방화벽

< Application-Proxy Gateway Firewalls. This class of firewalls examines packets at the application layer and filters traffic based on specific application rules, such as specified applications (e.g., browsers) or protocols (e.g., FTP). Firewalls of this type can be very effective in preventing attacks on the remote access and configuration services provided by ICS components. They offer a high level of security, but could have overhead and delay impacts on network performance, which can be unacceptable in an ICS environment. NIST SP 800-41 Revision 1, Guidelines on Firewalls and Firewall Policy [85], provides general guidance for the selection of firewalls and the firewall policies.

In an ICS environment, firewalls are most often deployed between the ICS network and the corporate network [34]. Properly configured, they can greatly restrict undesired access to and from control system host computers and controllers, thereby improving security. They can also potentially improve a control network’s responsiveness by removing non-essential traffic from the network. When properly designed, configured, and maintained, dedicated hardware firewalls can contribute significantly to increasing the security of today’s ICS environments.

Firewalls provide several tools to enforce a security policy that cannot be accomplished locally on the current set of process control devices available in the market, including the ability to:

< Block all communications with the exception of specifically enabled communications between devices on the unprotected LAN and protected ICS networks. Blocking can be based on, for example, source and destination IP address pairs, services, ports, state of the connection, and specified applications or protocols supported by the firewall.

Blocking can occur on both inbound and outbound packets, which is helpful in limiting high-risk communications such as email.

< Enforce secure authentication of all users seeking to gain access to the ICS network.

There is flexibility to employ varying protection levels of authentication methods including simple passwords, complex passwords, multi-factor authentication technologies, tokens, biometrics and smart cards.

있다.

n 응용 프로그램-프록시 게이트웨이 방화벽. 이 분류의 방화벽은 응용 프로그램 계층에서 패킷을 검증하고, 지정된 응용 프로그램(예: 브라우저) 또는 프로토콜(예: FTP) 등의 특정 응용 프로그램 규칙에 기초하여 트래픽을 필터링한다. 이 유형의 방화벽은 산업제어시스템(ICS) 구성요소에서 제공되는 원격 접근 및 구성 서비스에 대한 공격을 방지하는 데 매우 효과적일 수 있다. 높은 수준의 보안을 제공하지만, 네트워크 성능에 산업제어시스템(ICS) 환경에서는 허용되지 않을 수 있는 오버헤드 및 지연 영향을 줄 수 있다. 미국국립표준기술연구소(NIST) SP 800-41 1차 개정판(방화벽 및 방화벽 정책에 대한 가이드(Guidelines on Firewalls and Firewall Policy) [85])은 방화벽 및 방화벽 정책의 선택에 관한 일반 가이드를 제공한다.

산업제어시스템(ICS) 환경에서 방화벽은 대부분의 경우 산업제어시스템(ICS) 네트워크와 업무 네트워크 사이에 배치된다[34]. 올바르게 구성되는 경우, 제어시스템 호스트 컴퓨터 및 컨트롤러 사이에서 원하지 않는 상호 접근을 크게 제한할 수 있으며, 이로써 보안을 향상시킨다. 또한 네트워크에서 비 필수 트래픽을 제거함으로써 잠재적으로 제어 네트워크의 반응성을 향상시킨다. 제대로 설계, 구성, 유지보수되는 경우, 전용 하드웨어 방화벽은 오늘날의 산업제어시스템(ICS) 환경의 보안을 크게 향상시키는 데 기여할 수 있다.

방화벽은 현재 구할 수 있는 일련의 공정 제어 장치에서는 국소적으로 불가능한 보안 정책을 시행하는 다음과 같은 기능이 포함된 여러 도구를 제공한다.

n 모든 통신 차단(단, 보호되지 않는 근거리 통신망(LAN)의 장치와 보호되는 산업제어시스템(ICS) 네트워크 사이의 통신은 특별히 활성화). 차단은 예를 들어, 근원지 및 목적지 IP 주소 쌍, 서비스, 포트, 연결 상태 및 방화벽에서 지원되는 지정된 응용 프로그램 또는 프로토콜을 기반으로 수행될 수 있다. 차단은 착신 및 발신 패킷 모두에서 발생할 수 있어서, 전자 메일과 같은 위험이 높은 통신을 제한하는 데 도움이 된다.

n 산업제어시스템(ICS) 네트워크에 접근하려는 모든 사용자에 보안 인증 시행. 간단한 패스워드, 복잡한 패스워드, 다원적 인증 기술, 토큰, 생체인식 및 스마트카드와 같은 다양한 보호 수준의 인증 방법을 유연하게

Select the particular method based upon the vulnerability of the ICS network to be protected, rather than using the method that is available at the device level.

< Enforce destination authorization. Users can be restricted and allowed to reach only the nodes on the control network necessary for their job function. This reduces the potential of users intentionally or accidentally gaining access to and control of devices for which they are not authorized, but adds to the complexity for on-the-job-training or cross-training employees.

< Record information flow for traffic monitoring, analysis, and intrusion detection.

< Permit the ICS to implement operational policies appropriate to the ICS but that might not be appropriate in an IT network, such as prohibition of less secure communications like email, and permitted use of easy-to-remember usernames and group passwords.

< Be designed with documented and minimal (single if possible) connections that permit the ICS network to be severed from the corporate network, should that decision be made, in times of serious cyber incidents.

