• Dom
  • Vijesti
  • Segmentacija OT mreže korištenjem ISA-99 zona i kanala: Praktični vodič za Schneider M580 i Bachmann M1

Segmentacija OT mreže korištenjem ISA-99 zona i kanala: Praktični vodič za Schneider M580 i Bachmann M1

OT Network Segmentation Using ISA-99 Zones and Conduits: Schneider M580 and Bachmann M1 Practical Guide

Stvarni problem s ravnim OT mrežama

Većina industrijskih postrojenja izgrađenih prije 2015. godine koristi ravnu Ethernet mrežu gdje Schneider Electric Modicon M580 PLC, Bachmann M1 upravljač automatizacijom, SCADA povijesnik i korporativni ERP dijele isti Layer 2 broadcast domen. Prvo, to znači da ransomware napad koji uđe kroz korporativnu mrežu doseže M580 CPU bez prolaska kroz bilo koju točku kontrole pristupa. Drugo, nepravilno konfigurirano radno mjesto koje emitira ARP oluje može zasićiti Ethernet priključak M580 BM•P 58•2020 CPU-a — Ethernet priključak M580 CPU-a obrađuje ARP na softverskoj razini s ograničenjem od 500 paketa u sekundi. Treće, iskorištavanja protokola usmjerena na Modbus TCP port 502 ili EtherNet/IP port 44818 slobodno putuju ravnom mrežom. Stoga, ISA-99 / IEC 62443 arhitektura zona i kanala nije opcionalna — to je jedini dokazan okvir koji dodaje zaštitu na razini mreže bez ometanja upravljačke strategije.

ISA-99 arhitektura zona i kanala: Definiranje strukture

ISA-99 (IEC 62443-3-3) dijeli industrijsku mrežu na Sigurnosne razine (SL) i dodjeljuje resurse zonama na temelju posljedica kompromisa. Prvo, definirajte svoje zone prije nego što dirate bilo kakvu konfiguraciju switcha. Drugo, identificirajte svaki uređaj u mreži postrojenja i dodijelite ga jednoj od četiri zone:

  • Zona 1 — Sigurnost (SIL): Samo sigurnosni PLC-ovi. Za većinu postrojenja to uključuje ICS Triplex ili Triconex TMR sustave. U ovu zonu ne ulazi promet opće namjene. Kanal prema Zoni 2 dopušta samo Modbus TCP u načinu samo za čitanje za potrebe SCADA prikaza.
  • Zona 2 — Upravljanje (SL-2): Schneider M580 CPU-i, Bachmann M1 upravljači, I/O mreže, upravljanje uređajima na terenu. EtherNet/IP i Modbus TCP promet ostaje unutar ove zone. Vanjski pristup samo kroz IDMZ kanal.
  • Zona 3 — Nadzor (SL-1): SCADA serveri, DCS povijesnik, radne stanice operatera. Ova zona pristupa Zoni 2 preko definiranog kanala kroz stateful firewall — ne ravnom vezom.
  • Zona 4 — Poduzeće (SL-0): Korporativni ERP, Active Directory, email serveri. Nema izravnog pristupa Zoni 2 ili Zoni 1. Sav podatkovni promet odvija se isključivo kroz IDMZ.

Štoviše, Industrijski DMZ (IDMZ) smješten je između Zone 3 i Zone 4. IDMZ sadrži servere za replikaciju podataka — OSIsoft PI, Wonderware Historian ili OPC DA/UA gateway. Niti jedan promet ne prolazi IDMZ-om od kraja do kraja — i Zona 3 i Zona 4 povezuju se s IDMZ serverima, ali nikada izravno međusobno. Ovo je temeljno načelo kontrole granice ISA-99.

Konfiguracija VLAN-a i firewalla za Schneider M580 mreže

Schneider Modicon M580 koristi EtherNet/IP na CPU Ethernet priključku na poleđini (BMEP58•020 serija) i poseban Ethernet priključak za I/O mrežu za Ethernet RIO dropove. Prvo, dodijelite CPU upravljački priključak VLAN-u 20 (Zona upravljanja) na vašem upravljanom switchu. Drugo, dodijelite sve udaljene I/O (BMECRA31210 RIO dropove) VLAN-u 21 (I/O podzona). Treće, kreirajte ACL (listu kontrole pristupa) na switchu koja blokira sav promet između VLAN-a 21 i bilo koje zone iznad razine 2.

