ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐỖ MINH HẢI GIẢI PHÁP BẢO VỆ CHO HỆ THỐNG ĐIỀU KHIỂN TRONG CÔNG NGHIỆP Chuyên ngành : KỸ THUẬT ĐIỆN Mã số:1570383 LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng năm 2018 CƠNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG -HCM Cán hướng dẫn khoa học : (Ghi rõ họ, tên, học hàm, học vị chữ ký) Cán chấm nhận xét : -(Ghi rõ họ, tên, học hàm, học vị chữ ký) Cán chấm nhận xét : -(Ghi rõ họ, tên, học hàm, học vị chữ ký) Luận văn thạc sĩ bảo vệ Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày tháng năm Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: (Ghi rõ họ, tên, học hàm, học vị Hội đồng chấm bảo vệ luận văn thạc sĩ) -2 -3 -4 -5 -Xác nhận Chủ tịch Hội đồng đánh giá LV Trưởng Khoa quản lý chuyên ngành sau luận văn sửa chữa (nếu có) CHỦ TỊCH HỘI ĐỒNG TRƯỞNG KHOA………… ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: ĐỖ MINH HẢI MSHV: 1570383 Ngày, tháng, năm sinh: 1/10/1988 Nơi sinh: QUẢNG TRỊ Chuyên ngành: KỸ THUẬT ĐIỆN Mã số: 60520202 I TÊN ĐỀ TÀI: GIẢI PHÁP BẢO VỆ CHO HỆ THỐNG ĐIỀU KHIỂN TRONG CÔNG NGHIỆP II NHIỆM VỤ VÀ NỘI DUNG: - Đưa nguy lỗ hỏng bảo mật hệ thống mạng công nghiệp Phân tích hệ thống mạng cơng nghiệp Xây dựng tường lửa hệ thống điều khiển công nghiệp Triển khai mơ hình thực tế sử dụng tường lửa hệ thống điều khiển công nghiệp Nêu phương hướng phát triển III NGÀY GIAO NHIỆM VỤ : 6/2/2017 IV NGÀY HOÀN THÀNH NHIỆM VỤ : 11/12/2017 V CÁN BỘ HƯỚNG DẪN : PGS.TS PHAN QUỐC DŨNG Tp HCM, ngày … tháng năm 2018 CÁN BỘ HƯỚNG DẪN (Họ tên chữ ký) CHỦ NHIỆM BỘ MÔN ĐÀO TẠO (Họ tên chữ ký) TRƯỞNG KHOA….……… (Họ tên chữ ký) LỜI CÁM ƠN Trong q trình hồn thành đề tài luận văn, nhận nhiều hướng dẫn, bảo tận tình thầy khoa Điện, giúp đỡ bạn bè động viên, khích lệ tinh thần từ gia đình Tơi xin gửi đến gia đình tơi tình thương yêu, lời cảm ơn cho tất mà gia đình làm cho tơi Xin kính gửi lời cảm ơn chân thành, sâu sắc đến PGS.TS Phan Quốc Dũng, người hướng dẫn, mở đường cho suốt trình thực luận văn Xin cảm ơn tất thầy cô dạy dỗ, truyền đạt kiến thức vơ giá để tơi có kết Tôi xin gửi lời cảm ơn đến bạn bè tôi, đặc biệt bạn làm luận văn với thầy Dũng Cám ơn bạn giúp đỡ dạy cho nhiều kiến thức quý giá Tp Hồ Chí Minh, tháng năm 2018 Học viên thực Đỗ Minh Hải TÓM TẮT LUẬN VĂN Hệ thống điều khiển giám sát công nghiệp bao gồm thiết bị trung tâm, thiết bị cảm biến, cấu chấp hành giám sát … nhằm hổ trợ người trình giám sát điều khiển Ban đầu hệ thống điều khiển giám sát công nghiệp giới hạn phạm vi nhà xưởng, thông tin trao đổi hệ đầu vào (cảm biến), hệ điều khiển đầu (pitton, solenoid, motor…) tách rời hoàn toàn với mạng Internet, việc bảo mật thông tin đường truyền Ethernet TCP/IP không coi trọng Ngày nay, việc tồn cầu hóa Internet, đời việc hợp tác chuẩn hóa giao thức truyền thông việc tối ưu nhân lực, thời gian, chi phí, quản trị… dẫn đến kết là, mạng điều khiển công nghiệp (Control Nework) kết nối chung với hệ thống mạng doanh nghiệp (Enterprise Network), mạng Internet giới Chính điều tạo nhiều lỗ hổng, với lổ hổng sẳn có hệ thống điều khiển làm chúng dễ bị cơng kẻ có ý đồ xấu Nhưng tường lửa