ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA DƯƠNG MINH TRỌNG NGHIÊN CỨU XÂY DỰNG TƯỜNG LỬA PHÂN TÍCH GĨI TIN CHUN SÂU CHO HỆ ĐIỀU KHIỂN TỰ ĐỘNG HĨA Chun ngành: Tự Động Hóa Mã số: 60.52.60 LUẬN VĂN THẠC SĨ TP Hồ Chí Minh, tháng năm 2016 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG –HCM Cán hướng dẫn khoa học: TS HỒNG MINH TRÍ Cán chấm nhận xét 1: Cán chấm nhận xét 2: Luận văn thạc sĩ bảo vệ Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày 14 tháng năm 2015 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: Xác nhận Chủ tịch Hội đồng đánh giá LV Trưởng Khoa quản lý chuyên ngành sau luận văn sửa chữa (nếu có) CHỦ TỊCH HỘI ĐỒNG TRƯỞNG KHOA ĐẠI HỌC QUỐC GIA TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC BÁCH KHOA Độc lập - Tự - Hạnh phúc NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên : DƯƠNG MINH TRỌNG MSHV : 12153177 Ngày, tháng, năm sinh : 18/5/1989 Nơi sinh : Đồng Nai Chuyên ngành : Tự động hóa MS : 60 52 60 I Tên đề tài: NGHIÊN CỨU XÂY DỰNG TƯỜNG LỬA PHÂN TÍCH GĨI TIN CHUN SÂU CHO HỆ ĐIỀU KHIỂN TỰ ĐỘNG HÓA II Nhiệm vụ nội dung : - Nghiên cứu an ninh mạng hệ thống điều khiển công nghiệp Thiết kế xây dựng tường lửa chuyên sâu có khả phân tích gói tin, từ tăng cuờng bảo vệ cho hệ thống điều khiển PLC Xây dựng hệ thống mẫu dùng để trình diễn tính bảo vệ tường lửa III Ngày giao nhiệm vụ : 19/01/2015 IV Ngày hoàn thành nhiệm vụ : 18/06/2016 V Cán hướng dẫn : Tiến Sĩ Hồng Minh Trí Tp HCM, ngày … tháng … năm 2016 CÁN BỘ HƯỚNG DẪN (Họ tên chữ ký) CHỦ NHIỆM BỘ MÔN ĐÀO TẠO (Họ tên chữ ký) TRƯỞNG KHOA …………… (Họ tên chữ ký) LỜI CẢM ƠN Tôi xin gửi đến thầy TS Hồng Minh Trí lời biết ơn sâu sắc dành thời gian quý báu để hướng dẫn, tạo điều kiện thuận lợi cho lời khun bổ ích để hồn thành luận văn Tơi xin gửi đến thầy TS Trương Đình Châu lời biết ơn sâu sắc dành thời gian quý báu để hướng dẫn, cho phép sử dụng phịng thí nghiệm 109B3 để có điều kiện tốt nghiên cứu hoàn thành luận án Trong suốt thời gian học tập trường đại học Bách Khoa – ĐHQG Tp HCM, Thầy Cô khoa Điện – Điện tử, đặc biệt Thầy Cô mơn Điều khiển tự động giảng dạy tận tình, cho tơi nhiều kiến thức bổ ích Xin gửi đến Thầy, Cô bạn lời cảm ơn chân thành Trong thời gian học tập làm luận án trường ĐH Bách Khoa Tp HCM, tạo điều kiện nhiệt tình từ đồng nghiệp công ty Robert Bosch Việt Nam, nhờ tơi có thời gian hồn thành tốt nhiệm vụ Cuối cùng, xin cám ơn Cha Mẹ, anh chị em gia đình động viên tạo điều kiện giúp tơi vượt qua khó khăn suốt trình học tập nghiên cứu vừa qua Tp Hồ Chí Minh, ngày 20 tháng năm 2016 Dương Minh Trọng TÓM TẮT LUẬN VĂN Sự phát triển tồn cầu hóa Internet mở kỷ nguyên kết nối sâu rộng chưa có Các hệ điều khiển tự động lúc trước nằm tách biệt nhà máy khơng có kết nối với bên ngồi, kết nối với mạng doanh nghiệp kết nối với hệ thống Internet toàn cầu Việc kết nối mặt mang lại lợi ích to lớn cho việc truyền dẫn thông tin quản lý tập trung nhà máy thuộc tập đoàn đa quốc gia, mặt khác bộc lộ yếu điểm nguy hiểm, tảng hạ tầng mạng điều khiển tự động hoạt động khơng có tính bảo mật Tin tặc có khả thâm nhập vào mạng điều khiển có tồn quyền sai khiến thiết bị làm việc theo ý Từ mục đích bảo vệ thiết bị PLC hệ điều khiển máy tính hệ điều khiển bị tin tặc chiếm quyền điều khiển, đặt cần thiết loại tường lửa có khả phân tích gói tin chun