防火墙很容易配置错误。虽然对于某些防火墙来说,错误配置的安全后果是可以接受的,但纵深防御OT(运营技术)网络架构中错误配置的防火墙所带来的累积风险通常是不可接受的,甚至是毁灭性的。大多数工业站点部署防火墙作为其OT/工业网络的第一道防线。然而,配置和管理这些防火墙是一项复杂的工作,因为它在配置本身和其他方面都容易出错。本文探讨了防火墙管理员常犯的八个错误,并描述了这些错误如何危及防火墙功能和网络安全。然而,这里的教训不是“停止犯错”。本文还探讨了单向网关技术,以取代我们当今最重要的OT防火墙。单向网关为工业运营提供物理保护,而不仅仅是软件保护。这意味着使用单向网关时,配置中的任何错误都不会影响网关为工业网络提供的保护。每个人都会犯错误。运营安全的秘诀不是奇迹般地避免所有错误(这几乎是不可能的),而是设计我们的工业网络,即使在配置防御时出现错误,它仍然不会威胁到工业运营的正确性和连续性。8常见的OT/工业防火墙错误1.保留IP“任何”访问规则防火墙对传入和传出连接的行为不一致。默认情况下,大多数用户防火墙拒绝所有到本地网络的传入连接,但对所有传出连接都有“允许任何/任何”规则。商业级和工业级防火墙在这方面的表现不同——有些防火墙对所有方向的流量都有“拒绝所有”的默认策略。其他人默认为“允许所有人共享”。在配置第一个非默认规则之前,一些默认为“AllowAnyUse”,然后默认切换为“DenyAll”。有些仅在其配置UI中显示其默认规则,而不会在其他地方显示。对于某些型号的防火墙,很容易错误地保留“允许任何使用”规则。错误地留下可见的默认值或不可见的隐式“允许任何使用”规则的后果是在工业网络中启用多种类型的连接——这无异于允许其他规则明确禁止所有连接/攻击进入我们的工业网络。2.使用错误的规则顺序一旦你确定了你需要为你的防火墙设置的所有规则,你必须特别注意规则集中规则的顺序。防火墙规则按顺序处理。以错误的顺序输入或配置的规则可能会导致意外和不良的防火墙行为。例如,假设我们有两条规则,第一条规则是“接受来自子网中IP地址1-64的所有连接”,第二条规则是“拒绝来自同一子网中IP地址23的连接”。如果接受规则在规则集中排在第一位,并且防火墙收到来自地址23的连接请求,则“接受1-64”规则将导致连接被允许,而“拒绝”规则将永远不起作用。3.不禁用不用的管理接口由于防火墙厂商希望确保配置简单,他们默认启用了几种类型的管理接口,通常包括SSH、Telnet和串行接口以及加密和未加密的Web接口。启用未加密的接口意味着攻击者在使用这些接口时可能能够在网络上看到密码。此外,启用所有不必要的接口会增加攻击面和风险。它还使攻击者能够使用网络钓鱼攻击或其他漏洞来窃取这些接口的密码,并只需登录即可重新配置防火墙。4.保持防火墙默认密码不变大多数防火墙都带有默认的管理用户名和密码。这些密码记录在设备的用户手册中,因此攻击者和其他搜索信息的人都知道这些密码。默认密码未更改,这意味着能够连接到任何已启用的管理界面的攻击者可以登录防火墙并重新配置它。当防火墙连接到外部身份验证、授权和记帐(AAA)服务(例如RADIUS服务器、ActiveDirectory服务器、IAM基础设施或其他密码管理服务器)时,无法更改默认密码是一个特别常见的错误。密码管理服务通常无法控制内置管理员帐户和密码。事实上,最佳实践指出,至少应从身份管理系统中分离一个管理员帐户作为备份,以防因任何原因与AAA系统失去联系。5.未能修补防火墙工程师和管理员可能会进行大量且昂贵的测试和软件更新程序,以确保其工业控制系统的安全。这些程序通常侧重于难以修补的操作设备,而排除了防火墙和托管交换机等网络基础设施组件。未能修补我们的防火墙意味着攻击者可以利用众所周知且广泛使用的旧漏洞和防火墙漏洞来破坏我们的防火墙。6.未能规划额外的基础设施成本部署防火墙可能会产生巨大的成本,以及一些意想不到的成本,因为防火墙部署通常需要对其他基础设施进行重大更改。这些变化和成本可能包括:当新的防火墙用于分割以前的“扁平”网络时,对OT和/或公司网络上的IP地址进行重新编号;其他网络基础设施,例如交换机、路由器和身份验证系统;人们和/或系统收集、关联和分析防火墙日志,以试图检测攻击者何时猜测密码或试图获得网络访问权限。如果上述任何更改需要重新启动整个控制系统,那么实际成本会更高,甚至可能会增加物理/工业运营成本等。7.未定期检查的规则集和托管防火墙规则必须更新和检查经常。不得保留为短期测试、紧急维修和其他需要而引入的“临时”规则。过时的设备和软件系统必须被淘汰的规则。必须删除为离职或变更角色的员工使用的IP地址提供OT访问的规则。所有这些更改以及许多其他更改都必须记录在案,以便未来的审阅者知道联系谁来确定这些配置的规则是否仍然有效。简而言之,如果我们允许不必要的规则累积,随着时间的推移,防火墙将看起来越来越像路由器——允许太多类型的连接进入需要受设备保护的网络。8.认为防火墙是“仅出站”的在过程控制系统网络中,我们通常认为它们是受保护的,因为防火墙已配置为仅允许从工业网络到外部网络的出站连接。这是一个非常严重的错误。用著名的SANS讲师EdSkoudis的话来说,“出站访问等于入站命令和控制”。所有TCP连接,即使是通过防火墙的连接,都是双向的。与电子邮件服务器和Web服务器的连接总是通过“仅出站”防火墙来发起攻击。连接到命令和控制服务器的恶意软件也是如此。更一般地说,连接到受损企业服务的工业客户可能会将漏洞传播到控制系统中,并使工业运营面临风险。防御建议:部署单向网关技术相对安全的工业网络越来越多地在IT/OT接口而不是防火墙上部署单向网关技术。单向技术的一个重要优点是,即使发生意外错误配置,网关对OT网络提供的保护也不会因错误配置而受到损害。单向网关硬件实际上只能在一个方向上从OT网络向企业传输信息。任何网络攻击,无论多么复杂,都不能改变硬件的行为,任何网络攻击信息也不能通过硬件以任何方式破坏受保护的OT网络。为了简化安全的IT/OT集成,单向网关软件将服务器从工业网络复制到企业网络。例如,假设业务用户和应用程序从基于SQL的历史数据库中获取他们的OT数据。在这种情况下,单向网关查询OT侧的数据库,将接收到的数据转换为单向格式,将数据发送到企业侧,然后将数据插入到同一个SQL/历史数据库中。然后,企业用户和应用程序可以从企业副本数据库正常双向访问他们的数据。如果需要,副本数据库服务器也可以使用与工业历史数据库完全相同的IP地址——这是因为单向网关不是防火墙或路由器,不会被两侧使用的相同IP地址混淆设备。使用单向网关硬件保护工业网络,无论有多少密码被盗或未打补丁的系统,来自企业网络或网络外互联网的软件攻击都无法到达受保护的OT网络。本文翻译自:https://threatpost.com/waterfall-eight-common-ot-industrial-firewall-mistakes/155061/如有转载请注明原文地址。
