업무 네트워크와 제어 네트워크 사이의 경계네트워크구간(DMZ)과 방화벽

업무 네트워크와 제어 네트워크 사이의 경계네트워크구간(DMZ)을 설정하는

기능과 방화벽을 사용하는 것은 상당한 개량이다. 각

경계네트워크구간(DMZ)에는 데이터 이력 관리 장치(Data Historians), 무선 접근점 또는 원격 및 타사 접근 시스템과 같은 하나 이상의 중요한 구성요소가 있다. 사실상, 경계네트워크구간(DMZ)이 있는 방화벽을 사용하는 경우 중간 네트워크를 만들 수 있다.

Creating a DMZ requires that the firewall offer three or more interfaces, rather than the typical public and private interfaces. One of the interfaces is connected to the corporate network, the second to the control network, and the remaining interfaces to the shared or insecure devices such as the data historian server or wireless access points on the DMZ network. Implementing continuous ingress and egress traffic monitoring on the DMZ is recommended. Additionally, firewall rulesets that only permit connections between the control network and DMZ that are initiated by control network devices are recommended. Figure 5-3 provides an example of this architecture.

Figure 5-3. Firewall with DMZ between Corporate Network and Control Network

한 개의 경계네트워크구간(DMZ)을 만들려면 일반적인 공공 및 사설 인터페이스가 아닌 3개 이상의 인터페이스가 제공되는 방화벽이 필요하다. 한 개의 인터페이스는 업무 네트워크에 연결되고, 두 번째 인터페이스는 제어 네트워크에 연결되며, 나머지 인터페이스는 경계네트워크구간(DMZ) 네트워크의 무선 접근점 또는 데이터 이력 관리 장치(Data Historians) 서버와 같은 공유되거나 안전하지 않은 장치에 연결된다. 경계네트워크구간(DMZ)에 대한 연속적인 유입 및 유출 트래픽 모니터링을 구현하는 것이 좋다. 게다가, 제어 네트워크 장치에 의해서 주도되는 제어 네트워크와 경계네트워크구간(DMZ) 사이의 연결만을 허용하는 방화벽 룰셋을 사용하는 것이 좋다. 이러한 구조의 예는 그림 5-3에 나와 있다.

워크스테이션

프린터

응용프로그램 서버 기업/

외부세상 인터넷/WA

N

데이터 이력 관리 장치(Data Historians)

업무 네트워크

방화 벽

방화벽

제어 네트워크

제어 서버 데이터 서버

라우터

그림 5-3. 업무 네트워크와 제어 네트워크 사이의 경계네트워크구간(DMZ)과 방화벽

By placing corporate-accessible components in the DMZ, no direct communication paths are required from the corporate network to the control network; each path effectively ends in the DMZ. Most firewalls can allow for multiple DMZs, and can specify what type of traffic may be forwarded between zones. As Figure 5-3 shows, the firewall can block arbitrary packets from the corporate network from entering the control network, and can also regulate traffic from the other network zones including the control network. With well-planned rule sets, a clear separation can be maintained between the control network and other networks, with little or no traffic passing directly between the corporate and control networks.

If a patch management server, an antivirus server, or other security server is to be used for the control network, it should be located directly on the DMZ. Both functions could reside on a single server. Having patch management and antivirus management dedicated to the control network allows for controlled and secure updates that can be tailored for the unique needs of the ICS environment. It may also be helpful if the antivirus product chosen for ICS protection is not the same as the antivirus product used for the corporate network. For example, if a malware incident occurs and one antivirus product cannot detect or stop the malware, it is somewhat likely that another product may have that capability.

The primary security risk in this type of architecture is that if a computer in the DMZ is compromised, then it can be used to launch an attack against the control network via application traffic permitted from the DMZ to the control network. This risk can be greatly reduced if a concerted effort is made to harden and actively patch the servers in the DMZ and if the firewall ruleset permits only connections between the control network and DMZ that are initiated by control network devices. Other concerns with this architecture are the added complexity and the potential increased cost of firewalls with several ports. For more critical systems, however, the improved security should more than offset these disadvantages [35].

