freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

防追蹤溯源識別聯網工控設備的方法
2019-07-10 15:10:41

一、概述

本文章結合作者在平時工作中真實經歷,首先介紹了現有掃描聯網工控設備技術存在的缺陷,基于現有技術提出了一種防追蹤溯源掃描工控設備的解決方法,并在工控安全態勢感知系統、工控應急風險評估和遠程滲透實際場景中應用。其次在解決方案中給出了具體的實施步驟和過程,最后通過多種方案比較,選定在國外購買的VPS上,自己搭建一套穩定、可靠和高效的vpn代理服務應用,并進行了防追蹤溯源技術的驗證。

二、現有技術缺陷

伴隨中國智能制造2025、兩化融合以及工業互聯網等背景下,越來越多的工業控制系統暴露在網絡空間里,為了掌握互聯網上有多少工控設備,以及這些工控設備的型號和存在的風險,市面上大多采用工控態勢感知系統、nmap以及plcscan等工具對聯網的工控設備進行不間斷掃描探測。這些系統或工具的流量出口大多經過公司內部機房或者國內云服務器上,現有技術存在如下缺陷和問題。

1)部署在公司內部機房,一旦觸發掃描目標的入侵檢測系統檢測到發起掃描的源IP,則可以根據該IP進行反滲透或者反攻擊,導致公司內部其它服務器遭受影響;

2)部署在國內云服務器上,一旦掃描目標的檢測系統檢測到發起掃描的源IP,則可以根據購買云服務器備案的客戶信息進行溯源,并追究導致安全事故的責任人;

3)目前市面掃描探測聯網工控設備(態勢感知系統、nmap工具和plcscan等工具)均采用TCP或者UDP方式進行工控設備探測,掃描探測指紋未經過加密保護,容易被第三方截取并分析出采用的關鍵技術方法。

4)目前主流的代理服務器如shadowsocks只能對http或https應用進行代理,不能對ICMP、Telnet、原生tcp、udp socket 服務進行代理傳輸,達到隱蔽掃描的效果;

5)國內的VPN或者免費的VPN不穩定、已掉線,易被中國防火墻封鎖。

三、解決方案

本文章提出了一種基于防追蹤溯源技術識別聯網工控設備的應用方法,解決了傳統技術中出現的未對掃描服務器進行追蹤溯源的保護、未對掃描探測技術方法進行保護等問題。此方法主要分為掃描代理客戶端、代理服務器和掃描目標組成。方法實現主要包含以下步驟:

步驟1:部署代理服務器,國外vultr官網購買一臺VPS服務器,在部署上linux操作系統后,并部署OPENVPN代理服務器應用,并啟動代理服務,監聽代理客戶端的請求。

步驟2:本地部署掃描服務器(如態勢感知系統、nmap工具和plcscan掃描工具等),并在掃描服務器上安裝部署OPENVPN代理客戶端,設置代理客戶端的代理配置文件,主要是配置代理服務器的IP地址、端口、通信方式及證書等信息。

步驟3:通過掃描服務器執行相關的工控掃描任務對聯網工控設備進行掃描識別。所有的掃描行為均會通過VPN代理服務器轉發到掃描目標設備。目標設備返回信息到VPN代理服務器,代理服務再將信息轉發給掃描客戶端,掃描客戶端根據返回的報文與工控指紋庫進行匹配,來進行工控資產識別。 基于防追蹤溯源識別聯網工控設備的業務模型如下圖所示:

image.png

掃描代理客戶端:掃描客戶端首先對代理服務器相關信息進行配置,主要配置代理服務的IP、端口及認證信息。并開始對目標IP設備進行掃描,此時由于配置了代理客戶端,所有掃描請求數據不會直接發送到目標IP設備,而會通過VPN私有通道加密發送到VPN代理服務器上。

代理服務器:代理服務器獲取的掃描客戶端的掃描,會將數據無縫轉發給真實的目標IP設備。

目標工控設備:目標工控設備收到來自VPN代理服務器掃描請求,會對VPN代理服務器進行響應,代理服務器會將此響應加密轉發給原始掃描客戶端。

數據加解密過程:掃描客戶端會對掃描數據進行加密并傳輸給VPN代理服務器,代理服務器也會對響應掃描客戶端的數據進行加密,掃描客戶端收到數據會進行解密。

四、實施過程與驗證方式

實施過程:搭建openvpn環境

1)購買服務器

由于國內如阿里云購買服務器均要實名認證,國外購買服務器價格昂貴等特點,所以決定采用在vultr.com購買VPS服務器,服務穩定、價格低廉、服務器地理區域可任意切換,購買的VPS如下圖所示:

image.png

2)利用docker在VPS上快速搭建openvpn代理應用

首先在linux上安裝docker應用,安裝成功后安裝以下步驟進行openvpn代理服務器安裝部署:

