到处都是Wi-Fi,在我们的家里、办公室里、甚至在工厂环境里。现在它成了通讯的支柱,在大多数与以太网通讯有关的方面已经取代了传统的有线以太网。由于其费率更低、性能更高以及安全性更好,在很多情况下也取代了基于手机的通讯。
尽管Wi-Fi无处不在,可是看起来很少人真的了解它是如何工作的,或者如何提供安全的通讯。这种情况在过程工厂里表现得更为明显。为什么会出现这种状况?无线技术在为你带来工作便利的同时,你是否对它进行了足够的保护?
Wi-Fi的历史
严格来讲,Wi-Fi是一种使用IEEE 802.11标准的无线局域网(LAN),这个特定的名称属于Wi-Fi联盟。IEEE(电气和电子工程师协会)在1999年出版了802.11b标准,首次提供了以相对较快的(至少是在当时)1到2 Mbps的速度进行无线数据传输的机制。它就很快得到了广泛的应用,因为绝大多数过去的数据连接都是有线方式。
在Wi-Fi出现之前,无线通讯通常是基于专有的模拟无线电协议的,速度很慢,只能以0.0096Mbps的速度通讯,这意味着Wi-Fi要快100多倍。不仅如此,老的系统几乎没有嵌入的数据完整性协议,这需要用户增加这些功能。
对于工业应用场合,尽管终端设备基本上仍然在使用专有的串口协议,但Wi-Fi创造了实施复杂的高速通讯的可能性。早期,安全对于无线通讯来说还算不上一个大问题。当时的无线通讯都是使用Modbus远程终端设备(RTU)或者类似的产品来进行的。尽管黑客可能想要通过扰乱控制系统来证明其价值,但结果可能是几乎没有值得窃取的数据。
■ 这是一个你可能看到的安装在你的工厂里面的典型工业路由器。还是它已经在那工作了多少年吗?它能为你的网络安全提供足够的保护吗?图片来源:Moxa
技术进步
随着个人计算机和其他信息科技在工业自动化领域变得越来越常见,以太网正推动着工厂的科技进步。以太网使用的传输控制协议/互联网协议(TCP/IP)变成了标准,不过在其之上仍然具有专有工业协议,例如EtherNet/IP,Modbus TCP/IP,Profinet等其他协议。这些与传统的IT网络很像,企业级别的网络与工业网络的连接变得越来越紧密,将原来的自动化信息孤岛连接起来,创造一个直接从低级别现场设备到商业网络的连接路径。
现在从工业网络里窃取数据更加容易了,因为黑客们可以使用在IT网络中学到的相同的手段。不过庆幸的是,在绝大多数情况下没有什么值得窃取的。黑客们确实认识到工业网络经常没有企业IT网络那么安全。他们可以使用已经建立的相同渠道将生产制造数据转移到管理级IT系统,而且这样的转移通常做起来很简单。
将Wi-Fi引入工厂
过去,在大多数工业环境下,Wi-Fi常因为要解决特定的应用问题而开始被采用。一般来说,它们以前只是在接线不可行或太昂贵的情况下的点到点通讯。因为新的科技技术更经济更容易使用,因此取代了老的专有系统。尽管在进行网络扫描时可能发现无线网络已经在可用的网络连接清单之列,企业的IT人员通常对于发生了什么并没有概念。
早期的Wi-Fi网络已经对安全有了规定,不过通常的默认值是设置网络不受保护,这样可以避免输密码的麻烦。在2003年以前,系统采用的是有线等效保密(WEP)协议,它是包含在最初的IEEE 802.11标准中的且目标是消费者市场。
对于家用网络,将邻居们屏蔽在网络之外也许就足够了,可是突破家用网络的工具很快就出现了。到2003年,使用临时密钥完整性协议(TKIP)的Wi-Fi保护接入(WPA)出现了。如果使用高级加密标准(AES)代替TKIP会好得多,这又是另一种提高。不过,不久以后,这些也一样会被突破。
在2006年,通过引入WPA2,大体上解决了易受攻击的问题。它使用AES和计数器模式密码块链消息完整码协议(CCMP)来代替TKIP。尽管要突破这个保护需要大量的时间和努力,对大多数黑客来说不可行,但是这也证明它仍可能被突破。
草率的安全实践
也许在技术上WPA2解决了黑客的问题,但是实际情况也不都是这样。大多数Wi-Fi路由器按规定具有向后兼容,因此一位用户可以使用过去的某一项技术来进行安全设置的配置。
甚至在恶劣的工厂环境下,一部高质量的工业增强型路由器也可以工作很多年,因此今天发现2002年安装的硬件还在工作的情况也很常见。不幸的是,一部运行12年之久的路由器意味着只能提供一种安全设置www.cechina.cn,即WEP,因为当它被建造的时候只有这一种设置可以用。
许多在工厂里安装这个硬件的人是维护人员,而不是IT部门。他们安装一部新的路由器并设置其WEP来与现有硬件相匹配,并没有意识到在安全功能方面的差别。安全就是安全,对吧?网络在可用的网络列表中显示为安全,那么我们就是被保护的,对吧?
有一些无线连接甚至都不是公司安装的。在工厂里工作的服务人员可能将一台无线路由器连接到PLC或者以太网网络上,来帮助解决故障诊断的问题。具有很强的安全文化的公司是禁止做这样的事情的,可是在很多公司里这是一种常见做法。
一位认真负责的技术员会确保在工作结束时将设备移除控制工程网版权所有,可是如果一台设备被留下了,很少有技术人员会付出特别的努力来取回它。工作结束很久以后该设备可能还保留在现场控制工程网版权所有,并且一直保持着不安全的连接。如果一位黑客发现这个小型的有漏洞的网络,上面的做法就为其提供了一种新的入侵途径CONTROL ENGINEERING China版权所有,有可能由此入侵整个公司的IT基础设施。
为什么安全如此重要?
