Nghiên cứu xây dựng tường lửa phân tích gói tin chuyên sâu cho hệ điều khiển tự động hóa

Các hệ điều khiển tự động nếu lúc trước chỉ nằm tách biệt trong nhà máy và không có kết nối với bên ngoài, thì nay đã kết nối với mạng doanh nghiệp và kết nối luôn với cả hệ thống Intern

ĐẠI HỌC QUỐC GIA TP HCM

TRƯỜNG ĐẠI HỌC BÁCH KHOA

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG –HCM

Cán bộ hướng dẫn khoa học: TS HOÀNG MINH TRÍ

Cán bộ chấm nhận xét 1:

Cán bộ chấm nhận xét 2:

Luận văn thạc sĩ được bảo vệ tại Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày 14 tháng 7 năm 2015 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: 1

2

3

4

5

Xác nhận của Chủ tịch Hội đồng đánh giá LV và Trưởng Khoa quản lý chuyên ngành sau khi luận văn đã được sửa chữa (nếu có)

ĐẠI HỌC QUỐC GIA TP.HCM

TRƯỜNG ĐẠI HỌC BÁCH KHOA

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc

NHIỆM VỤ LUẬN VĂN THẠC SĨ

Họ tên học viên : DƯƠNG MINH TRỌNG

Ngày, tháng, năm sinh : 18/5/1989

MSHV : 12153177 Nơi sinh : Đồng Nai

I Tên đề tài:

NGHIÊN CỨU XÂY DỰNG TƯỜNG LỬA PHÂN TÍCH GÓI TIN CHUYÊN SÂU CHO HỆ ĐIỀU KHIỂN TỰ ĐỘNG HÓA

II Nhiệm vụ và nội dung :

- Nghiên cứu an ninh mạng trong hệ thống điều khiển công nghiệp

- Thiết kế và xây dựng tường lửa chuyên sâu có khả năng phân tích gói tin, từ đótăng cuờng bảo vệ cho hệ thống điều khiển và PLC

- Xây dựng hệ thống mẫu dùng để trình diễn tính bảo vệ của tường lửa

III Ngày giao nhiệm vụ : 19/01/2015

IV Ngày hoàn thành nhiệm vụ : 18/06/2016

V Cán bộ hướng dẫn : Tiến Sĩ Hoàng Minh Trí

hoàn thành luận văn này

Tôi cũng xin gửi đến thầy TS Trương Đình Châu lời biết ơn sâu sắc vì đã dành thời gian quý báu để hướng dẫn, cho phép tôi sử dụng phòng thí nghiệm 109B3 để có điều kiện tốt nghiên cứu hoàn thành luận án

Trong suốt thời gian học tập tại trường đại học Bách Khoa – ĐHQG Tp HCM, tôi đã được các Thầy Cô khoa Điện – Điện tử, và đặc biệt là các Thầy Cô bộ môn Điều khiển

tự động giảng dạy tận tình, cho tôi nhiều kiến thức mới bổ ích Xin gửi đến các Thầy,

Cô và các bạn lời cảm ơn chân thành nhất

Trong thời gian học tập và làm luận án tại trường ĐH Bách Khoa Tp HCM, tôi đã được

sự tạo điều kiện nhiệt tình từ các đồng nghiệp trong công ty Robert Bosch Việt Nam, nhờ đó tôi đã có thời gian hoàn thành tốt nhiệm vụ

Cuối cùng, tôi xin cám ơn Cha Mẹ, các anh chị em trong gia đình đã động viên và tạo điều kiện giúp tôi vượt qua những khó khăn trong suốt quá trình học tập và nghiên cứu vừa qua

Tp Hồ Chí Minh, ngày 20 tháng 6 năm 2016

Dương Minh Trọng

TÓM TẮT LUẬN VĂN

Sự phát triển toàn cầu hóa của Internet đã mở ra một kỷ nguyên kết nối sâu rộng chưa từng có Các hệ điều khiển tự động nếu lúc trước chỉ nằm tách biệt trong nhà máy và không có kết nối với bên ngoài, thì nay đã kết nối với mạng doanh nghiệp và kết nối luôn với cả hệ thống Internet toàn cầu Việc kết nối này một mặt mang lại những lợi ích hết sức to lớn cho việc truyền dẫn thông tin và quản lý tập trung các nhà máy thuộc tập đoàn đa quốc gia, mặt khác cũng bộc lộ một yếu điểm rất nguy hiểm, đó là nền tảng hạ tầng mạng điều khiển tự động đã và đang hoạt động hầu như không có tính bảo mật Tin tặc một khi có khả năng thâm nhập được vào mạng điều khiển có toàn quyền sai khiến các thiết bị làm việc theo ý mình

Từ mục đích bảo vệ thiết bị chính là PLC trong hệ điều khiển ngay cả khi máy tính trong hệ điều khiển bị tin tặc chiếm quyền điều khiển, đã đặt ra sự cần thiết một loại tường lửa mới có khả năng phân tích gói tin chuyên sâu, qua đó cấm các lệnh ghi trái phép đến bộ nhớ PLC hoặc cấm nạp lại chương trình cho PLC

The development of Internet globalization has opened up a new era of connectivity than ever From begin, the automatic control system is only operated in the plant which is separated and has no connection with the outside But now, with benefit of global connectivity, ICS is required to connect to the enterprise network and connects to the global Internet The connection on the one hand bring enormous benefits for the transmission of information and centralized management of plants in multinational corporations, on the other hand also reveals a dangerous weakness, that is network infrastructure platform of control network has been developed with no security in mind Once hackers have the ability to penetrate control-networks have full control to dictate the devices in control system

The purpose of the protection PLC in control-network even when some computers in that network is under hacker’s hand, leads to the development of new firewall which is capable of deep packet analysis, which inhibits writing to PLC’s memory, or inhibits re-programming PLC’s program

Tôi xin cam kết các chường bài nội dung trình bày trong luận văn này là do tôi tham khảo các tài liệu và biên soạn lại, tất cả các kết quả đều do chính bản thân tôi tự làm ra, hoàn toàn không phải sao chép của từ bất kỳ một tài liệu hoặc công trình nghiên cứu nào khác

Nếu tôi không thực hiện đúng các cam kết nêu trên, tôi xin chịu hoàn toàn trách nhiệm trước kỷ luật của nhà trường cũng như pháp luật Nhà nước

Dương Minh Trọng

1

Định hướng trình bày luận văn:

Đối với cách trình bày truyền thống, quyển luận án sẽ dành một số chương đầu để giới thiệu về các kiến thức cơ bản phục vụ cho nghiên cứu Các chương sau đó mới mô tả phần chính của luận án, tức là nghiên cứu cái gì và nghiên cứu ra sao

Cách trình bày này trên sẽ hữu ích trong việc cung cấp cho người đọc kiến thức nền tảng trước khi đi vào đọc phần chính – phần nghiên cứu

