업무 네트워크와 제어 네트워크 사이의 방화벽

그림 5-1과 같이 업무 네트워크와 제어 네트워크 사이의 단순 2포트 방화벽을 도입함으로써 보안을 상당히 향상시킬 수 있다. 제대로 구성하는 경우 방화벽은 제어 네트워크에 대한 성공적인 외부 공격의 가능성을 상당히 줄일 수 있다.

안타깝게도 두 가지 문제가 여전히 이 설계에 남아 있다. 첫째, 업무 네트워크에 데이터 이력 관리 장치(Data Historians)가 있는 경우, 방화벽은 데이터 이력 관리 장치(Data Historians)가 제어 네트워크의 컨트롤러와 통신하는 것을 허용해야 한다. (데이터 이력 관리 장치(Data Historians)로 나타나는) 업무 네트워크의 악성 또는 잘못 구성된 호스트에서 비롯된 패킷은 개별 프로그래머블 로직 컨트롤러(PLC)/분산제어시스템(DCS)으로 포워딩될

Figure 5-1. Firewall between Corporate Network and Control Network

If the data historian resides on the control network, a firewall rule must exist that allows all hosts from the enterprise to communicate with the historian. Typically, this communication occurs at the application layer as Structured Query Language (SQL) or Hypertext Transfer Protocol (HTTP) requests. Flaws in the historian’s application layer code could result in a compromised historian. Once the historian is compromised, the remaining nodes on the control network are vulnerable to a worm propagating or an interactive attack.

Another issue with having a simple firewall between the networks is that spoofed packets can be constructed that can affect the control network, potentially permitting covert data to be tunneled in allowed protocols. For example, if HTTP packets are allowed through the firewall, then Trojan horse software accidentally introduced on an HMI or control network laptop could be controlled by a remote entity and send data (such as captured passwords) to that entity, disguised as legitimate traffic.

것이다.

워크스테이션

프린터

응용프로그램 서버

기업/

외부세상

인터넷/WAN

데이터 이력 관리

장치(Historians) 라우터

업무 네트워크

방화벽

방화벽

제어 네트워크

제어 서버

그림 5-1. 업무 네트워크와 제어 네트워크 사이의 방화벽

데이터 이력 관리 장치(Data Historians)가 제어 네트워크에 있는 경우 기업의 모든 호스트가 이력 관리 장치(Historians)와 통신할 수 있도록 허용하는 방화벽 규칙이 있어야 한다. 전형적으로, 이 통신은 응용 프로그램 계층에서 구조화 질의 언어(SQL) 또는 하이퍼텍스트 전송 프로토콜(HTTP) 요청으로서 발생한다. 이력 관리 장치(Historians)의 응용 프로그램 계층 코드의 결함은 훼손된 이력 관리 장치(Historians)를 초래할 수 있다. 이력 관리 장치(Historians)가 훼손되는 경우, 제어 네트워크의 나머지 노드도 웜 전파 또는 상호작용 공격에 취약하게 된다.

네트워크들 사이의 단순 방화벽에 있는 또 다른 문제는 제어 네트워크에 영향을 끼치는 스푸핑 패킷이 생성되어 은밀한 데이터가 허용 프로토콜에 숨어드는 것을 잠재적으로 허용할 수 있는 것이다. 예를 들어, HTTP 패킷의

In summary, while this architecture is a significant improvement over a non-segregated network, it requires the use of firewall rules that allow direct communications between the corporate network and control network devices. This can result in possible security breaches if not very carefully designed and monitored [35].

5.5.3 Firewall and Router between Corporate Network and Control Network

A slightly more sophisticated design, shown in Figure 5-2, is the use of a router/firewall combination. The router sits in front of the firewall and offers basic packet filtering services, while the firewall handles the more complex issues using either stateful inspection or proxy techniques. This type of design is very popular in Internet-facing firewalls because it allows the faster router to handle the bulk of the incoming packets, especially in the case of DoS attacks, and reduces the load on the firewall. It also offers improved defense-in-depth because there are two different devices an adversary must bypass [35].

방화벽 통과가 허용되는 경우 휴먼 머신 인터페이스(HMI) 또는 제어 네트워크에 트로이 목마 소프트웨어가 돌발적으로 유입되어 원격 실체가 휴대용 컴퓨터를 제어하고 데이터(예: 탈취한 패스워드)를 합법적인 트래픽으로 가장하여 해당 실체로 전송할 수 있다.

요약하면, 이 구조는 비 격리 네트워크에 대해 상당한 개선인 반면, 업무 네트워크와 제어 네트워크 장치 사이의 직접 통신을 허용하는 방화벽 규칙을 사용해야 한다. 이것은 매우 신중하게 설계하고 모니터링하지 않는 경우 보안 위반을 초래할 수 있다[35].