保护无线应用程序

工业无线应用正见证着领先制造商和运营商越来越多的行动，以提高可用性和降低成本。理论上，这听起来很棒，但值得考虑的是，在设施中使用这些工业网络之前，确保它们的安全是多么困难。

好消息是，目前可用的最佳实践、技术和产品使得工程团队可以直接安全地实现无线应用程序。当涉及到基本工业控制系统(ICS)安全最佳实践-深度防御(DiD)时，无线应用程序与有线应用程序没有什么不同。DiD是一种基于三个核心概念的整体方法:

1. 多层防御:最终使用了各种安全解决方案，因此如果攻击者绕过一个区域，另一个可以提供所需的防御。
2. 不同的防御层:每个安全层都略有不同，因此攻击者无法自动通过所有防御层。
3. 针对威胁的防御层:每种防御都针对特定的环境和威胁，允许基于使用这些协议的系统的行为和环境进行保护。

无论威胁是偶然的内部事件还是蓄意的外部攻击，DiD方法都将检测、隔离和控制它。概述的无线防御策略一起工作，提供所需的保护层，以确保用户的无线局域网(WLAN)是安全的。

保护技术#1

无线局域网传输路径的一个挑战是它们可以在公司的财产边界之外进行广播。因此，攻击者不需要直接物理访问工业网络来干扰其运行并获取关键和机密信息。

行业合作催生了IEEE 802.11i/WPA2等保护无线数据机密性和完整性的标准。目前市场上的所有产品都必须符合这些标准，以确保控制系统通信是真实的，并且攻击者无法提取敏感数据。

对于WPA2，一定要实现它的企业模式来进行强设备身份验证。与个人网络不同，WPA2(企业模式)为不同的设备提供不同的密钥，密钥在一个中央数据库(如RADIUS)中管理。丢失或被盗的设备只需从数据库中删除其信息，就可以与网络断开连接。

此外，通过WPA2(企业模式)，可以将单个设备分配到不同的虚拟局域网(vlan)中，从而明确区分具有不同角色的设备。这种分割使得攻击者很难获得对网络的进一步访问，如果单个设备被破坏——DiD的一个例子。

保护技术#2

您希望保护的无线通信的另一个方面是管理框架。这些是组织网络内部操作的网络数据包，它们特别容易被伪造和窃听。

设备使用管理框架登录和退出网络，发起新的密钥交换，并在它们从一个接入点漫游到另一个接入点时进行报告。信息可以从窃听的管理帧中获取，伪造的管理帧可以用错误的发送者身份发送出去。攻击者可以通过断开受害者设备与网络的连接来破坏网络的运行。

受保护的管理框架(PMF)非常有用，因为它们旨在通过将WPA2中存在的身份验证和加密机制扩展到管理框架来防止伪造。通过使用具有PMF功能的产品，不可能滥用管理功能来攻击网络。

保护技术#3

即使是最有效的WLAN加密也无法在网络内部发生安全事件时提供保护。但是，通过选择性地将通信限制为仅运行工业应用程序所需的通信，建立了旨在限制内部攻击影响的额外壁垒。

这种类型的限制是另一种深度防御机制，极大地提高了网络的全面安全性。限制网络内通信的其他策略包括:

• 通过在以太网级实现可配置的第2层防火墙来保护WLAN数据。要做到这一点，您需要确保您使用的接入点带有内置的第二层防火墙。最好的可以过滤路由和桥接流量以及WLAN客户端之间的包过滤流量。
• 在安全协议中应用DPI (state - eful deep-packet inspection)。应用二层防火墙规则后，DPI防火墙会对包含消息的内容进行检查，并应用更详细的规则。例如，Modbus DPI防火墙可以确定Modbus消息是读消息还是写消息，然后删除所有写消息。好的DPI防火墙还可以对格式奇怪的消息或不寻常的行为进行“健全检查”。

DPI防火墙通常用于保护具有类似ISA IEC 62443安全要求的设备区域或保护对过程至关重要的设备。请注意，DPI有时用其他术语来表示，例如内容检查或协议白名单，并且它不是一个广泛可用的功能。

关键策略

工业无线的好处，如提高正常运行时间，降低成本，更快和更准确的数据收集，现在很容易实现使用所描述的技术。使用本文描述的技术可以保护数据、设备和控制网络。

-希瑟·麦肯齐(Heather MacKenzie)就职于贝尔登公司Tofino Security。本内容最初出现在ISSSource．由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com．

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。