通過基于網(wǎng)絡(luò)的防火墻保護工業(yè)物聯(lián)網(wǎng)

　　許多工業(yè)物聯(lián)網(wǎng)系統(tǒng)有敞開的門，造成意想不到的漏洞。

　　開放式通信協(xié)議可以揭示哪些信息？黑客如何識別易受攻擊的系統(tǒng)？有哪些安全資源可用？ IoT防火墻如何防范這種威脅？

　　TCP端口502漏洞

　　許多工業(yè)系統(tǒng)使用TCP端口502，它允許兩個主機建立連接并交換數(shù)據(jù)流。 TCP保證傳送數(shù)據(jù)，并且數(shù)據(jù)包將以與發(fā)送的相同順序在端口502上傳送。這造成遠程攻擊者通過MODBUS 125功能代碼安裝任意固件更新到TCP端口502的風(fēng)險。來自Shodan等服務(wù)的掃描可識別具有可能易受攻擊的打開TCP端口502的系統(tǒng)。

　　安全審計公司（如Splone）通過掃描和其他滲透測試技術(shù)來識別威脅，提出反措施。掃描返回主機的IP地址，打開端口，國家，供應(yīng)商，產(chǎn)品和固件信息。

　　保護Modbus通訊協(xié)議

　　停機時間對于工業(yè)控制系統(tǒng)（ICS），暖通空調(diào)設(shè)備和制冷系統(tǒng)來說是非常昂貴的。這種工業(yè)物聯(lián)網(wǎng)（IoT）系統(tǒng)特別脆弱，因為它們部署在工廠，但與外部基于云的IoT服務(wù)進行通信。使用多個協(xié)議和授權(quán)的管理權(quán)限增加了安全性問題。

　　Modbus是1979年由Modicon（現(xiàn)為施耐德電氣）發(fā)布的串行通信協(xié)議，用于與其可編程邏輯控制器（PLC）一起使用。它已經(jīng)成為一個事實上的標(biāo)準(zhǔn)通信協(xié)議，現(xiàn)在是一種常用的連接工業(yè)電子設(shè)備的手段。 Modbus廣泛應(yīng)用于開發(fā)工業(yè)應(yīng)用。它很容易部署和移動原始位，幾個限制。

　　Modbus的危險在于當(dāng)TCP / IP數(shù)據(jù)包的源IP地址被檢查時，它們看起來是無害的。需要的是深層次的檢查。工業(yè)設(shè)備很少具有應(yīng)用層安全性，所以需要額外的安全性。

　　Barracuda NextGen防火墻除了其他公司資源之外，還可保護工業(yè)物聯(lián)網(wǎng)系統(tǒng)。他們使用小型Secure Connector設(shè)備（FSC1）將遠程設(shè)備連接到多個上行鏈路。這也支持基于區(qū)域的防火墻，Wi-Fi和VPN連接。網(wǎng)絡(luò)流量回傳到在中央辦公室或云端運行的集中器（FSAC），以便進行URL過濾，入侵防御（IPS），防病毒保護和應(yīng)用程序檢測。

　　該方法可最大限度地減少對現(xiàn)有系統(tǒng)的影響，并將安全掃描卸載到云端或另一內(nèi)部服務(wù)器。當(dāng)新的威脅出現(xiàn)時，可以通過網(wǎng)絡(luò)進行防火墻更新。

　　工業(yè)物聯(lián)網(wǎng)安全資源

　　工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）：ICS-CERT致力于通過與執(zhí)法機構(gòu)和情報界的合作以及聯(lián)邦，州，地方和部落政府之間的協(xié)調(diào)努力來降低所有關(guān)鍵基礎(chǔ)設(shè)施部門內(nèi)部和跨所有風(fēng)險以及控制系統(tǒng)所有者，運營商和供應(yīng)商。它與國際和私營部門的計算機應(yīng)急小組（CERT）合作，共享與控制系統(tǒng)相關(guān)的安全事件和緩解措施。

　　工業(yè)互聯(lián)網(wǎng)聯(lián)盟開發(fā)了一個安全框架，其中提供了免費提供的工業(yè)物聯(lián)網(wǎng)設(shè)備的建議。 “為了避免安全隱患，特別是隨著不同部門的系統(tǒng)之間的互操作和剝削的嘗試，在它們之間的差距中，重要和緊迫的是在IIoT安全參與者之間早日達成共識，”該聯(lián)盟說。

　　ScadaHacker提供安全警報和培訓(xùn)以確保工業(yè)物聯(lián)網(wǎng)系統(tǒng)。

　　通常情況下，無法確保建筑物的所有門。屏幕人員進出建筑物的門衛(wèi)可以幫助您。對于工業(yè)物聯(lián)網(wǎng)系統(tǒng)，一個叫做梭子魚的門衛(wèi)可能就是需要的。