n
1 问题
1.1 介绍
网络安全在工业自动化中变得越来越重要。
在过去,自动化网络由于专有的现场总线从而成为物理上成为一个孤岛。随着以太网优势凸显使得在工业领域出现了大量基于以太网的解决方案。其具体体现为两个方面:一方面是工业生产越来越多的和以前民用化的网络相连连接越来越紧密,以及通过办公网络需要采集获得生产网络的信息,与生产网络需要大量的信息的交换。另一方面现代的一些技术越来越多的应用到工业控制领域。两种体系的融合度越来越高。由于这方面的进展,工业通信面临着威胁,如从办公室或it环境中的黑客、病毒、蠕虫和木马等。n
1.2 概述
自动化问题概述
自动化单元之间的数据通信需要是被加密的且通信的双方的身份必须是被认证的。数据进过公共网络时被监听。n
2 自动化解决方案
2.1 网络拓扑结构
如下图2所示,pc1(192.168.1.100/24)是工程师站;pc2(192.168.1.101)是普通的办公计算机。plc通过cp343-1 advanced v3的x1口(外网口)连接到了办公网络。从pc1 与cp343-1 advanced v3 之间建立 vpn 的通道。经过交换机的数据是被加密且是通信的双方是经过相互认证的。pc2与cp343-1 advanced v3 之间没有建立 vpn 的通道,pc2 是无法访问plc站。n
图1 网络拓扑结构n
2.2 硬件与软件需求
硬件组件
表1 硬件需求n
设备数量订货号注释电源 ps307 2a16es7 307-1ba00-0aa0cpu 315-2pn/dp16es7 315-2eh14-0ab0可以使用任何其它cpucp 343-1 advanced16gk7 343-1gx31-0xe0scalance x308-2m16gk5 308-2gg00-2aa2可以使用任何其它交换机pc2软件组件
表2 软件需求n
设备数量订货号注释simatic manager
v5.5 sp316es7 810-5cc11-0ya7security configuration
tool v3 or higher1硬件scalances附带有该软件softnet security client v4.016gk1 704-1vw04-0aa0pc机上安装的vpn 客户端软件2.3 核心功能描述
cp 343-1 advanced v3
cp 343-1 advanced v3 集成有 vpn 功能。是西门子针对工业自动化工程安全理念的实现的一部分。可以被配置为 vpn 功能保护自动化单元。
通过它很容易实现对自动化单元的安全访问,仅允许经过被认证的通信伙伴可以访问,且访问的数据是加密的数据。n
3 vpn (virtual private network)安全机制
描述
vpn(虚拟专用网络)是专用网络。通过公共网络(如:internet)向目标局域网传输数据。
为了建立 vpn 需要 vpn 的路由器。n
隧道概念
隧道概念是所有的虚拟专用网络的基础。使用这种技术可以实现一种网络协议的数据报文被整体作为另一种网络协议的数据部分(封装)在另一种网络架构中传输。此过程将创建额外的数据报文头被放置在原始数据的前面。
在转发的过程中原始数据也可以被加密,这取决于隧道要求。
在发送者和接收者(隧道终点)之间有一个隧道连接。下图 2 就是一个基 osi 模型中的三层的隧道工作原理:n
图 2 三层的隧道工作原理n
3.1 ipsec安全标准
描述
ipsec(ip 安全)是夸越网络边界的数据通信的重要部分。它是一个标准化的协议套件。通过 ip 网络提供了独立于制造商,安全和受保护的数据交换。
ipsec 是 ip 协议的扩展,位于 osi 参考模型的第三层。
ipsec 的主要目标是通过非安全网络时保护数据的安全传输。通过对数据包的加密和节点的认证可以对像拦截和数据篡改这些已知的弱点预防。ipsec 具体实现:n
确保数据包的真实性(包认证)n防止未经授权修改实现数据包的保护(数据完整性)n传输的数据包具有保密性n防止重放攻击(防止重复收到相同的数据数据包)n密钥管理如果使用通过安全模块传输ipsec(第3层vpn隧道)传输 ip报文,vlan标记不被发送。 vlan标签通过安全模块将丢失。通过ipsec ip广播或ip多播消息不能被发送!
