4.5. Building a Functional Data Diode Step 4 – Network Layer Issues Our next challenge with building our Data Diode occurs at Layer 3 (Network Layer) of the OSI model, specifically with the network routing that maps IP Addresses to MAC Addresses. A MAC address is the unique identifier provided to a Network Interface Card (NIC), and is used by OSI Layer 2 (Datalink Layer) to uniquely identify each network endpoint (similar to a house number). In order for packets to be sent between disparate networks, network endpoints are assigned IP addresses that designate the location of the end-point (similar to a Zip code). In a normal network, Switches would send out an Address Resolution Protocol (ARP) Network broadcast in order to determine the mapping of IP Addresses to MAC addresses. A network that uses a Data Diode cannot rely upon ARP to provide the required mapping of IP to MAC addresses. The devices on the other side of the Data Diode cannot reply to the ARP broadcasts in order to provide their MAC to IP mapping because of the unidirectional network connection. In order to overcome this issue, static ARP entries must be created on Switches and end-points. The method for adding a static ARP entry varies depending on the version of Windows / Linux / UNIX being used, so it is not detailed in this white paper. Once the static ARP entry has been added to our ARP Table, we will start to see our packets being received on the High side of our network. However, when we initiate a Windows TFTP Client transfer we receive a timeout error. In WireShark, we can see packets being received from the Low side of the network to the High side of the network, and the High side attempting to send some packets back. In the next section, we will work to overcome the Application layer issues introduced by a Data Diode. 4.6. Building a Functional Data Diode Step 5 – Application Layer Issues The final challenge when creating a Data Diode occurs on the Application Layer (Layer 7) of our network. The UDP based TFTP protocol requires two-way communication in order to acknowledge that a packet was received. In order to initial a file transfer, the Microsoft Windows TFTP client will send a Request to Write (WRQ) packet on port number 69. The Microsoft Windows TFTP client will not transfer the next packet until it receives the acknowledgment (ACK) that the previous packet is transferred successfully. The acknowledgment allows the Microsoft Windows TFTP client to resend a packet in the event of packet loss (RFC,1981). The TFTP client will wait for a predetermined amount of time for the ACK before sending the same packet again. In order to overcome this challenge, we will need to replace the Microsoft Windows TFTP client with our version that does not require the Acknowledge packet to be sent back to it. We will write a customized version of the TFTP Client using PowerShell, as it is readily available on all Windows-based computers. The PowerShell script will start a file transfer with a TFTP server and wait for ten milliseconds between sending each packet rather than waiting for the server Acknowledgment. The PowerShell script can be easily copied and pasted into Windows PowerShell ISE and run from any Windows machine making it essentially Agentless (no installation, no registry changes, no hard disk changes, no long term impact to the system).
When executed, the PowerShell TFTP client successfully overcomes the Timeout issue when transferring data to a TFTP server. However, there is still a secondary issue with TFTP. The default port number for TFTP is known to be 69, and this port is used to initiate a TFTP connection. However, on initialization of a file transfer, the TFTP protocol negotiates a second port (usually in the 30000 range) on which the actual data transfer occurs. Without a two-way connection, the PowerShell TFTP client has no way of knowing the incoming data transfer port number for the TFTP Server. We must limit the port number used on both the PowerShell TFTP client and Open TFTP server to a single value so that the port number negotiation step is not required. The PowerShell TFTP Client script above always uses port number 30000 to transfer data. We must also configure the Open TFTP Server only to accept connections on this port. The Open TFTP Server has a configuration file we can edit to accomplish this, called: OpenTFTPServerMT.cfg Figure 14 – OpenTFTP Server Configuration File. By adding an entry into our Open TFTP Server configuration: port-range=30000-30000 Also, we needed to enable file writing from clients with the configuration setting: write=Y The TFTP Server is now limited to the port number 30000 for file transfers. As a side effect, our ability to transfer files is limited to one at a time. The single simultaneous file transfer limit would create a problem for us in an operating environment, but for the purposes of our simple example will work fine. 4.7. The Functional Data Diode – Binary File Transfer Now that the Data Diode challenges have been overcome, and an application for transferring files has been configured to work over a unidirectional network connection, a file can be transferred across our network. Using the TFTP client PowerShell script and the properly configured Open TFTP Server we can copy binary and ASCII files over our Data Diode connection. 5. Data Diodes for Industrial Control The Data Diode created in the previous exercise, although functional, is far from an industrial strength solution. It could not be trusted to handle mission-critical applications in a high-availability industrial environment. The Data Diode we created from off the shelf parts is certainly not ruggedized enough to handle the extreme conditions of an offshore platform or factory floor. Most of the Industrial Unidirectional Gateways on the market today are aligned with NERC CIP regulation for protecting critical infrastructure and are approved to work with some of the IACS vendor product lines. Our Data Diode did provide insights into the challenges and potential uses of a Data Diode solution. In the following section, we will explore some potential use case scenarios within an Industrial environment. 