菠菜网

usdt自动充提教程网(www.6allbet.com):8种常见的OT/工业防火墙错误

网址简介:未填写

更新时间:1周前

访问次数:10

详细介绍

防火墙很容易发生设置错误的情形。只管对于有些防火墙来说,设置错误的平安结果是可以接受的,但深度防御OT(运营手艺)网络体系结构中错误设置的防火墙所带来的累积风险通常是不能接受的,甚至是毁灭性的。

大多数工业站点都将防火墙部署作为其OT/工业网络的第一道防线。然则,设置和治理这些防火墙是一项异常庞大的事情,由于无论是设置自己照样其他方面都异常容易失足。

本文探讨了防火墙治理员易犯的8种常见错误,并形貌了这些错误将若何危害防火墙功能及网络平安。然则,这里给出的经验教训并不是“住手犯错”。本文还探讨了单向网关手艺,以替换我们现在最主要的OT防火墙。单向网关为工业运营提供物理珍爱,而不仅仅是软件珍爱。这就意味着对于单向网关而言,设置中的任何错误都不会损害网关为工业网络所提供的珍爱。

每个人都市犯错误。确保运营平安的窍门并不是奇迹般地制止所有错误(这一点险些也实现不了),而是将我们的工业网络设计成即便在设置防御措施时失足,也仍然不会威胁到工业运营的正确性和连续性。

8种常见的OT/工业防火墙错误

1. 保留IP“随便”接见规则

防火墙对于接入和传出毗邻的显示是不一致的。默认情形下,大多数用户防火墙都拒绝所有接入本地网络的毗邻,但对于所有传出毗邻的规则是“允许任何/随便”。这一点上,商业级和工业级防火墙显示得有所不同——有些防火墙对所有偏向的流量都具有“拒绝所有”的默认计谋。而有些则默认设置为“允许所有人共享”。在设置第一个非默认规则之前,有些默认设置为“允许随便使用”,然后默认设置切换为“所有拒绝”。有些只在其设置用户界面中显示其默认规则,而其他地方不显示。

对于某些型号的防火墙来说,就很容易错误地将“允许随便使用”规则保留。而错误地保留可见的默认值或不能见的隐含“允许随便使用”规则的结果是,使工业网络中的多种类型的毗邻都处于启用状态——这就即是允许那些并未被我们设置的其他规则明确克制的所有毗邻/攻击进入我们的工业网络之中。

2. 使用错误的规则顺序

一旦确定了需要为防火墙设置的所有规则,就必须仔细注重规则集中规则的顺序。防火墙规则是按顺序举行处置的。根据错误的顺序输入或设置的规则可能会导致意外和不良的防火墙行为。

例如,假设我们有两个规则,第一个规则是“接受来自子网中IP地址1-64的所有毗邻”,第二个规则是“拒绝来自统一子网中IP地址23的毗邻”。若是接受规则位于规则集中的第一个,而且防火墙从地址23接收到毗邻请求,则“接受1-64”规则将导致允许毗邻,“拒绝”规则永远施展不了作用。

3. 没有禁用未使用的治理接口

由于防火墙制造商希望确保轻松设置,因此默认情形下,他们会启用多种类型的治理接口,通常包罗SSH、Telnet和串行接口以及加密和未加密的Web界面。启用未加密的接口意味着使用这些接口时,攻击者可能能够在网络上看到密码。此外,保留所有不必要的接口处于启用状态还会增添攻击面和露出水平。它还使攻击者能够使用网络钓鱼攻击或其他攻击来窃取这些接口的密码,并只需登录即可重新设置防火墙。

4. 保留防火墙默认密码稳定

大多数防火墙附带默认的治理用户名和密码。这些密码记录在装备的用户手册中,因此对于攻击者和其他搜索信息的人来说,这些信息都是众所周知的。没有更改默认密码,意味着能够毗邻到任何一个处于启用状态的治理界面的攻击者都可以登录防火墙并重新设置它。

当防火墙毗邻到外部身份验证,授权和计费(AAA)服务(例如RADIUS服务器、Active Directory服务器、IAM基础设施或其他口令治理服务器)时,未能更改默认密码是一个稀奇常见的错误。密码治理服务通常无法控制内置的治理员账户和密码。实际上,最佳实践以为,至少有一个治理员账户应该脱离身份治理系统,以作为因任何原因失去与AAA系统联系的备份。