truyền thống có khả phân loại dựa địa MAC, địa IP, loại kết nối TCP/UDP cổng kết nối Giả sử máy tính kết nối tới PLC mạng điều khiển bị truy cập kiểm soát tin tặc tường lửa truyền thống trường hợp vô dụng Để tăng khả bảo vệ cho hệ thống điều khiển cơng nghiệp cần có tường lửa chun dụng có khả phân tích gói tin đến byte Do xây dựng tường lửa cho PLC, có khả phân tích gói tin lớp ứng dụng gửi qua mạng Ethernet, qua khơng cho phép lập trình hay ghi vào PLC trái phép điều cần thiết LỜI CAM ĐOAN Tôi xin cam đoan luận văn Thạc Sĩ ‘‘GIẢI PHÁP BẢO VỆ CHO HỆ THỐNG ĐIỀU KHIỂN TRONG CƠNG NGHIỆP’’ cơng trình nghiên cứu riêng Các số liệu tài liệu luận văn trung thực chưa cơng bố cơng trình nghiên cứu Tất tham khảo kế thừa trích dẫn tham chiếu đầy đủ Học viên thực Đỗ Minh Hải MỤC LỤC Chương 1: GIỚI THIỆU CHUNG 1.1 Đặt vấn đề 1.2 Mục tiêu nghiên cứu 1.3 Nhiệm vụ Luận Văn Chương 2: AN NINH MẠNG TRONG HỆ THỐNG MẠNG CÔNG NGHIỆP 2.1 An tồn hệ thống thơng tin gì? 2.2 Mục đích công mạng 2.3 Những lỗ hỏng bảo mật hệ thống mạng điều khiển 2.3.1 Dial-up truy cập đến thiết bị RTU 2.3.2 Việc truy cập nhà cung cấp thiết bị 2.3.3 IT kiểm sốt thiết bị truyền thơng 2.3.4 VPN công ty 2.3.5 Liên kết sở liệu 2.3.6 Liên kết điểm – điểm 2.4 Tin tặc làm lấy quyền truy cập vào hệ thông mạng điều khiển? 10 2.4.1 Kiểm sốt q trình 11 2.4.2 Trích xuất hình HMI 11 2.4.3 Thay đổi sở liệu 12 2.4.4 Tấn công trung gian 13 2.4.5 Sự kiện tai nạn/đột biến 14 2.5 Thực trạng an ninh mạng 14 2.6 Vulnerabilities, Exploits “Zero Days” 15 Chương : PHÂN TÍCH TÍNH BẢO MẬT TRONG HỆ THỐNG ĐIỀU KHIỂN CƠNG NGHIỆP 16 3.1 Phân tích mơ hình mạng điều khiển cơng nghiệp 16 3.2 Giải pháp khắc phục 19 Chương : XÂY DỰNG TƯỜNG LỬA 22 4.1 Định hướng thiết kế 22 4.1.1 Cấu trúc phần cứng: 22 4.1.2 Cấu trúc phần mềm: 24 4.1.3 4.2 Giải pháp chọn sau: 25 Xây dựng tường lửa 25 4.2.1 Sơ đồ khối 26 4.2.2 Sơ đồ giải thuật xử lý gói tin 26 4.2.3 Quá trình biên dịch kernel linux cho Raspian Jessie 26 4.2.4 Cấu hình cho cổng Ethernet RPi hoạt động chế độ bridge-mode 27 4.2.5 Biên dịch cài đặt Suricata cho RPi 28 4.2.6 Cấu hình cho Suricata iptables 29 Chương 5: TỔNG KẾT 30 5.1 Giả định mạng điều khiển bị công 33 5.2 Lắp đặt tường lửa vào mạng điều khiển 34 5.3 Kết luận 34 5.4 Hướng phát triển đề tài 35 PHỤ LỤC 36 6.1 PLC siemens simatic s7 – 1200 36 6.1.1 Giới thiệu 36 6.1.2 Khối hàm, định thì, đếm cho PLC S7-1200 39 6.1.3 Vùng nhớ, địa kiểu liệu PLC S7 1200 41 6.1.4 Ngôn ngữ lập trình PLC S7 1200 45 6.2 Khái niệm loại tường lửa 46 6.3 Tổng quan Suricata 46 6.3.1 Giới thiệu Suricata 46 6.3.2 Các chức Suricata 47 6.3.3 Kiến trúc Suricata 51 6.3.4 Luật Suricata 55 6.4 Tổng quan Iptables 65 6.4.1 Giới thiệu 65 6.4.2 Cơ chế xử lý gói tin iptables 66 6.5 Giao thức PROFINET 69 6.6 Giao thức Ethernet 69 TÀI LIỆU THAM KHẢO 73 LÝ LỊCH TRÍCH NGANG 76 Danh mục bảng Bảng : Phân loại PLC 37 Bảng : Giới thiệu loại module họ s7-1200 39 Bảng : Giới thiệu khối hàm họ S7-1200 40 Bảng : Các kiểu liệu PLC S7-1200 42 Bảng : Giới thiệu vùng nhớ PLC S7-1200 44 Bảng : Định dạng gói tin 70 Danh mục hình Hình : Giải pháp bảo vệ cho PLC hệ thống điều khiển công