先进的网络安全

工业自动化 & 控制系统


随着工业物联网(IoT) 需求的持续增长,封闭的工业网络正面临着与公共互联网连接的挑战。 然而,虽然工业物联网提高了营运效率,但也同时带来了更多的网络安全威胁, 政府和企业必须注意与关心潜在的网络安全损害。

IEC 62443 标准除了包含最新的安全指南和各种不同的最佳演练表,还包括各种在网络上的信息,以防止已知的安全漏洞和未知的攻击。 该标准的最终目标是协助提高网络的安全性,并且提高工业自动化的控制设置的安全性。

目前,许多系统集成商,如西门子和 ABB,都要求组件供货商遵守 IEC 62443-4-2提及的终端设备安全性规范。 本小节定义了四个安全威胁级别:

 

• 等级1是为了防止偶发的未经授权的访问
• 等级2是自动化产业的基本要求。 它涉及黑客构成的网络威胁。这也是系统集成商最常遇到的攻击
• 等级3和等级4为避免黑客利用特定技能和工具进行恶意访问

从网络安全专家的角度来看,影响内部网络的主要安全威胁,包括了未经授权的访问、不安全的数据传输、未加密的密钥数据、不完整的事件日志与操作错误。?

中波动光提供软件 & 硬件(ASIC) 集成保护机制,采用先进专用集成电路 (ASIC) 的安全技术 (L2-L7 数据包分类)、多层认证、安全数据传输、加密密钥数据、完整的事件日志/报告、操作错误预防,并且高于 IEC62443-4-2 2 级要求,可为工业应用构建安全的系统。


基于端口的访问控制
IEEE802.1x MAB (MAC旁路认证)

MAB 协议透过将 MAC 地址送到 TACACS+ / Radius 服务器认证来启用基于端口的访问控制。在 MAB 认证之前,端口 (例如PLC) 的身份是未知的,并且所有通信是被阻断的。交换机检查单个数据包来学习和验证来源的MAC 地址,MAB 认?证成功后,端口的身份已知,并允许来自该端口的所有流量。交换机会执行来源 MAC 地址过滤,以确保只有通过 MAB 认证的端口才能发送流量。
除了透过 MAB 认证外,也可以通过交换机中预先配置的静态 MAC 地址表,或自动学习 MAC 地址表来完成认证
• MAC 地址自动学习功能可以对交换机进行编程,支持预先配置在安全端口上遇到的第一个来源 MAC 地址的学习(与授权)数量。 这些MAC 地址会自动加入到静态 MAC 地址表中,并保留在那里,直到用户删除

• 粘性 MAC 设置可进一步增强端口的安全性。如果 Sticky MAC 地址被激活,则在该端口被授权的 MACs/设备,会被"粘"在该端口,交换机将不允许它们移动到不同的端口。
• 如果发生安全违规事件,用户可以透过端口关闭时间功能,指定自动关闭端口的时间区段。
 


DHCP 监听

DHCP 监听就像是未受信的主机和已受信的 DHCP 服务器之间的防火墙。 它执行以下活动:
• 验证从未受信的来源接收到的 DHCP 消息,并过滤出无效的消息
• 限制已受信和未受信来源的 DHCP 流量速度
• 构建和维护 DHCP 监听绑定数据库,包含了未受信主机的租用IP地址信息
• 使用 DHCP 监听绑定数据库,以验证来自未受信主机的后续请求

DHCP 监听是基于 VLAN 启用的。默认情况下,该功能于所有 VLAN 是处于非激活状态。 您可以在单个 VLAN 或一定范围的 VLAN 上启用该功能。
动态ARP检测(DAI)
DAI 验证网络中的 ARP 数据包。DAI 拦截、记录并丢弃无效的 IP-to-MAC 地址绑定的 ARP 数据包,此功能可以保护网络免受中间人攻击。

DAI 确保只有有效的 ARP 请求和回应会被转发。交换机执行以下这些行为:
• 截取所有未受信的端口上的 ARP 请求和回应
• 确认在刷新本地 ARP 缓存之前,以及在将数据包转发到适当的目的地之前,每个拦截的数据包都具有有效的 IP-to-MAC 地址绑定
• 丢弃无效的 ARP 数据包
DAI 根据储存在受信数据库 (DHCP 监听绑定数据库) 中的有效 IP-to-MAC 地址绑定,来确定 ARP 数据包的有效性。如果在 VLAN 和交换机上启用 DHCP 监听,则此数据库将由 DHCP 监听来构建。如果在受信接口上收到 ARP 报文,则交换机不做任何检查;然而,在不信任的接口上,交换机只有在该 APP 报文有效的情况下才会转发。
 

