防火墙容易配置错误。虽然对于一些防火墙来说,配置错误的安全后果是可以接受的,但深度防御OT(操作技术)网络系统结构中错误配置的防火墙的累积风险通常是不可接受的,甚至是毁灭性的。
大多数工业站点都部署防火墙作为OT/工业网络的第一道防线。然而,这些防火墙的配置和管理是一项极其复杂的工作,因为配置本身和其他方面都很容易出错。
本文讨论了防火墙管理员容易犯的八个常见错误,并描述了这些错误将如何危及防火墙的功能和网络安全。然而,这里的经验和教训并不是“停止犯错”。本文还讨论了单向网关技术,以取代我们目前最重要的技术OT防火墙。单向网关为工业运营提供物理保护,而不仅仅是软件保护。这意味着配置中的任何错误都不会损害单向网关对工业网络的保护。
每个人都会犯错误。确保运营安全的秘诀并不是奇迹般地避免所有错误(这一点几乎也实现不了),而是将我们的工业网络设计成即便在配置防御措施时出错,也仍然不会威胁到工业运营的正确性和连续性。
8种常见的OT/工业防火墙错误
1. 保留IP“任意”访问规则
防火墙的接入和传输连接性能不一致。默认情况下,大多数用户拒绝所有接入本地网络的连接,但所有传输连接的规则都是“允许任何/任何”。在这一点上,商业和工业防火墙的性能是不同的——一些防火墙在所有方向都有流量“拒绝所有”默认策略。有些默认设置为“允许所有人分享”。在配置第一个非默认规则之前,一些默认设置为“允许任意使用”,然后默认设置切换“全部拒绝”。其中一些只在其配置用户界面中显示默认规则,而其他地方显示。
对于某些型号的防火墙,很容易出错“允许任意使用”保留规则。错误地保留可见的默认值或不可见的隐含值“允许任意使用”规则的后果是工业网络中各种类型的连接处于启用状态——这就等于允许那些并未被我们配置的其他规则明确禁止的所有连接/攻击进入我们的工业网络之中。
2. 使用错误的规则顺序
一旦确定了所有需要为防火墙设置的规则,就必须仔细注意规则集中规则的顺序。防火墙规则按顺序处理。输入或配置错误的规则可能会导致意外和不良的防火墙行为。
例如,假设我们有两个规则,第一个规则是“接受子网IP地址1-64的所有连接”,第二条规则是“拒绝来自同一子网IP地址23的连接”。如果接受规则位于规则集中的第一个,并且防火墙从地址23接收到连接请求,则“接受1-64”规则允许连接,“拒绝”规则永远不会起作用。
3. 不禁用未使用的管理接口
由于防火墙制造商希望确保配置方便,他们默认使用各种管理接口,通常包括SSH、Telnet串行接口、加密和未加密Web界面。使用未加密接口意味着攻击者在使用这些接口时可以在网络上看到密码。此外,保持所有不必要的接口处于启用状态也会增加攻击面和暴露程度。它还允许攻击者使用在线钓鱼攻击或其他攻击窃取这些接口的密码,并重新配置防火墙。
4. 防火墙默认密码保持不变
大多数防火墙都有默认的管理用户名和密码。这些密码记录在设备的用户手册中,因此众所周知,攻击者和其他搜索信息的人。未更改默认密码意味着可以连接到任何管理界面的攻击者都可以登录防火墙并重新配置。
当防火墙连接到外部身份验证时,授权和计费(AAA)服务(例如RADIUS服务器、Active Directory服务器、IAM在基础设施或其他密码管理服务器中,未更改默认密码是一个特别常见的错误。密码管理服务通常无法控制内置的管理员账户和密码。事实上,最好的实践是,至少有一个管理员账户应该从身份管理系统中分离出来,以任何理由丢失AAA备份系统联系。
5. 防火墙未修复
工程师和管理员可能有大量昂贵的测试和软件更新程序,以保持其工业控制系统的安全。这些程序通常专注于难以修复的操作设备,以消除网络基础设施组件,如防火墙和管道交换机。未能修复防火墙意味着攻击者可以使用知名和广泛使用的旧漏洞和防火墙漏洞来破坏我们的防火墙。
6. 未能计划额外的基础设施成本
防火墙的部署可能会带来重大成本和一些意想不到的成本,因为防火墙的部署通常需要重大改变其他基础设施。这些变化和成本可能包括:
用新的防火墙分割之前“扁平化”网络(flat network)时,在OT和/或在企业网络上重新编号IP地址;
交换机、路由器、身份验证系统等网络基础设施;
为了测试攻击者何时猜测密码或试图获得网络访问权限,人员和/或系统收集、关联和分析防火墙日志。
如果上述任何变化需要重新启动整个控制系统,实际成本将更高,甚至可能增加物理/工业操作的停机成本。
7. 未能定期检查和管理规则集
防火墙规则必须定期更新和检查。引入短期试验、应急维护等需求“临时”规则不得保留。过时的设备和软件系统规则必须删除。必须删除为离职或更换职位的员工使用的规则IP地址提供OT访问权限的规则。必须记录所有这些变化和许多其他变化,以便未来的审查员知道与谁联系,以确定这些配置的规则是否仍然有效。
简单来说,如果允许积累不必要的规则,防火墙会随着时间的推移看起来越来越像路由器——允许过多类型的连接进入需要设备保护的网络。
8. 相信防火墙是“仅出站”
在过程控制系统网络中,我们通常认为它是受保护的,因为防火墙配置为只允许从工业网络到外部网络的出口连接。这是一个非常严重的错误。SANS讲师Ed Skoudis的话来说,“出站访问等于入站命令和控制”。所有TCP连接,甚至通过防火墙TCP所有的连接都是双向电子邮件服务器和Web服务器的连接将永远通过“仅出站”防火墙发起攻击。连接到命令和控制服务器的恶意软件也是如此。更常见的是,连接到受损企业服务的工业客户可能会将受损传播到控制系统中,及工业运营。
防御建议:单向网关技术部署:
相对安全的工业网络越来越多IT/OT单向网关技术部署在接口而不是防火墙上。单向技术的一个重要优点是,即使意外配置错误,网关也不会因配置错误而损坏OT网络提供的保护。事实上,单向网关硬件只能从OT网络向企业方向传递信息。无论网络攻击有多复杂,硬件行为都无法改变,任何网络攻击信息都无法通过硬件到达,以任何方式损坏受保护的信息OT网络。
简化安全IT/OT单向网关软件将服务器从工业网络复制到企业网络。例如,假设企业用户和应用程序是基于SQL在历史数据库中获取OT数据。在这种情况下,单向网关将出现OT端查询数据库,将接收到的数据转换为单向格式,将数据发送到企业端,然后将数据插入相同的格式SQL/历史数据库。之后,企业用户和应用程序可以从企业副本数据库中正常双向访问其数据。如有必要,副本数据库服务器也可以与工业历史数据库完全相同IP地址——这是因为单向网关不是防火墙或路由器,设备两侧备两侧使用IP地址搞混。
使用单向网关硬件保护工业网络,无论有多少密码被盗或系统未打补丁,都无法从企业网络或来自网络之外的互联网的软件攻击到达受保护的OT网络。
本文翻译自:https://threatpost.com/waterfall-eight-common-ot-industrial-firewall-mistakes/155061/如果转载,请注明原始地址。