TCP / IPは重要なインフラストラクチャを追加のリスクにさらしていますか？

重要なインフラストラクチャを扱う組織がTCP/IPをそのようなネットワークに実装することを選択する理由を正確に知ることは困難ですが、ここに私の最良の推測のいくつかがあります制御システムをネットワーク化するための要件：

• インフラストラクチャ機器とリモートでインターフェースするための、信頼性が高く維持可能な方法が必要です。
• 広大な地理的領域にわたって大量の機器に対処する方法が必要です。
• 既存のコンピュータ制御システムとインターフェースできる必要があります。
• 新しいデバイスをネットワークに簡単に追加できるように、拡張可能でなければなりません。
• 組み込みデバイス、さまざまなOS、さまざまなコンピューターシステムが適切に通信できるように、クロスプラットフォームである必要があります。
• 重要なタスクで強力なパフォーマンスを実現するには、低レイテンシと高スループットが必要です。

TCP/IPの選択に関する限り、多くの優れた品質があります。

• TCP/IPは成熟しており、安定しており、完全に文書化されており、現在最も分析されている通信プロトコルの1つです。
• TCP/IPは、強力なパケットの順序付け、破損の検出（チェックサム）、なりすまし耐性、クライアントの識別、アドレス指定などを比較的簡単に提供します。
• TCP/IPは特許を取得しておらず、さまざまなライセンスの下で、さまざまなプロセッサアーキテクチャ向けに何百ものオープンソース実装があります。
• TCP/IPは、ほとんどすべての最新のコンピューターデバイスおよびオペレーティングシステムで使用できます。
• 既存のネットワークインフラストラクチャは安価で、成熟しており、信頼性が高く、自己回復します。
• TCP/IPスタックの上にある数千もの既存のアプリケーション層プロトコルがあります。

セキュリティに関しては、SSLとIPsecはTCP/IPと連携してエンドポイントツーエンドのセキュリティを提供するように設計された2つの既存のプロトコルであり、どちらも比較的簡単に実装できます。

さて、このような巨大なインフラストラクチャのブロックに対して適切なリスク評価を実行するには、いくつかの詳細が必要です。何もないので、推測してみます。 現時点では推測のみに取り組んでいるので、私の結論が正確であるとは想定しないでください。

インフラストラクチャにネットワーキングを導入すると、次の点で大きなメリットがあります。

• サイトにアクセスせずに機器のステータスと状態を監視します。
• 機器を一元的にリモートで更新および構成します。
• 機器の障害に関する即時のアラートとロギング。
• 障害を予測できるため、機器のダウンタイムが短縮されます。
• データの一元化により、メンテナンスと検査のコストを削減します。
• より正確な供給/需要と負荷の統計によるより良い計画。
• より良い消費者体験のためのサービスの統合。

セキュリティへの影響は次のとおりです。

• すべてのデバイスが潜在的なセキュリティの脆弱性になります。
• 通信チャネルのスヌーピングの可能性。
• 敵対的なエンティティ（テロリストグループ、敵国など）が脆弱性を悪用して、国のインフラストラクチャを破壊する可能性があります。
• 市民がシステムを悪用/ハッキングする可能性。無料通話、無料電力など.

システムの認識されているセキュリティの一部は、あいまいさによるものです。これらのマシンは、独自の制御システムで実行される可能性が高く、カスタムアプリケーションレイヤープロトコルを使用してインターフェイスされる可能性があります。さらに、それらのアドレスはカタログ化されておらず、どこにも配布されていません。システムを特定して破壊するには、強力なリバースエンジニアリング/侵入テストスキル、専門機器、内部関係者の知識を持つチームが必要です。もちろん、これはStuxnetとSCADA制御システムで以前に起こったことを知っています。

制御システムがカスタム組み込みシステムまたは* nixを実行すると想定すると、強力なセキュリティ制御の可能性があります。数十億ポンド（または1ドル）の業界が適切なセキュリティを検討し、アクティブで頻繁なセキュリティレビューに従事することを望んでいますが、残念ながらそうではない場合がよくあります。会社の内部情報にアクセスできなければ、そのような予防策が講じられているかどうかを判断する方法はありません。

全体として、メリットは潜在的なセキュリティリスクを正当化すると思います。労働力、ガス、水を確保することは非常に重要であり、99.9％の時間は戦争中になることはありません。通常の運用時には、適切な運用と最小限の故障率を保証するために、可能な限り迅速かつ確実にすべてを監視および制御する機能が必要です。セキュリティの面では、不明瞭な要素は有効な時間遅延であり、実装されている実際のセキュリティは、最も高度な永続的な脅威以外のすべてを特定するには十分すぎる可能性があります。

重要なインフラストラクチャへのTCP/IPの追加は、通常、コスト削減の結果です。標準の通信プロトコル（および標準のソケット）を使用することで、ITスタッフはTCP/IPのしくみをよく理解しているため、ITコストを削減できます。

また、ベンダーは既製のコンポーネントを使い始めることができ、製造コストを削減できます。

脅威を追加することに関しては、おそらくこれについていくつかの考え方の流派があるでしょう。 TCP/IPがなく、「独自の」プロトコルを使用している場合は、あいまいなセキュリティを利用できます。これらの古風なプロトコルを学ぶ時間のある人は真剣に...しかし、もう一度ebayを検索すると、コネクタや操作マニュアルを備えた古いscada機器がたくさんあり、安くなっています。

TCP/IPを追加する場合は、デバイスをインターネットに直接接続しないでください。これがどのくらいの頻度で発生するかについては、 このニュース記事 と紙へのリンクを読むことをお勧めします。

はい、脅威は現実のものです。あなたが取る準備ができているどのようなリスクに依存します

はい、TCP/IPを追加すると常にリスクが高まります。厄介なハッカーは、あらゆるタイプのプロトコルでループホールを公開しています。

重要なのは、それを使って何をするかです。

2600は、古き良きキャプテンクランチがキャプテンクランチシリアルの無料のおもちゃで自分のことをしていて、周波数がアメリカの電話システムで無料通話を受信するのにちょうどいいことがわかったので有名です。

ハッカーは非常に長い間、TCP/IPを使用および保護しています。そのプロトコルはおそらく現存する最もピアレビューされたプロトコルであり、そのために一部のプロトコルはより安全であると主張するでしょう。

接続された保護されていないデバイスをTCP/IPネットワーク（別名インターネット）に放置すると、デバイスが危険にさらされます。

明確に異なる2、3のファイアウォールを接続し、その近辺を安全にします。

ああ、それを使ってウェットビットを教育してください。接続されたデバイスをファイアウォール/ IPS/IDSのレベルの安全な地下バンカーに入れても、最新のヌード写真を開くことができなくなるため、$ 100000000タイプのウイルスが大量に含まれる電子メールを勝ち取りました。

TCP/IPを追加する以外に何を行いますか

ハッカーは非常に長い間、TCP/IPを使用および保護しています。そのプロトコルはおそらく現存する中で最もピアレビューされたものであり、そのために一部のプロトコルはより安全であると主張するでしょう。

あなたはたくさんを得る

• それを知っている人（スキル=安い）
• そのための製品（安い）
• それについて話すことができる（理解）
• それを行うだけのAPI（プログラミングは簡単です）

ああ、ObscurityによるSecurityの長所と短所を調べて、「内部」に存在しないことの安全性と安全性について自分で考えてください。私はそれがどこにあるかを推測するでしょう;）