※この記事は以下の記事の日本語訳です。
DNP3 New App-ID Release
https://live.paloaltonetworks.com/t5/Management-Articles/DNP3-New-App-ID-Release/ta-p/166893
背景:
DNP3 (Distributed Network Protocol)は、SCADA(Supervisory Control and Data Acquisition)システムのコンポーネント間で使用されるコミュニケーション プロトコル セットです。電力および水道施設でよく使用されます。このプロトコルは様々な種類のデータ取得、機器のコントロールなどのコミュニケーション用に開発されたものです。SCADAシステムは、DNP3を使用して、マスタステーション、リモート端末(RTU)、Intelligent Electronic Device(IED)の間の通信を行います。
現在Palo Alto Networks社では5種類のアプリケーションIDがあり、全てのDNP3機能コードに拡張する計画があり、32種類のアプリケーションIDになります。SCADAやICSシステムで使われる重要なプロトコルのため、我々はこれらの変更を、お客様が既存のDNP3アプリケーションIDをご使用している既存環境に影響を及ぼすことなく、スムーズに変更を吸収できるようにご紹介します。
リリース計画:
2017年8月21日の週に、Palo Alto Networks社は、27種のアプリケーションIDをDNP3機能コードに追加します。2017年8月に追加されるアプリケーションID一覧は以下です。
dnp3-confirm
dnp3-select
dnp3-direct-operate-no-resp
dnp3-freeze
dnp3-freeze-no-resp
dnp3-clear
dnp3-clear-no-resp
dnp3-freeze-at-time
dnp3-freeze-at-time-no-resp
dnp3-cold-restart
dnp3-warm-restart
dnp3-initialize-data
dnp3-initialize-application
dnp3-start-application
dnp3-stop-application
dnp3-save-configuration
dnp3-enable-unsolicited
dnp3-disable-unsolicited
dnp3-assign-class
dnp3-delay-measurement
dnp3-record-current-time
dnp3-open-file
dnp3-close-file
dnp3-delete-file
dnp3-get-file-information
dnp3-authenticate-file
dnp3-abort-file
これらの27個のアプリケーションIDリリースには2フェーズでリリースします。
- 2017年7月 DNP3仮設定のアプリケーションIDがリリースされます。リリース時期は7月17日の週
- 2017年8月 27個のDNP3アプリケーションIDが有効になります。リリース時期は8月21日の週
仮設定のアプリケーションID はお客のファイアウォールに事前設定を施すことができます。この仮設定はアプリケーションIDをセキュリティポリシーに追加する計画を支援するために十分な時間を提供できます。
よくある質問
質問: なぜパロアルトネットワークス社はこの変更を実施したのですか?
回答: SCADAやICSの多くのお客様でと意見交換した結果、 DNP3アプリケーションIDにて、脅威に関する進歩が日々増している背景があります。そのことを認識したうえで、SCADAエリアにおいて、継続的なアプリケーション視覚化を提供する必要性が増したので、DNP3に関連した27個のアプリケーションIDをリリースすることを決定しました。
質問: どのポリシー変更が必要ですか?
回答: もしアプリケーションIDベースのポリシーをご利用いただいて、dnp3-base にて、DNP3関連アプリケーショントラフィックを許可している場合、このポリシーに”追加”にて、DNP3に関連した27個のアプリケーションIDから加える必要があります。”追加”と書かさせていただいたことに注意してください。既存のdnp3-baseを削除せずに、既存のポリシーにDNP3機能のアプリケーションIDを追加することを推奨します。
幾分簡素化された、細かくないアプローチではDNP3に関連したアプリケーションIDを許可することにより、全てのDNP3アプリケーションIDを単純に許可します。
しかしながら、もっと細かなアプローチとして、お客様はDNP3のどのようなタイプのトラフィックやそれらの特定のDNP3機能コードのアプリケーションIDのみを許可する評価を実施していただくこと推奨します。以下のセキュリティポリシーはサンプル例です。全てのお客様の設定は異なるべきです。お客様のネットワークに存在するDNP3フローに関するナレッジ、ご自身の判断により、正しいポリシーを構築してみてください。
質問: DNP3に関連するポートベースのポリシーを使っている場合どうなりますか?
回答: もしポートベースのポリシーを使って、正常にDNP3トラフックを許可している場合、この変更の影響を受けることはありません。しかしながらDNP3に関連するトラフィックを許可するために、DNP3アプリケーションIDをご使用いただくことを推奨します。
質問: もしセキュリティポリシー上のdnp3-baseが、1つ、もしくは複数のDNP3機能のアプリケーションIDで網羅できてない場合はどうなりますか?
回答: 8月21日の週に、全てのDNP3に関連した27個のアプリケーションIDが有効化されます。dnp3-baseと認識されていたアプリケーションIDがもし新しいシグネチャーにマッチした場合、27個のアプリケーションIDのいずれかに識別されます。もし既存のdnp3-baseを明示的に許可していたポリシーで、27個のアプリケーションIDにマッチングした場合、そのトラフィックが落とされる可能性があります。