nghiệp [0] Hình : Truy cập đến mạng điều khiển thông qua kết nối Dial-Up [1] Hình : Các tường lửa thường xuyên cấu hình với cổng mở sẵn cho phép nhà cung cấp kết nối thẳng vào mạng điều khiển [1] Hình : Sự khơng khớp việc cấu hình phận IT doanh nghiệp phận điều khiển tự động dẫn đến lỗ hổng cho tin tặc [1] Hình : Đường vào mạng điều khiển từ mạng doanh nghiệp thông qua VPN [1] Hình : Kỹ thuật chiếm quyền điều khiển thông qua SQL computer, không cấu hình đủ [1] Hình : Nhiều kết nối điểm - điểm gây nguy hại cho toàn hệ thống có điểm đột ngột có tính bảo mật yếu [1] 10 Hình : Tấn cơng PLC mạng điều khiển thơng qua máy tính mạng [1] 11 Hình : Trích xuất thơng tin từ hình HMI, thành phần mạng điều khiển [1] 12 Hình 10 : Tấn cơng thay đổi sở liệu [1] 13 Hình 11 : Tấn cơng man-in-the-middle [1] 13 Hình 12 : Mạng điều khiển kết hợp với mạng doanh nghiệp [1] 16 Hình 13 : Mơ hình mạng điều khiển kết nối mạng doanh nghiệp dựa Ethernet 18 Hình 14 : Gắn tường lửa trước PLC 19 Hình 15 : Các luật tường lửa truyền thống [29] 20 Hình 16 : Các luật Tường lửa lớp ứng dụng [30] 20 Hình 17 : Giao thức ghi PLC S7/PROFINET (phân tích Wireshark) 21 Hình 18 : Arduino Ethernet 22 Hình 19 : Beagle bone black 23 Hình 20 : Board Raspberry version 23 Hình 21 : Sơ đồ kết nối phần cứng tường lửa 25 Hình 22 : Sơ đồ khối 26 Hình 23 : Sơ đồ giải thuật xử lý gói tin 26 Hình 24 : Thơng số kĩ thuật 30 Hình 25 : Mơ hình thực tế 31 Hình 26 : PLC kết nối mạch lái băng chuyền (1) -> (2) -> (3) 32 Hình 27 : Giao diện kết nối tới PLC Laptop 32 Hình 28 : Kết nối thiết bị hệ thống điều khiển 33 Hình 29 : Thự lệnh ghi đến PLC 33 Hình 30 : Mạng điều khiển có thêm tường lửa bảo vệ PLC 34 Hình 31 : Hình ảnh thực tế PLC S7-1200 37 Hình 32 : Xử lý đa luồng 47 Hình 33 : Kiến trúc Suricata 51 Hình 34 : Q trình xử lý đọc gói tin [31] 67 Hình 35 : Đường gói tin Iptable [31] 68 Hình 36 : Network packet 70 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp icmp_id:; o Icmp_seq: sử dụng để kiểm tra số thứ tự ICMP Định dạng icmp_seq sau: icmp_seq:; Payload  Content: thể nội dung cần viết signature, nội dung đặt dấu nháy kép Nội dung byte liệu, có 256 giá trị khác (0255) Chúng ký tự thường, ký tự hoa, ký tự đặc biệt, mã hexa tương ứng với ký tự mã hexa phải đặt dấu gạch dọc Định dạng nội dung sau: content: ” ”; Một số ký tự đặc biệt, cho nội dung sử dụng mã hexa để biểu diễn “ |22| ; |3B| : |3A| | |7C|  Nocase: dùng để chỉnh sửa nội dung thành chữ thường, không tạo khác biệt chữ hoa chữ thường nocase cần đặt sau nội dung cần chỉnh sửa Ví dụ: content: “abC”; nocase;  Depth: sau từ khóa depth số, byte từ đầu payload cần kiểm tra Depth cần đặt sau nội dung Ví dụ: ta có payload : abCdefghij Ta thực kiểm tra byte đầu payload GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 62 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp content: “abC”; depth:3;  Offset: độ lệch byte tải trọng kiểm tra Ví dụ: độ lệch kiểm tra từ byte thứ tải trọng content: “def”; offset:3;  Distance: xác định khoảng cách nội dung cần kiểm tra payload Khoảng cách số âm Ví dụ: content: “abC”; content: “efg”; distance:1;  Within: dùng với