نوشته های برچسب خورده: پروتکل IEC 60870-5-104

این خبر، بخش دوم مقاله مربوط به امنیت پروتکل IEC 60870-5-104  است که توسط واحد تخصصی آگاهی‌بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) ارائه شده است. .جهت دسترسی به بخش‌های قبلی این مقاله به انتهای همین صفحه مراجعه نمایید. مراجع این مقاله فنی در انتهای این خبر درج شده اند و در صورت استفاده از مطالب این مقاله لازم است به مراجع مذکور ارجاع داده شود.

درزمینه‌‌ی امن سازی پروتکل‌های مورد استفاده در حوزه سیستم ‌های کنترل صنعتی کار‌های مختلفی صورت گرفته است که در ادامه به برخی از آن‌ها اشاره می‌کنیم. بیشتر کارهای موجود مبتنی بر پروتکل‌های Modbus و DNP3 هستند درحالی‌که  IEC 60870-5-104 نیز در مقابل تعداد زیادی از همان حملات، آسیب‌پذیر است. آسیب‌پذیری برای بیشتر این سیستم ‌ها حاکی از مشکلات موجود مرتبط با احراز اصالت یا اعتبارسنجی^[1] برای ارتباط داده‌ها از طریق  IEC 60870-5-104 و پروتکل‌های مشابه مانند DNP3 است. اگرچه مکانیسم‌ها و استانداردهایی برای این مشکلات وجود دارند ولی در دنیای واقعی به دلیل نگرانی‌های عملیاتی، محدودیت‌های قانونی و هزینه به‌ندرت از آن‌ها استفاده می‌شود.

منبع [6] تعدادی از حملات ممکن مانند حمله ارسال مجدد، مردی در میان و جعل هویت را که نشان‌دهنده نبود امنیت در پروتکل Modbus و DNP3 است را شرح می‌دهد و در ادامه فهرستی از حملات رایج و روش‌های جلوگیری آن‌ها را از قبیل قوانین خوب و مناسب جهت پیکربندی شبکه ارائه می‌دهد. در این منبع نویسنده در مورد سیستم ‌های افزونه^[2] جهت به اشتراک گذاشتن بار ترافیکی در زمان تعمیر سیستم  اصلی برای جلوگیری از به هدر رفتن زمان و نظارت بر سیستم  در حال تعمیر بحث می‌کند. نظارت مداوم شبکه به‌خصوص منابع و محتوای بسته‌های  IEC 60870-5-104 لازمه تشخیص رفتارهای غیرعادی در سیستم ‌های صنعتی است.

در منبع [7] با استفاده از پروتکل Modbus حملاتی از قبیل ارسال مجدد و تزریق مقادیر و تزریق دستور را در یک مجموعه آزمایشگاهی انجام‌شده و نتایج آن را بررسی و موشکافی شده است [8]. این پروژه سطوح مختلفی از حملات تزریق را برای پیچیده شدن حمله از تزریق ساده تا مقادیر تزریق تصادفی بررسی می‌کند. همچنین پیامدهای ممکن از قبیل تغییر مقادیر گیرنده‌ها، نقشه‌های سیستم  کنترلی تغییریافته و حالت عملگرهای تغییریافته را ارائه می‌کند که می‌تواند موجب اغتشاش مستقیم در ارتباطات بشود تا جایی که تجهیزات به‌طور کامل خاموش شوند.

در منبع [9] مسائل مقدماتی از قبیل جداسازی شبکه سیستم ‌های کنترل صنعتی از اینترنت، آسیب‌پذیر بودن در مقابل حملات شناخته‌شده، عدم پیکربندی دیواره‌های آتش که یک مدیر شبکه سیستم  کنترل صنعتی باید مسلط باشد را بررسی می‌کند. این اشتباهات می‌تواند به مهاجمان اجازه نفوذ به شبکه را بدهد و زمانی که آن‌ها به شبکه دسترسی پیدا کنند قادر خواهند بود تا حمله مردی در میان را اجرا کنند.

