• Rumah
  • Berita
  • Segmentasi Jaringan OT Menggunakan Zona dan Saluran ISA-99: Panduan Praktis Schneider M580 dan Bachmann M1

Segmentasi Jaringan OT Menggunakan Zona dan Saluran ISA-99: Panduan Praktis Schneider M580 dan Bachmann M1

OT Network Segmentation Using ISA-99 Zones and Conduits: Schneider M580 and Bachmann M1 Practical Guide

Masalah Sebenarnya dengan Jaringan OT Flat

Kebanyakan pabrik industri yang dibangun sebelum 2015 menggunakan jaringan Ethernet flat di mana PLC Schneider Electric Modicon M580, pengendali otomatisasi Bachmann M1, SCADA historian, dan ERP perusahaan berbagi domain broadcast Layer 2 yang sama. Pertama, ini berarti serangan ransomware yang masuk melalui jaringan perusahaan dapat mencapai CPU M580 tanpa melewati titik kontrol akses apapun. Kedua, workstation yang salah konfigurasi dan memancarkan badai ARP dapat membuat port Ethernet CPU M580 BM•P 58•2020 jenuh — port Ethernet CPU M580 memproses ARP pada level perangkat lunak dengan batas 500 paket per detik. Ketiga, eksploitasi protokol yang menargetkan port Modbus TCP 502 atau EtherNet/IP port 44818 dapat bergerak bebas di seluruh jaringan flat. Oleh karena itu, arsitektur zona dan conduit ISA-99 / IEC 62443 bukanlah pilihan — ini adalah kerangka kerja terbukti yang menambahkan perlindungan tingkat jaringan tanpa mengganggu strategi kontrol.

Arsitektur Zona dan Conduit ISA-99: Mendefinisikan Struktur

ISA-99 (IEC 62443-3-3) membagi jaringan industri menjadi Tingkat Keamanan (SL) dan menetapkan aset ke zona berdasarkan konsekuensi kompromi. Pertama, definisikan zona Anda sebelum mengubah konfigurasi switch apapun. Kedua, identifikasi setiap perangkat di jaringan pabrik dan tetapkan ke salah satu dari empat zona:

  • Zona 1 — Keselamatan (SIL): Hanya PLC Keselamatan. Untuk kebanyakan pabrik ini termasuk sistem ICS Triplex atau Triconex TMR. Tidak ada lalu lintas umum yang masuk ke zona ini. Conduit ke Zona 2 hanya mengizinkan Modbus TCP baca-saja untuk tujuan tampilan SCADA.
  • Zona 2 — Kontrol (SL-2): CPU Schneider M580, pengendali Bachmann M1, jaringan I/O, manajemen perangkat lapangan. Lalu lintas EtherNet/IP dan Modbus TCP tetap di dalam zona ini. Akses eksternal hanya melalui conduit IDMZ.
  • Zona 3 — Supervisi (SL-1): Server SCADA, historian DCS, workstation operator. Zona ini mengakses Zona 2 melalui conduit yang ditentukan melalui firewall stateful — bukan koneksi flat.
  • Zona 4 — Perusahaan (SL-0): ERP perusahaan, Active Directory, server email. Tidak ada akses langsung ke Zona 2 atau Zona 1. Semua pertukaran data terjadi hanya melalui IDMZ.

Selain itu, Industrial DMZ (IDMZ) berada di antara Zona 3 dan Zona 4. IDMZ berisi server replikasi data — OSIsoft PI, Wonderware Historian, atau gateway OPC DA/UA. Tidak ada lalu lintas yang melewati IDMZ secara end-to-end — baik Zona 3 maupun Zona 4 terhubung ke server IDMZ tetapi tidak pernah langsung satu sama lain. Ini adalah prinsip kontrol batas inti ISA-99.

Konfigurasi VLAN dan Firewall untuk Jaringan Schneider M580

Schneider Modicon M580 menggunakan EtherNet/IP pada port Ethernet backplane CPU (seri BMEP58•020) dan port Ethernet jaringan I/O khusus untuk drop Ethernet RIO. Pertama, tetapkan port manajemen CPU ke VLAN 20 (Zona Kontrol) pada switch managed Anda. Kedua, tetapkan semua remote I/O (BMECRA31210 RIO drops) ke VLAN 21 (sub-zona I/O). Ketiga, buat ACL (Access Control List) pada switch untuk memblokir semua lalu lintas antara VLAN 21 dan zona di atas Level 2.

