Безжични системи за сигурност на ВиК обекти

В и КСтатииСп. Инженеринг ревю - брой 4, 2015

Bъв ВиК отрасъла от години се използват безжични технологии за редица приложения, включително следене на нивото на водни резервоари, контрол на помпи и мотори, мониторинг на поток и налягане и др. Редица рискове обаче са налице в тази връзка, сред които и опасност от неоторизирано проникване в мрежите. Ето защо за безопасната експлоатация на ВиК обекти е от все по-голяма важност внедряването на ефективни системи за сигурност на безжичните мрежи.

Сигурността е от критично значение във водния сектор, тъй като евентуални кибер атаки биха могли да нанесат щети върху инфраструктурата и да компрометират безопасността на ползвателите на ВиК системите, да доведат до продължителни прекъсвания на водоподаването, да причинят сериозни финансови загуби на комуналните дружества и клиентите им.

Безжични системи за ВиК приложения
Преди да се инициира стратегия за повишаване на сигурността на безжичните мрежи във ВиК системи е необходимо първо да се обоснове необходимостта от внедряване на безжични мрежи. ВиК системите типично се състоят от резервоари за съхранение на вода, тръбопроводни мрежи, помпени системи и инсталации за пречистване на отпадъчни води.

В случаите, в които системата включва водопроводи за питейно водоснабдяване, пречиствателните станции обикновено се състоят от хлораторни апарати, инсталации за филтриране, съоръжения за ултравиолетова дезинфекция или комбинация от тези системи. Когато системата е за отпадъчни води, пречиствателните съоръжения типично са комбинация от инсталации за първично, вторично и третично третиране, които обработват водата преди заустването й във водоизточници.

Безжичните системи за управление на пречиствателни съоръжения се различават по редица показатели от системите за контрол на тръбопроводни мрежи, главно по обхвата. Тръбопроводните мрежи, доставящи питейна вода и събиращи канализационните води от домакинствата и търговските обекти, покриват по-голямата част от територията на почти всеки квартал в градовете.

Ето защо обхватът на безжичните системи за управлението им трябва да е много голям. Тези системи изискват високомощностни радиопредаватели с по-ниска честота, по-високо разположени антени и използването на ретранслатори. Приложенията на безжични контролни мрежи в пречиствателни съоръжения, от друга страна, изискват много по-малък обхват, като използват слаботокова 4-20 mA верига и събират данни от сензори за pH, хлорна концентрация и др.

Данните се изпращат към централния контролен блок, обособен обикновено в контролна зала. Безжичните мрежи за пречиствателни съоръжения типично са базирани на по-ниски предавателни мощности и WirelessHART или ISA100 антени. Основната причина, поради която този тип системи са толкова популярно решение във водния сектор, е ниската им цена.

При управлението на тръбопроводни мрежи има няколко възможни подхода, като един от най-разпространените включва използването на наети от някоя телекомуникационна компания телефонни линии, които обаче могат да се окажат източник на високи месечни разходи или недостатъчно надеждни.

Използването на такива системи за управление на пречиствателни съоръжения би довело до много излишни разноски и време за разкопаване и полагане на тръбопроводи и кабелни линии. Безжичните системи могат да бъдат инсталирани и пуснати в експлоатация за едва няколко часа (в зависимост от особеностите на обекта).

Основи на надеждната радиокомуникация
В наши дни се използват комбинирани FH (frequency hopping) и DS (direct sequence) методи, осигурявайки ефективен инструмент за потискане на смущения. Техниките за радиочестотна модулация продължават да еволюират, позволявайки по-широки честотни обхвати, по-добра работа на системата при смущения и по-добро "съжителство" с други радиочестотни мрежи в близост.

Тази "еволюция" е налице не само в областта на SCADA системите, но и при клетъчните мрежи с появата на 4G технологията, която постепенно измести 2G и 3G мрежите, както и на най-новата версия на комуникационния стандарт 802.11n, която замени по-старите 802.11, 802.11b и 802.11g. Резултатът безспорно е по-надеждна и ефективна работа на безжичните мрежи.

Радиоустройствата с FH технология доказано са най-устойчиви в индустриални условия, твърдят специалистите. Скокообразното изменение на честотата е техника, разработена поначало за военни приложения и все още се използва от военните по цял свят, тъй като е по-трудна за заглушаване. Чрез нея честотата постоянно се сменя, така че, за да бъде осъществен хакерски пробив, нарушителят първо трябва да научи на кои честоти работи системата.

При повечето радиоустройства, когато шумът достигне 10 dB от силата на сигнала, радиото губи връзка, тъй като не е в състояние да различи цифровите стойности "нула" или "единица" от шума. Така поддържането на стабилна радиовръзка ще затрудни хакера да изпрати фалшив сигнал в мрежата докато оригиналният радиопредавател се опитва да изпрати съобщение. Радиоустройства с по-висока предавателна мощност и по-високо разположени антени типично подобряват качеството на сигнала в такива приложения.

Най-общо антените се подразделят на два вида: кръгови (omnidirectional) и насочени (познати още като антени на Яги). Насочените антени изискват прецизно ориентиране и могат да улавят само радиосигнали, идващи от посоката, към която са насочени, докато кръговите антени предават и приемат на 360 градуса.

Ако хакер се опитва да излъчи фалшив сигнал през мрежата, е необходимо да се намира в "коридора" на насочената антена. В случай че обектът е ретранслатор или базова локация на радиостанция например, единственият логичен избор е да се използва антена с кръгова характеристика.

