RM新时代网站-首页

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

常見的OT/工業(yè)防火墻的錯(cuò)誤和解決方法

如意 ? 來源:嘶吼網(wǎng) ? 作者:小二郎 ? 2021-02-14 16:18 ? 次閱讀

防火墻很容易發(fā)生配置錯(cuò)誤的情況。盡管對(duì)于有些防火墻來說,配置錯(cuò)誤的安全后果是可以接受的,但深度防御OT(運(yùn)營(yíng)技術(shù))網(wǎng)絡(luò)體系結(jié)構(gòu)中錯(cuò)誤配置的防火墻所帶來的累積風(fēng)險(xiǎn)通常是不可接受的,甚至是毀滅性的。

大多數(shù)工業(yè)站點(diǎn)都將防火墻部署作為其OT/工業(yè)網(wǎng)絡(luò)的第一道防線。但是,配置和管理這些防火墻是一項(xiàng)異常復(fù)雜的工作,因?yàn)闊o論是配置本身還是其他方面都非常容易出錯(cuò)。

本文探討了防火墻管理員易犯的8種常見錯(cuò)誤,并描述了這些錯(cuò)誤將如何危害防火墻功能及網(wǎng)絡(luò)安全。但是,這里給出的經(jīng)驗(yàn)教訓(xùn)并不是“停止犯錯(cuò)”。本文還探討了單向網(wǎng)關(guān)技術(shù),以替代我們目前最重要的OT防火墻。單向網(wǎng)關(guān)為工業(yè)運(yùn)營(yíng)提供物理保護(hù),而不僅僅是軟件保護(hù)。這就意味著對(duì)于單向網(wǎng)關(guān)而言,配置中的任何錯(cuò)誤都不會(huì)損害網(wǎng)關(guān)為工業(yè)網(wǎng)絡(luò)所提供的保護(hù)。

每個(gè)人都會(huì)犯錯(cuò)誤。確保運(yùn)營(yíng)安全的秘訣并不是奇跡般地避免所有錯(cuò)誤(這一點(diǎn)幾乎也實(shí)現(xiàn)不了),而是將我們的工業(yè)網(wǎng)絡(luò)設(shè)計(jì)成即便在配置防御措施時(shí)出錯(cuò),也仍然不會(huì)威脅到工業(yè)運(yùn)營(yíng)的正確性和連續(xù)性。

8種常見的OT/工業(yè)防火墻錯(cuò)誤

1. 保留IP“任意”訪問規(guī)則

防火墻對(duì)于接入和傳出連接的表現(xiàn)是不一致的。默認(rèn)情況下,大多數(shù)用戶防火墻都拒絕所有接入本地網(wǎng)絡(luò)的連接,但對(duì)于所有傳出連接的規(guī)則是“允許任何/任意”。這一點(diǎn)上,商業(yè)級(jí)和工業(yè)級(jí)防火墻表現(xiàn)得有所不同——有些防火墻對(duì)所有方向的流量都具有“拒絕所有”的默認(rèn)策略。而有些則默認(rèn)設(shè)置為“允許所有人共享”。在配置第一個(gè)非默認(rèn)規(guī)則之前,有些默認(rèn)設(shè)置為“允許任意使用”,然后默認(rèn)設(shè)置切換為“全部拒絕”。有些只在其配置用戶界面中顯示其默認(rèn)規(guī)則,而其他地方不顯示。

對(duì)于某些型號(hào)的防火墻來說,就很容易錯(cuò)誤地將“允許任意使用”規(guī)則保留。而錯(cuò)誤地保留可見的默認(rèn)值或不可見的隱含“允許任意使用”規(guī)則的后果是,使工業(yè)網(wǎng)絡(luò)中的多種類型的連接都處于啟用狀態(tài)——這就等于允許那些并未被我們配置的其他規(guī)則明確禁止的所有連接/攻擊進(jìn)入我們的工業(yè)網(wǎng)絡(luò)之中。

2. 使用錯(cuò)誤的規(guī)則順序

一旦確定了需要為防火墻設(shè)置的所有規(guī)則,就必須仔細(xì)注意規(guī)則集中規(guī)則的順序。防火墻規(guī)則是按順序進(jìn)行處理的。按照錯(cuò)誤的順序輸入或配置的規(guī)則可能會(huì)導(dǎo)致意外和不良的防火墻行為。