Na Cisco IE4000 ili Cisco IE3400 upravljanom switchu konfigurirajte inter-VLAN rutiranje s ovim pravilima firewalla:

  • Korak 1: Kreirajte VLAN 20 (Upravljanje) i VLAN 21 (RIO). Dodijelite M580 CPU priključak VLAN-u 20 u pristupnom načinu. Dodijelite sve BMECRA31210 RIO drop priključke VLAN-u 21 u pristupnom načinu.
  • Korak 2: Primijenite ACL na VLAN 20 SVI: dopusti TCP bilo koji 192.168.20.0/24 eq 44818 (EtherNet/IP CIP). Dopusti TCP bilo koji 192.168.20.0/24 eq 502 (Modbus TCP). Odbij ip bilo koji bilo koji log. Ovo dopušta samo potrebne protokole da dođu do M580.
  • Korak 3: Blokirajte sav vanjski pristup VLAN-u 21 na Layer 3 switchu — odbij ip bilo koji 192.168.21.0/24. RIO promet nikada ne smije biti dostupan iz Zone 3 ili Zone 4.
  • Korak 4: Konfigurirajte stateful firewall između Zone 2 i Zone 3 da dopušta samo OPC UA port 4840 sa SCADA servera do Zone 3 OPC UA gatewaya. Blokirajte Modbus TCP port 502 između Zone 3 i Zone 2 — SCADA čita OPC UA gateway, ne M580 izravno.
  • Korak 5: Omogućite sigurnost priključka na svim M580 i BMECRA switch priključcima — zaključajte na MAC adresu predajnika. Postavite način kršenja sigurnosti priključka na "restrict" (ne "shutdown") da generira upozorenje bez isključivanja I/O mreže.

Međutim, M580 CPU Ethernet priključak ne podržava 802.1Q VLAN označavanje nativno — radi samo kao VLAN pristupni priključak. Stoga, switch mora upravljati svim VLAN označavanjem. Ovo je uobičajeno ograničenje dizajna M580 mreže koje inženjeri često zanemaruju pri dizajniranju segmentacije.

Segmentacija Bachmann M1 upravljača i OPC UA kontrola granice

Bachmann M1 upravljači koriste vlastitu MIO (Modular I/O) Ethernet mrežu na posebnom sučelju odvojenom od programskog porta. Prvo, dodijelite Bachmann M1 MIO mrežu VLAN-u 22 — odvojeno od Schneider M580 upravljačkog VLAN-a 20. Ovo sprječava međuprotocolne broadcast oluje. Drugo, Bachmann M1 nativno podržava OPC UA server funkcionalnost u svom programskom okruženju SolutionCenter. Konfigurirajte OPC UA server da izlaže samo potrebne oznake Zoni 3 — ne izlažite cijeli M1 prostor varijabli.

U Bachmann SolutionCenteru postavite OPC UA sigurnosni način na "SignAndEncrypt" i sigurnosnu politiku na "Basic256Sha256." Odbijte sve anonimne veze — zahtijevajte autentifikaciju temeljenu na certifikatima. Ovo je u skladu s IEC 62443-3-3 zahtjevima Sigurnosne razine 2 za zonu upravljanja. Štoviše, postavite adresni prostor M1 OPC UA servera da objavljuje samo oznake navedene na odobrenom SCADA popisu oznaka — koristite Bachmann OPC UA NodeManager konfiguraciju za bijelu listu specifičnih varijabilnih čvorova. Blokirajte sve ostale čvorove na razini OPC UA servera, ne samo na firewallu.

  • Korak 1: U Bachmann SolutionCenteru idite na konfiguraciju OPC UA servera unutar modula "Communication".
  • Korak 2: Postavite sigurnosni način na "SignAndEncrypt." Postavite sigurnosnu politiku na "Basic256Sha256." Onemogućite "None" i "Sign" politike.
  • Korak 3: Uvezite SCADA server certifikat u Bachmann M1 pohranu pouzdanih certifikata. Samo SCADA klijenti s certifikatom se povezuju.
  • Korak 4: Omogućite firewall funkciju Bachmann M1 — dopustite TCP 4840 (OPC UA) samo s IP adrese SCADA servera 192.168.30.10. Blokirajte sve ostale dolazne veze na OPC UA portu.
  • Korak 5: Konfigurirajte timeout sesije na 30 sekundi. Svaka SCADA sesija neaktivna 30 sekundi automatski se zatvara — sprječava nakupljanje zastarjelih sesija u M1 tablici sesija.
  • Korak 6: Zabilježite sve OPC UA događaje veze u Bachmann M1 syslog — konfigurirajte prosljeđivanje sysloga na SIEM server u IDMZ za sigurnosni nadzor.

Dizajn IDMZ-a: Replikacija podataka bez izravnog prelaska zona

IDMZ sadrži točno dvije vrste servera: server za replikaciju povijesnika podataka i jump server za udaljeni pristup. Prvo, OSIsoft PI Relay ili Honeywell Uniformance PHD radi u IDMZ-u. Povijesnik u Zoni 3 šalje podatke IDMZ releju koristeći TCP port 5450 (PI-to-PI sučelje). Korporativni povijesnik u Zoni 4 povlači podatke s IDMZ releja koristeći isti port. Nikakvi procesni podaci nikada ne putuju izravno između Zone 3 i Zone 4. Drugo, jump server za udaljeni pristup u IDMZ-u omogućuje RDP pristup za inženjere održavanja. Konfigurirajte jump server da dopušta RDP veze samo s odobrenog MFA zaštićenog VPN krajnjeg uređaja — nikada ne dopuštajte izravan RDP iz Zone 4 u Zone 2 ili Zone 1.

