VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA ELEKTROTECHNIKY

A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV MIKROELEKTRONIKY

Ing. Jaroslav Kadlec, Ph.D.

SYSTÉM DETEKCE NEOPRÁVNĚNÉHO VNIKNUTÍ PRO VIRTUÁLNÍ KOMUNIKAČNÍ SÍŤ

INTRUSION DETECTION SYSTEM FOR VIRTUAL AUTOMATION NETWORK

ZKRÁCENÁ VERZE HABILITAČNÍ PRÁCE

BRNO 2010

Klíčová slova: komunikační bezpečnost, automatizační systémy, systémy detekce neoprávněného vniknutí Keywords: communication security, automation systems, intrusion detection systems Místo uložení: Ústav mikroelektroniky, FEKT, VUT v Brně, Technická 8, 616 00 Brno © Jaroslav Kadlec, 2010

ISSN 1213-418X ISBN 978-80-214-4183-5

3

OBSAH

1 ÚVOD ........................................................................................................................................... 5

1.1 Automatizační systém .......................................................................................................... 6

1.2 Bezpečnost ........................................................................................................................... 7

1.2.1 Komunikační bezpečnost .......................................................................................... 8

2 ŘEŠENÍ ZABEZPEČENÍ AUTOMATIZAČNÍCH SÍTÍ ............................................................. 9

2.1 Analýza bezpečnostních hrozeb ........................................................................................... 9

2.1.1 Zaměření bezpečnostních hrozeb ............................................................................. 9

2.1.2 Hodnocení bezpečnostních hrozeb ......................................................................... 10

2.2 Bezpečnostní zařízení pro automatizační sítě .................................................................... 11

2.2.1 Filtr datových zpráv ............................................................................................... 11

2.2.2 Systém detekce a prevence neoprávněného vniknutí .............................................. 12

2.2.3 Způsoby detekce útoků ........................................................................................... 12

2.2.4 Architektura systému detekce a prevence neoprávněného vniknutí ....................... 13

2.2.5 Definice IDMEF zpráv použitých pro IDS ............................................................. 14

3 REALIZACE ............................................................................................................................... 15

3.1 Systém detekce neoprávněného vniknutí ........................................................................... 15

3.1.1 Implementace správce bezpečnostních událostí .................................................... 17

3.2 Filtr datových zpráv ........................................................................................................... 20

3.2.1 Architektura programového vybavení filtru ........................................................... 21

3.2.2 Řídicí program filtru datových zpráv ..................................................................... 22

3.3 Konfigurační seznamy příkazů filtru datových zpráv ........................................................ 23

3.3.1 Komunikační modul filtru datových zpráv ............................................................. 23

3.4 Ověření funkčnosti filtru datových zpráv .......................................................................... 24

4 ZÁVĚR ........................................................................................................................................ 26

5 REFERENCE .............................................................................................................................. 27

6 PŘÍLOHY .................................................................................................................................... 30

4

PŘEDSTAVENÍ AUTORA

Ing. Jaroslav Kadlec, Ph.D.

Narozen: 31. srpna 1980 v Hlinsku

Ústav mikroelektroniky

Fakulta elektrotechniky a komunikačních technologií

Vysoké učení technické v Brně

Technická 3058/10, Královo Pole

616 00 Brno

Telefon: 541 146 173

E-mail: kadlecja@feec.vutbr.cz

Po studiu na Integrované střední škole v Lanškrouně, kde studoval obor se zaměřením na

slaboproudou elektrotechniku a složení maturitní zkoušky byl přijat na Vysoké učení technické

v Brně, Fakultu elektrotechniky a informatiky, kde vystudoval magisterský studijní obor

„Elektrotechnická výroba a management“. Po úspěšném absolvování pětiletého inženýrského

studia v oboru Elektrotechnická výroba a management na Vysokém učení technickém v Brně,

Fakultě elektrotechniky a informatiky a obhajobě diplomové práce na téma „Palubní počítač“ byl

přijat na postgraduální studium na Fakultě elektrotechniky a komunikačních technologií, kde

nastoupil do studijního oboru „Mikroelektronika a Technologie“. V roce 2006 obhájil doktorský

titul s disertační prací na téma „Příspěvek k řešení nových senzorů tlaku“. Od téhož roku je

zaměstnán jako odborný asistent na Ústavu mikroelektroniky, FEKT VUT v Brně. V rámci

pedagogické práce se podílel na výuce předmětů bakalářského i magisterského studijního

programu, včetně výuky zahraničních studentů. Vyučoval předměty jako „Digitální obvody

a mikroprocesory“, „Modelování a počítačová simulace“, „Modelling and Computer Simulation“

a garantuje předmět „Modelování a simulace v mikroelektronice“ pro studenty v prezenční

i kombinované formě studia. V rámci vědecké činnosti se stal řešitelem několika grantů FRVŠ

a spolupracoval na řešení více než 10 dalších projektů MPO, FRVŠ a GAČR. Podílel se také na

řešení dvou mezinárodních projektů EU v 6. rámcovém programu a také dvou výzkumných

záměrů řešených na Ústavu mikroelektroniky. V rámci publikační činnosti se zaměřil nejen na

významné národní a mezinárodní konference a sympozia, ale publikoval v několika významných

zahraničních časopisech. Pro popularizaci vědy a výzkumu publikoval celou řadu prací

v národních vědeckých a odborných periodikách. Je pravidelným členem odborných komisí

zahraničních konferencí IARIA a recenzentem příspěvků do několika časopisů a vědeckých

konferencí.

Za svoji vědeckou a publikační činnost získal grant z grantového fondu VUT GRAFO pro

podporu nadějným postdoktorandům a za realizaci diplomové práce získal cenu děkana.

V současné době se nejvíce věnuje oblastem mikroprocesorově řízených a komunikačních

systémů a systémům pro senzorické aplikace, se zaměřením na problematiku zabezpečení

komunikace a vyhodnocování signálů z nejnovějších senzorů fyzikálních veličin.

5

1 ÚVOD

Nejnovější trendy v oblasti automatizačních systémů přinášejí nový pohled na jejich řešení

a nové požadavky na jejich funkcionalitu. Automatizační systémy včetně malých senzorů

a akčních členů jsou stále více realizovány na základě mikroprocesorově řízených aplikací

s možností komunikace prostřednictvím nejnovějších průmyslových sítí. Jejich řízení

a konfigurace už může být prováděna vzdáleně z nadřazených centrálních systémů správy

výrobních procesů a jejich funkčnost může být libovolně měněna nahráním nové verze

programového vybavení.

Stejně jako počítače umožňují provádění stále více náročnějších úloh, tak i v automatizačních

systémech dochází k nárůstu výpočetního výkonu a paměťového prostoru, což přináší upouštění

od proprietárních řešení a speciálních operačních systémů a využití standardních operačních

systémů využívaných ve výpočetní technice.

Automatizační systémy jsou stále více decentralizovány na jednotlivých úrovních

automatizačních systémů, což zvyšuje důležitost spolehlivé bezpečné komunikace nejen mezi

jednotlivými zařízeními, ale také mezi jednotlivými úrovněmi.

Uživatelé stále více vyžadují vertikální strukturu jejich automatizačních systémů s možností

snadného přístupu k jednotlivým zařízením na všech úrovních.

V případě automatizačního systému složeného z různých typů průmyslových sítí využívajících

odlišných komunikačních protokolů, je nezbytné využití komunikačních bran pro vzájemný

převod komunikačních protokolů. Toto řešení, ale zvyšuje složitost a snižuje flexibilitu

automatizačního systému.

Pro rozsáhlejší systémy pokrývající rozlehlejší průmyslové aplikace jsou v některých případech

využívány standardní komunikační rozhraní využívané v informačních technologiích, jako jsou

bezdrátové sítě, telefonní linky a Internet. Tyto spoje jsou určeny především pro monitorování

a vzdálený přístup a správu výrobního procesu.

Aktuálním trendem je zjednodušení a integrace různých komunikačních rozhraní tak, aby bylo

možné jejich využití, bez nutnosti vzájemných převodů komunikačních protokolů mezi

jednotlivými úrovněmi automatizačních systémů. Unifikace je řešena na všech úrovních

automatizačních systémů:

Na linkové vrstvě jsou průmyslové sítě nahrazovány protokoly založenými na

komunikačním protokolu Ethernet [1].

Na síťové a transportní vrstvě jsou stále více využívány protokoly TCP a UDP.

Pro monitorování, vizualizaci výrobního procesu a vzdálenou správu je využíván

Internetový protokol http, pro diagnostické funkce SNTP a pro nahrávání nových dat

a programového vybavení je využíván protokol FTP.

Všechny tyto trendy vycházejí z možnosti implementace ověřených technologií

a komunikačních protokolů využívaných v počítačových sítích a informačních technologiích.

Jejich využití zvyšuje univerzálnost a snadnější nasazení do výrobního procesu. Kompatibilita

tohoto řešení se standardními počítačovými sítěmi umožňuje využití stávajících komunikačních

linek, i pro řízení a monitorování automatizačních systémů, což skýtá nové možnosti správy

výrobního procesu i z velmi vzdálených míst.

Využití Internetu v automatizačních sítích má nejenom značné výhody, ale také zpřístupňuje

automatizační aplikace Internetovým hrozbám a zvyšuje riziko vniknutí, nebo narušení. Z tohoto

důvodu musí být implementace nových technologií spojena s řešením zabezpečení proti zneužití

a zajištěním bezpečného způsobu komunikace.

Částečné, nebo úplné zneužití automatizační aplikace ovládané, nebo monitorované

prostřednictvím Internetu, může vést až k úplnému zastavení výrobního procesu a následným

finančním ztrátám.

6

Pro úspěšné a efektivní zabezpečení je nezbytné implementovat bezpečnostní prvky, už

v průběhu návrhu a realizace automatizačního systému. Následná implementace bezpečnostních

prvků do stávajících systémů obnáší vyšší investice a zvyšuje složitost celé aplikace.

1.1 AUTOMATIZAČNÍ SYSTÉM

Pojem automatizační systém je obecný pojem, popisující komplexní systém pro správu

výrobního podniku, sdružující různé řídící, informační a výrobní systémy. Obvykle se jedná

o systém složený z několika různých částí, zajišťující kompletní správu výrobního procesu, od

nejnižší úrovně, do které spadá řízení výrobních zařízení, přes systém řízení výroby až po nejvyšší

úroveň podnikových informačních systémů.

Obr. 1 Typická struktura podnikového automatizačního systému [2]

Automatizační systém je dělen do několika základních vrstev ilustrujících jeho hierarchickou

strukturu (viz obr. 1) a to:

Linková vrstva – Tato vrstva automatizačního systému zahrnuje monitorování výrobních

procesů a řízení automatizačního vybavení (např. CNC obráběcí stroje, dopravníky atd.).

