أسئلة للخبراء: جدران الحماية الصناعية
Industrial firewalls play a critical role in OT cybersecurity, protecting PLC, DCS, and SCADA networks through segmentation, ingress/egress control, and IDS/IPS integration aligned with IEC 62443 p...
بالنسبة للعديد من مهندسي التحكم (بما فيهم أنا)، قد يكون موضوع الأمان في الشبكات صعب الفهم. العديد من الموارد مكتوبة لمستخدمي المنازل أو المكاتب، والظروف متنوعة للغاية بحيث لا يمكن الاعتماد على إجابات بسيطة ومضمونة للأسئلة.
في استفساري اليوم، كنت مهتمًا بوجود جدران الحماية في معدات الأتمتة. هذا دفعني للبحث عن تفسيرات من فريق يقدم دائمًا معلومات ممتازة عن عالم الحوسبة: OnLogic. طرحت أسئلتي، وقدموا لي إجابات رائعة.
نظرة عامة على جدران الحماية
قبل أن نغوص في الأسئلة، قد يكون من المفيد شرح موجز لجدران الحماية، خاصة إذا كان هذا موضوعًا جديدًا عليك.
ببساطة، جدار الحماية هو برنامج يفحص كل حركة المرور المرتبطة بشبكة (مثل الواي فاي أو اتصال الإيثرنت) ليختار الرسائل التي يسمح بها وتلك التي يحظرها. يمكن أن تؤدي إعدادات جدار الحماية المختلفة إلى شبكات فائقة الأمان حيث لا يُسمح بأي حركة مرور تقريبًا، ولكن بالطبع يصعب الوصول إلى الأجهزة للبرمجة. على الطرف الآخر، قد تكون الشبكة البسيطة غير المؤمنة سهلة الفحص باستخدام أي لابتوب، لكن هذا قد يؤدي إلى مخاطر كبيرة في الأمن السيبراني.
يمكنك عمومًا الوثوق بالأجهزة على شبكتك، لكن لا يجب أن تثق بأي شيء في العالم الخارجي (الويب الواسع) إلا إذا تم التحقق منه.
الشكل 1. المفهوم الأساسي لجدار الحماية.
لكن هناك المزيد من الأسئلة: كيف تعمل جدران الحماية، كيف يتم تكوينها، وأين تُخزن؟ للحصول على هذه الإجابات وأكثر، لجأت إلى أصدقائي في OnLogic للحصول على المعلومات التالية.
1) هل هناك فرق بين جدران الحماية للشبكات الصناعية وشبكات المنازل/المكاتب؟
حزمة TCP/IP أو أي حزمة شبكة أخرى لها نفس التنسيق بغض النظر عن بيئتها. ومع ذلك، لكل بيئة احتياجاتها الخاصة بالتأكيد.
غالبًا ما تتطلب شبكة المنزل لا أكثر من جدار الحماية المدمج في جهاز التوجيه الخاص بالكابل/DSL/الألياف، والذي عادةً ما يحتوي على قواعد افتراضية تعني شيئًا مثل: "دع هاتفي على شبكة الواي فاي المنزلية يتصل بالإنترنت ويتلقى الردود وحركة المرور ذات الصلة، لكن لا تسمح للغرباء على الإنترنت ببدء اتصالات مع تلفازي الذكي."
في الوقت نفسه، قد يكون لدى مكتب صغير إلى متوسط جهاز جدار حماية واحد يحظر الحركة غير المتوقعة، مع السماح للموظفين بالاتصال بخوادم الملفات والطابعات وخدمات الشركة الأخرى.
شركة عالمية لديها مكاتب متعددة ومواقع إنتاج ومراكز بيانات قد تمتلك تقسيمات متقدمة جدًا وشبكات VPN بين المواقع وتستضيف مواقع عامة وخاصة. لهذه الاحتياجات، يجب تكوين عدة جدران حماية لرفض الحركة غير المرغوب فيها، مع السماح بجميع التفاعلات الضرورية. يتم ذلك مع تسجيل أحداث الشبكة من أنظمة كشف التسلل للمراجعات والتحليل، ووظائف متقدمة أخرى. خيار جدار الحماية الذي تختاره كل من هذه الأمثلة قد يكون (ويجب أن يكون على الأرجح) مختلفًا تمامًا.
2) كيف تمنع جدران الحماية الوصول إلى الشبكة بالضبط؟
في أبسط صورها، جدار الحماية هو جهاز أو برنامج يحد من تدفق حركة مرور الشبكة. طريقة التصفية تعتمد على نوع جدار الحماية.
جدار الحماية الشبكي التقليدي traditional network firewall يفحص عناوين IP المصدر والوجهة لكل حزمة بالإضافة إلى أرقام منافذ TCP أو UDP، ثم يستشير تكوينًا محددًا مسبقًا ليقرر ما إذا كان يجب السماح بالحركة.
