Profinet Analysis: ইন্ডাস্ট্রিয়াল নেটওয়ার্ক প্রোটোকলের সাইবার নিরাপত্তা বিশ্লেষণ!

Profinet ইথারনেট কেবল ব্যবহার করলেও সাধারণ TCP/IP নেটওয়ার্কিং থেকে অনেকটা ভিন্ন। প্রোটোকলটি কয়েকটি কমিউনিকেশন ক্লাসে বিভক্ত:

Profinet RT (Real-Time): এটি স্ট্যান্ডার্ড টিসিপি/আইপি স্ট্যাক বাইপাস করে সরাসরি ইথারনেট ফ্রেম ব্যবহার করে। EtherType 0x8892 দিয়ে চিহ্নিত। সাইক্লিক ডেটা এক্সচেঞ্জের জন্য ব্যবহৃত হয়, সাধারণত ১-১০ মিলিসেকেন্ড লেটেন্সিতে।

Profinet IRT (Isochronous Real-Time): হার্ড রিয়েল-টাইম অ্যাপ্লিকেশনের জন্য, যেখানে ১ মিলিসেকেন্ডের নিচে লেটেন্সি প্রয়োজন। এটি নেটওয়ার্ক হার্ডওয়্যারে বিশেষ সিনক্রোনাইজেশন দাবি করে।

Profinet TSN: Time-Sensitive Networking-ভিত্তিক নতুন সংস্করণ, যা স্ট্যান্ডার্ড ইথারনেট হার্ডওয়্যারে ডিটারমিনিস্টিক পারফরম্যান্স দেয়।

আর্কিটেকচারাল কম্পোনেন্ট

Profinet নেটওয়ার্কে প্রধান দুটি ডিভাইস ভূমিকা রয়েছে: IO-Controller (সাধারণত PLC, যেমন Siemens S7-1500) এবং IO-Device (সেন্সর, অ্যাকচুয়েটর, ড্রাইভ)। তৃতীয় ভূমিকা হলো IO-Supervisor, যা ইঞ্জিনিয়ারিং ওয়ার্কস্টেশন (যেমন TIA Portal)।

ডিভাইস ডিসকভারি এবং কনফিগারেশনের জন্য Profinet ব্যবহার করে DCP (Discovery and Configuration Protocol), যা MAC লেয়ারে কাজ করে এবং কোনো অথেন্টিকেশন ছাড়াই IP কনফিগারেশন বা ডিভাইস নাম পরিবর্তন করতে পারে। অ্যালার্ম এবং ডায়াগনস্টিকস PNIO-CM (Context Manager) প্রোটোকলের মাধ্যমে পরিচালিত হয়।

নিরাপত্তা সীমাবদ্ধতা

Profinet মূলত ডিজাইন করা হয়েছিল ক্লোজড, ট্রাস্টেড নেটওয়ার্কের জন্য। ফলে প্রোটোকলে অন্তর্নির্মিত অথেন্টিকেশন বা এনক্রিপশন নেই। যেকোনো ডিভাইস যা নেটওয়ার্কে আছে, সে DCP প্যাকেট পাঠিয়ে অন্য ডিভাইসের কনফিগারেশন পরিবর্তন করতে পারে। এটি একটি মৌলিক ডিজাইন দুর্বলতা।

Profinet-এর বিরুদ্ধে কিছু সম্ভাব্য আক্রমণ পরিস্থিতি বিবেচনা করি।

DCP-ভিত্তিক আক্রমণ

একজন আক্রমণকারী যদি OT নেটওয়ার্কে অ্যাক্সেস পায়, সে DCP Set রিকোয়েস্ট পাঠিয়ে একটি গুরুত্বপূর্ণ IO-Device-এর নাম পরিবর্তন করতে পারে। এর ফলে IO-Controller সেই ডিভাইসকে আর শনাক্ত করতে পারে না, যা প্রসেস ডাউনটাইমের কারণ হতে পারে।

from scapy.all import *
from scapy.contrib.pnio import ProfinetIO
from scapy.contrib.pnio_dcp import ProfinetDCP

dcp_packet = Ether(dst="01:0e:cf:00:00:00") / \
             ProfinetIO(frameID=0xfefd) / \
             ProfinetDCP(service_id=4, service_type=0,
                         option=2, suboption=2,
                         dcp_data_length=10)
sendp(dcp_packet, iface="eth0")

এই উদাহরণটি গবেষণা ও পেনিট্রেশন টেস্টিংয়ের সীমাবদ্ধ পরিবেশে। উৎপাদন নেটওয়ার্কে এ ধরনের পরীক্ষা চালানো অত্যন্ত বিপজ্জনক এবং বেআইনি।

PNIO প্যাকেট ইনজেকশন

PNIO রিয়েল-টাইম ডেটা প্যাকেট MAC লেয়ারে চলে। আক্রমণকারী এই প্যাকেটগুলো ক্যাপচার, মডিফাই এবং রি-ইনজেক্ট করতে পারে। উদাহরণস্বরূপ, একটি ভ্যাল্ভ কন্ট্রোলারে পাঠানো প্যাকেট পরিবর্তন করে ভ্যাল্ভের অবস্থান ম্যানিপুলেট করা সম্ভব।

বাস্তব দুনিয়ার ঘটনা

২০১৬ সালে CLAROTY রিসার্চাররা Siemens SIMATIC S7-1200 PLC-তে Profinet-সম্পর্কিত একাধিক ভালনারেবিলিটি প্রকাশ করেন। এর মধ্যে ছিল রিমোট কোড এক্সিকিউশন এবং অথেন্টিকেশন বাইপাস। ২০১৯ সালে CVE-2019-10936 প্রকাশিত হয়, যা Profinet ডিভাইস টেক্কুনি সরবরাহকারী একটি লাইব্রেরিতে ছিল এবং বহু ভেন্ডরের প্রোডাক্ট প্রভাবিত করে।

