• Ev
  • Xəbərlər
  • ISA-99 Zonaları və Kanalları İstifadə Edərək OT Şəbəkə Seqmentasiyası: Schneider M580 və Bachmann M1 Praktik Bələdçi

ISA-99 Zonaları və Kanalları İstifadə Edərək OT Şəbəkə Seqmentasiyası: Schneider M580 və Bachmann M1 Praktik Bələdçi

OT Network Segmentation Using ISA-99 Zones and Conduits: Schneider M580 and Bachmann M1 Practical Guide

Düz OT Şəbəkələrinin Əsl Problemi

2015-ci ildən əvvəl tikilmiş əksər sənaye müəssisələri Schneider Electric Modicon M580 PLC, Bachmann M1 avtomatlaşdırma kontrolleri, SCADA tarixçisi və korporativ ERP-nin eyni Layer 2 yayım domenində olduğu düz Ethernet şəbəkəsi ilə işləyir. Birincisi, bu o deməkdir ki, korporativ şəbəkə vasitəsilə daxil olan ransomware hücumu M580 CPU-ya heç bir giriş nəzarət nöqtəsindən keçmədən çatır. İkincisi, səhv konfiqurasiya olunmuş iş stansiyası ARP fırtınaları yayaraq M580 BM•P 58•2020 CPU Ethernet portunu doyura bilər — M580 CPU Ethernet portu ARP-ni proqram səviyyəsində saniyədə 500 paket həddi ilə emal edir. Üçüncüsü, Modbus TCP 502 portu və EtherNet/IP 44818 portuna yönəlmiş protokol istismarları düz şəbəkə boyunca sərbəst hərəkət edir. Buna görə də, ISA-99 / IEC 62443 zona və konduit arxitekturası seçim deyil — bu, idarəetmə strategiyasını pozmadan şəbəkə səviyyəsində qoruma əlavə edən yeganə sübut olunmuş çərçivədir.

ISA-99 Zona və Konduit Arxitekturası: Strukturun Təyini

ISA-99 (IEC 62443-3-3) sənaye şəbəkəsini Təhlükəsizlik Səviyyələrinə (SL) bölür və aktivləri kompromisin nəticəsinə əsaslanaraq zonalara təyin edir. Birincisi, hər hansı bir switch konfiqurasiyasına toxunmazdan əvvəl zonalarınızı müəyyən edin. İkincisi, zavod şəbəkəsindəki hər cihazı müəyyən edin və onu dörd zonadan birinə təyin edin:

  • Zona 1 — Təhlükəsizlik (SIL): Yalnız Təhlükəsizlik PLC-ləri. Əksər müəssisələr üçün bu, ICS Triplex və ya Triconex TMR sistemlərini əhatə edir. Bu zonaya ümumi məqsədli trafik daxil olmur. Zona 2-yə konduit yalnız SCADA ekran məqsədləri üçün oxumaq üçün Modbus TCP-yə icazə verir.
  • Zona 2 — İdarəetmə (SL-2): Schneider M580 CPU-ları, Bachmann M1 kontrollerləri, I/O şəbəkələri, sahə cihazlarının idarə olunması. EtherNet/IP və Modbus TCP trafiki yalnız bu zonada qalır. Xarici giriş yalnız IDMZ konduit vasitəsilə mümkündür.
  • Zona 3 — Nəzarətçi (SL-1): SCADA serverləri, DCS tarixçisi, operator iş stansiyaları. Bu zona Zona 2-yə dövlətli firewall vasitəsilə müəyyən edilmiş konduitlə daxil olur — düz əlaqə deyil.
  • Zona 4 — Korporativ (SL-0): Korporativ ERP, Active Directory, e-poçt serverləri. Zona 2 və Zona 1-ə birbaşa giriş yoxdur. Bütün məlumat mübadiləsi yalnız IDMZ vasitəsilə baş verir.

Üstəlik, Sənaye DMZ-si (IDMZ) Zona 3 və Zona 4 arasında yerləşir. IDMZ məlumat təkrarlama serverlərini — OSIsoft PI, Wonderware Historian və ya OPC DA/UA qapısını ehtiva edir. Heç bir trafik IDMZ-ni tam keçmir — həm Zona 3, həm də Zona 4 IDMZ serverlərinə qoşulur, amma bir-birinə birbaşa qoşulmur. Bu, ISA-99-un əsas sərhəd nəzarət prinsipidir.

