ ТП 12
1.2 Обзор международных стандартов в области защиты промышленных сетей передачи данных 14
1.3 Анализ лабораторных стендов 15
1.3.1 Оборудование университета 15
1.3.2 Оборудование сторонних организаций 15
1.3.3 Виртуальная реализация стенда 16
1.4 Варианты реализации стенда 18
1.5 Перечень лабораторных работ 19
1.6 Выводы по главе 1 19
ГЛАВА 2 ОБЗОР ТЕХНИЧЕСКИХ РЕШЕНИЙ ДЛЯ ПОСТРОЕНИЯ СЕТЕЙ АСУ ТП 20
2.1 Технический разбор промышленных протоколов сетевой передачи данных 20
2.1.1 Технический разбор протокола Modbus 20
2.1.2 Технический разбор протокола Siemens S7 Communication 26
2.1.3 Технический разбор протокола EtherCAT 32
2.2 Технический разбор программного обеспечения для моделирования сети промышленной передачи данных 36
2.2.1 Технический разбор программного обеспечения для симуляции ПЛК с поддержкой протокола Modbus 36
2.2.2 Технический разбор программного обеспечения для симуляции ПЛК с поддержкой протокола Siemens S7 Communication 39
2.3 Технический разбор программного обеспечения для организации системы обнаружения вторжений в промышленных сетях передачи данных43
2.3.1 Технический разбор системы обнаружения вторжений Suricata 43
2.3.2 Технический разбор ПО для организации безопасности промышленных сетей Kaspersky Industrial Cybersecurity (KICS) for Networks 44
2.4 Технический разбор дополнительного ПО для организации работы лабораторного стенда 45
2.5 Выводы по главе 2 50
ГЛАВА 3 РАЗРАБОТКА МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ СТЕНДА «ИССЛЕДОВАНИЕ АТАК НА СЕТИ АСУ ТП И ПРОМЫШЛЕННЫЕ ПРОТОКОЛЫ СЕТЕВОЙ ПЕРЕДАЧИ ДАННЫХ» 52
3.1 Основные положения 52
3.2 Лабораторная работа 1. Разбор работы промышленного протокола передачи данных Modbus TCP 52
3.3 Лабораторная работа 2. Организация несанкционированного доступа к ПЛК с помощью протокола Modbus TCP 53
3.4 Лабораторная работа 3. Разбор работы промышленного протокола передачи данных Siemens S7 Communication 54
3.5 Лабораторная работа 4. Организация несанкционированного доступа к ПЛК с помощью протокола Siemens S7 Communication 54
3.6 Лабораторная работа 5. Механизмы предотвращения несанкционированного доступа протокола Siemens S7 Communication 55
3.7 Лабораторная работа 6. Защита сети АСУ ТП при помощи СОВ Suricata 56
3.8 Лабораторная работа 7. Защита сети АСУ ТП при помощи KICS for Networks 56
3.9 Выводы по главе 3 57
ЗАКЛЮЧЕНИЕ 58
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 59
ПРИЛОЖЕНИЕ А 61
Выполнение лабораторной работы 1. Разбор работы промышленного протокола передачи данных Modbus TCP 61
ПРИЛОЖЕНИЕ Б 66
Выполнение лабораторной работы 2. Организация несанкционированного доступа к ПЛК с помощью протокола Modbus TCP 66
ПРИЛОЖЕНИЕ В 71
Выполнение лабораторной работы 3. Разбор работы промышленного протокола передачи данных Siemens S7 Communication 71
ПРИЛОЖЕНИЕ Г 75
Выполнение лабораторной работы 4. Организация несанкционированного доступа к ПЛК с помощью протокола Siemens S7 Communication 75
ПРИЛОЖЕНИЕ Д 77
Выполнение лабораторной работы 5. Механизмы предотвращения несанкционированного доступа протокола Siemens S7 Communication 77
ПРИЛОЖЕНИЕ Е 79
Лабораторная работа 6. Защита сети АСУ ТП при помощи СОВ Suricata 79
ПРИЛОЖЕНИЕ Ж 80
Лабораторная работа 7. Защита сети АСУ ТП при помощи KICS for Networks 80
ПРИЛОЖЕНИЕ З 84
Исходный код программы «Исследование атак на сети АСУ ТП.
Атакующий» 84
ПРИЛОЖЕНИЕ И 101
Исходный код программы «Исследование атак на сети АСУ ТП.