distance, để độ rộng byte cần kiểm tra sau nội dung với khoảng cách cho trước Ví dụ: content:“abC”;content:“efg”;distance:1;within:4;  Dsize: dùng để tìm payload có độ dài  Rpc (Remote Procedure Call): ứng dụng cho phép chương trình máy tính thực thủ tục máy tính khác, thường sử dụng cho trình liên lạc Định dạng rpc sau: rpc:, [|*], [|*]>;  Replace: dùng để thay đổi nội dung payload, điều chỉnh lưu lượng mạng Việc sửa đổi nội dung payload thực gói liệu cá nhân Sau thực thay đổi nội dung xong Suricata thực tính tốn lại trường checksum HTTP  http_method: phương thức áp dụng với request http Các phương thức http: GET, POST, PUT, HEAD, DELETE, TRACE, OPTIONS, CONNECT PATCH  http_uri http_raw_uri: đường dẫn tới nơi chứa nội dung yêu cầu GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 63 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp  http_header: phương thức sử dụng, địa cần truy cập tới tình trạng kết nối  http_cookie  http_user_agent: phần http_header, thông tin trình duyệt người dùng  http_client_body: yêu cầu máy trạm  http_stat_code: mã trạng thái server mà máy trạm yêu cầu kết nối tới  http_stat_msg: dịng tin thơng báo tình trạng máy chủ, hay tình trạng việc đáp ứng yêu cầu kết nối máy trạm  http_server_body: nội dung đáp trả yêu cầu từ máy trạm máy chủ  File_data: nội dung, đường dẫn tới file chứa liệu yêu cầu Flow  Flowbits: gồm phần, phần đầu mô tả hành động thực hiện, phần thứ tên flowbit Các hành động flowbit: flowbits: set, name Được dùng để thiết lập điều kiện/tên cho flow flowbits: isset, name Có thể sử dụng luật để đảm bảo tạo cảnh báo luật phù hợp điều kiện thiết lập flow flowbits: toggle, name Dùng để đảo ngược thiết lập flowbits: unset, name luật Được sử dụng để bỏ thiết lập điều kiện flowbits: isnotset, name Được sử dụng để đảm bảo tạo cảnh báo luật phù hợp điều kiện không thiết lập flow  Flow: sử dụng để kết nối thư mục chứa flow lại với Các flow từ đến từ Client/Server flow trạng thái thiết lập không Việc kết nối flow xảy trường hợp sau: GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 64 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp to_client established/ stateless from_client established/ stateless to_server established/ stateless from_server established/ stateless 6.4 Tổng quan Iptables 6.4.1 Giới thiệu Iptables Netfilter Organiztion viết để tăng tính bảo mật hệ thống Linux Iptables firewall tuyệt vời cung cấp tính sau:  Tích hợp tốt với Linux kernel, để cải thiện tin cậy tốc độ chạy iptables đảm bảo mức tối thiểu tài nguyên tiêu tốn cần dùng cho việc lọc gọi tin  Quan sát kỹ tất gói liệu Điều cho phép firewall theo dõi kết nối thơng qua nó, dĩ nhiên xem xét nội dung luồng liệu để từ tiên liệu hành động giao thức Điều quan trọng việc hỗ trợ giao thức FTP, DNS…  Việc lọc gói tin dựa địa MAC cờ TCP header Điều giúp ngăn chặn việc cơng cách sử dụng gói tin dị dạng (malformed packets) ngăn chặn việc truy cập từ nội đến mạng khác bất chấp IP  Ghi chép hệ thống (System logging) cho phép việc điều chỉnh múc độ báo cáo  Hỗ trợ việc tích hợp trình Web proxy chẳng hạn Squid  Ngăn chặn hiệu kiểu công từ chối dịch vụ hình thức cơng khác  Cung cấp kỹ thuật NAT linh hoạt  Iptables hồn tồn miễn phí kèm với hầu hết kernel Linux Đặc biệt sản phẩm miễn phí nhiên Iptables ln có đội ngũ hỗ trợ cộng đồng kỹ thuật mạnh hổ trợ thắc mắc bạn có cố phát sinh trình sử dụng Iptables firewall tuyệt vời để gia cố tầng mơ hình OSI Iptables có khả hoạt động tầng ứng dụng, nhiên khơng tạo để làm điều này, Iptables sử dụng firewall khác để gia cố tầng ứng dụng GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 65 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp 6.4.2 Cơ chế xử lý gói tin iptables Iptables kiểm tra tất gói tin qua iptables host, trình kiểm tra thực cách từ lối vào tới lối vào cuối Có ba loại bảng iptables: Mangle table: chịu trách nhiệm biến đổi quality of service bits TCP header Thông thường loại table ứng dụng SOHO (Small Office/Home Office) Filter queue: chịu trách nhiệm thiết lập lọc gói tin (packet filtering), có ba loại built-in chains mơ tả để thực sách firewall (firewall policy rules)  Forward chain: Cho phép gói tin ngồn chuyển qua firewall  Input chain: Cho phép gói tin vào từ firewall  Output chain: Cho phép gói tin từ firewall NAT queue: thực thi chức NAT (Network Address Translation), cung cấp hai loại built-in chain sau đây:  Pre-routing chain: NAT từ vào nội Quá trính NAT thực trước thực thi chế routing Điều thuận lợi cho việc đổi địa đích để địa trương thích với bảng định tuyến firewall, ta cấu hình ta dùng khóa DNAT để mơ tả kỹ thuật  Post-routing chain: NAT từ ngồi Q trình NAT thực sau thực chế định tuyến Nhằm thay đổi địa nguồn gói tin Kỹ thuật gọi NAT 1-1 many-to-one, Source NAT hay SNAT  OUTPUT: Trong loại firewall thực trình NAT Để có nhìn tổng quan việc lọc xử lý gói tin iptables, tham khảo hình sau: GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 66 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Cơng Nghiệp Hình 34 : Q trình xử lý đọc gói tin [31] GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 67 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Cơng Nghiệp Hình 35 : Đường gói tin Iptable [31] Đầu tiên, gói liệu đến mạng A, tiếp kiểm tra mangle table PREROUTING chain (nều cần) Tiếp theo kiểm tra gói liệu nat table’s PREROUTING chain để kiểm tra xem gói liệu có cần DNAT hay khơng? DNAT thay đổi địa đích gói liệu Rồi gói liệu dẫn Nếu gói liệu vào mạng bảo vệ, lọc FORWARD chain filter table, cần gói liệu SNAT POSTROUTING chain để thay đổi IP nguồn trước vào mạng B Nếu gói liệu định hướng vào bên firewall, kiểm tra INPUT chain mangle table, gói liệu qua kiểm tra INPUT chain filter table, vào chương trình server bên GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 68 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp firewall Khi firewall cần gởi liệu ngồi Gói liệu dẫn qua kiểm tra OUTPUT chain mangle table( cần ), tiếp kiểm tra OUTPUT chain nat table để xem DNAT (DNAT thay đổi địa đến) có cần hay khơng OUTPUT chain filter table kiểm tra gói liệu nhằm phát gói liệu khơng phép gởi Cuối trước gói liệu đư lại Internet, SNAT and QoS kiểm tra POSTROUTING chain 6.5 Giao thức PROFINET Profinet giao thức truyền thông sử dụng