IP来源保护

IP 来保护源在二层端口上提供 IP 来源地址过滤功能,以防止恶意主机假冒合法主机的 IP 地址来冒充合法主机。该功能使用动态 DHCP 侦听和静态IP来源绑定,以确认 IP 地址与在未受信的二层接入端口上的主机是匹配的。

一开始,除了 DHCP 数据包,受保护端口上的所有 IP 通信将会被阻断,当用户端从 DHCP 服务器收到 IP 地址后,或者管理员配置静态 IP 来源绑定后,所有具有 IP 来源地址的用户的通信才会被允许通行,至于来自其他主机的流量将会被拒绝。 此过滤机制限制了主机攻击邻近网络IP地址的能力
IPv4/IPv6访问控制列表
 
数据包过滤限制了网络流量,并局限了某些用户或设备的网络使用。ACL 对通过交换机的流量进行过滤,并允许或拒绝通过指定接口的数据包。 ACL 为数据包的允许与拒绝条件的有序集合。当接口接收到数据包时,交换机会将数据包内容与所有已设定的ACL 进行比较,并根据访问列表中指定的条件,验证该数据包是否具有转发的所需权限。

中波动光支持二层至七层 ACL,最多可解析 128 bytes 长度的数据包和二层至七层数据包分类与过滤 IPv4 / IPv6 流量,包含TCP、UDP、IGMP、ICMP。

 


多层用户密码

RADIUS 和 TACACS+ 支持不同的集中式认证服务器。使用集中式认证服务器可以简化账户管理,特别是在网络中有多台交换机时。认证链也是其中之一。认证链是验证方法的有序列表,用来处理更进阶认证方案。 例如,您可以创建一个连接 RADIUS 服务器的认证链,然后在 RADIUS 服务器没有回应的情况下查找本地数据库

 


网络管理软件

 

NetMaster 是中波动光设备的网络管理软件。它可以自动找寻网络设备,并画出链路设置拓扑图。批量配置和升级更可帮助系统集成商更轻松地安装系统。NetMaster 也可以为网络安全事件提供警报和提醒。



G.8032 v2 ERPS弹性网络备援

ERPS (Ethernet Ring Protection Switching) 是第一个工业标准的以太环网冗余协议 (ITU-T G.8032)。ERPS 整合了操作、管理和维护 (Operations、Administration and Maintenance,OAM) 与简单的自动保护交换(Automatic Protection Switching,APS) 两种协议来进行环网冗余保护。
 
ERPS
 (Ethernet Ring Protection Switching,以太环保护切换协议是国际电信联盟标准化局 (ITU-T制定的运行在数据链路层的环保护协议,协议标准号是TU-T G.8032,因此ERPS也称为G.8032。通常,网络冗余链路用于链路备份和提高网络的可靠性但是,冗余链路可能形成环路,导致广播风暴和 MAC 地址表震荡。影响网络通信质量,以致通信中断。

STP
 (Spanning Tree Protocol,生成树协议、RSTP (Rapid Spanning Tree Protocol ,快速生成树协议、MSTP (Multiple Spanning Tree Protocol,多生成树协议通常用于防止环路。STP 虽然可以满足网络的可靠性需求,但是收敛速度慢。即使RSTP 和 MSTP 提高了其收敛速度,但是收敛时间依然是在秒级。

与STP、RSTP、MSTP相比,ERPS有以下优点:
 收敛时间快
ERPS 与传统环网技术
 (例如STP/RSTP/MSTP相比,优化检测机制,收敛时间更快。例如,支持ERPS的交换机收敛时间可小于50ms。

 兼容性好
ERPS 是 ITU-T 制定的防止环路的标准二层协议,可应用于中波动光和其他厂家设备互联的环网中。

ERPS 环的基本概念
 环保护链路 (Ring Protection Link,RPL– 该链路在环网正常状态时,是阻塞的。
◎ RPL 拥有节点–该节点连接 RPL 链路,在以太环正常状态时,负责阻塞RPL链路;在以太环保护状态时,负责打开 RP L链路。
 RPL 邻居节点–该节点连接 RPL 链路,在以太环正常状态时,负责阻塞RPL链路;在以太环保护状态时,负责打开 RPL 链路。(在 V2 版本中定义
◎ 链路监控–环上的链路采用标准的以太网连接控制操作管理维护消息进行监控。
 信号故障消息(SF) – 当检测到信号故障时发送。
◎ 恢复请求消息 (NR) – 在节点上检测不到信号故障条件时发送。

 环自动保护切换消息 (R-APS) – 该协议消息由 Y.1731 和 G.8032 定义。
◎ 自动保护切换 (APS) 通道 – 采用专门的 VLAN 传递 OAM 消息 (包括 R-APS 消息)。


