サイト内の現在位置

NIC二枚挿しによるネットワーク分割はなぜ危ないのか:NIST SP800-82より考察

NECセキュリティブログThe Reasons Why Dual NIC is Risky: Consideration from NIST SP800-82

はじめに

NECサイバーセキュリティ戦略本部セキュリティ技術センターの日下部です。
エンジニアの方にとって、システムのネットワーク構成を設計する機会は多々あるかと思います。
ネットワーク構成を検討する際、機器の役割や設置場所によって異なるネットワークアドレスを付与するネットワーク分割を実施することになります。ネットワーク分割の方法はファイアウォールやルータといった装置での分割の他に、サーバやPCに二枚のNIC(Network Interface Card)を使用してネットワークを分割するいわゆる”NIC二枚挿し”という方法もあります。しかし、この方法はセキュリティ上推奨しないという考え方があります。
本記事では、セキュアな産業制御システム(ICS : Industrial Control System)を構築するためのガイドであるNIST SP800-82を参考にNIC二枚挿しによるネットワーク分割がセキュリティ上なぜ危ないのか考察してみたいと思います。

NIST SP800-82におけるネットワーク分割

NIST SP800-82>new window[1]は、セキュアなICSを構築するためのガイドです。このガイドの「5 ICS Security Architecture」において、企業側のネットワークと制御側(ICS側)のネットワークを分割する方法を紹介しています。企業側のネットワークと制御側のネットワークでは流れるネットワークトラフィックの性質が異なるため、片方のネットワークで障害が発生した場合でも、もう片方のネットワークに影響を与えないようにするため分割すべきとしています。また、この2つのネットワーク間の接続は、必要最小限にすべきとしています。制御側のネットワークではセンサやアクチュエータなどの物理的に作用する制御機器を扱っているため、企業側のネットワークで発生したマルウェア感染などのセキュリティインシデントが制御側に広まった場合に制御機器を通して現実空間に被害が及ぶからです。

企業側と制御側のネットワーク接続を最小限にするためには、2つのネットワーク間で必要な通信のみを通すなど、ネットワークをどのように接続し、分割するかを検討する必要があります。なお、NIST SP800-82はICSのセキュリティについて述べたガイドですが、一般的な情報システムにおいても例えばIoTの普及によって現実空間に影響を与える割合が大きくなってきているため、ネットワーク分割の考え方は重要となります。

企業ネットワークと制御ネットワークの分割方法として、NIST SP800-82では下記のような方法を紹介しています。
数字が大きくなるほどセキュリティレベルは高くなりますが、コストも高くなります。

  1. デュアルホームドコンピュータ/デュアルネットワークインターフェースカード
  2. ファイアウォール
  3. ファイアウォールとルータ
  4. DMZを設置したファイアウォール
  5. DMZの設置とペアのファイアウォール

1のデュアルホームドコンピュータ/デュアルネットワークインターフェースカードは、サーバやPCに二枚のNICを使用して分割するNIC二枚挿しのことです。この方法ではサーバやPCに適切なセキュリティ対策が施されていない場合、ネットワークトラフィックを別のネットワークに通過させてしまうため、ネットワーク分割に使用すべきではないとしています。

図1. デュアルホームドコンピュータによるネットワーク分割の例

上記のようにNIST SP800-82ではネットワークトラフィックの通過を脅威として挙げていますが、他に考えられる脅威を考察してみます。

NIC二枚挿しによる脅威

以下ではNIST SP800-82の例に従い、分割された2つのネットワークをそれぞれ企業ネットワーク、制御ネットワークとしています。

①ファイル共有による情報混在

サーバやPCはファイルを保存する機能を持ち、ネットワークを通じて他のサーバやPCとファイルを共有することができます。NIC二枚挿しによってネットワーク分割を実施している場合、企業ネットワークと制御ネットワークの両方と直接ファイル共有ができることになります。したがって、企業ネットワーク側のサーバやPCに格納されているファイルを制御ネットワーク側のサーバやPCへ、あるいはその逆を容易に行うことができ、それぞれのネットワークに格納されているファイルが混在する可能性があります。別々のネットワークに存在するファイルが混在することは、情報管理の観点から好ましくない状況になります。たとえ運用ルールでファイルの移動を制限するような規則を設けたとしても、業務経験が浅い、あるいは運用ルールを把握していない従業員によりファイルの混在が引き起こされる可能性があります。

