先進的網絡安全

工業自動化 & 控制系統


隨著工業物聯網(IoT) 需求的持續增長,封閉的工業網絡正面臨著與公共互聯網連接的挑戰。 然而,雖然工業物聯網提高了營運效率,但也同時帶來了更多的網絡安全威脅, 政府和企業必須注意與關心潛在的網絡安全損害。

IEC 62443 標準除了包含最新的安全指南和各種不同的最佳演練表,還包括各種在網絡上的信息,以防止已知的安全漏洞和未知的攻擊。 該標準的最終目標是協助提高網絡的安全性,并且提高工業自動化的控制設置的安全性。

目前,許多系統集成商,如西門子和 ABB,都要求組件供貨商遵守 IEC 62443-4-2提及的終端設備安全性規范。 本小節定義了四個安全威脅級別:

 

• 等級1是為了防止偶發的未經授權的訪問
• 等級2是自動化產業的基本要求。 它涉及黑客構成的網絡威脅。這也是系統集成商最常遇到的攻擊
• 等級3和等級4為避免黑客利用特定技能和工具進行惡意訪問
從網絡安全專家的角度來看,影響內部網絡的主要安全威脅,包括了未經授權的訪問、不安全的數據傳輸、未加密的密鑰數據、不完整的事件日志與操作錯誤。?
中波動光提供軟件 & 硬件(ASIC) 集成保護機制,采用先進專用集成電路 (ASIC) 的安全技術 (L2-L7 數據包分類)、多層認證、安全數據傳輸、加密密鑰數據、完整的事件日志/報告、操作錯誤預防,并且高于 IEC62443-4-2 2 級要求,可為工業應用構建安全的系統。


基于端口的訪問控制
IEEE802.1x MAB (MAC旁路認證)

MAB 協議透過將 MAC 地址送到 TACACS+ / Radius 服務器認證來啟用基于端口的訪問控制。在 MAB 認證之前,端口 (例如PLC) 的身份是未知的,并且所有通信是被阻斷的。交換機檢查單個數據包來學習和驗證來源的MAC 地址,MAB 認?證成功后,端口的身份已知,并允許來自該端口的所有流量。交換機會執行來源 MAC 地址過濾,以確保只有通過 MAB 認證的端口才能發送流量。
除了透過 MAB 認證外,也可以通過交換機中預先配置的靜態 MAC 地址表,或自動學習 MAC 地址表來完成認證
• MAC 地址自動學習功能可以對交換機進行編程,支持預先配置在安全端口上遇到的第一個來源 MAC 地址的學習(與授權)數量。 這些MAC 地址會自動加入到靜態 MAC 地址表中,并保留在那里,直到用戶刪除
• 粘性 MAC 設置可進一步增強端口的安全性。如果 Sticky MAC 地址被激活,則在該端口被授權的 MACs/設備,會被"粘"在該端口,交換機將不允許它們移動到不同的端口。
• 如果發生安全違規事件,用戶可以透過端口關閉時間功能,指定自動關閉端口的時間區段。 


DHCP 監聽

DHCP 監聽就像是未受信的主機和已受信的 DHCP 服務器之間的防火墻。 它執行以下活動:
• 驗證從未受信的來源接收到的 DHCP 消息,并過濾出無效的消息
• 限制已受信和未受信來源的 DHCP 流量速度
• 構建和維護 DHCP 監聽綁定數據庫,包含了未受信主機的租用IP地址信息
• 使用 DHCP 監聽綁定數據庫,以驗證來自未受信主機的后續請求

DHCP 監聽是基于 VLAN 啟用的。默認情況下,該功能于所有 VLAN 是處于非激活狀態。 您可以在單個 VLAN 或一定范圍的 VLAN 上啟用該功能。
動態ARP檢測(DAI)
DAI 驗證網絡中的 ARP 數據包。DAI 攔截、記錄并丟棄無效的 IP-to-MAC 地址綁定的 ARP 數據包,此功能可以保護網絡免受中間人攻擊。

DAI 確保只有有效的 ARP 請求和回應會被轉發。交換機執行以下這些行為:
• 截取所有未受信的端口上的 ARP 請求和回應
• 確認在刷新本地 ARP 緩存之前,以及在將數據包轉發到適當的目的地之前,每個攔截的數據包都具有有效的 IP-to-MAC 地址綁定
• 丟棄無效的 ARP 數據包
DAI 根據儲存在受信數據庫 (DHCP 監聽綁定數據庫) 中的有效 IP-to-MAC 地址綁定,來確定 ARP 數據包的有效性。如果在 VLAN 和交換機上啟用 DHCP 監聽,則此數據庫將由 DHCP 監聽來構建。如果在受信接口上收到 ARP 報文,則交換機不做任何檢查;然而,在不信任的接口上,交換機只有在該 APP 報文有效的情況下才會轉發。
 

