• Ev
  • Xəbərlər
  • IEC 62443 Schneider Modicon M580 və Phoenix Contact mGuard Firewall-ları üçün OT Patch İdarəetməsi

IEC 62443 Schneider Modicon M580 və Phoenix Contact mGuard Firewall-ları üçün OT Patch İdarəetməsi

IEC 62443 OT Patch Management for Schneider Modicon M580 and Phoenix Contact mGuard Firewalls

Schneider Modicon M580 PLC-ləri və Phoenix Contact FL mGuard RS4000 firewall-ları üçün praktik IEC 62443-2-3 uyğun yama idarəetmə iş axını — CVSS risk qiymətləndirilməsi, mərhələli test prosedurları, geri qaytarma protokolları və dəyişiklik nəzarəti sənədləri daxil olmaqla.

OT Yama İdarəetməsinin IT-dən Fərqli Olmasının Səbəbi

IT serverinin yaması dəqiqələr içində tamamlanır. Proses zavodunda işləyən PLC-nin yaması istehsalın dayandırılmasına səbəb ola bilər. IEC 62443-2-3 bu fərqi birbaşa həll edir. Yama idarəetməsini tək dəfə baş verən hadisə yox, davamlı həyat dövrü prosesi kimi müəyyən edir. Standart aktiv sahiblərindən hər hansı yamanı tətbiq etməzdən əvvəl risk qiymətləndirməsini tələb edir. CVSS v3.1 qiymətləndirməsi prioritetləşdirmə üçün kəmiyyət əsasını təmin edir.

Schneider Modicon M580 proqram təminatı zəiflikləri ICS-CERT ADVISORIES verilənlər bazasında müntəzəm olaraq görünür. 2024-cü ildə üç xəbərdarlıq 3.30-dan aşağı M580 proqram təminatı versiyalarını təsir etdi. Ən kritik olan CVSS 9.8-ə çatdı. Phoenix Contact FL mGuard RS4000 eyni dövrdə iki xəbərdarlıq aldı. Hər iki sistem proses zavodlarında EtherNet/IP Level 2 şəbəkələrində yerləşir. Birinin yamanması EtherNet/IP CIP əlaqəsini bütün I/O şəbəkəsinə təsir edir. Buna görə də, strukturlaşdırılmış prosedur nəzarətsiz riskin qarşısını alır.

Yama Risk Qiymətləndirilməsi və CVSS Qiymətləndirməsi

Hər hansı yama tədbirindən əvvəl xəbərdarlığı dörd meyarla qiymətləndirin: CVSS əsas balı, hücum vektoru, istismar qabiliyyəti və mövcudluğa təsir. 7.0-dan yuxarı bal 30 gün ərzində tədbir tələb edir. 9.0-dan yuxarı bal isə 72 saat ərzində təcili yama tələb edir.

M580 xəbərdarlıqları üçün Schneider Electric PSIRT xidmətindən istifadə edin. mGuard xəbərdarlıqları üçün Phoenix Contact Təhlükəsizlik Portalından istifadə edin. Hər iki xidmət satıcı tərəfindən təsdiqlənmiş CVSS ballarını və düzəldici addımları yayımlayır.

Əlavə olaraq, mövcud kompensasiyaedici nəzarətləri qiymətləndirin. Əgər mGuard artıq xaricdən UDP port 502-ni bloklayırsa, M580-dəki Modbus zəifliyi şəbəkə istismar qabiliyyətini azaldır. Effektiv risk balını tənzimləyin və IEC 62443-2-1 risk qeydiyyatında kompensasiyaedici nəzarətləri sənədləşdirin.

Mərhələli Yama Test Proseduru

Heç vaxt proqram təminatı yeniləməsini birbaşa istehsal M580 və ya mGuard-a tətbiq etməyin. Mərhələli yanaşma istifadə edin: laboratoriya təsdiqi, hazırlıq mühiti, sonra istehsal. Aşağıdakı addımları izləyin:

