前言

　　近年來(lái)，工控安全事件頻發(fā)，工控安全不僅事關(guān)工控行業(yè)，更是被上升到國(guó)家安全的高度，優(yōu)秀的工控安全解決方案被應(yīng)用到了生產(chǎn)中，而安全解決方案最終會(huì)落地到安全產(chǎn)品中，越來(lái)越多工控安全產(chǎn)品部署在工業(yè)現(xiàn)場(chǎng)，其中作為安全產(chǎn)品中的主力軍防火墻在現(xiàn)場(chǎng)用得最多。對(duì)工控防火墻的功能測(cè)試已經(jīng)是老生常談，但是對(duì)其安全性測(cè)試卻鮮有人提及，本篇主要介紹了工控防火墻安全測(cè)試一些關(guān)鍵思路，目的是提高工控防火墻自身的安全性。

　　工控防火墻

　　工控防火墻可以根據(jù)需要部署在關(guān)鍵節(jié)點(diǎn)上，如工程師站和控制器之間，或者IT網(wǎng)和OT網(wǎng)之間等，防火墻對(duì)流量進(jìn)行解析，根據(jù)內(nèi)置的規(guī)則對(duì)流量進(jìn)行阻斷或者放行，并對(duì)用戶及時(shí)進(jìn)行通知告警。工控防火墻和傳統(tǒng)的IT類防火墻除了自身需要滿足在工業(yè)現(xiàn)場(chǎng)部署的相關(guān)標(biāo)準(zhǔn)外，最主要的區(qū)別還是在支持的協(xié)議上，除了傳統(tǒng)的IT類協(xié)議，工控防火墻內(nèi)置了大量工控協(xié)議的解析引擎，例如OPC、Modbus TCP、Siemens S7、IEC104、EIP等工業(yè)協(xié)議，而且有些工業(yè)協(xié)議是私有的，只能進(jìn)行定制化處理，在實(shí)現(xiàn)這些解析引擎時(shí)，也會(huì)出現(xiàn)一些安全性問(wèn)題。

　　測(cè)試方法

　　無(wú)論是黑盒還是白盒測(cè)試，都是發(fā)現(xiàn)安全問(wèn)題的利器。

　　黑盒測(cè)試：

　　通過(guò)端口掃描對(duì)防火墻的管理口和業(yè)務(wù)口進(jìn)行端口掃描，發(fā)現(xiàn)其開(kāi)放服務(wù)，或者直接使用漏掃測(cè)試，發(fā)現(xiàn)已知漏洞。安全人員也可以憑借測(cè)試經(jīng)驗(yàn)，發(fā)現(xiàn)未知安全問(wèn)題。

　　白盒測(cè)試：

　　在獲取到代碼情況下，進(jìn)行代碼審計(jì)，退一步來(lái)說(shuō)，即使在獲取固件的情況下，通過(guò)解包固件文件，獲取到其中的相關(guān)代碼，通過(guò)逆向工具進(jìn)行逆向分析。

　　安全測(cè)試

　　暴露的服務(wù)

　　遠(yuǎn)程控制服務(wù)：

　　有些工控防火墻為了維護(hù)方便，會(huì)留下一些諸如SSH，telnet方便運(yùn)維人員進(jìn)行遠(yuǎn)程支持，一旦知道了root密碼，任何人都可以獲取到防火墻的完全控制權(quán)限，這種是非常不安全的設(shè)計(jì)，也是進(jìn)行安全測(cè)試重點(diǎn)關(guān)注的服務(wù)。

　　WEB服務(wù)：

　　WEB服務(wù)一般是在管理口會(huì)開(kāi)放，其他網(wǎng)口訪問(wèn)不到WEB服務(wù)，針對(duì)該服務(wù)進(jìn)行測(cè)試時(shí)，可以沿用傳統(tǒng)的WEB安全測(cè)試思路，對(duì)工控防火墻的WEB口進(jìn)行相關(guān)測(cè)試，重點(diǎn)關(guān)注未授權(quán)訪問(wèn)，命令注入，SQL注入等危害較大的漏洞，一旦出現(xiàn)這類漏洞，有可能會(huì)導(dǎo)致工控防火墻淪陷。

　　安全建議：

　　任何時(shí)候都不應(yīng)該使用硬編碼，工控防火墻是通用性產(chǎn)品，一旦攻擊者知道了硬編碼，就可以利用該硬編碼去攻擊其他同系列的產(chǎn)品。

　　協(xié)議解析

　　防火墻對(duì)協(xié)議解析的健壯性也是值得進(jìn)行測(cè)試的，由于大量工控協(xié)議解析插件可能是廠商自己實(shí)現(xiàn)的，沒(méi)有經(jīng)過(guò)大量安全測(cè)試，那么其中就有可能存在問(wèn)題。為了快速測(cè)試防火墻的健壯性，可以使用模糊測(cè)試對(duì)其進(jìn)行快速測(cè)試。

　　測(cè)試示意圖：

　　fuzz發(fā)送端發(fā)送變異的工控?cái)?shù)據(jù)，在經(jīng)過(guò)防火墻時(shí)，防火墻會(huì)調(diào)用解析引擎對(duì)發(fā)送協(xié)議進(jìn)行解析。

　　fuzz接收端接收到發(fā)送端發(fā)送的fuzz數(shù)據(jù)，返回變異的響應(yīng)數(shù)據(jù)包，這時(shí)防火墻同樣會(huì)進(jìn)行解析。

　　fuzz可以選取大量的工控協(xié)議測(cè)試數(shù)據(jù)，來(lái)保證測(cè)試的覆蓋度，一旦防火墻出現(xiàn)了異常，有可能導(dǎo)致數(shù)據(jù)包丟失或者拒絕服務(wù)。

　　安全建議：解析引擎一般都是c/c++實(shí)現(xiàn)的，在開(kāi)發(fā)的過(guò)程中，要遵守安全編碼規(guī)范，對(duì)數(shù)據(jù)包的長(zhǎng)度字段使用之前一定要對(duì)其范圍進(jìn)行限定，杜絕使用危險(xiǎn)函數(shù)。

　　安全功能繞過(guò)

　　工控防火墻使用得白名單進(jìn)行訪問(wèn)控制，只允許規(guī)則中功能碼，或者工控協(xié)議中的指定讀寫(xiě)地址的數(shù)據(jù)包通過(guò)防火墻。如何構(gòu)造測(cè)試數(shù)據(jù)包需要結(jié)合解析協(xié)議的具體實(shí)現(xiàn)，例如一些協(xié)議解析插件細(xì)粒度不夠，導(dǎo)致惡意的數(shù)據(jù)包可以進(jìn)行“走私”，對(duì)控制器或者其他設(shè)置進(jìn)行惡意操作，這也是安全測(cè)試過(guò)程中需要測(cè)試到的。

　　總結(jié)

　　本篇通過(guò)介紹了對(duì)工控防火墻安全測(cè)試的思路，從不同的測(cè)試途徑對(duì)工控防火墻的安全性進(jìn)行測(cè)試，旨在提高工控防火墻自身的安全性，從而讓安全的解決方案能夠真正安全！也希望廠商能夠更多關(guān)注工控安全產(chǎn)品自身的安全性。