이미 설명한 방화벽 및 산업제어시스템(ICS)의 문제와 더불어, 상세하게 검토해야 할 일부 추가적인 문제가 있다. 이 절의 나머지 부분에서는 사안의 세 가지 특정 영역(데이터 이력 관리 장치(Data Historians)의 배치, 산업제어시스템(ICS) 지원을 위한 원격 접근, 멀티캐스트 트래픽)을 설명한다.
5.10.1 데이터 이력 관리 장치(Data Historians)
데이터 이력 관리 장치(Data Historians) 및 자산 관리 서버와 같은 공유 제어 네트워크/업무 네트워크 서버의 존재는 방화벽 설계 및 구성에 상당한 영향을 줄 수 있다. 3구역 시스템에서 이러한 서버를 경계네트워크구간(DMZ)에 배치하는 것은 비교적 간단하지만, 2구역 설계에서는 문제가 복잡해진다. 이력 관리 장치(Historians)를 방화벽의 기업 측에 배치하는 것이 의미하는 것은 Modbus/TCP 또는 DCOM과 같은 다수의 불안정한 프로토콜을 방화벽에서 허용해야 하고 이력 관리 장치(Historians)와 통신하는 모든 컨트롤러가 네트워크의 기업 측에 노출된다는 것이다. 반면에, 이력 관리 장치(Historians)를 제어 네트워크 측에 배치하는 것이 의미하는 것은 HTTP 또는 SQL과 같이 기타 똑같이 미심쩍은 프로토콜을 방화벽에서 허용해야 하고 제어 네트워크 내에 있는 조직의 거의 모든 사람이 접근할 수 있는 서버가 있다는 것이다.
일반적으로, 최상의 솔루션은 2구역 시스템(경계네트워크구간(DMZ) 제외)을 피하고 3구역 설계를 사용하여 데이터 수집기를 제어 네트워크에 배치하고 이력 관리 장치(Historians) 구성요소를 경계네트워크구간(DMZ)에 배치하는 것이다.
5.10.2 원격 지원 접근
산업제어시스템(ICS) 방화벽 설계의 또 다른 문제는 제어 네트워크에 대한 사용자 및/또는 공급자의 원격 접근이다. 원격 네트워크에서 제어 네트워크에 접근하는 모든 사용자에게는 토큰 기반 인증과 같은 충분히 강력한
메커니즘을 사용하는 인증이 필수적이다. 제어 그룹이
경계네트워크구간(DMZ)에서 다원적 인증으로 자체적인 원격 접근 시스템을 설정하는 것이 가능하지만 대부분의 조직에서는 정보기술(IT) 부서가 기존 시스템 설정을 사용하는 것이 일반적으로 더 효율적이다. 이 경우 정보기술(IT) 원격 접근 서버에서 방화벽을 통한 연결이 필요하다.
인터넷 또는 전화식 모뎀을 통해 연결하는 원격 지원 인원은 기업 VPN 연결 클라이언트, 응용 프로그램 서버 또는 보안 HTTP 접근을 실행하는 등의 암호화된 프로토콜을 사용해야 하며, 일반 업무 네트워크에 연결하기 위해서는 토큰 기반의 다원적 인증 체계와 같은 강력한 메커니즘을 사용하여 인증해야 한다. 일단 연결되면 제어 네트워크에 대한 접근 권한을 얻기 위해 토큰 기반의 다원적 인증 체계와 같은 강력한 메커니즘을 사용하여 제어 네트워크 방화벽에서 두 번째의 인증이 필수적이다. 또한 프록시 서버는 원격 지원 접근의 보안을 위한 추가 기능을 제공할 수 있다.
5.10.3 멀티캐스트 트래픽
EtherNet/IP 및 Foundation Fieldbus HSE와 같은 이더넷을 통해서 작동되는 대부분의 산업용 생산자-소비자(또는 게시자-가입자) 프로토콜은 IP 멀티캐스트 기반이다. IP 멀티캐스팅의 첫 번째 장점은 네트워크 효율이다.
다수의 목적지에 데이터 전송을 반복하지 않음으로써 네트워크 부하가 상당히 감소할 수 있다. 두 번째 장점은 전송 호스트에서는 방송 정보를 수신하는 모든 목적지 호스트의 모든 IP 주소를 알 필요가 없는 것이다. 산업용 제어 목적에서 아마도 가장 중요한 세 번째 장점은 단일 멀티캐스트 메시지는 여러 유니캐스트 메시지 보다 여러 제어 장치들 사이에서 훨씬 더 나은 시간 동기화 기능을 제공한다는 것이다.
멀티캐스트 패킷의 근원지 및 목적지가 그들 사이의 중개 라우터 또는 방화벽과 연결되지 않은 경우, 멀티캐스트 전송은 비교적 원활하다. 하지만, 근원지 및 목적지가 동일한 LAN에 있지 않은 경우, 멀티캐스트 메시지를 목적지에 포워딩하는 것은 더 복잡해진다. 멀티캐스트 메시지 경로 지정 문제를 해결하려면 호스트는 인터넷 그룹 관리 프로토콜(IGMP)의 사용을 통해서 관련 그룹 ID의 소속 네트워크에 있는 멀티캐스트 라우터에 통지하여 그룹에 가입(또는 탈퇴)해야 한다. 이어서 멀티캐스트 라우터는 소속 네트워크에 있는 멀티캐스트 그룹의 구성원을 인식하고 수신된 멀티캐스트 메시지를 소속 네트워크로 포워딩할지 여부를 결정할 수 있다. 또한 멀티캐스트 경로 지정 프로토콜도 필요하다. 방화벽 관리의 관점에서, 인터넷 그룹 관리 프로토콜(IGMP) 트래픽을 모니터링하고 필터링하는 것은 방화벽의 복잡성을 추가하는 또 다른 일련의 관리 룰셋이 된다.
멀티캐스팅에 관련된 또 다른 방화벽 문제는 네트워크 주소 변환(NAT)의
사용이다. 외부 호스트에서 멀티캐스트 패킷을 수신하는 네트워크 주소 변환(NAT)을 수행하는 방화벽에는 내부 그룹 ID가 데이터를 수신해야 하는 역 매핑이 없다. 인터넷 그룹 관리 프로토콜(IGMP)을 인식하는 경우 여러 개 중의 하나는 정확하기 때문에 알려진 모든 그룹 ID에 방송할 수 있지만, 이것은 의도하지 않은 제어 패킷이 중요한 노드에 방송되는 경우 심각한 문제를 초래할 수 있다. 방화벽에서 취할 수 있는 가장 안전한 조치는 패킷을 분기하는 것이다. 따라서 멀티캐스팅은 일반적으로 네트워크 주소 변환(NAT)에 비친화적으로 간주된다.