ইন্ডাস্ট্রয়ার (Industroyer) ম্যালওয়্যার, যা ২০১৬ সালে ইউক্রেনের পাওয়ার গ্রিডে আক্রমণ করেছিল, ICS প্রোটোকল ম্যানিপুলেশনের একটি উজ্জ্বল উদাহরণ। যদিও এটি IEC 60870 এবং IEC 61850 প্রোটোকল ব্যবহার করেছিল, এই ধরনের আক্রমণ Profinet নেটওয়ার্কেও কাল্পনিকভাবে প্রয়োগ করা সম্ভব।

Profinet ট্রাফিক বিশ্লেষণের জন্য বেশ কিছু টুল উপলব্ধ। Wireshark-এ বিল্ট-ইন Profinet ডিসেক্টর রয়েছে, যা PNIO, DCP, এবং PTCP প্রোটোকল ডিকোড করতে পারে। Profitap ProfiCore এবং Siemens TIA Portal নেটিভ ক্যাপচার এবং বিশ্লেষণ সাপোর্ট দেয়।

PROFInet সিকিউরিটি অ্যাসেসমেন্টের জন্য একটি সাধারণ পদ্ধতি:

tcpdump -i eth0 -w profinet.pcap ether proto 0x8892

wireshark -k -i eth0 -f "ether proto 0x8892 or ether proto 0x8100"

ক্যাপচারের পর বিশ্লেষণের সময় কয়েকটি বিষয় খেয়াল করতে হয়: অজানা MAC অ্যাড্রেস থেকে DCP রিকোয়েস্ট, অপ্রত্যাশিত PNIO প্যারামিটার পরিবর্তন, এবং সাইক্লিক ডেটার অস্বাভাবিক প্যাটার্ন।

ICS-নির্দিষ্ট IDS যেমন Claroty CTD, Nozomi Guardian, এবং Dragos Platform Profinet ট্রাফিকের গভীর ভিজিবিলিটি প্রদান করে এবং বিহেভিয়ারাল অ্যানোমালি শনাক্ত করতে পারে।

Profinet নেটওয়ার্কের নিরাপত্তা নিশ্চিত করতে IEC 62443 স্ট্যান্ডার্ডের নির্দেশিকা অনুসরণ করা উচিত। প্রথমত, নেটওয়ার্ক সেগমেন্টেশন অপরিহার্য। Purdue Model অনুযায়ী Level 0-3 (ফিল্ড ডিভাইস থেকে অপারেশনস)-কে IT নেটওয়ার্ক (Level 4-5) থেকে কঠোরভাবে আলাদা রাখতে হবে। এই সেগমেন্টেশনের জন্য ইন্ডাস্ট্রিয়াল ফায়ারওয়াল এবং ডেটা ডায়োড ব্যবহার করা উচিত।

দ্বিতীয়ত, ফিজিক্যাল সিকিউরিটি। Profinet নেটওয়ার্কের সুইচ এবং কেবল সবসময় ফিজিক্যালি সুরক্ষিত পরিবেশে থাকতে হবে। লকড ক্যাবিনেট, ক্যামেরা সার্ভেইল্যান্স, এবং অ্যাক্সেস কন্ট্রোল ব্যবস্থা থাকা জরুরি।

তৃতীয়ত, Profinet Security Class 2 বা 3 ব্যবহার করা। নতুন Profinet সংস্করণ অথেন্টিকেশন এবং ইন্টেগ্রিটি প্রোটেকশন সাপোর্ট করে। তবে পুরোনো ডিভাইসের সাথে কম্প্যাটিবিলিটি একটি চ্যালেঞ্জ।

চতুর্থত, পোর্ট সিকিউরিটি এবং VLAN। ম্যানেজড সুইচে পোর্ট-ভিত্তিক MAC ফিল্টারিং, 802.1X অথেন্টিকেশন, এবং VLAN আইসোলেশন প্রয়োগ করা উচিত। অননুমোদিত ডিভাইস নেটওয়ার্কে যুক্ত হতে পারবে না।

পঞ্চমত, মনিটরিং এবং অ্যানোমালি ডিটেকশন। ICS-aware IDS মোতায়েন করতে হবে, যা Profinet প্যাকেট ডিসেক্ট করতে পারে এবং অস্বাভাবিক প্যাটার্ন শনাক্ত করতে পারে। উদাহরণস্বরূপ, যদি একটি ইঞ্জিনিয়ারিং স্টেশন থেকে রাত ৩টায় একটি PLC-তে কনফিগারেশন পরিবর্তন হয়, এটি একটি লাল পতাকা।

ষষ্ঠত, ভেন্ডর সিকিউরিটি অ্যাডভাইজরি মনিটরিং। Siemens ProductCERT, Schneider Electric, ABB, এবং অন্যান্য ICS ভেন্ডরদের সিকিউরিটি অ্যাডভাইজরি নিয়মিত পর্যালোচনা করতে হবে। প্যাচিং সাবধানে এবং টেস্টিং পরিবেশে আগে যাচাই করে করতে হবে।

সপ্তমত, ইনসিডেন্ট রেসপন্স প্ল্যান। OT পরিবেশে ইনসিডেন্ট রেসপন্স IT-এর চেয়ে ভিন্ন। সেফটি এবং কন্টিনিউয়াস অপারেশন অগ্রাধিকার। একটি প্রস্তুতকৃত OT-ICS Incident Response Plan এবং নিয়মিত ট্যাবলটপ এক্সারসাইজ পরিচালনা করা জরুরি।