G.8032 或者 ERPS 采用不同的定时器,避免竞态条件和不必要的切换操作
◎ 延迟定时器 – 该定时器用于 RPL 拥有节点在阻塞 RPL 链路前,确认网络已经稳定。

 等待-恢复 (WTR定时器 – 该定时器用于在信号恢复后,确认信号恢复是否是暂时的。
◎ 等待-阻塞 (WTB定时器 – 该定时器应用在强制倒换 / 手工倒换命令后,确认背景条件是否存在。
 WTB 定时器可能比 WTR 定时器短。
 保护定时器 – 该定时器用于所有节点,当其状态变化时,用于阻止接收潜在的过时消息,以导致节点不必要的状态改变。
◎ 保持定时器 – 该定时器用于防止网络的间歇性故障,导致 ERPS 的不断切换。故障只有当该定时器超时后,才会报告给环保护机制。


为更好的理解 ERPS,就要先理解什么是环。在环上,以太网数据帧会沿着网络环路不断转发,永不停止。

▼ 下图是一个简单的环形网络

交换机上还没有启用环路避免协议时,以太网数据帧能够从一台交换机转发个下一台交换机时,循环转发和占用链路带宽。
甚至,循环转发的数据帧将会给 MAC 地址表带来麻烦。
在理解了环之后,也要了解对于我们的网络来说,环不是有利的。但是,我们依然需要环提供的冗余链路。ERPS 是实现这一目标的一种方式。一个以太网环由多台交换机组成,形成封闭的物理环路。环上的每一台交换机都会和它相邻的两台交换机连接。这是对于环的简单解释。我们必须在早期就要避免环路的形成,但是自从在环上启用 ERPS 后,网络运行的更好了。
 

ERPS原理
 正常状态


1. 所有节点在物理拓扑上以环的方式连接。
2. ERPS 通过阻塞 RPL 链路,确保不会形成环路。在上图中,节点 1 和节点 4 之间的链路为 RPL 链路。
3. 对相邻节点之间的每一条链路进行故障检测。


 链路故障

1. 与故障链路相邻的节点对故障链路进行阻塞,并发送 R-APS(SF) 消息通知环上的其它节点链路故障。在上图中,节点 2 和节点 3 之间的链路故障。
2. 在保持定时器超时后,节点 2 和节点 3 阻塞故障链路并发送 R-APS(SF) 消息给环上的其它节点。
3. R-APS(SF) 消息触发 RPL 拥有节点打开 RPL 端口。所有节点更新它们的 MAC 地址表和 ARP/ND 表,环进入到保护状态。


 链路恢复
1. 当故障链路恢复时,与链路相邻的节点仍保持阻塞状态,并发送 R-APS(NR) 消息,表示没有本地故障存在。
2. 当保护定时器超时和 RPL 拥有节点收到第一个 R-APS(NR) 消息后,RPL 拥有节点开始启动 WTR 定时器。
3. 当 WTR 定时器超时后,RPL 拥有节点阻塞 RPL 链路,并发送 R-APS(NR, RB) 消息。在等待 WTR 定时器超时期间,环的状态是待定的。
4. 其它节点收到 R-APS(NR, RB) 消息后,更新各自的 MAC 地址表和 ARP/ND 表,发送 R-APS(NR, RB) 消息的节点停止周期性发送此消息,并打开阻塞端口。此时环网恢复到正常状态,这个状态就是空闲状态。


G.8032 v2 ERPS的优
◎ G.8032 v.2 ERPS 逐渐取代专有环和标准的以太环切换技术,因为它对任何回路的以太环提供了稳定的保护。随着网络规模的扩大,环路形成的计算和响应时间势必会增加,可能会从 2~120 秒增加至 分钟。这对于不间断通信网络是完全不可接受的。环对于网络运行和服务的可用性是致命的,因此,部署的网络设备支持恢复时间小于 50ms 的 ITU-T G.8032 v2 ERPS 协议将会大幅提高网络的可靠性。
 G.8032 v1 标准只支持单环拓扑,G.8032 v2 标准还另外支持多环拓扑,能够对多环上的以太网流量提供恢复切换。通过数量较少的链路实现广域多点连接,节约部署成本。
◎ 特别重要的是,部署支持 G.8032 v2 ERPS 的交换机能构建经济的和高弹性的以太网基础网络。同时,它们能够与第三方的交换机进行互操作,依然保持快速网络恢复时间并且不丢失任何数据包。


ERPS环是适合每一种应用场景的理想技术,是现在能够提供的最佳选择。如果你想了解更多有关 ERPS 的内容,请联系我们:sales@womtek.cn