Upload
nguyendiep
View
215
Download
0
Embed Size (px)
Citation preview
VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA ELEKTROTECHNIKY
A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV MIKROELEKTRONIKY
Ing. Jaroslav Kadlec, Ph.D.
SYSTÉM DETEKCE NEOPRÁVNĚNÉHO VNIKNUTÍ PRO VIRTUÁLNÍ KOMUNIKAČNÍ SÍŤ
INTRUSION DETECTION SYSTEM FOR VIRTUAL AUTOMATION NETWORK
ZKRÁCENÁ VERZE HABILITAČNÍ PRÁCE
BRNO 2010
Klíčová slova: komunikační bezpečnost, automatizační systémy, systémy detekce neoprávněného vniknutí Keywords: communication security, automation systems, intrusion detection systems Místo uložení: Ústav mikroelektroniky, FEKT, VUT v Brně, Technická 8, 616 00 Brno © Jaroslav Kadlec, 2010
ISSN 1213-418X ISBN 978-80-214-4183-5
3
OBSAH
1 ÚVOD ........................................................................................................................................... 5
1.1 Automatizační systém .......................................................................................................... 6
1.2 Bezpečnost ........................................................................................................................... 7
1.2.1 Komunikační bezpečnost .......................................................................................... 8
2 ŘEŠENÍ ZABEZPEČENÍ AUTOMATIZAČNÍCH SÍTÍ ............................................................. 9
2.1 Analýza bezpečnostních hrozeb ........................................................................................... 9
2.1.1 Zaměření bezpečnostních hrozeb ............................................................................. 9
2.1.2 Hodnocení bezpečnostních hrozeb ......................................................................... 10
2.2 Bezpečnostní zařízení pro automatizační sítě .................................................................... 11
2.2.1 Filtr datových zpráv ............................................................................................... 11
2.2.2 Systém detekce a prevence neoprávněného vniknutí .............................................. 12
2.2.3 Způsoby detekce útoků ........................................................................................... 12
2.2.4 Architektura systému detekce a prevence neoprávněného vniknutí ....................... 13
2.2.5 Definice IDMEF zpráv použitých pro IDS ............................................................. 14
3 REALIZACE ............................................................................................................................... 15
3.1 Systém detekce neoprávněného vniknutí ........................................................................... 15
3.1.1 Implementace správce bezpečnostních událostí .................................................... 17
3.2 Filtr datových zpráv ........................................................................................................... 20
3.2.1 Architektura programového vybavení filtru ........................................................... 21
3.2.2 Řídicí program filtru datových zpráv ..................................................................... 22
3.3 Konfigurační seznamy příkazů filtru datových zpráv ........................................................ 23
3.3.1 Komunikační modul filtru datových zpráv ............................................................. 23
3.4 Ověření funkčnosti filtru datových zpráv .......................................................................... 24
4 ZÁVĚR ........................................................................................................................................ 26
5 REFERENCE .............................................................................................................................. 27
6 PŘÍLOHY .................................................................................................................................... 30
4
PŘEDSTAVENÍ AUTORA
Ing. Jaroslav Kadlec, Ph.D.
Narozen: 31. srpna 1980 v Hlinsku
Ústav mikroelektroniky
Fakulta elektrotechniky a komunikačních technologií
Vysoké učení technické v Brně
Technická 3058/10, Královo Pole
616 00 Brno
Telefon: 541 146 173
E-mail: [email protected]
Po studiu na Integrované střední škole v Lanškrouně, kde studoval obor se zaměřením na
slaboproudou elektrotechniku a složení maturitní zkoušky byl přijat na Vysoké učení technické
v Brně, Fakultu elektrotechniky a informatiky, kde vystudoval magisterský studijní obor
„Elektrotechnická výroba a management“. Po úspěšném absolvování pětiletého inženýrského
studia v oboru Elektrotechnická výroba a management na Vysokém učení technickém v Brně,
Fakultě elektrotechniky a informatiky a obhajobě diplomové práce na téma „Palubní počítač“ byl
přijat na postgraduální studium na Fakultě elektrotechniky a komunikačních technologií, kde
nastoupil do studijního oboru „Mikroelektronika a Technologie“. V roce 2006 obhájil doktorský
titul s disertační prací na téma „Příspěvek k řešení nových senzorů tlaku“. Od téhož roku je
zaměstnán jako odborný asistent na Ústavu mikroelektroniky, FEKT VUT v Brně. V rámci
pedagogické práce se podílel na výuce předmětů bakalářského i magisterského studijního
programu, včetně výuky zahraničních studentů. Vyučoval předměty jako „Digitální obvody
a mikroprocesory“, „Modelování a počítačová simulace“, „Modelling and Computer Simulation“
a garantuje předmět „Modelování a simulace v mikroelektronice“ pro studenty v prezenční
i kombinované formě studia. V rámci vědecké činnosti se stal řešitelem několika grantů FRVŠ
a spolupracoval na řešení více než 10 dalších projektů MPO, FRVŠ a GAČR. Podílel se také na
řešení dvou mezinárodních projektů EU v 6. rámcovém programu a také dvou výzkumných
záměrů řešených na Ústavu mikroelektroniky. V rámci publikační činnosti se zaměřil nejen na
významné národní a mezinárodní konference a sympozia, ale publikoval v několika významných
zahraničních časopisech. Pro popularizaci vědy a výzkumu publikoval celou řadu prací
v národních vědeckých a odborných periodikách. Je pravidelným členem odborných komisí
zahraničních konferencí IARIA a recenzentem příspěvků do několika časopisů a vědeckých
konferencí.
Za svoji vědeckou a publikační činnost získal grant z grantového fondu VUT GRAFO pro
podporu nadějným postdoktorandům a za realizaci diplomové práce získal cenu děkana.
V současné době se nejvíce věnuje oblastem mikroprocesorově řízených a komunikačních
systémů a systémům pro senzorické aplikace, se zaměřením na problematiku zabezpečení
komunikace a vyhodnocování signálů z nejnovějších senzorů fyzikálních veličin.
5
1 ÚVOD
Nejnovější trendy v oblasti automatizačních systémů přinášejí nový pohled na jejich řešení
a nové požadavky na jejich funkcionalitu. Automatizační systémy včetně malých senzorů
a akčních členů jsou stále více realizovány na základě mikroprocesorově řízených aplikací
s možností komunikace prostřednictvím nejnovějších průmyslových sítí. Jejich řízení
a konfigurace už může být prováděna vzdáleně z nadřazených centrálních systémů správy
výrobních procesů a jejich funkčnost může být libovolně měněna nahráním nové verze
programového vybavení.
Stejně jako počítače umožňují provádění stále více náročnějších úloh, tak i v automatizačních
systémech dochází k nárůstu výpočetního výkonu a paměťového prostoru, což přináší upouštění
od proprietárních řešení a speciálních operačních systémů a využití standardních operačních
systémů využívaných ve výpočetní technice.
Automatizační systémy jsou stále více decentralizovány na jednotlivých úrovních
automatizačních systémů, což zvyšuje důležitost spolehlivé bezpečné komunikace nejen mezi
jednotlivými zařízeními, ale také mezi jednotlivými úrovněmi.
Uživatelé stále více vyžadují vertikální strukturu jejich automatizačních systémů s možností
snadného přístupu k jednotlivým zařízením na všech úrovních.
V případě automatizačního systému složeného z různých typů průmyslových sítí využívajících
odlišných komunikačních protokolů, je nezbytné využití komunikačních bran pro vzájemný
převod komunikačních protokolů. Toto řešení, ale zvyšuje složitost a snižuje flexibilitu
automatizačního systému.
Pro rozsáhlejší systémy pokrývající rozlehlejší průmyslové aplikace jsou v některých případech
využívány standardní komunikační rozhraní využívané v informačních technologiích, jako jsou
bezdrátové sítě, telefonní linky a Internet. Tyto spoje jsou určeny především pro monitorování
a vzdálený přístup a správu výrobního procesu.
Aktuálním trendem je zjednodušení a integrace různých komunikačních rozhraní tak, aby bylo
možné jejich využití, bez nutnosti vzájemných převodů komunikačních protokolů mezi
jednotlivými úrovněmi automatizačních systémů. Unifikace je řešena na všech úrovních
automatizačních systémů:
Na linkové vrstvě jsou průmyslové sítě nahrazovány protokoly založenými na
komunikačním protokolu Ethernet [1].
Na síťové a transportní vrstvě jsou stále více využívány protokoly TCP a UDP.
Pro monitorování, vizualizaci výrobního procesu a vzdálenou správu je využíván
Internetový protokol http, pro diagnostické funkce SNTP a pro nahrávání nových dat
a programového vybavení je využíván protokol FTP.
Všechny tyto trendy vycházejí z možnosti implementace ověřených technologií
a komunikačních protokolů využívaných v počítačových sítích a informačních technologiích.
Jejich využití zvyšuje univerzálnost a snadnější nasazení do výrobního procesu. Kompatibilita
tohoto řešení se standardními počítačovými sítěmi umožňuje využití stávajících komunikačních
linek, i pro řízení a monitorování automatizačních systémů, což skýtá nové možnosti správy
výrobního procesu i z velmi vzdálených míst.
Využití Internetu v automatizačních sítích má nejenom značné výhody, ale také zpřístupňuje
automatizační aplikace Internetovým hrozbám a zvyšuje riziko vniknutí, nebo narušení. Z tohoto
důvodu musí být implementace nových technologií spojena s řešením zabezpečení proti zneužití
a zajištěním bezpečného způsobu komunikace.
Částečné, nebo úplné zneužití automatizační aplikace ovládané, nebo monitorované
prostřednictvím Internetu, může vést až k úplnému zastavení výrobního procesu a následným
finančním ztrátám.
6
Pro úspěšné a efektivní zabezpečení je nezbytné implementovat bezpečnostní prvky, už
v průběhu návrhu a realizace automatizačního systému. Následná implementace bezpečnostních
prvků do stávajících systémů obnáší vyšší investice a zvyšuje složitost celé aplikace.
1.1 AUTOMATIZAČNÍ SYSTÉM
Pojem automatizační systém je obecný pojem, popisující komplexní systém pro správu
výrobního podniku, sdružující různé řídící, informační a výrobní systémy. Obvykle se jedná
o systém složený z několika různých částí, zajišťující kompletní správu výrobního procesu, od
nejnižší úrovně, do které spadá řízení výrobních zařízení, přes systém řízení výroby až po nejvyšší
úroveň podnikových informačních systémů.
