2020程序员工资排行

2. 使用错误的规则顺序

一旦确定了需要为防火墙设置的所有规则，就必须仔细注意规则集中规则的顺序。防火墙规则是按顺序进行处理的。按照错误的顺序输入或配置的规则可能会导致意外和不良的防火墙行为。

例如，假设我们有两个规则，第一个规则是“接受来自子网中IP地址1-64的所有连接”，第二个规则是“拒绝来自同一子网中IP地址23的连接”。如果接受规则位于规则集中的第一个，并且防火墙从地址23接收到连接请求，则“接受1-64”规则将导致允许连接，“拒绝”规则永远发挥不了作用。

3. 没有禁用未使用的管理接口

由于防火墙制造商希望确保轻松配置，因此默认情况下，他们会启用多种类型的管理接口，通常包括SSH、Telnet和串行接口以及加密和未加密的Web界面。启用未加密的接口意味着使用这些接口时，攻击者可能能够在网络上看到密码。此外，保留所有不必要的接口处于启用状态还会增加攻击面和暴露程度。它还使攻击者能够使用网络钓鱼攻击或其他攻击来窃取这些接口的密码，并只需登录即可重新配置防火墙。

4. 保留防火墙默认密码不变

大多数防火墙附带默认的管理用户名和密码。这些密码记录在设备的用户手册中，因此对于攻击者和其他搜索信息的人来说，这些信息都是众所周知的。没有更改默认密码，意味着能够连接到任何一个处于启用状态的管理界面的攻击者都可以登录防火墙并重新配置它。

当防火墙连接到外部身份验证，授权和计费(AAA)服务(例如RADIUS服务器、Active Directory服务器、IAM基础设施或其他口令管理服务器)时，未能更改默认密码是一个特别常见的错误。密码管理服务通常无法控制内置的管理员账户和密码。实际上，最佳实践认为，至少有一个管理员账户应该脱离身份管理系统，以作为因任何原因失去与AAA系统联系的备份。

5. 未能修补防火墙

工程师和管理员可能拥有大量且昂贵的测试和软件更新程序，以保持其工业控制系统的安全。这些程序通常将重点放在难以修补的操作设备上，以排除诸如防火墙和受管交换机之类的网络基础结构组件。未能修补防火墙，意味着攻击者可以利用众所周知且广泛使用的旧漏洞和防火墙漏洞来破坏我们的防火墙。

6. 未能规划额外的基础设施成本

部署防火墙可能会带来重大成本以及一些意外成本，因为防火墙部署通常需要对其他基础结构进行重大更改。这些更改和费用可能包括：

当使用新的防火墙分割以前的“扁平化”网络(flat network)时，在OT和/或企业网络上重新编号IP地址;

其他网络基础结构，例如交换机、路由器和身份验证系统;

人员和/或系统收集、关联和分析防火墙日志，以尝试检测攻击者何时猜测密码或试图获取网络访问权限。

如果上述任何更改需要重新启动整个控制系统，那么实际成本会更高，甚至可能需要加上物理/工业操作的停机成本等等。

7. 未能定期检查和管理的规则集

防火墙规则必须定期更新和检查。为短期测试、紧急维修和其他需求而引入的“临时”规则不得保留。必须删除过时的设备和软件系统的规则。必须删除为已离职或已更换职位的员工使用的IP地址提供OT访问权限的规则。所有这些更改以及许多其他更改都必须记录在案，以便将来的审阅者能够知道与谁联系以确定这些配置的规则是否仍然有效。

简单来说，如果我们允许积累不必要的规则，那么随着时间的推移，防火墙会看起来越来越像路由器——允许太多种类型的连接进入需要设备保护的网络。

8. 相信防火墙是“仅出站”

在过程控制系统网络中，我们通常认为受到了保护，因为防火墙已配置为仅允许从工业网络到外部网络的出站连接。这是一个非常严重的错误。用著名的SANS讲师Ed Skoudis的话来说，“出站访问等于入站命令和控制”。所有TCP连接，甚至是通过防火墙的TCP连接，都是双向连接。与电子邮件服务器和Web服务器的连接始终会通过“仅出站”防火墙来发起攻击。连接到命令和控制服务器的恶意软件也是如此。更普遍的是，连接到受到破坏的企业服务的工业客户可能会将破坏传播到控制系统中，并使工业运营陷入危险。

防御建议：部署单向网关技术

相对安全的工业网络越来越多地在IT/OT接口而不是防火墙上部署单向网关技术。单向技术的一个重要优点是，即使出现意外配置错误，也不会因配置错误而损害网关为OT网络提供的保护。单向网关硬件实际上只能从OT网络到企业这一个方向上传递信息。无论多么复杂的网络攻击，都无法改变硬件的行为，任何网络攻击信息也无法通过硬件到达，以任何方式损害受保护的OT网络。

（编辑：南昌站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!