Monitorování výrobního procesu zahrnuje získávání informací ze senzorů, spouštění

předdefinovaných algoritmů a akcí a ovládání akčních členů. Tato vrstva je typicky

realizována komunikačními průmyslovými protokoly (Profibus [3], CAN [4], LonWorks

[5], Modbus [6], SERCOS [7], HART [8], EtherCAT [9] atd.).

Procesní vrstva – Tato vrstva zahrnuje rozhraní operátor-zařízení, alarmy, signalizační

a bezpečnostní prvky (optické závory, nouzová tlačítka atd.) a nadřazené systémy správy

automatizačních procesů. Pro realizaci této vrstvy jsou v současné době používány zejména

komunikační protokoly založené na protokolu Ethernet [1], ale také některé průmyslové

komunikační protokoly.

Vrstva řízení výroby – Nadřazená vrstva umožňující plánování a optimalizaci výrobního

procesu, zajištění materiálových toků a normování pracovních úkonů. Pro komunikaci na

této vrstvě se používá výhradně komunikační protokol Ethernet [1].

7

Podniková vrstva – Nejvyšší úroveň zaštiťující správu podnikové struktury. Může být

použita i pro vzájemné propojení systémů řízení výroby a nevýrobních systémů spravujících

informace z dalších systémů (kancelářské a vývojové sítě atd.).

Zařízení připojená do podnikového systému na různých vrstvách mají velmi rozdílné

požadavky, odpovídající jejich určení a obdobně odlišné, jsou i požadavky na komunikaci mezi

jednotlivými zařízeními nebo vrstvami. Na nejnižší úrovni jsou přenášena pouze malá množství

dat pro komunikaci se senzory a akčními členy. Tato data obsahují primárně řídicí nebo stavové

informace umožňující ovládání a monitorování akčních prvků výrobního procesu. Rychlost

a spolehlivost komunikace je, ale na této úrovni kritická (řádově v milisekundách), protože je

nezbytné mít absolutní kontrolu nad stavem a aktuální činností všech akčních členů tak, aby bylo

minimalizováno riziko chyby, případně výpadku, s možností následného omezení, nebo zastavení

výrobního procesu a v krajním případě ohrožení operátora.

Na druhou stranu, na podnikové vrstvě jsou přenášeny velké objemy dat získaných z výrobních

systémů, ale rychlost komunikace a zpracování těchto dat může být nízká, protože není nezbytné

jejich vyhodnocování v reálném čase. Pro zabezpečení automatizačních systémů tak musí být pro

úspěšnou implementaci zohledněny všechny tyto rozdílné požadavky.

1.2 BEZPEČNOST

Obecná definice bezpečnosti popisuje bezpečnost jako ochranu před potenciálním zneužitím

chráněných prostředků. Struktura bezpečnosti a jejích mechanismů je znázorněna na obr. 2. Jedná

se o popis vazeb mezi základními prvky bezpečnostního systému.

Vlastníci

Protiopatření

Slabiny

využívají

mohou být omezeny

Rizika

Hrozby

Správce hrozeb

Prostředky

ovládají

omezují

přání minimalizovat

vedou k

dává vzniknout

přání zneužít a/nebo poškodit

u

které zvyšují u

zná hodnotu

využívají

měli by zvážit

Obr. 2 Koncept bezpečnosti a bezpečnostních mechanismů [10]

Z hlediska koncepce bezpečnosti vycházejí i následující základní pojmy a to jsou dostupnost,

důvěrnost a integrita. Dostupnost bezpečnostního systému je zaručena v případě, že neoprávněné

objekty nemohou ovlivnit přístup oprávněných osob, nebo objektů do systému. Pojem důvěrnost

zahrnuje zajištění utajení informací, ke které má přístup pouze oprávněná osoba, nebo objekt

a integritou je vymezeno zajištění nepoškození přenášené informace tak, aby nebylo možné

modifikovat původní informaci, případně podvrhnout nový obsah, nebo v případě neoprávněné

manipulace tuto činnost detekovat. Dalším důležitým parametrem bezpečnosti je nepopíratelnost,

která zaručuje jedinečnost a viditelnost autora informace, nebo akce systému a posledním neméně

8

důležitým faktorem bezpečnosti, je ochrana proti zneužití třetí stranou, jež znemožňuje využití

zabezpečených prostředků třetí stranou, pro vlastní činnost. Typickým příkladem zneužití třetí

stranou je distribuovaný útok na vybraný systém, který je pak v důsledku přetížení nedostupný

(DDOS – distributed denial of service attack [11]).

1.2.1 Komunikační bezpečnost

Komunikace v automatizačních systémech je obvykle řešena několika různými komunikačními

technologiemi na heterogenních sítích distribuovaného prostředí. Během zpracování jsou data

v automatizačním systému přenášena mezi jednotlivými částmi automatizačního systému,

například do vzdálených provozů, datových skladů, úložišť záloh, externích řídících pracovišť

apod.

Problémem bezpečnosti informace v distribuovaném prostředí se zabývá řada norem a to

především standard ISO 7498-2 [12] definující základní bezpečnostní služby pro komunikační sítě.

Standard je dodatkem standardu ISO 7498 [13] známým jako Referenční model OSI (Open

System Inter-connection) [14].

Architektura modelu OSI s vrstvovým uspořádáním přesně specifikuje, na kterých vrstvách lze

uplatňovat bezpečnostní funkce. Komunikaci mezi dvěma síťovými partnery zajišťují buďto

všechny funkční vrstvy (v případě koncových uzlů komunikace), nebo pouze spodní vrstvy až po

vrstvu síťovou (v případě síťových prvků určených k transportu a distribuci dat, jako jsou

směrovače, rozbočovače, přepínače, nebo zesilovače signálu, atd.).

Distribuovaným provozním prostředím automatizačního systému se rozumí podniková síť,

složená z několika různých průmyslových a informačních sítí s různými komunikačními

technologiemi a připojená ke globální síti Internet. Většina těchto sítí, kromě nejnižších

průmyslových sítí, jsou sítě založené na architektuře TCP/IP, která pro běžnou komunikaci,

neposkytuje zabezpečené spojení. Toho lze dosáhnout pouze dalšími bezpečnostními službami,

implementovanými do jednotlivých funkčních vrstev architektury TCP/IP a do vrstvy přístupu

k síti, kterou řeší různé komunikační technologie (Ethernet, ProfiBUS, ProfiNET, atd.).

9

2 ŘEŠENÍ ZABEZPEČENÍ AUTOMATIZAČNÍCH SÍTÍ

Pro automatizační systémy je klíčovým bezpečnostním mechanismem filtr datových zpráv, na

základě kterého je možné vzájemně propojit jednotlivé úrovně automatizačního systému

a centrálně sledovat a řídit bezpečnostní strategie. Z tohoto důvodu je tato práce zaměřená

především na realizaci systému detekce neoprávněného vniknutí a filtru datových zpráv pro

automatizační systémy s různými komunikačními technologiemi na heterogenních sítích,

založených na komunikačním standardu Ethernet.

2.1 ANALÝZA BEZPEČNOSTNÍCH HROZEB

Pro realizaci účinných bezpečnostních opatření je nezbytné provést analýzu bezpečnostních

hrozeb, na které musí být bezpečnostní systém schopen úspěšně reagovat a zajistit dostatečnou

úroveň zabezpečení. Bezpečnostní hrozby lze hodnotit podle různých faktorů a kritérií. Pro

potřeby bezpečnostního systému jsou nezbytnými parametry specifikace bezpečnostních hrozeb

jejich zaměření, cíle, zdroje těchto hrozeb a vlivy na napadený systém.

V nejnovějším standardu pro bezpečnost informačních technologií [15], je popsán obecný

bezpečností model. Tento model sestává z osmi základních kroků a popisuje životní cyklus

bezpečnostní hrozby (viz obr. 3).

Obr. 3 Obecný bezpečnostní model [15]

2.1.1 Zaměření bezpečnostních hrozeb

Pro prolomení bezpečnostních mechanismů a získání přístupu do zabezpečeného systému ke

chráněným informacím, musí útočník obejít autorizační mechanismus, který má chránit přístup pro

neautorizované osoby. Z tohoto důvodu je napadnutí autorizačního mechanismu, jedním z prvních

kroků pokusu o útok na zabezpečení systému.

Jakákoliv hrozba, která způsobí přetížení a narušení síťové komunikace, může omezit

dostupnost systému. Pro zahlcení systému není třeba prolomení autorizace a útočník nemá přístup

do zabezpečeného systému ke chráněným informacím, ale přesto může způsobit vážné

bezpečnostní problémy, které mohou vést až ke ztrátě schopnosti ovládat automatizační proces.

Jakýkoliv pokus o získání zabezpečených informací, musí porušit mechanismy utajení, což

může být provedeno narušením komunikace a prolomením způsobu jejich utajení (např. různé

10

formy šifrování, nebo kódování), nebo získáním přístupu do datového úložiště kde jsou tajné

informace uloženy.

Modifikace síťové komunikace s cílem porušit integritu přenášených informací, včetně dat

specifických pro automatizační systémy (informace od senzorů, řídící příkazy atd.), může způsobit

vážné problémy ohrožující fyzickou bezpečnost zaměstnanců, nebo neočekávané chování

automatizačního systému. Obvyklými metodami pro narušení integrity komunikace zasíláním

falešných informací jsou zpožďování a vkládání nových zpráv do datové komunikace.

Pokusy o podvržení zdroje komunikace, s cílem skrýt pokusy o přístup, nebo manipulaci s daty

jsou velmi často používány, pro znemožnění identifikace původce útoku, čímž je narušena

nepopiratelnost identity, nebo bezpečnostní události. Porušení této základní bezpečnostní

vlastnosti může vést až ke komerčním, nebo právním následkům.

Mnoho virů, nebo podobných programů, se snaží vytvořit skrytou přístupovou bránu do

systému, prostřednictvím které může být systém řízen, bez vědomí oprávněného uživatele. Takto

napadený systém může být použit pro získání citlivých informací, nebo pro napadení dalšího

bezpečnostního systému. Klasický případem jsou distribuované útoky na odstavení služeb, kdy je

síť takto ovládaných systémů řízena k útoku na jiný systém, čím se značně zvyšuje

pravděpodobnost úspěšného provedení útoku. Tento mechanismus narušuje další nutnou

podmínku bezpečnosti a to zajištění bezpečnosti pro třetí strany, kdy stopy distribuovaného útoku

na odstavení služeb vedou zpět, na počítače řízené prostřednictvím skryté přístupové brány, což

může vést k finančním ztrátám spojených se ztrátou reputace firmy, nebo v extrémních případech,

až k trestní odpovědnosti, za poškozování majetku třetí strany.