Obr. 1 Typická struktura podnikového automatizačního systému [2]
Automatizační systém je dělen do několika základních vrstev ilustrujících jeho hierarchickou
strukturu (viz obr. 1) a to:
Linková vrstva – Tato vrstva automatizačního systému zahrnuje monitorování výrobních
procesů a řízení automatizačního vybavení (např. CNC obráběcí stroje, dopravníky atd.).
Monitorování výrobního procesu zahrnuje získávání informací ze senzorů, spouštění
předdefinovaných algoritmů a akcí a ovládání akčních členů. Tato vrstva je typicky
realizována komunikačními průmyslovými protokoly (Profibus [3], CAN [4], LonWorks
[5], Modbus [6], SERCOS [7], HART [8], EtherCAT [9] atd.).
Procesní vrstva – Tato vrstva zahrnuje rozhraní operátor-zařízení, alarmy, signalizační
a bezpečnostní prvky (optické závory, nouzová tlačítka atd.) a nadřazené systémy správy
automatizačních procesů. Pro realizaci této vrstvy jsou v současné době používány zejména
komunikační protokoly založené na protokolu Ethernet [1], ale také některé průmyslové
komunikační protokoly.
Vrstva řízení výroby – Nadřazená vrstva umožňující plánování a optimalizaci výrobního
procesu, zajištění materiálových toků a normování pracovních úkonů. Pro komunikaci na
této vrstvě se používá výhradně komunikační protokol Ethernet [1].
7
Podniková vrstva – Nejvyšší úroveň zaštiťující správu podnikové struktury. Může být
použita i pro vzájemné propojení systémů řízení výroby a nevýrobních systémů spravujících
informace z dalších systémů (kancelářské a vývojové sítě atd.).
Zařízení připojená do podnikového systému na různých vrstvách mají velmi rozdílné
požadavky, odpovídající jejich určení a obdobně odlišné, jsou i požadavky na komunikaci mezi
jednotlivými zařízeními nebo vrstvami. Na nejnižší úrovni jsou přenášena pouze malá množství
dat pro komunikaci se senzory a akčními členy. Tato data obsahují primárně řídicí nebo stavové
informace umožňující ovládání a monitorování akčních prvků výrobního procesu. Rychlost
a spolehlivost komunikace je, ale na této úrovni kritická (řádově v milisekundách), protože je
nezbytné mít absolutní kontrolu nad stavem a aktuální činností všech akčních členů tak, aby bylo
minimalizováno riziko chyby, případně výpadku, s možností následného omezení, nebo zastavení
výrobního procesu a v krajním případě ohrožení operátora.
Na druhou stranu, na podnikové vrstvě jsou přenášeny velké objemy dat získaných z výrobních
systémů, ale rychlost komunikace a zpracování těchto dat může být nízká, protože není nezbytné
jejich vyhodnocování v reálném čase. Pro zabezpečení automatizačních systémů tak musí být pro
úspěšnou implementaci zohledněny všechny tyto rozdílné požadavky.
1.2 BEZPEČNOST
Obecná definice bezpečnosti popisuje bezpečnost jako ochranu před potenciálním zneužitím
chráněných prostředků. Struktura bezpečnosti a jejích mechanismů je znázorněna na obr. 2. Jedná
se o popis vazeb mezi základními prvky bezpečnostního systému.
Vlastníci
Protiopatření
Slabiny
využívají
mohou být omezeny
Rizika
Hrozby
Správce hrozeb
Prostředky
ovládají
omezují
přání minimalizovat
vedou k
dává vzniknout
přání zneužít a/nebo poškodit
u
které zvyšují u
zná hodnotu
využívají
měli by zvážit
Obr. 2 Koncept bezpečnosti a bezpečnostních mechanismů [10]
Z hlediska koncepce bezpečnosti vycházejí i následující základní pojmy a to jsou dostupnost,
důvěrnost a integrita. Dostupnost bezpečnostního systému je zaručena v případě, že neoprávněné
objekty nemohou ovlivnit přístup oprávněných osob, nebo objektů do systému. Pojem důvěrnost
zahrnuje zajištění utajení informací, ke které má přístup pouze oprávněná osoba, nebo objekt
a integritou je vymezeno zajištění nepoškození přenášené informace tak, aby nebylo možné
modifikovat původní informaci, případně podvrhnout nový obsah, nebo v případě neoprávněné
manipulace tuto činnost detekovat. Dalším důležitým parametrem bezpečnosti je nepopíratelnost,
která zaručuje jedinečnost a viditelnost autora informace, nebo akce systému a posledním neméně
8
důležitým faktorem bezpečnosti, je ochrana proti zneužití třetí stranou, jež znemožňuje využití
zabezpečených prostředků třetí stranou, pro vlastní činnost. Typickým příkladem zneužití třetí
stranou je distribuovaný útok na vybraný systém, který je pak v důsledku přetížení nedostupný
(DDOS – distributed denial of service attack [11]).
1.2.1 Komunikační bezpečnost
Komunikace v automatizačních systémech je obvykle řešena několika různými komunikačními
technologiemi na heterogenních sítích distribuovaného prostředí. Během zpracování jsou data
v automatizačním systému přenášena mezi jednotlivými částmi automatizačního systému,
například do vzdálených provozů, datových skladů, úložišť záloh, externích řídících pracovišť
apod.
Problémem bezpečnosti informace v distribuovaném prostředí se zabývá řada norem a to
především standard ISO 7498-2 [12] definující základní bezpečnostní služby pro komunikační sítě.
Standard je dodatkem standardu ISO 7498 [13] známým jako Referenční model OSI (Open
System Inter-connection) [14].
Architektura modelu OSI s vrstvovým uspořádáním přesně specifikuje, na kterých vrstvách lze
uplatňovat bezpečnostní funkce. Komunikaci mezi dvěma síťovými partnery zajišťují buďto
všechny funkční vrstvy (v případě koncových uzlů komunikace), nebo pouze spodní vrstvy až po
vrstvu síťovou (v případě síťových prvků určených k transportu a distribuci dat, jako jsou
směrovače, rozbočovače, přepínače, nebo zesilovače signálu, atd.).
Distribuovaným provozním prostředím automatizačního systému se rozumí podniková síť,
složená z několika různých průmyslových a informačních sítí s různými komunikačními
technologiemi a připojená ke globální síti Internet. Většina těchto sítí, kromě nejnižších
průmyslových sítí, jsou sítě založené na architektuře TCP/IP, která pro běžnou komunikaci,
neposkytuje zabezpečené spojení. Toho lze dosáhnout pouze dalšími bezpečnostními službami,
implementovanými do jednotlivých funkčních vrstev architektury TCP/IP a do vrstvy přístupu
k síti, kterou řeší různé komunikační technologie (Ethernet, ProfiBUS, ProfiNET, atd.).
9
2 ŘEŠENÍ ZABEZPEČENÍ AUTOMATIZAČNÍCH SÍTÍ
Pro automatizační systémy je klíčovým bezpečnostním mechanismem filtr datových zpráv, na
základě kterého je možné vzájemně propojit jednotlivé úrovně automatizačního systému
a centrálně sledovat a řídit bezpečnostní strategie. Z tohoto důvodu je tato práce zaměřená
především na realizaci systému detekce neoprávněného vniknutí a filtru datových zpráv pro
automatizační systémy s různými komunikačními technologiemi na heterogenních sítích,
založených na komunikačním standardu Ethernet.
2.1 ANALÝZA BEZPEČNOSTNÍCH HROZEB
Pro realizaci účinných bezpečnostních opatření je nezbytné provést analýzu bezpečnostních
hrozeb, na které musí být bezpečnostní systém schopen úspěšně reagovat a zajistit dostatečnou
úroveň zabezpečení. Bezpečnostní hrozby lze hodnotit podle různých faktorů a kritérií. Pro
potřeby bezpečnostního systému jsou nezbytnými parametry specifikace bezpečnostních hrozeb
jejich zaměření, cíle, zdroje těchto hrozeb a vlivy na napadený systém.
V nejnovějším standardu pro bezpečnost informačních technologií [15], je popsán obecný
bezpečností model. Tento model sestává z osmi základních kroků a popisuje životní cyklus
bezpečnostní hrozby (viz obr. 3).
Obr. 3 Obecný bezpečnostní model [15]
2.1.1 Zaměření bezpečnostních hrozeb
Pro prolomení bezpečnostních mechanismů a získání přístupu do zabezpečeného systému ke
chráněným informacím, musí útočník obejít autorizační mechanismus, který má chránit přístup pro
neautorizované osoby. Z tohoto důvodu je napadnutí autorizačního mechanismu, jedním z prvních
kroků pokusu o útok na zabezpečení systému.
Jakákoliv hrozba, která způsobí přetížení a narušení síťové komunikace, může omezit
dostupnost systému. Pro zahlcení systému není třeba prolomení autorizace a útočník nemá přístup
do zabezpečeného systému ke chráněným informacím, ale přesto může způsobit vážné
bezpečnostní problémy, které mohou vést až ke ztrátě schopnosti ovládat automatizační proces.
Jakýkoliv pokus o získání zabezpečených informací, musí porušit mechanismy utajení, což
může být provedeno narušením komunikace a prolomením způsobu jejich utajení (např. různé
10
formy šifrování, nebo kódování), nebo získáním přístupu do datového úložiště kde jsou tajné
informace uloženy.
Modifikace síťové komunikace s cílem porušit integritu přenášených informací, včetně dat
specifických pro automatizační systémy (informace od senzorů, řídící příkazy atd.), může způsobit
vážné problémy ohrožující fyzickou bezpečnost zaměstnanců, nebo neočekávané chování
automatizačního systému. Obvyklými metodami pro narušení integrity komunikace zasíláním
falešných informací jsou zpožďování a vkládání nových zpráv do datové komunikace.
Pokusy o podvržení zdroje komunikace, s cílem skrýt pokusy o přístup, nebo manipulaci s daty
jsou velmi často používány, pro znemožnění identifikace původce útoku, čímž je narušena
nepopiratelnost identity, nebo bezpečnostní události. Porušení této základní bezpečnostní
vlastnosti může vést až ke komerčním, nebo právním následkům.
Mnoho virů, nebo podobných programů, se snaží vytvořit skrytou přístupovou bránu do
systému, prostřednictvím které může být systém řízen, bez vědomí oprávněného uživatele. Takto
napadený systém může být použit pro získání citlivých informací, nebo pro napadení dalšího
bezpečnostního systému. Klasický případem jsou distribuované útoky na odstavení služeb, kdy je
síť takto ovládaných systémů řízena k útoku na jiný systém, čím se značně zvyšuje
pravděpodobnost úspěšného provedení útoku. Tento mechanismus narušuje další nutnou
podmínku bezpečnosti a to zajištění bezpečnosti pro třetí strany, kdy stopy distribuovaného útoku
na odstavení služeb vedou zpět, na počítače řízené prostřednictvím skryté přístupové brány, což
může vést k finančním ztrátám spojených se ztrátou reputace firmy, nebo v extrémních případech,
až k trestní odpovědnosti, za poškozování majetku třetí strany.