IP來源保護

IP 來保護源在二層端口上提供 IP 來源地址過濾功能,以防止惡意主機假冒合法主機的 IP 地址來冒充合法主機。該功能使用動態 DHCP 偵聽和靜態IP來源綁定,以確認 IP 地址與在未受信的二層接入端口上的主機是匹配的。

一開始,除了 DHCP 數據包,受保護端口上的所有 IP 通信將會被阻斷,當用戶端從 DHCP 服務器收到 IP 地址后,或者管理員配置靜態 IP 來源綁定后,所有具有 IP 來源地址的用戶的通信才會被允許通行,至于來自其他主機的流量將會被拒絕。 此過濾機制限制了主機攻擊鄰近網絡IP地址的能力
IPv4/IPv6訪問控制列表
 
數據包過濾限制了網絡流量,并局限了某些用戶或設備的網絡使用。ACL 對通過交換機的流量進行過濾,并允許或拒絕通過指定接口的數據包。 ACL 為數據包的允許與拒絕條件的有序集合。當接口接收到數據包時,交換機會將數據包內容與所有已設定的ACL 進行比較,并根據訪問列表中指定的條件,驗證該數據包是否具有轉發的所需權限。

中波動光支持二層至七層 ACL,最多可解析 128 bytes 長度的數據包和二層至七層數據包分類與過濾 IPv4 / IPv6 流量,包含TCP、UDP、IGMP、ICMP。
 


多層用戶密碼

RADIUS 和 TACACS+ 支持不同的集中式認證服務器。使用集中式認證服務器可以簡化賬戶管理,特別是在網絡中有多臺交換機時。認證鏈也是其中之一。認證鏈是驗證方法的有序列表,用來處理更進階認證方案。 例如,您可以創建一個連接 RADIUS 服務器的認證鏈,然后在 RADIUS 服務器沒有回應的情況下查找本地數據庫。
 


網絡管理軟件
 

NetMaster 是中波動光設備的網絡管理軟件。它可以自動找尋網絡設備,并畫出鏈路設置拓撲圖。批量配置和升級更可幫助系統集成商更輕松地安裝系統。NetMaster 也可以為網絡安全事件提供警報和提醒。



G.8032 v2 ERPS彈性網絡備援

ERPS (Ethernet Ring Protection Switching) 是第一個工業標準的以太環網冗余協議 (ITU-T G.8032)。ERPS 整合了操作、管理和維護 (Operations、Administration and Maintenance,OAM) 與簡單的自動保護交換(Automatic Protection Switching,APS) 兩種協議來進行環網冗余保護。
 
ERPS (Ethernet Ring Protection Switching,以太環保護切換協議是國際電信聯盟標準化局 (ITU-T制定的運行在數據鏈路層的環保護協議,協議標準號是TU-T G.8032,因此ERPS也稱為G.8032。通常,網絡冗余鏈路用于鏈路備份和提高網絡的可靠性,但是,冗余鏈路可能形成環路,導致廣播風暴和 MAC 地址表震蕩。影響網絡通信質量,以致通信中斷。

STP (Spanning Tree Protocol,生成樹協議、RSTP (Rapid Spanning Tree Protocol ,快速生成樹協議、MSTP (Multiple Spanning Tree Protocol,多生成樹協議通常用于防止環路。STP 雖然可以滿足網絡的可靠性需求,但是收斂速度慢。即使RSTP 和 MSTP 提高了其收斂速度,但是收斂時間依然是在秒級。

與STP、RSTP、MSTP相比,ERPS有以下優點:
 收斂時間快
ERPS 與傳統環網技術 (例如STP/RSTP/MSTP相比,優化檢測機制,收斂時間更快。例如,支持ERPS的交換機收斂時間可小于50ms。
 兼容性好
ERPS 是 ITU-T 制定的防止環路的標準二層協議,可應用于中波動光和其他廠家設備互聯的環網中。

?ERPS 環的基本概念
 環保護鏈路 (Ring Protection Link,RPL– 該鏈路在環網正常狀態時,是阻塞的。
◎ RPL 擁有節點–該節點連接 RPL 鏈路,在以太環正常狀態時,負責阻塞RPL鏈路;在以太環保護狀態時,負責打開 RP L鏈路。
 RPL 鄰居節點–該節點連接 RPL 鏈路,在以太環正常狀態時,負責阻塞RPL鏈路;在以太環保護狀態時,負責打開 RPL 鏈路。(在 V2 版本中定義。
◎ 鏈路監控–環上的鏈路采用標準的以太網連接控制操作管理維護消息進行監控。
 信號故障消息(SF) – 當檢測到信號故障時發送。
◎ 恢復請求消息 (NR) – 在節點上檢測不到信號故障條件時發送。
 環自動保護切換消息 (R-APS) – 該協議消息由 Y.1731 和 G.8032 定義。
◎ 自動保護切換 (APS) 通道 – 采用專門的 VLAN 傳遞 OAM 消息 (包括 R-APS 消息)。