  • 1-ci addım: M580 proqram təminatı paketini Schneider Electric Exchange portalından yükləyin. SHA-256 hash dəyərini yayımlanmış dəyər ilə yoxlayın. Hash-i dəyişiklik nəzarət biletiyə qeyd edin. FL mGuard proqram təminatı üçün Phoenix Contact Software Center-dən yükləyin və MD5 yoxlama cəmdəyini təsdiqləyin.
  • 2-ci addım: Proqram təminatını test laboratoriyasında eyni M580 vahidinə tətbiq edin. Unity Pro XL və ya EcoStruxure Control Expert istifadə edərək proqram təminatını USB xidmət portu vasitəsilə 115,200 baud sürətində köçürün. Köçürmə irəliləyiş çubuğunu izləyin. Tam M580 BME P58 1020 proqram təminatı görüntüsünün köçürülməsi təxminən 8 dəqiqə çəkir.
  • 3-cü addım: Köçürmədən sonra EcoStruxure Control Expert-də PLC — Xüsusiyyətlər — Prosessor Versiyası altında proqram təminatı versiyasını yoxlayın. Onun xəbərdarlıq düzəliş cədvəlindəki hədəf versiya ilə uyğun olduğunu təsdiqləyin.
  • 4-cü addım: Funksional test protokolunu icra edin. 4 saatlıq avtomatlaşdırılmış I/O dövrü testini işə salın. Bütün uzaq I/O adapterlərinə EtherNet/IP CIP dolayı mesajlaşmanı yoxlayın. RPI-nin (İstənilən Paket Aralığı) 10 ms olduğunu və əlaqə vaxt aşımı siqnallarının olmadığını təsdiqləyin.
  • 5-ci addım: mGuard üçün yamanmadan əvvəl mövcud firewall qaydalarını ehtiyat nüsxəsini çıxarın. mGuard veb interfeysində İdarəetmə — Konfiqurasiya Profilləri — İxrac bölməsinə keçin. .tar.gz ehtiyat faylını dəyişiklik idarəetmə serverinə saxlayın. Proqram təminatı yeniləməsini HTTPS (port 443) vasitəsilə tətbiq edin. Yenidən başladıqdan sonra bütün VLAN marşrutlaşdırma qaydaları və IPsec tunel konfiqurasiyalarının qorunduğunu təsdiqləyin.
  • 6-cı addım: Test nəticələrini dəyişiklik nəzarət qeydinə sənədləşdirin. Proqram təminatı versiyasının və firewall qayda saylarının əvvəl və sonra ekran görüntülərini daxil edin. İstehsal yamasını planlaşdırmazdan əvvəl proses sahibindən və OT təhlükəsizlik zabitindən təsdiq alın.

VLAN Seqmentasiyası və mGuard Firewall Siyasətinin Yenidən Baxılması

Phoenix Contact FL mGuard RS4000 vəziyyətli paket yoxlamasını və 802.1Q VLAN etiketləməsini dəstəkləyir. Tipik zavod arxitekturasında M580 VLAN 10-da (Level 2) yerləşir. Tarixçə və iş stansiyaları VLAN 20-də (Level 3) yerləşir. mGuard VLAN 10/20 sərhədini tətbiq edir.

Yamanmadan əvvəl firewall qaydalarını lazımsız açıq portlar üçün nəzərdən keçirin. Ümumi səhv konfiqurasiyalar aşağıdakılardır:

  • VLAN 20-dən VLAN 10-a TCP 102 (S7) məhdudiyyətsiz — Siemens PG/PC girişi tələb olunmadıqca bloklayın
  • UDP 44818 (EtherNet/IP I/O) iki tərəfli açıq — müəyyən M580 və adapter IP cütlərinə məhdudlaşdırın
  • VLAN 20-dən mGuard interfeysinə TCP 80 (HTTP) — yalnız TCP 443 HTTPS ilə əvəz edin
  • ICMP məhdudiyyətsiz — yalnız OT tarixçə IP-dən echo-request ilə məhdudlaşdırın

SIEM syslog üçün mGuard Bağlantı Girişini UDP 514 vasitəsilə VLAN 30-a aktiv edin. Yama sonrası təsdiq zamanı syslog davamlılığını təsdiqləyin. BMENOC0311 Modicon M580 Şəbəkə Modulu EtherNet/IP əlaqəsini dəstəkləyir və hər hansı firewall siyasəti dəyişiklikdən sonra yoxlanmalıdır.

İstehsal Yama Tətbiqi və Geri Qaytarma Protokolu

İstehsal yamasını planlaşdırılmış texniki xidmət pəncərəsində həyata keçirin. M580-i əl rejiminə keçirin. Bütün PID dövrlərinin sabit olduğunu təsdiqləyin. 15 dəqiqəlik yama pəncərəsi üçün xüsusi operator təyin edin.

EcoStruxure Control Expert vasitəsilə Ethernet idarəetmə portundan M580 proqram təminatını köçürün. Proqram təminatı köçürülməsi üçün Modbus TCP port 502 istifadə etməyin. M580 avtomatik olaraq yenidən başlayır. Yenidən başlama 45–60 saniyə çəkir. RUN LED-in sabit yaşıl olduğunu təsdiqləyin və sonra əl rejimini buraxın.

Geri qaytarma üçün Control Expert Menyu — PLC — Əvvəlki Versiyanı Bərpa et seçimini istifadə edin. Bu prosedur 6 dəqiqə çəkir. Dəyişiklik nəzarət təsdiqində zavod əməliyyatlarının ümumi 10 dəqiqəlik dayanma pəncərəsini qəbul etdiyini təsdiqləyin. mGuard geri qaytarma üçün saxlanmış .tar.gz profilini İdarəetmə — Konfiqurasiya Profilləri — İdxal vasitəsilə bərpa edin. Bütün firewall qaydaları 90 saniyə ərzində bərpa olunur. Bərpadan dərhal sonra Modicon X80 EIO Drop Adapter ilə EtherNet/IP əlaqəsini yoxlayın.