Tuy vậy, với độc giả là các thầy cô giảng viên giàu kiến thức và có nhiều năm kinh nghiệm trong lĩnh vực tự động hóa, việc trình bày như trên vừa không cần thiết vừa gây loãng tính hệ thống của luận án, mất khá nhiều thời gian để đọc trước khi vào phần chính

Cho nên trong luận án này, học viên xin được phép trình bày thẳng vào nội dung nghiên cứu trước, là các chương từ 1 đến 5 Các phần kiến thức cơ bản sẽ được

chuyển xuống phần phụ lục, các thầy cô khi cần có thể tham khảo sau

Chương 1: nhằm khái quát mục đích then chốt của luận án

Chương 2: trình bày một trong các kết quả nghiên cứu, sự dễ tổn thuơng của hệ thống điều khiển trước tin tặc trong thời đại mọi thứ kết nối toàn cầu qua Internet Sự hạn chế của các giải pháp bảo mật hiện tại trước những rủi ro đến từ hành vi thiếu cẩn thận của con người

Chương 3: nêu bật được lợi thế của việc triển khai tường lửa có khả năng phân tích gói tin chuyên sâu trong việc tăng cường sự an toàn cho hệ thống điều khiển tự động công nghiệp

Chương 4: trình bày việc chọn lựa hướng giải pháp và quá trình nghiên cứu, xây dựng tường lửa

Chương 5: trình bày việc xây dựng một hệ thống tự động đơn giản nhằm mục đích trình diễn, qua đó làm nổi bật được sự an toàn của hệ thống sau khi bổ sung thêm tường lửa

DANH MỤC TỪ VIẾT TẮT 4

DANH MỤC HÌNH ẢNH: 5

CHƯƠNG 1: GIỚI THIỆU LUẬN VĂN 6

1.1 Tính cấp thiết của luận văn 6

1.2 Tình hình nghiên cứu 7

1.3 Mục tiêu của luận văn 9

1.4 Nhiệm vụ của luận văn 9

CHƯƠNG 2: AN NINH MẠNG TRONG HỆ ICS/SCADA 10

2.1 An ninh mạng trong hệ điều khiển công nghiệp 10

2.2 Nguồn của các cuộc tấn công mạng 10

2.3 Tại sao tin tặc có thể lấy được quyền truy cập vào hệ thông mạng điều khiển? 11

2.4 Tình hình thực tế của an ninh mạng hiện nay 21

2.5 Vulnerabilities, Exploits và “Zero Days” 22

CHƯƠNG 3: VAI TRÒ CỦA TƯỜNG LỬA IPS TRONG VIỆC ĐẢM BẢO AN NINH CHO HỆ ICS/SCADA 23

3.1 Phân tích các nguy cơ an ninh đối với hệ thống SCADA sử dụng Ethernet nói chung, Modbus TCP nói riêng 23

3.2 Vai trò của tường lửa – tính ưu việt khi sử dụng tường lửa IPS 26

3.3 Khái niệm về tường lửa DPI / IDS / IPS 30

CHƯƠNG 4: XÂY DỰNG TƯỜNG LỬA IPS 32

3.4 Định hướng thiết kế 32

3.5 Chọn lựa giải pháp 35

3.6 Xây dựng tường lửa 37

3.6.1 Biên dịch kernel linux cho Raspian Jessie 37

3.6.2 Cấu hình cho 2 cổng Ethernet trên RPi hoạt động ở chế độ bridge-mode 37

3.6.3 Biên dịch và cài đặt Suricata cho RPi 38

3.6.4 Cấu hình cho Suricata và iptables 39

3.6.5 Xây dựng trang Web quản lý luật tường lửa cho RPi 39

CHƯƠNG 5: TỔ CHỨC XÂY DỰNG HỆ THỐNG ĐÁNH GIÁ NĂNG LỰC TƯỜNG LỬA DPI/IPS 42

5.1 Xây dựng hệ thống tự động dùng trình diễn tường lửa 42

5.2 Dùng Wireshark bắt các gói tin khi hệ thống hoạt động 44

5.3 Giả định trường hợp bị tấn công ngay mạng điều khiển 46

5.4 Lắp đặt tường lửa IPS vào mạng điều khiển và thiết đặt luật 47

3

5.5 Kết luận và đánh giá 49

5.6 Hướng phát triển đề tài 50

PHỤ LỤC 51

PL.1 Giao thức MODBUS/TCP 51

PL.1.1 Giới thiệu 51

PL.1.2 Định dạng khung truyền dữ liệu 51

PL.1.3 Cách thức truyền nhận dữ liệu 53

PL.2 Giao thức Ethernet 54

PL.3 Giới thiệu PLC Premium 58

PL.4 Tổng quan về Suricata 59

PL.4.1 Giới thiệu về Suricata 59

PL.4.2 Các chức năng chính của Suricata 59

PL.4.3 Kiến trúc của Suricata 63

PL.4.4 Luật trong Suricata 66

Tham khảo: 76

PLC : Programmable Logic Controller

IPS : Instruction Prevention System

5

DANH MỤC HÌNH ẢNH:

Hình 1: Các mũi tên màu đỏ thể hiện các huớng mà tin tặc có thể tiếp cận mạng điều khiển 7

Hình 2: Giải pháp tường lửa đặt ngay trước PLC, cung cấp lớp bảo vệ trực tiếp cho PLC 8

Hình 3: Tỉ lệ các nguồn virus mà một laptop có thể bị nhiễm 11

Hình 4: Truy cập đến mạng điều khiển thông qua kết nối Dial-Up 12

Hình 5: Các tường lửa thường xuyên được cấu hình với cổng mở sẵn cho phép các nhà cung cấp kết nối thẳng vào mạng điều khiển 13

Hình 6: Sự không khớp trong việc cấu hình giữa bộ phận IT doanh nghiệp và bộ phận điều khiển tự động dẫn đến lỗ hổng cho tin tặc 14

Hình 7: Đường vào mạng điều khiển từ mạng doanh nghiệp thông qua VPN 15

Hình 8: kỹ thuật chiếm quyền điều khiển thông qua SQL computer, nếu không được cấu hình đủ 16

Hình 9: Nhiều kết nối điểm - điểm sẽ gây nguy hại cho toàn hệ thống nếu có một điểm đột ngột có tính bảo mật yếu nhất 17

Hình 10: Tin tặc tấn công PLC trong mạng điều khiển thông qua một máy tính cũng trong mạng đó 18 Hình 11: tin tặc trích xuất thông tin từ màn hình HMI, cũng là một thành phần trong mạng điều khiển 19

