FG-100FF/M輸入模塊
FG-100FF/M輸入模塊
FG-100FF/M輸入模塊


據(jù)US-CERT（美國計(jì)算機(jī)應(yīng)急響應(yīng)小組）SB11-360和SB12-037公告稱施耐德Modicon Quantum系列PLC存在多項(xiàng)安全漏洞，Tofino技術(shù)總監(jiān)Eric在2011年12月16日的博客中就提前發(fā)布過相關(guān)資訊，這為使用Modicon Quantum系列PLC及所有使用Modbus工業(yè)協(xié)議的用戶敲響了安全防護(hù)的警鐘，從伊朗Stuxnet到Duqu，越來越多的攻擊***行為正越來越多的指向工業(yè)設(shè)備，Tofino以其獨(dú)創(chuàng)的Modbus工業(yè)安全插件模式，為支持Modbus/TCP工業(yè)設(shè)備提供安全保障。
1 安全漏洞分析
針對目前施耐德Modicon Quantum系列PLC的漏洞，大致可將分為以下兩方面。
1.1 Modbus協(xié)議功能碼90（0x5A）的漏洞
根據(jù)Modbus功能碼定義（詳見附錄一），功能碼90為用戶保留的功能擴(kuò)展編碼段，而非Modbus協(xié)議常規(guī)的功能碼，因此，這一漏洞是施耐德公司Modicon Quantum系列PLC所特有的，此功能碼具有啟停PLC設(shè)備、獲取信息、圖形邏輯代碼上傳等可能直接影響PLC正常運(yùn)轉(zhuǎn)的高權(quán)限行為能力，而實(shí)際應(yīng)用中此功能碼可能并非用戶所必要。
1.2 網(wǎng)絡(luò)端口開放漏洞
Modicon Quantum系列PLC存在多項(xiàng)網(wǎng)絡(luò)端口和服務(wù)漏洞，其中包括許多與病毒常用的通訊端口，通過Telnet、FTP、Web、遠(yuǎn)程登錄等手段可以導(dǎo)致PLC癱瘓，PLC在實(shí)際使用中可能并不需要為用戶開放這些網(wǎng)絡(luò)端口，默認(rèn)開放的端口為***攻擊行為創(chuàng)造了環(huán)境。
2 安全漏洞防御解決方案：
通過對Modicon Quantum系列PLC存在的漏洞進(jìn)行分析，我們認(rèn)為可以通過如下方式防御現(xiàn)有的安全漏洞。
2.1 PLC Modbus協(xié)議的深度防護(hù)
Tofino工業(yè)防火墻具有深度檢查和防御Modbus協(xié)議通訊的功能，它可以從Modbus的設(shè)備地址、功能碼、寄存器地址等方面提供Modbus協(xié)議通訊的防護(hù)，通過白名單方式化開放允許的通訊行為，在保證PLC正常通訊的同時(shí)一切不必要的和***的Modbus通訊請求，真正的從應(yīng)用協(xié)議層面保護(hù)PLC的安全，防御Modbus協(xié)議功能碼漏洞，此功能不僅可以用于Modicon Quantum系列PLC，也可以用于所有通過Modbus協(xié)議通訊的工業(yè)設(shè)備。
2.2 PLC的網(wǎng)絡(luò)端口與服務(wù)的安全防護(hù)
Tofino防火墻在實(shí)現(xiàn)Modbus協(xié)議深度檢查和防御的同時(shí)，還可以對PLC控制器默認(rèn)開放的網(wǎng)絡(luò)端口與服務(wù)提供安全防護(hù)，防火墻的白名單方式化開放必要的通訊端口，了Telnet、FTP、Web、遠(yuǎn)程登錄等所有不必要的和***的通訊端口，Tofino防火墻特有的IP功能，使***攻擊者根本無法掃描并攻擊網(wǎng)絡(luò)中的PLC設(shè)備，為其保護(hù)的工業(yè)設(shè)備提供了一個(gè)安全的運(yùn)轉(zhuǎn)環(huán)境。
2.3 隔離企業(yè)內(nèi)網(wǎng)與控制網(wǎng)絡(luò)
通過在企業(yè)內(nèi)網(wǎng)（數(shù)采網(wǎng)）與PLC所在的控制網(wǎng)絡(luò)之間加入Tofino工業(yè)防火墻，安全隔離控制網(wǎng)絡(luò)的PLC設(shè)備不與外界網(wǎng)絡(luò)通訊，防御來自外網(wǎng)的******。數(shù)采網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間往往需要進(jìn)行數(shù)據(jù)通訊，一般采用的工業(yè)協(xié)議為OPC協(xié)議，OPC協(xié)基于DCOM技術(shù)，使用動(dòng)態(tài)端口進(jìn)行通訊，傳統(tǒng)防火墻無法有效的從應(yīng)用協(xié)議層面對OPC協(xié)議進(jìn)行防護(hù)，Tofino工業(yè)防火墻恰恰具有深度檢查與防護(hù)OPC通訊協(xié)議的能力，這樣通過充分發(fā)揮Tofino防火墻作為邊界設(shè)備的優(yōu)勢，能夠?qū)?shù)采網(wǎng)絡(luò)與控制網(wǎng)絡(luò)安全隔離，防御外界網(wǎng)絡(luò)對控制網(wǎng)絡(luò)PLC設(shè)備的***攻擊。