sâu, qua cấm lệnh ghi trái phép đến nhớ PLC cấm nạp lại chương trình cho PLC The development of Internet globalization has opened up a new era of connectivity than ever From begin, the automatic control system is only operated in the plant which is separated and has no connection with the outside But now, with benefit of global connectivity, ICS is required to connect to the enterprise network and connects to the global Internet The connection on the one hand bring enormous benefits for the transmission of information and centralized management of plants in multinational corporations, on the other hand also reveals a dangerous weakness, that is network infrastructure platform of control network has been developed with no security in mind Once hackers have the ability to penetrate control-networks have full control to dictate the devices in control system The purpose of the protection PLC in control-network even when some computers in that network is under hacker’s hand, leads to the development of new firewall which is capable of deep packet analysis, which inhibits writing to PLC’s memory, or inhibits re-programming PLC’s program LỜI CAM KẾT Tôi xin cam kết chường nội dung trình bày luận văn tơi tham khảo tài liệu biên soạn lại, tất kết thân tơi tự làm ra, hồn tồn khơng phải chép từ tài liệu cơng trình nghiên cứu khác Nếu không thực cam kết nêu trên, tơi xin chịu hồn tồn trách nhiệm trước kỷ luật nhà trường pháp luật Nhà nước Dương Minh Trọng Định hướng trình bày luận văn: Đối với cách trình bày truyền thống, luận án dành số chương đầu để giới thiệu kiến thức phục vụ cho nghiên cứu Các chương sau mơ tả phần luận án, tức nghiên cứu nghiên cứu Cách trình bày hữu ích việc cung cấp cho người đọc kiến thức tảng trước vào đọc phần – phần nghiên cứu Tuy vậy, với độc giả thầy cô giảng viên giàu kiến thức có nhiều năm kinh nghiệm lĩnh vực tự động hóa, việc trình bày vừa khơng cần thiết vừa gây lỗng tính hệ thống luận án, nhiều thời gian để đọc trước vào phần Cho nên luận án này, học viên xin phép trình bày thẳng vào nội dung nghiên cứu trước, chương từ đến Các phần kiến thức chuyển xuống phần phụ lục, thầy cần tham khảo sau Chương 1: nhằm khái quát mục đích then chốt luận án Chương 2: trình bày kết nghiên cứu, dễ tổn thuơng hệ thống điều khiển trước tin tặc thời đại thứ kết nối toàn cầu qua Internet Sự hạn chế giải pháp bảo mật trước rủi ro đến từ hành vi thiếu cẩn thận người Chương 3: nêu bật lợi việc triển khai tường lửa có khả phân tích gói tin chuyên sâu việc tăng cường an tồn cho hệ thống điều khiển tự động cơng nghiệp Chương 4: trình bày việc chọn lựa hướng giải pháp trình nghiên cứu, xây dựng tường lửa Chương 5: trình bày việc xây dựng hệ thống tự động đơn giản nhằm mục đích trình diễn, qua làm bật an toàn hệ thống sau bổ sung thêm tường lửa -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH ẢNH: CHƯƠNG 1: GIỚI THIỆU LUẬN VĂN 1.1 Tính cấp thiết luận văn 1.2 Tình hình nghiên cứu 1.3 Mục tiêu luận văn 1.4 Nhiệm vụ luận văn CHƯƠNG 2: AN NINH MẠNG TRONG HỆ ICS/SCADA 10 2.1 An ninh mạng hệ điều khiển công nghiệp 10 2.2 Nguồn công mạng 10 2.3 Tại tin tặc lấy quyền truy cập vào hệ thông mạng điều khiển? 