Štoviše, primijenite ova pravila firewalla između Zone 4 i IDMZ: dopustite TCP 5450 (PI) samo s povijesnika Zone 4 do IDMZ releja. Odbijte sav ostali promet iz Zone 4 prema IDMZ-u. Između IDMZ-a i Zone 3: dopustite TCP 5450 s IDMZ releja do povijesnika Zone 3. Dopustite RDP (TCP 3389) samo s IDMZ jump servera do SCADA radnih stanica Zone 3 — uz MFA provjeru na jump server gatewayu.

Zaključak i savjeti za djelovanje

ISA-99 segmentacija zona i kanala za Schneider M580 i Bachmann M1 mreže je inženjerski zadatak, a ne IT sigurnosni projekt. Prvo, definirajte svoje četiri zone i nacrtajte dijagram kanala prije nego što dirate bilo koji switch. Drugo, dodijelite M580 CPU i M1 MIO mreže posebnim VLAN-ovima s ACL-ovima koji blokiraju sve nepotrebne protokole. Treće, od prvog dana primjenjujte OPC UA SignAndEncrypt na Bachmann M1 i koristite autentifikaciju temeljenu na certifikatima. Četvrto, izgradite IDMZ kao pravi relej podataka — bez izravnih putova između Zone 3 i Zone 4. Peto, omogućite sigurnost priključaka na svim upravljačkim VLAN switch priključcima kako biste spriječili povezivanje neovlaštenih uređaja. Na kraju, testirajte svoju segmentaciju pokušajem skeniranja priključaka s radne stanice Zone 4 prema adresama Zone 2 — ako vidite bilo koje otvorene priključke na M580 ili M1 iz Zone 4, vaša pravila kanala nisu potpuna. Popravite svaki otvoreni priključak prije nego što proglasite segmentaciju dovršenom.

Povratak na blog
Pokaži sve
Postovi na blogu
Pokaži sve
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Upravljanje serijskim procesima pomoću DCS sekvencijskih funkcijskih dijagrama: Konfiguracija Emerson DeltaV SFC i sinkronizacijski međuspoj Woodward EasyGen 3200

Upravljanje serijskim procesima pomoću formalnih IEC 61131-3 struktura Sekvencijalnih funkcijskih dijagrama (SFC) u Emerson DeltaV sprječava zastoje stanja stroja i pojednostavljuje usklađenost s ISA-88 revizijom. Ovaj vodič obuhvaća principe dizajna DeltaV Phase Logic SFC-a, mapiranje registara Woodward EasyGen 3200 Modbus TCP za međusobnu blokadu sinkronizacije generatora, dizajn Hold i Abort putanja te dijagnostiku četiri najčešća obrasca neuspjeha SFC serijskih procesa.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Dizajn i puštanje u rad segmenta

Foundation Fieldbus H1 izvršava funkcijske blokove upravljanja unutar poljskih uređaja, održavajući kontrolu čak i kada komunikacija s glavnim sustavom zakaže — što je ključna prednost za SIL-2 i SIL-3 petlje. Ovaj vodič obuhvaća izračun proračuna snage FF H1, analizu pada napona, zaštitu od strujnog udara pri soft-startu, petostupanjski postupak puštanja u rad, raspored funkcijskih blokova te sustavnu dijagnostiku kvarova za otkrivanje kvara segmenta, povremene prekide uređaja i pogreške otpora završetka.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

Dijagnostika pogrešaka komunikacije PROFINET IO: ABB AC500 CM575-PNIO i Phoenix Contact AXL F DI16 terensko otklanjanje kvarova

Neuspjesi u PROFINET IO komunikaciji između ABB AC500 CM575-PNIO i Phoenix Contact Axioline F distribuiranih I/O uređaja čest su uzrok neplaniranih zastoja. Ovaj vodič obuhvaća provjere kabela na fizičkoj razini, provjeru verzije GSDML datoteke, rješavanje sukoba imena uređaja, podešavanje AR watchdog-a te šestostepeni postupak izolacije kvara koristeći mapiranje bitova registra DIAG_STATUS i alarme za dijagnostiku kanala.
Popis preporučenih proizvoda
Emerson KL3105X1-LS1 12P6551X032 Izolirana kartica za čaroliju
Emerson KL3105X1-LS1 12P6551X032 Izolirana kartica za čaroliju

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul suhog kontakta CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul suhog kontakta CHARM

Emerson
Emerson DeltaV KL3005X1-LS1 izolirani digitalni ulazni modul čarolije
Emerson DeltaV KL3005X1-LS1 izolirani digitalni ulazni modul čarolije

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal

Emerson
Emerson DeltaV I.S. CHARM terminalna stezaljka PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM terminalna stezaljka PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suhi kontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suhi kontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Modul za ulaz otpora CHARM
Emerson KL3031X1-BA1 RTD/Modul za ulaz otpora CHARM

Emerson
GE Fanuc IC693UAA003 Serija 90 Micro PLC modul
GE Fanuc IC693UAA003 Serija 90 Micro PLC modul

GE
GE Fanuc RX3i IC694MDL730 modul izlaza s pozitivnom logikom 12/24VDC
GE Fanuc RX3i IC694MDL730 modul izlaza s pozitivnom logikom 12/24VDC

GE