一位想要侵入一家公司网络的黑客会选择阻力最小的路径。例如,在一个过程工厂里www.cechina.cn,主要的目标是没有安全防护或者防护水平最低的无线网络。对于黑客来说最能限制他们的是距离工厂足够近才能获取无线电信号。由于大多数的信号发生器都是在围墙界限以内工作的,这也许会不方便,但并不足以能成为黑客们的阻碍。
如果一位黑客只能进入一个被隔离的工厂网络,潜在的损害程度应该还是有限的。 更加严重的问题是成功入侵工厂网络为进入企业IT网络提供了一条路径,更多重要的数据会存储在企业IT网络上。
工厂网络与企业网络的连接通常允许数据向数据链的上游传输。为了避免办公室里的人可能会干预工厂里的设置,以及防止黑客通过企业网络对工厂发动攻击,向下游的数据传输通常被限制。不过有一些公司希望或需要进行双向通讯,例如下载想要的生产操作说明等。
大多数企业的IT团队会在IT和工厂网络之间设置隔离,一般是防火墙、隔离区或指定服务器,用来控制在两个网络之间来回传输的内容。不过正如前面所提到的,企业对于从IT部门到工厂方向上的数据流的关注相比反方向要多得多。
此外,除非负责配置这些系统的人员对于工业网络和常见的生产制造硬件具有高水平的了解,否则控制数据流的规则很少会被按照应有的方式进行配置。所以,如果一个黑客想要通过一个工厂Wi-Fi网络入侵到一个更大的系统,他经常需要在物理上足够接近才能建立通讯。如果他想办法进入到企业网络中并且技术娴熟,以致于他可以创建一道“门”,他就可以在后续的访问中通过互联网进入。
如果IT网络的安全监控非常严密,无法创建一个新的入口,黑客可能不得不在工厂附件安装一台小型设备用于与Wi-Fi网络进行通讯,再将信息通过手机连接发送到一个更加方便的地点。 在任何情况下,有多种方式通过Wi-Fi网络都可以在企业网络内部建立一个更加长久的据点。
解决方案是什么?
解决这些安全隐患需要工厂人员对下面内容多加注意。
替换所有2006年以前生产的Wi-Fi路由器。虽然年头太久的路由器还能正常工作,但是如果它们不支持WPA2安全功能,就应该使用最新的设备替换它们。此外,仅仅看到某个设备是在2006年生产的,并不一定保证它支持WPA2功能,因此要先确认该产品是否具备这种功能。
使用WPA2安全功能配置所有的网络。当所有的路由器都配有WPA2功能时,将其设置为你的默认安全协议并在所有的路由器上都执行它。
使用强密码。路由器需要设置密码,而且必须是有效的密码。关键的因素是长度和变化。使用不同类型的字符数越多越好,最少为16个字符。包括数字和符号会更有帮助,但是字符数的绝对数量才是最重要的。创建短语会有帮助,例如“MyHouseHasPurpleShutters”有24个字符,但是也容易记忆和打字。
管理密码。如果把密码打印在一张纸条上并贴在路由器上,那这个密码毫无帮助。所有的密码都应该记录在纸上,并保存在工厂以外的某个地方。办公室的负责人应该将其放在一个安全的文件柜内。当知道密码的员工离开公司后,必须立即修改密码并重新登录。不要等到一个更方便的时间,而是在员工离开以后尽快修改。情绪不满的员工远比技术熟练的黑客更危险,因为他们详细了解每个设备是如何工作的以及设备是如何配置的。 可能出现的最坏组合是抱怨的前员工为技术熟练地黑客提供指导。
上面提到的这些安全措施简单有效,不会为企业增加太多费用,而且可以在不需要IT人员介入的情况下由工厂人员完成。如果负责工厂Wi-Fi和其他网络的人员可以维持适度水平的安全,他们对公司将做出重要的贡献。
如何保护你的工厂网络?
与网络安全相关的一个常见讨论是保护敏感生产制造数据的必要性。如果有些情况下来自于工厂的信息涉及到飞机部件的关键CNC程序或者严密戒备的化学过程,这些信息是非常有价值的。
然而,大多数生产制造运行中可以获得的数据没什么价值,不值得窃取,例如反应器的温度或冲压机在一个班次里生产多少个部件。那么黑客们为什么要侵入工业网络?
有一些黑客仅仅是为了以一种或另一种方式扰乱生产;关闭一台关键的设备、从PLC中删除程序或错开一个阀门来制造环境灾难。这些都有可能发生,不过重要的是要保持这些状况透明。最坏的情况下,网络罪犯会可能做什么?如果一个工厂的控制系统的运行方式会带来潜在的安全和健康隐患,那说明这些系统设计得不好,应该重新评估。
这个结论看起来也许让人觉得惊讶,不过如果工作在控制室内的操作员或从外面来的网络罪犯可以制造真正危险的状况,而安全系统却无法将工厂过渡到一个安全状态,那确实说明该系统存在严重的缺陷。在一个设计正确的控制系统中,黑客可以立即制造问题,不过不会产生长远的效果。
虽然网络攻击不是每天发生,但这并不是让工厂级别的网络不受保护的借口,尤其是无线网络。一套网络安全防御计划应该反映被保护对象的价值。一套设计正确的控制系统的安全防御机制应当不能被扰乱,不管是通过故意的行为还是人为的错误造成的。(作者:Bruce Billedeaux)