Důvěryhodnost identity komunikační protistrany je základní podmínkou pro všechny
bezpečnostní aktivity. Obejití autentizace a pokusy o podvržení, nebo skrytí pravé identity jsou
jedny ze základních metod pro velké množství útoků na zabezpečení systému. Jednoduchou cestou
jak skrýt pravou identitu je modifikace IP adresy zprávy, nebo využití útoku opakováním zpráv.
Největším rizikem těchto zpráv je situace kdy po narušení, nebo obejití autentizačního
mechanismu, je uživatel autorizován i přes falešnou identitu a získá plnohodnotný přístup do
systému.
Z výše popsaných základních charakteristik oblastí zabezpečení a možných hrozeb, lze vytvořit
jednoduchý způsob hodnocení hrozeb, podle oblastí zaměření jednotlivých útoků.
2.1.2 Hodnocení bezpečnostních hrozeb
Častým problémem řešení zabezpečení komunikační sítě je chybějící bezpečnostní strategie,
kdy jsou často podceňovány některé hrozby a přehlížena slabá místa zabezpečení a není jasně dána
komplexní struktura zabezpečení.
Pro zajištění zabezpečení systému, by měla být vytvořena strategie zabezpečení, zohledňující
strukturu sítě, služeb využívaných daným systémem, možných hrozeb a rizik pro zabezpečení
systému. Pro specifikaci strategie zabezpečení a určení nezbytných bezpečnostních mechanismů,
je nutné mít model bezpečnostních hrozeb, vycházející z přesně stanovených hodnotících kritérií.
Výše popsané vlivy hrozeb na zabezpečení systému tvoří základní hodnocení jednotlivých typů
útoku a jsou základním kritériem pro vytvoření modelu bezpečnostních hrozeb. Hodnotící kritéria
představující různé pohledy na bezpečnostní hrozby a zahrnují všechny typy útoků na zabezpečení
systému. Na základě rozřazení jednotlivých typů útoků do kategorií dle základních hodnotících
kritérií, lze vytvořit matici hrozeb. Model bezpečnostních hrozeb je tak složen, ze základních
hodnotících kritérií, která vyžadují posouzení z několika rozdílných hledisek, čímž je zaručeno
komplexní posouzení dané bezpečnostní hrozby.
Vhodným nástrojem pro analýzu různých hodnotících kritérií vztažených ke konkrétním
bezpečnostním hrozbám, jsou vícerozměrné databáze. Jednotlivé perspektivy vícerozměrné
databáze jsou v tomto případě tvořeny kritérii hodnocení bezpečnostních hrozeb a jsou
11
odstupňovány podle předem stanovených úrovní. Modelový příklad vícerozměrné databáze je na
obr. 4. Jednotlivé rozměry vícerozměrné databáze hrozeb odpovídají předcházejícím analýzám
a
jsou tvořeny cíli, zdroji, efekty a zaměřením na základní parametry zabezpečení. Problém
vícerozměrné databáze bezpečnostních hrozeb vyplývá z velké komplexnosti a příliš obecného
vymezení bezpečnostních hrozeb, kdy je možné zařadit několik různých hrozeb, do jediné
kategorie jednoho rozměru a dochází k jejich překrytí a naopak do některých kategorií nespadají
žádné hrozby, takže vznikají prázdná místa.
Pro analýzu konkrétních bezpečnostních situací a systémů je užitečné rozdělit, pomocí
segmentování, komplexní vícerozměrnou matici podle specifických požadavků a omezit tak její
složitost.
Obr. 4 Vícerozměrná databáze analyzující vliv bezpečnostních hrozeb, jejich cíle a zaměření na
bezpečnostní služby
Například útok na odstavení služeb systému, je hrozba zaměřená na dostupnost systému s cílem
omezit jeho funkčnost a může ovlivnit výrobu, nebo dokonce fyzickou bezpečnost zaměstnanců,
v závislosti na důležitosti odstavené služby vzhledem k výrobnímu procesu. Charakteristika zdroje
tohoto útoků je různá v závislosti na konkrétní situaci, kdy se útočník může nacházet mimo
automatizační systém, uvnitř lokální sítě a útočit úmyslně, nebo náhodně. Všechny tyto parametry
útoku tak musejí být u daného útoku dostupné z modelu bezpečnostních hrozeb.
2.2 BEZPEČNOSTNÍ ZAŘÍZENÍ PRO AUTOMATIZAČNÍ SÍTĚ
Zajištění globální komunikační bezpečnosti v automatizačních sítích je možné řešit systémy
detekce a prevence neoprávněného vniknutí, nastavených dle analyzovaných hrozeb a útoků
možných v automatizačních sítích. Pro tyto systémy je nezbytné vytvořit nejen filtry datových
zpráv ale i nadřazené systémy pro jejich správu.
2.2.1 Filtr datových zpráv
Filtry datových zpráv jsou obecně používány k zabezpečení komunikace v počítačových sítích.
Bývají umístěny na rozhraních lokálních sítí s cílem ochránit lokální síť před hrozbami
bezpečnostních útoků z vnějších sítí. V průmyslových sítích jsou umístěny mezi jednotlivými
vrstvami, tak jak byly popsány v kapitole 1.1 a to na rozhraní mezi:
linkovou vrstvou a procesní vrstvou,
procesní vrstvou a vrstvou řízení výroby,
vrstvou řízení výroby a podnikovou vrstvou,
podnikovou vrstvou a internetem.
Filtry datových zpráv mezi internetem a podnikovou vrstvou jsou absolutně nezbytné a jsou
součástí všech podnikových sítí. Obdobně jsou zahrnuty do systému i filtry datových zpráv mezi
vrstvou řízení výroby a procesní vrstvou. Oddělení výrobní části podniku je strategickým řešením,
12
zajišťujícím základní zabezpečení výrobního procesu a minimalizujícím případné ztráty,
způsobené některou z možných hrozeb. Tyto filtry navíc nevyžadují žádné specifické vlastnosti ani
nastavení, protože datová komunikace mezi těmito vrstvami nemá žádné zvláštní požadavky,
například na rychlost zpracování. Vzhledem ke vzájemnému provázání vrstvy řízení výroby
a podnikové vrstvy, nebývají mezi těmito vrstvami filtry datových zpráv využívány.
Také na úrovni procesní vrstvy automatizační aplikace, nejsou filtry datových zpráv obvyklým
řešením, i přes to, že jsou nezbytné, protože vyžadují filtry splňující přísné parametry, nezbytné
pro bezproblémovou funkci automatizačního systému. Komunikační protokoly využívané
automatizačními systémy mohou být ohroženy celou řadou bezpečnostních hrozeb a úspěšný
bezpečnostní útok na této úrovní může mít fatální následky, v podobě extrémních finančních škod,
z důvodu zastavení výrobního procesu.
Filtry datových zpráv mezi procesní vrstvou a vrstvou řízení výroby umožňují pouze
komunikaci prostřednictvím komunikačních protokolů, nezbytných pro vykonávání specifických
automatizačních úloh a ostatní protokoly jsou blokovány. Omezením povoleného datového toku,
také omezují možnost útoků s cílem odstavení služeb a přetížení, nebo zahlcení síťových prvků.
Filtr datových zpráv tak může omezit rizika bezpečnostních hrozeb, ale ne ve všech případech.
Na základě analýzy rizik byly vydefinovány základní kategorie pro jednotlivé pracovní režimy
automatizačního zařízení. Dle tohoto rozdělení, nemá použití filtru datových zpráv, výraznější vliv
na rizika první případové studie pro konfigurační režim.
První případová studie operačního režimu zahrnující komunikaci na procesní vrstvě obsahuje
typy útoků pouze s malým rizikem. Filtr datových zpráv pro použití na procesní vrstvě musí
splňovat přísné požadavky na komunikaci v reálném čase, stejně jako pro druhý případ
komunikace prostřednictvím tunelu na veřejných sítích.
V režimu správy automatizačního zařízení je kritické riziko pouze při manipulaci s daty, které
lze datovým filtrem snížit, ale není možné jej eliminovat a systém před tímto útokem úplně
ochránit. Pro použití na zpracování procesních dat musí filtr splňovat požadavky na komunikaci
v reálném čase. Pro ostatní případy lze použít standardní komunikační filtry datových zpráv.
2.2.2 Systém detekce a prevence neoprávněného vniknutí
Systémy detekce neoprávněného vniknutí IDS jsou využívány pro detekci útoku na síť, nebo
systém. V případě detekování útoku na zabezpečení systému, musí být učiněna nezbytná opatření
pro zastavení této hrozby, nebo dokonce nastavení preventivních protiopatření pro případ
obdobných pokusů o útok, což umožňují systémy prevence neoprávněného vniknutí IPS. Oba tyto
bezpečnostní mechanismy, ale vycházejí už ze zachyceného pokusu o útok, a proto jsou až druhou
vrstvou zabezpečení systémů.
Systém detekce neoprávněného vniknutí pouze vyvolá událost upozorňující na pokus o útok
a tuto událost zaznamená a případně upozorní obsluhu. Na rozdíl od toho, systém prevence
neoprávněného vniknutí aplikuje specifikovaná protiopatření s cílem zabránit úspěšnému útoku,
například pomocí zamezení jakékoliv vnější síťové komunikace.
2.2.3 Způsoby detekce útoků
Základními způsoby detekce útoku, nebo zneužití systémem neoprávněného vniknutí, jsou
detekce anomálií datového toku síťové komunikace a rozpoznání šablony útoku.
Detekce anomálií síťové komunikace porovnává současně sledované aktivity s běžným
profilem provozu bezpečnostního prvku. Jedním z obvyklých způsobů je porovnání běžného
vytížení se statistickými údaji o profilu vytížení, nebo prostřednictvím vybraných statisticky
vyhodnocovaných parametrů, jako je například délka běžně zpracovávaného datového
komunikačního rámce. Dalším způsobem detekce anomálií je stanovení pravidel pro
obvyklý profil síťové komunikace, obsahující například nedovolené užití příznaků
13
protokolu TCP, nebo komunikačních datových rámců s neznámou IP adresou odesilatele.
V těchto pravidlech také mohou být využity časové údaje, jako například omezení síťové
komunikace mimo pracovní dobu.