Публични и частни протоколи
Много потребители използват публични безжични протоколи, за да може оборудването от различни производители да комуникира помежду си. 802.11a/b/g е пример за публичен протокол, който позволява на лаптоп от един производител и безжичен рутер от друг например, да се свързват безпроблемно. Протоколният формат е в публичния домейн, който е достъпен за всички.

От друга страна, много производители на безжично оборудване лансират на пазара собствени протоколи, които са оптимизирани за специфични приложения. Ползите от това са по-малко "буферна" служебна честота и повече капацитет за потребителски данни. С 802.11 например приблизително половината от честотната лента се резервира за служебни цели, за да позволи използването на честотата за различни приложения. При собствените безжични протоколи този "буфер" се намалява до 25% или дори по-малко.

Не е толкова трудно частните комуникационни протоколи да бъдат компрометирани от хакерска атака, но при тях е налице допълнителна пречка за нарушителите. Ако атаката е насочена към безжична мрежа, ще е необходимо хакерите да бъдат в близост по-дълго време (например в превозно средство), за да съберат достатъчно информация, на чиято база да хакнат протокола, а това би събудило подозрения.

Техники за кодиране
Преди да се спрем по-подробно на кодирането, е добре да разгледаме параметрите на физическата сигурност. Ключалките, оградите и системите за мониторинг на входовете и помещенията на сградите, в които се помещава оборудването на дадена безжична мрежа, са също толкова важен елемент от стратегията за сигурност, колкото и кодирането.

Важно е да се сменят често паролите за достъп до мрежата, за да се избегнат рисковете за сигурността, свързани с вече "разбити" пароли. Препоръчително е и използването на т.нар. RADIUS (Remote Authentication Dial In User Service) сървъри, които осигуряват централизирано удостоверяване на потребителите, както и на виртуални LAN мрежи, които да отделят процесните данни от публичните домейни.

Съществуват много и разнообразни техники за кодиране, които производителите на оборудване за безжични мрежи могат да използват. Целта на кодирането е да се скрие оригиналното значение на дадено съобщение. Колко успешно е кодирането зависи от това колко време е необходимо за дешифриране на съобщението.

WEP (Wired Equivalency Privacy) техниката се използва в повечето безжични мрежи по стандарта 802.11. Тя е достъпна като 64- или 128-битов шифър, обикновено въвеждан като 10 или 26 шестнадесетични знака. След това този ключ се добавя към произволно генериран вектор за инициализация.

За да бъде удостоверено клиентско устройство с точка за достъп, могат да бъдат използвани два метода "отворена система" (Open System) и "споделен ключ" (Shared Key). При Open System данните се изпращат и ако бъдат декодирани посредством правилния шифър, биват получени. При Shared Key метода се използва WEP ключ. На некодираното съобщение се отговаря с кодирано.

Ако двете си съответстват помежду си, клиентът бива удостоверен и се осъществява връзка с точката на достъп. Методът "отворена система" се счита за по-сигурен, тъй като при втората техника е възможно разбиването на т. нар. споделен шифър. И двата метода се смятат за сравнително несигурни, тъй като в наши дни съществуват много безплатни програми за разбиване на WEP ключове.

WPA (Wi-Fi Protected Access) е метод за кодиране, който измества WEP. WPA включва TKIP (Temporal Key Integrity – временен интегритет на шифъра) протокол. При WEP стандарта се използват фиксирани ключове, които не се променят. TKIP протоколът генерира нов 128-битов шифър за всеки пакет и така предотвратява всички рискове за сигурността, налични при WEP кодирането. WPA техниката включва и инструмент за проверка на целостта на съобщението (Message Integrity Check, MIC). Той не позволява на нарушителите повторно да изпращат пакети данни или да ги променят и изпращат отново.

WPA2 техниката, позната като 802.11i, използва стандартът за усъвършенствано кодиране Advanced Encryption Standard (AES), докато при WEP и WPA се използва по-старият и по-малко сигурен RC4 шифър. При WPA2 кодирането вместо TKIP протокол се прилага CCMP (Counter Cipher Mode Protocol) протокол, който също се счита за по-сигурен.

AES стандартът се явява заместител на по-стара схема за кодиране, известна като DES. AES, и е достатъчно надежден, за да позволява приложения с по-големи дължини на шифъра (192 или 256 бита), включително и за кодиране на свръхсекретна информация.

С течение на времето техниките за кодиране еволюират, паралелно с развитието на компютърните технологии и уменията на хакерите. Като цяло, използването на публични безжични стандарти като 802.11x изглежда несигурно в дългосрочен план при условие, че са налични алтернативи.

Безжичните мрежи във ВиК сектора осигуряват възможности за значителни икономии на средства и повишават оперативната гъвкавост, което опосредства все по-широкото им приложение. Всяка мрежа се конфигурира така, че да е максимално надеждна, преди да започне същинската й експлоатация. Изборът на техника за модулация, честотен обхват, съотношения сигнал/шум, както и изборът на антена, могат да повишат надеждността на мрежата и да я направят по-устойчива на хакерски атаки.

Частните безжични протоколи добавят допълнителна бариера за нарушителите, но налагат оборудването в мрежата да е от един и същ производител. Кодирането на данни в безжичните мрежи, с увеличаването на процесорния капацитет на компютрите, е добър подход към повишаване на сигурността. Не е препоръчително обаче 802.11 честоти да се комбинират с техники за публично кодиране в дългосрочен план, за да не се компрометира сигурността на мрежата.

ЕКСКЛУЗИВНО

Top