Hình 12: tấn công thay đổi cơ sở dữ liệu 20

Hình 13: tấn công man-in-the-middle 20

Hình 14: Mô hình mạng doanh nghiệp và mạng công nghiệp thường thấy 23

Hình 15: Mạng điều khiển công nghiệp với Ethernet và Field 25

Hình 16: Gói tin Modbus TCP chính là gói tin TCP 26

Hình 17: Trước mỗi PLC đều có tường lửa 27

Hình 18: Các luật trong Tường lửa truyền thống 28

Hình 19: Các luật trong Tường lửa lớp ứng dụng 28

Hình 20: Lệnh ghi nhiều thanh ghi một lúc Modbus TCP – Phân tích bằng Wireshark 29

Hình 21: Giao thức nạp PLC Premium chính là Modbus TCP (phân tích bằng Wireshark) 30

Hình 22: Giải pháp phần cứng tường lửa dựa trên thiết kế dạng embedded 32

Hình 23: Hình ảnh thực tế kết nối giữa board Arm Cortex M4 và hai board Ethernet, giao tiếp qua kết nối SPI Ta có hệ thống 2 NIC 33

Hình 24: Giải pháp phần cứng tường lửa dựa trên thiết kế dạng máy tính 33

Hình 25: Hình ảnh thực tế board mạch RPi kết nối với USB-NIC Ta có hệ thống 2 NIC 34

Hình 26: Tự bản thân kernel linux 3.x trở lên đã hỗ trợ tường lửa mức độ cơ bản với iptables 36

Hình 27: Cấu hình bridge mode cho RPi với 2 NIC 38

Hình 28: Lập trình giao diện web cho việc quản lý luật tường lửa tiện lợi hơn 40

Hình 29: Chỉ có quản trị viên mới có mật khẩu để thay đổi luật định cho tường lửa 40

Hình 30: Giao diện quản lý luật 41

Hình 31: Quản lý luật tường lửa cụ thể 41

Hình 32: Mô hình in Logo bao bì trong phòng thí nghiệm 43

Hình 33: Kết nối giữa các thiết bị trong hệ thống điều khiển 44

Hình 34: Các lệnh đọc Coils và Holding Registers trong giao thức Modbus TCP 45

Hình 35: Lệnh ghi vào Registers của Modbus/TCP khi ta ra lệnh thiết đặt tốc độ động cơ 45

Hình 36: Các gói tin bắt được khi nạp chương trình PLC bằng Unity Pro 46

Hình 37: Dùng một Modbus TCP client ghi đến PLC 47

Hình 38: Mạng điều khiển có thêm tường lửa bảo vệ PLC 47

Hình 39: Luật cấm với FCode: 05h, 10h, 5Ah 48

Hình 40: Chi tiết một gói tin Modbus TCP với Function Code ghi nhiều thanh ghi một lúc 49

CHƯƠNG 1: GIỚI THIỆU LUẬN VĂN

1.1 Tính cấp thiết của luận văn

ICS là hệ thống điều khiển bao gồm thiết bị trung tâm, các thiết bị cảm biến và cơ cấu chấp hành

SCADA là hệ thống điều khiển giám sát và thu thập dữ liệu, nhằm hỗ trợ con người trong quá trình giám sát và điều khiển

Ban đầu hệ thống điều khiển công nghiệp nói chung, ICS/SCADA nói riêng được giới hạn trong phạm vi nhà xưởng, thông tin trao đổi trong hệ giữa đầu vào (cảm biến), hệ điều khiển và đầu ra (pitton, solenoid, motor…) được tách rời hoàn toàn với mạng Internet, cho nên việc bảo mật thông tin trên đường truyền Ethernet TCP/IP bị xem nhẹ

Ngày nay, việc toàn cầu hóa của Internet, sự ra đời của việc hợp tác và chuẩn hóa các giao thức truyền thông cùng việc tối ưu nhân lực, thời gian, chi phí, quản trị… đã dẫn đến một kết quả là, mạng điều khiển công nghiệp (Control Nework) đã được kết nối chung với hệ thống mạng doanh nghiệp (Enterprise Network), và cả mạng Internet của thế giới

Và do đó, thông qua Internet, tin tặc một khi có khả năng truy cập đến ICS/SCADA

có toàn quyền điều khiển hệ thống, có khả năng dẫn đến hậu quả nghiêm trọng đối với tài sản và nhân mạng Vấn đề cấp thiết đặt ra là phải bảo vệ tối đa ICS/SCADA trước các cuộc tấn công

Bắt đầu từ 2009, các sâu máy tính, các chương trình quấy phá đã dần chĩa mũi về hệ thống công nghiệp, tính đến năm 2016, đã có khá nhiều các cuộc tấn công diễn ra, một

số ví dụ được biết đến rộng rãi như sau:

 Tháng 6/2010: một con sâu máy tính có tên gọi Stuxnet [1] đã làm bàng hoàng

cả thế giới công nghệ thông tin lẫn thế giới tự động hóa, khi mà lần đầu tiên một cuộc chiến tranh trên mạng internet đã có thể gây ảnh hưởng trực tiếp đến thế giới thực, mà cụ thể ở đây là hư hại máy ly tâm dùng cho việc làm giàu Uranium của Iran tại Natanz Stuxnet ẩn mình trong máy tính chạy Windows, sau đó tương tác với WINCC và PCS 7, tái lập trình PLC Siemens

 Tháng 12/2014: tại một nhà máy thép ở Đức, tin tặc đã thể hiện một sự am hiểu tường tận đối với cả hệ thống thông tin và hệ thống công nghiệp Tin tặc sử dụng loại hình tấn công xã hội, và gửi email đến cá nhân cụ thể Sâu máy tính đính kèm trong mail đã mở cổng hậu cho phép tin tặc điều khiển mọi thứ Cuối cùng thì lò cao phải tắt khẩn cấp, thiệt hại là rất lớn

7

 Tháng 3/2016: một nhóm tin tặc trong một chiến dịch tấn công mạng đã vô tình truy cập được hệ thống ICS/SCADA của nhà máy xử lý nước Kemuri (KWC) tại Mỹ Thậm chí nhóm này đã vô tình thay đổi lượng hóa chất dùng để xử lý nước vốn gây nguy hiểm cho sức khỏe người dùng

1.2 Tình hình nghiên cứu

Rất nhiều các nghiên cứu nhằm mục đích bảo vệ an toàn cho ICS/SCADA trước tin tặc đã được đưa ra, các thiết bị tường lửa trong thế giới IT làm việc rất hiệu quả, phân tách DMZ (vùng giới hạn cách ly) rất hiệu quả

Tuy nhiên, không phải bất cứ hệ thống điều khiển nào cũng được tư vấn và triển khai một cách toàn diện hệ thống tường lửa cách ly mạng doanh nghiệp và mạng Internet toàn cầu