Rozpoznávání šablony útoku je založené na znalosti předchozích útoků. Pro každý známý
útok je zaznamenána šablona, podle které lze daný útok identifikovat a odlišit, od běžné
síťové komunikace. V tomto případě pracují IDS a IPS systémy na stejném principu, jako
antivirové programy pracující se šablonami virů. Nejdůležitější zásadou pro tento způsob
detekce je udržování databáze šablon útoků aktuální. V opačném případě nebude tento
způsob příliš účinný.
2.2.4 Architektura systému detekce a prevence neoprávněného vniknutí
Řešení architektury systému detekce a prevence neoprávněného vniknutí má dva základní typy.
Prvním typem jsou síťové systémy detekce, které využívají více senzorů v různých místech
komunikační sítě a vyhodnocují údaje získané ze všech těchto distribuovaných senzorů, takže
systém detekce má kompletní informace o datovém provozu v síti a může porovnávat vytížení
jednotlivých částí monitorované sítě a nestandardních odchylek. Síť rozmístěných senzorů může
odesílat hlášení o síťovém provozu, nebo pouze rozpoznané vzory síťové komunikace, pro snížení
datové zátěže na síti. Analyzátor vyhodnocující přijaté údaje ze senzorů pak na základě
přednastavených pravidel, nebo šablon útoků na zabezpečení systému, rozhoduje zdali, je síť
napadena útokem a případně jaké protiopatření použít na ochranu sítě.
Hostitelské systémy detekce kontrolují aktivity na každém hostitelském systému individuálně.
Tyto systémy mají větší znalost aplikací a služeb provozovaných na hostitelském systému a tímto
způsobem mohou být mnohem specifičtěji zaměřeny na zabezpečení konkrétních typů systémů
(např. serverů elektronické pošty, licenčních serverů, databázových úložišť atd.). Senzor
u hostitelského systému detekce je většinou tvořen programovým modulem, který monitoruje
veškerou aktivitu na hostitelském systému (kromě síťové komunikace i stavy aplikací, služeb
a událostí (např. pokus o modifikace zdrojových kódů použitého operačního systému, nebo
přístupy k souborům).
Je mnohem obtížnější spravovat tyto systémy detekce, nebo prevence neoprávněného vniknutí,
než klasické bezpečnostní filtry, pro jejich mnohem složitější pravidla a šablony útoků.
V automatizačních aplikacích musí být tyto pravidla upravena podle specifických požadavků tak,
aby běžná síťová komunikace automatizačního systému, která je odlišná od klasické počítačové
komunikace, nebyla omezena, nebo zablokována. Rozdíly pro nastavení pravidel detekčního
systému jsou, i na jednotlivých úrovních automatizačního systému, kde na nejnižší úrovni
převládají datové toky s velkým počtem malých komunikačních zpráv procesních dat ve smyčce
řízení v reálném čase, a naopak na nejvyšší úrovni převládají monitorovací data obsažená v malém
počtu velkých komunikačních zpráv. Navíc systémy detekce neoprávněného vniknutí neposkytují
záruku, že nové typy útoků budou skutečně odhaleny. V kombinaci s filtry datových zpráv, ale
tvoří důležitou část systému zabezpečení a výrazně zvyšují úroveň ochrany systému.
Kompromisním řešením výše zmíněných dvou základních typů jsou hybridní systémy,
kombinující oba typy přístupů pro analýzu spravovaného systému.
V současné době je dostupných několik programů pro realizaci systému detekce neoprávněného
vniknutí, z nichž nejrozšířenější je program Snort®. Jedná se o volně dostupný nástroj pro
nekomerční aplikace, s více než 250 000 (viz [16] stav v roce 2009) registrovaných uživatelů,
využívající vlastní jazyk pro tvorbu pravidel komunikačních profilů. Tento program má otevřený
zdrojový kód umožňující přidání vlastních funkcí a programových modulů, ale vzhledem
k omezení možnosti použití pouze pro nekomerční účely, není možné tento program využít i pro
implementaci do bezpečnostní vrstvy navržené virtuální automatizační sítě.
14
2.2.5 Definice IDMEF zpráv použitých pro IDS
V případě, že bezpečnostní mechanismy systému detekce neoprávněného vniknutí zaznamenají
určitou událost při snaze zabránit případné bezpečnostní hrozbě, je nezbytné o této události
informovat i další části tohoto systému. Pro předávání informací o bezpečnostních událostech musí
být přesně definován způsob, jakým se tato informace bude předávat a především v jakém tvaru
a kolik podrobných informací bude předáno. Formát dat pro předávání musí být v souladu
s architekturou použitou pro komunikaci v rámci sítě VAN [17] a musí odpovídat současným
standardům pro zachování kompatibility i s dalšími bezpečnostními systémy. Z tohoto důvodu je
použit formát IDMEF definovaný standardem RFC 4765 [18], který je v současnosti jedním
z nejrozšířenějších. Tento standard obsahuje přesnou specifikaci struktury dat, implementovanou
prostřednictvím formátu XML. Požadavky na předávané informace v rámci systémů detekce
neoprávněného vniknutí tak specifikuje právě zmiňovaný standard RFC 4765.
Na základě formátu IDMEF byl definován celý systém zpráv bezpečnostní vrstvy
automatizační sítě VAN [17]. Struktura jednotlivých zpráv definovaných pro VAN systém
bezpečnostních zpráv vždy vychází z formátu IDMEF, do kterého jsou přidány parametry
specifické pro bezpečnostní vrstvu automatizační sítě. Obecná architektura zprávy formátu IDMEF
je na obr. 6.
Základní bázovou třídou je třída IDMEF-Message, jež je děděna do dvou tříd dělících IDMEF
zprávy na zprávy o bezpečnostních událostech ve třídě Alert a zprávy o aktuálním stavu
monitorovaného bezpečnostního prvku ve třídě Heartbeat pro zařízení, která periodicky odesílají
svůj status. Objekt třídy Alert obsahuje prvek messageid s unikátním identifikátorem pro každou
vytvořenou instanci třídy. Takto získává každá předaná událost jedinečný identifikátor. Dalším
parametrem obsaženým ve třídě alert je Analyzer, který spravuje informace o analyzátoru, který
vygeneroval příslušnou zprávu. Většina vlastností tohoto parametru je volitelná, ale protože jsou
v rámci specifikace bezpečnostních mechanismů automatizační sítě VAN [17], specifikovány
bezpečnostní opatření, pro jejichž aplikaci je nezbytné znát zdroj informace o bezpečnostní
události. Hlavními parametry pro identifikaci analyzátoru v rámci sítě jsou analyzerid, který určuje
jedinečný identifikátor analyzátoru v dané aplikaci a parametr name s textovým názvem
analyzátoru, obvykle odpovídající URL adrese síťového zařízení. Pro zjištění časových údajů
o vzniku předávané zprávy je specifikován parametr CreateTime, který může být ve zprávě
obsažen pouze jednou. Informace o zdroji příčiny vedoucí k vyvolání bezpečnostní události
analyzátoru jsou určeny parametrem Source a obsahují především údaje o adrese v parametru
Node, na základě které mohou být upraveny bezpečnostní politiky tak, aby se zabránilo dalším
potencionálním hrozbám z této adresy. Adresa předávaná ve vlastnosti Address může obsahovat
jakoukoliv adresu zařízení nebo aplikace, díky vlastnosti category určující typ adresy.
Pro rozpoznání použitého komunikačního protokolu a komunikačního portu, na kterém vznikla
bezpečnostní událost je ve standardu IDMEF připraven parametr Service. Informace
o požadovaném cíli sdružuje parametr Target, který obsahuje podrobné vlastnosti Node a Service,
stejně jako v případě zdroje i pro cílové zařízení, na které byla směrována původní datová zpráva,
než byla zachycena analyzátorem.
Posledním a nejdůležitějším parametrem je Classification, který rozlišuje úrovně nebezpečnosti
zachycené události, čímž nastavuje prioritu dalšího zpracování zprávy, například zobrazení zprávy
obsluze, nebo nastavení předdefinovaných bezpečnostních opatření (automatické zablokování
příjmu datových zpráv z určité adresy, omezení přístupových práv atd.).
Další parametry definované standardem formátu IDMEF jsou volitelné a nejsou významné pro
bezpečnostní vrstvu automatizační sítě VAN. Program pro správu bezpečnostních událostí, ale
podporuje plný standard formátu IDMEF, tak aby bylo možné rozšíření použitých parametrů
i o další volitelné parametry, nebo napojení na stávající systémy detekce neoprávněného vniknutí
podporující výstupní zprávy ve formátu IDMEF.
15
3 REALIZACE
Implementace systému detekce neoprávněného vniknutí je rozdělena do několika částí podle
logických bloků, jenž tvoří tento systém. V rámci projektu VAN byla vytvořena kompletní vrstva
zabezpečení pro automatizační systémy, obsahující šifrované spojení prostřednictvím
bezpečnostních tunelů, systém řízení přístupových práv, systém detekce neoprávněného vniknutí
a systém správy a distribuce veřejných klíčů. Všechny tyto bezpečnostním mechanismy jsou
konfigurovatelné prostřednictvím jednotného konfiguračního nástroje VAN.
Celá problematika zabezpečení komunikace virtuální sítě je poměrně obsáhlá, a proto se v této
práci se zaměřuji především na konkrétní implementaci systému neoprávněného vniknutí
realizovaného v rámci projektu VAN.
Systém detekce neoprávněného vniknutí může být řešen třemi základními způsoby a to:
Obvodovým řešením – kdy je senzor umístěn do úzkého místa komunikační sítě, nebo na
rozmezí různých komunikačních sítí, tak aby přes něj byla směrována veškerá komunikace.
Systémovým řešením – kdy jsou monitorovány komunikační protokoly (například. HTTPS
u serveru webových služeb), nebo komunikace na aplikační vrstvě u specifických
komunikačních protokolů aplikací, jako je například komunikace s databázovým serverem
prostřednictvím SQL protokolu.
Programovým řešením – za předpokladu využití hostitelské stanice (např. osobní počítač)
a monitorovacího programu pro sledování síťové komunikace.
Pro extrémní náročnost návrhu a realizace reálného obvodového filtru datových zpráv, bylo
zvoleno programové řešení i z důvodů snadného vývoje, ladění a verifikace vytvořeného řešení.
Naopak nevýhodou zvoleného programového filtru datových zpráv, je jeho mnohonásobně nižší
rychlost a větší komplexnost a náchylnost k chybovým stavům.
3.1 SYSTÉM DETEKCE NEOPRÁVNĚNÉHO VNIKNUTÍ
Systém detekce neoprávněného vniknutí je složen z několika funkčních bloků tak, jak je
znázorněno na obr. 5. Hlavními bloky jsou filtr datových zpráv, analyzátor a správce událostí.