Důvěryhodnost identity komunikační protistrany je základní podmínkou pro všechny

bezpečnostní aktivity. Obejití autentizace a pokusy o podvržení, nebo skrytí pravé identity jsou

jedny ze základních metod pro velké množství útoků na zabezpečení systému. Jednoduchou cestou

jak skrýt pravou identitu je modifikace IP adresy zprávy, nebo využití útoku opakováním zpráv.

Největším rizikem těchto zpráv je situace kdy po narušení, nebo obejití autentizačního

mechanismu, je uživatel autorizován i přes falešnou identitu a získá plnohodnotný přístup do

systému.

Z výše popsaných základních charakteristik oblastí zabezpečení a možných hrozeb, lze vytvořit

jednoduchý způsob hodnocení hrozeb, podle oblastí zaměření jednotlivých útoků.

2.1.2 Hodnocení bezpečnostních hrozeb

Častým problémem řešení zabezpečení komunikační sítě je chybějící bezpečnostní strategie,

kdy jsou často podceňovány některé hrozby a přehlížena slabá místa zabezpečení a není jasně dána

komplexní struktura zabezpečení.

Pro zajištění zabezpečení systému, by měla být vytvořena strategie zabezpečení, zohledňující

strukturu sítě, služeb využívaných daným systémem, možných hrozeb a rizik pro zabezpečení

systému. Pro specifikaci strategie zabezpečení a určení nezbytných bezpečnostních mechanismů,

je nutné mít model bezpečnostních hrozeb, vycházející z přesně stanovených hodnotících kritérií.

Výše popsané vlivy hrozeb na zabezpečení systému tvoří základní hodnocení jednotlivých typů

útoku a jsou základním kritériem pro vytvoření modelu bezpečnostních hrozeb. Hodnotící kritéria

představující různé pohledy na bezpečnostní hrozby a zahrnují všechny typy útoků na zabezpečení

systému. Na základě rozřazení jednotlivých typů útoků do kategorií dle základních hodnotících

kritérií, lze vytvořit matici hrozeb. Model bezpečnostních hrozeb je tak složen, ze základních

hodnotících kritérií, která vyžadují posouzení z několika rozdílných hledisek, čímž je zaručeno

komplexní posouzení dané bezpečnostní hrozby.

Vhodným nástrojem pro analýzu různých hodnotících kritérií vztažených ke konkrétním

bezpečnostním hrozbám, jsou vícerozměrné databáze. Jednotlivé perspektivy vícerozměrné

databáze jsou v tomto případě tvořeny kritérii hodnocení bezpečnostních hrozeb a jsou

11

odstupňovány podle předem stanovených úrovní. Modelový příklad vícerozměrné databáze je na

obr. 4. Jednotlivé rozměry vícerozměrné databáze hrozeb odpovídají předcházejícím analýzám

a

jsou tvořeny cíli, zdroji, efekty a zaměřením na základní parametry zabezpečení. Problém

vícerozměrné databáze bezpečnostních hrozeb vyplývá z velké komplexnosti a příliš obecného

vymezení bezpečnostních hrozeb, kdy je možné zařadit několik různých hrozeb, do jediné

kategorie jednoho rozměru a dochází k jejich překrytí a naopak do některých kategorií nespadají

žádné hrozby, takže vznikají prázdná místa.

Pro analýzu konkrétních bezpečnostních situací a systémů je užitečné rozdělit, pomocí

segmentování, komplexní vícerozměrnou matici podle specifických požadavků a omezit tak její

složitost.

Obr. 4 Vícerozměrná databáze analyzující vliv bezpečnostních hrozeb, jejich cíle a zaměření na

bezpečnostní služby

Například útok na odstavení služeb systému, je hrozba zaměřená na dostupnost systému s cílem

omezit jeho funkčnost a může ovlivnit výrobu, nebo dokonce fyzickou bezpečnost zaměstnanců,

v závislosti na důležitosti odstavené služby vzhledem k výrobnímu procesu. Charakteristika zdroje

tohoto útoků je různá v závislosti na konkrétní situaci, kdy se útočník může nacházet mimo

automatizační systém, uvnitř lokální sítě a útočit úmyslně, nebo náhodně. Všechny tyto parametry

útoku tak musejí být u daného útoku dostupné z modelu bezpečnostních hrozeb.

2.2 BEZPEČNOSTNÍ ZAŘÍZENÍ PRO AUTOMATIZAČNÍ SÍTĚ

Zajištění globální komunikační bezpečnosti v automatizačních sítích je možné řešit systémy

detekce a prevence neoprávněného vniknutí, nastavených dle analyzovaných hrozeb a útoků

možných v automatizačních sítích. Pro tyto systémy je nezbytné vytvořit nejen filtry datových

zpráv ale i nadřazené systémy pro jejich správu.

2.2.1 Filtr datových zpráv

Filtry datových zpráv jsou obecně používány k zabezpečení komunikace v počítačových sítích.

Bývají umístěny na rozhraních lokálních sítí s cílem ochránit lokální síť před hrozbami

bezpečnostních útoků z vnějších sítí. V průmyslových sítích jsou umístěny mezi jednotlivými

vrstvami, tak jak byly popsány v kapitole 1.1 a to na rozhraní mezi:

linkovou vrstvou a procesní vrstvou,

procesní vrstvou a vrstvou řízení výroby,

vrstvou řízení výroby a podnikovou vrstvou,

podnikovou vrstvou a internetem.

Filtry datových zpráv mezi internetem a podnikovou vrstvou jsou absolutně nezbytné a jsou

součástí všech podnikových sítí. Obdobně jsou zahrnuty do systému i filtry datových zpráv mezi

vrstvou řízení výroby a procesní vrstvou. Oddělení výrobní části podniku je strategickým řešením,

12

zajišťujícím základní zabezpečení výrobního procesu a minimalizujícím případné ztráty,

způsobené některou z možných hrozeb. Tyto filtry navíc nevyžadují žádné specifické vlastnosti ani

nastavení, protože datová komunikace mezi těmito vrstvami nemá žádné zvláštní požadavky,

například na rychlost zpracování. Vzhledem ke vzájemnému provázání vrstvy řízení výroby

a podnikové vrstvy, nebývají mezi těmito vrstvami filtry datových zpráv využívány.

Také na úrovni procesní vrstvy automatizační aplikace, nejsou filtry datových zpráv obvyklým

řešením, i přes to, že jsou nezbytné, protože vyžadují filtry splňující přísné parametry, nezbytné

pro bezproblémovou funkci automatizačního systému. Komunikační protokoly využívané

automatizačními systémy mohou být ohroženy celou řadou bezpečnostních hrozeb a úspěšný

bezpečnostní útok na této úrovní může mít fatální následky, v podobě extrémních finančních škod,

z důvodu zastavení výrobního procesu.

Filtry datových zpráv mezi procesní vrstvou a vrstvou řízení výroby umožňují pouze

komunikaci prostřednictvím komunikačních protokolů, nezbytných pro vykonávání specifických

automatizačních úloh a ostatní protokoly jsou blokovány. Omezením povoleného datového toku,

také omezují možnost útoků s cílem odstavení služeb a přetížení, nebo zahlcení síťových prvků.

Filtr datových zpráv tak může omezit rizika bezpečnostních hrozeb, ale ne ve všech případech.

Na základě analýzy rizik byly vydefinovány základní kategorie pro jednotlivé pracovní režimy

automatizačního zařízení. Dle tohoto rozdělení, nemá použití filtru datových zpráv, výraznější vliv

na rizika první případové studie pro konfigurační režim.

První případová studie operačního režimu zahrnující komunikaci na procesní vrstvě obsahuje

typy útoků pouze s malým rizikem. Filtr datových zpráv pro použití na procesní vrstvě musí

splňovat přísné požadavky na komunikaci v reálném čase, stejně jako pro druhý případ

komunikace prostřednictvím tunelu na veřejných sítích.

V režimu správy automatizačního zařízení je kritické riziko pouze při manipulaci s daty, které

lze datovým filtrem snížit, ale není možné jej eliminovat a systém před tímto útokem úplně

ochránit. Pro použití na zpracování procesních dat musí filtr splňovat požadavky na komunikaci

v reálném čase. Pro ostatní případy lze použít standardní komunikační filtry datových zpráv.

2.2.2 Systém detekce a prevence neoprávněného vniknutí

Systémy detekce neoprávněného vniknutí IDS jsou využívány pro detekci útoku na síť, nebo

systém. V případě detekování útoku na zabezpečení systému, musí být učiněna nezbytná opatření

pro zastavení této hrozby, nebo dokonce nastavení preventivních protiopatření pro případ

obdobných pokusů o útok, což umožňují systémy prevence neoprávněného vniknutí IPS. Oba tyto

bezpečnostní mechanismy, ale vycházejí už ze zachyceného pokusu o útok, a proto jsou až druhou

vrstvou zabezpečení systémů.

Systém detekce neoprávněného vniknutí pouze vyvolá událost upozorňující na pokus o útok

a tuto událost zaznamená a případně upozorní obsluhu. Na rozdíl od toho, systém prevence

neoprávněného vniknutí aplikuje specifikovaná protiopatření s cílem zabránit úspěšnému útoku,

například pomocí zamezení jakékoliv vnější síťové komunikace.

2.2.3 Způsoby detekce útoků

Základními způsoby detekce útoku, nebo zneužití systémem neoprávněného vniknutí, jsou

detekce anomálií datového toku síťové komunikace a rozpoznání šablony útoku.

Detekce anomálií síťové komunikace porovnává současně sledované aktivity s běžným

profilem provozu bezpečnostního prvku. Jedním z obvyklých způsobů je porovnání běžného

vytížení se statistickými údaji o profilu vytížení, nebo prostřednictvím vybraných statisticky

vyhodnocovaných parametrů, jako je například délka běžně zpracovávaného datového

komunikačního rámce. Dalším způsobem detekce anomálií je stanovení pravidel pro

obvyklý profil síťové komunikace, obsahující například nedovolené užití příznaků

13

protokolu TCP, nebo komunikačních datových rámců s neznámou IP adresou odesilatele.

V těchto pravidlech také mohou být využity časové údaje, jako například omezení síťové

komunikace mimo pracovní dobu.