جدار الحماية الأكثر تطورًا stateful firewall، بدلاً من النظر إلى كل حزمة بمعزل، ينظر إلى الحزم في سياق المحادثة الشبكية، ويقرأ الحزم التي تسبقها وتليها ليحدد ما إذا كانت الحركة متوقعة ومقبولة.
جدار حماية أكثر تطورًا قد يفحص فعليًا منطق طبقة التطبيق في الحزم نفسها. مثال على ذلك هو جدار حماية تطبيقات الويب، المعروف اختصارًا بـ WAF، الذي يفحص حركة HTTP بحثًا عن أنماط استغلال معروفة أو بيانات غير متوقعة في جسم الطلب نفسه. هذا النوع من جدران الحماية قوي وفعال جدًا في توفير الحماية في الحالات التي لا تكفي فيها التصفية حسب عنوان IP أو المنفذ فقط للسماح بالوصول الضروري مع تقليل المخاطر إلى مستوى مقبول.
تقنية مشابهة لكنها مختلفة قليلاً هي نظام كشف التسلل أو نظام منع التسلل، المعروفة اختصارًا IDS/IPS. مثل جدار الحماية، يفحص IDS/IPS حركة الشبكة وسجلات النظام وبيانات أخرى متاحة. يستخدم IDS/IPS خوارزميات تعلم لتحديد ما إذا كانت الحركة قد تشكل تهديدًا، ويمكنه إما تنبيه فريق الأمان أو اتخاذ إجراء مباشر بنفسه (وهذا هو الفرق بين الكشف والمنع). بدلاً من وجود مجموعة صارمة من القواعد لما يُسمح به وما يُحظر، يعتمد IDS/IPS عادةً على سياسات محدثة باستمرار. تمامًا مثل تحديث مضاد الفيروسات، يجب تحديث قواعد IDS/IPS بانتظام لمواكبة أنماط التهديد النشطة.
3) هل هي ثنائية الاتجاه، بمعنى هل تمنع حركة المرور غير المصرح بها داخل وخارج الشبكة؟
نعم! يمكن تكوين جدران الحماية لفحص حركة المرور الواردة، الصادرة، أو كليهما. بينما يُعتقد تقليديًا أن جدران الحماية تمنع الوصول إلى شبكة أو جهاز، في مشهد التهديدات الحديث، يمكن أن يكون تصفية الحركة الصادرة بنفس الأهمية، إن لم يكن أكثر.
تميل الأجهزة على الشبكات الصناعية إلى وجود تدفقات شبكة محددة بشكل أكثر صرامة مقارنة بشبكات المستخدمين متعددة الأغراض. في هذه الحالة، يمكن تحسين الأمان بشكل كبير من خلال تنفيذ تصفية صارمة للحركة الصادرة. فكر في جهاز تم اختراقه، مثل هجوم سلسلة التوريد الذي حقن برمجيات خبيثة في تحديث. إذا كان الجهاز على شبكة ذات تصفية صارمة للحركة الصادرة، فقد لا يتمكن من الاتصال بخادم القيادة والتحكم الخاص به، مما يقلل بشكل كبير من فرصة استخدامه للانتقال إلى اختراق أكبر قبل اكتشافه ومعالجته.
4) أين "يعيش" جدار الحماية؛ هل يكون في وحدة تحكم، مفتاح شبكة، بوابة، أو IPC؟
قد تبدأ بعض وحدات التحكم الصناعية (مثل PLCs) في دمج ميزات أمان، لكن معظمها حاليًا لا يحتوي على وظائف جدار حماية وتصفية مدمجة، بل تعطي الأولوية للسلامة والأداء.
قد يحتوي مفتاح الشبكة على بعض وظائف جدار الحماية، أو "قوائم التحكم في الوصول"، حسب المفتاح وقدرات نموذج OSI (نموذج الربط المفتوح للأنظمة). الجهاز الذي يعمل كبوابة أو موجه غالبًا ما يحتوي على وظائف جدار حماية، أو حتى يعمل كجدار الحماية الأساسي بنفسه.
قد تحتوي هياكل أنظمة التحكم الأبسط على شبكة معزولة مشتركة بين وظائف مختلفة، ولا تحتاج هذه إلى جدار حماية داخلي على الإطلاق. لكن غالبًا، عندما تتصل شبكة مقسمة كهذه بأي شيء آخر، عندها من المرجح أن يدخل جدار الحماية في المعادلة. ومع ذلك، تتضمن بعض هياكل أنظمة التحكم المعقدة جدران حماية بين الوظائف المنفصلة، مثلًا بين واجهات المشغل ووحدات التحكم، للحماية من بعض أشكال أخطاء المشغل أو سوء استخدام الواجهة. قد توجد أيضًا ببساطة لحماية واجهات شبكة وحدة التحكم من التفاعل مع حزم شبكة غير متوقعة على الإطلاق، مما يحافظ على أدائها مركزًا على مهامها المقصودة.