Hlavní částí systému detekce neoprávněného vniknutí je správce událostí, který je zodpovědný
za upozornění operátora o všech důležitých událostech a umožňuje ukládání a vyhodnocování
všech zaznamenaných událostí, jak na lokální, tak i na vzdálené datové úložiště.
Pro vzájemnou výměnu informací o zaznamenaných bezpečnostních událostech, byl vybrán
formát zpráv dle standardu IDMEF [19].
Klasická struktura systému pro detekci neoprávněného vniknutí obsahuje všechny výše
zmíněné bloky, ale jednotlivé části mohou být sloučeny v rámci jediného zařízení, jako například
filtr datových zpráv, jenž v sobě slučuje senzor zaznamenávající datové zprávy a zároveň
i analyzátor, který na základě předdefinovaných bezpečnostních pravidel, rozhoduje o důležitosti
a kategorii zpracovávaných datových zpráv.
Hlavní funkcí systému detekce neoprávněného vniknutí je zachytit upozornění a oznámení
o vybraných událostech na základě zadaných bezpečnostních pravidel, a o všech těchto událostech
informovat obsluhu. Bezpečnostní pravidla jsou definována jednak pro filtr datových zpráv, tak
i pro systém řízení přístupu. Všechny události zdroje dat jsou monitorovány senzory
a vyhodnoceny analyzátorem, který rozhoduje o jejich dalším zpracování. V případě události
ohodnocené jako nezbytné pro další zpracování je hlášení o této události zformátováno do IDMEF
zprávy [19], která je poté odeslána do správce událostí. IDMEF zpráva [19] obsahuje detailní
popis vlastností zachycené události, včetně údajů o zdroji a případného obsahu datového paketu,
nezbytných pro analýzu zdrojů bezpečnostních rizik.
Odeslaná událost formátovaná dle specifikace IDMEF [19] je poté zpracována správcem
událostí v našem případě programem IDS D-Log (Intrusion Detection System Data Logger –
datový záznamník systému detekce neoprávněného vniknutí). Tento funkční blok ukládá všechny
16
události do lokálního, anebo vzdáleného databázového systému a informuje uživatele o nové
události na základě její klasifikace důležitosti.
Zdroj dat Senzor
Senzor
Analyzátor
Správce
událostí
Grafické
rozhraní
Oznámení a odezvy
Událost
Událost
Aktivita
Výstraha Be
zpe
čn
ostn
í p
ravid
la
Bezpečnostní pravidla
Operátor
Správce systému
Obr. 5 Schéma systému detekce neoprávněného vniknutí [18]
Toto řešení má jedinečnou výhodu v ukládání a shromažďování bezpečnostních údajů
o událostech z různých senzorů a analyzátorů do jedné databáze a operátor má okamžitý přehled
o aktuálním stavu bezpečnostních prvků systému. Vytvořené centrální úložiště spravující všechny
bezpečnostní prvky automatizačního systému usnadňuje analýzu bezpečnostních hrozeb a událostí
jednotlivých bezpečnostních prvků, i v porovnání s ostatními údaji z dalších bezpečnostních prvků
systému. Operátor tak dostává kompletní informace o hrozbách systému, a může efektivně zvolit
vhodná protiopatření a předvídat možné hrozby, na základě už analyzovaných bezpečnostních
událostí.
Realizovaný IDS D-Log podporuje kompletní standard formátu IDMEF [19], přesto že pro
bezpečnostní události automatizačního systému VAN jsou použity pouze některé IDMEF uzly
[19], tak aby byla zajištěna případná kompatibilita i s jinými bezpečnostními systémy
podporujícími formát bezpečnostních zpráv IDMEF.
Implementace formátu IDMEF do správce bezpečnostních událostí je řešena pomocí tříd
popsaných ve standardu formátu IDMEF [19]. Struktura tříd tak omezuje strukturu
zpracovávaných bezpečnostních událostí pouze na povolené uzly definované ve standardu.
Hierarchie základních tříd pro vytvoření objektu IDMEF zprávy použitých pro vytvoření systému
správy událostí je na obr. 6.
Většina ze základních tříd IDMEF zprávy z obr. 6 se dále dělí, nebo odkazuje na další třídy
tak, aby pokryly všechny možnosti popisu bezpečnostní události. Univerzálnost a modulárnost
použitého řešení tak poskytuje výhodu v rychlé kontrole správnosti formátu obdržené zprávy
s popisem bezpečnostní události, ale i v případné možnosti ukládání dat do relační databáze, jejíž
tabulky a vazby mohou kopírovat strukturu použitých tříd. Pro univerzálnost realizovaného řešení,
ale nebyla tato výhoda v možnosti ukládání do relační databáze využita, a byl zvolen způsob
ukládání celé IDMEF zprávy do jediné databázové položky a konverze do struktury IDMEF tříd
programově při každém přístupu k uložené zprávě (více viz kapitola 3.1.1).
17
Obr. 6 Hierarchie základních tříd definujících IDMEF zprávy
3.1.1 Implementace správce bezpečnostních událostí
Správce bezpečnostních událostí je tvořen několika moduly, jejichž struktura je na obr. 7.
Základním modulem správce je jádro programu řídící tok informací a činnost celého správce.
Vstupním blokem je komunikační modul webové služby umožňující připojení analyzátorů
bezpečnostních událostí a přijetí IDMEF zpráv prostřednictvím protokolu SOAP [20]
zabezpečeného pomocí Internetového protokolu HTTPS [21]. Vstupní blok zpracovává příchozí
IDMEF zprávy a získaná XML data předává k dalšímu zpracování do syntaktického analyzátoru.
Syntaktický analyzátor porovnává příchozí data se standardem formátu IDMEF, a na základě
informací obsažených v příchozí IDMEF zprávě vytváří ekvivalentní objekt se strukturou dle
standardu IDMEF, což zajišťuje validitu vstupních dat. Na nestandardní data program okamžitě
upozorní a zobrazí obsluze příslušné informace. Samozřejmostí je i ukládání těchto nestandardních
přijatých dat do záznamu o zpracování přijímaných zpráv. Vytvořený objekt reprezentující přijatou
IDMEF zprávu je následně zpracován programovým jádrem, které na základě hodnocení
důležitosti odesílá příslušné informace do grafického uživatelského rozhraní a do datové výstupní
vrstvy pro uložení do zvoleného datového úložiště.
Datová výstupní vrstva vytváří programovému jádru univerzální výstupní rozhraní pro ukládání
dat. Na základě definovaných datových úložišť převádí procesní data zpracovaná programovým
jádrem do příslušných formátů jednotlivých úložišť a zajišťuje jejich zpracování. Díky této
18
modulární koncepci je možné přidávat i další typy datových úložišť. Aktuálně podporuje datová
výstupní vrstva ukládání do SQL [22] databáze a souborového systému pracujícím s univerzálním
datovým formátem XML [23].
Programové jádroSyntaktický
analyzátor
Datová výstupní
vrstva
XML data
Objekt
formátovaný
dle
IDMEF
Uživatelské informace a příkazy
Procesní data
SQL data XML data
IDMEF zprávy
Lokální databázový
systém
Souborový systém
Webové služby
Grafické
uživatelské
rozhraní
Vzdálený databázový
systém
SQL data
Internet
Obr. 7 Funkční bloky programu pro správu bezpečnostních událostí
Pro zobrazování stavových informací a správu zaznamenaných bezpečnostních událostí bylo
vytvořeno grafické uživatelské rozhraní. Hlavní okno grafického uživatelského rozhraní je na obr. 8.
Grafické uživatelské rozhraní zobrazuje zachycené a zpracované zprávy o bezpečnostních
událostech v přehledové tabulce, která umožňuje řazení všech zpráv podle jednotlivých parametrů,
tak aby obsluha mohla identifikovat a snadno najít konkrétní bezpečnostní události týkající se
například jednoho druhu bezpečnostních hrozeb, nebo sledovat jejich časovou souslednost.
V levé části hlavního okna je zobrazován detail zvolené zprávy s přehledem jejích
nejdůležitějších parametrů, jako jsou datum a čas vytvoření, typ, identifikátor zprávy, hodnocení
významnosti, identifikátory zdroje bezpečnostní události a identifikační údaje analyzátoru, který
odeslal zprávu o jejím zachycení. V detailu zprávy je zobrazen i strom všech IDMEF uzlů, ve
kterém obsluha najde všechny detailní informace o zachycené bezpečnostní události.
Grafické uživatelské rozhraní umožňuje kompletní správu zpracovaných bezpečnostních
událostí, včetně vyhledávání a zobrazování IDMEF zpráv z externích souborů obsahujících
příslušnou událost, stejně jako export zvolených údajů do souboru pro možnost přenosu
a zpracování i v jiných analytických nástrojích pro zpracování IDMEF zpráv.
Hlavní nabídka správce bezpečnostních událostí umožňuje práci se soubory a nastavení
základních vlastností jako je zvolený typ datového úložiště a případně parametry nezbytné pro
připojení vybraného úložiště. U databázového SQL server je to možnost vytvoření připojovacího
19
řetězce na základě zadané adresy SQL serveru, zvolené databáze, uživatelského jména a hesla.
Program ukládá tyto hodnoty do lokálního souboru nastavení ve formátu XML [23]. Citlivé údaje
jsou v tomto souboru chráněny proti zneužití pomocí asymetrické šifry RSA.
Obr. 8 Hlavní okno grafického uživatelského rozhraní
Ukládání zpracovávaných zpráv spravuje datová výstupní vrstva. Výchozím nastavením je
ukládání dat o zpracovaných událostech do SQL databáze. Pro velkou složitost struktury IDMEF
zpráv a možnost rozšíření standardu vlastními novými parametry je pro ukládání zvolena
jednoduchá struktura do jediné databázové tabulky, namísto složité relační databáze, která by
v případě každého rozšíření musela být doplněna příslušnými tabulkami, vazbami, nebo
parametry. Toto řešení umožňuje přenositelnost mezi různými technologiemi SQL databází
(Microsoft SQL Server [24], MySQL [22], PostgreSQL [25] atd.), podporujícími standardní
příkazy standardu ANSI SQL [26]. Výrazně také zrychluje proces ukládání a načítání dat.
Nevýhodou je nutnost opětovné analýzy syntaxe a vytvoření nového objektu IDMEF zprávy při
každém požadavku na získání dat o bezpečnostní události z databáze.
