植物环境中的Wi-Fi:便利vs.风险
无线以太网无处不在,包括您的制造区域。这是一个极大的便利,但你是否充分保护它?
Wi-Fi无处不在,在我们的家里,办公室,甚至是植物环境中。它现在是通信的骨干,已经取代了传统的有线以太网,用于大多数与互联网相关的流量。由于更低的成本、更高的性能和更好的安全性,它在许多情况下也取代了基于蜂窝的通信。
虽然Wi-Fi可能无处不在,但似乎很少有人真正了解它的工作原理,或者提供安全通信的必要条件。在各种制造环境中工作的个人经验表明,在加工工厂和其他制造环境中尤其如此。但在我们考虑这些问题之前,让我们想想我们是如何走到这一步的。
wi - fi历史
严格来说,Wi-Fi是使用IEEE 802.11标准的无线局域网(LAN),具体名称由Wi-Fi联盟拥有。IEEE(电气和电子工程师协会)于1999年发布了802.11b标准,提供了第一个以1到2mbps的相对较快速率(至少在当时)无线传输数据的实用机制。由于之前的大多数数据连接都是有线的,所以它很快就得到了广泛的采用。
在Wi-Fi出现之前,无线通信通常基于专有的模拟无线电协议,速度很慢,只有9600 Mbps,或者用更直接的格式来说,0.0096 Mbps,这意味着Wi-Fi要快100多倍。此外,旧的系统很少内置数据完整性协议,需要用户添加这些功能。
对于工业应用,Wi-Fi创造了实现复杂高速通信的潜力,尽管终端设备通常仍然使用专有的串行协议。在这一点上,安全不是什么大问题。通信主要是点对点使用Modbus远程终端单元(RTU)或类似的东西。虽然黑客可能想要破坏控制系统来表明自己的观点,但可能没有什么值得窃取的数据。
不断发展的技术
随着pc和其他信息技术(IT)在工业自动化中变得越来越普遍,以太网开始进入工厂车间。以太网使用传输控制协议/互联网协议(TCP/IP)成为规范,但仍然有专有的工业协议,如以太网/IP, Modbus TCP/IP, Profinet,或其他。这些通信方法很像传统的IT网络,企业级网络与工业网络的连接越来越紧密,弥合了使工业侧孤立的空气缺口。现在可以建立一条从最底层的现场设备到业务网络的直接路径。
从工业网络窃取数据现在更容易了,因为黑客可以使用在IT网络中学到的相同工具和方法,但在大多数环境中,仍然没有什么值得窃取的东西。然而,黑客们确实认识到,工业网络提供了一种通过通常不如企业IT网络安全的路径进入的手段。
他们可以使用建立的相同渠道将制造数据转移到管理级IT系统,并且由于制造级网络是脆弱的,因此进行这种转移通常非常简单。
将Wi-Fi转移到工厂
在大多数工业环境中,Wi-Fi部署开始用于解决特定的应用程序问题。一般来说,它们是简单的点对点通信链路,布线不切实际或过于昂贵。新技术被用来取代旧的专有系统,因为它更便宜,更容易使用。企业IT人员通常不知道发生了什么,尽管如果进行无线网络扫描,这些新的工厂网络可能会出现在可用网络列表中。
如果用户意识到这一点,早期的Wi-Fi网络确实会提供安全保障,但通常默认情况下,网络是不安全的,以避免使用密码。在2003年之前,可用的系统是有线等效隐私(WEP),它包含在最初的IEEE 802.11标准中,并针对消费者市场(见表1)。
| 使用时间: | 协议: |
|---|---|
| 1999年至2003年 | WEP |
| 2003至2006年 | WPA与TKIP或AES |
| 2006年至今 | WPA2与AES和CCMP |
它可能足以让邻居远离家庭网络,但破坏它的工具很快就出现了。到2003年,使用临时密钥完整性协议(TKIP)的wi - fi保护访问(WPA)出现了。它要好得多,用高级加密标准(AES)取代TKIP是另一项改进。但没过多久,这些也被打破了。
