防火墻很容易發(fā)生配置錯(cuò)誤的情況。盡管對(duì)于有些防火墻來(lái)說(shuō)，配置錯(cuò)誤的安全后果是可以接受的，但深度防御OT（運(yùn)營(yíng)技術(shù)）網(wǎng)絡(luò)體系結(jié)構(gòu)中錯(cuò)誤配置的防火墻所帶來(lái)的累積風(fēng)險(xiǎn)通常是不可接受的，甚至是毀滅性的。

大多數(shù)工業(yè)站點(diǎn)都將防火墻部署作為其OT/工業(yè)網(wǎng)絡(luò)的第一道防線。但是，配置和管理這些防火墻是一項(xiàng)異常復(fù)雜的工作，因?yàn)闊o(wú)論是配置本身還是其他方面都非常容易出錯(cuò)。

本文探討了防火墻管理員易犯的8種常見(jiàn)錯(cuò)誤，并描述了這些錯(cuò)誤將如何危害防火墻功能及網(wǎng)絡(luò)安全。但是，這里給出的經(jīng)驗(yàn)教訓(xùn)并不是“停止犯錯(cuò)”。本文還探討了單向網(wǎng)關(guān)技術(shù)，以替代我們目前最重要的OT防火墻。單向網(wǎng)關(guān)為工業(yè)運(yùn)營(yíng)提供物理保護(hù)，而不僅僅是軟件保護(hù)。這就意味著對(duì)于單向網(wǎng)關(guān)而言，配置中的任何錯(cuò)誤都不會(huì)損害網(wǎng)關(guān)為工業(yè)網(wǎng)絡(luò)所提供的保護(hù)。

每個(gè)人都會(huì)犯錯(cuò)誤。確保運(yùn)營(yíng)安全的秘訣并不是奇跡般地避免所有錯(cuò)誤（這一點(diǎn)幾乎也實(shí)現(xiàn)不了），而是將我們的工業(yè)網(wǎng)絡(luò)設(shè)計(jì)成即便在配置防御措施時(shí)出錯(cuò)，也仍然不會(huì)威脅到工業(yè)運(yùn)營(yíng)的正確性和連續(xù)性。

8種常見(jiàn)的OT/工業(yè)防火墻錯(cuò)誤

1. 保留IP“任意”訪問(wèn)規(guī)則

防火墻對(duì)于接入和傳出連接的表現(xiàn)是不一致的。默認(rèn)情況下，大多數(shù)用戶防火墻都拒絕所有接入本地網(wǎng)絡(luò)的連接，但對(duì)于所有傳出連接的規(guī)則是“允許任何/任意”。這一點(diǎn)上，商業(yè)級(jí)和工業(yè)級(jí)防火墻表現(xiàn)得有所不同——有些防火墻對(duì)所有方向的流量都具有“拒絕所有”的默認(rèn)策略。而有些則默認(rèn)設(shè)置為“允許所有人共享”。在配置第一個(gè)非默認(rèn)規(guī)則之前，有些默認(rèn)設(shè)置為“允許任意使用”，然后默認(rèn)設(shè)置切換為“全部拒絕”。有些只在其配置用戶界面中顯示其默認(rèn)規(guī)則，而其他地方不顯示。

對(duì)于某些型號(hào)的防火墻來(lái)說(shuō)，就很容易錯(cuò)誤地將“允許任意使用”規(guī)則保留。而錯(cuò)誤地保留可見(jiàn)的默認(rèn)值或不可見(jiàn)的隱含“允許任意使用”規(guī)則的后果是，使工業(yè)網(wǎng)絡(luò)中的多種類型的連接都處于啟用狀態(tài)——這就等于允許那些并未被我們配置的其他規(guī)則明確禁止的所有連接/攻擊進(jìn)入我們的工業(yè)網(wǎng)絡(luò)之中。

2. 使用錯(cuò)誤的規(guī)則順序

一旦確定了需要為防火墻設(shè)置的所有規(guī)則，就必須仔細(xì)注意規(guī)則集中規(guī)則的順序。防火墻規(guī)則是按順序進(jìn)行處理的。按照錯(cuò)誤的順序輸入或配置的規(guī)則可能會(huì)導(dǎo)致意外和不良的防火墻行為。

例如，假設(shè)我們有兩個(gè)規(guī)則，第一個(gè)規(guī)則是“接受來(lái)自子網(wǎng)中IP地址1-64的所有連接”，第二個(gè)規(guī)則是“拒絕來(lái)自同一子網(wǎng)中IP地址23的連接”。如果接受規(guī)則位于規(guī)則集中的第一個(gè)，并且防火墻從地址23接收到連接請(qǐng)求，則“接受1-64”規(guī)則將導(dǎo)致允許連接，“拒絕”規(guī)則永遠(yuǎn)發(fā)揮不了作用。

