Вопросы для экспертов: промышленные межсетевые экраны

Для многих инженеров по автоматизации (включая меня) тема безопасности в сетях может быть сложной для понимания. Многие ресурсы написаны для домашних или офисных пользователей, и ситуации настолько разнообразны, что нельзя дать простые и гарантированные ответы на вопросы.

В сегодняшнем запросе меня заинтересовало наличие межсетевых экранов в оборудовании для автоматизации. Это побудило меня обратиться за разъяснениями к команде, которая всегда предоставляет отличную информацию о мире вычислительной техники: OnLogic. Я задал свои вопросы, и они дали мне отличные ответы.

 

Обзор межсетевых экранов

Прежде чем перейти к вопросам, краткое объяснение межсетевых экранов может быть полезным, особенно если эта тема для вас новая.

По сути, межсетевой экран — это программное обеспечение, которое проверяет весь трафик, подключенный к сети (например, ваш Wi-Fi или Ethernet), чтобы выбрать, какие сообщения разрешить, а какие заблокировать. Различные настройки межсетевых экранов могут привести к сверхзащищённым сетям, где практически никакой трафик не разрешён, но, конечно, доступ к устройствам для программирования очень затруднён. С другой стороны, простая, незащищённая сеть может быть легко диагностирована с любого ноутбука, но это создаёт огромные риски кибербезопасности.

В целом, вы можете доверять устройствам в вашей сети, но не стоит доверять ничему в интернете (всемирной паутине), если это не проверено.

 

Рисунок 1. Основная концепция межсетевого экрана.

 

Но есть и другие вопросы: как работают межсетевые экраны, как их настраивают и где они размещаются? За ответами и не только я обратился к своим друзьям из OnLogic.

 

1) Есть ли разница между межсетевыми экранами для промышленных и домашних/офисных сетей?

Пакет TCP/IP или другой сетевой пакет имеет одинаковый формат, независимо от среды. Однако у каждой среды, безусловно, есть свои потребности.

Домашняя сеть часто требует лишь межсетевого экрана, встроенного в кабельный/DSL/оптоволоконный роутер, который обычно имеет правила по умолчанию, примерно такие: «позволить моему телефону в домашней Wi-Fi сети подключаться к интернету и получать ответы и связанный трафик, но не позволять незнакомцам из интернета инициировать соединения с моим смарт-ТВ».

В то же время, небольшой или средний офис может иметь одно устройство межсетевого экрана, которое блокирует неожиданный трафик, при этом позволяя сотрудникам подключаться к файловым серверам, принтерам и другим корпоративным сервисам.

Глобальная компания с несколькими офисами, производственными площадками и дата-центрами может иметь гораздо более продвинутую сегментацию и межофисные VPN, а также размещать как публичные, так и приватные веб-сайты. Для таких нужд необходимо настроить несколько межсетевых экранов, чтобы отбрасывать нежелательный трафик, но при этом позволять все необходимые взаимодействия. Это делается одновременно с ведением журналов сетевых событий от систем обнаружения вторжений для аудитов и анализа, а также с другими продвинутыми функциями. Выбранный вариант межсетевого экрана для каждого из этих примеров может (и, вероятно, должен) существенно отличаться.

 

2) Как именно межсетевые экраны предотвращают доступ к сети?

В самом простом виде межсетевой экран — это устройство или программное приложение, ограничивающее поток сетевого трафика. Способ фильтрации зависит от типа межсетевого экрана.

Традиционный сетевой межсетевой экран проверяет IP-адреса источника и назначения каждого пакета, а также номера TCP или UDP портов, затем обращается к заранее заданной конфигурации, чтобы определить, разрешать ли трафик.

Более продвинутый stateful firewall (состояний межсетевой экран) рассматривает пакеты не по отдельности, а в контексте сетевого разговора, анализируя пакеты до и после текущего, чтобы определить, ожидается ли такой трафик и приемлем ли он.

Ещё более сложный межсетевой экран может анализировать логику прикладного уровня в самих пакетах. Примером является межсетевой экран веб-приложений (WAF), который проверяет HTTP-трафик на известные шаблоны атак или неожиданные данные в теле запроса. Такой межсетевой экран может быть очень мощным и эффективным для защиты в ситуациях, когда фильтрация только по IP-адресу или порту недостаточна для обеспечения необходимого доступа при минимизации рисков.

Похожей, но немного отличающейся технологией является система обнаружения вторжений или система предотвращения вторжений (IDS/IPS). Подобно межсетевому экрану, IDS/IPS анализирует сетевой трафик, системные логи и другие доступные данные. IDS/IPS использует различные эвристики или алгоритмы «обучения», чтобы определить, представляет ли трафик потенциальную угрозу, и может либо оповестить команду безопасности, либо предпринять прямые действия (вот в чём разница между обнаружением и предотвращением). Вместо жёстких правил, IDS/IPS обычно опирается на постоянно обновляемые политики. Как и антивирус, правила IDS/IPS следует регулярно обновлять, чтобы опережать активные угрозы.

 

3) Являются ли они двунаправленными, то есть предотвращают ли несанкционированный трафик как внутрь, так и из сети?

Да! Межсетевые экраны могут быть настроены на проверку входящего (ingress), исходящего (egress) трафика или обоих направлений. Хотя традиционно межсетевые экраны воспринимаются как средство предотвращения доступа к сети или устройству, в современных условиях фильтрация исходящего трафика может быть не менее важной, а иногда и более критичной.

