工业防火墙作为工业网络的第一道防线,在边界防护、访问控制、安全域管理、网络地址转换、工业协议过滤等方面发挥着重要的作用。但工业防火墙在实际的使用过程中,管理和配置却不是一件容易的工作,稍有不慎将很容易出现配置错误。尽管对于有些防火墙来说,配置错误的安全后果是可以接受的,但对于深度防御OT网络基础设施来说,错误配置的防火墙所带来的累积风险通常是不可接受的。常见的OT/工业防火墙错误有:保留IP“任意”访问规则、使用错误的规则顺序、没有禁用未使用的管理接口、保留防火墙默认口令不变、未能修补防火墙、无法规划额外的基础设施成本、规则管理不当、认为防火墙只是出站。许多工业和关键基础设施站点都在其深度防御体系结构中用单向网关替换了至少一层防火墙。最常见的此类部署是用网关替换IT/OT接口防火墙。至少使用一层单向网关,从互联网进入到OT网络的攻击路径就会被阻断。无论多么复杂,单向网关硬件可防止任何在线网络攻击到达易受攻击的生产网络。即使不小心配置错误了网关软件,硬件也可以保护OT网络免受干扰破坏。
防火墙很容易配置错误。尽管对于有些防火墙来说,配置错误的安全后果是可以接受的,但深度防御OT网络体系结构中的错误配置防火墙所带来的累积风险通常是不可接受的。
大多数工业站点都将部署防火墙部署作为其OT/工业网络的第一道防线。但是,配置和管理这些防火墙是一项复杂的工作,配置和其他错误很容易犯。
本文探讨了防火墙管理员易犯的8种常见错误,并描述了这些错误如何危害防火墙功能和网络安全。但是,这里吸取的经验教训不是“停止犯错”。本文还探讨了单向网关技术,作为最重要的OT防火墙的替代。单向网关为工业运营提供物理保护,而不仅仅是软件保护。这意味着对于单向网关来说,配置中的任何错误都不会损害网关为工业网络提供的保护。
每个人都会犯错误。确保运营安全的秘诀并不是避免所有错误,而是将工业网络设计成即使在配置防御措施时出错,也仍然不会威胁到工业运营的正确性和连续性。
8种常见OT/工业防火墙错误
1、保留IP“任意”访问规则
防火墙前后不一致。默认情况下,大多数用户防火墙都拒绝所有入站到本地网络的连接,但允许所有传出连接的规则是“允许任何”。然而商业级和工业级防火墙不大一样,有些防火墙对所有方向的流量都具有“拒绝所有”默认策略;有些默认设置为“允许所有人共享”;在配置第一个非默认规则之前,有些默认设置为“允许任何”,然后默认设置切换为“全部拒绝”;有些在其配置用户界面中显示其默认规则,而其他规则不显示。
对于某些型号的防火墙,这很容易错误地将“允许任何使用”规则保留。错误地保留可见的默认值或不可见的隐含的“允许任何”规则的后果就是,使工业网络中的多种类型的连接都处于启用状态,该规则允许进入网络的所有连接/攻击,并没有被配置的其他规则明确禁止。
2、使用错误的规则顺序
一旦确定了需要为防火墙设置的所有规则,就必须仔细注意规则集合中规则的顺序。防火墙规则按顺序处理。以错误的顺序输入或配置的规则会导致意外的和不良的防火墙行为。
例如,假设有两个规则,第一个规则是“接受来自子网中IP地址1-64的所有连接”,第二个规则是“拒绝来自同一子网中IP地址23的连接”。如果接受规则位于规则集中的第一个,并且防火墙从地址23接收到连接请求,则“接受1-64”规则将导致允许连接,“拒绝”规则永远不会被使用。
3、没有禁用未使用的管理接口
由于防火墙制造商希望确保易于配置,因此默认情况下,他们启用多种类型的管理接口,通常包括SSH、Telnet和串行接口、以及加密和未加密的Web接口。启用未加密的接口意味着使用这些接口时,攻击者可能能够在网络上看到口令。此外,保留所有不必要的接口处于启用状态会增加攻击面和曝露程度。它还使攻击者能够使用网络钓鱼攻击或其他攻击来窃取这些接口的口令,并只需登录即可重新配置防火墙。
4、保留防火墙默认口令不变
大多数防火墙附带默认的管理用户名和口令。这些口令记录在设备的用户手册中,因此攻击者和其他搜索信息的任何人都知道这些口令。没有更改默认口令意味着任何可以连接到启用的管理界面之一的攻击者都可以登录防火墙并重新配置它。