,

欧博电脑版下载

欢迎进入博电脑版下载(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

5. 未能修补防火墙

工程师和治理员可能拥有大量且昂贵的测试和软件更新程序,以保持其工业控制系统的平安。这些程序通常将重点放在难以修补的操作装备上,以清扫诸如防火墙和受管交换机之类的网络基础结构组件。未能修补防火墙,意味着攻击者可以行使众所周知且普遍使用的旧破绽和防火墙破绽来损坏我们的防火墙。

6. 未能计划分外的基础设施成本

部署防火墙可能会带来重大成本以及一些意外成本,由于防火墙部署通常需要对其他基础结构举行重大更改。这些更改和用度可能包罗:

当使用新的防火墙支解以前的“扁平化”网络(flat network)时,在OT和/或企业网络上重新编号IP地址;

其他网络基础结构,例如交换机、路由器和身份验证系统;

职员和/或系统网络、关联和剖析防火墙日志,以实验检测攻击者何时预测密码或试图获取网络接见权限。

若是上述任何更改需要重新启动整个控制系统,那么实际成本会更高,甚至可能需要加上物理/工业操作的停机成本等等。

7. 未能定期检查和治理的规则集

防火墙规则必须定期更新和检查。为短期测试、紧要维修和其他需求而引入的“暂且”规则不得保留。必须删除过时的装备和软件系统的规则。必须删除为已去职或已替换职位的员工使用的IP地址提供OT接见权限的规则。所有这些更改以及许多其他更改都必须记录在案,以便未来的审阅者能够知道与谁联系以确定这些设置的规则是否仍然有用。

简朴来说,若是我们允许积累不必要的规则,那么随着时间的推移,防火墙会看起来越来越像路由器——允许太多种类型的毗邻进入需要装备珍爱的网络。

8. 信赖防火墙是“仅出站”

在过程控制系统网络中,我们通常以为受到了珍爱,由于防火墙已设置为仅允许从工业网络到外部网络的出站毗邻。这是一个异常严重的错误。用著名的SANS讲师Ed Skoudis的话来说,“出站接见即是入站下令和控制”。所有TCP毗邻,甚至是通过防火墙的TCP毗邻,都是双向毗邻。与电子邮件服务器和Web服务器的毗邻始终会通过“仅出站”防火墙来提议攻击。毗邻到下令和控制服务器的恶意软件也是云云。更普遍的是,毗邻到受到损坏的企业服务的工业客户可能会将损坏传播到控制系统中,并使工业运营陷入危险。

防御建议:部署单向网关手艺

相对平安的工业网络越来越多地在IT/OT接口而不是防火墙上部署单向网关手艺。单向手艺的一个主要优点是,纵然出现意外设置错误,也不会因设置错误而损害网关为OT网络提供的珍爱。单向网关硬件实际上只能从OT网络到企业这一个偏向上传递信息。无论何等庞大的网络攻击,都无法改变硬件的行为,任何网络攻击信息也无法通过硬件到达,以任何方式损害受珍爱的OT网络。

为了简化平安的IT/OT集成,单向网关软件将服务器从工业网络复制到企业网络。例如,假设企业用户和应用程序从基于SQL的历史数据库中获取其OT数据。在这种情形下,单向网关会在OT端查询数据库,将接收到的数据转换为单向花样,把数据发送到企业端,然后将数据插入到相同的SQL/历史数据库中。之后,企业用户和应用程序便可以从企业副本数据库中正常双向接见其数据。若是需要,副本数据库服务器还可以使用与工业历史数据库完全相同的IP地址——这是由于单向网关不是防火墙或路由器,不会被装备两侧使用的相同IP地址搞混。

使用单向网关硬件珍爱工业网络,无论有若干密码被盗或系统未打补丁,都无法从企业网络或来自网络之外的互联网的软件攻击到达受珍爱的OT网络。

本文翻译自:https://threatpost.com/waterfall-eight-common-ot-industrial-firewall-mistakes/155061/:

网友评论