Schneider M580 Şəbəkələri üçün VLAN və Firewall Konfiqurasiyası

Schneider Modicon M580 CPU arxa lövhə Ethernet portunda (BMEP58•020 seriyası) EtherNet/IP istifadə edir və Ethernet RIO düşmələri üçün xüsusi I/O şəbəkə Ethernet portu var. Birincisi, CPU idarəetmə portunu idarə olunan switch-də VLAN 20-yə (İdarəetmə Zonası) təyin edin. İkincisi, bütün uzaq I/O (BMECRA31210 RIO düşmələri) VLAN 21-ə (I/O alt-zona) təyin edin. Üçüncüsü, switch-də VLAN 21 ilə Level 2-dən yuxarı zonalar arasında bütün trafiki bloklayan ACL (Giriş Nəzarət Siyahısı) yaradın.

Cisco IE4000 və ya Cisco IE3400 idarə olunan switch-də inter-VLAN marşrutlaşdırmasını aşağıdakı firewall qaydaları ilə konfiqurasiya edin:

  • 1-ci addım: VLAN 20 (İdarəetmə) və VLAN 21 (RIO) yaradın. M580 CPU portunu VLAN 20 giriş rejiminə təyin edin. Bütün BMECRA31210 RIO düşmə portlarını VLAN 21 giriş rejiminə təyin edin.
  • 2-ci addım: VLAN 20 SVI-də ACL tətbiq edin: TCP hər hansı 192.168.20.0/24 eq 44818 (EtherNet/IP CIP) icazə verin. TCP hər hansı 192.168.20.0/24 eq 502 (Modbus TCP) icazə verin. ip hər hansı hər hansı log qadağan edin. Bu, yalnız tələb olunan protokolların M580-ə çatmasına imkan verir.
  • 3-cü addım: Layer 3 switch-də VLAN 21-ə bütün xarici girişləri bloklayın — ip hər hansı 192.168.21.0/24 qadağan edin. RIO trafiki Zona 3 və ya Zona 4-dən heç vaxt əlçatan olmamalıdır.
  • 4-cü addım: Zona 2 və Zona 3 arasında dövlətli firewall-u konfiqurasiya edin ki, SCADA serverindən Zona 3 OPC UA qapısına yalnız OPC UA 4840 portu icazə verilsin. Zona 3 və Zona 2 arasında Modbus TCP 502 portunu bloklayın — SCADA M580-ə birbaşa deyil, OPC UA qapısına oxuyur.
  • 5-ci addım: Bütün M580 və BMECRA switch portlarında port təhlükəsizliyini aktiv edin — göndərən MAC ünvanına kilidləyin. Port təhlükəsizliyi pozuntusu rejimini "məhdudlaşdır" (shutdown deyil) olaraq təyin edin ki, I/O şəbəkəsini kəsmədən xəbərdarlıq yaransın.

Lakin, M580 CPU Ethernet portu 802.1Q VLAN etiketləməsini yerli olaraq dəstəkləmir — o, yalnız VLAN giriş portu kimi işləyir. Buna görə, bütün VLAN etiketləməsini switch idarə etməlidir. Bu, mühəndislərin seqmentasiya dizaynında nəzərdən qaçırdığı ümumi M580 şəbəkə dizayn məhdudiyyətidir.

Bachmann M1 Kontroller Seqmentasiyası və OPC UA Sərhəd Nəzarəti

Bachmann M1 kontrollerləri proqramlaşdırma portundan ayrı xüsusi interfeys üzərində öz MIO (Modular I/O) Ethernet şəbəkəsini istifadə edir. Birincisi, Bachmann M1 MIO şəbəkəsini Schneider M580 idarəetmə VLAN 20-dən ayrı VLAN 22-yə təyin edin. Bu, protokollar arası yayım fırtınalarının qarşısını alır. İkincisi, Bachmann M1 SolutionCenter proqramlaşdırma mühitində OPC UA server funksionallığını yerli olaraq dəstəkləyir. OPC UA serverini yalnız Zona 3-ə lazım olan etiketləri göstərmək üçün konfiqurasiya edin — tam M1 dəyişən ad məkanını göstərməyin.

Bachmann SolutionCenter-də OPC UA Təhlükəsizlik Rejimini "SignAndEncrypt" və Təhlükəsizlik Siyasətini "Basic256Sha256" olaraq təyin edin. Bütün anonim bağlantıları rədd edin — sertifikat əsaslı autentifikasiyanı tələb edin. Bu, İdarəetmə Zonası üçün IEC 62443-3-3 Təhlükəsizlik Səviyyəsi 2 tələblərinə uyğundur. Üstəlik, M1 OPC UA server ünvan məkanını yalnız təsdiqlənmiş SCADA etiket siyahısında olan etiketləri yayımlamaq üçün təyin edin — xüsusi dəyişən düyünləri ağ siyahıya almaq üçün Bachmann OPC UA NodeManager konfiqurasiyasından istifadə edin. Digər bütün düyünləri yalnız firewall səviyyəsində deyil, OPC UA server səviyyəsində bloklayın.