11 2.4 Tình hình thực tế an ninh mạng 21 2.5 Vulnerabilities, Exploits “Zero Days” 22 CHƯƠNG 3: VAI TRÒ CỦA TƯỜNG LỬA IPS TRONG VIỆC ĐẢM BẢO AN NINH CHO HỆ ICS/SCADA 23 3.1 Phân tích nguy an ninh hệ thống SCADA sử dụng Ethernet nói chung, Modbus TCP nói riêng 23 3.2 Vai trị tường lửa – tính ưu việt sử dụng tường lửa IPS 26 3.3 Khái niệm tường lửa DPI / IDS / IPS 30 CHƯƠNG 4: XÂY DỰNG TƯỜNG LỬA IPS 32 3.4 Định hướng thiết kế 32 3.5 Chọn lựa giải pháp 35 3.6 Xây dựng tường lửa 37 3.6.1 Biên dịch kernel linux cho Raspian Jessie 37 3.6.2 Cấu hình cho cổng Ethernet RPi hoạt động chế độ bridge-mode 37 3.6.3 Biên dịch cài đặt Suricata cho RPi 38 3.6.4 Cấu hình cho Suricata iptables 39 3.6.5 Xây dựng trang Web quản lý luật tường lửa cho RPi 39 CHƯƠNG 5: TỔ CHỨC XÂY DỰNG HỆ THỐNG ĐÁNH GIÁ NĂNG LỰC TƯỜNG LỬA DPI/IPS 42 5.1 Xây dựng hệ thống tự động dùng trình diễn tường lửa 42 5.2 Dùng Wireshark bắt gói tin hệ thống hoạt động 44 5.3 Giả định trường hợp bị công mạng điều khiển 46 5.4 Lắp đặt tường lửa IPS vào mạng điều khiển thiết đặt luật 47 -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 5.5 Kết luận đánh giá 49 5.6 Hướng phát triển đề tài 50 PHỤ LỤC 51 PL.1 Giao thức MODBUS/TCP 51 PL.1.1 Giới thiệu 51 PL.1.2 Định dạng khung truyền liệu 51 PL.1.3 Cách thức truyền nhận liệu 53 PL.2 Giao thức Ethernet 54 PL.3 Giới thiệu PLC Premium 58 PL.4 Tổng quan Suricata 59 PL.4.1 Giới thiệu Suricata 59 PL.4.2 Các chức Suricata 59 PL.4.3 Kiến trúc Suricata 63 PL.4.4 Luật Suricata 66 Tham khảo: 76 -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 DANH MỤC TỪ VIẾT TẮT PLC : Programmable Logic Controller SCADA : Supervisory Control and Data Acquisition ICS : Industrial Control System DPI : Deep Packet Inspection IDS : Instruction Detective System IPS : Instruction Prevention System NIC: : Network Interface Card USB-NIC : Network Interface Card through USB -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 64 Suricata sử dụng thư viện PCap để bắt gói tin mạng lưu thơng qua hệ thống Mỗi gói tin sau giải mã đưa tiếp vào modul tiền xử lý Module tiền xử lý Modul tiền xử lý modul quan trọng hệ thống IDS để chuẩn bị gói liệu đưa vào cho modul phát phân tích Ba nhiệm vụ modul là:  Kết hợp lại gói tin: lượng liệu lớn gửi đi, thông tin bị chia nhỏ thành nhiều gói tin Khi suricata nhận gói tin phải thực ghép lại thành hình dạng ban đầu, từ thực công việc xử lý tiếp Như ta biết phiên làm việc diễn ra, có nhiều gói tin trao đổi phiên Một gói tin riêng rẽ khơng có trạng thái công việc phát xâm nhập dựa vào gói tin khơng đem lại hiệu cao Modul tiền xử lý giúp suricata hiểu phiên làm việc khác từ giúp đạt hiệu cao việc phát xâm nhập  Giải mã chuẩn hóa giao thức (decode/normalize): công việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều bị thất bại kiểm tra giao thức có liệu thực nhiều hình thức khác Ví dụ: web server chấp nhận nhiều dạng URL URL viết dạng mã hexa/unicode, URL chấp nhận dấu / hay \ nhiều ký tự liên tiếp lúc Chẳng hạn ta có dấu hiệu nhậ dạng “scripts/iiaadmin”, kẻ cơng vượt qua cách tùy biến yêu cầu gửi đến web server sau: “scripts//iisadmin” “scripts/examples/ /iisadmin” “scripts\iisadmin” “scripts/.