2006年,随着WPA2的引入,这个问题在很大程度上得到了解决。它使用AES,并增加了带有块链消息认证码协议(CCMP)的计数器密码模式作为TKIP的替代品。即使是这样,也被证明是有可能突破的,尽管要突破它需要大量的时间和精力,而且对大多数黑客来说是不现实的。
草率的安全措施
因此,WPA2至少在技术上解决了黑客问题,但在实践中并不总是如此。大多数Wi-Fi路由器都提供向后兼容性,因此用户可以使用较早的技术之一配置安全设置。
即使在恶劣的工厂环境中,高质量的工业硬化路由器也可以运行多年,因此发现2002年安装的硬件今天仍然可以工作是很常见的。不幸的是,一个有12年历史的路由器只提供一种安全设置,WEP,因为它在构建时是唯一可用的设置。因此,要使新路由器与现有网络一起工作,必须将其设置为WEP,尽管它具有更复杂的安全功能。
许多在工厂安装硬件的人都是维护人员,而不是IT部门。他们安装了一个新的路由器,并将其配置为WEP以匹配现有的硬件,而没有意识到安全功能的差异。安全就是安全,对吧?这个网络在可用网络列表上显示为安全的,所以我们安全了,对吧?
一些无线连接甚至不是由该公司安装的。在工厂工作的服务人员可能会将无线路由器插入可编程逻辑控制器(PLC)或以太网过程网络,以帮助解决故障排除问题。拥有强大安全文化的公司禁止这种事情,但在许多公司,这是一种常见现象。
一个有责任心的技术人员会确保在工作完成后将设备移除,但这些设备很便宜。如果一个被遗忘了,很少有技术人员会花特别的努力去找回它。工作完成后很长一段时间,它可能仍然存在,仍然连接和不安全。如果黑客发现了这个小而易受攻击的网络,那么就提供了一种新的进入方式,可能会进入整个公司的IT基础设施。
了解为什么安全性很重要,以及要遵循的一些解决方案和最佳实践。
为什么安全如此重要
试图侵入公司网络的黑客会选择阻力最小的路径,而过程工厂中不安全或最低限度安全的无线网络是主要目标。对黑客来说,主要的限制是要离工厂足够近才能接收到无线电信号。由于大多数发射机都在围栏线之外传输,这可能不方便,但可能不是一个严重的限制。
如果黑客只能到达一个孤立的工厂网络,那么潜在损害的数量应该是有限的(参见侧栏)。更严重的问题是,当对工厂网络的成功入侵提供了进入企业IT网络的途径时,资金易手,并存储了更有价值的数据。
工厂网络和公司网络之间的连接通常允许数据沿链条向上流动。应该限制向下的流量,以避免办公室里有人干预工厂设置的可能性,并防止黑客从公司网络进入工厂。但有些公司希望或需要双向通信,例如下载所需的生产说明。
大多数公司IT组将在IT和工厂网络之间设置屏障,通常是防火墙、非军事区(DMZ)或点服务器,以控制来回传递的内容。但如前所述,这些通常更关注从IT到工厂的流量,而在监控其他方向的通信时可能不那么警惕。
此外,除非负责配置这些系统的个人对工业网络和制造环境中常见的硬件非常熟悉,否则控制流量的规则很少按其应有的方式配置。
因此,如果黑客下定决心,想要通过植物的Wi-Fi网络入侵更大的系统,他通常只需要离得足够近就可以建立通信。如果黑客确实设法移动到公司网络并且技术娴熟,他可能能够为自己创建一个门,并在随后的访问中直接通过互联网进入。
如果IT安全过于严格,无法打开新的入口,用户可能需要在工厂附近安装一个能够与Wi-Fi网络通信的小型设备,然后通过蜂窝连接将信息发送到更方便的位置。无论如何,有多种方法可以通过Wi-Fi网络在企业网络中建立更永久的立足点。
解决办法是什么?
