PROFIBUS - protokół fieldbus Siemens i bezpieczeństwo sieci przemysłowych

PROFIBUS (Process Field Bus) to protokół komunikacyjny opracowany w 1989 roku w ramach niemieckiego projektu badawczego, który stał się międzynarodowym standardem IEC 61158/IEC 61784. Rozwijany przez organizację PROFIBUS & PROFINET International (PI), jest jednym z najszerzej stosowanych protokołów fieldbus na świecie - z ponad 50 milionami zainstalowanych urządzeń. PROFIBUS dominuje w środowiskach Siemens (SIMATIC S7-300/400/1500), ale jest obsługiwany przez tysiące producentów urządzeń polowych.

Mimo że nowsze instalacje coraz częściej wykorzystują PROFINET (Ethernet), PROFIBUS DP pozostaje standardem w istniejących zakładach produkcyjnych, rafineriach, elektrowniach i instalacjach wodociągowych na całym świecie.

Warianty protokołu

PROFIBUS występuje w dwóch głównych wariantach, zoptymalizowanych pod różne zastosowania:

Parametr	PROFIBUS DP	PROFIBUS PA
Warstwa fizyczna	RS-485 (EIA-485)	MBP (Manchester Bus Powered, IEC 61158-2)
Prędkość	9.6 kbps - 12 Mbps	31.25 kbps (stała)
Topologia	Magistrala, do 126 urządzeń	Magistrala, zasilanie + dane na jednej parze
Zasięg	100 m (12 Mbps) - 1200 m (9.6 kbps)	Do 1900 m (z repeaterami)
Uwierzytelnianie	Brak	Brak
Szyfrowanie	Brak	Brak
Zastosowanie	Fabryka - komunikacja PLC z napędami, I/O	Proces - czujniki i siłowniki w strefach Ex
Strefa zagrożenia wybuchem	Nie (wymaga dodatkowych zabezpieczeń)	Tak - iskrobezpieczne (Ex ia/ib)

PROFIBUS DP (Decentralized Peripherals) to wariant “fabryczny” - szybka komunikacja PLC z rozproszonymi modułami I/O, napędami częstotliwościowymi i robotami. Działa na RS-485, oferując prędkości do 12 Mbps.

PROFIBUS PA (Process Automation) to wariant “procesowy” - komunikacja z przyrządami polowymi (przetworniki ciśnienia, temperatury, przepływomierze) w środowiskach procesowych, w tym strefach zagrożonych wybuchem. MBP dostarcza zasilanie i dane na jednej parze przewodów, co jest kluczowe w instalacjach iskrobezpiecznych.

Architektura komunikacji

PROFIBUS DP stosuje model multi-master z mechanizmem token passing między masterami (klasa 1 - PLC, klasa 2 - stacje inżynierskie) i polling slave’ów:

• Master klasy 1 (PLC) - cykliczna wymiana danych z slave’ami w determinisztycznych interwałach
• Master klasy 2 (stacja inżynierska, HMI) - acykliczny dostęp diagnostyczny i konfiguracyjny
• Slave (moduł I/O, napęd) - odpowiada wyłącznie na zapytania mastera

Ramka PROFIBUS zawiera adres źródłowy i docelowy, kod funkcji i dane - bez żadnych pól uwierzytelniania czy szyfrowania.

Ocena bezpieczeństwa

PROFIBUS nie posiada żadnych natywnych mechanizmów bezpieczeństwa:

• Brak uwierzytelniania - każde urządzenie z adresem na magistrali może uczestniczyć w komunikacji. Podłączenie nieautoryzowanego mastera klasy 2 do segmentu RS-485 daje pełen dostęp diagnostyczny do wszystkich slave’ów
• Brak szyfrowania - dane procesowe (wartości pomiarowe, stany wyjść, parametry konfiguracyjne) przesyłane jawnie
• Brak integralności kryptograficznej - FCS (Frame Check Sequence) chroni przed błędami transmisji, nie przed manipulacją
• Token passing bez weryfikacji - mechanizm przekazywania tokenu między masterami opiera się na adresach, bez uwierzytelniania. Atakujący może wstrzyknąć się w pierścień tokenowy
• GSD files as attack vector - pliki GSD (General Station Description) opisujące parametry urządzeń są ładowane do stacji inżynierskiej. Zmanipulowany plik GSD może zmienić konfigurację urządzenia

Specyficzne zagrożenia PROFIBUS:

Ponieważ RS-485 jest medium współdzielonym, każde urządzenie na magistrali widzi cały ruch. Atakujący z fizycznym dostępem do jednego punktu na magistrali może:

1. Pasywnie monitorować wartości procesowe i identyfikować konfigurację systemu
2. Wstrzyknąć ramki podszywając się pod mastera lub slave’a
3. Przeprowadzić atak denial-of-service przez zakłócenie mechanizmu token passing

Segmentacja i ochrona

Ochrona sieci PROFIBUS wymaga połączenia zabezpieczeń fizycznych z segmentacją na poziomie kontrolera i sieci nadrzędnej.

Ochrona fizyczna:

1. Kontrola dostępu do szaf i koryt kablowych - magistrala RS-485/MBP musi być fizycznie chroniona. Każdy punkt dostępu do kabla to potencjalny wektor ataku
2. Detekcja nieautoryzowanych urządzeń - monitoring liczby urządzeń na magistrali (porównanie z konfiguracją referencyjną w PLC)
3. Zabezpieczenie konektorów - użycie zamykanych złączy DB9/M12 tam, gdzie to możliwe

Segmentacja na poziomie kontrolera:

1. PLC jako granica strefy - sterownik PLC jest naturalnym punktem segmentacji. PROFIBUS DP/PA po jednej stronie, PROFINET/Ethernet po drugiej. PLC powinien filtrować dane przekazywane między warstwami
2. Separacja sieci PROFIBUS DP i PA - łącznik DP/PA (link/coupler) powinien być traktowany jako granica strefy bezpieczeństwa
3. Ograniczenie masterów klasy 2 - stacje inżynierskie z dostępem diagnostycznym do PROFIBUS powinny być w dedykowanej strefie z kontrolowanym dostępem

Segmentacja sieci nadrzędnej:

1. Firewall między PROFINET a PROFIBUS - gdy PLC komunikuje się w górę przez PROFINET/Ethernet, interfejs sieciowy wymaga ochrony firewallem z DPI
2. Monitoring ruchu - systemy IDS/NMS dla OT mogą analizować ruch PROFIBUS (przez port mirror na konwerterze lub gateway) i wykrywać anomalie

Szczegółowe wytyczne dotyczące stref i korytarzy w sieciach przemysłowych opisujemy w artykule o segmentacji sieci OT.

Źródła

• PROFIBUS Technology and Application - System Description - oficjalna dokumentacja PI
• IEC 61158 - Industrial Communication Networks - Fieldbus Specifications - standard międzynarodowy
• NIST SP 800-82 Rev. 3 - Guide to OT Security
• PI White Paper - PROFINET Security - bezpieczeństwo w ekosystemie PI
• IEC 62443 - bezpieczeństwo systemów automatyki przemysłowej