Оператор» 101
ГЛАВА 1 АНАЛИТИЧЕСКОЕ ОБОСНОВАНИЕ НЕОБХОДИМОСТИ РАЗРАБОТКИ МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ СТЕНДА 12
1.1 Аналитическое описание частей АСУ ТП 12
1.2 Обзор международных стандартов в области защиты промышленных сетей передачи данных 14
1.3 Анализ лабораторных стендов 15
1.3.1 Оборудование университета 15
1.3.2 Оборудование сторонних организаций 15
1.3.3 Виртуальная реализация стенда 16
1.4 Варианты реализации стенда 18
1.5 Перечень лабораторных работ 19
1.6 Выводы по главе 1 19
ГЛАВА 2 ОБЗОР ТЕХНИЧЕСКИХ РЕШЕНИЙ ДЛЯ ПОСТРОЕНИЯ СЕТЕЙ АСУ ТП 20
2.1 Технический разбор промышленных протоколов сетевой передачи данных 20
2.1.1 Технический разбор протокола Modbus 20
2.1.2 Технический разбор протокола Siemens S7 Communication 26
2.1.3 Технический разбор протокола EtherCAT 32
2.2 Технический разбор программного обеспечения для моделирования сети промышленной передачи данных 36
2.2.1 Технический разбор программного обеспечения для симуляции ПЛК с поддержкой протокола Modbus 36
2.2.2 Технический разбор программного обеспечения для симуляции ПЛК с поддержкой протокола Siemens S7 Communication 39
2.3 Технический разбор программного обеспечения для организации системы обнаружения вторжений в промышленных сетях передачи данных43
2.3.1 Технический разбор системы обнаружения вторжений Suricata 43
2.3.2 Технический разбор ПО для организации безопасности промышленных сетей Kaspersky Industrial Cybersecurity (KICS) for Networks 44
2.4 Технический разбор дополнительного ПО для организации работы лабораторного стенда 45
2.5 Выводы по главе 2 50
ГЛАВА 3 РАЗРАБОТКА МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ СТЕНДА «ИССЛЕДОВАНИЕ АТАК НА СЕТИ АСУ ТП И ПРОМЫШЛЕННЫЕ ПРОТОКОЛЫ СЕТЕВОЙ ПЕРЕДАЧИ ДАННЫХ» 52
3.1 Основные положения 52
3.2 Лабораторная работа 1. Разбор работы промышленного протокола передачи данных Modbus TCP 52
3.3 Лабораторная работа 2. Организация несанкционированного доступа к ПЛК с помощью протокола Modbus TCP 53
3.4 Лабораторная работа 3. Разбор работы промышленного протокола передачи данных Siemens S7 Communication 54
3.5 Лабораторная работа 4. Организация несанкционированного доступа к ПЛК с помощью протокола Siemens S7 Communication 54
3.6 Лабораторная работа 5. Механизмы предотвращения несанкционированного доступа протокола Siemens S7 Communication 55
3.7 Лабораторная работа 6. Защита сети АСУ ТП при помощи СОВ Suricata 56
3.8 Лабораторная работа 7. Защита сети АСУ ТП при помощи KICS for Networks 56
3.9 Выводы по главе 3 57
ЗАКЛЮЧЕНИЕ 58
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 59
ПРИЛОЖЕНИЕ А 61
Выполнение лабораторной работы 1. Разбор работы промышленного протокола передачи данных Modbus TCP 61
ПРИЛОЖЕНИЕ Б 66
Выполнение лабораторной работы 2. Организация несанкционированного доступа к ПЛК с помощью протокола Modbus TCP 66
ПРИЛОЖЕНИЕ В 71
Выполнение лабораторной работы 3. Разбор работы промышленного протокола передачи данных Siemens S7 Communication 71
ПРИЛОЖЕНИЕ Г 75
Выполнение лабораторной работы 4. Организация несанкционированного доступа к ПЛК с помощью протокола Siemens S7 Communication 75
ПРИЛОЖЕНИЕ Д 77
Выполнение лабораторной работы 5. Механизмы предотвращения несанкционированного доступа протокола Siemens S7 Communication 77
ПРИЛОЖЕНИЕ Е 79
Лабораторная работа 6. Защита сети АСУ ТП при помощи СОВ Suricata 79
ПРИЛОЖЕНИЕ Ж 80
Лабораторная работа 7. Защита сети АСУ ТП при помощи KICS for Networks 80
ПРИЛОЖЕНИЕ З 84
Исходный код программы «Исследование атак на сети АСУ ТП.
Атакующий» 84
ПРИЛОЖЕНИЕ И 101
Исходный код программы «Исследование атак на сети АСУ ТП.
Оператор» 101
В настоящее время информационные технологии все глубже проникают в промышленную сферу. Постоянное увеличение количества и качества производимой продукции, а также огромное количество информации, циркулирующей на пред-приятии побуждают использовать автоматизированные системы управления технологическим процессом (АСУ ТП) для быстрого и точного управления. Программируемые логические контроллеры (ПЛК) являются ключевой частью таких систем, так как обеспечивают непосредственный контроль и управление промышленным оборудованием.