\iisadmin”  Hoặc thực mã hóa chuỗi dạng khác Nếu suricata chi thực đơn việc so sánh liệu nhận dạng xảy tình trạng bỏ sót hành vi xâm nhập Do vậy, số modul tiền xử lý phải có nhiệm vụ giải mã chỉnh sửa, xếp lại thông tin đàu vào để thông tin đưa đến modul phát thể phát mà khơng bỏ sót  Phát xâm nhập bất thường (nonrule/anormal): thường dùng để đối phó với xâm nhập khơng thể khó phát luật thơng thường -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 65 dấu hiệu bất thường giao thức Các modul tiền xử lý dạng phát xâm nhập theo cách mà ta nghĩ từ tăng thêm tính cho suricata Ví dụ: plugin tiền xử lý có nhiêm vụ thống kê thông lượng mạng thời điểm bình thường để có thơng lượng bất thường xảy tính tốn, phát đưa cảnh báo Module phát Đây modul quan Nó chịu trách nhiệm phát dấu hiệu xâm nhập Modul phát sử dụng luật định nghĩa sẵn để so sánh với liệu thu thập từ xác định có xâm nhập xảy hay khơng Rồi thực công việc ghi log, tạo báo cáo, kết xuất thông tin Một vấn đề quan trọng modul phát vấn đề thời gian xử lý gói tin: IDS thường nhận nhiều gói tin thân có nhiều luật xử lý Vì khoảng thời gian khác cho việc xử lý gói tin khác Và thông lượng qua mạng lớn xảy việc bỏ sót khơng phản hồi lúc Khả xử lý modul phát dựa yếu tố như: số lượng luật, tốc độ hệ thống mạng Một modul phát có khả tách phần gói tin áp dụng luật phần gói tin Các phần là:  IP header  Header tầng vận chuyển: TCP, UDP  Header tầng ứng dụng: DNS header, HTTP header, …  Phần tải gói tin (bạn áp dụng luật lên phần liệu truyền gói tin) Một vấn đề modul phát việc xử lý gói tin bị phát nhiều luật Do luật đánh thứ tự ưu tiên nên gói tin bị phát nhiều luật khác nhau, cảnh báo đưa ứng với luật có mức ưu tiên cao Module ghi cảnh báo Tùy thuộc vào modul phát có nhận dạng xâm nhập hay khơng mà gói tin bị ghi ghi đưa cảnh báo Các file log file text, liệu ghi nhiều định dạng khác chẳng hạn tcpdump Module kết xuất thông tin Modul thức thao tác khác tùy thuộc theo việc bạn muốn lưu kết xuất Tùy theo việc cấu hình hệ thống mà thực cơng việc là: -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 66  Ghi log file  Ghi syslog: syslog chuẩn lưu trữ file log sử dụng nhiều hệ thống unix, linux  Ghi cảnh báo vào sở liệu  Tạo file log dạng xml: việc thuận tiện cho việc trao đổi liệu chia sẻ liệu  Cấu hình lại router, firewall  Gửi cảnh báo gói gói tin sử dụng giao thức SNMP Các gói tin dạng gửi tới SNMP server từ giúp cho việc quản lý cảnh báo hệ thống IDS cách tập trung thuật tiện  Gửi thông điệp SMB (server message block) tới máy tính windows Ta tự viết modul kết xuất thơng tin riêng tùy thoe mục đích sử dụng PL.4.4 Luật Suricata Signature (dấu hiệu) đóng vai trị quan trọng Suricata Trong hầu hết trường hợp người dùng thường sử dụng luật tồn Sử dụng nhiều Emerging Threats, Emerging Threats Pro VRT Một luật hay signature bao gồm thành phần sau: Hành động, tiêu đề phần tùy chọn Ví dụ signature:  Action: hành động với signature có kiểu: o Pass: signature so sánh trùng khớp pass Suricata thực dừng qt gói tin bỏ qua tất luật phía sau gói tin -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 67 o Drop: chương trình tìm thấy signature hợp lệ drop gói tin bị hủy bỏ dừng truyền lập tức, gói tin đến nơi nhận o Reject: hành động bỏ qua gói tin, bỏ qua bên nhận bên gửi Suricata tạo cảnh báo với gói tin o Alert: signature so sánh hợp lệ có chứa alert gói tin xử lý giống với gói tin khơng hợp lệ Suricata tạo cảnh báo Các luật với Action xem xét từ xuống dưới, từ pass -> drop -> reject -> alert  Header: giao thức sử dụng để truyền gói tin địa nguồn, địa đích, cổng nguồn, cổng