Acheron安全测试之工控防火墙安全测试篇

作者 | 张嘉玮

网络安全产品作为企业抵御网络攻击的重要防护工具，其自身理应足够安全坚固，才能为企业的网络安全保驾护航。然而，今年以来，多款网络安全产品如防火墙、VPN、EDR、堡垒机等陆续曝出存在高危漏洞。据不完全统计，今年1~10月安全产品的漏洞数量总和已达到300多个，超过历史年度最高值。这些漏洞使得原本用来进行安全防护，抵御外部网络攻击的网络安全产品，不仅无法如愿起到安全防护功能，反而会成为黑客进行网络攻击的跳板。

CISRC在开展对工控网络安全产品的Acheron安全测试服务中，也发现了同样的问题：现有的一些工控安全产品存在着安全防护功能不足，自身存在安全漏洞，性能参数不达标等问题。在产品上线前，对产品进行专业的网络安全检测，可以有效防止产品带“病”上线，防止对系统安全性造成隐患。

在本文中，主要对CISRC在Acheron安全测试中关于工控防火墙测试的有关内容和发现的问题进行相关介绍。

由于工控系统在设计之初较少考虑网络安全问题，缺乏网络安全基础，因此面临诸多网络安全风险。为提升工控系统的安全性，一方面需要研制安全型的PLC、DCS等工控产品，提升工控系统的内在安全能力；另一方面则需要借助专业的工控系统网络安全产品进行加固。其中，工控防火墙是工控系统网络安全加固必须配置的设备，工控防火墙技术是工控系统安全技术的基础。

工控防火墙技术主要功能包括实现区域管控，划分控制系统安全区域，对安全区域实现隔离保护；同时，可以对工业控制协议如Modbus、IEC 104、DNP3等进行深度解析，并对OPC端口进行动态追踪，对关键寄存器和操作进行保护等。

在Acheron测试中对工控防火墙测试主要依据以下标准：

IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》

GB/T 37933-2019《信息安全技术工业控制系统专用防火墙技术要求》

OL-NP-003《工控网络安全防护产品测试规范》

Acheron测试中对工控防火墙测试主要分为三部分：安全功能测试、自身安全性测试和性能测试。

安全功能测试主要分为通用安全功能测试和工控安全功能测试。

通用安全功能测试主要测试防火墙的传统安全防护功能，包括包过滤、NAT、状态检测、IP/MAC地址绑定、运维管理、安全审计等。

工控安全功能测试主要测试工控领域对防火墙的特殊要求，包括：

( 1 ) 网络层和应用层的基于白名单策略的访问控制功能。

( 2 ) 工控协议内容深度检测。

( 3 ) 支持动态开放OPC协议端口

( 4 ) 工控防火墙应支持多种运行模式，保证工控防火墙区分部署过程和工作过程，以实现对被防护系统的最小影响。例如，在学习模式，工控防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；在验证模式或测试模式下，工控防火墙对白名单策略外的行为进行告警，但不拦截；在正常工作模式，工控防火墙严格按照防护策略进行过滤等动作保护。

( 5 ) 工业领域的高可靠性和高可用性功能：如Bypass功能、故障自恢复、无风扇设计、双机热备等功能。

其中，工控协议内容深度检测是工控防火墙最核心的功能。因为工控协议种类和格式多样，很多工控协议是特定领域专用的私有协议，所以，工控防火墙支持的协议种类以及对支持工控协议的操作类型、操作的地址范围、操作值等参数的检测粒度和深度是衡量工控防火墙优劣的重要标准。

对工控防火墙进行工控协议内容深度检测这一指标的测试通常采用真实设备或者模拟软件来实现，然而真实设备虽然能高度还原实际工控场景，但单个工控设备支持协议种类有限，想要实现覆盖多种工控协议的场景价格不菲，而且扩展性差。模拟软件虽然能够方便搭建测试环境，但也存在测试深度不够，功能不全，且不支持对私有协议扩展等问题。而且上述两种方法也无法实现异常的协议规约请求测试（如非标准功能码、异常长度、超越限值等），因此需要研制专用检测工具来进行测试。

为了解决上述测试中的痛点和难点，CISRC自主研发了工控协议测试仪ProtoEye，其主要特点包括：

• 支持对主流工控协议内容的深度检测

覆盖Modbus/TCP、OPC、S7、Ethernet/IP、FINS、IEC 104、IEC61850/MMS、IEC61850/GOOSE、IEC61850/SV、BACNET、DNP3、FF、HL7、DICOM等主流工控协议，覆盖电力、轨道交通、石油石化、医疗等不同行业场景