Современные модели ПЛК обладают возможностью передавать информацию на пульт оператора, который ведет контроль за состоянием технологического процесса, а также между другими ПЛК для создания комплексной системы автоматизации. Информация может передаваться через физические асинхронные интерфейсы (RS-232, RS-485), а также через промышленные протоколы передачи данных в сетях стандарта Industrial Ethernet (Modbus, Siemens S7). Такие протоколы передачи данных не предоставляют хороший уровень безопасности передаваемой ин-формации, к тому же, некоторые ПЛК могут иметь доступ к сети Internet, что создает большой риск несанкционированного доступа к чувствительной информации о параметрах технологического процесса, его структуры и т.д.
Инциденты, которые могут произойти в результате реализации угроз информационной безопасности промышленных объектов могут повлечь за собой не только огромные экономические последствия, но также могут привести к авариям, взрывам, пожарам и человеческим жертвам. На данный момент уже зафиксированы несколько случаев поражения важных промышленных объектов: червь Stuxnet [1] и вирус Duqu [2], нацеленные на иранскую ядерную программу, вредоносный фреймворк Industroyer [3], использовавшийся в атаке на украинскую энергетическую систему в 2016 году, вирус Triton [4], который атаковал электростанцию в Саудовской Аравии в декабре 2017 года и др. Уже не первый год сообществом ведется активная работа по нахождению и устранению всевозможных уязвимостей, а также повышению квалификации специалистов по защите информации, путем проведения конференций и мероприятий, где обсуждаются проблемы информационной безопасности критически важной инфраструктуры, такие как PHDays [5] и Kaspersky Indus¬trial CTF [6]. На данных мероприятиях проводятся соревнования типа Capture The Flag [7], в которых несколько команд или отдельных участников проверяют на наличие уязвимостей в системе безопасности некоторый макет, который симулирует работу реальной инфраструктуры, например, макет электростанции. Такого рода соревнования позволяют специалистам поднять свой уровень подготовки и получить ценный опыт.
Цель данной работы заключается в разработке методического обеспечения учебно-лабораторного стенда «Исследование атак на сети АСУ ТП и промышленные протоколы сетевой передачи данных», позволяющего произвести настройку и эмулировать работу настоящих ПЛК, а также произвести проникновение в промышленную сеть, использовав уязвимости протоколов передачи данных.
Для достижения поставленной цели были выполнены следующие задачи:
- описать тестовую информационную систему, которая будет подвергаться атакам со стороны потенциального злоумышленника;
- провести обзор работы протоколов промышленной передачи данных;
- провести обзор уязвимостей, характерных для данных протоколов;
- провести обзор технических средств, способных устранить уязвимости;
- провести анализ имеющихся технических средств;
- разработать методическое руководство по пользованию новым стендом.
Практическая значимость работы заключается в том, что на данный момент образовательная программа не предусматривает рассмотрение работы промышленных сетей передачи данных, возможные угрозы безопасности и способы их устранения. Методическое руководство будет призвано исправить данный недостаток с использованием оборудования, которое уже имеется у университета.
Современные модели ПЛК обладают возможностью передавать информацию на пульт оператора, который ведет контроль за состоянием технологического процесса, а также между другими ПЛК для создания комплексной системы автоматизации. Информация может передаваться через физические асинхронные интерфейсы (RS-232, RS-485), а также через промышленные протоколы передачи данных в сетях стандарта Industrial Ethernet (Modbus, Siemens S7). Такие протоколы передачи данных не предоставляют хороший уровень безопасности передаваемой ин-формации, к тому же, некоторые ПЛК могут иметь доступ к сети Internet, что создает большой риск несанкционированного доступа к чувствительной информации о параметрах технологического процесса, его структуры и т.д.
Инциденты, которые могут произойти в результате реализации угроз информационной безопасности промышленных объектов могут повлечь за собой не только огромные экономические последствия, но также могут привести к авариям, взрывам, пожарам и человеческим жертвам. На данный момент уже зафиксированы несколько случаев поражения важных промышленных объектов: червь Stuxnet [1] и вирус Duqu [2], нацеленные на иранскую ядерную программу, вредоносный фреймворк Industroyer [3], использовавшийся в атаке на украинскую энергетическую систему в 2016 году, вирус Triton [4], который атаковал электростанцию в Саудовской Аравии в декабре 2017 года и др. Уже не первый год сообществом ведется активная работа по нахождению и устранению всевозможных уязвимостей, а также повышению квалификации специалистов по защите информации, путем проведения конференций и мероприятий, где обсуждаются проблемы информационной безопасности критически важной инфраструктуры, такие как PHDays [5] и Kaspersky Indus¬trial CTF [6]. На данных мероприятиях проводятся соревнования типа Capture The Flag [7], в которых несколько команд или отдельных участников проверяют на наличие уязвимостей в системе безопасности некоторый макет, который симулирует работу реальной инфраструктуры, например, макет электростанции. Такого рода соревнования позволяют специалистам поднять свой уровень подготовки и получить ценный опыт.