đề tài, giao thức truyền thông Ethernet chất cấu trúc Client - Server Vì cấu trúc mà dễ dàng thực việc trao đổi liệu phần tử với Với cấu trúc này, Primary PLC Standby PLC vừa Client Server Primary yêu cầu đọc ghi liệu từ Standby PLC Standby PLC yêu cầu đọc ghi liệu từ Primary PLC Chính lý mà giúp người lập trình thuận tiện việc lựa chọn giải pháp đồng liệu Primary PLC Standby PLC 6.6 Giao thức Ethernet IP Programming Giao thức Internet (IP) cốt lõi lập trình mạng.IP phương tiện vận chuyển liệu hệ thống, môi trường mạng cục (LAN) môi trường mạng rộng (WAN) Mặc dù có giao thức mạng khác có sẵn cho lập trình mạng, IP cung cấp kỹ thuật mạnh mẽ cho việc gửi liệu thiết bị mạng, đặc biệt chúng đặt qua mạng Internet Lập trình sử dụng IP thường q trình phức tạp Có nhiều yếu tố để xem xét liên quan đến cách liệu gửi mạng: số lượng thiết bị máy khách máy chủ, loại điều kiện mạng, tắc nghẽn mạng, lỗi mạng Bởi tất yếu tố ảnh hưởng đến việc vận chuyển liệu thiết bị, hiểu biết tác động chúng quan trọng cho thành cơng lập trìnhmạng Các gói tin mạng bao gồm nhiều lớp thông tin để giúp liệu vận chuyển hai thiết bị mạng Mỗi lớp thông tin có chứa byte xếp theo thứ tự định trước, quy định cụ thể thông số cụ thể cho lớp giao thức Hầu hết gói tin bao gồm ba lớp giao thức riêng biệt, với liệu thực tế truyền thiết bị mạng GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 69 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Cơng Nghiệp Hình 36 : Network packet Lớp Ethernet Mỗi gói tin Ethernet bao gồm:  byte địa MAC thiết bị nhận  byte địa MAC thiết bị truyền  byte xác định giao thức gói tin (nếu giao thức IP byte có giá trị 0x0800)  Dữ liệu (bao gồm lớp IP, TCP data)  byte kiểm tra lỗi Phần quan trọng gói tin Ethernet protocol field (2 byte ) Nó giúp xác định lớp giao thức cao cách nhanh chóng, việc trao đổi thơng tin cá thiết bị tiện lợi dễ dàng Lớp IP Một gói tin IP bao gồm trường (field) bảng Tương tự lớp Ethernet, phần quan trọng lớp IP giao thức (protocol) lớp Giá trị field lớp giao thức TCP Bảng : Định dạng gói tin Trường Phiên Chiều dài header Loại chất lượng Độ dài gói tin Mã xác định GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Số bít 4 16 16 Mô tả Phiên IP ( IP v4) Chiều dài header gói tin IP Chất lượng gói tin Độ dài tồn gói tin Xác định gói tin mạng Trang 70 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp Cờ Số thứ tự mảnh liệu 13 Thời gian sống Giao thức Kiểm tra lỗi Địa nguồn Địa đích Tùy chọn 16 32 32 Tùy định Cờ xác định gói tin có nhiều mảnh nhỏ hay khơng Nếu có nhiều mảnh liệu, trường xác định vị trí mảnh nhỏ gói liệu Thời gian tồn tối đa cho phép gói tin mạng Xác định giao thức lớp cao Checksum Địa IP thiết bị truyền Địa IP thiết bị nhận Những định nghĩa khác gói tin Lớp TCP Transmission Control Protocol (TCP) thêm thông tin kết nối vào gói liệu Điều cho phép chương trình tạo kết nối end-to-end hai thiết bị mạng, cung cấp đường truyền phù hợp cho việc truyền tải liệu TCP đảm bảo liệu gửi đến thiết bị đích thiết bị gửi nhận dấu hiệu cho thấy lỗi mạng xảy Bởi tính này, TCP gọi giao thức hướng kết nối Mỗi kết nối TCP, phiên, bao gồm số gói