当防火墙连接到外部身份验证,授权和计费(AAA)服务(例如RADIUS服务器,Active Directory服务器,IAM基础设施或其他口令管理服务器)时,无法更改默认口令是一个特别常见的错误。口令管理服务通常无法控制内置的管理员账户和口令。实际上,最佳实践认为,至少有一个管理员账户应该超出身份管理系统的范围,以作为因任何原因失去与AAA系统联系的备份。
5、未能修补防火墙
工程师和管理员可能拥有大量且昂贵的测试和软件更新程序,以保持其工业控制系统的安全。这些程序通常将重点放在难以修补的操作设备上,以排除诸如防火墙和受管交换机之类的网络基础结构组件。未能修补防火墙意味着攻击者可以利用众所周知的且广泛使用的漏洞利用旧的和众所周知的防火墙漏洞来破坏防火墙。
6、无法规划额外的基础设施成本
部署防火墙可能会带来重大成本和意外成本,因为防火墙部署通常需要对其他基础结构进行重大更改。这些更改和费用可能包括:
当使用新的防火墙分割以前的“扁平”网络时,在OT和/或企业网络上重新编号IP地址;
其他网络基础结构,例如交换机、路由器、身份验证系统;
人员和/或系统收集、关联和分析防火墙日志、以尝试检测攻击者何时猜测口令或试图获取网络访问权限。
甚至比这些成本更高的是,如果上述任何更改需要重新启动整个控制系统,那么物理/工业操作可能会产生停机成本,并且通常需要重新启动。
7、随着时间的推移,规则集管理不当
防火墙规则必须定期更新和检查。为短期测试、紧急维修和其他需求而制定的“临时”规则坚决不能长期保留。必须删除过时的设备和软件系统的规则。必须删除为已离职或更改职责的员工使用的IP地址提供OT访问权限的规则。所有这些更改以及许多其他更改都必须记录在案,以便将来的审阅者知道与谁联系以确定是否仍然需要配置的规则。
简而言之,如果允许积累不必要的规则,那么随着时间的推移,防火墙看起来越来越像路由器,允许太多种类型的连接进入需要设备保护的网络。
8、认为防火墙是“只能出站”
在过程控制系统网络中,通常认为受到了保护,因为防火墙已配置为仅允许从工业网络到外部网络的出站连接。这是一个严重的错误。用著名的SANS讲师Ed Skoudis的话来说,“出站访问等于入站命令和控制”。所有TCP连接,即使是通过防火墙的TCP连接,都是双向连接。与电子邮件服务器和Web服务器的连接始终会通过“仅出站”防火墙来发起攻击。连接到命令和控制服务器的恶意软件也是如此。更普遍的是,连接到受到破坏的企业服务的工业客户可能会将破坏传播到控制系统中,并使工业运营陷入危险。
单向网关技术,防范配置错误
完全安全的工业网络越来越多地在IT/OT接口而不是防火墙上部署单向网关技术。单向技术的一个重要优点是,即使意外配置错误,也不会因配置错误而损害网关为OT网络提供的保护。单向网关硬件实际上只能在一个方向上发送信息,从OT网络到企业。无论多么复杂的网络攻击,都无法改变硬件的行为,也无法通过硬件到达任何网络攻击信息以任何方式损害受保护的OT网络。
为了简化安全的IT/OT集成,单向网关软件将服务器从工业网络复制到企业网络。例如,假设企业用户和应用程序从基于SQL的历史数据库中获取其OT数据。在这种情况下,单向网关在OT端查询数据库,将接收到的数据转换为单向格式,将数据发送到企业端,然后将数据插入到相同的SQL/历史数据库中。然后,企业用户和应用程序可以从企业副本数据库正常双向访问其数据。如果需要,副本数据库服务器可以使用与工业历史数据库完全相同的IP地址,这是因为单向网关不是防火墙或路由器。
使用单向网关硬件保护工业网络,无论有多少口令被盗或系统无法修补,都无法从企业网络或来自网络之外的互联网的软件攻击到达受保护的OT网络。
天地和兴工控安全研究院编译
参考资源
【1】https://threatpost.com/waterfall-eight-common-ot-industrial-firewall-mistakes/155061/
声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