这个问题并不难解决,但需要一些努力,工厂人员需要注意他们在做什么。以下是一些推荐的程序(见表2):
| 更换任何2006年以前生产的Wi-Fi路由器 |
|---|
| 将所有网络配置为WPA2安全 |
| 使用强密码 |
| 管理密码 |
- 更换任何2006年以前生产的Wi-Fi路由器。旧的路由器可能工作得很好,但如果它们不支持WPA2安全,则应更换为当前的设备。此外,仅仅因为一台设备是2006年制造的,并不一定确保它能够支持WPA2,所以请验证这种能力是否存在。
- 将所有网络配置为WPA2安全。当所有路由器都配备了WPA2时,将其设置为默认安全协议,并对工厂中的所有路由器强制执行。
- 使用强密码。路由器需要设置密码,且必须是有效的密码。每个人都知道密码是可以被破解的,但关键因素是密码的长度和种类。不同类型的字符越多越好。您的最小密码长度应该是16个字符。包括数字和符号可以有所帮助,但字符的绝对数量最重要。创建短语可以帮助人们记住密码,而且不会降低密码的有效性。例如,“myhousehaspurplesshutters”有24个字符,但仍然很容易记忆和输入。
- 管理密码。最好的密码如果写在贴在路由器上的一张纸条上也没用。所有密码的记录都应该写在纸上,并保存在工厂外面的某个地方。办公室里应该有人把它放在安全的文件柜里。密码管理必须包括当一个知道密码的员工离开公司时立即更改密码和登录。不要等到更方便的时候;相反,在员工离开公司后立即更改密码。一个心怀不满的员工比最熟练的黑客要危险得多,因为他或她可能对所有东西的工作原理和配置方式了如指掌。一个心怀不满的前雇员给一个熟练的黑客提供指导是最糟糕的组合。
这些安全措施有效、易于实现、价格低廉,并且可以由工厂人员执行,而无需将IT人员引入流程。当负责工厂Wi-Fi和其他网络的人员能够保持适当的安全水平时,他们就为公司做出了重要的贡献。
植物网络需要什么保护?
与网络安全相关的常见讨论之一是保护敏感制造数据的必要性。在某些情况下,来自工厂的信息确实非常有价值,如果它涉及飞机零件的关键CNC编程或严密保护的化学过程。
然而,在大多数制造操作中可用的数据,如反应堆温度或在一个班次中冲压出多少件,将不会有足够的价值来窃取。那么,黑客为什么要侵入工业网络呢?
一些黑客只是想以这样或那样的方式破坏生产;关闭关键设备,从PLC中删除程序,或打开错误的阀门,造成环境事故。这也许是可能的,但重要的是要正确看待形势。在最坏的情况下,网络罪犯可能会做什么?如果一个工厂的控制系统以这样一种方式运行会产生健康或安全问题,那么这些系统的设计就很糟糕,应该重新评估。
这似乎令人震惊,但如果在控制室工作的工厂操作员或从外部进入的网络犯罪分子能够制造真正的威胁局面,而安全系统无法将工厂转移到安全状态,那么就存在严重的问题。在一个设计合理的控制系统中,黑客可能会立即制造问题,但不会造成长期影响。
然而,这种比例概念并不是让植物级网络不受保护的借口,尤其是无线网络。网络安全防御计划应该反映它所保护的东西的价值。一个设计得当的控制系统的安全方面应该是几乎不可能被破坏的,无论是通过故意的努力还是人为的错误。
- Bruce Billedeaux, PE, Maverick Technologies高级顾问;内容经理彼得·韦兰德编辑,控制工程,pwelander@cfemedia.com。
Maverick Technologies是一家相2015年7月20日的会员
请参阅真实世界工程博客和无线教程博客www.globalelove.com/blogs/
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