Устройства в промышленных сетях обычно имеют гораздо более строго определённые сетевые потоки, чем в универсальных пользовательских сетях. В этом случае безопасность значительно повышается за счёт строгой фильтрации исходящего трафика. Представьте устройство, которое было скомпрометировано, например, через атаку на цепочку поставок, когда в обновление внедрено вредоносное ПО. Если устройство находится в сети с жёсткой фильтрацией исходящего трафика, оно может не иметь возможности связаться с командным сервером, что значительно снижает вероятность использования его для дальнейших атак до обнаружения и устранения проблемы.

 

4) Где «живёт» межсетевой экран: в контроллере, коммутаторе, шлюзе или IPC?

Некоторые промышленные контроллеры (например, ПЛК) могут начинать включать функции безопасности, но большинство пока не имеют встроенной функциональности межсетевого экрана и фильтрации, отдавая приоритет безопасности и производительности.

Коммутатор сети может иметь некоторую функциональность межсетевого экрана или «списки контроля доступа» в зависимости от модели и возможностей по модели OSI (Open Systems Interconnection). Устройство, работающее как шлюз или маршрутизатор, часто имеет функции межсетевого экрана или даже выступает в роли основного межсетевого экрана.

Простые архитектуры систем управления могут иметь изолированную сеть, разделённую между разными функциями, и в таком случае внутренний межсетевой экран может не понадобиться. Но чаще, когда такая сегментированная сеть подключается к чему-то ещё, тогда в уравнение входит межсетевой экран. При этом более сложные архитектуры систем управления могут включать межсетевые экраны между отдельными функциями, например, между интерфейсами операторов и контроллерами, чтобы защитить от ошибок оператора или неправильного использования интерфейса. Они также могут существовать просто для защиты сетевых интерфейсов контроллеров от взаимодействия с неожиданными сетевыми пакетами, сохраняя их производительность для выполнения основных задач.

 

Рисунок 2. Изолированная сеть, как в этом примере, может не нуждаться во внутреннем межсетевом экране, кроме как для предотвращения избыточного трафика между устройствами; это вопрос эффективности, а не безопасности.

 

В случаях, когда сегмент промышленной сети физически подключён к другой сети, например, к корпоративной почте или другим сервисам, или к другому сегменту архитектуры, шлюз между этими сетями часто является межсетевым экраном или маршрутизатором с функциями межсетевого экрана.

 

5) Являются ли межсетевые экраны программным обеспечением, которое можно скачать и установить, то есть может ли конечный пользователь контроллера выбрать определённое программное обеспечение межсетевого экрана, или оно устанавливается производителем?

Межсетевые экраны бывают разных видов: от программ для конечных пользователей до программ на уровне операционной системы и промышленных вычислительных устройств, специально разработанных для оптимизированной проверки сетевых пакетов.

Персональный компьютер с Windows имеет встроенный программный межсетевой экран, а корпоративная сеть может использовать устройства от Cisco, Palo Alto, Fortinet и других для защиты корпоративной среды. Также популярны открытые пакеты для межсетевого экрана, подходящие для простых и сложных сетевых сред.

В промышленных условиях доступно множество вариантов. Например, сеть с ПЛК и HMI может быть полностью физически сегментирована, где другие вычислительные устройства, даже если они находятся рядом, не смогут отправлять трафик на устройства автоматизации без физического подключения дополнительного кабеля, доступ к которому обычно ограничен. Такая среда может быть подключена к устройству межсетевого экрана с правилами запретить по умолчанию и несколькими правилами разрешить для определённых привилегированных устройств, чтобы настраивать контроллеры автоматизации как локально, так и удалённо через VPN.

 

6) Насколько много контроля имеет конечный пользователь над настройками, и нужно ли их обновлять со временем?

Хотя многие варианты межсетевых экранов стараются быть максимально удобными для пользователя и скрывать сложность за простым интерфейсом, другие предоставляют полный контроль над проверкой сетевых пакетов, позволяя сосредоточиться даже на отдельных битах в пакете, равных 0 или 1.

Обычно, для большинства сетевых задач, межсетевой экран с возможностью stateful инспекции IP-адресов источника/назначения и TCP/UDP портов источника/назначения является достаточным.

В средах, где оборудование и топология редко меняются, правила межсетевого экрана могут оставаться неизменными длительное время. Однако при появлении нового оборудования или нового инженера могут потребоваться небольшие изменения в конфигурации межсетевого экрана для обеспечения необходимого доступа. В других средах изменения происходят чаще — вводятся новые сервисы, меняется персонал, открываются новые объекты, что требует более частых корректировок.

Даже если изменения редки, рекомендуется регулярно проводить аудиты конфигураций межсетевого экрана, чтобы убедиться, что нет случайных разрешений, которые могут привести к ошибкам или, что хуже, уязвимостям, которые могут быть использованы в атаках.

 

Межсетевые экраны в промышленных сетях

Эта статья — лишь краткий обзор некоторых вопросов, связанных с межсетевыми экранами и безопасностью. Надеюсь, она послужит прочной основой для дальнейшего развития навыков в области безопасных сетевых принципов.

 

Все изображения предоставлены автором