5.1. Using a Data Diode in Place of an Air Gap One of the most common scenarios we see in Unidirectional Gateway white papers is the use of a Data Diode in place of an Air Gap. An Air Gap is simply a complete disconnect between two levels of trust on a network. A truly Air Gapped network is completely isolated from the outside world. There was a time in Industrial Networks where Air Gaps did, in fact, exist. Today the existence of Air Gaps in Industrial networks is widely considered a myth. The value to the business of the Data coming out of an Industrial Network is far too valuable to cut completely off. A high-availability Data Diode configuration is used in place of an Air Gap to provide data up to the corporate network and not allow data to enter the control network (High to Low). A high-availability Data Diode provides information about the process for the business and prevents malicious data from entering the corporate network. This configuration is often used in electrical utility companies and nuclear power generation. 5.2. Database Replication Another frequently used high-availability reference design is database replication. Most Industrial Control networks will contain a Historian server that maintains historical information about the process being monitored. Historical data is critical to a business for performance, maintenance, regulatory and financial reporting. As Data Diodes can achieve much faster speeds than Firewalls for data transfers as they do not need to apply software rules to the data in flight. The high transfer rate capability of Data Diodes makes it the well suited for Database Replication across levels of trust on a network. 5.3. Two-way Protocol Emulation Some Unidirectional Gateway manufactures provide two-way protocol emulation for a one-way connection of certain protocols. TCP protocols used for file transfers, windows updates, event log collection to be sent through a Unidirectional Gateway using conventional protocols. There is no need in these cases, to implement customized protocols like the TFTP one we created for our Data Diode file transfer. Some vendors even have added support for simple real-time industrial protocols like Modbus. This two-way data emulation can be used in a highconfidentiality configuration (read only from the IACS perspective) for cyber risk controls such as antivirus updates, windows updates and software patches. Or in a high-availability configuration (write only from the IACS perspective) for cyber risk control such as event log collection, real-time control system monitoring from the corporate network, historian data collection, backup management, and video surveillance feeds.
5.4. Mitigating Cyber Risk of Exposed or Infected Systems Today within the many operating assets there are mission critical processes running on obsolete and insecure operating systems. Managing the cyber risk of these systems is one of the biggest challenges within IACS industry. By implementing a high-availability configuration, (write only from the IACS perspective) these obsolete systems can be safely monitored and protected from network-based attacks. Another challenge that is frequently faced by the industry is mission critical systems that have been infected. Either infected components cannot be taken offline, or they are in remote locations and cannot be remediated. In order to prevent the infection from spreading, a highconfidentially configuration (read only from the IACS perspective) could be implemented. Commands or updates could be sent to the component, but the infection would not be able to spread out into the network. 6. Conclusion There are many factors to be considered when developing a secure network architecture. • Cyber Risk Reduction • Capital Cost • Operating Cost • Human Resource Cost • Sustainability • Reliability
Industrial Cyber Security is cyber risk management within an operating process. The goal of any organization that has implemented a cyber-security program that reduces the most risk for the resources consumed. Data Diodes perfectly implement a single cyber risk control: unidirectional data flow. The simplistic implementation of a Data Diodes makes it highly reliable and repeatable. A basic Data Diode does not have a software ruleset to implement and allows the data to flow through without introducing latency. Also without a software ruleset to configure and maintain, Data Diodes are hard to implement incorrectly, rarely require changes and are relatively easy to audit. Without the flexibility afforded by a software ruleset, the applications of Unidirectional Network technology is limited. Moreover, when compared to other barrier technologies, the capital cost of a Data Diodes is at least one hundred times more expensive. Typically, this technology is being implemented only within critical infrastructures such as power grids and power generation. Many of the commercially available Unidirectional Gateways on the market today can emulate two-way traffic with a one-way connection for a few select protocols. The IACS industry is starting to see more control system vendors approving the use of Data Diodes in preapproved reference architectures. Wider approval from control system vendors will be a critical step for the more general adoption of Data Didoes in IACS. As more vendor approved, reference architectures become available we will see more Unidirectional Gateways being implemented and their price point coming down. Once the price of a Unidirectional Gateways more closely aligns with the cost of other barrier technologies (like Firewalls), we will likely see more widespread adoption within other industrial verticals such as energy and manufacturing. Today we are seeing the Unidirectional Gateway vendors evaluating the use of their technology as a direct replacement for other barriers technologies such as Firewalls and Whitelisting. The better evaluation to perform is how these technologies can be used together to reduce cyber risk to as low as reasonability possible. It is not a matter of which technology is better; it is a matter of which is better suited for the specific cyber risk reducing implementation. Unidirectional Gateway vendors should focus on producing vendor approved network architectures that maximize the effectiveness of their technology rather than highlighting the weakness of other barrier technologies.