đích gói tin lưu thơng mạng Giao thức chọn cho gói tin là: tcp, udp, icmp, ip hay giao thức tầng ứng dụng (http, ftp, tls, smb, dns) Suricata thêm vào  Rule option: tùy chọn cho luật áp dụng với gói tin Meta-setting Các thiết lập Meta khơng có ảnh hưởng với hoạt động tra Suricata, lại có ảnh hưởng đến việc báo cáo kiện tra  Msg (Message): dùng biết thêm thông tin signature cảnh báo Phần cho biết tên tập tin signature phần quy ước phải viết chữ in hoa Định dạng msg sau: msg: “ ”;  Sid (signature id): cho ta biết định danh riêng signature Định danh bắt đầu với số Định dạng sid sau: sid:123;  Rev (revision): sid thường kèm với rev Rev đại diện cho phiên signature Mỗi signature sửa đổi số rev tăng lên người tạo Định dạng rev sau: -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 68 rev:123;  Gid (group id): sử dụng để định danh nhóm signature khác Suricata sử dụng giá trị gid mặc định 1, thay đổi giá trị Gid xuất cảnh báo  Classtype: cung cấp thông tin việc phân loại lớp quy tắc cảnh báo Mỗi lớp bao gồm tên ngắn gọn, tên đầy đủ mức độ ưu tiên Ví dụ: config classification: web-application-attack,Web Application Attack,1 config classification: not-suspicious,Not Suspicious Traffic,3  Reference: cung cấp cho ta địa đến nơi chứa thơng tin đầy đủ signature Các tham chiếu xuất nhiều lần signature Ví dụ tham chiếu sau: reference: url, www.info.nl  Priority: mức độ ưu tiên signature Các giá trị ưu tiên dao động từ đến 255, thường sử dụng giá trị từ -> Mức ưu tiên cao Những signature có mức ưu tiên cao kiểm tra trước Định dạng mức ưu tiên sau: -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 69 priority:1;  Metadata: Suricata bỏ qua viết sau metadata Định dạng metadata sau: metadata: ; Header  IP o ttl: sử dụng để kiểm tra thời gian sống, tồn tên mạng địa IP cụ thể phần đầu gói tin Giá trị time-to-live (thời gian sống), xác định thời gian tối đa mà gói tin lưu thơng hệ thống mạng Nếu giá trị gói tin bị hủy bỏ Thời gian sống xác định dựa số hop, qua hop/router thời gian sống bị trừ Cơ chế nhằm hạn chế việc gói tin lưu thơng mạng vô thời hạn Định dạng ttl sau: ttl:; o ipopts: xem tùy chỉnh tùy chọn cho việc thiết lập địa IP Việc thiết lập tùy chọn cần thực bắt đầu quy tắc Một số tùy chọn sử dụng: Định dạng ipopts sau: -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 70 ipopts: ; o sameip: gói tin có địa IP nguồn đích Chúng ta sử dụng sameip để kiểm tra xem địa IP nguồn đích có trùng hay khơng Định dạng sameip sau: sameip; o Ip_proto: dùng để giúp ta lựa chọn giao thức Ta chọn theo tên số tương ứng với giao thức Có số giao thức phổ biến sau: ICMP TCP Internet Control Message Transmission Control Protocol 17 UDP User Datagram 47 GRE General Routing Encapsulation 50 ESP Encap Security Payload for IPv6 51 AH Authentication Header for Ipv6 58 IPv6-ICMP ICMP for Ipv6 Định dạng ip_proto sau: ip_proto:; o Id: sử dụng để định danh cho phân mảnh gói tin truyền Khi gói tin truyền phân mảnh, mảnh gói tin có ID giống Việc giúp ích cho việc ghép lại gói tin cách dễ dàng Định dạng sau: id:; o Geoip: cho phép xác định địa nguồn, đích để gói tin lưu thông mạng o Fragbits: dùng để kiểm tra phân mảnh gói tin Nó bao gồm chế sau: -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 71 M - More Fragments D - Do not Fragment R - Reserved Bit + match