3. 沒(méi)有禁用未使用的管理接口

由于防火墻制造商希望確保輕松配置，因此默認(rèn)情況下，他們會(huì)啟用多種類型的管理接口，通常包括SSH、Telnet和串行接口以及加密和未加密的Web界面。啟用未加密的接口意味著使用這些接口時(shí)，攻擊者可能能夠在網(wǎng)絡(luò)上看到密碼。此外，保留所有不必要的接口處于啟用狀態(tài)還會(huì)增加攻擊面和暴露程度。它還使攻擊者能夠使用網(wǎng)絡(luò)釣魚攻擊或其他攻擊來(lái)竊取這些接口的密碼，并只需登錄即可重新配置防火墻。

4. 保留防火墻默認(rèn)密碼不變

大多數(shù)防火墻附帶默認(rèn)的管理用戶名和密碼。這些密碼記錄在設(shè)備的用戶手冊(cè)中，因此對(duì)于攻擊者和其他搜索信息的人來(lái)說(shuō)，這些信息都是眾所周知的。沒(méi)有更改默認(rèn)密碼，意味著能夠連接到任何一個(gè)處于啟用狀態(tài)的管理界面的攻擊者都可以登錄防火墻并重新配置它。

當(dāng)防火墻連接到外部身份驗(yàn)證，授權(quán)和計(jì)費(fèi)（AAA）服務(wù)（例如RADIUS服務(wù)器、Active Directory服務(wù)器、IAM基礎(chǔ)設(shè)施或其他口令管理服務(wù)器）時(shí)，未能更改默認(rèn)密碼是一個(gè)特別常見(jiàn)的錯(cuò)誤。密碼管理服務(wù)通常無(wú)法控制內(nèi)置的管理員賬戶和密碼。實(shí)際上，最佳實(shí)踐認(rèn)為，至少有一個(gè)管理員賬戶應(yīng)該脫離身份管理系統(tǒng)，以作為因任何原因失去與AAA系統(tǒng)聯(lián)系的備份。

5. 未能修補(bǔ)防火墻

工程師和管理員可能擁有大量且昂貴的測(cè)試和軟件更新程序，以保持其工業(yè)控制系統(tǒng)的安全。這些程序通常將重點(diǎn)放在難以修補(bǔ)的操作設(shè)備上，以排除諸如防火墻和受管交換機(jī)之類的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)組件。未能修補(bǔ)防火墻，意味著攻擊者可以利用眾所周知且廣泛使用的舊漏洞和防火墻漏洞來(lái)破壞我們的防火墻。

6. 未能規(guī)劃額外的基礎(chǔ)設(shè)施成本

部署防火墻可能會(huì)帶來(lái)重大成本以及一些意外成本，因?yàn)榉阑饓Σ渴鹜ǔＰ枰獙?duì)其他基礎(chǔ)結(jié)構(gòu)進(jìn)行重大更改。這些更改和費(fèi)用可能包括：

當(dāng)使用新的防火墻分割以前的“扁平化”網(wǎng)絡(luò)（flat network）時(shí)，在OT和/或企業(yè)網(wǎng)絡(luò)上重新編號(hào)IP地址;

其他網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，例如交換機(jī)、路由器和身份驗(yàn)證系統(tǒng);

人員和/或系統(tǒng)收集、關(guān)聯(lián)和分析防火墻日志，以嘗試檢測(cè)攻擊者何時(shí)猜測(cè)密碼或試圖獲取網(wǎng)絡(luò)訪問(wèn)權(quán)限。

如果上述任何更改需要重新啟動(dòng)整個(gè)控制系統(tǒng)，那么實(shí)際成本會(huì)更高，甚至可能需要加上物理/工業(yè)操作的停機(jī)成本等等。

7. 未能定期檢查和管理的規(guī)則集

防火墻規(guī)則必須定期更新和檢查。為短期測(cè)試、緊急維修和其他需求而引入的“臨時(shí)”規(guī)則不得保留。必須刪除過(guò)時(shí)的設(shè)備和軟件系統(tǒng)的規(guī)則。必須刪除為已離職或已更換職位的員工使用的IP地址提供OT訪問(wèn)權(quán)限的規(guī)則。所有這些更改以及許多其他更改都必須記錄在案，以便將來(lái)的審閱者能夠知道與誰(shuí)聯(lián)系以確定這些配置的規(guī)則是否仍然有效。