Hình 1: Các mũi tên màu đỏ thể hiện các huớng mà tin tặc có thể tiếp cận mạng điều

khiển

Và dù cho có cách ly khỏi mạng doanh nghiệp hay Internet bằng tường lửa hiệu quả, thì các lỗi zero-day (hiếm nhưng luôn tiềm ẩn) và các lỗi trong quá trình vận hành của con người (rất, rất nhiều, không phải nhân viên vận hành thiết bị nhà máy nào cũng có đầy đủ kiến thức bảo mật), kĩ thuật tấn công social-hacking bằng cách sử dụng email lừa đảo dẫn đến link tải backdoor là cực kì phổ biến Một khi backdoor đã được cài đặt lên máy tính trong mạng điều khiển nội bộ, thì không có gì ngăn cản PLC bị lập trình với nội dung khác

Hình 2: Giải pháp tường lửa đặt ngay trước PLC, cung cấp lớp bảo vệ trực tiếp cho PLC

Vậy thì vấn đề đặt ra là mỗi PLC phải có một tường lửa phía trước để bảo vệ Nhưng tường lửa truyền thì chỉ có khả năng phân loại dựa trên địa chỉ MAC, địa chỉ IP, loại kết nối TCP/UDP và cổng kết nối

Một ví dụ: tường lửa chỉ cho phép kết nối hai chiều từ máy tính A đến PLC#1 và ngược lại, ngoài ra cấm tất cả các kết nối từ máy tính B, C, D… đến PLC#1 Điều gì xảy ra nếu máy tính A bị tin tặc điều khiển và ra lệnh lập trình lại PLC#1? Tường lửa truyền thống hoàn toàn vô dụng trong trường hợp này

Như vậy thì, cần có một loại tường lửa chuyên dụng, có khả năng phân tích các gói tin đến từng byte, bình thuờng chỉ cho phép các lệnh đọc được gửi đến PLC, các lệnh ghi

và nạp lại PLC hoàn toàn bị cấm Chỉ khi nào nhập đúng mật khẩu, tường lửa mới cho phép nạp lại PLC Ngay cả tin tặc nếu điều khiển được máy tính và gửi lệnh nạp nến PLC mà không biết mật khẩu tường lửa thì cũng sẽ bị chặn hoàn toàn

Trên thị trường hiện nay chỉ có giới hạn vài tường lửa loại này như Modbus DPI Firewall from Tofino, SCADA Firewall từ Bayshore Network, và Eagle mGuard từ Innominate, tất cả đều là các sản phẩm thương mại giá thành rất cao và không thể tùy biến cho các loại giao thức ngoài thiết kế được

Do đó, mục tiêu đặt ra là phải làm giải pháp tường lửa vừa có khả năng uyển chuyển đáp ứng được nhiều loại giao thức

9

1.3 Mục tiêu của luận văn

Phát triển thiết bị tường lửa cho PLC Thiết bị này có khả năng phân tích gói tin lớp ứng dụng gửi qua mạng Ethernet, qua đó chặn bất cứ thao tác nạp lại PLC hoặc ghi trái phép vào bộ nhớ PLC

Tường lửa hoạt động theo nguyên tắc mở, người sử dụng có thể đặt các luật theo bất

cứ giao thức nào (Modbus/TCP, DNP3, PROFINET…), trong phạm vi luận văn thì chỉ Modbus/TCP được sử dụng làm giao thức chính cho hệ thống điều khiển

1.4 Nhiệm vụ của luận văn

- Phân tích các nguy cơ an ninh mạng trong mạng công nghiệp

- Phân tích lợi ích của tường lửa IPS trong mạng điều khiển

- Xây dựng tường lửa

- Xây dựng mô hình điều khiển để trình diễn tính hữu ích của tường lửa

- Đưa ra hướng phát triển cho tường lửa

Trọng tâm của luận văn là xây dựng tường lửa, và giúp cho một hệ thống có sẵn dễ bị tổn thương trước tin tặc sẽ an toàn hơn rất nhiều sau khi gắn thêm tường lửa này

2.1 An ninh mạng trong hệ điều khiển công nghiệp

An ninh mạng là một nhánh của việc thiết kế bảo mật để chống lại các cuộc tấn công trên hệ thống mạng máy tính Mục tiêu đặt ra là vừa phải ngăn ngừa và bảo vệ thông tin từ các đối tượng phá hoại trong khi vẫn cho phép thông tin và tài nguyên phải được trao đổi thông suốt giữa người, máy với người và máy Nó bao gồm các quy trình, chính sách, thiết bị, cả phần mềm và phần cứng An ninh mạng là một quá trình luôn liên tục

Các cuộc tấn công mạng là loại hoạt động mà mục tiêu máy tính và hệ thống mạng được thiết kế để làm gián đoạn hoạt động bình thường của hệ thống Những hành động này có thể được xảy ra từ bên trong từ bên ngoài Những cuộc phá hoại này thường là cố ý, tuy nhiên nếu ta hoàn toàn không để ý đến an ninh mạng, quá lỏng lẻo, thì một nhân tố ngẫu nhiên cũng có thể ảnh hưởng đến hoạt động của toàn hệ thống

Tất cả các nguyên nhân tiềm tàng của các cuộc tấn công không gian mạng đều cần phải được xem xét, sử dụng một phương pháp tiếp cận theo chiều sâu

2.2 Nguồn của các cuộc tấn công mạng

Các cuộc tấn công mạng vào hệ thống mạng điều khiển có thể đến từ một số nguồn như sau:

+ Nội bộ (nhân viên, nhà cung cấp và nhà thầu)

- Những sự kiện tai nạn: cháy, nổ, đứt cab…

- Nhân viên không thích hợp, không đủ khả năng, thao tác sai

- Nhân viên bất mãn, cố tình phá hoại + Bên ngoài (cá thể)

Hình 3: Tỉ lệ các nguồn virus mà một laptop có thể bị nhiễm

2.3 Tại sao tin tặc có thể lấy được quyền truy cập vào hệ thông mạng điều

khiển?

Để có thể tấn công vào được hệ thống mạng điều khiển, tin tặc cần phải vượt qua được phạm vi phòng vệ để giành quyền điều khiển mạng nội bộ của hệ thống điều khiển Những phương pháp thường gặp là:

