新しいDNP3アプリケーションIDリリースについて

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
DNP3 New App-ID Release
https://live.paloaltonetworks.com/t5/Management-Articles/DNP3-New-App-ID-Release/ta-p/166893

 

背景:

DNP3 (Distributed Network Protocol)は、SCADA(Supervisory Control and Data Acquisition)システムのコンポーネント間で使用されるコミュニケーション プロトコル セットです。電力および水道施設でよく使用されます。このプロトコルは様々な種類のデータ取得、機器のコントロールなどのコミュニケーション用に開発されたものです。SCADAシステムは、DNP3を使用して、マスタステーション、リモート端末(RTU)、Intelligent Electronic Device(IED)の間の通信を行います。

 

現在Palo Alto Networks社では5種類のアプリケーションIDがあり、全てのDNP3機能コードに拡張する計画があり、32種類のアプリケーションIDになります。SCADAやICSシステムで使われる重要なプロトコルのため、我々はこれらの変更を、お客様が既存のDNP3アプリケーションIDをご使用している既存環境に影響を及ぼすことなく、スムーズに変更を吸収できるようにご紹介します。

 

リリース計画:

2017年8月21日の週に、Palo Alto Networks社は、27種のアプリケーションIDをDNP3機能コードに追加します。2017年8月に追加されるアプリケーションID一覧は以下です。

 

dnp3-confirm
dnp3-select
dnp3-direct-operate-no-resp
dnp3-freeze
dnp3-freeze-no-resp
dnp3-clear
dnp3-clear-no-resp

dnp3-freeze-at-time
dnp3-freeze-at-time-no-resp
dnp3-cold-restart
dnp3-warm-restart
dnp3-initialize-data
dnp3-initialize-application

dnp3-start-application
dnp3-stop-application
dnp3-save-configuration
dnp3-enable-unsolicited
dnp3-disable-unsolicited
dnp3-assign-class
dnp3-delay-measurement

dnp3-record-current-time
dnp3-open-file
dnp3-close-file
dnp3-delete-file
dnp3-get-file-information
dnp3-authenticate-file
dnp3-abort-file

 

これらの27個のアプリケーションIDリリースには2フェーズでリリースします。 

 

  • 2017年7月 DNP3仮設定のアプリケーションIDがリリースされます。リリース時期は7月17日の週
  • 2017年8月 27個のDNP3アプリケーションIDが有効になります。リリース時期は8月21日の週

 

仮設定のアプリケーションID はお客のファイアウォールに事前設定を施すことができます。この仮設定はアプリケーションIDをセキュリティポリシーに追加する計画を支援するために十分な時間を提供できます。

  

よくある質問

 

質問: なぜパロアルトネットワークス社はこの変更を実施したのですか?

回答: SCADAICSの多くのお客様でと意見交換した結果、 DNP3アプリケーションIDにて、脅威に関する進歩が日々増している背景があります。そのことを認識したうえで、SCADAエリアにおいて、継続的なアプリケーション視覚化を提供する必要性が増したので、DNP3に関連した27個のアプリケーションIDをリリースすることを決定しました。

 

質問: どのポリシー変更が必要ですか?

回答: もしアプリケーションIDベースのポリシーをご利用いただいて、dnp3-base にて、DNP3関連アプリケーショントラフィックを許可している場合、このポリシーに”追加”にて、DNP3に関連した27個のアプリケーションIDから加える必要があります。”追加”と書かさせていただいたことに注意してください。既存のdnp3-baseを削除せずに、既存のポリシーにDNP3機能のアプリケーションIDを追加することを推奨します。

 

幾分簡素化された、細かくないアプローチではDNP3に関連したアプリケーションIDを許可することにより、全てのDNP3アプリケーションIDを単純に許可します。

 

Screen Shot 2017-07-17 at 16.14.17.png

 

しかしながら、もっと細かなアプローチとして、お客様はDNP3のどのようなタイプのトラフィックやそれらの特定のDNP3機能コードのアプリケーションIDのみを許可する評価を実施していただくこと推奨します。以下のセキュリティポリシーはサンプル例です。全てのお客様の設定は異なるべきです。お客様のネットワークに存在するDNP3フローに関するナレッジ、ご自身の判断により、正しいポリシーを構築してみてください。

Screen Shot 2017-07-17 at 16.14.42.png

 

 

質問: DNP3に関連するポートベースのポリシーを使っている場合どうなりますか?

回答: もしポートベースのポリシーを使って、正常にDNP3トラフックを許可している場合、この変更の影響を受けることはありません。しかしながらDNP3に関連するトラフィックを許可するために、DNP3アプリケーションIDをご使用いただくことを推奨します。

 

質問: もしセキュリティポリシー上のdnp3-baseが、1つ、もしくは複数のDNP3機能のアプリケーションIDで網羅できてない場合はどうなりますか?

回答: 8月21日の週に、全てのDNP3に関連した27個のアプリケーションIDが有効化されます。dnp3-baseと認識されていたアプリケーションIDがもし新しいシグネチャーにマッチした場合、27個のアプリケーションIDのいずれかに識別されます。もし既存のdnp3-baseを明示的に許可していたポリシーで、27個のアプリケーションIDにマッチングした場合、そのトラフィックが落とされる可能性があります。