Rozpoznávání šablony útoku je založené na znalosti předchozích útoků. Pro každý známý

útok je zaznamenána šablona, podle které lze daný útok identifikovat a odlišit, od běžné

síťové komunikace. V tomto případě pracují IDS a IPS systémy na stejném principu, jako

antivirové programy pracující se šablonami virů. Nejdůležitější zásadou pro tento způsob

detekce je udržování databáze šablon útoků aktuální. V opačném případě nebude tento

způsob příliš účinný.

2.2.4 Architektura systému detekce a prevence neoprávněného vniknutí

Řešení architektury systému detekce a prevence neoprávněného vniknutí má dva základní typy.

Prvním typem jsou síťové systémy detekce, které využívají více senzorů v různých místech

komunikační sítě a vyhodnocují údaje získané ze všech těchto distribuovaných senzorů, takže

systém detekce má kompletní informace o datovém provozu v síti a může porovnávat vytížení

jednotlivých částí monitorované sítě a nestandardních odchylek. Síť rozmístěných senzorů může

odesílat hlášení o síťovém provozu, nebo pouze rozpoznané vzory síťové komunikace, pro snížení

datové zátěže na síti. Analyzátor vyhodnocující přijaté údaje ze senzorů pak na základě

přednastavených pravidel, nebo šablon útoků na zabezpečení systému, rozhoduje zdali, je síť

napadena útokem a případně jaké protiopatření použít na ochranu sítě.

Hostitelské systémy detekce kontrolují aktivity na každém hostitelském systému individuálně.

Tyto systémy mají větší znalost aplikací a služeb provozovaných na hostitelském systému a tímto

způsobem mohou být mnohem specifičtěji zaměřeny na zabezpečení konkrétních typů systémů

(např. serverů elektronické pošty, licenčních serverů, databázových úložišť atd.). Senzor

u hostitelského systému detekce je většinou tvořen programovým modulem, který monitoruje

veškerou aktivitu na hostitelském systému (kromě síťové komunikace i stavy aplikací, služeb

a událostí (např. pokus o modifikace zdrojových kódů použitého operačního systému, nebo

přístupy k souborům).

Je mnohem obtížnější spravovat tyto systémy detekce, nebo prevence neoprávněného vniknutí,

než klasické bezpečnostní filtry, pro jejich mnohem složitější pravidla a šablony útoků.

V automatizačních aplikacích musí být tyto pravidla upravena podle specifických požadavků tak,

aby běžná síťová komunikace automatizačního systému, která je odlišná od klasické počítačové

komunikace, nebyla omezena, nebo zablokována. Rozdíly pro nastavení pravidel detekčního

systému jsou, i na jednotlivých úrovních automatizačního systému, kde na nejnižší úrovni

převládají datové toky s velkým počtem malých komunikačních zpráv procesních dat ve smyčce

řízení v reálném čase, a naopak na nejvyšší úrovni převládají monitorovací data obsažená v malém

počtu velkých komunikačních zpráv. Navíc systémy detekce neoprávněného vniknutí neposkytují

záruku, že nové typy útoků budou skutečně odhaleny. V kombinaci s filtry datových zpráv, ale

tvoří důležitou část systému zabezpečení a výrazně zvyšují úroveň ochrany systému.

Kompromisním řešením výše zmíněných dvou základních typů jsou hybridní systémy,

kombinující oba typy přístupů pro analýzu spravovaného systému.

V současné době je dostupných několik programů pro realizaci systému detekce neoprávněného

vniknutí, z nichž nejrozšířenější je program Snort®. Jedná se o volně dostupný nástroj pro

nekomerční aplikace, s více než 250 000 (viz [16] stav v roce 2009) registrovaných uživatelů,

využívající vlastní jazyk pro tvorbu pravidel komunikačních profilů. Tento program má otevřený

zdrojový kód umožňující přidání vlastních funkcí a programových modulů, ale vzhledem

k omezení možnosti použití pouze pro nekomerční účely, není možné tento program využít i pro

implementaci do bezpečnostní vrstvy navržené virtuální automatizační sítě.

14

2.2.5 Definice IDMEF zpráv použitých pro IDS

V případě, že bezpečnostní mechanismy systému detekce neoprávněného vniknutí zaznamenají

určitou událost při snaze zabránit případné bezpečnostní hrozbě, je nezbytné o této události

informovat i další části tohoto systému. Pro předávání informací o bezpečnostních událostech musí

být přesně definován způsob, jakým se tato informace bude předávat a především v jakém tvaru

a kolik podrobných informací bude předáno. Formát dat pro předávání musí být v souladu

s architekturou použitou pro komunikaci v rámci sítě VAN [17] a musí odpovídat současným

standardům pro zachování kompatibility i s dalšími bezpečnostními systémy. Z tohoto důvodu je

použit formát IDMEF definovaný standardem RFC 4765 [18], který je v současnosti jedním

z nejrozšířenějších. Tento standard obsahuje přesnou specifikaci struktury dat, implementovanou

prostřednictvím formátu XML. Požadavky na předávané informace v rámci systémů detekce

neoprávněného vniknutí tak specifikuje právě zmiňovaný standard RFC 4765.

Na základě formátu IDMEF byl definován celý systém zpráv bezpečnostní vrstvy

automatizační sítě VAN [17]. Struktura jednotlivých zpráv definovaných pro VAN systém

bezpečnostních zpráv vždy vychází z formátu IDMEF, do kterého jsou přidány parametry

specifické pro bezpečnostní vrstvu automatizační sítě. Obecná architektura zprávy formátu IDMEF

je na obr. 6.

Základní bázovou třídou je třída IDMEF-Message, jež je děděna do dvou tříd dělících IDMEF

zprávy na zprávy o bezpečnostních událostech ve třídě Alert a zprávy o aktuálním stavu

monitorovaného bezpečnostního prvku ve třídě Heartbeat pro zařízení, která periodicky odesílají

svůj status. Objekt třídy Alert obsahuje prvek messageid s unikátním identifikátorem pro každou

vytvořenou instanci třídy. Takto získává každá předaná událost jedinečný identifikátor. Dalším

parametrem obsaženým ve třídě alert je Analyzer, který spravuje informace o analyzátoru, který

vygeneroval příslušnou zprávu. Většina vlastností tohoto parametru je volitelná, ale protože jsou

v rámci specifikace bezpečnostních mechanismů automatizační sítě VAN [17], specifikovány

bezpečnostní opatření, pro jejichž aplikaci je nezbytné znát zdroj informace o bezpečnostní

události. Hlavními parametry pro identifikaci analyzátoru v rámci sítě jsou analyzerid, který určuje

jedinečný identifikátor analyzátoru v dané aplikaci a parametr name s textovým názvem

analyzátoru, obvykle odpovídající URL adrese síťového zařízení. Pro zjištění časových údajů

o vzniku předávané zprávy je specifikován parametr CreateTime, který může být ve zprávě

obsažen pouze jednou. Informace o zdroji příčiny vedoucí k vyvolání bezpečnostní události

analyzátoru jsou určeny parametrem Source a obsahují především údaje o adrese v parametru

Node, na základě které mohou být upraveny bezpečnostní politiky tak, aby se zabránilo dalším

potencionálním hrozbám z této adresy. Adresa předávaná ve vlastnosti Address může obsahovat

jakoukoliv adresu zařízení nebo aplikace, díky vlastnosti category určující typ adresy.

Pro rozpoznání použitého komunikačního protokolu a komunikačního portu, na kterém vznikla

bezpečnostní událost je ve standardu IDMEF připraven parametr Service. Informace

o požadovaném cíli sdružuje parametr Target, který obsahuje podrobné vlastnosti Node a Service,

stejně jako v případě zdroje i pro cílové zařízení, na které byla směrována původní datová zpráva,

než byla zachycena analyzátorem.

Posledním a nejdůležitějším parametrem je Classification, který rozlišuje úrovně nebezpečnosti

zachycené události, čímž nastavuje prioritu dalšího zpracování zprávy, například zobrazení zprávy

obsluze, nebo nastavení předdefinovaných bezpečnostních opatření (automatické zablokování

příjmu datových zpráv z určité adresy, omezení přístupových práv atd.).

Další parametry definované standardem formátu IDMEF jsou volitelné a nejsou významné pro

bezpečnostní vrstvu automatizační sítě VAN. Program pro správu bezpečnostních událostí, ale

podporuje plný standard formátu IDMEF, tak aby bylo možné rozšíření použitých parametrů

i o další volitelné parametry, nebo napojení na stávající systémy detekce neoprávněného vniknutí

podporující výstupní zprávy ve formátu IDMEF.

15

3 REALIZACE

Implementace systému detekce neoprávněného vniknutí je rozdělena do několika částí podle

logických bloků, jenž tvoří tento systém. V rámci projektu VAN byla vytvořena kompletní vrstva

zabezpečení pro automatizační systémy, obsahující šifrované spojení prostřednictvím

bezpečnostních tunelů, systém řízení přístupových práv, systém detekce neoprávněného vniknutí

a systém správy a distribuce veřejných klíčů. Všechny tyto bezpečnostním mechanismy jsou

konfigurovatelné prostřednictvím jednotného konfiguračního nástroje VAN.

Celá problematika zabezpečení komunikace virtuální sítě je poměrně obsáhlá, a proto se v této

práci se zaměřuji především na konkrétní implementaci systému neoprávněného vniknutí

realizovaného v rámci projektu VAN.

Systém detekce neoprávněného vniknutí může být řešen třemi základními způsoby a to:

Obvodovým řešením – kdy je senzor umístěn do úzkého místa komunikační sítě, nebo na

rozmezí různých komunikačních sítí, tak aby přes něj byla směrována veškerá komunikace.

Systémovým řešením – kdy jsou monitorovány komunikační protokoly (například. HTTPS

u serveru webových služeb), nebo komunikace na aplikační vrstvě u specifických

komunikačních protokolů aplikací, jako je například komunikace s databázovým serverem

prostřednictvím SQL protokolu.

Programovým řešením – za předpokladu využití hostitelské stanice (např. osobní počítač)

a monitorovacího programu pro sledování síťové komunikace.

Pro extrémní náročnost návrhu a realizace reálného obvodového filtru datových zpráv, bylo

zvoleno programové řešení i z důvodů snadného vývoje, ladění a verifikace vytvořeného řešení.

Naopak nevýhodou zvoleného programového filtru datových zpráv, je jeho mnohonásobně nižší

rychlost a větší komplexnost a náchylnost k chybovým stavům.

3.1 SYSTÉM DETEKCE NEOPRÁVNĚNÉHO VNIKNUTÍ

Systém detekce neoprávněného vniknutí je složen z několika funkčních bloků tak, jak je

znázorněno na obr. 5. Hlavními bloky jsou filtr datových zpráv, analyzátor a správce událostí.