- Dùng kết nối quay số trực tiếp đến thiết bị RTU

- Truy cập cung cấp dịch vụ thông qua hỗ trợ kỹ thuật

- Những thiết bị mạng được cài sẵn cổng hậu trong firmware

- Mạng LAN ảo VPN

- Kết nối ngang hang yếu

2.3.1 Dial-up truy cập đến các thiết bị RTU

Hầu hết các hệ thống điều khiển có một bản sao lưu modem dial-up trong trường hợp kết nối chính (băng thông rộng) không còn nữa Tin tặc muốn tấn công phải biết giao thức của RTU để truy cập, tuy vậy hầu hết các RTU không có các cơ chế bảo mật

mạnh mẽ và nhất là không có cơ chế xác thực cho từng user Nguy hiểm hơn, nếu biết được tên của thiết bị RTU trong mạng điều khiển, tin tặc dễ dàng có giao thức truy

cập thông qua việc đọc datasheet

Hình 4: Truy cập đến mạng điều khiển thông qua kết nối Dial-Up

2.3.2 Việc truy cập của nhà cung cấp thiết bị

Những nhà cung câp thiết bị tự động hóa như Schneider, Rockwell, Siemens… luôn phải hỗ trợ cho nhà máy cách sử dụng thiết bị thông qua điều khiển từ xa, thường qua giao thức RDP (Remote Desktop của Windows) trên port 3389, Để giảm thiểu tối đa thời gian và chi phí, các nhà cung cấp thường được truy cập VPN cho chẩn đoán từ xa hoặc bảo trì Các nhà cung cấp thường xuyên để nguyên cổng mở trên các thiết bị

nhằm đơn giản hóa nhiệm vụ của họ Chính tin tặc sẽ thông qua những cổng này để tấn công vào hệ thống mạng điều khiển của nhà máy

13

Hình 5: Các tường lửa thường xuyên được cấu hình với cổng mở sẵn cho phép các

nhà cung cấp kết nối thẳng vào mạng điều khiển

2.3.3 IT kiểm soát thiết bị truyền thông

Trong mạng quyền của bộ phận tự động hóa thường chỉ được giới hạn trong phạm vi kiểm soát mạng điều khiển Bộ phận IT ở khoảng cách xa lại lo nhiệm vụ bảo mật cho mạng doanh nghiệp và kết nối mạng điều khiển Và thuờng thì sự kết nối này có thể không khớp ở một vài chỗ dẫn đến lỗ hổng Một kẻ tấn công có tay nghề cao có thể truy cập vào mạng lưới kiểm soát thông qua các lỗ hổng trong kiến trúc truyền thông

và cấu hình lại thiết bị

Hình 6: Sự không khớp trong việc cấu hình giữa bộ phận IT doanh nghiệp và bộ phận

điều khiển tự động dẫn đến lỗ hổng cho tin tặc

2.3.4 VPN của công ty

Các kỹ sư làm việc tại văn phòng công ty và thường sẽ sử dụng VPN từ mạng băng

thông rộng để đạt được quyền truy cập vào các mạng điều khiển tự động Những kẻ tấn công chờ đợi cho người sử dụng hợp pháp để VPN vào mạng lưới hệ thống điều khiển và theo lén vào kết nối

15

Hình 7: Đường vào mạng điều khiển từ mạng doanh nghiệp thông qua VPN

2.3.5 Liên kết cơ sở dữ liệu

Hầu hết các hệ thống điều khiển sử dụng cơ sở dữ liệu thời gian thực, cơ sở dữ liệu

cấu hình, và nhiều cơ sở dữ liệu sử học Nếu các tường lửa, và quản lý an ninh trên cơ

sở dữ liệu không được cấu hình đúng cách, một kẻ tấn công có tay nghề cao có thể

được truy cập vào cơ sở dữ liệu từ mạng doanh nghiệp và tạo ra các lệnh SQL để kiểm soát các máy chủ cơ sở dữ liệu trên mạng hệ thống điều khiển

Hình 8: kỹ thuật chiếm quyền điều khiển thông qua SQL computer, nếu không được

cấu hình đủ

2.3.6 Liên kết điểm – điểm

Đối tác và đồng nghiệp được cấp quyền truy cập vào các thông tin nằm trên một trong hai doanh nghiệp hoặc mạng kiểm soát Với sự liên kết peer-to-peer, tính bảo mật của

hệ thống nằm ở doanh nghiệp yếu bảo mật hơn Thuờng xảy ra đối với hai nhà máy cùng trực thuộc một tập đoàn đa quốc gia Hai nhà máy được cùng kết nối vào chung một VPN để dễ quản lý

17

Hình 9: Nhiều kết nối điểm - điểm sẽ gây nguy hại cho toàn hệ thống nếu có một điểm

đột ngột có tính bảo mật yếu nhất

2.4 Tin tặc tấn công như thế nào?

Tùy thuộc vào những động cơ và kỹ năng, những kẻ tấn công có thể hoặc có thể

không cần phải biết thông tin chi tiết của hệ thống điều khiển Ví dụ, nếu chỉ muốn

ngừng hệ thống, chỉ cần ít kiến thức về hệ thống Tuy nhiên, nếu tin tặc mong muốn

hệ thống điều khiển vận hành theo ý mình muốn như cho ra sản phẩm lỗi, gây thiệt hại nhân mạng, đòi hỏi phải có lượng kiến thức chuyên sâu hơn nhiều

Hai tiến trình dễ bị tấn công nhất là:

- Cơ sở dữ liệu thu thập được

- Màn hình hiển thị HMI / SCADA

Tên của cơ sở dữ liệu khác nhau từ nhà cung cấp nhưng hầu hết sử dụng một quy ước đặt tên phổ biến với một số duy nhất (tức là Pump1, pump2, breaker1, breaker2 ) Trên tầng giao thức truyền thông, các thiết bị được gọi đơn giản bằng số (vị trí bộ nhớ hoặc đăng ký địa chỉ) Đối với một cuộc tấn công chính xác, kẻ tấn công cần phải dịch những con số vào thông tin có ý nghĩa

Tiếp cận với các màn hình HMI là phương pháp dễ nhất để tìm hiểu quá trình và sự tương tác giữa các nhà điều hành và thiết bị Các thông tin trên màn hình cho phép kẻ tấn công để dịch các tham số ra thông tin có nghĩa

2.4.1 Kiểm soát quá trình

Khi kẻ tấn công có đủ thông tin về quy trình hệ thống, bước tiếp theo là để thao tác

nó Cách dễ nhất để giành quyền kiểm soát của quá trình này là để kết nối với một thiết bị thu thập dữ liệu, chẳng hạn như một PLC Hầu hết các PLC, hoặc các cổng dữ liệu máy chủ thiếu xác thực cơ bản và sẽ chấp nhận bất kỳ lệnh đã được định dạng chính xác

Hình 10: Tin tặc tấn công PLC trong mạng điều khiển thông qua một máy tính cũng

trong mạng đó

2.4.2 Trích xuất màn hình HMI

Một phương pháp tấn công là để trích xuất màn hình HMI nhằm giành quyền kiểm soát các hoạt động Một kẻ tấn công tinh vi cũng có thể thay đổi màn hình của nhà điều hành để hiển thị các hoạt động bình thường nhằm che giấu các cuộc tấn công Những kẻ tấn công thường chỉ có các lệnh cho phép các nhà điều hành hiện đang đăng nhập vào