図2. ファイル共有による情報混在のリスク

異なるネットワークのファイルの混在を防ぐためには、NIC二枚挿しのサーバやPCによるネットワーク分割でなく、ファイアウォール等のネットワーク機器によるネットワーク分割が必要です。ネットワーク機器は一般的にファイル共有を行う機能を備えていないため、ネットワーク機器を直接操作することによるファイル移動は行えません。また、ファイアウォールによるアクセスコントロールを設定することで、Windowsで使用されるファイル共有プロトコルであるSMB(Server Message Block)の無効化や、ファイル共有できるサーバやPCの絞り込みを行うことができます。

図3. ファイル共有による情報混在の防止例

②所属ネットワークの不明確化

サーバやPCがどこのネットワークに所属しているかの区別は、通常NICに割り当てられたIPアドレスによって判断されます。しかしNIC二枚挿しによってネットワーク分割を行っているサーバやPCでは、企業ネットワーク側と制御ネットワーク側のどちらに所属しているか、明確な判断がつきにくくなってしまいます。設計書や仕様書などによって、NIC二枚挿しのサーバやPCがどちらのネットワークに所属しているか定義していることもあります。しかし、運用時に設計書や仕様書を都度確認することは少ないと考えられ、サーバやPCの所属ネットワークが不明確になりやすいです。そのため、ファイルやデータをどの所属ネットワークの管理として取り扱えばよいかわからず、①と同じように情報の混在が発生してしまう可能性があります。

図4. 所属ネットワーク不明確化のリスク

サーバやPCの所属するネットワークを明確にするためには、ファイアウォール等のネットワーク機器でのネットワーク分割を行い、NIC二枚挿しでネットワーク分割を実施していたサーバやPCを片側のネットワークのみに接続させます。サーバやPCを片側のネットワークのみに接続させることで所属するネットワークが明確になり、適切な機器・情報管理が行えるようになります。なお、ネットワーク機器はどちらのネットワークに所属するのかという疑問を持たれる方がいると思います。ネットワーク機器は「ネットワークを分割する」、「別のネットワークへの入口・出口」という明確な役割を与えられているため、企業ネットワークと制御ネットワークの両方に所属していても所属ネットワークが不明確になることはないと考えられます。

図5. 所属ネットワーク明確化の例

③脆弱性の悪用/踏み台化

サーバやPCはファイアウォール等のネットワーク機器と比べ、多くの機能・サービスが動作しています。そのため、発見される脆弱性の数も多く、サーバやPC内に搭載された機能・サービスの脆弱性がひとたび発覚すると、攻撃者は執拗に脆弱性を狙って侵入を試みます。侵入に成功し、ネットワーク分割に用いられているサーバやPCが踏み台に利用された場合は、隣接するネットワークに攻撃の被害が及びます。

図6. 脆弱性を狙った攻撃・踏み台化のリスク

一般的に、ネットワーク機器の方がサーバやPCに比べて内部で動作する機能・サービスは少ないと言えます。そのため、脆弱性を狙った攻撃の種類は少ないと考えられるでしょう。この観点からもネットワーク分割はファイアウォール等のネットワーク機器で実施するほうがよいといえます。ただし、ネットワーク機器も脆弱性が発見されることはありますので、使用しているネットワーク機器の脆弱性情報の収集は必要です。