Systém správy bezpečnostních událostí s jediným centrálním správcem událostí a možností
vnějšího přístupu do uložených dat prostřednictvím Internetu, je ideálním řešením pro
bezpečnostní vrstvu virtuální automatizační sítě projektu VAN. Bezpečnostní systém založený na
IDMEF zprávách umožňuje vzájemnou kompatibilitu i s dalšími bezpečnostními prvky
podporujícími IDMEF zprávy a je tak možná částečná implementace bezpečnostních řešení
automatizačních sítí i do stávajících heterogenních systémů. Správa všech bezpečnostních událostí
v jediném místě usnadňuje monitorování, správu a řízení bezpečnosti dle definované strategie
zabezpečení systému. Operátor připojený vzdáleně na centrální systém správy bezpečnostních
událostí může operativně rozhodovat a řešit bezpečnostní události, na základě komplexních údajů
získaných ze všech bezpečnostních prvků ve spravované automatizační síti. Díky tomuto řešení je
možné předvídat potencionální bezpečnostní hrozby a aplikovat nezbytná protiopatření dříve, než
mohou tyto hrozby významně ovlivnit běh celého automatizačního systému, což výrazně zvyšuje
ochranu celé automatizační sítě VAN.
20
Obr. 9 Okno detailního zobrazení IDMEF zprávy načtené z externího souboru
3.2 FILTR DATOVÝCH ZPRÁV
Filtr datových zpráv je část bezpečnostního konceptu automatizační sítě VAN, která řeší
ochranu jednoho zařízení, výrobní buňky, nebo části automatizační sítě. Definice vnitřní struktury
filtru datových zpráv vychází z definice obecného VAN zařízení, tak aby filtr splňoval podmínky
pro začlenění do sítě VAN, a bylo možné jej spravovat pomocí jednotného konfiguračního nástroje
vytvořeného pro správu všech zařízení dle VAN specifikace. Konfigurační rozhraní pro filtr
datových zpráv je popsáno v příslušném ASE a jeho implementace je řešena pomocí konfigurační
třídy pro VAN filtr datových zpráv.
Hlavní funkcionalita filtru datových zpráv je řešena pomocí programu IPtables [27]. Tento
program usnadňuje implementaci a řeší základní funkce filtru datových zpráv jako je blokování
datových zpráv z určitých IP adres a konfiguraci pravidel pro filtrování pomocí filtrační tabulky.
Filtr postavený na IPtables funguje jako směrovač, který na základě údajů z hlaviček (IP
headers viz [28] a [29]) příchozích, průchozích, nebo odchozích datových zpráv, rozhoduje
o jejich dalším směrování, úpravě, nebo zahození. Program IPtables využívá možnosti přímého
přístupu k síťovému rozhraní operačního systému Linux a ovlivňuje směrování všech datových
zpráv zpracovávaných tímto rozhraním.
IPtables obsahují standardně pět základních souborů pravidel a to pro nastavení:
Input – pravidla a příkazy definujících metodiku zpracování příchozích datových zpráv.
Datová zpráva je určena přímo pro toto zařízení, v našem případě VAN datový filtr.
Output – pravidla a příkazy pro směrování odchozích datových zpráv. Jedná se o datové
zprávy odesílané z lokálního síťového rozhraní.
21
Forward – pravidla a příkazy uplatněné na datové zprávy, které jsou předávány v rámci
sítě jinému zařízení. Tato sada pravidel a příkazů je nezbytná pro realizaci filtru datových
zpráv a řídí datové toky do vnitřní sítě zabezpečené právě tímto filtrem.
Prerouting – sada pravidel a příkazů pro nastavení akcí při příjmu datové zprávy.
Postrouting – pravidla a příkazy pro nastavení akcí při odesílání všech datových zpráv.
Využívá se hlavně pro vytvoření síťového mostu mezi dvěma sítěmi, s rozdílným rozsahem IP adres, kdy je v NAT [29] [30] tabulce specifikován převod mezi příslušnými rozsahy IP
adres obou sítí.
Pro využití programu IPtables ve filtru datových zpráv VAN bylo nezbytné vytvořit řídicí
aplikaci, která bude obsluhovat požadavky dle standardu VAN zařízení, a na jejich základě
nastavovat parametry a řídit činnost programu IPtables.Realizovaný filtr datových zpráv tvoří jednu ze základních částí systému detekce
neoprávněného vniknutí, a proto musí mít implementovánu podporu odesílání IDMEF zpráv do
správce událostí.
3.2.1 Architektura programového vybavení filtru
Programové vybavení filtru datových zpráv je tvořeno třemi základními částmi, jejichž blokové
schéma je na obr. 10. Hlavní část tvoří řídicí program, který obsluhuje vlastní filtrovací
funkcionalitu realizovanou programem IPtables.
Modul analýzy
syntaxe XML
XML data
VAN ASE
Soubory pravidel
Klient webové služby
class VAN PF Control Application
«PFControlApplication\»
Řídící program filtru datov ých zpráv
«XMLParser»
Analyzátor syntaxe XML
«XSLTransformer»
Modul XSL transformace
«ScriptController»
Modul řízení skriptů
«MessageController»
Výstupní komunikační modul
Řídící program filtru
datových zpráv
filtrovací pravidla
Server webových služeb
XML data
XML data
IDMEF zprávy
Filtr datových zpráv iptables
Obr. 10 Architektura programového vybavení filtru datových zpráv VAN
Dalším blokem je vstupní blok webových služeb pro vnější komunikaci s dalšími VAN
zařízeními a možnost konfigurace chování filtru datových zpráv prostřednictvím jednotného
22
konfiguračního nástroje VAN. Tento blok v sobě obsahuje i programový modul pro kontrolu
syntaxe vstupních XML konfiguračních dat.
Výstupním blokem programového vybavení filtru datových zpráv je klient webových služeb,
který odesílá generované IDMEF zprávy o zachycených bezpečnostních událostech na webový
server správce událostí systému detekce neoprávněného vniknutí.
Vstupní blok webových služeb je součástí všech VAN zařízení a umožňuje přijímání
specifických ASE pro daný typ zařízení.
Hlavním úkolem řídicího programu je interpretace konfiguračního souboru a řídicích příkazů
z ASE do filtru datových zpráv realizovaného programem IPtables, volání skriptů řídících činnost
tohoto filtru, generování zpráv o zachycených bezpečnostních událostech a jejich předání do
výstupního bloku pro posílání IDMEF zpráv.
3.2.2 Řídicí program filtru datových zpráv
Řídicí program filtru datových zpráv je vytvořený v programovacím jazyku Java. Program
přijímá XML řetězce obsahující kompletní ASE pro nastavení parametrů a funkcionality VAN
filtru datových zpráv. Pro ověření správnosti vstupního XML řetězce je v přijímací části webových
služeb implementován blok kontroly správnosti syntaxe s definicí XML pro VAN ASE. Pro
verifikaci XML řetězce je použit soubor s příslušným XSD schématem.
Obecná definice pravidel a parametrů pro nastavení filtru datových zpráv musí být převedena
do specifických konfiguračních souborů použitých programem IPtables. Pro tento převod je
použita sada formátovacích pravidel definovaných pomocí programovacího jazyku XSLT.
Transformační pravidla pro převod mezi formátem XML a konfiguračním souborem programu
IPtables jsou definována v externím formátovacím souboru XSLT a použita pro vzájemnou
konverzi při každém požadavku na načtení nových filtrovacích pravidel a parametrů.
Konverze XML řetězce obsahujícího konfigurační údaje dle příslušného ASE vychází z jeho
logické struktury, kdy jsou postupně procházeny jednotlivé uzly a porovnávány elementy obsažené
v těchto uzlech s transformační šablonou, na jejímž základě vzniká konvertovaný konfigurační
soubor. Toto řešení umožňuje jednoduchou modifikaci, v případě potřeby doplnění, nebo odebrání
konfiguračních pravidel, bez nutnosti zásahu do zdrojového kódu vlastního řídicího programu, ale
pouze s jednoduchou úpravou konverzní šablony a formátu vstupního XML řetězce na úrovni
ASE.
Obr. 11 Přehled tříd a jejich struktura v řídicí aplikaci filtru datových zpráv
class VAN PF Control Application
«PFControlApplication\»
Řídící program filtru datov ých zpráv
«XMLParser»
Analyzátor syntaxe XML
«XSLTransformer»
Modul XSL transformace
«ScriptController»
Modul řízení skriptů
«MessageController»
Výstupní komunikační modul
23
Nezávislost konverzních šablon na řídicím programu poskytuje také potenciální možnost
vytvoření různých konverzních šablon, pro případ změny formátu konfiguračního souboru
používaného programem IPtables, nebo pro implementaci jiného filtrovacího programu
s odlišným standardem konfiguračního souboru, což zvyšuje modulárnost vytvořeného řešení.
Pro začlenění do systému detekce neoprávněného vniknutí obsahuje filtr datových zpráv
výstupní modul, generující zprávy popisující události filtru dle specifikace formátu IDMEF. Tyto
XML zprávy jsou následně předávány dalším částem detekčního systému. Pro realizaci výstupního
modulu byla navržena architektura programu dle obr. 11, složená ze základních tříd zodpovědných
za provádění specifických úloh, jako je konverze zachycených úloh do formátu IDMEF pomocí
XSL transformace atd.
3.3 KONFIGURAČNÍ SEZNAMY PŘÍKAZŮ FILTRU DATOVÝCH ZPRÁV
Reálné řízení činnosti filtru datových zpráv je řešeno externími soubory příkazů. Tyto soubory
jsou generovány na základě řídicích příkazů z konfiguračního systému a převedeny do syntaxe
specifické pro použitý program, v našem případě pro program IPtables [27]. Převod do
příslušného formátu pro použitý program filtru probíhá pouze na základě definice v souboru XSLT
a je nezávislý na řídicí aplikaci VAN filtru. Celá struktura je tak modulární, a v případě potřeby
může být použit jiný program pro filtrování datových zpráv, za předpokladu vytvoření příslušného
XSLT souboru.
Prostřednictvím těchto sad příkazů je ovládána veškerá dostupná funkcionalita filtru. Na obr.
12a je stručný příklad souboru příkazů pro nastavení filtračních pravidel.
a)
b)
Obr. 12 a) Konfigurační seznam příkazů pro vytvoření pravidel filtrace programu IPtables,
b) Příklad seznamu příkazů pro získání aktuálního nastavení programu IPtables
Dalším nezbytným seznamem příkazů je seznam pro načtení aktuálního nastavení filtračních
pravidel. Na základě provedení tohoto seznamu je získáno aktuální nastavení v textovém řetězci,
který zpracovává řídicí program. Poslední významný seznam příkazů je pro odstranění filtračních
pravidel a nastavení filtru do výchozí konfigurace.
