Средства обеспечения информационной безопасности в контроллерах ОВЕН. Часть 1

В последнее десятилетие вопросы информационной безопасности в области АСУ ТП становятся всё более актуальными - в частности, из-за того, что сложность систем диспетчеризации и управления постоянно увеличивается, и возникает потребность их интеграции с другими сервисами - в том числе, с использованием передачи данных через сеть Интернет. Это открывает возможность для злоумышленников удаленно эксплуатировать уязвимости таких систем для вмешательства в работу промышленных объектов. По статистике «Лаборатории Касперского» в 2023 году треть компьютеров в системах АСУ были атакованы вредоносным ПО. Но всё чаще целью атак становятся не только компьютеры, но и программируемые логические контроллеры (ПЛК). Исторически контроллеры рассматривались как «закрытые» для пользователя устройства, работающие в изолированной локальной сети и поэтому не требующие специальных защитных средств – но, как уже упоминалось выше, в последние годы эта тенденция стала меняться.

Современные контроллеры ОВЕН (ПЛК210, ПЛК200, СПК1хх, СПК210) используют операционную систему OpenWrt на базе ядра Linux и программируются в среде CODESYS V3.5. В данной статье мы рассмотрим средства обеспечения информационной безопасности, которые поддерживаются этими двумя программными комплексами.

Ограничение доступа к web-конфигуратору

Web-конфигуратор – это основной инструмент для настройки контроллера. Он позволяет изменить сетевые параметры ПЛК, создать резервную копию его настроек, загрузить приложение CODESYS и т. д. Полный список возможностей web-конфигуратора рассмотрен в документации.

Доступ к web-конфигуратору требует авторизации.  По умолчанию используется логин root и пароль owen. Логин не может быть изменен, а пароль задается на вкладке Система – Управление – Пароль устройства. Рекомендуется на этапе настройки установить свой надёжный пароль, чтобы запретить доступ к web-конфигуратору для посторонних.

Что ещё более важно – эти же логин и пароль используются для подключения к терминалу контроллера по протоколу SSH. Такое подключение обычно используется для отладки и предоставляет подключившемуся неограниченные возможности по работе в операционной системе контроллера – это одна из наиболее желаемых точек проникновения для злоумышленника.

На вкладке Система – Управление – Доступ по SSH можно изменить номер порта SSH-сервера (потому что стандартные порты проверяются злоумышленниками в первую очередь) и выбрать сетевой интерфейс, по которому он будет доступен (например, можно сделать так, чтобы SSH-сервер будет доступен только по интерфейсу USB). На вкладке Система – Управление – Ключи SSH можно задать ключ, наличие которого потребуется на SSH-клиенте для подключения к SSH-серверу ПЛК.

По умолчанию сервер web-конфигуратора поддерживает подключение и по протоколу HTTP (незащищенному), и HTTPS (защищенному). На вкладке Службы – HTTP/HTTPS можно поменять номера портов web-конфигуратора и сгенерировать или импортировать сертификаты безопасности для протокола HTTPS.

Для контроллеров СПК1хх пароль используется не только для доступа к web-конфигуратору и SSH-серверу, но и экранному конфигуратору, позволяющему настраивать контроллер с его дисплея.

Использование VPN

Если ПЛК «общается» через Интернет с другими устройствами или сервисами – то этот трафик может быть перехвачен злоумышленником (например, с целью получения доступа к конфиденциальной информации о производственном процессе). Чтобы избежать этого – можно использовать виртуальные частные сети (VPN). VPN позволяет организовать защищенный виртуальный канал связи поверх незащищенного соединения. Контроллеры ОВЕН поддерживают два популярных VPN-клиента: OpenVPN и WireGuard. 

Настройка OpenVPN производится на вкладке Службы – OpenVPN-клиент.

Настройка WireGuard выполняется путем создания виртуального интерфейса: Сеть – Интерфейсы – Добавить новый интерфейс – Протокол: WireGuard VPN.

Межсетевой экран (firewall)

Важным компонентом OpenWrt является межсетевой экран, который позволяет осуществлять фильтрацию межсетевого трафика. Это особенно важно в тех случаях, когда ПЛК «напрямую» подключен к сети Интернет или используется в качестве шлюза между сетью АСУ и корпоративной сетью предприятия.

Настройка межсетевого экрана выполняется в web-конфигураторе на вкладке Сеть – Межсетевой экран. На вкладке Правила для трафика можно указать порты, доступ по которым будет разрешен (запросы, полученные по другим портам, будут отбрасываться). На вкладке Перенаправление портов настраиваются правила маршрутизации – это позволяет использовать ПЛК как шлюз (например, конфигурировать с ПК подключенные к ПЛК модули ввода-вывода).

Важно отметить, что по умолчанию настройки межсетевого экрана распространяются только на сетевые интерфейсы, размещенные в зоне WAN. Выбрать зону можно в настройках интерфейса (Сеть – Интерфейсы – Изменить – Настройки межсетевого экрана).

Использование промежуточного оборудования

Использование встроенного межсетевого экрана в случае подключения ПЛК к сети Интернет не является перестраховкой – существует достаточное количество ботнетов, сканирующих весь пул IP-адресов по всем портам с целью эксплуатации известных уязвимостей.

Например, в логе одного из контроллеров, подключенных к интернету, мы увидели такие «злоумышленные» запросы:

Комментарии по некоторым из них приведены в этой статье.

Аппаратных ресурсов ПЛК может быть недостаточно для противодействия такому интенсивному сканированию – в результате его web-визуализация (или даже приложение CODESYS) могут прекратить работу. Поэтому рекомендуется использоваться специализированное промежуточное межсетевое оборудование для подключения ПЛК к сети Интернет. Примером такого оборудования может служить промышленный межсетевой экран InfoWatch ARMA Industrial Firewall от компании InfoWatch, прошедший тестирование на совместимость с контроллерами ОВЕН.

Продолжение следует.