1.打開terminal終端,配置環境變量,輸入如下命令:

export OVPN_DATA=openvpn_data

2.創建一個數據卷存儲配置文件和證書等文件,輸入如下命令:

docker volume create --name $OVPN_DATA

3.初始化配置文件到數據卷中,輸入如下命令:

docker run -v $OVPN_DATA:/etc/openvpn --rm kylemanna/openvpn ovpn_genconfig -u udp://140.82.*.*

140.82.*.* 需替換為購買vps虛擬服務主機IP地址

4.初始化配置,并保存授權密碼,輸入如下命令:

docker run -v $OVPN_DATA:/etc/openvpn --rm -it kylemanna/openvpn ovpn_initpki

5.開啟openvpn容器,輸入如下命令:?

docker run -v $OVPN_DATA:/etc/openvpn -d -p?1194:1194/udp --cap-add=NET_ADMIN --name=openvpn kylemanna/openvpn

6.?生成用戶證書,如果需要生成多個用戶證書可以執行多次該命令,輸入如下命令:

docker run -v $OVPN_DATA:/etc/openvpn --rm -it kylemanna/openvpn easyrsa build-client-full tencent nopass

7.?將用戶證書導出到本地文件,輸入如下命令:

docker run -v $OVPN_DATA:/etc/openvpn --rm kylemanna/openvpn ovpn_getclient tencent >?tencent.ovpn

遠程登錄代理服務器如下圖所示:

image.png

掃描服務器部署openvpn代理客戶端

1)linux Centos7部署使用,參照如下步驟:

1.安裝epel yum源,輸入如下命令:

image.png2.安裝openvpn,輸入如下命令:

yun install -y openvpn

3.將代理服務器安裝部署成功生成的tencent.ovpn文件按照如下方式進修改,tencent.ovpn文件內如下所示:

image.png

并將tencent.ovpn文件,上傳到/etc/openvpn/目錄下,然后日志輸出到/var/log/openvpn.log。

4.在開機啟動項/etc/rc.local 文件添加如下命令,并重啟服務器

openvpn --daemon --cd?/etc/openvpn --config?tencent.ovpn --log-append /var/log/openvpn.log

掃描服務器代理客戶端信息如下圖所示:

測試客戶端IP:192.168.10.108

image.png

客戶端代理配置如下圖所示:

image.png

驗證過程:防追蹤溯源

通過掃描服務器客戶端代理對目標主機222.86.67.52和 114.221.127.188進行防追蹤溯源技術驗證。

1.應用層telnet協議代理驗證

驗證通過192.168.10.108(內網服務器) 通過代理服務器(vpn.server)進行telnet連接目標IP(114.221.127.188)地址的驗證,如下圖所示

image.png

114.221.127.188機器抓包截圖如下所示:

發現是通過140.82.63.14進行的

image.png

2.應用層telnet協議代理驗證

驗證通過192.168.10.108(內網服務器) 通過代理服務器(vpn.server)進行telnet連接目標IP(222.86.57.52)地址的驗證

image.png

從上圖可知,當客戶端通過telent 目標 222.86.57.52 已經通過 vpn@serveryang服務器進行了數據包的轉發。

3.ICMP協議代理驗證

通過192.168.10.108(內網服務器) 通過代理服務器(vpn.server)進行ping 8.8.8.8的驗證,如下圖所示:

image.png

4.nmap掃描代理驗證

nmap掃描驗證如下圖所示:

image.png

5.利用掃描軟件對S7協議plc進行驗證

客戶端對109.105.11.68進行S7協議plc探測驗證如下圖所示:

五、總結

采用OPENVPN私有隧道進行掃描數據加密傳輸,不僅可以防止掃描行為被第三方截取或分析,而且還可以隱藏真實設備的身份,防止真實設備被追蹤溯源,防止真實設備被反滲透、反攻擊的風險。

OPENVPN部署簡單便捷、傳輸穩定可靠、通過綁定域名,IP地址可以任意切換,可以對所有的網絡通訊行進行代理轉發。特別是對原生tcp或udp socket應用進行完全轉發,解決諸如某些代理只能對http或https協議進行代理轉發的問題。

本文搭建的OPENVPN不僅可以用于工控設備隱藏掃描、遠程滲透、應急風險評估等活動中達到隱藏自己真實身份,防止被追蹤溯源的目的,而且還可以應用于翻墻,進行google、facebook及twitter等網站的訪問。

*本文原創作者:yy0308,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載

本文作者:, 屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

# 溯源 # 工控設備 # 防追蹤
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网