簡(jiǎn)單來(lái)說(shuō)，如果我們?cè)试S積累不必要的規(guī)則，那么隨著時(shí)間的推移，防火墻會(huì)看起來(lái)越來(lái)越像路由器——允許太多種類型的連接進(jìn)入需要設(shè)備保護(hù)的網(wǎng)絡(luò)。

8. 相信防火墻是“僅出站”

在過(guò)程控制系統(tǒng)網(wǎng)絡(luò)中，我們通常認(rèn)為受到了保護(hù)，因?yàn)榉阑饓σ雅渲脼閮H允許從工業(yè)網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的出站連接。這是一個(gè)非常嚴(yán)重的錯(cuò)誤。用著名的SANS講師Ed Skoudis的話來(lái)說(shuō)，“出站訪問(wèn)等于入站命令和控制”。所有TCP連接，甚至是通過(guò)防火墻的TCP連接，都是雙向連接。與電子郵件服務(wù)器和Web服務(wù)器的連接始終會(huì)通過(guò)“僅出站”防火墻來(lái)發(fā)起攻擊。連接到命令和控制服務(wù)器的惡意軟件也是如此。更普遍的是，連接到受到破壞的企業(yè)服務(wù)的工業(yè)客戶可能會(huì)將破壞傳播到控制系統(tǒng)中，并使工業(yè)運(yùn)營(yíng)陷入危險(xiǎn)。

防御建議：部署單向網(wǎng)關(guān)技術(shù)

相對(duì)安全的工業(yè)網(wǎng)絡(luò)越來(lái)越多地在IT/OT接口而不是防火墻上部署單向網(wǎng)關(guān)技術(shù)。單向技術(shù)的一個(gè)重要優(yōu)點(diǎn)是，即使出現(xiàn)意外配置錯(cuò)誤，也不會(huì)因配置錯(cuò)誤而損害網(wǎng)關(guān)為OT網(wǎng)絡(luò)提供的保護(hù)。單向網(wǎng)關(guān)硬件實(shí)際上只能從OT網(wǎng)絡(luò)到企業(yè)這一個(gè)方向上傳遞信息。無(wú)論多么復(fù)雜的網(wǎng)絡(luò)攻擊，都無(wú)法改變硬件的行為，任何網(wǎng)絡(luò)攻擊信息也無(wú)法通過(guò)硬件到達(dá)，以任何方式損害受保護(hù)的OT網(wǎng)絡(luò)。

為了簡(jiǎn)化安全的IT/OT集成，單向網(wǎng)關(guān)軟件將服務(wù)器從工業(yè)網(wǎng)絡(luò)復(fù)制到企業(yè)網(wǎng)絡(luò)。例如，假設(shè)企業(yè)用戶和應(yīng)用程序從基于SQL的歷史數(shù)據(jù)庫(kù)中獲取其OT數(shù)據(jù)。在這種情況下，單向網(wǎng)關(guān)會(huì)在OT端查詢數(shù)據(jù)庫(kù)，將接收到的數(shù)據(jù)轉(zhuǎn)換為單向格式，把數(shù)據(jù)發(fā)送到企業(yè)端，然后將數(shù)據(jù)插入到相同的SQL/歷史數(shù)據(jù)庫(kù)中。之后，企業(yè)用戶和應(yīng)用程序便可以從企業(yè)副本數(shù)據(jù)庫(kù)中正常雙向訪問(wèn)其數(shù)據(jù)。如果需要，副本數(shù)據(jù)庫(kù)服務(wù)器還可以使用與工業(yè)歷史數(shù)據(jù)庫(kù)完全相同的IP地址——這是因?yàn)閱蜗蚓W(wǎng)關(guān)不是防火墻或路由器，不會(huì)被設(shè)備兩側(cè)使用的相同IP地址搞混。

使用單向網(wǎng)關(guān)硬件保護(hù)工業(yè)網(wǎng)絡(luò)，無(wú)論有多少密碼被盜或系統(tǒng)未打補(bǔ)丁，都無(wú)法從企業(yè)網(wǎng)絡(luò)或來(lái)自網(wǎng)絡(luò)之外的互聯(lián)網(wǎng)的軟件攻擊到達(dá)受保護(hù)的OT網(wǎng)絡(luò)。

本文翻譯自：https://threatpost.com/waterfall-eight-common-ot-industrial-firewall-mistakes/155061/如若轉(zhuǎn)載，請(qǐng)注明原文地址。
責(zé)編AJX