Hlavní částí systému detekce neoprávněného vniknutí je správce událostí, který je zodpovědný

za upozornění operátora o všech důležitých událostech a umožňuje ukládání a vyhodnocování

všech zaznamenaných událostí, jak na lokální, tak i na vzdálené datové úložiště.

Pro vzájemnou výměnu informací o zaznamenaných bezpečnostních událostech, byl vybrán

formát zpráv dle standardu IDMEF [19].

Klasická struktura systému pro detekci neoprávněného vniknutí obsahuje všechny výše

zmíněné bloky, ale jednotlivé části mohou být sloučeny v rámci jediného zařízení, jako například

filtr datových zpráv, jenž v sobě slučuje senzor zaznamenávající datové zprávy a zároveň

i analyzátor, který na základě předdefinovaných bezpečnostních pravidel, rozhoduje o důležitosti

a kategorii zpracovávaných datových zpráv.

Hlavní funkcí systému detekce neoprávněného vniknutí je zachytit upozornění a oznámení

o vybraných událostech na základě zadaných bezpečnostních pravidel, a o všech těchto událostech

informovat obsluhu. Bezpečnostní pravidla jsou definována jednak pro filtr datových zpráv, tak

i pro systém řízení přístupu. Všechny události zdroje dat jsou monitorovány senzory

a vyhodnoceny analyzátorem, který rozhoduje o jejich dalším zpracování. V případě události

ohodnocené jako nezbytné pro další zpracování je hlášení o této události zformátováno do IDMEF

zprávy [19], která je poté odeslána do správce událostí. IDMEF zpráva [19] obsahuje detailní

popis vlastností zachycené události, včetně údajů o zdroji a případného obsahu datového paketu,

nezbytných pro analýzu zdrojů bezpečnostních rizik.

Odeslaná událost formátovaná dle specifikace IDMEF [19] je poté zpracována správcem

událostí v našem případě programem IDS D-Log (Intrusion Detection System Data Logger –

datový záznamník systému detekce neoprávněného vniknutí). Tento funkční blok ukládá všechny

16

události do lokálního, anebo vzdáleného databázového systému a informuje uživatele o nové

události na základě její klasifikace důležitosti.

Zdroj dat Senzor

Senzor

Analyzátor

Správce

událostí

Grafické

rozhraní

Oznámení a odezvy

Událost

Událost

Aktivita

Výstraha Be

zpe

čn

ostn

í p

ravid

la

Bezpečnostní pravidla

Operátor

Správce systému

Obr. 5 Schéma systému detekce neoprávněného vniknutí [18]

Toto řešení má jedinečnou výhodu v ukládání a shromažďování bezpečnostních údajů

o událostech z různých senzorů a analyzátorů do jedné databáze a operátor má okamžitý přehled

o aktuálním stavu bezpečnostních prvků systému. Vytvořené centrální úložiště spravující všechny

bezpečnostní prvky automatizačního systému usnadňuje analýzu bezpečnostních hrozeb a událostí

jednotlivých bezpečnostních prvků, i v porovnání s ostatními údaji z dalších bezpečnostních prvků

systému. Operátor tak dostává kompletní informace o hrozbách systému, a může efektivně zvolit

vhodná protiopatření a předvídat možné hrozby, na základě už analyzovaných bezpečnostních

událostí.

Realizovaný IDS D-Log podporuje kompletní standard formátu IDMEF [19], přesto že pro

bezpečnostní události automatizačního systému VAN jsou použity pouze některé IDMEF uzly

[19], tak aby byla zajištěna případná kompatibilita i s jinými bezpečnostními systémy

podporujícími formát bezpečnostních zpráv IDMEF.

Implementace formátu IDMEF do správce bezpečnostních událostí je řešena pomocí tříd

popsaných ve standardu formátu IDMEF [19]. Struktura tříd tak omezuje strukturu

zpracovávaných bezpečnostních událostí pouze na povolené uzly definované ve standardu.

Hierarchie základních tříd pro vytvoření objektu IDMEF zprávy použitých pro vytvoření systému

správy událostí je na obr. 6.

Většina ze základních tříd IDMEF zprávy z obr. 6 se dále dělí, nebo odkazuje na další třídy

tak, aby pokryly všechny možnosti popisu bezpečnostní události. Univerzálnost a modulárnost

použitého řešení tak poskytuje výhodu v rychlé kontrole správnosti formátu obdržené zprávy

s popisem bezpečnostní události, ale i v případné možnosti ukládání dat do relační databáze, jejíž

tabulky a vazby mohou kopírovat strukturu použitých tříd. Pro univerzálnost realizovaného řešení,

ale nebyla tato výhoda v možnosti ukládání do relační databáze využita, a byl zvolen způsob

ukládání celé IDMEF zprávy do jediné databázové položky a konverze do struktury IDMEF tříd

programově při každém přístupu k uložené zprávě (více viz kapitola 3.1.1).

17

Obr. 6 Hierarchie základních tříd definujících IDMEF zprávy

3.1.1 Implementace správce bezpečnostních událostí

Správce bezpečnostních událostí je tvořen několika moduly, jejichž struktura je na obr. 7.

Základním modulem správce je jádro programu řídící tok informací a činnost celého správce.

Vstupním blokem je komunikační modul webové služby umožňující připojení analyzátorů

bezpečnostních událostí a přijetí IDMEF zpráv prostřednictvím protokolu SOAP [20]

zabezpečeného pomocí Internetového protokolu HTTPS [21]. Vstupní blok zpracovává příchozí

IDMEF zprávy a získaná XML data předává k dalšímu zpracování do syntaktického analyzátoru.

Syntaktický analyzátor porovnává příchozí data se standardem formátu IDMEF, a na základě

informací obsažených v příchozí IDMEF zprávě vytváří ekvivalentní objekt se strukturou dle

standardu IDMEF, což zajišťuje validitu vstupních dat. Na nestandardní data program okamžitě

upozorní a zobrazí obsluze příslušné informace. Samozřejmostí je i ukládání těchto nestandardních

přijatých dat do záznamu o zpracování přijímaných zpráv. Vytvořený objekt reprezentující přijatou

IDMEF zprávu je následně zpracován programovým jádrem, které na základě hodnocení

důležitosti odesílá příslušné informace do grafického uživatelského rozhraní a do datové výstupní

vrstvy pro uložení do zvoleného datového úložiště.

Datová výstupní vrstva vytváří programovému jádru univerzální výstupní rozhraní pro ukládání

dat. Na základě definovaných datových úložišť převádí procesní data zpracovaná programovým

jádrem do příslušných formátů jednotlivých úložišť a zajišťuje jejich zpracování. Díky této

18

modulární koncepci je možné přidávat i další typy datových úložišť. Aktuálně podporuje datová

výstupní vrstva ukládání do SQL [22] databáze a souborového systému pracujícím s univerzálním

datovým formátem XML [23].

Programové jádroSyntaktický

analyzátor

Datová výstupní

vrstva

XML data

Objekt

formátovaný

dle

IDMEF

Uživatelské informace a příkazy

Procesní data

SQL data XML data

IDMEF zprávy

Lokální databázový

systém

Souborový systém

Webové služby

Grafické

uživatelské

rozhraní

Vzdálený databázový

systém

SQL data

Internet

Obr. 7 Funkční bloky programu pro správu bezpečnostních událostí

Pro zobrazování stavových informací a správu zaznamenaných bezpečnostních událostí bylo

vytvořeno grafické uživatelské rozhraní. Hlavní okno grafického uživatelského rozhraní je na obr. 8.

Grafické uživatelské rozhraní zobrazuje zachycené a zpracované zprávy o bezpečnostních

událostech v přehledové tabulce, která umožňuje řazení všech zpráv podle jednotlivých parametrů,

tak aby obsluha mohla identifikovat a snadno najít konkrétní bezpečnostní události týkající se

například jednoho druhu bezpečnostních hrozeb, nebo sledovat jejich časovou souslednost.

V levé části hlavního okna je zobrazován detail zvolené zprávy s přehledem jejích

nejdůležitějších parametrů, jako jsou datum a čas vytvoření, typ, identifikátor zprávy, hodnocení

významnosti, identifikátory zdroje bezpečnostní události a identifikační údaje analyzátoru, který

odeslal zprávu o jejím zachycení. V detailu zprávy je zobrazen i strom všech IDMEF uzlů, ve

kterém obsluha najde všechny detailní informace o zachycené bezpečnostní události.

Grafické uživatelské rozhraní umožňuje kompletní správu zpracovaných bezpečnostních

událostí, včetně vyhledávání a zobrazování IDMEF zpráv z externích souborů obsahujících

příslušnou událost, stejně jako export zvolených údajů do souboru pro možnost přenosu

a zpracování i v jiných analytických nástrojích pro zpracování IDMEF zpráv.

Hlavní nabídka správce bezpečnostních událostí umožňuje práci se soubory a nastavení

základních vlastností jako je zvolený typ datového úložiště a případně parametry nezbytné pro

připojení vybraného úložiště. U databázového SQL server je to možnost vytvoření připojovacího

19

řetězce na základě zadané adresy SQL serveru, zvolené databáze, uživatelského jména a hesla.

Program ukládá tyto hodnoty do lokálního souboru nastavení ve formátu XML [23]. Citlivé údaje

jsou v tomto souboru chráněny proti zneužití pomocí asymetrické šifry RSA.

Obr. 8 Hlavní okno grafického uživatelského rozhraní

Ukládání zpracovávaných zpráv spravuje datová výstupní vrstva. Výchozím nastavením je

ukládání dat o zpracovaných událostech do SQL databáze. Pro velkou složitost struktury IDMEF

zpráv a možnost rozšíření standardu vlastními novými parametry je pro ukládání zvolena

jednoduchá struktura do jediné databázové tabulky, namísto složité relační databáze, která by

v případě každého rozšíření musela být doplněna příslušnými tabulkami, vazbami, nebo

parametry. Toto řešení umožňuje přenositelnost mezi různými technologiemi SQL databází

(Microsoft SQL Server [24], MySQL [22], PostgreSQL [25] atd.), podporujícími standardní

příkazy standardu ANSI SQL [26]. Výrazně také zrychluje proces ukládání a načítání dat.

Nevýhodou je nutnost opětovné analýzy syntaxe a vytvoření nového objektu IDMEF zprávy při

každém požadavku na získání dat o bezpečnostní události z databáze.