図7. 脆弱性を狙った攻撃・踏み台化の防止例

まとめ

本記事ではNIC二枚挿しによるネットワーク分割がなぜ危ないのか考察しました。NIC二枚挿しによるネットワーク分割は技術面や運用面で様々なリスクが考えられるため、ネットワーク分割を行う際はNIST SP800-82に記載されたNIC二枚挿し以外の方法を選択するべきでしょう。
インターネットなどに公開されている様々なシステムのネットワーク構成図を見ると、NIC二枚挿しのサーバ・PCによってネットワークが分割されている事例を見かけることがあります。ネットワークの知識がある方であれば「構成図ではNIC二枚挿しによってネットワーク分割されているが、実際にはファイアウォールやルータを使ってネットワークを分割する必要がある」と読み取れるかもしれません。そして、適切なネットワーク機器を使ってネットワークを分割するように構築するでしょう。しかし、業務経験の浅い人であれば、構成図を鵜呑みにしてNIC二枚挿しの方法でネットワークを構築する可能性もあり、注意が必要です。
NIST SP800-82ではセキュアなICSの構築方法を述べていますが、ネットワーク分割の考え方はICSだけに限りません。システムの役割や用途によって適切なネットワーク分割を施すことが重要となります。


The Reasons Why Dual NIC is Risky: Consideration from NIST SP800-82

Introduction

Designing the network configuration of a system is one of the most common tasks for system engineers.
In the process of considering the network configuration, there is a task called network segmentation, and different network addresses are assigned depending on the role and installation location of the device. In network segmentation, there is a method of using devices such as firewalls and routers, but there is also a method called “Dual Network Interface Cards/Dual-homed Computer,” in which two NICs (network interface cards) are inserted into a server or PC to divide the network. However, it is generally considered that the latter is not recommended due to security reasons.
This blog is discussing why network segmentation by dual NIC is risky by reference to NIST SP800-82 as a guide for building secure Industrial Control System (ICS).

Network Segmentation in NIST SP800-82

NIST SP800-82 new window[1] is a guide on how to establish secure ICS. “5 ICS Security Architecture” of this guide introduces how to divide the corporate network and the control network. Since the property of network traffic is different between the corporate network and the control network, the network should be divided into two parts so that even if a network failure occurs on one side, the other side can stay safe. Also, the connection between these two networks should be kept to a minimum. This is because the control network deals with physically acting control devices such as sensors and actuators, so if a security incident such as a malware infection occurs on the corporate network and spreads to the control network, the damage will extend to the real space through the control device.

In order to minimize the network connection between the corporate network and the control network, it has to be considered how to connect and divide the network, for example, passing only the necessary communication between the two networks. Although NIST SP800-82 is a guide on ICS security, the idea of network segmentation is also important in general information systems which have increased the impact on real space, such as IoT (Internet of Things).

NIST SP800-82 introduces the following methods for dividing the corporate network and the control network.
The bigger the number, the higher the security level, but also the higher the cost.

  1. Dual-Homed Computer/Dual Network Interface Cards
  2. Firewall
  3. Firewall and Router
  4. Firewall with DMZ
  5. Paired Firewalls with DMZ

1. dual-homed computer/dual network interface cards in above is dual NIC that divides a network by inserting two NICs into a server or PC. If the server or PC does not have appropriate security measures in place, network traffic could pass through another network, so this method should not be used for network segmentation.

Figure-1: Example of network segmentation by dual-homed computer

As shown in above, the passage of network traffic is listed as a threat in NIST SP800-82, but other possible threats can be also considered.

Threats from Dual NIC

In the following, the two divided networks are respectively the corporate network and the control network in accordance with the NIST SP800-82 example.

① Information Mixing by File Sharing

Servers and PCs have file storing function, and can share files with other servers and PCs through the network. When network is divided by dual NIC, files can be directly shared on both the corporate and control network. Therefore, it is easy to move files stored on the servers or PCs on the corporate network to the control network, and vice versa, so the files stored on each network may be mixed as a result. From the perspective of information management, it is unfavorable that files that originally located on different networks are mixed together. Even if operational rules are established to restrict file movement, file mixing may occur by employees who are not experienced enough or have a poor understanding of the operational rules.