圖1 多芬諾安全防護(hù)示意圖
3 應(yīng)用案例展示：
目前Tofino防火墻已經(jīng)被廣泛的應(yīng)用于工業(yè)信息網(wǎng)絡(luò)，為用戶提供了工業(yè)協(xié)議與工業(yè)網(wǎng)絡(luò)通訊的安全防護(hù)。
案例一：Modbus協(xié)議的防護(hù):
用戶信息:石化青島煉化***
應(yīng)用環(huán)境：SIS儀表安全控制系統(tǒng)工程師站防護(hù)
防護(hù)描述：SIS系統(tǒng)的工程師站使用IFIX軟件作為HMI平臺(tái)，通過Modbus協(xié)議與SIS系統(tǒng)控制器進(jìn)行數(shù)據(jù)通訊，通過流程圖顯示現(xiàn)場數(shù)據(jù)，為用戶提供現(xiàn)場數(shù)據(jù)的實(shí)時(shí)信息，同時(shí)HMI軟件也具備數(shù)據(jù)寫入能力，通過Modbus協(xié)議可以將數(shù)據(jù)寫入到控制器中。
防護(hù)架構(gòu)圖：
圖2 工程師站防護(hù)示意圖
防護(hù)策略：根據(jù)實(shí)際應(yīng)用的了解發(fā)現(xiàn)工程師站只使用功能碼01和03讀***場數(shù)據(jù)，而正常操作情況不需要通過寫入功能碼修改現(xiàn)場數(shù)據(jù)，在防火墻安全策略設(shè)置中我們化開放Modbus協(xié)議的01和03功能碼及必要的地址偏移量和連續(xù)地址范圍，這樣在保證HMI平臺(tái)正常通訊的同時(shí)也將其它所有非必要的功能碼和地址段安全保護(hù)起來，如果有Modbus協(xié)議的***操作都將被防火墻攔截。

圖3 Modbus Enforcer 配置示意圖
案例二：齊魯石化施耐德Modicon Quantum PLC與MES網(wǎng)絡(luò)隔離防護(hù):
用戶信息：石化齊魯石化***
應(yīng)用環(huán)境：齊魯石化*****裝置
防護(hù)描述：企業(yè)MES數(shù)采網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間需要進(jìn)行數(shù)據(jù)通訊，一般采用的工業(yè)協(xié)議為OPC協(xié)議，OPC協(xié)基于DCOM技術(shù)，使用動(dòng)態(tài)端口進(jìn)行通訊，傳統(tǒng)防火墻無法有效的從應(yīng)用協(xié)議層面對OPC協(xié)議進(jìn)行防護(hù)，Tofino獨(dú)有的OPC安全插件恰恰具有深度檢查與防護(hù)OPC通訊協(xié)議的能力，這樣通過充分發(fā)揮Tofino防火墻作為邊界設(shè)備的優(yōu)勢，能夠?qū)?shù)采網(wǎng)絡(luò)與控制網(wǎng)絡(luò)安全隔離，防御外界網(wǎng)絡(luò)對控制網(wǎng)絡(luò)PLC設(shè)備的***攻擊。
防護(hù)架構(gòu)圖：
圖4 PLC與MES網(wǎng)絡(luò)隔離防護(hù)示意圖
防護(hù)策略：在Modicon PLC控制網(wǎng)絡(luò)的OPC Server和上層MES數(shù)采機(jī)之間增加Tofino防火墻，并采用用OPC Enforcer安全插件進(jìn)行防護(hù)。
圖5 OPC Enforcer配置示意圖
附錄一：Modbus協(xié)議功能碼
功能碼 名稱 作用
01 讀取線圈狀態(tài) 取得一組邏輯線圈的當(dāng)前狀態(tài)（ON/OFF)
02 讀取輸入狀態(tài) 取得一組開關(guān)輸入的當(dāng)前狀態(tài)（ON/OFF)
03 讀取保持寄存器 在一個(gè)或多個(gè)保持寄存器中取得當(dāng)前的二進(jìn)制值
04 讀取輸入寄存器 在一個(gè)或多個(gè)輸入寄存器中取得當(dāng)前的二進(jìn)制值
05 強(qiáng)置單線圈 強(qiáng)置一個(gè)邏輯線圈的通斷狀態(tài)