liên quan để thiết lập kết nối hai thiết bị Khi kết nối thiết lập, liệu truyền thiết bị mà không cần phải kiểm tra liệu bị mát hay tràn liệu điệm TCP sử dụng port để xác định kết nối TCP thiết bị mạng Giá trị port xác định TCP endpoint thiết bị cho ứng dụng cụ thể Để giao tiếp với ứng dụng thiết bị từ xa, ta phải biết hai mẩu thông tin:  Địa IP thiết bị  Port giao tiếp Để thiết lập kết nối, thiết bị từ xa phải chấp nhận gói tin port định trước Bởi có nhiều ứng dụng thiết bị từ xa sử dụng giao thức TCP, nên phải định port khác cho ứng dụng GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 71 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Cơng Nghiệp Hình 37 : Kết nối TCP/IP IANA (Internet Assigned Numbers Authority) xác định danh sách cổng TCP tiêu chuẩn giao cho ứng dụng cụ thể Điều đảm bảo máy chủ chạy ứng dụng cụ thể chấp nhận kết nối cổng TCP cho ứng dụng Ví dụ: HTTP port 80, FTP port 20 21, TELNET port 23…Modbus TCP/IP kết nối port 502, PROFINET kết nối port 102 GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 72 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp TÀI LIỆU THAM KHẢO [0]https://www.tofinosecurity.com/blog/securing-scada-systems-why-choosecompensating-controls [1] https://ics-cert.us-cert.gov/content/overview-cyber-vulnerabilities [2] J Slay and M Miller Lessons learned from the Maroochy Water Breach Critical Infrastructure Protection, vol 253, pp 73–82, 2008 [3] D Ryu, H Kim and K Um Reducing security vulnerabilities for critical infrastructure Journal of Loss Prevention in the Process Industries, vol 22, pp 1020– 1024, 2009 [4] N Falliere, L O Murchu and E Chien, “W32.Stuxnet Dossier,” Symantec Report version 1.3, Nov 2010 [5] https://www.tofinosecurity.com/blog/securing-scada-systems-why-choosecompensating-controls [6] https://ics-cert.us-cert.gov/content/overview-cyber-vulnerabilities [7] https://sc1.checkpoint.com/documents/R77/CP_R77_Firewall_WebAdmin/92704.htm [8] http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Li nux_Firewalls_Using_iptables#.WFTum5Cg9dg [9] http://xmodulo.com/install-suricata-intrusion-detection-system-linux.html [10] http://en.wikipedia.org/wiki/Computer_security [11] V M Igure and R D Williams Security and SCADA protocols 5th International Topical Meeting on Nuclear Plant Instrumentation Controls, and Human Machine Interface Technology (NPIC and HMIT), pp 560–567,USA, 2006 [12] CPNI - PROCESS CONTROL AND SCADA SECURITY - GUIDE UNDERSTAND THE BUSINESS RISK [13] Berinato, Scott; “Debunking the Threat to Water Utilities”, CIO Magazine, CXO Media Inc.,March 15, 2002 [14] US-CERT - Cyber Incidents Involving Control Systems, Robert J Turk, 10/2005 GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 73 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp [15] GOOD PRACTICE GUIDE - PROCESS CONTROL AND SCADA SECURITY - GUIDE UNDERSTAND THE BUSINESS RISK [16] NIST Special Publication 800-82 - Guide to Industrial Control Systems (ICS) Security [17] Common Cyber Security Vulnerabilities Observed in Control System Assessments by the INL NSTB Program – Nov 2008 [18] http://www.icscybersecurityconference.com/ [19] http://www.bbc.com/news/technology-30575104 http://gizmodo.com/a-cyberattack-caused-real-life-chaos-at-a-german-steel1678256518 [20] http://securityaffairs.co/wordpress/45550/hacking/cyber-attacks-waterrutility.html [21] http://www.securityweek.com/oil-and-gas-industry-increasingly-hit-cyberattacks-report [22] G Dondossola, M Masera, I Nai Fovino, J Szanto: Effects of intentional threats to power substation control systems, International Journal of Critical Infrastructure, (IJCIS), Vol 4, No 1/2, 2008 [23] I Nai Fovino, M Masera, R Leszczyna: ICT Security Assessment of a Power Plant, a Case Study In Proceeding of the Second Int Conference on Critical Infrastructure Protection, Arlington, USA, March 2008 [24] A Carcano, I Nai Fovino, M Masera, A Trombetta: Scada Malware, a proof of Concept In proceeding of the 3rd International Workshop on Critical Information Infrastructures Security, Rome, October 13-15, 2008 [25] A A Creery, E J Byres: Industrial Cybersecurity for power system and SCADA networks IEE Industry Apllication Magazine, July-August 2007 [26] R Chandia, J Gonzalez, T Kilpatrick, M Papa and S Shenoi: Security Strategies for Scada Networks In Proceeding of the First Int Conference on Critical Infrastructure Protection, Hanover, NH., USA, March 19 21, 2007 [27] M Majdalawieh, F Parisi-Presicce, D Wijesekera: Distributed Network Protocol Security (DNPSec) security framework In Proceedings of the 21st Annual Computer Security Applications Conference, December 59,2005, Tucson, Arizona [28] J H C S Hong, S Ho Ju, Y H Lim, B S Lee, D H Hyun: A Security Mechanism for Automation Control in PLC-based Networks GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 74 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp [29] http://bonomo.info/coyote/advanced.php [30] https://sc1.checkpoint.com/documents/R77/CP_R77_Firewall_WebAdmin/92703.htm [31] https://adminvietnam.org/tong-quan-iptables/1841/ GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 75 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Cơng Nghiệp LÝ LỊCH TRÍCH NGANG Họ tên: ĐỖ MINH HẢI Ngày, tháng, năm sinh: 1/10/1988 Nơi sinh: QUẢNG TRỊ Địa liên lạc: phường Đông Lương, Tp.Đông Hà, Tỉnh Quảng Trị Số điện thoại: 0942582146 Email: hai21dominh@gmail.com QUÁ TRÌNH ĐÀO TẠO: 2007 – 2012: Học Trường Đại học Bách Khoa TP Hồ Chí Minh – KS Điện Tử Viễn Thông 2015 – : Cao học ngành Kỹ Thuật Điện – Trường ĐHBK TP.HCM QUÁ TRÌNH CƠNG TÁC: 2012 - nay: Cơng ty global cybersoft VietNam GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 76 ... trước để bảo vệ Hình : Giải pháp bảo vệ cho PLC hệ thống điều khiển công nghiệp [0] GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Cơng Nghiệp. .. khai bảo đảm an ninh mạng cho hệ thống điều khiển công nghiệp GVHD: PGS.TS Phan Quốc Dũng HVTH: Đỗ Minh Hải Trang 24 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp 4.1.3 Giải pháp. .. Minh Hải Trang 32 Giải Pháp Bảo Vệ Cho Hệ Thống Điều Khiển Trong Công Nghiệp 5.1 Giả định mạng điều khiển bị cơng Hình 28 : Kết nối thiết bị hệ thống điều khiển Trong mạng điều khiển có hai thiết