Nəticə və Tədbir Məsləhəti

OT sistemləri üçün IEC 62443-2-3 yama idarəetməsi sürət yox, intizam tələb edir. Kompensasiyaedici nəzarətlə tənzimlənmiş CVSS v3.1 istifadə edərək yamaları prioritetləşdirin. Hər proqram təminatı yeniləməsini istehsaldan əvvəl test laboratoriyasında təsdiqləyin. Hər yeniləmədən əvvəl mGuard firewall qaydalarını ehtiyat nüsxə edin. Proqram təminatını əvvəlcədən hazırlayaraq və geri qaytarma prosedurlarını hazırlayaraq istehsal dayanma müddətini minimuma endirin. Hər yama dövründə firewall qaydalarını nəzərdən keçirərək lazımsız portları bağlayın. Bütün tədbirləri OT təhlükəsizlik zabiti tərəfindən imzalanmış əvvəlki və sonrakı qeydlərlə sənədləşdirin. Bu iş axını Schneider Modicon M580 və Phoenix Contact mGuard quraşdırmalarını istehsal mövcudluğunu pozmadan təhlükəsiz saxlayır.

Müəllif: Zhang Hua, PLC, DCS və idarəetmə sistemləri sahəsində 10 ildən çox təcrübəsi olan sənaye avtomatlaşdırma mühəndisidir.

Bloqa qayıt
Hamısını göstər
Bloq yazıları
Hamısını göstər
Hydraulic System Pressure Instability: Root Causes and Field Troubleshooting Guide
Liang Haocheng

Hidravlik Sistem Təzyiqinin Sabit Olmaması: Əsas Səbəblər və Sahə Problemlərinin Həlli Bələdçisi

Hidravlik sistem təzyiqinin qeyri-sabitliyi proses zavodlarında ən çox pozucu nasazlıq növlərindən biridir. Bu bələdçi təzyiq düşmələrinin, artımlarının və kavitasiya hadisələrinin əsas səbəblərini, hər bir nasazlıq növü üçün strukturlaşdırılmış diaqnostik addımları, Yokogawa EJA ötürücü monitorinqini, Emerson Fisher proporsional klapanın histerezis testini və 5 addımlı profilaktik texniki xidmət cədvəlini əhatə edir.
Dragon Boat Festival: China's Ancient Festival of Loyalty, Tradition and Summer Rituals
PLC DCS Pro

Dragon Boat Festival: Çin'in Sadiqlik, Ənənə və Yay Ritualları ilə Əsrlik Festivalı

Hər il beşinci ayın beşinci günündə Çin boyunca çaylar üzərində davulların ritmik səsi əks-səda verir. Çin'in ən qədim və ən çox qeyd olunan mədəni bayramlarından biri olan Qayıq Yarışı Festivalının tarixini, əfsanələrini və ənənələrini kəşf edin.
Machinery Protection: Vibration Probe Installation and Loop Setup
Weijie Chen

Maşınların Mühafizəsi: Vibrasiya Sensorunun Quraşdırılması və Dövrənin Tənzimlənməsi

Maşınqayırma sistemləri mexaniki nasazlığa 50 millisekund ərzində reaksiya verməlidir — bu, hər hansı DCS və ya PLC platformasından çox daha sürətlidir. Bu bələdçi Bently Nevada 3300 yaxınlıq probunun quraşdırılmasını, -12 V DC orta nöqtəsində boşluq gərginliyinin tənzimlənməsini, API 670 standartına uyğun 4–20 mA dövrə konfiqurasiyasını, uzatma kabelinin qorunmasını və prob əlaqəsi, prob itkisi, enerji tezliyi müdaxiləsi və VFD elektromaqnit səs-küyü üçün sistematik nasazlıq diaqnostikasını əhatə edir.
Tövsiyə olunan Məhsullar Siyahısı
Emerson KL3105X1-LS1 12P6551X032 İzolyasiya olunmuş Charm Kartı
Emerson KL3105X1-LS1 12P6551X032 İzolyasiya olunmuş Charm Kartı

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analoq Giriş CHARM Modulu, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analoq Giriş CHARM Modulu, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Quru Kontakt CHARM Modulu
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Quru Kontakt CHARM Modulu

Emerson
Emerson DeltaV KL3005X1-LS1 İzolyasiyalı Rəqəmsal Giriş Modulu
Emerson DeltaV KL3005X1-LS1 İzolyasiyalı Rəqəmsal Giriş Modulu

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Ünvan Terminalı
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Ünvan Terminalı

Emerson
Emerson DeltaV I.S. CHARM Terminal Bloku PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Terminal Bloku PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Güc Modulu
Emerson DeltaV KL1501X1-BA1 CSLS Güc Modulu

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Quru Kontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Quru Kontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Müqavimət Girişi CHARM Modulu
Emerson KL3031X1-BA1 RTD/Müqavimət Girişi CHARM Modulu

Emerson
GE Fanuc IC693UAA003 Series 90 Mikro PLC Modulu
GE Fanuc IC693UAA003 Series 90 Mikro PLC Modulu

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Müsbət Loqika Çıxış Modulu
GE Fanuc RX3i IC694MDL730 12/24VDC Müsbət Loqika Çıxış Modulu

GE