• 深度协议测试覆盖

支持对主流工控协议的全协议栈测试能力，工控协议深度覆盖完整，支持对操作类型、操作对象、操作范围等协议参数的全覆盖。

• 高度可扩展性

支持对私有协议的快速定制化扩展，同时特有的基于规则的工控流量发生引擎可以灵活定制发送的流量组成和流量速度。

• 多种测试方式

同时支持单臂、双臂、旁路等多种测试方式，可实现对工控防火墙、工控安全入侵检测系统、工控安全监测审计系统等多种工控安全防护产品的测试。

工控防火墙作为网络安全防护产品，它的安全功能可以防止外界用户对内部网络重要信息资源的非法存取和访问。然而，在我们实际对工控防火墙的测试中，却发现一些工控防火墙存在着各种自身安全性问题，如拒绝服务攻击、硬编码口令、XSS跨站脚本等，部分工控防火墙甚至存在命令执行漏洞。

使用工控安全防护产品的本来目的是对工控系统进行防护，抵御外部的网络攻击。然而如果使用这些自身存在安全问题的工控安全防护产品，不仅无法起到安全防护功能，反而会成为系统遭受黑客攻击的突破口。

Acheron安全测试中，自身安全性测试部分主要包括协议健壮性测试、固件安全测试和渗透测试。

( 1 ) 协议健壮性测试

协议健壮性测试主要采用CISRC自主研制、国内第一款通过ISASecure国际权威认可的测试工具Acheron对工控防火墙进行协议模糊测试。测试内容包括基础TCP/IP协议健壮性测试（包括Ethernet、ARP、IP、ICMP、UDP和TCP），通用IT协议健壮性测试（根据工控防火墙实际开放的协议功能，如SSH、SNMP、HTTPS等）和工控协议健壮性测试（工控防火墙配置相应的工控协议防护规则，使用Acheron进行对应工控协议的协议健壮性测试）。

从实际测试的结果来看，测试中发现的问题主要集中在工控协议健壮性测试中。由于一些工控防火墙的工控协议解析引擎不够健壮，导致在测试过程中工控防火墙出现宕机或重启的情形，造成拒绝服务攻击。

( 2 ) 固件安全测试

固件安全测试主要依托CISRC自主研发的嵌入式固件脆弱性分析工具FirmTool进行测试。FirmTool通过对工控防火墙固件进行固件元信息提取、固件文件安全分析、组件漏洞关联等，发现固件在文件、组件和函数层面的安全漏洞及隐患。

从实际测试的效果来看，固件安全测试发现的主要问题包括固件硬编码以及所使用组件存在已知漏洞的安全问题。

( 3 ) 渗透测试

渗透测试主要包括使用相关安全工具进行主机安全扫描、web安全扫描和测试工程师手工渗透测试。

通过渗透测试，也发现诸多安全问题。如一些工控防火墙由于部署在工控网络，对自身管理页面安全性不够重视，实际测试中发现其管理页面存在注入、XSS跨站脚本等漏洞；部分工控防火墙存在高危且可利用的已知漏洞；以及一些工控防火墙甚至存在远程命令执行0day漏洞。

性能测试主要关注工控防火墙的吞吐量、延迟、最大并发连接数和最大连接速率。虽然工控防火墙的性能指标要求没有传统IT防火墙那么高，但性能指标也是评价工控防火墙的重要指标之一，并且部分工控系统中对工控防火墙带来的延时要求非常高。

在Acheron安全测试的性能测试中，与传统IT防火墙性能测试所采用策略不同的是，对于最大并发连接数和最大连接速率测试，我们不但会测试基于TCP的传统IT协议（如HTTP）有关指标，也会测试基于TCP的工控协议（如Modbus/TCP）的相关指标进行对比。

实际测试中，我们也发现因为专业的性能测试仪表价格较高，一些厂家没有专业性能测试工具，而使用非标准的方法测试性能指标，所以导致实际的性能测试结果往往与厂家声称的性能指标相差悬殊。因此，建议在对性能指标敏感的项目实际应用前，行业用户或厂商采用专业测试仪表或委托权威检测机构对有关性能参数进行验证测试。

Acheron安全测试服务自开展以来，由于测试粒度较细，测试内容较深，通过标准严苛，因此导致测试通过率低，曾被一些送测厂商戏称为“地狱测试”，来形容产品通过Acheron安全测试的困难。然而，产品只有在上线前测试得越充分，越严格，才能越有质量保障，才能在上线后不留下安全隐患。当前国际形势下，贸易战已全面展开并逐步演变成一场国家之间的科技战。可以预见，网络安全领域也必将成为博弈与对抗的主要战场。高质量高可靠的网络安全产品技术将成为战场上的一项“关键核心技术”。只有通过严格的测试不断帮助网络安全产品提升质量，才能突破核心技术的难题，实现“弯道超车”。

参考文献

[1]邹春明. 工业控制系统信息安全产品标准及测评方法[J]. 自动化博览, 2016.

[2]康天娇, 邹春明. 工业控制系统网络安全产品研究分析[J]. 信息安全与技术, 2020.

[3]肖建荣.工业控制系统信息安全[M].北京：电子工业出版社， 2015.

[4]数说安全：网络安全产品漏洞排行榜， 2020.

原文来源：关键基础设施安全应急响应中心

本文始发于微信公众号（网络安全应急技术国家工程实验室）：Acheron安全测试之工控防火墙安全测试篇