Pada switch managed Cisco IE4000 atau Cisco IE3400, konfigurasikan routing antar VLAN dengan aturan firewall berikut:

  • Langkah 1: Buat VLAN 20 (Kontrol) dan VLAN 21 (RIO). Tetapkan port CPU M580 ke mode akses VLAN 20. Tetapkan semua port drop BMECRA31210 RIO ke mode akses VLAN 21.
  • Langkah 2: Terapkan ACL pada SVI VLAN 20: izinkan TCP any 192.168.20.0/24 eq 44818 (EtherNet/IP CIP). Izinkan TCP any 192.168.20.0/24 eq 502 (Modbus TCP). Tolak ip any any log. Ini hanya mengizinkan protokol yang diperlukan mencapai M580.
  • Langkah 3: Blokir semua akses eksternal ke VLAN 21 pada switch Layer 3 — tolak ip any 192.168.21.0/24. Lalu lintas RIO tidak boleh dapat diakses dari Zona 3 atau Zona 4.
  • Langkah 4: Konfigurasikan firewall stateful antara Zona 2 dan Zona 3 untuk hanya mengizinkan port OPC UA 4840 dari server SCADA ke gateway OPC UA Zona 3. Blokir port Modbus TCP 502 antara Zona 3 dan Zona 2 — SCADA membaca gateway OPC UA, bukan langsung ke M580.
  • Langkah 5: Aktifkan keamanan port pada semua port switch M580 dan BMECRA — kunci ke alamat MAC pemancar. Setel mode pelanggaran keamanan port ke "restrict" (bukan "shutdown") untuk menghasilkan peringatan tanpa memutus jaringan I/O.

Namun, port Ethernet CPU M580 tidak mendukung penandaan VLAN 802.1Q secara native — ia beroperasi hanya sebagai port akses VLAN. Oleh karena itu, switch harus menangani semua penandaan VLAN. Ini adalah batasan desain jaringan M580 yang umum diabaikan insinyur saat merancang segmentasi.

Segmentasi Pengendali Bachmann M1 dan Kontrol Batas OPC UA

Pengendali Bachmann M1 menggunakan jaringan Ethernet MIO (Modular I/O) sendiri pada antarmuka khusus terpisah dari port pemrograman. Pertama, tetapkan jaringan MIO Bachmann M1 ke VLAN 22 — terpisah dari VLAN kontrol Schneider M580 VLAN 20. Ini mencegah badai broadcast lintas protokol. Kedua, Bachmann M1 mendukung fungsi server OPC UA secara native di lingkungan pemrograman SolutionCenter-nya. Konfigurasikan server OPC UA untuk hanya menampilkan tag yang diperlukan ke Zona 3 — jangan tampilkan seluruh namespace variabel M1.

Di Bachmann SolutionCenter, atur Mode Keamanan OPC UA ke "SignAndEncrypt" dan Kebijakan Keamanan ke "Basic256Sha256." Tolak semua koneksi anonim — wajibkan autentikasi berbasis sertifikat. Ini sesuai dengan persyaratan Tingkat Keamanan 2 IEC 62443-3-3 untuk Zona Kontrol. Selain itu, atur ruang alamat server OPC UA M1 untuk hanya menerbitkan tag yang tercantum dalam daftar tag SCADA yang disetujui — gunakan konfigurasi Bachmann OPC UA NodeManager untuk memasukkan whitelist node variabel tertentu. Blokir semua node lain pada level server OPC UA, bukan hanya di firewall.

  • Langkah 1: Di Bachmann SolutionCenter, buka konfigurasi Server OPC UA di modul "Communication".
  • Langkah 2: Atur Mode Keamanan ke "SignAndEncrypt." Atur Kebijakan Keamanan ke "Basic256Sha256." Nonaktifkan kebijakan "None" dan "Sign".
  • Langkah 3: Impor sertifikat server SCADA ke penyimpanan sertifikat tepercaya Bachmann M1. Hanya klien SCADA yang membawa sertifikat yang dapat terhubung.
  • Langkah 4: Aktifkan fungsi firewall Bachmann M1 — izinkan TCP 4840 (OPC UA) hanya dari alamat IP server SCADA 192.168.30.10. Blokir semua koneksi masuk lain pada port OPC UA.
  • Langkah 5: Atur waktu habis sesi menjadi 30 detik. Setiap sesi SCADA yang tidak aktif selama 30 detik akan otomatis ditutup — mencegah penumpukan sesi usang di tabel sesi M1.
  • Langkah 6: Catat semua kejadian koneksi OPC UA ke syslog Bachmann M1 — konfigurasikan penerusan syslog ke server SIEM di IDMZ untuk pemantauan keamanan.

