فایروال صنعتی
مفهوم فایروال ها
فایروال ها (Firewall) که بخش جدا نشدنی انواع شبکه های صنعتی و غیر صنعتی هستند ، مفهوم آن چنان جدیدی نیستند. در واقع ما بارها شاهد استفاده از این فناوری در شبکه های مختلف داخلی و اینترنت بوده ایم.
به نوعی می توان فایروال ها را تجهیزات زیرساختی شبکه های کامپیوتری تعریف کرد که در زمینه ی تامین امنیت کارایی دارند. درواقع این تجهیز (چه نرم افزاری و چه سخت افزاری) جزء جدا نشدنی و بیسیک امنیت شبکه ها و حتی کلاینت ها هستند تا جایی که اگر قرار است در یک شبکه تنها از یک اقدام امنیتی استفاده شود، فایروالینگ معمولا انتخاب اول است.
ایده اصلی عمل فایروالینگ (Firewalling) بلاک کردن و جلوگیری از نفوذ ترافیک مخرب (Malicious traffic) به شبکه داخلی و بالطبع بالا نگه داشتن امنیت کارکرد و گردش اطلاعات در این محیط است.
تاریخچه ی فایروال ها:
1989- تولد اولین فایروال های فیلترینگ بسته (Packet Filtering)
1992-اولین فایروال تجاری DEC SEAL
1994-ظهور اولین فایروال های Stateful
2004-بکار بردن واژه ی مدیریت یکپارچه ی تهدید UTM (Unified Threat Management) توسط گروه بین المللی داده IDC
2009-فایروال های نسل بعدی Next Generation Firewall (NGFW) معرفی شد.
فایروال صنعتی چیست؟
در این میان شبکه های صنعتی یا اصطلاحا شبکه های (ICS) نیز از نیاز به فایروال مستثنی نیستند. شاید بتوان گفت شبکه های صنعتی از اهمیت بیشتری در امنیت برخوردارند چرا که در محیط های حساس ، شرایط بحرانی ، و فرآیند های دقیق و حساس صنعتی جای هیچ گونه امکان به وجود آمدن اختلال در کارکرد سیستم ها و فرایند ها وجود ندارد و در بسیاری از صنایع حتی رخ دادن کوچک ترین توقف و خللی در فرایند کنترل و تولید میتواند منجر به ایجاد آسیب ها و خسارات بسیار زیادی شده و حتی امنیت جانی پرسنل و حاضرین در محیط را به خطر بیندازد.
بنابراین، بازار نسبتاً جدیدی در حوزه تجهیزات امنیتی شبکه های صنعتی و فایروال های صنعتی (Industrial Firewalls) به وجود آمده است. شرایط سخت و خشن محیطی صنایع مختلف ایجاب میکند که برخی از این فایروال ها به اجبار بصورت بدون فن (Fanless) و یا دارای درجه بندی های خاص مقاومت در برابر رنج های دمایی گسترده و یا گرد و غبار باشند ، تا بتوانند همانند فایروال های شبکه های معمولی (IT Firewalls) عملکرد پایدار و قابل اتکایی را در چنین شرایطی ارایه دهند.
تفاوت فایروال های صنعتی با دیگر فایروال ها چیست؟
به صورت کلی عملکرد و امکانات این فایروال های صنعتی همانند دیگر فایروال هاست البته با چند استثنا منحصر به فرد. برای مثال به طور کلی در تجهیات شبکه های صنعتی پروتکل های خاصی به صورت پررنگ تر حائز اهمیت میشوند.
مثلا پروتکل های افزونگی (Redundancy) مختلفی وجود دارند که بکارگیری آنها باعث میشود در مواقع از کار افتادن یک تجهیز شبکه یا از بین رفتن ارتباط در یک لینک داده و یا قطع شدن یک منبع انرژی تجهیزات ، شبکه دچار اختلال نشود و در کسر کوچکی از ثانیه مکانیزم جایگزین این تجهیزات شروع به کار کند . تا به راحتی از بروز آسیب ها و خساراتی که ممکن بود به کل سیستم صنعتی وارد شوند جلوگیری شود. همچنین گاهی لازم است این تجهیزات با پروتکل های خاص صنعتی مانند Modbus یا EthernetIP نیز کار کنند.
شباهت فایروال های صنعتی با دیگر فایروال ها
با این حال شباهتی که فایروال های صنعتی با دیگر فایروال ها دارند این است که در نهایت وظیفه ی اصلی این تجهیزات فیلتر کردن ترافیک ورودی و خروجی در شبکه های ICT است همان طور که فایروال های استاندارد موظف به کنترل جریان داده در شبکه های IT هستند.
انواع فایروال ها از نظر لایه های شبکه
این تجهیزات میتوانند در لایه های مختلف شبکه کار کنترل جریان ورودی و خروجی اطلاعات را انجام دهند. برای مثال در لایه ی دوم عمل فایروالینگ از طریق نظارت بر اساس آدرس های مک (MAC addresses) ، در لایه ی 3 عمل فایروالینگ بر روی پشته پروتکل TCP/IP رخ میدهد برای مثال بر اساس فیلترینگ بسته ها (packet filtering) به این شکل که این بسته ها از چه منبعی و بر بستر چه پورتی در حال برقراری ارتباط هستند صورت میگیرد. و یا در لایه چهارم این عمل به صورت فیلترینگ بر اساس محتوای بسته ها و اصطلاحا به صورت Deep Packet Inspection انجام میشود.