  • 1-ci addım: Bachmann SolutionCenter-də "Kommunikasiya" modulunda OPC UA Server konfiqurasiyasına keçin.
  • 2-ci addım: Təhlükəsizlik Rejimini "SignAndEncrypt" olaraq təyin edin. Təhlükəsizlik Siyasətini "Basic256Sha256" olaraq təyin edin. "None" və "Sign" siyasətlərini deaktiv edin.
  • 3-cü addım: SCADA server sertifikatını Bachmann M1 etibarlı sertifikat mağazasına idxal edin. Yalnız sertifikat daşıyan SCADA müştəriləri qoşula bilər.
  • 4-cü addım: Bachmann M1 firewall funksiyasını aktiv edin — yalnız SCADA server IP ünvanı 192.168.30.10-dan TCP 4840 (OPC UA) icazə verin. OPC UA portunda digər bütün daxil olan bağlantıları bloklayın.
  • 5-ci addım: Sessiya zaman aşımını 30 saniyə təyin edin. 30 saniyə fəaliyyətsiz olan hər hansı SCADA sessiyası avtomatik bağlanır — M1 sessiya cədvəlində köhnəlmiş sessiyaların yığılmasının qarşısını alır.
  • 6-cı addım: Bütün OPC UA bağlantı hadisələrini Bachmann M1 syslog-a qeyd edin — təhlükəsizlik monitorinqi üçün syslog-u IDMZ-dəki SIEM serverinə yönləndirməyi konfiqurasiya edin.

IDMZ Dizaynı: Birbaşa Zona Keçmədən Məlumat Təkrarlanması

IDMZ-də dəqiq iki növ server var: məlumat tarixçisi təkrarlama serveri və uzaq giriş jump serveri. Birincisi, OSIsoft PI Relay və ya Honeywell Uniformance PHD IDMZ-də işləyir. Zona 3-dəki tarixçi məlumatları TCP port 5450 (PI-to-PI interfeysi) istifadə edərək IDMZ relay-ə göndərir. Zona 4-dəki korporativ tarixçi eyni portdan istifadə edərək IDMZ relay-dən məlumat çəkir. Heç bir proses məlumatı birbaşa Zona 3 və Zona 4 arasında hərəkət etmir. İkincisi, IDMZ-dəki uzaq giriş jump serveri texniki xidmət mühəndisləri üçün RDP girişini təmin edir. Jump serveri yalnız təsdiqlənmiş MFA qorunan VPN nöqtəsindən RDP bağlantılarına icazə verəcək şəkildə konfiqurasiya edin — Zona 4-dən Zona 2 və ya Zona 1-ə birbaşa RDP-yə heç vaxt icazə verməyin.

Üstəlik, Zona 4 və IDMZ arasında bu firewall qaydalarını tətbiq edin: Zona 4 tarixçisindən IDMZ relay-ə yalnız TCP 5450 (PI) icazə verin. Zona 4-dən IDMZ-yə digər bütün trafiki qadağan edin. IDMZ və Zona 3 arasında: IDMZ relay-dən Zona 3 tarixçisinə TCP 5450 icazə verin. IDMZ jump serverindən Zona 3 SCADA iş stansiyalarına yalnız MFA ilə qorunan RDP (TCP 3389) icazə verin.

Nəticə və Tədbir Tövsiyəsi

Schneider M580Bachmann M1 şəbəkələri üçün ISA-99 zona və konduit seqmentasiyası mühəndislik işidir, İT təhlükəsizlik layihəsi deyil. Birincisi, dörd zonanızı müəyyən edin və hər hansı switch-ə toxunmazdan əvvəl konduit diaqramını çəkin. İkincisi, M580 CPU və M1 MIO şəbəkələrini tələb olunmayan bütün protokolları bloklayan ACL-lərlə xüsusi VLAN-lara təyin edin. Üçüncüsü, Bachmann M1-də OPC UA SignAndEncrypt-i tətbiq edin və ilk gündən sertifikat əsaslı autentifikasiyanı istifadə edin. Dördüncüsü, IDMZ-ni həqiqi məlumat relay-i kimi qurun — Zona 3-dən Zona 4-ə birbaşa yol yoxdur. Beşincisi, bütün idarəetmə VLAN switch portlarında port təhlükəsizliyini aktiv edin ki, icazəsiz cihaz qoşulmalarının qarşısı alınsın. Nəhayət, Zona 4 iş stansiyasından Zona 2 ünvanlarına port skan etməklə seqmentasiyanızı test edin — əgər Zona 4-dən M580 və ya M1-də açıq port görsəniz, konduit qaydalarınız natamamdır. Seqmentasiyanı tam elan etməzdən əvvəl hər açıq portu düzəldin.