Цель данной работы заключается в разработке методического обеспечения учебно-лабораторного стенда «Исследование атак на сети АСУ ТП и промышленные протоколы сетевой передачи данных», позволяющего произвести настройку и эмулировать работу настоящих ПЛК, а также произвести проникновение в промышленную сеть, использовав уязвимости протоколов передачи данных.
Для достижения поставленной цели были выполнены следующие задачи:
- описать тестовую информационную систему, которая будет подвергаться атакам со стороны потенциального злоумышленника;
- провести обзор работы протоколов промышленной передачи данных;
- провести обзор уязвимостей, характерных для данных протоколов;
- провести обзор технических средств, способных устранить уязвимости;
- провести анализ имеющихся технических средств;
- разработать методическое руководство по пользованию новым стендом.
Практическая значимость работы заключается в том, что на данный момент образовательная программа не предусматривает рассмотрение работы промышленных сетей передачи данных, возможные угрозы безопасности и способы их устранения. Методическое руководство будет призвано исправить данный недостаток с использованием оборудования, которое уже имеется у университета.
В результате выполнения выпускной квалификационной работы было составлено методическое обеспечения стенда «Исследование атак на сети АСУ ТП и промышленные протоколы передачи данных». В первой главе работы была выявлена необходимость создания такого стенда на базе кафедры «Защита информации». Также были исследованы возможные варианты реализации стенда, из них был выбран вариант на основе комплекса виртуальных машин, так как он является самым удобным в реализации и эксплуатации, а также является бесплатным для университета, так как в нем используется программное обеспечение, которое является свободно распространяемым, либо ПО, лицензия на которое есть у университета.
В теоретической части работы были рассмотрены и проанализированы промышленные протоколы передачи данных Modbus TCP, Siemens S7 Communication и EtherCAT. Было выявлен факт отсутствия адекватных и эффективных мер защиты у данных протоколов, что делает возможным беспрепятственное получение доступа злоумышленником к промышленному оборудованию с доступом к сети. Далее были рассмотрены программные симуляторы ПЛК для использования в стендах. Было выявлено только два таких симулятора: MOD_RSsim для протокола Mod¬bus TCP и S7-PLCSIM для протокола Siemens S7 Communication. Для симуляции ПЛК с возможностью сетевой передачи данных по протоколу EtherCAT такого программного обеспечения выявлено не было. Также в ходе выполнения работы появилась необходимость в разработке собственного программного обеспечения для организации атак на сети АСУ ТП и для симулирования работы ЧМИ. В результате было разработано две программы: «Исследование атак на сети АСУ ТП. Атакующий» и «Исследование атак на сети АСУ ТП. Оператор». Эти программы включены в состав программного обеспечения стенда и описаны в главе 2. В конце теоретической части работы были рассмотрены решения по организации системы обнаружения вторжений: Suricata и Kaspersky Industrial Cybersecuriy for Networks.
В практической части работы было приведено описание лабораторных работ, которые предполагается выполнять на стенде. В рамках работы было приведено описание целей, задач, процесса подготовки к работе и обучающего эффекта. Описание процесса выполнения каждой лабораторной работы приведено в приложениях.
В теоретической части работы были рассмотрены и проанализированы промышленные протоколы передачи данных Modbus TCP, Siemens S7 Communication и EtherCAT. Было выявлен факт отсутствия адекватных и эффективных мер защиты у данных протоколов, что делает возможным беспрепятственное получение доступа злоумышленником к промышленному оборудованию с доступом к сети. Далее были рассмотрены программные симуляторы ПЛК для использования в стендах. Было выявлено только два таких симулятора: MOD_RSsim для протокола Mod¬bus TCP и S7-PLCSIM для протокола Siemens S7 Communication. Для симуляции ПЛК с возможностью сетевой передачи данных по протоколу EtherCAT такого программного обеспечения выявлено не было. Также в ходе выполнения работы появилась необходимость в разработке собственного программного обеспечения для организации атак на сети АСУ ТП и для симулирования работы ЧМИ. В результате было разработано две программы: «Исследование атак на сети АСУ ТП. Атакующий» и «Исследование атак на сети АСУ ТП. Оператор». Эти программы включены в состав программного обеспечения стенда и описаны в главе 2. В конце теоретической части работы были рассмотрены решения по организации системы обнаружения вторжений: Suricata и Kaspersky Industrial Cybersecuriy for Networks.
В практической части работы было приведено описание лабораторных работ, которые предполагается выполнять на стенде. В рамках работы было приведено описание целей, задач, процесса подготовки к работе и обучающего эффекта. Описание процесса выполнения каждой лабораторной работы приведено в приложениях.