Systém správy bezpečnostních událostí s jediným centrálním správcem událostí a možností

vnějšího přístupu do uložených dat prostřednictvím Internetu, je ideálním řešením pro

bezpečnostní vrstvu virtuální automatizační sítě projektu VAN. Bezpečnostní systém založený na

IDMEF zprávách umožňuje vzájemnou kompatibilitu i s dalšími bezpečnostními prvky

podporujícími IDMEF zprávy a je tak možná částečná implementace bezpečnostních řešení

automatizačních sítí i do stávajících heterogenních systémů. Správa všech bezpečnostních událostí

v jediném místě usnadňuje monitorování, správu a řízení bezpečnosti dle definované strategie

zabezpečení systému. Operátor připojený vzdáleně na centrální systém správy bezpečnostních

událostí může operativně rozhodovat a řešit bezpečnostní události, na základě komplexních údajů

získaných ze všech bezpečnostních prvků ve spravované automatizační síti. Díky tomuto řešení je

možné předvídat potencionální bezpečnostní hrozby a aplikovat nezbytná protiopatření dříve, než

mohou tyto hrozby významně ovlivnit běh celého automatizačního systému, což výrazně zvyšuje

ochranu celé automatizační sítě VAN.

20

Obr. 9 Okno detailního zobrazení IDMEF zprávy načtené z externího souboru

3.2 FILTR DATOVÝCH ZPRÁV

Filtr datových zpráv je část bezpečnostního konceptu automatizační sítě VAN, která řeší

ochranu jednoho zařízení, výrobní buňky, nebo části automatizační sítě. Definice vnitřní struktury

filtru datových zpráv vychází z definice obecného VAN zařízení, tak aby filtr splňoval podmínky

pro začlenění do sítě VAN, a bylo možné jej spravovat pomocí jednotného konfiguračního nástroje

vytvořeného pro správu všech zařízení dle VAN specifikace. Konfigurační rozhraní pro filtr

datových zpráv je popsáno v příslušném ASE a jeho implementace je řešena pomocí konfigurační

třídy pro VAN filtr datových zpráv.

Hlavní funkcionalita filtru datových zpráv je řešena pomocí programu IPtables [27]. Tento

program usnadňuje implementaci a řeší základní funkce filtru datových zpráv jako je blokování

datových zpráv z určitých IP adres a konfiguraci pravidel pro filtrování pomocí filtrační tabulky.

Filtr postavený na IPtables funguje jako směrovač, který na základě údajů z hlaviček (IP

headers viz [28] a [29]) příchozích, průchozích, nebo odchozích datových zpráv, rozhoduje

o jejich dalším směrování, úpravě, nebo zahození. Program IPtables využívá možnosti přímého

přístupu k síťovému rozhraní operačního systému Linux a ovlivňuje směrování všech datových

zpráv zpracovávaných tímto rozhraním.

IPtables obsahují standardně pět základních souborů pravidel a to pro nastavení:

Input – pravidla a příkazy definujících metodiku zpracování příchozích datových zpráv.

Datová zpráva je určena přímo pro toto zařízení, v našem případě VAN datový filtr.

Output – pravidla a příkazy pro směrování odchozích datových zpráv. Jedná se o datové

zprávy odesílané z lokálního síťového rozhraní.

21

Forward – pravidla a příkazy uplatněné na datové zprávy, které jsou předávány v rámci

sítě jinému zařízení. Tato sada pravidel a příkazů je nezbytná pro realizaci filtru datových

zpráv a řídí datové toky do vnitřní sítě zabezpečené právě tímto filtrem.

Prerouting – sada pravidel a příkazů pro nastavení akcí při příjmu datové zprávy.

Postrouting – pravidla a příkazy pro nastavení akcí při odesílání všech datových zpráv.

Využívá se hlavně pro vytvoření síťového mostu mezi dvěma sítěmi, s rozdílným rozsahem IP adres, kdy je v NAT [29] [30] tabulce specifikován převod mezi příslušnými rozsahy IP

adres obou sítí.

Pro využití programu IPtables ve filtru datových zpráv VAN bylo nezbytné vytvořit řídicí

aplikaci, která bude obsluhovat požadavky dle standardu VAN zařízení, a na jejich základě

nastavovat parametry a řídit činnost programu IPtables.Realizovaný filtr datových zpráv tvoří jednu ze základních částí systému detekce

neoprávněného vniknutí, a proto musí mít implementovánu podporu odesílání IDMEF zpráv do

správce událostí.

3.2.1 Architektura programového vybavení filtru

Programové vybavení filtru datových zpráv je tvořeno třemi základními částmi, jejichž blokové

schéma je na obr. 10. Hlavní část tvoří řídicí program, který obsluhuje vlastní filtrovací

funkcionalitu realizovanou programem IPtables.

Modul analýzy

syntaxe XML

XML data

VAN ASE

Soubory pravidel

Klient webové služby

class VAN PF Control Application

«PFControlApplication\»

Řídící program filtru datov ých zpráv

«XMLParser»

Analyzátor syntaxe XML

«XSLTransformer»

Modul XSL transformace

«ScriptController»

Modul řízení skriptů

«MessageController»

Výstupní komunikační modul

Řídící program filtru

datových zpráv

filtrovací pravidla

Server webových služeb

XML data

XML data

IDMEF zprávy

Filtr datových zpráv iptables

Obr. 10 Architektura programového vybavení filtru datových zpráv VAN

Dalším blokem je vstupní blok webových služeb pro vnější komunikaci s dalšími VAN

zařízeními a možnost konfigurace chování filtru datových zpráv prostřednictvím jednotného

22

konfiguračního nástroje VAN. Tento blok v sobě obsahuje i programový modul pro kontrolu

syntaxe vstupních XML konfiguračních dat.

Výstupním blokem programového vybavení filtru datových zpráv je klient webových služeb,

který odesílá generované IDMEF zprávy o zachycených bezpečnostních událostech na webový

server správce událostí systému detekce neoprávněného vniknutí.

Vstupní blok webových služeb je součástí všech VAN zařízení a umožňuje přijímání

specifických ASE pro daný typ zařízení.

Hlavním úkolem řídicího programu je interpretace konfiguračního souboru a řídicích příkazů

z ASE do filtru datových zpráv realizovaného programem IPtables, volání skriptů řídících činnost

tohoto filtru, generování zpráv o zachycených bezpečnostních událostech a jejich předání do

výstupního bloku pro posílání IDMEF zpráv.

3.2.2 Řídicí program filtru datových zpráv

Řídicí program filtru datových zpráv je vytvořený v programovacím jazyku Java. Program

přijímá XML řetězce obsahující kompletní ASE pro nastavení parametrů a funkcionality VAN

filtru datových zpráv. Pro ověření správnosti vstupního XML řetězce je v přijímací části webových

služeb implementován blok kontroly správnosti syntaxe s definicí XML pro VAN ASE. Pro

verifikaci XML řetězce je použit soubor s příslušným XSD schématem.

Obecná definice pravidel a parametrů pro nastavení filtru datových zpráv musí být převedena

do specifických konfiguračních souborů použitých programem IPtables. Pro tento převod je

použita sada formátovacích pravidel definovaných pomocí programovacího jazyku XSLT.

Transformační pravidla pro převod mezi formátem XML a konfiguračním souborem programu

IPtables jsou definována v externím formátovacím souboru XSLT a použita pro vzájemnou

konverzi při každém požadavku na načtení nových filtrovacích pravidel a parametrů.

Konverze XML řetězce obsahujícího konfigurační údaje dle příslušného ASE vychází z jeho

logické struktury, kdy jsou postupně procházeny jednotlivé uzly a porovnávány elementy obsažené

v těchto uzlech s transformační šablonou, na jejímž základě vzniká konvertovaný konfigurační

soubor. Toto řešení umožňuje jednoduchou modifikaci, v případě potřeby doplnění, nebo odebrání

konfiguračních pravidel, bez nutnosti zásahu do zdrojového kódu vlastního řídicího programu, ale

pouze s jednoduchou úpravou konverzní šablony a formátu vstupního XML řetězce na úrovni

ASE.

Obr. 11 Přehled tříd a jejich struktura v řídicí aplikaci filtru datových zpráv

class VAN PF Control Application

«PFControlApplication\»

Řídící program filtru datov ých zpráv

«XMLParser»

Analyzátor syntaxe XML

«XSLTransformer»

Modul XSL transformace

«ScriptController»

Modul řízení skriptů

«MessageController»

Výstupní komunikační modul

23

Nezávislost konverzních šablon na řídicím programu poskytuje také potenciální možnost

vytvoření různých konverzních šablon, pro případ změny formátu konfiguračního souboru

používaného programem IPtables, nebo pro implementaci jiného filtrovacího programu

s odlišným standardem konfiguračního souboru, což zvyšuje modulárnost vytvořeného řešení.

Pro začlenění do systému detekce neoprávněného vniknutí obsahuje filtr datových zpráv

výstupní modul, generující zprávy popisující události filtru dle specifikace formátu IDMEF. Tyto

XML zprávy jsou následně předávány dalším částem detekčního systému. Pro realizaci výstupního

modulu byla navržena architektura programu dle obr. 11, složená ze základních tříd zodpovědných

za provádění specifických úloh, jako je konverze zachycených úloh do formátu IDMEF pomocí

XSL transformace atd.

3.3 KONFIGURAČNÍ SEZNAMY PŘÍKAZŮ FILTRU DATOVÝCH ZPRÁV

Reálné řízení činnosti filtru datových zpráv je řešeno externími soubory příkazů. Tyto soubory

jsou generovány na základě řídicích příkazů z konfiguračního systému a převedeny do syntaxe

specifické pro použitý program, v našem případě pro program IPtables [27]. Převod do

příslušného formátu pro použitý program filtru probíhá pouze na základě definice v souboru XSLT

a je nezávislý na řídicí aplikaci VAN filtru. Celá struktura je tak modulární, a v případě potřeby

může být použit jiný program pro filtrování datových zpráv, za předpokladu vytvoření příslušného

XSLT souboru.

Prostřednictvím těchto sad příkazů je ovládána veškerá dostupná funkcionalita filtru. Na obr.

12a je stručný příklad souboru příkazů pro nastavení filtračních pravidel.

a)

b)

Obr. 12 a) Konfigurační seznam příkazů pro vytvoření pravidel filtrace programu IPtables,

b) Příklad seznamu příkazů pro získání aktuálního nastavení programu IPtables

Dalším nezbytným seznamem příkazů je seznam pro načtení aktuálního nastavení filtračních

pravidel. Na základě provedení tohoto seznamu je získáno aktuální nastavení v textovém řetězci,

který zpracovává řídicí program. Poslední významný seznam příkazů je pro odstranění filtračních

pravidel a nastavení filtru do výchozí konfigurace.