сам перевод
4.5. Построение функционального диода данных Шаг 4 - Проблемы сетевого уровня Наша следующая задача с построением (созданием) нашего Диода данных происходит на 3 уровне (сетевой уровень) модели OSI, в частности, с сетевой маршрутизации, которая сопоставляет IP-адреса для MAC-адресов. MAC-адрес является уникальным идентификатором, предоставляемый для карты сетевого интерфейса (NIC), и используется OSI 2 уровня (канальный уровень) для уникальной идентификации каждой конечной точки сети (по аналогии с номером дома). Для того, чтобы пакеты передавались между разнородными сетями, конечными точками сети присваиваются IP-адреса, которые определяют расположение конечной точки (по аналогии с кодом Zip). В обычной сети, коммутаторы рассылают по протоколу разрешения адресов (ARP) сети вещания для того, чтобы определить отображение IP-адреса к MAC-адресам. Сеть, которая использует диод данных не может полагаться на ARP, чтобы обеспечить требуемое отображение IP-адресов в MAC. Устройства на другой стороне диода данных не могут полагаться на ARP-трансляции, чтобы обеспечить их MAC для IP-отображение из-за однонаправленного сетевого подключения. Чтобы преодолеть эту проблему, статические записи ARP должны быть созданы на коммутаторах и на конечных точках. Метод для добавления статической записи ARP варьируется в зависимости от используемой версии Windows / Linux / UNIX так, что это не указано в этом документе. После того, как Статическая запись ARP была добавлена в нашу таблицу ARP, мы начинаем видеть, что наши пакеты поступают на высокой стороне нашей сети. Однако, когда мы начинаем передачу для пользователя Windows TFTP, мы получаем ошибку тайм-аута. В WireShark, мы можем видеть пакеты, полученные от нижней стороны сети на высокой стороне сети, а также высокая сторона пытается отправить некоторые пакеты обратно. В следующем разделе мы будем работать на преодолением проблемы уровня приложений, введенных диодом данных. 4.6. Построение функционального Диода данных Шаг 5 - Проблемы прикладного уровня Последней проблемой при создании Диод данных происходит на уровне приложений (7 Уровень) нашей сети. На основе UDP протокола TFTP требует двусторонней связи для того, чтобы признать, что пакет был получен. Для первоначальной передачи файлов, пользователь Microsoft Windows TFTP отправляет запрос на запись (ВРК) пакетов на номер порта 69. Пользователь Microsoft Windows TFTP не будет передавать следующий пакет до тех пор, пока не получит подтверждение приема (ACK), что предыдущий пакет успешно передан. Подтверждение позволяет пользователю Microsoft Windows TFTP для повторной отправки пакета в случае потери пакетов (RFC 1981). Пользователь сервера TFTP будет ждать определенный промежуток времени для подтверждения, прежде чем вновь послать тот же пакет. Чтобы преодолеть эту проблему, нам нужно будет заменить клиент (сервер) Microsoft Windows TFTP с нашей версией, которая не требует признать пакета Acknowledge, чтобы быть отправленым обратно к нему. Мы напишем пользовательскую версию клиента TFTP с помощью PowerShell, поскольку он легко доступен на всех компьютерах на базе Windows. Сценарий PowerShell начнет передачу файла с сервера TFTP и ждать в течение десяти миллисекунд между отправкой каждого пакета, а не ждать подтверждения сервера. Сценарий PowerShell может быть легко скопирован и вставлен в Windows PowerShell ISE и работать с любого компьютера Windows, что делает его по существу Без агентов (не требует установки, никаких изменений в реестре, никаких изменений на жестких дисках, без длительного воздействия на систему).