06 預(yù)置單寄存器 把具體二進(jìn)值裝入一個(gè)保持寄存器
07 讀取異常狀態(tài) 取得8個(gè)內(nèi)部線圈的通斷狀態(tài)，這8個(gè)線圈的地址由控制器決定，用戶邏輯可以將這些線圈定義，以說明從機(jī)狀態(tài)，短 報(bào)文適宜于迅速讀取狀態(tài)
08 回送診斷校驗(yàn) 把診斷校驗(yàn)報(bào)文送從機(jī)，以對通信處理進(jìn)行評鑒
09 編程（只用于484） 使主機(jī)模擬編程器作用，修改PC從機(jī)邏輯
10 控詢（只用于484） 可使主機(jī)與一臺(tái)正在執(zhí)行長程序任務(wù)從機(jī)通信，探詢該從機(jī)是否已完成其操作任務(wù)，僅在含有功能碼9的報(bào)文發(fā)送后，本功能碼才發(fā)送
11 讀取事件計(jì)數(shù) 可使主機(jī)發(fā)出單詢問，并隨即判定操作是否成功，尤其是該命令或其他應(yīng)答產(chǎn)生通信錯(cuò)誤時(shí)
12 讀取通信事件記錄 可是主機(jī)檢索每臺(tái)從機(jī)的ModBus事務(wù)處理通信事件記錄。如果某項(xiàng)事務(wù)處理完成，記錄會(huì)給出有關(guān)錯(cuò)誤
13 編程（184/384 484 584） 可使主機(jī)模擬編程器功能修改PC從機(jī)邏輯
14 探詢（184/384 484 584） 可使主機(jī)與正在執(zhí)行任務(wù)的從機(jī)通信，定期控詢該從機(jī)是否已完成其程序操作，僅在含有功能13的報(bào)文發(fā)送后，本功能碼才得發(fā)送
15 強(qiáng)置多線圈 強(qiáng)置一串連續(xù)邏輯線圈的通斷
16 預(yù)置多寄存器 把具體的二進(jìn)制值裝入一串連續(xù)的保持寄存器
17 報(bào)告從機(jī)標(biāo)識(shí) 可使主機(jī)判斷編址從機(jī)的類型及該從機(jī)運(yùn)行指示燈的狀態(tài)
18 （884和MICRO 84） 可使主機(jī)模擬編程功能，修改PC狀態(tài)邏輯
19 重置通信鏈路 發(fā)生非可修改錯(cuò)誤后，是從機(jī)復(fù)位于已知狀態(tài)，可重置順序字節(jié)
20 讀取通用參數(shù)（584L） 顯示擴(kuò)展存儲(chǔ)器文件中的數(shù)據(jù)信息
21 寫入通用參數(shù)（584L） 把通用參數(shù)寫入擴(kuò)展存儲(chǔ)文件，或修改之
22～64 保留作擴(kuò)展功能備用
65～72 保留以備用戶功能所用 留作用戶功能的擴(kuò)展編碼
73～119 ***功能
答

Panasonic AC Servo Driver MBDDT2210003 Free Ship
BRIDGEPORT A027484-183 USPP A027484183
TEXAS INSTRUMENTS 500-5019 WORD OUTPUT MODULE NEW 5005019
ASEA BROWN BOVERI 5735200-A USPP 5735200A
Panasonic MUMS3AZA1E0S Servo Motor & MUDB3A2AAD Servo Drive Set new 0190-23545
ASEA BROWN BOVERI 3HAA0001-JC NSPP 3HAA0001JC
ASEA BROWN BOVERI 48990001-FK USPP 48990001FK
MITSUBISHI BY171E584G51 USPP BY171E584G51
ASEA BROWN BOVERI YPP-110A USPP YPP110A
US MOTORS 65-16347-670-F?077766 USPP 6516347670F077?76
ASEA BROWN BOVERI ACS201-2P7-3-0?0-10 USPP ACS2012P730010
NOS! TEXAS INSTRUMENTS 4 POINT PARALLEL INPUT MODULE 7MT-300 7MT300
TEXAS INSTRUMENTS 500-5011 OUTPUT MODULE LOT 5005011
GENERAL ELECTRIC DS3800HRRA1D1A USPP DS3800HRRA1D1A
ASEA BROWN BOVERI 52700141 NSFP 52700141
MITSUBISHI MTA-100 USPP MTA100
(AG01) PANASONIC M***042A2UE AC SERVO MOTOR WORKING