3.3.1 Komunikační modul filtru datových zpráv

Komunikační modul je klient webové služby, který posílá zprávy o bezpečnostních událostech

do systému detekce neoprávněného vniknutí. Hlavní funkcí komunikačního modulu je vzájemné

propojení filtru datových zpráv s komunikačním modulem systému detekce neoprávněného

vniknutí, jehož vstupní část je tvořena serverem webových služeb, který poskytuje základní služby

nezbytné pro komunikaci prostřednictvím SOAP protokolu [20]. Všechny poskytované webové

služby tímto serverem, jsou popsány pomocí souboru standardu WSDL [31].

modprobe ip_tables

modprobe ip_conntrack

# drop everything

iptables -F

iptables -P INPUT DROP

iptables -P OUTPUT DROP

# now the dynamic part

iptables -A INPUT -p TCP --dport 80 -j ACCEPT

iptables -A INPUT -p TCP --dport 443 -j ACCEPT

iptables -A INPUT -s 141.44.140.XX -j ACCEPT

iptables -A OUTPUT -d 141.44.140.XX -j ACCEPT

echo filter: echo

iptables -L

echo

echo

echo nat:

echo

iptables -t nat -L

echo

echo

echo mangle:

echo

iptables -t mangle -L

24

Po přijetí XML řetězce IDMEF zprávy komunikačním modulem od řídicího programu je

vytvořena SOAP zpráva a odeslána na server webových služeb. Pro základní funkce

komunikačního modulu nabízí třída MessageController dvě metody a to:

• String createIDMEF(String pfAlert) – Metoda pro vytvoření XML řetězce obsahujícího

informace o bezpečnostní události formátovaného dle standardu formátu IDMEF [19]. Vstupní

informací je údaj filtru datových zpráv, které filtrační pravidlo spustilo alarm a obsah datové

zprávy, které tuto událost vyvolalo.

• Void sendMessage(String message) – Tato metoda posílá vytvořené IDMEF zprávy

v protokolu SOAP k dalšímu zpracování prostřednictvím klienta webových služeb připojeného na

příslušný webový server. Zpracování této zprávy na straně serveru webových služeb je popsáno

v kapitole 3.1.1.

3.4 OVĚŘENÍ FUNKČNOSTI FILTRU DATOVÝCH ZPRÁV

Jedním ze základních požadavků automatizace je determinismus. Předvídatelné chování

komunikačního systému je nezbytné zejména pro využití základního požadavku většiny

automatizačních systémů na komunikaci v reálném čase. Komunikace v reálném čase

v automatizačním systému znamená doručení informace, obvykle síťového rámce, na místo určení

v předpokládaném časovém intervalu. Každá část automatizačního systému měnící očekávaný

časový rámec v nedeterministický, snižuje schopnost uplatnění komunikace v reálném čase na

daný systém. Namísto toho, definovaná doba zpoždění změní pouze dosažitelné cyklické časy

v deterministické části cyklické komunikace tak, jak jsou specifikovány například u standardu

Profinet. Proto musí být, v případě požadavku na komunikaci v reálném čase, základní

stochastická povaha přenosového systému optimalizována.

Bezpečnostní prvky použité pro ochranu a zabezpečení automatizační sítě mají zásadní vliv na

chování přenosového systému a je nezbytné přesně určit model jejich chování a stanovit mezní

přenosové parametry.

Následující měření je proto zaměřeno na základní ověření funkce realizovaného bezpečnostního

zařízení a stanovení jeho časových parametrů.

Jedním z hlavních aspektů významně ovlivňujícími časové charakteristiky přenosového

systému je komunikační zpoždění způsobené časem nezbytným pro analýzu datové zprávy filtrem

datových zpráv.

Pro toto měření byla použita testovací sestava obsahující dvě vývojové síťové karty EB200 [32]

od firmy Siemens. Tyto karty obsahují dva nezávislé síťové porty. Jeden z nich slouží pro

vzájemnou synchronizaci časovačů a druhý port je použit pro měření. Díky této měřicí sestavě lze

měřit libovolná síťová zařízení, nebo celé sítě s časovým rozlišením 10 ns, jež je dáno periodou

použitého volnoběžného časovače. Obvodová realizace měřicího systému také eliminuje případné

chyby v měření časových parametrů síťové komunikace, způsobené vlivem operačních systémů,

jako v případě programových nástrojů pro měření komunikačních parametrů.

Z hlediska systému detekce neoprávněného vniknutí je nejdůležitějším vlivem na parametry

síťové komunikace časové zpoždění způsobené nutností analýzy komunikačních zpráv.

Na obr. 13 je charakteristika naměřeného průběhu zpoždění síťové komunikace způsobené

implementovaným filtrem datových zpráv VAN. Filtr datových zpráv byl testován na výkonné

pracovní stanici, neomezující požadovaný programový výkon s využitím testovací sekvence dat

obsahující 1000 datových zpráv. Důležitým parametrem ovlivňující rychlost filtru datových zpráv

je také počet použitých filtračních pravidel. Pro měření minimální hodnoty zpoždění bylo použito

pouze jediné filtrační pravidlo povolující veškerou komunikaci. V případě zvyšování počtu

filtračních pravidel je nárůst střední hodnoty zpoždění lineární s hodnotou 0,20 μs na jedno

filtrační pravidlo.

25

Obr. 13 Naměřený průběh zpoždění filtru datových zpráv

Obr. 14 Histogram zpoždění filtru datových zpráv

Histogram naměřených hodnot zpoždění je na obr. 14, kde naměřená hodnota minimálního

zpoždění v tomto ideálním případě činí 263 µs.

Naměřená hodnota rozptylu zpoždění splňuje podmínky pro použití filtru datový zpráv na

vyšších vrstvách automatizačního systému, ale neposkytuje dostatečnou jistotu deterministického

chování filtru nezbytnou pro aplikace v reálném čase. Pro implementaci filtru datových zpráv na

procesní úroveň s požadavkem komunikace v reálném čase, je vhodnější použít obvodově řešený

filtr datových zpráv.

26

4 ZÁVĚR

Tato práce se zabývá problematikou zabezpečení datové komunikace, v systémech

s heterogenní sítí, založené na technologii Ethernet. Komunikační bezpečnost a řešení zabezpečení

jednotlivých komunikačních sítí ve víceúrovňových systémech založených na datových přenosech

mezi různými typy průmyslových a informačních sítí, s různou garantovanou úrovní zabezpečení,

je jednou z nejnovějších problematik řešených v automatizačních systémech. Požadavek na

vzdálené monitorování a správu výrobních procesů v distribuovaných automatizačních systémech

a využití veřejných sítí pro realizaci datové komunikace i v rámci automatizačního systému,

vyžaduje vytvoření nových specifických strategií zabezpečení jednotlivých částí systému, dle

jejich charakteristických komunikačních vlastností a možných bezpečnostních hrozeb.

První část této práce rozebírá současný stav problematiky řešení zabezpečení v automatizačních

systémech, možné koncepce řešení distribuovaných systémů a dostupných bezpečnostních metod z

běžných informačních komunikačních technologií. Pro využití těchto metod i v automatizačních

systémech se specifickými požadavky na komunikaci, bylo nutné provést návrh bezpečnostní

vrstvy automatizačních systému, vycházející z analýzy současných bezpečnostních hrozeb a jejich

případném vlivu na automatizační.

Analýza současných bezpečnostních hrozeb, je základním předpokladem pro vytvoření metody

hodnocení vlivu bezpečnostních hrozeb na automatizační systém, na základě které lze ve

specifických systémech navrhnout vhodnou bezpečnostní strategii.

Jedním ze základních dostupných nástrojů pro zabezpečení systému jsou systémy detekce

neoprávněného vniknutí. Tyto systémy jsou založeny na monitorování komunikačních zpráv

a jejich filtrování na základě definovaných pravidel, pro zamezení neoprávněné komunikace

a případných bezpečnostních útoků.

Pro zabezpečení distribuovaného automatizačního systému je nezbytné vytvořit systém detekce

neoprávněného vniknutí na základě předchozích analýz specifických komunikačních vlastností

a požadovaných bezpečnostních strategií.

Konkrétní realizace systému detekce neoprávněného vniknutí je popsána ve třetí části této

práce, která rozebírá celkovou koncepci řešení, včetně popisu jednotlivých bloků a specifických

požadavků na části detekčního systému. Nejdůležitějšími součástmi systému detekce

neoprávněného vniknutí je hlavní řídicí program a filtr datových zpráv. Implementace obou těchto

částí je kritická, z hlediska zajištění zabezpečení automatizačního systému, a proto je v této práci

detailně rozebrán návrh, specifikace, implementace a verifikace filtru datových zpráv a jeho

začlenění do modulární koncepce systému detekce neoprávněného vniknutí.

Při realizaci bezpečnostní vrstvy byl kladen důraz na otevřenost komunikačního systému,

a proto je navržený detekční systém řešen jako modulární s využitím standardních formátů

předávaných dat. Pro konfiguraci vlastního systému a realizaci zabezpečení, dle definované

bezpečnostní strategie, je použit univerzální datový formát XML, kde součást této práce tvoří

i základní specifikace konfiguračních souborů a pro předávání informací o zaznamenaných

bezpečnostních událostech je použit formát IDMEF. Díky této koncepci je možné začlenění

vytvořeného systému detekce neoprávněného vniknutí i do stávajících automatizačních, nebo

informačních systémů využívající formát IDMEF.

Navržená architektura systému detekce neoprávněného vniknutí, díky distribuované síti senzorů

rozmístěných na kritických místech automatizačního systému, mezi jednotlivými vrstvami, nebo

různými komunikačními technologiemi, umožňuje sledování bezpečnostních událostí v rámci

celého systému na jediném místě. Toto řešení s centrální správou informací o bezpečnostních

událostech, umožňuje okamžitou modifikaci bezpečnostní strategie a zavedení příslušných

bezpečnostních protiopatření v rámci celého systému.

Celkové řešení bezpečnostní vrstvy bylo navrženo, implementováno a ověřeno v rámci projektu

virtuální automatizační sítě VAN.

27

5 REFERENCE

[1] Spurgeon, C., E.: Ethernet: The Definitive Guide. Sebastopol: O'Reilly & Associates, Inc.,

2000, ISSN: 1-56592-660-9.

[2] Kosek, R.: Profinet – řešení firmy Siemens pro průmyslový Ethernet v automatizaci,

Automatizace, ročník 47, číslo 9, pp. 564-565, září 2004.

[3] PROFIBUS & PROFINET International: Profibus. [Online], 2009, [cit. 10. srpen 2009].

Dostupné z WWW: http://www.profibus.com.

[4] Bosch GmbH: CAN Specification. [Online], 1991, [cit. 11. srpen 2009]. Dostupné z WWW:

http://www.semiconductors.bosch.de/pdf/can2spec.pdf

[5] ISO: ISO/IEC DIS 14908 - Open Data Communication in Building Automation, Controls

and Building Management., 2008.