الشكل 2. قد لا تحتاج شبكة معزولة مثل هذا المثال إلى جدار حماية داخلي، إلا لمنع حركة المرور الزائدة بين الأجهزة؛ مسألة كفاءة، وليست أمان.
في الحالات التي يكون فيها جزء من الشبكة الصناعية متصلًا فعليًا بشبكة أخرى، مثل بريد الموظفين أو خدمات أخرى، أو بجزء آخر من البنية، غالبًا ما تكون البوابة بين تلك الشبكات جدار حماية أو موجه يؤدي وظائف جدار الحماية.
5) هل جدران الحماية هي برامج يتم تنزيلها وتثبيتها، بمعنى هل يمكن للمستخدم النهائي لوحدة التحكم اختيار برنامج جدار حماية معين، أم يتم تثبيته من قبل الشركة المصنعة؟
تأتي جدران الحماية بأشكال عديدة، من برامج المستخدم النهائي إلى برامج على مستوى نظام التشغيل، إلى أجهزة حوسبة صناعية مصممة خصيصًا لفحص حزم الشبكة بشكل محسن.
يحتوي الكمبيوتر الشخصي الذي يعمل بنظام Microsoft Windows على جدار حماية برمجي مدمج، وقد تستخدم شبكة الشركة جهازًا من Cisco أو Palo Alto أو Fortinet، إلخ، لحماية بيئات الشركة. كما يمكن أن تكون مجموعات الحزم مفتوحة المصدر شائعة لجدران الحماية في بيئات الشبكات البسيطة إلى المعقدة.
في البيئات الصناعية، تتوفر العديد من الخيارات. على سبيل المثال، قد تكون شبكة تحتوي على PLCs و HMIs مقسمة فعليًا بالكامل، حيث لا يمكن للأجهزة الحاسوبية الأخرى، حتى لو كانت موجودة فعليًا بالقرب، إرسال أي حركة مرور إلى أجهزة الأتمتة دون توصيل كابل آخر فعليًا، والذي غالبًا ما يكون محميًا بقفل ومفتاح. يمكن ربط نفس البيئة بجهاز جدار حماية شبكي مع قواعد الرفض افتراضيًا، مع بعض قواعد السماح لأجهزة معينة مميزة لضبط التكوين لوحدات التحكم في الأتمتة، سواء محليًا أو عن بُعد عبر VPN.
6) ما مدى تحكم المستخدم النهائي في الإعدادات، وهل يحتاج إلى تحديثها مع مرور الوقت؟
بينما تحاول العديد من خيارات جدران الحماية أن تكون سهلة الاستخدام قدر الإمكان وتحافظ على الأمور خلف واجهة مستخدم بسيطة، تقدم خيارات أخرى تحكمًا كاملاً في فحص حزم الشبكة، مما يسمح بالتركيز حتى على بتات محددة في الحزمة تكون 0 أو 1.
عادةً، حتى في التعقيدات الشبكية المتقدمة، يمكن أن يكون جدار حماية مع خيارات الفحص الحالة لمصدر/وجهة IP، ومنافذ TCP أو UDP المصدر/الوجهة كافيًا.
في البيئات التي نادرًا ما تتغير فيها المعدات والطوبولوجيا، قد تبقى تعديلات قواعد جدار الحماية دون تغيير لفترات طويلة. قد تحدث أوقات يتم فيها إدخال معدات جديدة، أو انضمام مهندس جديد، على سبيل المثال، مما قد يتطلب تغييرات طفيفة في تكوين جدار الحماية لضمان الوصول الضروري. أما البيئات الأخرى فقد تتغير بسرعة أكبر، مع تقديم خدمات جديدة بشكل شائع، أو تغييرات في الموظفين، أو فتح مواقع جديدة، مما يتطلب تعديلات أكثر تكرارًا.
حتى إذا كانت التغييرات نادرة، يُنصح بإجراء مراجعات منتظمة لتكوينات جدار الحماية لضمان عدم وجود سماحيات غير مقصودة قد تؤدي إلى خطأ، أو ما هو أسوأ، ثغرة يمكن استغلالها في هجوم.
جدران الحماية في الشبكات الصناعية
هذه المقالة هي نظرة عامة موجزة على بعض الأسئلة المتعلقة بجدران الحماية والأمان. آمل أن تكون أساسًا قويًا لبناء المزيد من المهارات في مبادئ الشبكات الآمنة في المستقبل.
جميع الصور المستخدمة بإذن من المؤلف