例如,假設(shè)我們有兩個(gè)規(guī)則,第一個(gè)規(guī)則是“接受來自子網(wǎng)中IP地址1-64的所有連接”,第二個(gè)規(guī)則是“拒絕來自同一子網(wǎng)中IP地址23的連接”。如果接受規(guī)則位于規(guī)則集中的第一個(gè),并且防火墻從地址23接收到連接請(qǐng)求,則“接受1-64”規(guī)則將導(dǎo)致允許連接,“拒絕”規(guī)則永遠(yuǎn)發(fā)揮不了作用。

3. 沒有禁用未使用的管理接口

由于防火墻制造商希望確保輕松配置,因此默認(rèn)情況下,他們會(huì)啟用多種類型的管理接口,通常包括SSH、Telnet和串行接口以及加密和未加密的Web界面。啟用未加密的接口意味著使用這些接口時(shí),攻擊者可能能夠在網(wǎng)絡(luò)上看到密碼。此外,保留所有不必要的接口處于啟用狀態(tài)還會(huì)增加攻擊面和暴露程度。它還使攻擊者能夠使用網(wǎng)絡(luò)釣魚攻擊或其他攻擊來竊取這些接口的密碼,并只需登錄即可重新配置防火墻。

4. 保留防火墻默認(rèn)密碼不變

大多數(shù)防火墻附帶默認(rèn)的管理用戶名和密碼。這些密碼記錄在設(shè)備的用戶手冊(cè)中,因此對(duì)于攻擊者和其他搜索信息的人來說,這些信息都是眾所周知的。沒有更改默認(rèn)密碼,意味著能夠連接到任何一個(gè)處于啟用狀態(tài)的管理界面的攻擊者都可以登錄防火墻并重新配置它。

當(dāng)防火墻連接到外部身份驗(yàn)證,授權(quán)和計(jì)費(fèi)(AAA)服務(wù)(例如RADIUS服務(wù)器、Active Directory服務(wù)器、IAM基礎(chǔ)設(shè)施或其他口令管理服務(wù)器)時(shí),未能更改默認(rèn)密碼是一個(gè)特別常見的錯(cuò)誤。密碼管理服務(wù)通常無法控制內(nèi)置的管理員賬戶和密碼。實(shí)際上,最佳實(shí)踐認(rèn)為,至少有一個(gè)管理員賬戶應(yīng)該脫離身份管理系統(tǒng),以作為因任何原因失去與AAA系統(tǒng)聯(lián)系的備份。

5. 未能修補(bǔ)防火墻

工程師和管理員可能擁有大量且昂貴的測(cè)試和軟件更新程序,以保持其工業(yè)控制系統(tǒng)的安全。這些程序通常將重點(diǎn)放在難以修補(bǔ)的操作設(shè)備上,以排除諸如防火墻和受管交換機(jī)之類的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)組件。未能修補(bǔ)防火墻,意味著攻擊者可以利用眾所周知且廣泛使用的舊漏洞和防火墻漏洞來破壞我們的防火墻。

6. 未能規(guī)劃額外的基礎(chǔ)設(shè)施成本

部署防火墻可能會(huì)帶來重大成本以及一些意外成本,因?yàn)榉阑饓Σ渴鹜ǔP枰獙?duì)其他基礎(chǔ)結(jié)構(gòu)進(jìn)行重大更改。這些更改和費(fèi)用可能包括:

當(dāng)使用新的防火墻分割以前的“扁平化”網(wǎng)絡(luò)(flat network)時(shí),在OT和/或企業(yè)網(wǎng)絡(luò)上重新編號(hào)IP地址;

其他網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu),例如交換機(jī)、路由器和身份驗(yàn)證系統(tǒng);

人員和/或系統(tǒng)收集、關(guān)聯(lián)和分析防火墻日志,以嘗試檢測(cè)攻擊者何時(shí)猜測(cè)密碼或試圖獲取網(wǎng)絡(luò)訪問權(quán)限。

如果上述任何更改需要重新啟動(dòng)整個(gè)控制系統(tǒng),那么實(shí)際成本會(huì)更高,甚至可能需要加上物理/工業(yè)操作的停機(jī)成本等等。

7. 未能定期檢查和管理的規(guī)則集

防火墻規(guī)則必須定期更新和檢查。為短期測(cè)試、緊急維修和其他需求而引入的“臨時(shí)”規(guī)則不得保留。必須刪除過時(shí)的設(shè)備和軟件系統(tǒng)的規(guī)則。必須刪除為已離職或已更換職位的員工使用的IP地址提供OT訪問權(quán)限的規(guī)則。所有這些更改以及許多其他更改都必須記錄在案,以便將來的審閱者能夠知道與誰聯(lián)系以確定這些配置的規(guī)則是否仍然有效。

