如何保护不安全的网络流量-广州启明自动化科技有限公司

　　当Modbus的开发者在1979年开始利用RS-485标准使异构设备能够进行通信时，现场总线通信互操作性便开始了。RS-485定义了用于串行通信系统中连接各种控制器、传感器、仪器、PID控制器、电机驱动器等的驱动器和接收器的电气特性。DeviceNet、Profibus、SERCOS、ASi、基金会现场总线和HART都纷纷效仿，这些协议至今仍然未被加密。

　　OPC UA(IEC 62541)是一种统一技术，将工业自动化和现代计算技术连接在一起，成为供应商和供应商、工业和企业软件以及是的，云服务技术所生成的互操作性的背景。OPC UA标准使传感器能够与许多类型的控制器和设备通信，并在历史记录器内协调传感器数据。这种功能使企业层能够将过程数据与业务功能相关联，而无需冗余的翻译软件。那么，这一切的连接性和数据如何进行网络化和管理呢?

　　集线器、交换机和现代网络

　　在网络交换机出现之前，集线器是连接以太网网络的主要方式。集线器是一个相当简单的设备，它将每个数据包从源端口物理复制到每个目的端口，并以多播方式将它们连接到一个集线器。

　　虽然这项技术便宜且简单，但由于即使是一个小型网络在低客户数量下也有许多数据包在计算机之间传输，导致集线器上的流量过多，可能会产生潜在的垃圾邮件和干扰。例如，如果1号端口后面的客户端与10号端口后面的客户端交换数据包，原则上只有这两个端口应该看到这些数据包。

　　解决这一困境的方案是引入以太网交换机。交换机比集线器更复杂，因为它的硬件可以更好地理解并转发局域网上的数据包。它可以读取以太网层(前14个字节，6个字节用于MAC地址和2个字节用于EtherType，表明下一层的协议，例如IP)，以及一些上层协议如ARP，理解每个端口连接的MAC地址。通过这些信息，它构建了一个ARP表，并使用该表将数据包仅转发到正确的端口，类似于过去用于电话通信的交换机。

　　广播数据包发送到网络上的所有客户端，仍然需要转发到所有端口，但与早期集线器技术的“全对全”情况相比，交换机仍然是一个巨大的改进。

　　现代网络交换机已经采用了增强的功能来处理复杂的网络设计复杂性，如VLAN和QoS，甚至如果定义为“层3交换机”，它们还可以执行路由器般的任务，其中数据包被路由到其默认MAC地址网关。层3交换机支持虚拟路由器冗余协议(VRRP)和开放最短路径优先(OSPF)。VRRP提供自动分配。

　　当主路由器无法连接时，备用路由器会自动切换到新的主路由器。OSPF 常常在大型网络-like 变电站中使用;它可以计算数据传输的最短路径，使过程更高效。

　　上面描述的所有功能都设计用于高速运行：最初是10 Mbit的速度，然后是100 Mbit或1000 Mbit。如今，某些交换机可以以数十吉比特的速度运行。为了实现这一点，通常会使用专用集成电路(ASIC)。这个硬件电路专门用于交换机的目的，虽然灵活性较低(它不能重新编程或用作通用处理单元)，但它可以以线速传输数据，即可以无数据包丢失和碰撞地传输全吉比特流量。另一个CPU(中央处理单元)仍然负责协调其他功能、配置和设置等。

　　SPAN端口进入聊天

　　SPAN(Switched Port Analyzer)端口，也称为镜像端口，最初由思科引入，以便网络工程师可以解决交换机周围的网络问题。使用集线器技术，很容易了解网络中发生了什么。你只需要连接到一个空闲端口，就可以看到网络中所有流动的数据包。但是，使用交换机时，这已经不再可能。

　　SPAN端口基本上是将一个(或多个)端口配置为可以接收在交换机上、特定VLAN中或一组端口上的流量副本。如今，配置肯定比最初更加复杂。

　　SPAN端口技术的美丽之处在于，这种能力包含在上述讨论的ASIC单元中;因此，它不会通过占用其他任务和服务来影响网络性能。例如，SPAN配置不会导致交换机在其他端口上丢包或引入延迟。

　　虽然在设置SPAN端口时没有对性能的主要担忧，但某些限制可能适用。一些较旧的型号可能在某些情况下省略发送到SPAN端口的一些数据包，但交换机的主要和核心功能不会在其线速中引入延迟。

　　启用OT/ICS网络的监控

　　当我的公司作为最早专注于工业网络安全网络监控的公司之一开始时，一个早期的里程碑是生产一个第三方认证的SPAN端口技术评估报告。报告确认在使用SPAN或镜像端口时，不会观察到对性能的影响。

　　在那次测试中，不同品牌和价格的交换机进行了测试，以向客户展示启用网络监控功能并引入网络安全工具和控制措施并不需要升级到最新的品牌和型号。

　　工业控制系统(ICS)环境主要由异构组件组成，具有定制的操作系统和网络协议，历史上为用于询问定制协议和行为的网络安全工具较少。这在靠近现场和输入/输出(I/O)设备的控制物理系统架构领域尤为明显。定制传感器安装在客户网络内的SPAN或TAP端口，能够实时被动监控原始网络数据，而不干扰业务运营，从而提供对所有网络活动的实时可见性，并能够警报漏洞、正在进行的潜在攻击和新兴的异常情况。

　　现代网络、SPAN端口演变和协议互操作性为操作技术(OT)和工业控制系统(ICS)网络监控与网络安全铺平了道路。如今，安全解决方案提供商已经扩展其软件功能，以查询分析后的流量，包括：

　　完整的数据库匹配已知漏洞和恶意指标，

　　深度包检测以分析数据包流量、命令和连接。

　　威胁情报信息流，以及

　　机器学习引擎用于定义基准网络流量，并在通信和过程变量出现异常时发出警报。

　　这些第三方安全产品提供了全面的安全意识，而供应商特定的选项无法覆盖环境中的异构系统。它们能够对多供应商的OT系统进行持续监控，并帮助保护原本不安全的网络流量。