3.2 ipsec vpn 隧道的建立
ipsec vpn
“ipsec vpn 隧道”或“ipsec 隧道”包含了三个内:n
ipsec的:通过 ipsec 保持数据完整性,数据机密性和认证数据通信以达到安全。nvpn:逻辑上在通过不安全的通信网络在发送者和接收者之间建立私有的连接。n隧道:第三层隧道概念被用于数据传输。逻辑可与一个通信伙伴之间的连接隧道。建立 ipsec vpn 隧道至少需要两个终端设备支持 ipsec 来解析通过三层隧道协议封装的数据包。n
vpn 客户端和 vpn 服务器
通过 ipsec 的安全数据通信总是开始于第一阶段的安全关联协商(ike)和第二阶段的算法与密钥的协商。
最先发起安全关联协商的隧道的终点为 vpn 客户端;等待 vpn 客户端连接的隧道终点为 vpn 服务器。n
4 cp x43-1 advanced v3 概述
4.1 单元保护概念
动机
如果在一个网段中的控制器或智能设备没有或只有最小的自我保护的功能,唯一的选择就是为这些设备创建一个安全的网络环境。实现这一目标的最简单的方法是使用特殊的路由器或网关。他们通过工业级的防火墙来提供 it 的安全。进而实现自身保护。n
单元保护的概念
西门子设计的安全的理念专门针对自动化环境。以满意日益增加的网络安全的需求。
这个概念的核心是自动化网络分段及单元保护。一次单元保护就是根据安全进行网络分段隔离。
单元内的网络节点都受特殊安全模块的数据流控制及审查,只有经过授权的数据帧才能通过。
单元保护的优势
单元保护的主要目的是保护不能自我保护的设备。在大多数情况下这些设备由于成本问题不具备安全功能。另一个原因是技术上的可行性。特别是小型可编程控制器不具备必要的硬件要求。n
4.2 cpx43-1 advanced v3
集成了安全功能 cpx43-1 advanced v3 通信(如下图 3)处理器除了具有通信功能外,除了集成有防火墙功能外还集成有 vpn 功能。
更高一级的安全,vpn 和 ipsec 仅一步实现了数据的安全通信。cpx43-1 advanced v3 即支持 vpn 客户端友支持 vpn 服务器。而且模块可以最多支持 32 个 vpn 通道:n
图 3 带安全功能的 cpx43-1 advanced v3n
5 cpx43-1 advanced v3 vpn功能的组态配置
5.1 配置概述
网络概览
网络的连接如下图 4n
图 4 网络连接n
ip 地址分配
各设备的 ip 地址分配见表 3n
表 3 ip 地址表n
模块ip 地址外部网络engineer pc192.168.1.100/24test pc192.168.1.101/24内部网络cpu 315 – 2pn/dp192.168.0.1cp 343-1 advanced v3 x1192.168.1.1cp 343-1 advanced v3 x2192.168.2.15.2 分配 ip地址
分配 pc的ip地址
根据 表 3 ip 地址列表,通过如下的步骤配置 engineer pc 和 test pc 的 ip地址
表 4n
步骤操作备注1.选择 “开始 > 控制面板 > 网络和共享 > 本地连接>属性”打开 internet protocol version 4(tcp/ipv4).
按表 3 修改engineer pc 和 test pc的 ip 地址.
注意:
对于路由模式,除此之外还需要输入网关地址。node…” 选项对于路由模式,除此之外还需要输入网关地址。在 step里创建一个项目并插入配置 cpu315-2pn/dp 站。操作步骤如下表6n
步骤操作备注1.在 engineer pc 上打开 simatic manager。在 “file” 菜单中选择 “new…” 选项并连接到 ethernet(1);用户名:admin234
密码:admin234user name: admin1234
password:
admin1234只有安装有安全客户端的计算机可以与 cp343-1 advanced v3 建立 vpn
通信并可以实现与 cpu 的通信。n
步骤操作备注1.在模块的列表的窗口点击右键,在 弹出的窗口中选择 insert module。product type:
sofnet configuration
module:
sofnet security client
firmware release:
v4
name of the module:
ssc
点击 “ok”关闭窗口里对于 cp 343-1 的安全功能不能通过 sct 工具下载,只能通过 step 7 项目来下载。
步骤操作备注1.在“security configuration tool”工具选择 ssc 模块后点击下载按钮。并输入证书的密码: admin1234注意:
功能并没有启用。一旦下载成功后,安全功能就启用。cp343-1 advanced , 工业安全 ,虚拟专有网