大川的布落格: [TXOne] 工控場域資安把關之天兵神將

作者 : 劉大川, 睿控網安首席解決方案架構師

在前一篇分享了有關 EdgeIPS 解決方案的心得，

接下來就以 EdgeIPS 型號 102 (以下簡稱 EdgeIPS) 為各位說明基本安裝設定以及它針對工控設備如何進行防護來進行說明。這是 EdgeIPS 工控等級 IPS 最小的型號，包裝採用近年來流行的簡約式環保包裝。

打開後可以看到內容物為二項，一是 EdgeIPS 本體，一是 Console 訊號線。

首先分享 EdgeIPS 的外觀設計。因為部分工控的場合環境條件不佳，高溫、潮濕、震動，所以 EdgeIPS 在設計上為無風扇設計，依賴外觀可以看到的散熱鰭片來散熱。因為沒有風扇，就沒有對流氣流把灰塵帶入機體內，而在機體的密封性也較較。同時也不會有因風扇損壞影響維運。同時也耐高溫，耐潮濕，抗震。因為要在工控環境保護工控設備前，自己要先能在工控的環境活下來😊。

以下是 EdgeIPS 本體各部件功能說明

USB 端口可以用來接上 USB 行動碟支援設定備份移轉或更新韌體，平時不用時套件有防塵蓋，建議蓋上。 EdgeIPS 可以採 Inline model 的部署方式，串接在要防護的網段或設備之前。"習慣"上建議，網路端口 1 接 uplink 網路，網路端口 2 接要防護的網段或設備。

EdgeIPS 也可採 Offline 部署模式，接受網路交換器鏡相過來的流量，建議鏡相流量接在網路端口 2，而 EdgeIPS 的管理 IP，其預設是在網路端口 1。考量其可用性，電力供應也有二組入力端子，其電力為 12伏, 24伏或 48 伏直流供電，電流大約 0.6A 左右。機背有 DIN 軌道安裝套件，可以直接安裝在廠域的 DIN 軌上。

EdgeIPS 102 如有需要電源套件，有另外的獨立套件可購買，為一 12伏特 5A / 60W 的電源供應器。而在電源套件裡附有二種不同規格的歐式端子，如要用在 EdgeIPS 102 上，請用白色的歐式端子來接線。

將歐式端子套上線材，再以四角形歐式端子壓線鉗壓製子即可，不過要注意 102 型須用白色歐式端子，而非照片中黑色端子。

壓製完成的歐式端子。

電源接線端子為具方向性的卡榫式接頭，可以拆下來接好線再裝回 EdgeIPS。

下圖是此次 EdgeIPS 測試環境架構圖，因為 EdgeIPS 是採 Layer 2 透通模式部署，所以在測試環境中所有的主機及裝置均在同一 IP 網段。而右方有三台虛擬機分別在 VMWare Workstation 執行。

1. ODC (OT Defense Console) : 為 EdgeIPS 中央管理系統

2. Kali Linux : 擔任攻擊手任務，針對目標發動攻擊

3. Victim Windows 7 : 擔任 EdgeIPS 防護的受攻擊目標

4. 左方的平板主要是 Kali Linux 的攻擊手，透過無線方式來與 Kali Linux 連線，發動攻擊。或者也可以直接在 Kali 上發動攻擊也可，就可以省去無線基地台及 UHB。主要在外演示時，平板走無線方式連線，可以邀請客戶或聽眾來發動攻擊，較能融入情境。

ODC Server、Kali Linux 及 Windows 7 的安裝方式就不在此文討論範圍，有關 ODC Server 安裝，基本上它是一個虛擬機 OVA 檔案，按照安裝 SOP 匯入即可使用。接下來把 Edge IPS 接上，進行攻擊。可以看到受駭工控主機在沒有 EdgeIPS 防護下，遭受 WannaCry 攻擊，逕行加密檔案。

接著在啟用 EdgeIPS 防護下，再次發動攻擊，這次改利用SCADA 弱點 CVE-2013-0657 進行攻擊，原本遭受攻擊主機應會進行關機動作，但攻擊完成後，工控主機仍安全運轉，檢視 ODC 主機上，攻撃已由 EdgeIPS 逕行阻擋成功。

可以由 ODC 中控台的日誌到看，有偵測並阻擋了 WannaCry 及 SCADA 弱點的攻擊行為。

EdgeIPS 基本設定概要，在此只簡要說明大概過程。

EdgeIPS 套件預設的相關資訊如下，可以直接用一台主機透過瀏覽器直接存取。

IP 地址 : 192.168.127.254

使用者 : admin

密碼 : txone

在第一次登入後，系統會要求更換使用者帳號及密碼。接下來就可以指定 ODC Server 主機位置，向 ODC Server 報到。

剛報到的 EdgeIPS 都未分派到群組，也就是在 Ungrouped 裡。在 EdgeIPS 的世界裡，安控政策是指派在群組裡。而當 EdgeIPS 指派至特定群組時，就會繼承該群組的安控政策。如下圖，此台 EdgeIPS 已指派加入 Fab12-10-27 群組內。

EdgeIPS 的安控政策在實作時，可以為監控模式，或者是防護模式。在監控模式中，只記錄有問題的活動，但不阻斷。而在防護模式中，當發現違反安控政策時，會立即阻斷並記錄。

EdgeIPS 的安控政策，除了一般控制流量的防火牆規則，以及針對工控弱點惡意攻擊 (如樓上影片所示)，特別針對業界工控協定，可以做到進階的深層控制。如 Modbus 只能唯讀或讀寫，抑或是指定的 Function Call。

因此，可以整合生產流程，防止誤操作；或有心人士從未授權來源或透過未授權的 "操作行為" 想要滲透至工控設備時，都能在第一時間立即阻止，保護您的重要資產，讓生產持續運行。

Edge IPS 為工控網路安全而生。從工控零信任觀點出發，透過高效能的 Layer 2 網路隔離功能，搭載可進階控制工控通訊協定引擎，不只阻擋針對工控設備的惡意攻擊，更可控制資料流，融入生產流程，讓產線安全持續運營；再配合虛擬化補丁機制，讓您可以安心且安全的安排更新流程，最大化資產價值，為企業帶來獲利。

延伸閱讀:

[TXOne] 工控場域資安把關神兵利器 - Trend Micro Portable Security 3 / Pro

[TXOne] 工控場域資安把關神兵利器 - TMPS3 使用情境與管理

[TXOne] 工控場域設備資安守護神 - TXOne StellarProtect

[TXOne] 工控場域資安把關之天兵神將 - TXOne EdgeIPS

[TXOne] 工控場域資安把關之天兵神將 - TXOne EdgeIPS 基本安裝篇