Использование TAP-режима для обеспечения видимости трафика SCADA-сетей
bakotech
  
Новости
Использование TAP-режима для обеспечения видимости трафика SCADA-сетей
03 авг 2015

Опрос, проведенный среди компаний, которые используют SCADA-сети, показывает, что большинство организаций сейчас только на этапе изучения файрволов нового поколения. Возможности, которые дает работа этих устройств на L7-уровне модели OSI, стали действительно приятной неожиданностью.

Кроме наличия полной видимости сетевого трафика, огромным плюсом является  тот факт, что устройство предоставляет полноценную корреляцию работы всех своих модулей — это результат уникального преимущества  архитектуры параллельной обработки трафика. Именно эти возможности стали главными в скорости обнаружения аномалий.

Очень часто, понятие «сетевого экрана» в названии продукта вызывает вопросы о том, можно ли такое решение использовать в пассивном мониторинге сети  только с целью обнаружения? Учитывая возможность возникновения такой потребности, файрвол Palo Alto Networks предлагает TАР-режим как вариант своей работы. Для конфигурации использования этого метода начиная с физического уровня, устройство необходимо подключить к SPAN-порту сетевого оборудования, например, коммутатора или маршрутизатора. Режим мониторинга также обеспечивает полную видимость трафика и его корреляцию. 

Почему мониторинг

Логично, если начинают возникать вопросы: для чего файрвол нужно ставить в режим мониторинга? Почему не в разрез сети? Основная причина такого поведения в самой SCADA-сети — есть критические сегменты, конфигурацию которых нельзя изменять. Рассмотрим пример, ядра системы управления, где вероятность случайной блокировки потока данных должна равняться нулю. Это естественно, если в таком случае возникает желание избежать каких-либо дополнительных устройств в разрезе сети.  С точки зрения безопасности периметра, файрвол должен быть активной защитой, но в критических сегментах SCADA это может повлиять на работоспособность самой системы. Для того, чтобы исключить такое влияние, предлагается режим пассивного мониторинга.

Еще одной причиной наличия пассивного мониторинга является то, что организации из SCADA-сетями часто не готовы к каким-либо изменениям в своей системе безопасности. А для того, чтобы продемонстрировать необходимость в модернизации — нужно предложить наименее «разрушительный» вариант оценки работы устройств, которые обеспечивают безопасность сети. 

О производственном трафике

Пользователи файрвола нового поколения Palo Alto Networks имеют доступ к различным инструментам корреляции сетевого трафика, включая следующие:

  • SCADA-протоколы и приложения: Modbus, DNP3, OPC, ICCP, OsiSoft Pi, Schneider OASyS, Cygnet и т.д. Для некоторых протоколов обеспечивается более гранулярная видимость и контроль (запись/считывание у Modbus)
  • Бизнес-/административные приложения  базы данных, такие как MS SQL, удаленное управление, сетевое управление
  • SaaS и социальное медиа — приложения, которые не должны использоваться в среде SCADA-сетей, но некоторые из них все таки присутствуют через безответственное отношение персонала, например, Dropbox, P2P-приложения, TeamViewer
  • Пользовательский трафик — процесс создания «своих» (пользовательских) сигнатур для App-ID достаточно прост и не выходит за рамки функционала файрвола
  • Пользователь/группа пользователей — файрвол нового поколения использует различные источники для мапинга IP-пользователь, что позволяет видеть отдельных пользователей или их группы
  • Контент — файрвол предоставляет также возможность идентификации файлов, текста и URL
  • Известные угрозы — эксплойты, вредоносные программы, с2с-трафик контекстуально связанны с протоколами и приложениями на L7-уровне модели OSI
  • Угрозы нулевого дня — файрвол нового поколения Palo Alto Networks интегрирован с песочницей Wildfire, что позволяет обнаруживать еще неизвестные угрозы (новая сигнатура генерируется в течении 5-ти минут).
  • Области, где организации со SCADA-сетями, как правило, заинтересованы в получении широких возможностей для аудита своих потоков данных:
  • Ядро SCADA-сети — мониторинг трафика между HMI, рабочими станциями и серверами на производстве
  • IT-OT периметр — использование файрвола нового поколения расширит возможности уже существующей системы защиты (зачастую это маршрутизаторы со списками доступа и традиционные сетевые экраны, работа которых базируется на контроле портов) и увеличит уровень видимости, который не выходит за рамки портов и ІР-адресов 
  • Сторонние соединения — подобно IT-OT периметру. Убедитесь, что вы контролируете все подключения, даже те, которые идут со стороны, например, партнеров, поставщиков или разработчиков/интеграторов SCADA-сетей. 

Выход за рамки пассивного мониторинга

Большинство пользователей начинали с мониторинга сети и оценки эффективности работы существующей системы защиты, а в конечном итоге переходили на один из трех активных режимов (виртуальный провод, L2, L3), которые предоставляют широкие возможности сегментации. Также есть кейсы с гибридной моделью развертывания файрволов нового поколения Palo Alto Networks: в одних сегментах сети устройство устанавливается в разрез, в других (более критичных) – в режиме пассивного мониторинга.

Важен тот факт, что файрвол нового поколения Palo Alto Networks достаточно гибкий в разворачивании и конфигурации, его рабочие интерфейсы могут быть настроены для поддержки нескольких режимов одновременно. 

Видимость приложений и отчет о рисках

Достаточно интересным является бесплатный инструмент по анализу трафика и рисков (Application Visibility and Risk или AVR) для организации, где используется/тестируется файрвол Palo Alto Networks. Такой отчет по работе файрвола можно получить, не зависимо от того, какой режим (виртуальный провод, L2, L3) используется для разворачивания устройства.

Результаты AVR-отчета — это бесплатный и простой способ понять не только ценность корреляции, видимости трафика на L7 уровне модели OSI, но и увидеть уязвимые места в вашей сети. В случае, если возникло желание получить такой отчет — свяжитесь с локальными представителями Palo Alto Networks.

К списку новостей      >