Figure-2: Risk of information mixing through file sharing

To prevent the file mixing from different networks, network should be divided by network device such as firewall, rather than servers or PCs with dual NIC. In general, network devices are not equipped with file sharing features, so files cannot be moved by directly operating the network devices. Also, by setting up access control by firewall, it allows to disable SMB (Server Message Block) which is a file sharing protocol used in Windows, and restrict the servers and PCs that can share files.

Figure-3: Example of preventing information mixing by file sharing

② Unclear Network Belonging of the Server/PC

The network to which the server or PC belongs is usually determined by the IP address assigned to the NIC. Although for server or PC with dual NIC, it is difficult to clearly determine whether it belongs to the corporate network or the control network. Some design documents or specifications define which network the server or PC with dual NIC belongs to. However, since it is not practical to check those documents every time, the network to which the server or PC belongs tends to be unclear. Therefore, it is difficult to grasp which network the files and data belong to and are managed, and there is a possibility that information will be mixed up in the same way as 1. above.

Figure-4: Risk of unclear network to which server/PC belongs

In order to clarify which network a server or PC belongs to, divide the network by network devices such as firewall, and also connect the server or PC to only one network. By connecting the server or PC to only one network, it becomes clear where the network belongs, and appropriate device and information management will be performed. Here, the question may arise as to which network the network device belongs to. It is said that a network device belongs to both the corporate network and the control network because it has two distinct roles: to divide a network and to be a gateway to another network.

Figure-5: Example of clarification of which network server/PC belongs to

③ Exploitation of Vulnerabilities / Used as a Jump Server

Compared to network devices such as firewall, various features and services are running on servers and PCs. Therefore, vulnerabilities tend to be detected in large numbers, and once vulnerabilities are found in features and services installed in the servers and PCs, attackers relentlessly try to penetrate by targeting those vulnerabilities. In case successfully penetrated and servers or PCs used for network segmentation became a jump server, the damage of the attack extends to adjacent networks.

Figure-6: Risk of suffering vulnerability attacks and being a jump server

Generally, fewer features and services are running within network devices than servers and PCs. Therefore, there are not many types of attacks aimed at the vulnerabilities. From this point of view, network segmentation is still better to be performed by network devices such as firewall. Having said that, it does not mean vulnerabilities will not be found in network devices, it is always essential to collect information on the vulnerabilities of the network devices used.

Figure-7: Example of preventing vulnerability attacks/being a jump server

Summary

The reasons why dual NIC is considered risky have been examined in this article. As network segmentation with dual NIC may present various potential risks both technical and operational, other methods described in NIST SP800-82 should be chosen for network segmentation rather than dual NIC.
When looking at the network diagrams of systems published on the internet, there would be some cases of network segmentation by a server or PC with dual NIC. People who have knowledge of network may be able to read the fact that even if the network is divided by dual NIC in the configuration diagram, firewalls or routers should be used for actual network segmentation. Then, they will build the system with network devices which is suitable for network segmentation. However, inexperienced people may only look at the information on configuration diagram and build a network by inserting two NICs, which is risky.
NIST SP800-82 describes secure methods of ICS construction, yet the concept of network segmentation is not limited to ICS. The key is to understand the role and purpose of the system well, and thereby make an appropriate network segmentation.

参考資料/Reference

執筆者プロフィール

日下部 孝太朗(くさかべ こうたろう)
セキュリティ技術センター セキュリティ実装技術チーム

2019年にセキュリティ技術センターに着任し、NECグループが提供するシステムやサービスのセキュア開発支援業務に従事。
IPA産業サイバーセキュリティセンターの中核人材育成プログラム(第二期)を修了。
CISSP、情報処理安全確保支援士(RISS)を保持。

執筆者の他の記事を読む

アクセスランキング