19

Hình 11: tin tặc trích xuất thông tin từ màn hình HMI, cũng là một thành phần trong

mạng điều khiển

2.4.3 Thay đổi cơ sở dữ liệu

Những kẻ tấn công truy cập vào cơ sở dữ liệu và sửa đổi dữ liệu để làm gián đoạn

hoạt động bình thường của hệ thống kiểm soát hay thay đổi các giá trị được lưu trữ để ảnh hưởng đến tính toàn vẹn của hệ thống Hoạt động này tương đối dễ nhất, bởi đa phần lúc nào kết nối từ mạng doanh nghiệp đến máy tính chứa cơ sở dữ liệu đều có

sẵn

Hình 12: tấn công thay đổi cơ sở dữ liệu

2.4.4 Tấn công trung gian

Kẻ trung gian là một kiểu tấn công mà kẻ tấn công chặn tin nhắn từ một máy tính

(Host A), thao túng các dữ liệu trước khi chuyển tiếp vào máy tính (Host B) và ngược lại nhằm mục đích nào đó Cả hai máy tính nói chuyện với nhau mà khoogn hề biết

đến một kẻ xâm nhập ở giữa

Hình 13: tấn công man-in-the-middle

Những kẻ tấn công muốn thành công trong việc điều khiển các gói tin phải biết các

giao thức truyền nhận Các cuộc tấn công kẻ trung gian cho phép kẻ tấn công để lừa các nhà điều hành màn hình HMI và kiểm soát các hệ thống điều khiển

2.4.5 Sự kiện tai nạn/đột biến

21

Trong khi nhiều mối đe dọa hiện hữu từ nhân viên bất mãn, tin tặc, khủng bố, hoặc các nhà hoạt động, phần lớn các hệ thống ngừng hoạt liên quan đến mạng gây ra bởi các sự kiện ngẫu nhiên Trong trường hợp này, chúng ta đang đề cập đến nhân viên không theo đúng thủ tục, vô tình kết nối cáp mạng sai, thiết kế mạng không chính xác, các lỗi lập trình, hoặc các thiết bị mạng hành xử sai Các chuyên gia tính rằng > 75% trường hợp hệ thống ngừng hoạt liên quan đến mạng với các sự kiện ngẫu nhiên Trong nhiều trường hợp, các nhà thầu là người tham gia quá trình thiết kế hệ thống, vận hành, hoặc bảo trì Cần phải luôn luôn làm đúng quy trình kiểm tra nhằm đảm bảo rằng các nhà thầu không mang lại phần mềm độc hại, virus, hoặc các vấn đề khác vào mạng điều khiển Thiết bị lưu trữ USB là nguồn lây lan phổ biến nhất của phần mềm độc hại và vi rút, vi thế phải được kiểm tra cẩn thận trước khi cho phép sử dụng

Kiến trúc mạng được thiết kế và cấu hình vào lúc thiết kế để thực hiện các hành vi mạnh mẽ; bao gồm cả phân khúc, chọn lọc, và các quy tắc hình học kết nối Cá nhân

vô tình kết nối một cáp mạng vào cổng sai trên một switch đa cổng có thể tạo ra cúp hoặc bão phát sóng mang một mạng lưới để đầu gối của nó Nhiều người trong số các biện pháp bảo vệ bão phát sóng thảo luận trong tài liệu này áp dụng cho các sự kiện tình cờ này cũng như tấn công từ chối dịch vụ

Nói chung, nguyên nhân có thể là ngẫu nhiên, nhưng các tính năng, thông lệ và thủ tục được sử dụng để bảo vệ từ việc tấn công mạng tốt như nhau để ngăn chặn hệ thống ngừng hoạt tình cờ Trong trường hợp này, phương pháp phục hồi thảm họa nên được

sử dụng và kiểm tra để chắc chắn rằng sự phục hồi từ một cúp hoặc thiết bị thất bại có thể được nhanh chóng và đáng tin cậy quản lý, giảm thiểu thời gian chết và mất sản xuất Tính sẵn sàng cao và kiến trúc dự phòng đóng một vai trò trong lĩnh vực này khi

mà ngay cả hệ thống ngừng hoạt thời gian ngắn không thể được dung thứ

2.4 Tình hình thực tế của an ninh mạng hiện nay

An ninh mạng truyền thống trong hệ điều khiển:

- Mạng điều khiển luôn có những cổng mở sẵn nhằm mục đích tiết kiệm thời gian

- Vậy nên trong hệ điều khiển kiểu cũ, toàn bộ giải pháp an ninh mạng dựa hoàn toàn vào các giải pháp an ninh mạng từ bên ngoài như tường lửa của mạng doanh nghiệp, hoặc cách ly luôn hệ điều khiển khỏi bất cứ mạng nào khác Một cách khác là sử dụng toàn bộ hệ thống không chuẩn hóa: hệ điều hành riêng, giao thức riêng, ứng dụng riêng và hoàn toàn không công bố, trong trường hợp này tin tặc

thống không chuẩn hóa này đối với mỗi công ty mà nói, là cực kì tốn kém

Sự thay đổi của mạng điều khiển trong thời đại hiện nay:

- Hầu hết hệ thống điều khiển đã chuyển sang sử dụng hệ điều hành chuẩn (chủ yếu là Microsoft Windows, Linux có nhưng rất ít) và giao thức chuẩn Một mặt tiết kiệm chi phí, tăng tính hợp tác giữa các công ty, mặt khác cũng phơi mình ra trước tin tặc, vì đã là giao thức chuẩn thì ai cũng biết

- Mạng điều khiển và mạng doanh nghiệp được kết nối với nhau, nhằm phục vụ sự theo dõi hoạt động thời gian thực của nhà máy đến văn phòng kinh doanh

- Hậu quả là toàn bộ sự cách ly của hệ điều khiển ra khỏi thế giới không còn nữa Kết nối mạng chung, Laptop chung, USB lưu trữ chung, đặc biệt Windows luôn

là mảnh đất màu mỡ cho virus

- Đặc thù vận hành liên tục của hệ điều khiển tự động khiến việc nâng cấp, vá lỗi thiết bị, hệ điều hành khó mà thuờng xuyên được Toàn bộ lỗ hổng chưa kịp vá

sẽ là mồi ngon cho tin tặc

2.5 Vulnerabilities, Exploits và “Zero Days”

Các thuật ngữ trên người viết xin để nguyên lại bằng tiếng anh vì chúng rất thông dụng trong các mô tả an ninh mạng

Vulnerability: một lỗ hổng trong phần mềm, đã được báo cáo, bất kì ai cũng có thể

khai thác để chạy những đoạn chương trình tùy ý (khác mục tiêu thiết kế ban đầu) Công ty cung cấp phần mềm luôn có trách nhiệm đưa ra các bản vá để đóng lỗ hổng Một hệ thống không được cập nhật luôn có rất nhiều nguy hiểm tiềm tang