on the specified bits, plus any others * match if any of the specified bits are set ! match if the specified bits are not set Định dạng Fragbits sau: fragbits:[*+!]; o Fragoffset: kiểm tra phù hợp giá trị thập phân mảnh gói tin trường offset Nếu muốn kiểm tra phân mảnh gói tin, cần kết hợp fragoffset với tùy chọn fragment khác Các tùy chọn fragment sau: < match if the value is smaller than the specified value > match if the value is greater than the specified value ! match if the specified value is not present Định dạng fragoffset: fragoffset:[!|];  TCP o Seq: số ngẫu nhiên tạo bên nhận bên gửi gói tin để kiểm tra số thứ tự gói tin đến Máy khách máy chủ tự tạo số seq riêng Khi gói tin truyền số seq tăng lên Seq giúp theo dõi diễn dịng liệu truyền o Ack: sử dụng để kiểm tra xem gói tin nhận nơi nhận hay chưa giao thức kết nối TCP Số thứ tự ACK tăng lên tương ứng với số byte liệu nhận thành công -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 72 o Window: sử dụng để kiểm tra kích thước cửa sổ TCP Kích thước cửa sổ TCP chế dùng để kiểm soát dòng liệu Cửa sổ thiết lập người nhận, số lượng byte nhận để tránh tình trạng bên nhận bị tràn liệu Giá trị kích thước cửa sổ chạy từ đến 65.535 byte  ICMP (Internet Control Message Protocol): phần giao thức IP IP giao thức truyền không tin cậy việc truyền gói liệu datagram ICMP cung cấp thơng tin phản hồi trường hợp gói tin truyền gặp cố Có nội dung quan trọng thông điệp ICMP o Itype: cung cấp cho việc xác định loại ICMP Các thông điệp khác phân biệt tên khác hay giá trị khác Định dạng itype sau: itype:minmax; itype:[]; o Icode: cho phép xác định mã ICMP để làm rõ cho gói tin ICMP Định dạng icode sau: icode:minmax; icode:[]; o Icmp_id: gói tin ICMP có giá trị ID chúng gửi Tại thời điểm đó, người nhận trả lại tin nhắn với giá trị ID để người gửi nhận kết nối với yêu cầu ICMP gửi trước Định dạng icmp_id sau: icmp_id:; o Icmp_seq: sử dụng để kiểm tra số thứ tự ICMP Định dạng icmp_seq sau: icmp_seq:; Payload -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 73  Content: thể nội dung cần viết signature, nội dung đặt dấu nháy kép Nội dung byte liệu, có 256 giá trị khác (0255) Chúng ký tự thường, ký tự hoa, ký tự đặc biệt, mã hexa tương ứng với ký tự mã hexa phải đặt dấu gạch dọc Định dạng nội dung sau: content: ” ”; Một số ký tự đặc biệt, cho nội dung sử dụng mã hexa để biểu diễn “ |22| ; |3B| : |3A| | |7C|  Nocase: dùng để chỉnh sửa nội dung thành chữ thường, không tạo khác biệt chữ hoa chữ thường nocase cần đặt sau nội dung cần chỉnh sửa Ví dụ: content: “abC”; nocase;  Depth: sau từ khóa depth số, byte từ đầu payload cần kiểm tra Depth cần đặt sau nội dung Ví dụ: ta có payload : abCdefghij Ta thực kiểm tra byte đầu payload content: “abC”; depth:3;  Offset: độ lệch byte tải trọng kiểm tra Ví dụ: độ lệch kiểm tra từ byte thứ tải trọng content: “def”; offset:3;  Distance: xác định khoảng cách nội dung cần kiểm tra payload Khoảng cách số âm Ví dụ: -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 74 content: “abC”; content: “efg”; distance:1;  Within: dùng với distance, để độ rộng byte cần kiểm tra sau nội dung với khoảng cách cho trước Ví dụ: content:“abC”;content:“efg”;distance:1;within:4;  Dsize: dùng để tìm payload có độ dài  Rpc (Remote Procedure Call): ứng dụng cho phép chương trình