【专家博客】SCADA安全和深度数据包检测DPI（二）

• 关键词：SCADA安全,深度数据包检测DPI

深度数据包检测（DPI）对SCADA/ICS安全的未来很重要——在这篇文章中我会说明具体原因。

DPI SCADA安全：回顾基础知识

        在该系列文章的第一部分我详细地解释了DPI技术。来回顾一下，传统的IT防火墙检查网络信息内的TPC/IP和以太网头信息。然后基于这些有限的咨询来决定是允许还是阻止该信息通过。DPI技术允许防火墙深入挖掘位于TCP/IP和以太网上层的SCADA协议。然后防火墙就可以确定SCADA协议的用途，进而针对是允许还是阻止该信息做出更好的决定。

        上一篇文章中我提到了某海运管理公司的案例，该公司使用多芬诺Modbus DPI防火墙来保障PLC控制运河水闸和桥梁。通过阻止所有的Modbus写命令（和编程命令），允许Modbus 数据读取命令，从而提高了运河系统的安全性。

为什么对抗新型恶意软件需要DPI技术

        五年前我会说DPI仅是一项最好拥有的技术。现在由于新一代蠕虫病毒，如Stuxnet、Duqu和Conficker，如果你要确保ICS和SCADA系统的安全的话，DPI则是一项必需的技术。

        当今的恶意软件设计者都知道防火墙和入侵检测系统能立刻识别出异常协议的使用。他们知道如果网络中使用的协议有HTTP(如网页浏览)，Modbus和MS-SQL（如数据库查询），那么新协议的突然出现会让智能系统管理员处于警惕状态。因此蠕虫病毒设计者通过把他们的网络通讯隐藏在其要攻击的网络所使用的协议内，从而在“雷达扫描”下溜过。例如，现在许多蠕虫病毒把自己的出站通讯隐藏在看起来很像标准的HTTP信息中。

        Stuxnet病毒就是秘密使用其它无关协议的一个很好的例子。它为了感染新机器以及被感染机器间的对等通讯（P2P），大量使用了远程过程调用协议。

Stuxnet病毒有很多传播途径，包括将RPC协议作为载体。

        现在RPC协议是SCADA和ICS攻击的一个理想协议，因为在现代控制系统中RPC协议被用于很多合法目的。例如，目前主要的工业整合技术OPC Classic是基于DCOM的，需要允许RPC通讯。

        另外，通过使用微软SMB协议，控制系统服务器和工作站通常可以分享文件和打印机，SMB协议也是在RPC上层运行的。上述案例中最大的相关点在于所有西门子PCS 7控制系统都大量使用了基于RPC的专有信息技术。所以，作为管理员，如果你监视已被Stuxnet感染的网络的网络通讯的话，你能看到的仅仅是比平常多一点的RPC通信，几乎不足以引起报警。

        即使你怀疑某些地方出错，如果你使用的是普通防火墙的话，也无济于事。简单地阻止所有的RPC通讯可能会造成拒绝整个工厂的服务。没有检测RPC信息内容并阻止可疑通讯的工具（如深层数据包检测），你将束手无策。

深度数据包检测提供细粒度安全保障

        DPI技术是一个非常强大的安全工具。它允许工程师阻止恶意信息，同时避免对控制系统造成不必要的影响。没有DPI技术的话，现代蠕虫病毒的设计者就明显占了上风。

        为了走在坏人的前面，DPI技术已是一项工业防火墙必须拥有的技术，这一点又会如何影响你的ICS安全计划呢？