[6] Modbus-IDA: Modbus application protocol specification [Online], 2006, pros. [cit. 20. srpna

2009]. Dostupné z WWW: http://www.Modbus-IDA.org.

[7] SERCOS International: (2009, srp.) SERCOS Interface. [Online] 2009, srp., [cit. 29. srpna

2009 ]. Dostupné z WWW: http://www.sercos.de.

[8] HART Communication Foundation: Highway Addressable Remote Transducer Protocol.

[Online]. 2009, čer., [cit. 20. Října 2009 ]. Dostupné z WWW: http://www.hartcomm.org.

[9] Janssen, D., Büttner, H.: Real-time Ethernet: the EtherCAT solution, Computing & Control

Engineering Journal , číslo 15, strana 16-21, 2004.

[10] ISO/IEC: Common Criteria for Information Technology Security Evaluation, 21stran, 2005,

ISO/IEC 15408-1:2005.

[11] Atlantic: Encyclopedia of Information Technology. New Delhi: Atlantic Publishers

& Distributors, 2007, ISSN: 81-269-0752-5.

[12] ISO/IEC: ISO 7498-2:1989 - Information processing systems -- Open Systems

Interconnection -- Basic Reference Model -- Part 2: Security Architecture, 1989.

[13] ISO/IEC: ISO/IEC 7498-1:1994 - Information technology -- Open Systems Interconnection -

- Basic Reference Model: The Basic Model, 1994.

[14] ISO/OSI: Recommendation X.200 : Information technology - Open Systems Interconnection

- Basic Reference Model: The basic model. [Online] 1994, črv. [cit. 7. srpen 2009].

Dostupné z WWW: http://www.itu.int/rec/T-REC-X.200-199407-I/en.

[15] ANSI/ISA: ANSI/ISA-99.02.01-2009 Security for Industrial Automation and Control

Systems: Establishing an Industrial Automation and Control Systems Security Program,

2009.

[16] Sourcefire, Inc.: Snort. [Online] 2009, ří., [cit. 25. října 2009]. Dostupné z:

http://www.snort.org/snort.

[17] VAN Consortium: VAN commercial brochure. [Online]. 2008, ří., [cit. 25. října 2009].

Dostupné z: http://www.van-eu.eu/sites/van/pages/files/VAN_brochure_ver_6.pdf.

[18] Wood M., E., M.: RFC 4766 - Intrusion Detection Message Exchange Requirements.: IETF,

RFC 4766. [Online] 2007, bře., [cit. 18. června 2009]. Dostupné z:

http://tools.ietf.org/html/rfc4766.

28

[19] Debar H., C., D,FB.: RFC 4765 - The Intrusion Detection Message Exchange Format

IDMEF.: IETF, March 2007, RFC 4765. [Online] 2007 bře., [cit. 18. června 2009].

Dostupné z: http://tools.ietf.org/html/rfc4765.

[20] W3C: SOAP Version 1.2 Part 1: Messaging Framework , Second Edition ed.: W3C , 2007.

[Online] 2007, [cit. 19. března 2001 ]. Dostupné z WWW: http://www.w3.org/TR/soap12-

part1.

[21] Rescorla E., S., A.: RFC2660 - The Secure HyperText Transfer Protocol.: The Internet

Society, [Online] 1999, [cit. 6. srpna 2009]. Dostupné z: http://tools.ietf.org/html/rfc2660.

[22] Molinaro, A.: SQL Cookbook, First Edition ed. Sebastopol, CA 95472: O'Reily Media, Inc.,

2009, ISSN: 978-0-596-00976-2.

[23] W3C: Extensible Markup Language (XML) 1.0, Fifth Edition ed.: W3C, [Online]. 2008, [cit.

20. července 2009]. Dostupné z WWW: http://www.w3.org/TR/REC-xml.

[24] Knight, B., Veerman, E., Dickinson, G., Hinson, D., Herbold, D.: Professional Microsoft

SQL Server 2008 Integration Services. Indianapolis, Indiana: Wiley Publishing, Inc., 2008,

ISSN: 978-0-470-24795-2.

[25] PostgreSQL: PostgreSQL 8.4 Official Documentation, Volume IV ed.: Fultus Corporation,

1996, ISSN: 1-59682-161-2.

[26] ISO/IEC: Database languages - SQL Part 2: Foundation (SQL/Foundation), ISO/IEC 9075-

2:2003, 2003.

[27] Rash, M.: Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort.

San Francisco, CA 94107: William Pollock, 2007, ISSN: 978-1-59327-141-1.

[28] Hall, E., A.: Internet Core Protocols: The Definitive Guide, First Edition ed., Loukides, M.,

Ed. Sebastopol, CA 95472: O'Reilly & Associates, Inc., 2000, ISSN: 1-56592-572-6.

[29] Malhotra, R.: IP Routing, First Edition ed., Sumser, J., Ed. Sebastopol, CA 95472: O'Reilly

& Associates, Inc., 2002, ISSN: 0-596-00275-0.

[30] Francois Audet, C., J.: RFC 4787: Network Address Translation (NAT) Behavioral

Requirements for Unicast UDP.: IETF Trust, [Online]. 2007, led., [cit. 2. září 2009].

Dostupné z: http://www.ietf.org/rfc/rfc4787.txt.

[31] W3C: Web Services Description Language (WSDL) Version 2.0 Part 1: Core Language.

[Online]. 2007, čer., [cit. 19. března 2001 ]. Dostupné z: http://www.w3.org/TR/wsdl20.

[32] Siemens: EB200 Evaluation Board ERTEC 200 - Manual. [Online]. 2009, čer., [cit. 18.

června 2009]. Dostupné z:

http://support.automation.siemens.com/WW/llisapi.dll?query=EB+200&func=cslib.cssearch

&content=skm%2Fmain.asp&lang=en&siteid=cseus&objaction=cssearch&searchinprim=0

&nodeid0=10805255.

29

Abstrakt:

Tato práce pojednává o problematice komunikační bezpečnosti v automatizačních systémech.

Rozebírá metody analýzy bezpečnostních rizik a hrozeb a komunikačních požadavků specifických,

pro jednotlivé úrovně automatizačních systémů. Práce je tak zaměřena především na obecný

rozbor bezpečnostních mechanismů využitelných pro zabezpečení komunikace v rámci

automatizačního systému, tvořeného heterogenní komunikační sítí, specifikaci a návrh konkrétních

řešení a bezpečnostních nástrojů, včetně popisu realizace systému detekce neoprávněného

vniknutí, jenž tvoří jednu ze základních částí bezpečnostní strategie automatizačního systému,

která byla řešena v rámci evropského projektu virtuální automatizační sítě VAN.

Abstract:

This thesis deals with a problematic of communication security in automation systems.

Methods of analysis of the security risks, threads and communication requirements specific for

each level of the automation systems are described here. This work is focused on the general

analysis of the security mechanisms which can be used for secure communication within

automation systems based on a heterogeneous communication networks. Also there is

specification and design of a real security solution, including description of Intrusion Detection

System realization, a basic part of the security strategy for automation systems. This work was

done within the framework of the Virtual Automation Network European project.

30

6 PŘÍLOHY

KUCHTA, R.; KADLEC, J.; VRBA, R. Implementation of Intrusion Detection System for

Automation Devices within Virtual Automation Network. Proceedings of ICONS 2009 Fourth

International Conference on Systems. France: IEEE, 2009. s. 243-246. ISBN: 978-0-7695-3551-7.

Abstract - Security incidents are becoming more serious and more common not only in computer networks, but

also in automation networks. Automation devices are still more and more based on computers and they have the same

weak points like standard computers. Actual trends in automation networks are among others wide automation

networks covering several manufacture divisions or remote controlling of automation networks through the Internet.

Necessity of the remote connection to the automation networks covers all security vulnerabilities and risks which

originate from the Internet. Analogically the automation network can be secured by the conventional way through

firewalls and VPN tunnels. For this reason new automation firewall device was designed. The VAN firewall includes

messaging system for logging all events and alerts. As a basis for VAN (Virtual Automation Network) firewall

messaging system IDMEF (Intrusion Detection Message Exchange Format) is used. This paper describes the intrusion

detection system and its implementation within the VAN.

KADLEC, J.; KUCHTA, R.; VRBA, R. Performance Tests of the Dynamics of the Wireless

Networks. In Proceedings of the eighth International Conference on Networks ICN 2009. Cancun.

Mexico: IARIA, 2009. s. 112-115. ISBN: 978-1-4244-3470-1.

Abstract - Performance of the dynamics of the wireless networks is the key parameter for real-time applications.

This paper is focused on the performance tests of the WLAN IEEE 802.11g. New testbed for measuring of network

parameters with 10 ns resolution was developed. Three main parameters of network communication in the wireless

networks are bandwidth, delay and jitter. Knowing values of those three parameters allows us to decide if the

communication network is acceptable for using real-time applications or not. For our future applications of wireless

networks in automation platform we need to know precisely all these parameters. Based on the measured dynamics we

can select which real-time application is for this wireless network suitable. Another problem of WLANs is their

vulnerability to security threads. WLANs can be secured by several security mechanisms but all of these mechanisms

have negative impact to the communication speed and final network performance. We also measured impact of used

encrypted communication tunnel on the WLAN performance because VPN tunnel with encryption functions is one of

the possible security solutions for our future automation applications.

KADLEC, J.; BERAN, J.; VRBA, R. Precise measurement of wireless network roaming

functionality and network component parameters applied for automation systems. Third

International Conference on Systems ICONS 2008 - Proceedings. Mexico: IEEE Computer

Society, 2008. s. 373-376. ISBN: 978-0-7695-3105-2.

Abstract - The contemporary wireless networks in use have to solve problems with moving wirelessly connected

devices. Such devices can move inside a one wireless network cell or across the several ones in the frame of one

network or even from the one network to another. The conventional wireless connection types were designed for

providing basic roaming functionality. The same functionality can be used in automation wireless networks. Main

problems of roaming in automation networks especially in time-critical applications are speed of roaming procedure,

and security of roaming procedure. Automation systems are very sensitive to packet losses and time delays in the

communication. Securing of communication link during roaming is also required. Roaming speed goes directly against

security level and it is very important to specify requirements of possible automation applications to maximum time

delay and minimum security level. Roaming process and time consumption of its particular procedures is in detail

described and measured in this paper. Based on required parameters to maximum roaming delay time and security

level should be selected optimal compromise between these two parameters. The chapter below is focused on the

roaming functionality available in WLANs, their main features, basic principles and concrete testing of these

important parameters.