máy tính thực thủ tục máy tính khác, thường sử dụng cho trình liên lạc Định dạng rpc sau: rpc:, [|*], [|*]>;  Replace: dùng để thay đổi nội dung payload, điều chỉnh lưu lượng mạng Việc sửa đổi nội dung payload thực gói liệu cá nhân Sau thực thay đổi nội dung xong Suricata thực tính tốn lại trường checksum HTTP  http_method: phương thức áp dụng với request http Các phương thức http: GET, POST, PUT, HEAD, DELETE, TRACE, OPTIONS, CONNECT PATCH  http_uri http_raw_uri: đường dẫn tới nơi chứa nội dung yêu cầu  http_header: phương thức sử dụng, địa cần truy cập tới tình trạng kết nối  http_cookie  http_user_agent: phần http_header, thơng tin trình duyệt người dùng  http_client_body: yêu cầu máy trạm  http_stat_code: mã trạng thái server mà máy trạm yêu cầu kết nối tới  http_stat_msg: dòng tin thơng báo tình trạng máy chủ, hay tình trạng việc đáp ứng yêu cầu kết nối máy trạm  http_server_body: nội dung đáp trả yêu cầu từ máy trạm máy chủ  File_data: nội dung, đường dẫn tới file chứa liệu yêu cầu -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 75 Flow  Flowbits: gồm phần, phần đầu mô tả hành động thực hiện, phần thứ tên flowbit Các hành động flowbit: flowbits: set, name Được dùng để thiết lập điều kiện/tên cho flow flowbits: isset, name Có thể sử dụng luật để đảm bảo tạo cảnh báo luật phù hợp điều kiện thiết lập flow flowbits: toggle, name Dùng để đảo ngược thiết lập flowbits: unset, name luật Được sử dụng để bỏ thiết lập điều kiện flowbits: isnotset, name Được sử dụng để đảm bảo tạo cảnh báo luật phù hợp điều kiện không thiết lập flow  Flow: sử dụng để kết nối thư mục chứa flow lại với Các flow từ đến từ Client/Server flow trạng thái thiết lập khơng Việc kết nối flow xảy trường hợp sau: to_client established/ stateless from_client established/ stateless to_server established/ stateless from_server established/ stateless -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 76 Tham khảo: [1] http://en.wikipedia.org/wiki/Computer_security [2] CPNI - PROCESS CONTROL AND SCADA SECURITY - GUIDE UNDERSTAND THE BUSINESS RISK [3] Berinato, Scott; “Debunking the Threat to Water Utilities”, CIO Magazine, CXO Media Inc.,March 15, 2002 [4] US-CERT - Cyber Incidents Involving Control Systems, Robert J Turk, 10/2005 [5] GOOD PRACTICE GUIDE - PROCESS CONTROL AND SCADA SECURITY GUIDE UNDERSTAND THE BUSINESS RISK [6] NIST Special Publication 800-82 - Guide to Industrial Control Systems (ICS) Security [7] Common Cyber Security Vulnerabilities Observed in Control System Assessments by the INL NSTB Program – Nov 2008 [8] http://en.wikipedia.org/wiki/Defence_in_depth [9] System Technical Note - Cyber security recommendations [10] NP1012HE - Hirschmann™EAGLE Tofino Zone Level Security™ for your control network [11] http://www.nytimes.com/2011/06/04/technology/04security.html?