Exploit: là đoạn code dùng để khai thác Vulnerability

- Client-Side Exploit: chỉ có thể được gọi từ máy tính mục tiêu

- Remote Exploit: có thể được gọi từ xa, thường là thông qua exploit của dịch

vụ hệ thống trên một port nào đó của máy tính mục tiêu

Zero-day: khi một lỗ hổng được tìm ra và chưa được ai báo cáo, thì một đoạn code

dùng exploit lỗi này gọi là Zero-day Đối tượng bị tấn công ngay lập tức bị đánh bại,

vì chưa có ai có sự đề phòng hay tung ra bản vá cho lỗ hổng này Zero-day exploits là nguy hiểm nhất, 100% không thể phòng chống, trừ hệ thống cách ly

23

CHƯƠNG 3: VAI TRÒ CỦA TƯỜNG LỬA IPS TRONG VIỆC ĐẢM BẢO AN

NINH CHO HỆ ICS/SCADA

3.1 Phân tích các nguy cơ an ninh đối với hệ thống SCADA sử dụng Ethernet nói chung, Modbus TCP nói riêng

Hình 14: Mô hình mạng doanh nghiệp và mạng công nghiệp thường thấy

Trên đây là một mô hình thông dụng về mạng doanh nghiệp và mạng điều khiển Chúng ta biết rằng, càng kết nối đến Internet, chúng ta càng phơi mình ra trước các nguy hiểm đến từ thế giới bên ngoài, vậy tại sao chúng ta lại vẫn kết nối?

- Nền tảng kết nối Ethernet/Internet cho phép các hệ thống SCADA phân tán, các nhà xưởng nằm cách xa nhau về mặt vật lý được kết nối về một cơ sở dữ liệu và điều khiển chung nhất

- Việc vận hành, bảo trì, hỗ trợ, hướng dẫn nâng cấp hệ thống SCADA có thể thực hiện từ xa, thông qua Internet và qua giao thức VPN

- Chuẩn hóa giao thức kết nối các sản phẩm tự động hóa từ các nhà sản xuất, tăng tính tương thích và tính tái sử dụng

- Việc sử dụng chuẩn Ethernet TCP/IP cùng nền tảng Microsoft Windows cho phép lập trình ứng dụng điều khiển mới rất nhanh Nâng cao hiệu suất công việc, giảm số giờ công cho một yêu cầu nâng cấp

Còn nguy cơ là gì?

- Trước kia, vì hệ điều khiển chỉ nằm trong nhà xưởng, tách biệt với bên ngoài Cho nên một cá nhân từ phía bên ngoài không có cách nào để truy xuất dữ liệu bên trong hệ điều khiển Nhưng nay chỉ một đường thông tin duy nhất, toàn bộ đều kết nối vào Internet toàn cầu, chỉ cần vượt qua được lớp tường lửa bên ngoài của doanh nghiệp, tin tặc có thể dễ dàng truy xuất và gửi lệnh trực tiếp đến hệ điều khiển

khai thác lỗ hổng nhằm đánh cắp thông tin Nay nếu tin tặc có khả năng chiếm quyền truy cập hệ điều hành, việc tái nạp chương trình cho PLC điều khiển là rất

dễ dàng, sâu Stuxnet là một ví dụ Điều này cực kì nguy hiểm đến tài sản và nhân mạng trong trường hợp hệ thống vận hành sai

- Các hệ SCADA vốn không được chuẩn bị kĩ về mặt bảo mật Hãy tưởng tượng một PLC và một động cơ kết nối qua Modbus TCP/IP, nay có một máy tính bị tin tặc điều khiển, bắt lấy gói tin từ PLC và gửi một gói điều khiển sai đến động

cơ là hoàn toàn có thể Thực tế đã xảy ra

- Lấy trường hợp Stuxnet làm ví dụ, là một cuộc tấn công trực tiếp đến mạng điều khiển thông qua không gian mạng Bất kì một công ty nào với một hệ điều khiển được kết nối chung với mạng doanh nghiệp đều có khả năng bị tấn công, và hậu quả nghiêm trọng đến tài sản hữu hình, hình ảnh doanh nghiệp cũng như nhân mạng con người

- Có một sự thật là, không phải bất cứ kỹ sư/nhân viên vận hành hệ thống điều khiển nào cũng có đủ tư duy và kĩ năng để phân tích và đề phòng các hiểm họa

an ninh mạng Các lỗ hổng mạng thường đến từ lỗi vận hành của con người là rất bình thường Và qua đó, tin tặc từ mạng Internet có thể truy cập và điều khiển máy tinh ngay trong mạng điều khiển

Trong phạm vi thiết kế tường lửa IPS, chúng ta không tập trung vào việc tăng tính bảo mật cho toàn hệ thống mạng điều khiển và mạng doanh nghiệp, ví dụ như phân tách lớp mạng hay thiết lập vùng cách ly DMZ

Chúng ta sẽ chỉ đi sâu phân tích những nguy cơ an ninh đối với mạng điều khiển công nghiệp dựa trên Ethernet Xét mô hình như sau:

25

Hình 15: Mạng điều khiển công nghiệp với Ethernet và Field

Trong hệ thống như hình trên Khi không có bất cứ sự cố an ninh nào, và tường lửa làm việc đủ hiệu quả, hệ thống sẽ làm việc đúng như thiết kế, nghĩa là:

- PLC sẽ đọc thông tin từ cảm biến và điều khiển thiết bị chấp hành

- Kỹ sư giám sát, điều khiển và thiết lập thông số cho PLC qua HMI, SCADA

Những nguy cơ sau có thể xảy ra:

- Computer/Laptop bị nhiễm virus: có thể do lây lan qua USB (điển hình như

Stuxnet) hoặc lây lan qua Remote Desktop từ Intranet/Internet (khi chuyên gia

xử lý sự cố được phép remote từ bên ngoài vào thông qua VPN, remote desktop)

…

- Tin tặc tiếp cận vật lý và kết nối được vào mạng điều khiển

- Kỹ sư giám sát cố tình phá hoại

Hậu quả tương ứng là:

- Những giá trị set-point như mức áp suất, mức lưu lượng, tốc độ động cơ trong PLC sẽ bị đặt lại, từ đó PLC hoạt động sai

- PLC bị lập trình lại bất hợp pháp

Computer/Laptop trong mạng điều khiển và khiến hệ thống quay ly tâm làm giàu uranium của Iran hư hỏng

- Và bởi vì giao thức Modbus TCP quá đơn giản, nếu tin tặc tiếp cận được mạng điều khiển, dùng bất cứ trình TCP client nào cũng có thể truyền thông tin sai lệch đến Modbus Server là PLC

- Mạng Ethernet nói chung và Modbus TCP nói riêng (cả PROFINET) khi được thiết kế chỉ nhằm mục đích đáp ứng quá trình truyền thông trong mạng điều khiển mà hoàn toàn không xét đến tính bảo mật, hoặc do người thiết kế bỏ qua bảo mật, hoặc tốc độ đáp ứng ngặt nghèo chỉ vài chục us, vài ms, khiến vấn đề bảo mật với những thiết bị tốc độ chậm không thể đáp ứng vào thời điểm thiết

kế

Hình 16: Gói tin Modbus TCP chính là gói tin TCP

3.2 Vai trò của tường lửa – tính ưu việt khi sử dụng tường lửa IPS

Giải pháp được đưa ra là gắn trước mỗi PLC một tường lửa nhằm mục đích chặn truy cập trái phép vào PLC

27

Hình 17: Trước mỗi PLC đều có tường lửa

Đến đây vấn đề dường như được giải quyết Nhưng hãy xem tác dụng của những

tường lửa truyền thống hoạt động như nào và nó có khả năng bảo vệ đến đâu đối với

hệ điều khiển?