بنابراین طراح شبکه با توجه به در نظر گرفتن نیاز هر نقطه از شبکه و بررسی نوع تهدیدات و ترافیک موجود رول های (Rule) مختلف فایروالینگ را در شبکه ی خود پیاده سازی میکند.
فایروال های نسل بعدی در فایروال های صنعتی
همانند دیگ فایروال ها، فایروال های صنعتی نسل جدید(Next-Generation Firewalls (NGFW)) نیز برای مصارف صنعتی در دسترس هستند با همان ویژگی های جدیدی که در فایروال های نسل جدید سازمانی (enterprise) وجود دارند یعنی:
قابلیت های رمزنگاری Encryption capabilities
لیست سفید Whitelisting
امکان پیاده سازی وی پی ان VPN
قابلیت تشخیص نفوذ Intrusion detection
قابلیت بازرسی عمیق ( محتوای ) بسته ها Deep Packet Inspection
فایروال های Stateless و Stateful و DPI در شبکه های صنعتی:
در شبکه های صنعتی (ICS/SCADA) فایروال های DPI نسبت به stateful و فایروال های stateful نسبت به stateless ترجیح داده میشوند. در ادامه به بررسی مفهوم این اصطلاحات و علت این ترجیح میپردازیم.
Stateless Firewalling :
این نوع فایروالینگ که قدیمی ترین و اساسی ترین معماری فایروال ها است و با عنوان Packet Filtering نیز شناخته میشود بسته های اطلاعات را بدون در نظر گرفتن تاریخچه و دیگر ارتباطات مرتبط با نشست ارتباطی (communication session) آن تجزیه تحلیل میکند و کار فیلترینگ را بر اساس معیار های ساده ی دیگر و فقط با بررسی هدر پروتکل بسته انجام میدهند معیارهایی از جمله:
آدرس آیپی منبع بسته Source IP
آدرس آیپی مقصد بسته Destination IP
پروتکل منبع (شماره پورت) Source protocol
پروتکل مقصد (شماره پورت) Destination protocol
اما از آنجا که این نوع فایروالینگ نیز تنها متکی به جداول لیست کنترل دسترسی Access control lists (ACL) است. این نوع از فایروال ها میتوانند به راحتی مورد حملات جعل (Spoofing) توسط مهاجمان قرار بگیرند.
Stateful Firewalling :
این نوع فایروال ها سالها پیش و پس از روش های stateless رایج شدند و ارتباط بین دیتای تازه رسیده را با دیتاهای قبلی را تشخیص میدهند و با مقایسه ی این اطلاعات با چهارچوب دیتاهای قبلی دریافت شده و با متد های به خصوصی ، ارتباطات تهدید کننده را شناسایی میکنند.در این روش ترافیک ورودی میبایست با درخواست های خروجی هماهنگ باشند.
این روش اصطلاحا مسدود کردن بسته های خارج از ترتیب (blocking out-of-sequence packets) نیز خوانده میشود.
به همین خاطر این نوع فایروال ها میتوانند محدودیت هایی را در برقراری ارتباطات جدید ایجاد کنند تا مهاجمان را بیشتر متوقف کنند.
در این روش علاوه بر اینکه این نظارت ها به خاطر نیاز به منابع پردازشی زیاد سیستم مستعد آسیب پذیری در مقابل حملات انکار سرویس DOS و DDOS است ، امکان تبادل و ورود اطلاعات مخرب از طریق گنجاندن آنها در بسته های مجاز از نظر فایروال ، به محیط شبکه وجود دارد که تهدیدی امنیتی محسوب میشود و به نوعی هنوز امکان حملاتی مانند Man in the middle را باقی میماند.
Deep Packet Inspection (DPI) :
با این روش فایروال میتواند محتوای بسته ها را بررسی کند و بدین شکل میتواند قوانین دقیق تری را نسبت به جداول ACL اعمال کند. این بازرسی عمیق تر و دقیق تر بسته ها باعث میشود موفقیت آمیز بودن حملات را تا حد چشمگیری کاهش یابد.
فایروال های صنعتی EAGLE و TOFINO :
کمپانی HIRSCHMANN که از خوش نام ترین و پیشتاز ترین برند های آلمانی تولید تجهیزات شبکه های صنعتی است. فایروال ها و تجهیزات امنیتی شبکه های صنعتی را با توجه با نیاز صنایع مختلف در سری های مختلف زیر تولید کرده است که میتوانید با انتخاب هر کدام مشخصات آنها را مشاهده کنید:
- EAGLE40 Multiport Firewall
- Tofino Xenon Security Appliance
- EAGLE One Security Router
- EAGLE20 and EAGLE30 Industrial Firewalls
- Data Diode RDD20
این تجهیزات که متناسب با مصارف صنعتی تولید شده اند دارای استاندارد های مختلفی برای کار کردن در محیط های سخت و خشن صنایع مختلف هستند که متضمن کارکرد مداوم و بدون خرابی در چنین شرایطی است. و با میانگین عمر خرابی (MTBF) بسیار بالا نسبت به محصولات مشابه ارائه میشوند.
ثبت ديدگاه