Panasonic Minas MQDZ023A1A 200 Watt AC Servo Driver Motor Drive
BROWNING 107SC25-200D USPP 107SC25200D
ASEA BROWN BOVERI YB161102-BU NSPP YB161102BU
ASEA BROWN BOVERI EH175C-1 NSFP EH175C1
TEXAS INSTRUMENTS PLC 500-7204 USPP 5007204
TEXAS INSTRUMENTS VPU500-3104 VIDEO PROGRAMMING UNIT
TEXAS INSTRUMENTS PLC 2223050-0004 USPP 22230500004
ORIENTAL MOTOR KBLD180-A USPP KBLD180A
Panasonic AC Servo Driver MSD021A1X04 Free Ship
CTI CRYOGENICS 8112105 NSPP 8112105
Perceptron DSP Frame Grabber 495-0191 96K #29411
Panasonic MSDA041D1A37 Servo Drive Free Ship
One Panasonic AC Servo Driver DV85018HA502
TEXAS INSTRUMENTS PLC 505-6108 NSPP 5056108
WEINIG 1LA5131-2FB90-?ZX51 USPP 1LA51312FB90ZX?51
ASEA BROWN BOVERI 3HAB2214-1/1 USPP 3HAB221411
ROBOTRON 710-AP USPP 710AP
GEMCO ELECTRIC 1993-BIN-4096-?12-R-OC-X USPP 1993BIN409612R?OC
ASEA BROWN BOVERI 57772239 USPP 57772239
TOLEDO SCALE H10987100A NSFP H10987100A
COMPUMOTOR 6K2-NK USPP 6K2NK
NACHI/PANASONI?C MQM082Q9 AC SERVO MOTOR 3000RPM ***NIB***
TEXAS INSTRUMENTS PLC PFS-3607 USPP PFS3607
ALLEN BRADLEY 2711-K6C5 NSFP 2711K6C5
TEXAS INSTRUMENTS PLC 2223050-0004 USPP 22230500004
(AB02) SPR200C-180-M PANASONIC SERVO DVIVER USED WORKING
TEXAS INSTRUMENTS PLC 3RW2-E045 NSFP 3RW2E045
BALLUFF BSW-113-493-X6?4-12L3 NSFP BSW113493X6412?L3
NEW TEXAS INSTRUMENTS 520C-1102
Texas Instruments 7MT200
TEXAS INSTRUMENTS 520C-1102 SERIES 500 CONTROLLER REV 2.6 520C1102
One Panasonic Servo Driver MADDT1207 Free Ship Worldwide
Texas Instruments 505-4732
Panasonic AC Servo Driver MSD5A1A1XX w/ 60 day warranty
Panasonic Servo Driver 1kW MDD103A1VE Free Ship
One-day shipping ailable
Panasonic AC Servo Motor M***041A1A
CTI 2572 for Texas Instruments/Si?emens TI 2572
HELM HPC-7800 USPP HPC7800
DOLAN JENNER SS950-32000 USPP SS95032000
FOXBORO CFT30-1411B2/C?FS30-A1AR0B1 NSFP CFT301411B2CFS?30
I*** 620-1631 USPP 6201631
TEXAS INSTRUMENTS PLC 560-2123 NSFP 5602123
ASEA BROWN BOVERI ACS501-050-40A?P2 USPP ACS50105040AP2
INDRAMAT DKC04.3-100-7-?FW USPP DKC0431007FW
GE FANUC IC600LX648 USPP IC600LX648