기업에서 접근할 수 있는 구성요소를 경계네트워크구간(DMZ)에 배치하는 경우 업무 네트워크에서 제어 네트워크로 향하는 직접 통신 경로는 필요하지 않다.

각 경로는 경계네트워크구간(DMZ) 내에서 효과적으로 끝난다. 대부분의 방화벽에서는 다중 경계네트워크구간(DMZ)을 사용할 수 있으며, 구역 간에 포워딩되는 트래픽 유형을 지정할 수 있다. 그림 5-3과 같이 방화벽 업무 네트워크에서 오는 임의적인 패킷이 제어 네트워크로 유입되는 것을 차단할 수 있으며, 또한 제어 네트워크를 포함한 기타 네트워크 구역에서 오는 트래픽을 조절할 수 있다. 잘 계획된 룰셋을 사용하는 경우 업무 네트워크와 제어 네트워크 사이를 직접 통과하는 트래픽이 거의 또는 전혀 없이 제어 네트워크와 기타 네트워크 사이를 명확하게 분리된 상태로 유지할 수 있다.

패치 관리 서버, 바이러스 퇴치 서버 또는 기타 보안 서버를 제어 네트워크에 사용할 경우, 경계네트워크구간(DMZ)에 직접 설정해야 한다. 두 가지 기능은 모두 단일 서버에 있을 수 있다. 패치 관리 및 바이러스 퇴치 관리 전용의 제어 네트워크를 사용하면 산업제어시스템(ICS) 환경 고유의 필요에 맞게 맞춤형으로 구성할 수 있는 보안 업데이트를 제어하여 사용할 수 있다. 또한 산업제어시스템(ICS) 보호를 위해 선택한 바이러스 퇴치 제품이 업무 네트워크에 사용하는 바이러스 퇴치 제품과 다른 경우 도움이 될 수 있다.

예를 들어, 악성코드 사고가 발생하고 한 가지의 바이러스 퇴치 제품이 악성코드를 감지하거나 차단시키지 못하는 경우 다른 제품에 해당 기능이 있을 가능성이 있다.

이 유형의 구조에서 주된 보안 위험은 경계네트워크구간(DMZ)의 컴퓨터가 훼손된 경우, 이 컴퓨터가 경계네트워크구간(DMZ)에서 제어 네트워크까지 허용된 응용 프로그램 트래픽을 통해 제어 네트워크에 대한 공격을 시작하는 데 사용될 수 있는 것이다. 이러한 위험은 혼신의 노력으로 경계네트워크구간(DMZ)의 서버를 강화하고 능동적으로 패치하며, 방화벽 룰셋이 제어 네트워크 장치에 의해서 주도되는 제어 네트워크와 경계네트워크구간(DMZ) 사이의 연결만을 허용하는 경우 크게 줄일 수 있다.

이러한 구조의 기타 사안은 복잡성이 추가되고 잠재적으로 여러 포트와 방화벽의 비용이 증가하는 것이다. 하지만, 중요한 시스템에 대해서는 향상된 보안이 이러한 단점을 상쇄하고도 남는다[35].

5.5.5 Paired Firewalls between Corporate Network and Control Network

A variation on the firewall with a DMZ solution is to use a pair of firewalls positioned between the corporate and ICS networks, as shown in Figure 5-4. Common servers such as the data historian are situated between the firewalls in a DMZ-like network zone sometimes referred to as a Manufacturing Execution System (MES) layer. As in the architectures described previously, the first firewall blocks arbitrary packets from proceeding to the control network or the shared historians. The second firewall can prevent unwanted traffic from a compromised server from entering the control network, and prevent control network traffic from impacting the shared servers.