При выполнении пользователь сервера PowerShell TFTP успешно преодолевает проблему тайм-аута при передаче данных на сервер TFTP. Тем не менее, есть еще вторичный вопрос с TFTP-сервера. Номер порта по умолчанию для TFTP, как известно 69, и этот порт используется для установления соединения TFTP. Тем не менее, по инициализации передачи файлов, протокол TFTP, согласовывает второй порт (обычно в диапазоне 30000), на которой происходит фактическая передача данных. Без двухсторонней связи, пользователь сервера PowerShell TFTP не имеет возможности узнать, входящего передачи данных номер порта для сервера TFTP. Мы должны ограничить номер порта, используемый пользователем сервера PowerShell TFTP и сервер с открытым TFTP к одному значению, так что шаг переговоров номер порта не требуется. Сценарий клиента PowerShell TFTP выше всегда использует номер порта 30000 для передачи данных. Мы также должны настроить Open TFTP Server только принимать соединения на этом порту. Open TFTP Server имеет конфигурационный файл, который мы можем изменить для достижения этой цели, называется: binary and ASCII files over our Data Diode connection. Рисунок 14 - Конфигурация OpenTFTP файлового сервера. При добавлении записи в нашей конфигурации Открыть TFTP-сервера: Порт-диапазон = 30000-30000 Кроме того, нам необходимо включить запись в файл от клиентов с настройкой конфигурации:: написать = Y TFTP Server теперь ограничивается номером порта 30000 для передачи файлов. В качестве побочного эффекта, наша способность передачи файлов ограничена по одному за раз. Единственный предел одновременной передачи файлов создаст проблему для нас в операционной среде, но для целей нашего простого примера будет работать нормально. 4.7. Функциональная Диод данных - передача двоичных файлов Теперь, когда проблемы с диодом данных были преодолены, и приложение для передачи файлов настроен на работу над однонаправленное сетевое подключение, файл может быть передан через нашу сеть. Использование сценария PowerShell TFTP клиента и правильно настроить Open TFTP Server мы можем скопировать двоичные и ASCII файлы по нашей связи с диодной данных. 5. Диоды данных для промышленного контроля Диод данных, созданный в предыдущем упражнении, хоть и функционал, далек от промышленной прочности. Она не может быть доверенным для обработки критически важных приложений в промышленной среде с высокой доступностью. Диод данных, который мы создали из частей полки, конечно, не достаточно повышенной прочности, чтобы справиться в экстремальных условиях оффшорной платформы или заводского цеха. Большинство промышленных Однонаправленные шлюзам на рынке сегодня согласованы с НКРЕ регулирования CIP для защиты критической инфраструктуры и одобрены для работы с некоторыми из линий поставщика продукции МАКО. Наш диод данных не проливают свет на проблемы и потенциальные возможности применения раствора диода данных. В следующем разделе мы рассмотрим некоторые возможные сценарии вариантов использования в промышленных условиях. 5.1. Использование Диод данных на месте воздушного зазора Одним из наиболее распространенных сценариев, которые мы видим в однонаправленном Шлюзе белых бумаг является использование диода данных вместо воздушного зазора. Воздушный зазор это просто полный разрыв между двумя уровнями доверия в сети. Действительно сеть Air Gapped полностью изолирована от внешнего мира. Был момент в промышленных сетях, где воздушные зазоры сделали на самом деле существуют. На сегодняшний день наличие воздушных зазоров в промышленных сетях широко считается мифом. Значение бизнес-данных из промышленной сети является слишком ценным, чтобы полностью отрезать. Конфигурация Диод данных высокой доступности используется вместо воздушного зазора для получения данных до корпоративной сети и не позволяют передавать данные для входа в сеть управления (от высокой к низкой). Высокой доступности Диод данных предоставляет информацию о процессе бизнеса и предотвращает вредоносные данные от попадания в корпоративную сеть. Эта конфигурация часто используется в электрических коммунальных предприятияхи атомной энергетики. 5.2. Репликация базы данных Другим часто используемым высокой доступности эталонного дизайна является репликация базы данных. Большинство промышленных сетей управления будет содержать Историк сервер, который поддерживает историческую информацию о процессе, контролируется. Исторические данные имеет решающее значение для работы бизнеса, технического обслуживания, нормативной и финансовой отчетности. Как Диоды данных может достичь гораздо более высоких скоростях, чем межсетевые экраны для передачи данных, поскольку они не должны применять правила программного обеспечения к данным в полете. Высокие передачи скорости диодов данных делает его подходящим для репликации базы данных по уровням доверия в сети. 5.3. Двухсторонний протокол Эмуляция Некоторые однонаправленные шлюза производят эмуляцию протокола, обеспечивая двустороннюю для одностороннего