Mike Werning, Moxa Americas的现场应用工程师。
π北美Profibus的年度大会是了解Profibus、Profinet和一般工业网络的最新消息的地方。在今年的会议上,标志着该组织成立20周年,会议集中讨论了制造商今天应该采取的具体措施,以确保其工业控制系统(ICS)的安全。
由Mike Werning交付,现场应用工程师艾美洲,会议重点解释了ICS安全的行业最佳实践,以及由ICS-CERT.
尽管Werning所强调的一些安全最佳实践似乎有些显而易见,但令我感到惊讶的是,有许多大型进口公司仍然没有采取其中的许多步骤。以下是Werning强调的一些关键工业控制系统安全最佳实践;
- 保护所有工厂地面网络控制台使用https.
- 通过禁用telnet和使用来保护控制台接口SSHsecure shell。Werning说,如果使用telnet,管理员的密码可以从控制台的数据流中检索出来。
- 所有可访问ICS的帐户都应被分配一个复杂的密码,密码应超过8个字符,使用数字和大写/小写字母的组合。
- 使用管理VLAN,但一定要更改默认管理VLAN为1以外的VLAN.Werning还建议使用trunk链路在交换机之间承载多个vlan,并限制管理计算机只能访问管理vlan。他说:“这样做限制了可以做出改变的范围。”
- 禁用交换机上所有未使用的端口。如果您不禁用这些端口,至少要锁定它们,以便它们只对已知的端口开放MAC地址.一旦他们被锁定,他们就无法获取任何额外的地址。
- 使用RADIUS、TACACS+等安全协议进行认证授权。如果您对这些术语不熟悉,请查看本文末尾的视频,该视频用基本的网络术语解释了这两个术语。
- 的版本1和版本2SNMP不能保证不受包嗅探因为这些版本使用明文。“使用version3,”Werning建议,“因为它具有身份验证和DES加密功能。”使用版本3的一个注意事项是,许多遗留设备不支持它。如果由于遗留设备问题而无法使用版本3,Werning建议将读/写团体设置更改为模糊或独特的设置。
根据ICS- cert,在详细讨论了这些最佳实践之后,Werning强调了ICS网络安全的五个关键对策。这些高级措施应该构成ICS安全大纲的第一级:
1.实施特定的安全策略
- 为你的公司/设施制定计划,并定期检查是否合规;
- 确保该计划中的要点与您所在行业的安全标准一致。
2.阻止对资源和服务的访问
- 使用周边设备和vpn;
- 使用访问控制列表(acl)实现防火墙。
3.检测到恶意行为
- 定期监视网络配置、事件日志和网络性能。
4.减轻可能的攻击
- 使用过滤器、深度包检查、安全的网络服务和端口来抵御基本的网络入侵可能性。
5.解决核心问题
- 虽然对于ICS来说,这从来没有it那么简单,但为了保证ICS的安全,定期进行软件/固件升级是必要的。
在最后的注释中,Werning指出,对于一些公司来说,检查几个与安全相关的网站,看看哪些地方ICS漏洞最严重,这已经成为一种常规流程。有些网站,比如SHODAN和Infracritical.org,可能会“戳到你”,Werning提醒道。因此,在使用联网计算机访问这些网站之前,请确保您的基本安全构建模块已经到位。
下面思科的网络101视频解释了RADIUS和TACACS+在网络用户认证、授权和计费方面的应用。