簡(jiǎn)單來說,如果我們?cè)试S積累不必要的規(guī)則,那么隨著時(shí)間的推移,防火墻會(huì)看起來越來越像路由器——允許太多種類型的連接進(jìn)入需要設(shè)備保護(hù)的網(wǎng)絡(luò)。

8. 相信防火墻是“僅出站”

在過程控制系統(tǒng)網(wǎng)絡(luò)中,我們通常認(rèn)為受到了保護(hù),因?yàn)榉阑饓σ雅渲脼閮H允許從工業(yè)網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的出站連接。這是一個(gè)非常嚴(yán)重的錯(cuò)誤。用著名的SANS講師Ed Skoudis的話來說,“出站訪問等于入站命令和控制”。所有TCP連接,甚至是通過防火墻的TCP連接,都是雙向連接。與電子郵件服務(wù)器和Web服務(wù)器的連接始終會(huì)通過“僅出站”防火墻來發(fā)起攻擊。連接到命令和控制服務(wù)器的惡意軟件也是如此。更普遍的是,連接到受到破壞的企業(yè)服務(wù)的工業(yè)客戶可能會(huì)將破壞傳播到控制系統(tǒng)中,并使工業(yè)運(yùn)營(yíng)陷入危險(xiǎn)。

防御建議:部署單向網(wǎng)關(guān)技術(shù)

相對(duì)安全的工業(yè)網(wǎng)絡(luò)越來越多地在IT/OT接口而不是防火墻上部署單向網(wǎng)關(guān)技術(shù)。單向技術(shù)的一個(gè)重要優(yōu)點(diǎn)是,即使出現(xiàn)意外配置錯(cuò)誤,也不會(huì)因配置錯(cuò)誤而損害網(wǎng)關(guān)為OT網(wǎng)絡(luò)提供的保護(hù)。單向網(wǎng)關(guān)硬件實(shí)際上只能從OT網(wǎng)絡(luò)到企業(yè)這一個(gè)方向上傳遞信息。無論多么復(fù)雜的網(wǎng)絡(luò)攻擊,都無法改變硬件的行為,任何網(wǎng)絡(luò)攻擊信息也無法通過硬件到達(dá),以任何方式損害受保護(hù)的OT網(wǎng)絡(luò)。

為了簡(jiǎn)化安全的IT/OT集成,單向網(wǎng)關(guān)軟件將服務(wù)器從工業(yè)網(wǎng)絡(luò)復(fù)制到企業(yè)網(wǎng)絡(luò)。例如,假設(shè)企業(yè)用戶和應(yīng)用程序從基于SQL的歷史數(shù)據(jù)庫中獲取其OT數(shù)據(jù)。在這種情況下,單向網(wǎng)關(guān)會(huì)在OT端查詢數(shù)據(jù)庫,將接收到的數(shù)據(jù)轉(zhuǎn)換為單向格式,把數(shù)據(jù)發(fā)送到企業(yè)端,然后將數(shù)據(jù)插入到相同的SQL/歷史數(shù)據(jù)庫中。之后,企業(yè)用戶和應(yīng)用程序便可以從企業(yè)副本數(shù)據(jù)庫中正常雙向訪問其數(shù)據(jù)。如果需要,副本數(shù)據(jù)庫服務(wù)器還可以使用與工業(yè)歷史數(shù)據(jù)庫完全相同的IP地址——這是因?yàn)閱蜗蚓W(wǎng)關(guān)不是防火墻或路由器,不會(huì)被設(shè)備兩側(cè)使用的相同IP地址搞混。

使用單向網(wǎng)關(guān)硬件保護(hù)工業(yè)網(wǎng)絡(luò),無論有多少密碼被盜或系統(tǒng)未打補(bǔ)丁,都無法從企業(yè)網(wǎng)絡(luò)或來自網(wǎng)絡(luò)之外的互聯(lián)網(wǎng)的軟件攻擊到達(dá)受保護(hù)的OT網(wǎng)絡(luò)。

本文翻譯自:https://threatpost.com/waterfall-eight-common-ot-industrial-firewall-mistakes/155061/如若轉(zhuǎn)載,請(qǐng)注明原文地址。
責(zé)編AJX

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
收藏 人收藏

    評(píng)論

    相關(guān)推薦

    【電腦安全技巧】電腦防火墻的使用技巧

    防火墻是最容易受到攻擊的嗎?事實(shí)上,系統(tǒng)標(biāo)準(zhǔn)版的防火墻使用也是有技巧的,現(xiàn)在就讓番茄花園系統(tǒng)下載的小編介紹五種最佳實(shí)踐方法,以減少黑客入侵心愛的電腦,讓您的電腦系統(tǒng)既流暢又安全。 一、所有的
    發(fā)表于 07-12 15:59