Bloqa qayıt
Hamısını göstər
Bloq yazıları
Hamısını göstər
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

DCS Ardıcıllıq Funksiya Qrafikləri ilə Partiya Ardıcıllıq İdarəetməsi: Emerson DeltaV SFC Konfiqurasiyası və Woodward EasyGen 3200 Sinxronizasiya Kilidi

Emerson DeltaV-də formal IEC 61131-3 Ardıcıllıq Funksiya Cədvəli (SFC) strukturlarından istifadə edərək kütləvi prosesin idarə olunması vəziyyət maşını tıxanmalarının qarşısını alır və ISA-88 audit uyğunluğunu sadələşdirir. Bu bələdçi DeltaV Faza Loqikası SFC dizayn prinsiplərini, generator sinxronizasiyası üçün Woodward EasyGen 3200 Modbus TCP qeydiyyat xəritəsini, Saxlama və Ləğv yolu dizaynını və ən çox rast gəlinən dörd SFC kütləvi uğursuzluq nümunəsinin diaqnostikasını əhatə edir.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Seqmentin Dizaynı və İşə Salınması

Foundation Fieldbus H1 sahə cihazları daxilində idarəetmə funksiyası bloklarını icra edir və hostla əlaqə kəsildikdə belə idarəni təmin edir — bu, SIL-2 və SIL-3 dövrləri üçün əsas üstünlükdür. Bu bələdçi FF H1 güc büdcəsinin hesablanması, gərginlik düşməsi analizi, yumşaq başlama cərəyanından qorunma, 5 mərhələli işə salma proseduru, funksional blokların cədvəl qurulması və seqment nasazlığı, fasiləli cihaz düşmələri və sonlandırma müqaviməti səhvləri üçün sistematik diaqnostikanı əhatə edir.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

PROFINET IO Ünsiyyət Xətası Diaqnostikası: ABB AC500 CM575-PNIO və Phoenix Contact AXL F DI16 Sahə Problemlərinin Həlli

ABB AC500 CM575-PNIO ilə Phoenix Contact Axioline F paylanmış I/O arasında PROFINET IO əlaqə uğursuzluqları planlaşdırılmamış dayanma hallarının ümumi səbəbidir. Bu bələdçi fiziki qat kabel yoxlamaları, GSDML versiyasının təsdiqi, cihaz adı ziddiyyətinin aradan qaldırılması, AR gözətçi tənzimlənməsi və DIAG_STATUS registr bit xəritələşdirilməsi və Kanal Diaqnostika siqnalları istifadə edilərək altı mərhələli nasazlıq təcrid prosedurunu əhatə edir.
Tövsiyə olunan Məhsullar Siyahısı
Emerson KL3105X1-LS1 12P6551X032 İzolyasiya olunmuş Charm Kartı
Emerson KL3105X1-LS1 12P6551X032 İzolyasiya olunmuş Charm Kartı

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analoq Giriş CHARM Modulu, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analoq Giriş CHARM Modulu, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Quru Kontakt CHARM Modulu
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Quru Kontakt CHARM Modulu

Emerson
Emerson DeltaV KL3005X1-LS1 İzolyasiyalı Rəqəmsal Giriş Modulu
Emerson DeltaV KL3005X1-LS1 İzolyasiyalı Rəqəmsal Giriş Modulu

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Ünvan Terminalı
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Ünvan Terminalı

Emerson
Emerson DeltaV I.S. CHARM Terminal Bloku PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Terminal Bloku PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Güc Modulu
Emerson DeltaV KL1501X1-BA1 CSLS Güc Modulu

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Quru Kontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Quru Kontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Müqavimət Girişi CHARM Modulu
Emerson KL3031X1-BA1 RTD/Müqavimət Girişi CHARM Modulu

Emerson
GE Fanuc IC693UAA003 Series 90 Mikro PLC Modulu
GE Fanuc IC693UAA003 Series 90 Mikro PLC Modulu

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Müsbət Loqika Çıxış Modulu
GE Fanuc RX3i IC694MDL730 12/24VDC Müsbət Loqika Çıxış Modulu

GE