关于Quantum PLC漏洞的解决方案

据US-CERT（美国计算机应急响应小组）称施耐德Modicon Quantum系列PLC存在多项安全漏洞，Tofino全球首席技术总监Eric在2011年12月16日的博客中就提前发布过相关资讯，这为使用Modicon Quantum系列PLC及所有使用Modbus工业协议的用户敲响了安全防护的警钟，从伊朗Stuxnet到Duqu，越来越多的攻击破坏行为正越来越多的指向工业设备，Tofino以其独创的Modbus工业安全插件模式，为支持Modbus/TCP工业设备提供安全保障。

1 安全漏洞分析

针对目前施耐德Modicon Quantum系列PLC的漏洞，大致可将分为以下两方面。

1.1  Modbus协议功能码90（0x5A）的漏洞

根据Modbus功能码定义，功能码90为用户保留的功能扩展编码段，而非Modbus协议常规的功能码，因此，这一漏洞是施耐德公司Modicon Quantum系列PLC所特有的，此功能码具有启停PLC设备、获取密码信息、图形逻辑代码上传下载等可能直接影响PLC正常运转的高权限行为能力，而实际应用中此功能码可能并非用户所必要。

1.2 网络端口开放漏洞

Modicon Quantum系列PLC存在多项网络端口和服务漏洞，其中包括许多黑客与病毒常用的通讯端口，通过Telnet、FTP、Web、远程登录等手段可以导致PLC瘫痪，PLC在实际使用中可能并不需要为用户开放这些网络端口，默认开放的端口为非法攻击行为创造了环境。

2 安全漏洞防御解决方案：

    通过对Modicon Quantum系列PLC存在的漏洞进行分析，我们认为可以通过如下方式彻底防御现有的安全漏洞。

2.1  PLC Modbus协议的深度防护

Tofino工业防火墙具有深度检查和防御Modbus协议通讯的功能，它可以从Modbus的设备地址、功能码、寄存器地址等方面提供Modbus协议通讯的全面防护，通过白名单方式最小化开放允许的通讯行为，在保证PLC正常通讯的同时屏蔽一切不必要的和非法的Modbus通讯请求，真正的从应用协议层面保护PLC的安全，彻底防御Modbus协议功能码漏洞，此功能不仅可以用于Modicon Quantum系列PLC，也可以用于所有通过Modbus协议通讯的工业设备。

2.2  PLC的网络端口与服务的安全防护

Tofino防火墙在实现Modbus协议深度检查和防御的同时，还可以对PLC控制器默认开放的网络端口与服务提供安全防护，防火墙的白名单方式最小化开放必要的通讯端口，屏蔽了Telnet、FTP、Web、远程登录等所有不必要的和非法的通讯端口，Tofino防火墙特有的屏蔽IP功能，使非法攻击者根本无法扫描并攻击网络中的PLC设备，为其保护的工业设备提供了一个安全的运转环境。

2.3  隔离企业内网与控制网络

通过在企业内网（数采网）与PLC所在的控制网络之间加入Tofino工业防火墙，安全隔离控制网络的PLC设备不与外界网络通讯，防御来自外网的非法侵入。数采网络与控制网络之间往往需要进行数据通讯，一般采用的工业协议为OPC协议，OPC协基于DCOM技术，使用动态端口进行通讯，传统防火墙无法有效的从应用协议层面对OPC协议进行防护，Tofino工业防火墙恰恰具有深度检查与防护OPC通讯协议的能力，这样通过充分发挥Tofino防火墙作为边界设备的优势，能够将数采网络与控制网络安全隔离，防御外界网络对控制网络PLC设备的非法攻击。

3 应用案例展示：

目前Tofino防火墙已经被广泛的应用于工业信息网络，为用户提供了工业协议与工业网络通讯的安全防护。

案例一：Modbus协议的防护:

用户信息:中国石化青岛炼化分公司

应用环境：SIS仪表安全控制系统工程师站防护

防护描述：SIS系统的工程师站使用IFIX软件作为HMI平台，通过Modbus协议与SIS系统控制器进行数据通讯，通过流程图显示现场数据，为用户提供现场数据的实时信息，同时HMI软件也具备数据写入能力，通过Modbus协议可以将数据写入到控制器中。

防护架构图：

防护策略：根据实际应用的了解发现工程师站只使用功能码01和03读取现场数据，而正常操作情况不需要通过写入功能码修改现场数据，在防火墙安全策略设置中我们最小化开放Modbus协议的01和03功能码及必要的地址偏移量和连续地址范围，这样在保证HMI平台正常通讯的同时也将其它所有非必要的功能码和地址段安全保护起来，如果有Modbus协议的非法操作都将被防火墙拦截。

案例二：齐鲁石化施耐德Modicon Quantum PLC与MES网络隔离防护:

用户信息:中国石化齐鲁石化分公司

应用环境：齐鲁石化*****装置

防护描述：企业MES数采网络与控制网络之间需要进行数据通讯，一般采用的工业协议为OPC协议，OPC协基于DCOM技术，使用动态端口进行通讯，传统防火墙无法有效的从应用协议层面对OPC协议进行防护，Tofino独有的OPC安全插件恰恰具有深度检查与防护OPC通讯协议的能力，这样通过充分发挥Tofino防火墙作为边界设备的优势，能够将数采网络与控制网络安全隔离，防御外界网络对控制网络PLC设备的非法攻击。

防护架构图：

防护策略：在Modicon PLC控制网络的OPC Server和上层MES数采机之间增加Tofino防火墙，并采用用OPC Enforcer安全插件进行防护。