Xét về lý thuyết, tính đến năm 2016, tường lửa đã trải qua ba thế hệ phát triển

- Thế hệ 1: phân tích gói tin Tường lửa sẽ lọc các thông tin từ địa chỉ IP, cổng kết nối, địa chỉ MAC, và giao thức kết nối cho đến lớp 3 – Network Layer trong mô hình OSI bảy lớp

- Thế hệ 2: phân tích trạng thái Kiểm tra trạng thái kết nối: đây là gói tin khởi đầu

một kết nối mới? Gói tin thuộc một kết nối cũ? Gói tin chẳng thuộc kết nối nào?

Tường lửa dạng này phân tích đến lớp 4 – Transport Layer

- Thế hệ 3: phân tích lớp ứng dụng Tường lửa dạng này phân tích gói tin đến lớp cao nhất của mô hình OSI, Lớp 7 - Application Layer

Tất cả tường lửa trên thị trường được chia làm hai nhóm:

- Tường lửa truyền thống: bao gồm tính năng đến thế hệ 1 và 2 như trên

Hình 18: Các luật trong Tường lửa truyền thống

- Tường lửa lớp ứng dụng: phân tích gói tin UDP/TCP để nhận biết được chính xác

ứng dụng đang dùng là gì, thậm chí phân tích luôn nội dung ứng dụng và chỉ cho qua nếu nội dung hay ứng dụng phù hợp với luật đã thiết đặt

Hình 19: Các luật trong Tường lửa lớp ứng dụng

Hãy xem một gói tin Modbus TCP được phân tích bằng Wireshark như sau:

29

Hình 20: Lệnh ghi nhiều thanh ghi một lúc Modbus TCP – Phân tích bằng Wireshark

Tường lửa truyền thống chỉ có thể lọc thông tin đến lớp Transport Layer, có nghĩa là chỉ có thể phân biệt được địa chỉ IP, Port và địa chỉ MAC Còn thông tin trong gói

TCP mà cụ thể là lệnh đọc hay ghi đến PLC theo giao thức Modbus TCP không thể

xác định được

Có hai trường hợp xảy ra:

- Tin tặc tiếp cận được mạng điều khiển, gắn laptop vào switch của mạng điều khiển, giả địa chỉ IP và MAC của máy tính SCADA trong mạng có thể tùy ý gửi gói tin

Modbus TCP đọc/ghi đến PLC

- Máy tính SCADA bị nhiễm virus, và bị tin tặc điều khiển từ xa, có thể tái lập trình lại PLC (Ví dụ phần mềm Unity Pro của Schneider lập trình lại PLC Premium chính thông qua giao thức Modbus TCP)

Hình 21: Giao thức nạp PLC Premium chính là Modbus TCP (phân tích bằng

Wireshark)

Như vậy ta cần có tường lửa lớp úng dụng với khả năng phân tích nội dung của gói tin TCP để chỉ ra trong đó nội dung thực sự của gói tin Modbus TCP là gì Đọc, ghi hay nạp chương trình Qua đó bảo vệ được PLC và hệ thống điều khiển

3.3 Khái niệm về tường lửa DPI / IDS / IPS

- DPI: deep packet inspection, tường lửa DPI có khả năng phân tích các gói tin đến

từng byte, nhận diện đây là gói tin của ứng dụng nào: Skype, Facebook, Viber,

Youtube…

- IDS: instruction detection system, là hệ thống có nhiệm vụ theo dõi, phát hiện và

cảnh báo sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên của hệ

thống được bảo vệ mà có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn

và tính sẵn sàng của hệ thống Hệ thống IDS sẽ thu thập thông tin nguồn trong hệ

thống được bảo vệ sau đó tiến hành phân tích những thông tin đó theo các cách khác nhau để phát hiện những xâm nhập trái phép Một IDS chắc chắn phải có tính năng

DPI

- IPS: instruction prevention system, khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ xâm nhập mà nó phát hiện được thì nó được gọi là một hệ thống phòng chống xâm nhập hay IPS

- Sự khác nhau giữa IDS và IPS: có thể nhận thấy sự khác biệt giữa hai khái niệm

ngay ở tên gọi: “phát hiện” và “ngăn chặn” Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính

31

nó đang bảo vệ trong khi đó, một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại các nguy cơ theo các quy định được người quản trị thiết lập sẵn

- Phần mềm có chức năng đọc và phân tích tập luật tường lửa, đối với một gói tin thỏa mãn luật đặt trước thì cho phép, từ chối hoặc hiện thông báo…

- Phần mềm có tính năng ghi chép lại các sự kiện trong hệ thống: có bao nhiêu gói tin đã bị từ chối? Bao nhiêu gói tin được cho phép đi qua? Thời gian tương ứng?

- Phần mềm phải cung cấp được giao diện trực quan để tương tác, có thể là giao diện Web hoặc giao diện GUI trên Windows/Linux

- Phần mềm phải hỗ trợ việc phân quyền người dùng theo mật khẩu, chỉ có người quản trị mới có khả năng thiết lập các luật cho tường lửa

Từ các yêu cầu thiết kế trên, học viên đưa ra hai phần cứng prototype như sau:

Module SPI to SDCARD

Module SPI to

Ethenet

Module SPI to Ethenet

ARM Cortex M4 80Mhz

Hình 22: Giải pháp phần cứng tường lửa dựa trên thiết kế dạng embedded

33

- TI board, Stellaris EK-LM4F120XL LaunchPad với ARM Cortex M4 80Mhz

- 2 x module SPI sang Ethernet

- 1 x module SPI sang SD-Card, dùng để lưu trữ

Hình 23: Hình ảnh thực tế kết nối giữa board Arm Cortex M4 và hai board

Ethernet, giao tiếp qua kết nối SPI Ta có hệ thống 2 NIC

USB-NIC Raspberry Pi

Hình 24: Giải pháp phần cứng tường lửa dựa trên thiết kế dạng máy tính

Hình 25: Hình ảnh thực tế board mạch RPi kết nối với USB-NIC Ta có hệ thống 2 NIC