3.3.1 Komunikační modul filtru datových zpráv
Komunikační modul je klient webové služby, který posílá zprávy o bezpečnostních událostech
do systému detekce neoprávněného vniknutí. Hlavní funkcí komunikačního modulu je vzájemné
propojení filtru datových zpráv s komunikačním modulem systému detekce neoprávněného
vniknutí, jehož vstupní část je tvořena serverem webových služeb, který poskytuje základní služby
nezbytné pro komunikaci prostřednictvím SOAP protokolu [20]. Všechny poskytované webové
služby tímto serverem, jsou popsány pomocí souboru standardu WSDL [31].
modprobe ip_tables
modprobe ip_conntrack
# drop everything
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# now the dynamic part
iptables -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -p TCP --dport 443 -j ACCEPT
iptables -A INPUT -s 141.44.140.XX -j ACCEPT
iptables -A OUTPUT -d 141.44.140.XX -j ACCEPT
echo filter: echo
iptables -L
echo
echo
echo nat:
echo
iptables -t nat -L
echo
echo
echo mangle:
echo
iptables -t mangle -L
24
Po přijetí XML řetězce IDMEF zprávy komunikačním modulem od řídicího programu je
vytvořena SOAP zpráva a odeslána na server webových služeb. Pro základní funkce
komunikačního modulu nabízí třída MessageController dvě metody a to:
• String createIDMEF(String pfAlert) – Metoda pro vytvoření XML řetězce obsahujícího
informace o bezpečnostní události formátovaného dle standardu formátu IDMEF [19]. Vstupní
informací je údaj filtru datových zpráv, které filtrační pravidlo spustilo alarm a obsah datové
zprávy, které tuto událost vyvolalo.
• Void sendMessage(String message) – Tato metoda posílá vytvořené IDMEF zprávy
v protokolu SOAP k dalšímu zpracování prostřednictvím klienta webových služeb připojeného na
příslušný webový server. Zpracování této zprávy na straně serveru webových služeb je popsáno
v kapitole 3.1.1.
3.4 OVĚŘENÍ FUNKČNOSTI FILTRU DATOVÝCH ZPRÁV
Jedním ze základních požadavků automatizace je determinismus. Předvídatelné chování
komunikačního systému je nezbytné zejména pro využití základního požadavku většiny
automatizačních systémů na komunikaci v reálném čase. Komunikace v reálném čase
v automatizačním systému znamená doručení informace, obvykle síťového rámce, na místo určení
v předpokládaném časovém intervalu. Každá část automatizačního systému měnící očekávaný
časový rámec v nedeterministický, snižuje schopnost uplatnění komunikace v reálném čase na
daný systém. Namísto toho, definovaná doba zpoždění změní pouze dosažitelné cyklické časy
v deterministické části cyklické komunikace tak, jak jsou specifikovány například u standardu
Profinet. Proto musí být, v případě požadavku na komunikaci v reálném čase, základní
stochastická povaha přenosového systému optimalizována.
Bezpečnostní prvky použité pro ochranu a zabezpečení automatizační sítě mají zásadní vliv na
chování přenosového systému a je nezbytné přesně určit model jejich chování a stanovit mezní
přenosové parametry.
Následující měření je proto zaměřeno na základní ověření funkce realizovaného bezpečnostního
zařízení a stanovení jeho časových parametrů.
Jedním z hlavních aspektů významně ovlivňujícími časové charakteristiky přenosového
systému je komunikační zpoždění způsobené časem nezbytným pro analýzu datové zprávy filtrem
datových zpráv.
Pro toto měření byla použita testovací sestava obsahující dvě vývojové síťové karty EB200 [32]
od firmy Siemens. Tyto karty obsahují dva nezávislé síťové porty. Jeden z nich slouží pro
vzájemnou synchronizaci časovačů a druhý port je použit pro měření. Díky této měřicí sestavě lze
měřit libovolná síťová zařízení, nebo celé sítě s časovým rozlišením 10 ns, jež je dáno periodou
použitého volnoběžného časovače. Obvodová realizace měřicího systému také eliminuje případné
chyby v měření časových parametrů síťové komunikace, způsobené vlivem operačních systémů,
jako v případě programových nástrojů pro měření komunikačních parametrů.
Z hlediska systému detekce neoprávněného vniknutí je nejdůležitějším vlivem na parametry
síťové komunikace časové zpoždění způsobené nutností analýzy komunikačních zpráv.
Na obr. 13 je charakteristika naměřeného průběhu zpoždění síťové komunikace způsobené
implementovaným filtrem datových zpráv VAN. Filtr datových zpráv byl testován na výkonné
pracovní stanici, neomezující požadovaný programový výkon s využitím testovací sekvence dat
obsahující 1000 datových zpráv. Důležitým parametrem ovlivňující rychlost filtru datových zpráv
je také počet použitých filtračních pravidel. Pro měření minimální hodnoty zpoždění bylo použito
pouze jediné filtrační pravidlo povolující veškerou komunikaci. V případě zvyšování počtu
filtračních pravidel je nárůst střední hodnoty zpoždění lineární s hodnotou 0,20 μs na jedno
filtrační pravidlo.
25
Obr. 13 Naměřený průběh zpoždění filtru datových zpráv
Obr. 14 Histogram zpoždění filtru datových zpráv
Histogram naměřených hodnot zpoždění je na obr. 14, kde naměřená hodnota minimálního
zpoždění v tomto ideálním případě činí 263 µs.
Naměřená hodnota rozptylu zpoždění splňuje podmínky pro použití filtru datový zpráv na
vyšších vrstvách automatizačního systému, ale neposkytuje dostatečnou jistotu deterministického
chování filtru nezbytnou pro aplikace v reálném čase. Pro implementaci filtru datových zpráv na
procesní úroveň s požadavkem komunikace v reálném čase, je vhodnější použít obvodově řešený
filtr datových zpráv.
26
4 ZÁVĚR
Tato práce se zabývá problematikou zabezpečení datové komunikace, v systémech
s heterogenní sítí, založené na technologii Ethernet. Komunikační bezpečnost a řešení zabezpečení
jednotlivých komunikačních sítí ve víceúrovňových systémech založených na datových přenosech
mezi různými typy průmyslových a informačních sítí, s různou garantovanou úrovní zabezpečení,
je jednou z nejnovějších problematik řešených v automatizačních systémech. Požadavek na
vzdálené monitorování a správu výrobních procesů v distribuovaných automatizačních systémech
a využití veřejných sítí pro realizaci datové komunikace i v rámci automatizačního systému,
vyžaduje vytvoření nových specifických strategií zabezpečení jednotlivých částí systému, dle
jejich charakteristických komunikačních vlastností a možných bezpečnostních hrozeb.
První část této práce rozebírá současný stav problematiky řešení zabezpečení v automatizačních
systémech, možné koncepce řešení distribuovaných systémů a dostupných bezpečnostních metod z
běžných informačních komunikačních technologií. Pro využití těchto metod i v automatizačních
systémech se specifickými požadavky na komunikaci, bylo nutné provést návrh bezpečnostní
vrstvy automatizačních systému, vycházející z analýzy současných bezpečnostních hrozeb a jejich
případném vlivu na automatizační.
Analýza současných bezpečnostních hrozeb, je základním předpokladem pro vytvoření metody
hodnocení vlivu bezpečnostních hrozeb na automatizační systém, na základě které lze ve
specifických systémech navrhnout vhodnou bezpečnostní strategii.
Jedním ze základních dostupných nástrojů pro zabezpečení systému jsou systémy detekce
neoprávněného vniknutí. Tyto systémy jsou založeny na monitorování komunikačních zpráv
a jejich filtrování na základě definovaných pravidel, pro zamezení neoprávněné komunikace
a případných bezpečnostních útoků.
Pro zabezpečení distribuovaného automatizačního systému je nezbytné vytvořit systém detekce
neoprávněného vniknutí na základě předchozích analýz specifických komunikačních vlastností
a požadovaných bezpečnostních strategií.
Konkrétní realizace systému detekce neoprávněného vniknutí je popsána ve třetí části této
práce, která rozebírá celkovou koncepci řešení, včetně popisu jednotlivých bloků a specifických
požadavků na části detekčního systému. Nejdůležitějšími součástmi systému detekce
neoprávněného vniknutí je hlavní řídicí program a filtr datových zpráv. Implementace obou těchto
částí je kritická, z hlediska zajištění zabezpečení automatizačního systému, a proto je v této práci
detailně rozebrán návrh, specifikace, implementace a verifikace filtru datových zpráv a jeho
začlenění do modulární koncepce systému detekce neoprávněného vniknutí.
Při realizaci bezpečnostní vrstvy byl kladen důraz na otevřenost komunikačního systému,
a proto je navržený detekční systém řešen jako modulární s využitím standardních formátů
předávaných dat. Pro konfiguraci vlastního systému a realizaci zabezpečení, dle definované
bezpečnostní strategie, je použit univerzální datový formát XML, kde součást této práce tvoří
i základní specifikace konfiguračních souborů a pro předávání informací o zaznamenaných
bezpečnostních událostech je použit formát IDMEF. Díky této koncepci je možné začlenění
vytvořeného systému detekce neoprávněného vniknutí i do stávajících automatizačních, nebo
informačních systémů využívající formát IDMEF.
Navržená architektura systému detekce neoprávněného vniknutí, díky distribuované síti senzorů
rozmístěných na kritických místech automatizačního systému, mezi jednotlivými vrstvami, nebo
různými komunikačními technologiemi, umožňuje sledování bezpečnostních událostí v rámci
celého systému na jediném místě. Toto řešení s centrální správou informací o bezpečnostních
událostech, umožňuje okamžitou modifikaci bezpečnostní strategie a zavedení příslušných
bezpečnostních protiopatření v rámci celého systému.
Celkové řešení bezpečnostní vrstvy bylo navrženo, implementováno a ověřeno v rámci projektu
virtuální automatizační sítě VAN.
27
5 REFERENCE
[1] Spurgeon, C., E.: Ethernet: The Definitive Guide. Sebastopol: O'Reilly & Associates, Inc.,
2000, ISSN: 1-56592-660-9.
[2] Kosek, R.: Profinet – řešení firmy Siemens pro průmyslový Ethernet v automatizaci,
Automatizace, ročník 47, číslo 9, pp. 564-565, září 2004.
[3] PROFIBUS & PROFINET International: Profibus. [Online], 2009, [cit. 10. srpen 2009].
Dostupné z WWW: http://www.profibus.com.
[4] Bosch GmbH: CAN Specification. [Online], 1991, [cit. 11. srpen 2009]. Dostupné z WWW:
http://www.semiconductors.bosch.de/pdf/can2spec.pdf
[5] ISO: ISO/IEC DIS 14908 - Open Data Communication in Building Automation, Controls
and Building Management., 2008.