    發(fā)現(xiàn) STM32 防火墻的安全配置

    前言 STM32 防火墻(Firewall)能夠構(gòu)建一個(gè)與其它代碼隔離的帶有數(shù)據(jù)存儲(chǔ)的可信任代碼區(qū)域,結(jié)合RDP、WRP以及PCROP,可用來保護(hù)安全敏感的算法。在STM32 Cube固件庫參考代碼
    發(fā)表于 07-27 11:04

    防火墻技術(shù)

    防火墻技術(shù).ppt 防火墻及相關(guān)概念包過濾型防火墻代理服務(wù)型防火墻 防火墻的配置分布式防火墻
    發(fā)表于 06-16 23:41 ?0次下載

    防火墻原理

    課程說明   2 課程介紹 . . 3 課程目標(biāo) . . 3 相關(guān)資料 . . 3 第一節(jié) 防火墻工作原理  2 1.1 什么是防火墻  . . 2 1.2 防火墻
    發(fā)表于 06-24 18:13 ?71次下載

    防火墻的基本概念

    防火墻的基本概念 所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)(如Internet)分開的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)
    發(fā)表于 06-16 23:42 ?4258次閱讀

    防火墻防火墻的滲透技術(shù)

    防火墻防火墻的滲透技術(shù) 傳統(tǒng)的防火墻工作原理及優(yōu)缺點(diǎn): 1.(傳統(tǒng)的)包過濾防火墻的工作原理   包過濾是在IP層實(shí)現(xiàn)的,因
    發(fā)表于 08-01 10:26 ?1054次閱讀

    防火墻管理

     防火墻管理  防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理,管理員的行為主要包括:通過防火墻
    發(fā)表于 01-08 10:39 ?1340次閱讀

    什么是防火墻

    什么是防火墻  防火墻的英文名為“FireWall”,它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講,防火墻是位于兩個(gè)(或
    發(fā)表于 01-08 10:53 ?1174次閱讀

    防火墻的分類

    防火墻的分類 如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)
    發(fā)表于 01-08 11:01 ?6868次閱讀

    究竟什么是防火墻?

    究竟什么是防火墻?     Q:防火墻初級(jí)入門:究竟什么是防火墻?     A:防火墻定義
    發(fā)表于 02-24 11:51 ?779次閱讀

    防火墻,防火墻的作用有哪些?

    防火墻,防火墻的作用有哪些? 防火墻技術(shù)簡(jiǎn)介 ——Internet的發(fā)展給政府結(jié)構(gòu)、企事業(yè)單位帶來了革命性的改
    發(fā)表于 04-03 16:17 ?8330次閱讀

    什么是防火墻防火墻如何工作?

    防火墻是網(wǎng)絡(luò)與萬維網(wǎng)之間的關(guān)守,它位于網(wǎng)絡(luò)的入口和出口。 它評(píng)估網(wǎng)絡(luò)流量,僅允許某些流量進(jìn)出。防火墻分析網(wǎng)絡(luò)數(shù)據(jù)包頭,其中包含有關(guān)要進(jìn)入或退出網(wǎng)絡(luò)的流量的信息。然后,基于防火墻上配置的策略和規(guī)則集
    的頭像 發(fā)表于 09-30 14:35 ?5329次閱讀

    什么是防火墻?常見防火墻類型介紹

    許多供應(yīng)商提供基于云的防火墻,它們通過 Internet 按需提供。這些服務(wù)也稱為防火墻即服務(wù)(FaaS),以IaaS 或 PaaS的形式運(yùn)行。
    發(fā)表于 05-13 11:45 ?1508次閱讀
    什么是<b class='flag-5'>防火墻</b>?<b class='flag-5'>常見</b>的<b class='flag-5'>防火墻</b>類型介紹

    工業(yè)防火墻是什么?工業(yè)防火墻主要用在哪里?

    防火墻與傳統(tǒng)的IT防火墻相比具有以下特點(diǎn): 1、協(xié)議深度解析:工業(yè)防火墻能夠?qū)?b class='flag-5'>工業(yè)網(wǎng)絡(luò)中特定的通信協(xié)議(如Modbus、DNP3、PROFI
    的頭像 發(fā)表于 03-26 15:35 ?1273次閱讀

    硬件防火墻和軟件防火墻區(qū)別

    電子發(fā)燒友網(wǎng)站提供《硬件防火墻和軟件防火墻區(qū)別.doc》資料免費(fèi)下載
    發(fā)表于 10-21 11:03 ?1次下載
    RM新时代网站-首页