?G.8032 或者 ERPS 采用不同的定時器,避免競態條件和不必要的切換操作
◎ 延遲定時器 – 該定時器用于 RPL 擁有節點在阻塞 RPL 鏈路前,確認網絡已經穩定。
 等待-恢復 (WTR定時器 – 該定時器用于在信號恢復后,確認信號恢復是否是暫時的。
◎ 等待-阻塞 (WTB定時器 – 該定時器應用在強制倒換 / 手工倒換命令后,確認背景條件是否存在。
 WTB 定時器可能比 WTR 定時器短。
 保護定時器 – 該定時器用于所有節點,當其狀態變化時,用于阻止接收潛在的過時消息,以導致節點不必要的狀態改變。
◎ 保持定時器 – 該定時器用于防止網絡的間歇性故障,導致 ERPS 的不斷切換。故障只有當該定時器超時后,才會報告給環保護機制。

?為更好的理解 ERPS,就要先理解什么是環。在環上,以太網數據幀會沿著網絡環路不斷轉發,永不停止。

▼ 下圖是一個簡單的環形網絡

交換機上還沒有啟用環路避免協議時,以太網數據幀能夠從一臺交換機轉發個下一臺交換機時,循環轉發和占用鏈路帶寬。
甚至,循環轉發的數據幀將會給 MAC 地址表帶來麻煩。
在理解了環之后,也要了解對于我們的網絡來說,環不是有利的。但是,我們依然需要環提供的冗余鏈路。ERPS 是實現這一目標的一種方式。一個以太網環由多臺交換機組成,形成封閉的物理環路。環上的每一臺交換機都會和它相鄰的兩臺交換機連接。這是對于環的簡單解釋。我們必須在早期就要避免環路的形成,但是自從在環上啟用 ERPS 后,網絡運行的更好了。
 

?ERPS原理
 正常狀態

1. 所有節點在物理拓撲上以環的方式連接。
2. ERPS 通過阻塞 RPL 鏈路,確保不會形成環路。在上圖中,節點 1 和節點 4 之間的鏈路為 RPL 鏈路。
3. 對相鄰節點之間的每一條鏈路進行故障檢測。

 鏈路故障

1. 與故障鏈路相鄰的節點對故障鏈路進行阻塞,并發送 R-APS(SF) 消息通知環上的其它節點鏈路故障。在上圖中,節點 2 和節點 3 之間的鏈路故障。
2. 在保持定時器超時后,節點 2 和節點 3 阻塞故障鏈路并發送 R-APS(SF) 消息給環上的其它節點。
3. R-APS(SF) 消息觸發 RPL 擁有節點打開 RPL 端口。所有節點更新它們的 MAC 地址表和 ARP/ND 表,環進入到保護狀態。

 鏈路恢復
1. 當故障鏈路恢復時,與鏈路相鄰的節點仍保持阻塞狀態,并發送 R-APS(NR) 消息,表示沒有本地故障存在。
2. 當保護定時器超時和 RPL 擁有節點收到第一個 R-APS(NR) 消息后,RPL 擁有節點開始啟動 WTR 定時器。
3. 當 WTR 定時器超時后,RPL 擁有節點阻塞 RPL 鏈路,并發送 R-APS(NR, RB) 消息。在等待 WTR 定時器超時期間,環的狀態是待定的。
4. 其它節點收到 R-APS(NR, RB) 消息后,更新各自的 MAC 地址表和 ARP/ND 表,發送 R-APS(NR, RB) 消息的節點停止周期性發送此消息,并打開阻塞端口。此時環網恢復到正常狀態,這個狀態就是空閑狀態。


?G.8032 v2 ERPS的優
◎ G.8032 v.2 ERPS 逐漸取代專有環和標準的以太環切換技術,因為它對任何回路的以太環提供了穩定的保護。隨著網絡規模的擴大,環路形成的計算和響應時間勢必會增加,可能會從 2~120 秒增加至 分鐘。這對于不間斷通信網絡是完全不可接受的。環對于網絡運行和服務的可用性是致命的,因此,部署的網絡設備支持恢復時間小于 50ms 的 ITU-T G.8032 v2 ERPS 協議將會大幅提高網絡的可靠性。
 G.8032 v1 標準只支持單環拓撲,G.8032 v2 標準還另外支持多環拓撲,能夠對多環上的以太網流量提供恢復切換。通過數量較少的鏈路實現廣域多點連接,節約部署成本。
◎ 特別重要的是,部署支持 G.8032 v2 ERPS 的交換機能構建經濟的和高彈性的以太網基礎網絡。同時,它們能夠與第三方的交換機進行互操作,依然保持快速網絡恢復時間并且不丟失任何數據包。


ERPS環是適合每一種應用場景的理想技術,是現在能夠提供的最佳選擇。如果你想了解更多有關 ERPS 的內容,請聯系我們:sales@womtek.cn