[6] Modbus-IDA: Modbus application protocol specification [Online], 2006, pros. [cit. 20. srpna
2009]. Dostupné z WWW: http://www.Modbus-IDA.org.
[7] SERCOS International: (2009, srp.) SERCOS Interface. [Online] 2009, srp., [cit. 29. srpna
2009 ]. Dostupné z WWW: http://www.sercos.de.
[8] HART Communication Foundation: Highway Addressable Remote Transducer Protocol.
[Online]. 2009, čer., [cit. 20. Října 2009 ]. Dostupné z WWW: http://www.hartcomm.org.
[9] Janssen, D., Büttner, H.: Real-time Ethernet: the EtherCAT solution, Computing & Control
Engineering Journal , číslo 15, strana 16-21, 2004.
[10] ISO/IEC: Common Criteria for Information Technology Security Evaluation, 21stran, 2005,
ISO/IEC 15408-1:2005.
[11] Atlantic: Encyclopedia of Information Technology. New Delhi: Atlantic Publishers
& Distributors, 2007, ISSN: 81-269-0752-5.
[12] ISO/IEC: ISO 7498-2:1989 - Information processing systems -- Open Systems
Interconnection -- Basic Reference Model -- Part 2: Security Architecture, 1989.
[13] ISO/IEC: ISO/IEC 7498-1:1994 - Information technology -- Open Systems Interconnection -
- Basic Reference Model: The Basic Model, 1994.
[14] ISO/OSI: Recommendation X.200 : Information technology - Open Systems Interconnection
- Basic Reference Model: The basic model. [Online] 1994, črv. [cit. 7. srpen 2009].
Dostupné z WWW: http://www.itu.int/rec/T-REC-X.200-199407-I/en.
[15] ANSI/ISA: ANSI/ISA-99.02.01-2009 Security for Industrial Automation and Control
Systems: Establishing an Industrial Automation and Control Systems Security Program,
2009.
[16] Sourcefire, Inc.: Snort. [Online] 2009, ří., [cit. 25. října 2009]. Dostupné z:
http://www.snort.org/snort.
[17] VAN Consortium: VAN commercial brochure. [Online]. 2008, ří., [cit. 25. října 2009].
Dostupné z: http://www.van-eu.eu/sites/van/pages/files/VAN_brochure_ver_6.pdf.
[18] Wood M., E., M.: RFC 4766 - Intrusion Detection Message Exchange Requirements.: IETF,
RFC 4766. [Online] 2007, bře., [cit. 18. června 2009]. Dostupné z:
http://tools.ietf.org/html/rfc4766.
28
[19] Debar H., C., D,FB.: RFC 4765 - The Intrusion Detection Message Exchange Format
IDMEF.: IETF, March 2007, RFC 4765. [Online] 2007 bře., [cit. 18. června 2009].
Dostupné z: http://tools.ietf.org/html/rfc4765.
[20] W3C: SOAP Version 1.2 Part 1: Messaging Framework , Second Edition ed.: W3C , 2007.
[Online] 2007, [cit. 19. března 2001 ]. Dostupné z WWW: http://www.w3.org/TR/soap12-
part1.
[21] Rescorla E., S., A.: RFC2660 - The Secure HyperText Transfer Protocol.: The Internet
Society, [Online] 1999, [cit. 6. srpna 2009]. Dostupné z: http://tools.ietf.org/html/rfc2660.
[22] Molinaro, A.: SQL Cookbook, First Edition ed. Sebastopol, CA 95472: O'Reily Media, Inc.,
2009, ISSN: 978-0-596-00976-2.
[23] W3C: Extensible Markup Language (XML) 1.0, Fifth Edition ed.: W3C, [Online]. 2008, [cit.
20. července 2009]. Dostupné z WWW: http://www.w3.org/TR/REC-xml.
[24] Knight, B., Veerman, E., Dickinson, G., Hinson, D., Herbold, D.: Professional Microsoft
SQL Server 2008 Integration Services. Indianapolis, Indiana: Wiley Publishing, Inc., 2008,
ISSN: 978-0-470-24795-2.
[25] PostgreSQL: PostgreSQL 8.4 Official Documentation, Volume IV ed.: Fultus Corporation,
1996, ISSN: 1-59682-161-2.
[26] ISO/IEC: Database languages - SQL Part 2: Foundation (SQL/Foundation), ISO/IEC 9075-
2:2003, 2003.
[27] Rash, M.: Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort.
San Francisco, CA 94107: William Pollock, 2007, ISSN: 978-1-59327-141-1.
[28] Hall, E., A.: Internet Core Protocols: The Definitive Guide, First Edition ed., Loukides, M.,
Ed. Sebastopol, CA 95472: O'Reilly & Associates, Inc., 2000, ISSN: 1-56592-572-6.
[29] Malhotra, R.: IP Routing, First Edition ed., Sumser, J., Ed. Sebastopol, CA 95472: O'Reilly
& Associates, Inc., 2002, ISSN: 0-596-00275-0.
[30] Francois Audet, C., J.: RFC 4787: Network Address Translation (NAT) Behavioral
Requirements for Unicast UDP.: IETF Trust, [Online]. 2007, led., [cit. 2. září 2009].
Dostupné z: http://www.ietf.org/rfc/rfc4787.txt.
[31] W3C: Web Services Description Language (WSDL) Version 2.0 Part 1: Core Language.
[Online]. 2007, čer., [cit. 19. března 2001 ]. Dostupné z: http://www.w3.org/TR/wsdl20.
[32] Siemens: EB200 Evaluation Board ERTEC 200 - Manual. [Online]. 2009, čer., [cit. 18.
června 2009]. Dostupné z:
http://support.automation.siemens.com/WW/llisapi.dll?query=EB+200&func=cslib.cssearch
&content=skm%2Fmain.asp&lang=en&siteid=cseus&objaction=cssearch&searchinprim=0
&nodeid0=10805255.
29
Abstrakt:
Tato práce pojednává o problematice komunikační bezpečnosti v automatizačních systémech.
Rozebírá metody analýzy bezpečnostních rizik a hrozeb a komunikačních požadavků specifických,
pro jednotlivé úrovně automatizačních systémů. Práce je tak zaměřena především na obecný
rozbor bezpečnostních mechanismů využitelných pro zabezpečení komunikace v rámci
automatizačního systému, tvořeného heterogenní komunikační sítí, specifikaci a návrh konkrétních
řešení a bezpečnostních nástrojů, včetně popisu realizace systému detekce neoprávněného
vniknutí, jenž tvoří jednu ze základních částí bezpečnostní strategie automatizačního systému,
která byla řešena v rámci evropského projektu virtuální automatizační sítě VAN.
Abstract:
This thesis deals with a problematic of communication security in automation systems.
Methods of analysis of the security risks, threads and communication requirements specific for
each level of the automation systems are described here. This work is focused on the general
analysis of the security mechanisms which can be used for secure communication within
automation systems based on a heterogeneous communication networks. Also there is
specification and design of a real security solution, including description of Intrusion Detection
System realization, a basic part of the security strategy for automation systems. This work was
done within the framework of the Virtual Automation Network European project.
30
6 PŘÍLOHY
KUCHTA, R.; KADLEC, J.; VRBA, R. Implementation of Intrusion Detection System for
Automation Devices within Virtual Automation Network. Proceedings of ICONS 2009 Fourth
International Conference on Systems. France: IEEE, 2009. s. 243-246. ISBN: 978-0-7695-3551-7.
Abstract - Security incidents are becoming more serious and more common not only in computer networks, but
also in automation networks. Automation devices are still more and more based on computers and they have the same
weak points like standard computers. Actual trends in automation networks are among others wide automation
networks covering several manufacture divisions or remote controlling of automation networks through the Internet.
Necessity of the remote connection to the automation networks covers all security vulnerabilities and risks which
originate from the Internet. Analogically the automation network can be secured by the conventional way through
firewalls and VPN tunnels. For this reason new automation firewall device was designed. The VAN firewall includes
messaging system for logging all events and alerts. As a basis for VAN (Virtual Automation Network) firewall
messaging system IDMEF (Intrusion Detection Message Exchange Format) is used. This paper describes the intrusion
detection system and its implementation within the VAN.
KADLEC, J.; KUCHTA, R.; VRBA, R. Performance Tests of the Dynamics of the Wireless
Networks. In Proceedings of the eighth International Conference on Networks ICN 2009. Cancun.
Mexico: IARIA, 2009. s. 112-115. ISBN: 978-1-4244-3470-1.
Abstract - Performance of the dynamics of the wireless networks is the key parameter for real-time applications.
This paper is focused on the performance tests of the WLAN IEEE 802.11g. New testbed for measuring of network
parameters with 10 ns resolution was developed. Three main parameters of network communication in the wireless
networks are bandwidth, delay and jitter. Knowing values of those three parameters allows us to decide if the
communication network is acceptable for using real-time applications or not. For our future applications of wireless
networks in automation platform we need to know precisely all these parameters. Based on the measured dynamics we
can select which real-time application is for this wireless network suitable. Another problem of WLANs is their
vulnerability to security threads. WLANs can be secured by several security mechanisms but all of these mechanisms
have negative impact to the communication speed and final network performance. We also measured impact of used
encrypted communication tunnel on the WLAN performance because VPN tunnel with encryption functions is one of
the possible security solutions for our future automation applications.
KADLEC, J.; BERAN, J.; VRBA, R. Precise measurement of wireless network roaming
functionality and network component parameters applied for automation systems. Third
International Conference on Systems ICONS 2008 - Proceedings. Mexico: IEEE Computer
Society, 2008. s. 373-376. ISBN: 978-0-7695-3105-2.
Abstract - The contemporary wireless networks in use have to solve problems with moving wirelessly connected
devices. Such devices can move inside a one wireless network cell or across the several ones in the frame of one
network or even from the one network to another. The conventional wireless connection types were designed for
providing basic roaming functionality. The same functionality can be used in automation wireless networks. Main
problems of roaming in automation networks especially in time-critical applications are speed of roaming procedure,
and security of roaming procedure. Automation systems are very sensitive to packet losses and time delays in the
communication. Securing of communication link during roaming is also required. Roaming speed goes directly against
security level and it is very important to specify requirements of possible automation applications to maximum time
delay and minimum security level. Roaming process and time consumption of its particular procedures is in detail
described and measured in this paper. Based on required parameters to maximum roaming delay time and security
level should be selected optimal compromise between these two parameters. The chapter below is focused on the
roaming functionality available in WLANs, their main features, basic principles and concrete testing of these
important parameters.