منبع [10] راه‌های ممکن جهت اجرای مخفیانه یا شبه مخفیانه حمله مردی در میان با استفاده از جعل بسته‌های پروتکل ARP را بررسی می‌کند. به‌عنوان‌مثال اهدافی که حملات از طریق پروتکل ARP را درون جدول خود ذخیره نمی‌کنند. منبع [11]، پروتکل ARP امن را شرح می‌دهد که از ساختار زوج کلید برای امضای رقمی پیام‌ها استفاده می‌کند تا از حملات جعل ARP جلوگیری کند. منبع [12] نحوه انجام حمله جعل ARP را بر روی شبکه‌های هوشمند شرح می‌دهد. منبع [13] نحوه انجام حمله تزریق دستور را با استفاده از ettercap و روش‌های دیگر نشان می‌دهد.

منبع [14] چگونگی تشخیص تجهیزات پروتکل  IEC 60870-5-104 در شبکه را توضیح می‌دهد، همچنین اسکریپت پایتونی منتشر کرده که توانایی شناسایی و برگرداندن آدرس مشترک تجهیزات این پروتکل را دارد. آدرس مشترک آدرسی است که جهت شناسایی تجهیزات فیزیکی برای تمامی بسته‌های داده  IEC 60870-5-104 استفاده می‌شود. با استفاده از این اسکریپت امکان پویش شبکه برای گروه خاصی از تجهیزات  IEC 60870-5-104 وجود دارد. همچنین از این اسکریپت می‌توان جهت شناسایی اهداف ممکن با توجه به اینکه دستگاه در حال استفاده از پروتکل  IEC 60870-5-104 است و با به دست آوردن آدرس برای حمله مردی در میان استفاده کرد.

حملاتی که در بالا شرح داده شد از قبیل ارسال مجدد، مردی در میان، جعل و تزریق با وجود اینکه برای پروتکل‌های دیگر توسعه‌یافته بودند ولی می‌توانند برای پروتکل  IEC 60870-5-104 نیز به کار گرفته شوند؛ زیرا پروتکل  IEC 60870-5-104 مشابه Modbus و DNP3 احراز اصالت و ممیزی بسته‌ها را پشتیبانی نمی‌کند. منبع [15] حملات منع خدمات را بر روی شبکه صنعتی با پروتکل  IEC 60870-5-104 و دارای استاندارد امنیتی مانند VPN بررسی می‌کند. شایان‌ذکر است که سیستم  ایجاد تونل سخت‌افزاری برای سیستم ‌های کنترل صنعتی جهت بسته‌بندی بسته‌های مجموعه پروتکل‌های مرتبط با استانداردهای 60870-5 با استفاده از VPN توسط شرکت‌هایی نظیر Tofino توسعه‌ یافته‌اند [16].

جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:

• بخش 1: معرفی اجمالی پروتکل  IEC 60870-5-104   
• بخش 2: برخی کارهای انجام شده در حوزه امنیت پروتکل IEC 60870-5-104
• بخش 3: شناسایی اجمالی  تهدیدات و آسیب‌پذیری‌ها پروتکل  IEC 60870-5-104  
• بخش 4: راهکارهای امن سازی در مرحله طراحی پروتکل  IEC 60870-5-104
• بخش 5: بستر آزمایش و ارزیابی  امنیت پروتکل  IEC 60870-5-104  و نتیجه گیری

جهت مشاهده منابع معرفی شده در این بخش، به مقاله اصلی این خبر که توسط یکی از متخصصین شرکت پیشگامان امن آرمان(امان) در مجله معتبر  منادی امنیت فضای تولید و تبادل اطلاعات(افتا)  به چاپ رسیده است مراجعه نمایید. همچنین ‌می‌توان به کتاب مرجع این مقاله نیز مراجعه نمود.

•  شناسایی چالش‌های امنیتی پروتکل IEC ۶۰۸۷۰-۵-۱۰۴ و بررسی راه‌کارهای موجود. مجله منادی امنیت فضای تولید و تبادل اطلاعات(افتا). ۱. ۱۳۹۷; ۷ (۲) :۱۵-۳۰
• کتاب پروتکل کنترل صنعتیIEC 60870-5-104  از منظر امنیت سایبری ، ۱۳۹۶

[1] Validation

[2] Redundant