подключения определенных протоколов. TCP протоколы, используемые для передачи файлов, обновления Windows, удаления журнала событий для отправки через однонаправленный шлюз с использованием обычных протоколов. Там нет необходимости в этих случаях реализовать индивидуальные протоколы как TFTP один, который мы создали для нашего передачи файлов Диод данных. Некоторые производители даже добавили поддержку простых в режиме реального времени промышленных протоколов, таких как Modbus. Эмуляция двухсторонних данных могут быть использованы в конфигурации highconfidentiality (только для чтения с точки зрения МАКО) для управления кибер риска, таких как антивирусные обновления, обновления окон и исправлений программного обеспечения. Или в конфигурации высокой доступности (запись только с точки зрения МАКО) для управления рисками кибер такие как сбор журналов регистрации событий, в реальном масштабе времени мониторинга системы управления от корпоративной сети, историк сбора данных, резервного копирования, управления и видеонаблюдения кормов. 5.4. Смягчающие Кибер Риск воздействия или зараженных систем Сегодня в рамках многих операционных активов есть критически важные процессы, выполняемые на устаревших и небезопасных операционных системах. Управление кибер-риском этих систем является одной из самых больших проблем в рамках МАКО промышленности. Осуществляя конфигурации высокой доступности, (написано только с точки зрения МАКО) эти устаревшие системы можно безопасно контролировать и защищать от сетевых атак. Еще одна проблема, с которой часто сталкиваются отрасли, является критически важных систем, которые были инфицированы. Либо инфицированные компоненты не могут быть приняты в автономном режиме, или они находятся в отдаленных местах и не могут быть исправлены. Для того, чтобы предотвратить распространение инфекции, конфигурация высоко конфиденциальна (только для чтения с точки зрения IACS) можно было бы реализовать. Команды или обновления могут быть отправлены к компоненту, но инфекция не сможет распространяться в сети.
6. Заключение Есть много факторов, которые необходимо учитывать при разработке безопасной сетевой архитектуры. • Снижение Кибер риска • Капитальные затраты • Эксплуатационные расходы • Стоимость человеческих ресурсов • Устойчивость • Надежность
Промышленная Кибер-безопастность является Управлением кибер-рисками в рамках рабочего процесса. Цель любой организации, которая осуществляет программу кибер-безопасности, снижать риск наиболее потребляемых ресурсов. Диоды данных прекрасно внедрить в единый контроль кибер-рисков: однонаправленный поток данных. Упрощенное внедрение Диоды данных делает его очень надежным и повторяемым. Основным Диод данных не имеет программного обеспечения набора правил для осуществления и позволяет данным проходить без задержки. Кроме того, без программного обеспечения набора правил для настройки и обслуживания, Диоды данных трудно реализовать неправильно, редко требуют изменения и относительно легко провести аудит. Без гибкости, обеспечиваемой с помощью программного обеспечения набора правил, применение технологии однонаправленной сети ограничена. Кроме того, по сравнению с другими барьерными технологиями, стоимость капитала диоды данных как минимум в сто раз дороже. Как правило, эта технология реализуется только в критических инфраструктурах, таких как электрические сети и электроэнергии. Многие из имеющихся на рынке Однонаправленных шлюзов сегодня могут подражать двустороннему движению с односторонним подключением для некоторых протоколов. МАКО промышленность начинает видеть больше поставщиков систем управления, одобряющие использование Диоды данных в предварительно утвержденных сетевых архитектурах. Более широкое одобрение от поставщиков системы управления будет важным шагом для более общего утверждения Диода данных в МАКО. Утвержденные поставщиками, эталонные архитектуры становятся доступными, мы увидим более однонаправленный Шлюзы реализуется и их точка цены падают. После того, как цена однонаправленным шлюзам более тесно совпадет со стоимостью других технологий барьера (например, сетевыми экранами), мы, вероятно, увидим более широкое распространение в других промышленных областях, таких как энергетика и производство. Сегодня мы видим поставщиков однонаправленных шлюзов оценивающих использование своей технологии в качестве прямой замены других барьеров технологий, таких как межсетевые экраны и белые списки Whitelisting. Чем лучше оценка выполнения, как эти технологии могут быть использованы вместе, чтобы уменьшить кибер-риск столь же низко, как разумности возможно. Это не вопрос, какая технология лучше; это вопрос, который лучше всего подходит для конкретной кибер снижения рисков реализации. Односторонние поставщики шлюзов должны сосредоточиться на производстве поставщика, утвержденных сетевых архитектур, обеспечивающих максимальную эффективность их технологии, а не подчеркивая слабость других барьерных технологий.
|