_r=1 [12] http://jeffreycarr.blogspot.com/2011/06/18-days-from-0day-to-8k-rsa-attack.html [13] http://www.secureamericanow.org/threat-of-the-day/2011-05-pentagon-onlinecyber-attacks-count-as-acts-of-war [14] http://www.informationweek.com/news/government/security/229700151 [15]http://www.scmagazine.com.au/News/272175,zero-day-industrial-control-systemexploits-published.aspx [16]http://www.pcworld.com/businesscenter/article/222976/scada_vulnerabilities_pro mpt_us_government_warning.html [17] White Paper: “Revealed: Operation Shady RAT” - Dmitri Alperovitch - VP Threat Research, McAfee www.nitrosecurity.com [18] mile2-C)PTE Penetration Testing Engineer Course Material [19] James P Farwell & Rafal Rohozinski (2011) “Stuxnet and the Future of Cyber War”, Survival: Global Politics and Strategy, Vol 53, No 1, pp 23-40 -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 77 [20] http://www.icscybersecurityconference.com/ [21] http://www.bbc.com/news/technology-30575104 http://gizmodo.com/a-cyberattack-caused-real-life-chaos-at-a-german-steel1678256518 [22] http://securityaffairs.co/wordpress/45550/hacking/cyber-attacks-waterrutility.html [23] http://www.securityweek.com/oil-and-gas-industry-increasingly-hit-cyberattacks-report [24] G Dondossola, M Masera, I Nai Fovino, J Szanto: Effects of intentional threats to power substation control systems, International Journal of Critical Infrastructure, (IJCIS), Vol 4, No 1/2, 2008 [25] I Nai Fovino, M Masera, R Leszczyna: ICT Security Assessment of a Power Plant, a Case Study In Proceeding of the Second Int Conference on Critical Infrastructure Protection, Arlington, USA, March 2008 [26] A Carcano, I Nai Fovino, M Masera, A Trombetta: Scada Malware, a proof of Concept In proceeding of the 3rd International Workshop on Critical Information Infrastructures Security, Rome, October 13-15, 2008 [27] A A Creery, E J Byres: Industrial Cybersecurity for power system and SCADA networks IEE Industry Apllication Magazine, July-August 2007 [28] R Chandia, J Gonzalez, T Kilpatrick, M Papa and S Shenoi: Security Strategies for Scada Networks In Proceeding of the First Int Conference on Critical Infrastructure Protection, Hanover, NH., USA, March 19 21, 2007 [29] M Majdalawieh, F Parisi-Presicce, D Wijesekera: Distributed Network Protocol Security (DNPSec) security framework In Proceedings of the 21st Annual Computer Security Applications Conference, December 59,2005, Tucson, Arizona [30] J H C S Hong, S Ho Ju, Y H Lim, B S Lee, D H Hyun: A Security Mechanism for Automation Control in PLC-based Networks [31] Venkat Pothamsetty, Matthew Franz, Transparent Modbus/TCP Filtering with Linux Available online http://modbusfw.sourceforge.net/ -GVHD: Trương Đình Châu HV: Dương Minh Trọng – MS: 12153177 PHẦN LÝ LỊCH TRÍCH NGANG Họ tên: Dương Minh Trọng Ngày tháng năm sinh: 18-5-1989 Nơi sinh: Đồng Nai QUÁ TRÌNH ĐÀO TẠO 2007-2012: Học đại học, ngành Điều Khiển Tự Động, Khoa Điện – Điện tử, trường Đại Học Bách Khoa Tp Hồ Chí Minh 20012-2016: Học cao học, ngành Tự Động Hóa, Khoa Điện – Điện tử, trường Đại Học Bách Khoa Tp Hồ Chí Minh QUÁ TRÌNH CƠNG TÁC 2012 - 2016: Associate Embedded Software Enginner, Bosch ... Đồng Nai Chuyên ngành : Tự động hóa MS : 60 52 60 I Tên đề tài: NGHIÊN CỨU XÂY DỰNG TƯỜNG LỬA PHÂN TÍCH GĨI TIN CHUN SÂU CHO HỆ ĐIỀU KHIỂN TỰ ĐỘNG HÓA II Nhiệm vụ nội dung : - Nghiên cứu an ninh... thức cho hệ thống điều khiển 1.4 Nhiệm vụ luận văn - Phân tích nguy an ninh mạng mạng công nghiệp - Phân tích lợi ích tường lửa IPS mạng điều khiển - Xây dựng tường lửa - Xây dựng mơ hình điều khiển. .. Nghiên cứu an ninh mạng hệ thống điều khiển công nghiệp Thiết kế xây dựng tường lửa chun sâu có khả phân tích gói tin, từ tăng cuờng bảo vệ cho hệ thống điều khiển PLC Xây dựng hệ thống mẫu dùng để