Other possible deployments include using either host-based firewalls or small standalone hardware firewalls in front of, or running on, individual control devices. Using firewalls on an individual device basis can create significant management overhead, especially in change management of firewall configurations, however this practice will also simplify individual configuration rulesets.

There are several issues that must be addressed when deploying firewalls in ICS environments, particularly the following:

< The possible addition of delay to control system communications.

< The lack of experience in the design of rule sets suitable for industrial applications.

Firewalls used to protect control systems should be configured so they do not permit either incoming or outgoing traffic by default. The default configuration should be modified only when it is necessary to permit connections to or from trusted systems to perform authorized ICS functions.

사용할 수 있다. 장치 수준에서 사용할 수 있는 방법을 사용하는 것이 아니라 보호할 산업제어시스템(ICS) 네트워크의 취약성에 기반한 특정 방법을 선택한다.

n 목적지 인가 시행. 사용자는 업무기능에 필요한 제어 네트워크의 노드에만 도달할 수 있도록 제한 및 허용될 수 있다. 이것은 사용자가 의도적이거나 우연히 인가되지 않은 장치에 대한 접근 및 제어 권한을 얻을 가능성을 줄일 수 있지만, 작업을 통한 직원의 교육 훈련 또는 교차 교육 훈련에 복잡성을 더한다.

n 트래픽 모니터링, 분석 및 침입 탐지에 대한 정보 흐름 기록.

n 전자 메일처럼 보안이 약한 통신의 금지 및 기억하기 쉬운 사용자이름 및 그룹 패스워드의 사용 허용과 같이 산업제어시스템(ICS)에는 적절하지만 정보기술(IT) 네트워크에는 적절하지 않을 수 있는 운영 정책을 구현하는 산업제어시스템(ICS) 허용.

n 심각한 사이버 사고 시 업무 네트워크에서 산업제어시스템(ICS) 네트워크를 단절하는 결정이 내려지는 경우 단절시킬 수 있도록 최소(가능하다면 단일) 연결과 문서로 기록된 설계.

그밖에 호스트 기반 방화벽을 사용하거나, 개별 제어 장치 앞쪽 또는 개별 제어 장치에서 실행되는 소형의 독립형 하드웨어 방화벽을 사용하여 배치할 수도 있다. 개별 장치 단위로 방화벽을 사용하는 경우, 특히 방화벽 구성의 변경 관리에서 상당한 관리 오버헤드가 발생할 수 있지만, 이 관행은 개별 구성 룰셋을 단순화시킬 수도 있다.

산업제어시스템(ICS) 환경에 방화벽을 배치하기 전에 해결해야 할 다음과 같은 몇 가지 문제가 있다.

n 제어시스템 통신 지연 추가 가능성.

n 산업용 응용 프로그램에 적합한 룰셋 설계의 경험 부족. 제어시스템의 보호에 사용되는 방화벽은 수신 또는 발신 트래픽을 기본적으로 허용하지 않도록 구성해야 한다. 기본 구성은 인가된 산업제어시스템(ICS) 기능을 수행하기 위해 신뢰할 수 있는 시스템과의 연결을 허용하는 데 필요한 경우에만 수정해야 한다.

Firewalls require ongoing support, maintenance, and backup. Rule sets need to be reviewed to make sure that they are providing adequate protection in light of ever-changing security threats. System capabilities (e.g., storage space for firewall logs) should be monitored to make sure that the firewall is performing its data collection tasks and can be depended upon in the event of a security violation. Real-time monitoring of firewalls and other security sensors is required to rapidly detect and initiate response to cyber incidents.

5.4 Logically Separated Control Network

The ICS network should, at a minimum, be logically separated from the corporate network on physically separate network devices. Based on the ICS network configuration, additional separation needs to be considered for Safety Instrumented Systems and Security Systems (e.g., physical monitoring and access controls, doors, gates, cameras, VoIP, access card readers) that are often either part of the ICS network or utilize the same communications infrastructure for remote sites. When enterprise connectivity is required:

< There should be documented and minimal (single if possible) access points between the ICS network and the corporate network. Redundant (i.e., backup) access points, if present, must be documented.

< A stateful firewall between the ICS network and corporate network should be configured to deny all traffic except that which is explicitly authorized.

< The firewall rules should at a minimum provide source and destination filtering (i.e., filter on media access control [MAC] address), in addition to TCP and User Datagram Protocol (UDP) port filtering and Internet Control Message Protocol (ICMP) type and code filtering.

An acceptable approach to enabling communication between an ICS network and a corporate network is to implement an intermediate DMZ network. The DMZ should be connected to the firewall such that specific (restricted) communication may occur between only the corporate network and the DMZ, and the ICS network and the DMZ.

방화벽에는 지속적인 지원, 유지보수 및 백업이 필요하다. 늘 변화하는 보안 위협에 비추어 충분한 보호를 제공하고 있는지 확인하기 위해 룰셋을 검토해야 한다. 방화벽이 자체의 데이터 수집 작업을 수행하고 있고 보안 위반 시 의존할 수 있는지 확인하기 위해 시스템 기능(예: 방화벽 로그의 저장 공간)에 대한 모니터링을 수행해야 한다. 사이버 사고를 신속하게 감지하고 대응을 시작하기 위해 방화벽 및 기타 보안 센서에 대한 실시간 모니터링이 필요하다.