作者 | 一骥绝尘
什么是防火墙?
防火墙这三个字相信大家都不陌生,也许有人会先想起电脑上杀毒软件中的防火墙,有人会想起消防设施中的防火门,甚至会有人联想到“翻墙”。防火墙最为广泛的应用确实应该是在网络信息安全上,而其原理和命名确实来源于现实中的消防措施。
设想两个相邻的房间之间建造了一面防火材料构成的墙,那么其中一个房间着火时,这面墙就能阻止火势侵入另一个房间,确保另一个房间的安全。
网络信息安全中的防火墙也是类似,其最本质的功能在于区域隔离和访问控制。
首先整个网络要有不同的安全区域的划分,否则就不存在“墙”一说。区域划分与组网方式息息相关。典型的区域划分比如有车联网与车载网络的划分,以太网与CAN-FD的划分,算力平台与传感器的划分等。
有了不同的区域划分,那么跨区域的访问或者通讯就需要有相应的控制约束,才能实现安全。当然在网络中,要控制的不是熊熊烈火,而是滚滚的数据流量。
传统CAN或者LIN等通讯机制简单,应用防火墙技术显得比较鸡肋。只有在车载以太网上数据量大、情况复杂的网络场景下才值得用防火墙来保护。同时,防火墙技术的底层支撑是相应的软硬件资源,电子控制器必需具备一定的计算能力才能应用防火墙技术。
随着汽车智能化和网联化的发展,汽车网络信息安全的重要性越来越明显。车载以太网的应用日益广泛,控制器的计算能力也日益强大。此时,源自传统互联网的防火墙技术,无疑是汽车网络信息安全的一枚重要武器。
车载以太网防火墙部署
上文提到,防火墙的位置部署与区域隔离息息相关。因此,在介绍防火墙之前,我们先简单介绍下车载以太网的区域划分。
如下图2是一种典型的车载网络架构,主要由几个关键功能域控制器及其下属的传感器和控制器组成。域控制器及其相关控制器组成一个虚拟局域网(VLAN),然后通过以太网连接到中央网关(GATEWAY)上。而中央网关作为车载以太网的重要节点,主要体现在:
1. 作为局域网之间沟通的路由器(Router),沟通各个车载本地网络,如下图的ADAS域与Powertrain域之间的通信。
2. 作为车内、车外网络的分界线。例如下图中Connectivity区域通常包含Tbox, WLAN、 蓝牙等无线连接器件,也是通过中央网关与车内网络脱开。而在OTA或者诊断过程中,外界诊断仪或者云端也会先与中央网关动态建立连接,然后再由中央网关转发相关的信息到各个车内网络。
这指网络上最终接受通讯数据的节点。例如一个毫米波雷达接收了以太网上的车速数据,并用于上层应用,不再转发,这时毫米波雷达就是终端节点。
这指网络上只转发MAC帧(亦即OSI模型的第二层)的网络节点。域控制器内一般部署有局域网交换机(LAN Switch),可以根据MAC地址转发同一个虚拟局域网(VLAN)内的数据。例如一个车速数据从底盘域控制器发送给ADAS域控制器,再由其转发给毫米波雷达。途经的ADAS域控制器上的LAN Switch,只作二层转发给毫米波雷达时,ADAS域控制器就是交换机的角色。当然车速信号也会通过ADAS域控制器的LAN Switch转发给ADAS域控制器内部的处理芯片作上层应用。这个情况下,ADAS域控制器既是交换机,也是终端节点。
这指网络上分发三层及以上报文的节点,典型例子就是中央网关。当然中央网关本身也具有相应的功能和上层应用,所以一般来说它同时也是交换机和终端节点。
这三种车载以太网内的节点都位于不同区域的交界处,那么应该在哪个节点上部署防火墙呢?这与整车网络安全分析的攻击者模型和攻击者路径有关系,也受限于各个电子控制器的软硬件资源。当然一个力求完善的安全网络,应该在上述的三种节点位置上都部署相应的防火墙。
防火墙技术本身是一个跨多层的安全技术。结合OSI模型,这三种节点上应该部署的防火墙需求如下表
车载以太网络的其中一个特征是网络配置信息基本是静态的。OEM一般会有一个通讯矩阵或者通讯数据库,用来定义车上各个节点之间的通讯规则。
基于这个关键特征,车载以太网的防火墙技术一般是基于规则作“白名单”过滤。也就是说,按照提前定义好的通讯矩阵去过滤,满足条件的数据就转发或者使用,否则就丢弃。
第二层防火墙
-
检查MAC帧中的虚拟局域网标签(VLAN TAG)是否与整车通讯数据库定义的一致;
-
一种特殊情况是以太网时间同步(gPTP)帧。这是一种特殊的广播数据,因此没有VLAN TAG,但是需要检查帧中的以太网类型字段,看它是不是属于时间同步帧。在汽车以太网中,时间同步往往用于传感器融合、音视频传输的时间戳。
-
对于路由器或者终端节点,还应该检查收到的MAC帧中的MAC地址。如果是单播报文,应该与自己的MAC地址一致;如果是组播报文,则本节点应该属于组播域内的一员。
这第二层的防火墙规则,大部分可以通过LAN Switch的固件进行配置。少部分例如MAC地址的检查则要上层路由器或者节点自身的处理器完成。
第三层防火墙
第三层防火墙规则主要针对IP数据包,例如:
第四层防火墙
第四层防火墙规则主要针对TCP、UDP链接,例如:
-
TCP头中的“Next Header”类型得正确,如0x06。
-
TCP链接的状态跟踪。例如TCP报文类型应该满足三次握手或者四次挥手的处理时序。
-
UDP头中的“Next Header”类型得正确,如0x11。
-
UDP链接的状态跟踪。例如UDP流的有效时长应该有相应限制。
-
针对ICMP的特殊传输层报文规则。ICMP本来用于传输出错报告控制信息,本身不具备验证机制,因此常被作为“拒绝服务攻击”(Denial of Service, DOS)的对象。例如攻击者在短时间内向目标设备发送大量的ICMP虚假报文,导致目标设备忙于应付无用报文,而无法为用户提供正常服务。因此可以对ICMP报文作端口限速、合法性检查并丢弃不需要处理的报文等的防火墙技术。
第四层以上的防火墙
第四层以上的防火墙规则例如有:
-
按照整车通讯数据库限制通讯的TCP或者UDP端口(Port)。
-
对DoIP等报文类型检查其合法性,例如DoIP协议版本、来源及目的地址等。
-
SOMEIP及应用限制。在基于服务架构(SOA)的背景下,不同的应用程序需要提供或者订阅哪些服务也许可以动态配置,此时也应该动态设置规则检查上层应用程序是否调用了合法的SOMEIP Service,这样才能保证基于服务架构的安全性。
防火墙的功能需求
以上讨论的是基于OSI模型的不同层级的防火墙规则,但是从防火墙作为一个汽车网络功能的角度看,它还有相应的一些需求:
1. 过滤功能。基于上面讨论的规则,防火墙需要拦截非法的数据,避免其进入其他安全区域。
2. 转发功能。如果数据满足规则要求,属于白名单以内,则防火墙应该放行相应的数据,确保其到达接收方。
3. 记录功能。防火墙的相关数据,例如拦截数据流量、防火墙故障状态和防火墙规则数量等,需要存储在相应的安全区域。这部分数据还可以配合其他功能,例如结合诊断功能报告故障码,又或者传递给入侵检测系统(IDS)以分析入侵情况。
4. 其他软硬件基础功能。防火墙与通讯紧密结合,无疑需要底层以太网通讯模块及相关中间件的支撑。硬件方面,HSM或TEE等安全隔离环境也是防火墙技术的需求。
车载防火墙技术展望
上文讨论的主要是当前主流的车载以太网防火墙技术。而随着车载网络的丰富以及车端智能化的发展,下一代的汽车防火墙技术可能会以下面两个方向发展:
1. 更广义的防火墙技术。
例如结合入侵检测技术的入侵防御防火墙(IDPS)、文件(如高精地图)过滤、反垃圾信息过滤等。
2. 更智能的策略制定。
当前主流防火墙技术都是设计特定过滤规则和策略,都是针对已知威胁。但下一代的防火墙也许可以结合人工智能技术来检测数据包的特征,防御未知威胁。
参考来源:
1. Automotive Gateway IP Enabling Scalable Automotive Platforms,
https://semiengineering.com/automotive-gateway-ip-enabling-scalable-automotive-platforms/
2. Network Switch vs Network Router vs Network Firewall,
https://community.fs.com/blog/network-switch-router-firewall-why-need-all-three.html#:~:text=In%20a%20local%20area%20network%20%28LAN%29%2C%20network%20switch,servers%2C%20Internet%20Protocol%20%28IP%29%20cameras%20and%20IP%20printers.
3. Stateful Firewall, https://www.fortinet.com/resources/cyberglossary/
2021年11月5日 09:45