Desain IDMZ: Replikasi Data Tanpa Melintasi Zona Langsung

IDMZ berisi tepat dua jenis server: server replikasi historian data dan server jump akses jarak jauh. Pertama, OSIsoft PI Relay atau Honeywell Uniformance PHD berjalan di IDMZ. Historian di Zona 3 mendorong data ke relay IDMZ menggunakan port TCP 5450 (antarmuka PI-ke-PI). Historian perusahaan di Zona 4 menarik data dari relay IDMZ menggunakan port yang sama. Tidak ada data proses yang pernah berjalan langsung antara Zona 3 dan Zona 4. Kedua, server jump akses jarak jauh di IDMZ menyediakan akses RDP untuk teknisi pemeliharaan. Konfigurasikan server jump untuk mengizinkan koneksi RDP hanya dari titik akhir VPN yang dilindungi MFA yang disetujui — jangan pernah izinkan RDP langsung dari Zona 4 ke Zona 2 atau Zona 1.

Selain itu, terapkan aturan firewall ini antara Zona 4 dan IDMZ: izinkan TCP 5450 (PI) dari historian Zona 4 ke relay IDMZ saja. Tolak semua lalu lintas lain dari Zona 4 ke IDMZ. Antara IDMZ dan Zona 3: izinkan TCP 5450 dari relay IDMZ ke historian Zona 3. Izinkan RDP (TCP 3389) dari server jump IDMZ ke workstation SCADA Zona 3 saja — dengan MFA diterapkan di gateway server jump.

Kesimpulan dan Saran Tindakan

Segmentasi zona dan conduit ISA-99 untuk jaringan Schneider M580 dan Bachmann M1 adalah tugas rekayasa, bukan proyek keamanan TI. Pertama, definisikan empat zona Anda dan buat diagram conduit sebelum mengubah switch apapun. Kedua, tetapkan jaringan CPU M580 dan MIO M1 ke VLAN khusus dengan ACL yang memblokir semua protokol yang tidak diperlukan. Ketiga, terapkan OPC UA SignAndEncrypt pada Bachmann M1 dan gunakan autentikasi berbasis sertifikat sejak hari pertama. Keempat, bangun IDMZ sebagai relay data sejati — tanpa jalur langsung dari Zona 3 ke Zona 4. Kelima, aktifkan keamanan port pada semua port switch VLAN kontrol untuk mencegah koneksi perangkat tidak sah. Terakhir, uji segmentasi Anda dengan mencoba pemindaian port dari workstation Zona 4 ke alamat Zona 2 — jika Anda melihat port terbuka pada M580 atau M1 dari Zona 4, aturan conduit Anda belum lengkap. Perbaiki setiap port terbuka sebelum menyatakan segmentasi selesai.

Kembali ke blog
Tunjukkan semua
Postingan blog
Tunjukkan semua
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Kontrol Urutan Batch Menggunakan DCS Sequential Function Charts: Konfigurasi Emerson DeltaV SFC dan Interlock Sinkronisasi Woodward EasyGen 3200

Kontrol proses batch menggunakan struktur Formal IEC 61131-3 Sequential Function Chart di Emerson DeltaV mencegah deadlock mesin status dan menyederhanakan kepatuhan audit ISA-88. Panduan ini membahas prinsip desain DeltaV Phase Logic SFC, pemetaan register Woodward EasyGen 3200 Modbus TCP untuk interlock sinkronisasi generator, desain jalur Hold dan Abort, serta diagnosis empat pola kegagalan batch SFC yang paling umum.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Desain dan Komisioning Segmen

Foundation Fieldbus H1 menjalankan blok fungsi kontrol di dalam perangkat lapangan, menjaga kontrol bahkan saat komunikasi dengan host gagal — sebuah keunggulan utama untuk loop SIL-2 dan SIL-3. Panduan ini mencakup perhitungan anggaran daya FF H1, analisis penurunan tegangan, perlindungan arus masuk soft-start, prosedur komisioning 5 langkah, penjadwalan blok fungsi, dan diagnosis kesalahan sistematis untuk kegagalan segmen, perangkat yang terputus-putus, serta kesalahan resistansi terminasi.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

Diagnostik Kesalahan Komunikasi PROFINET IO: Pemecahan Masalah Lapangan ABB AC500 CM575-PNIO dan Phoenix Contact AXL F DI16

Kegagalan komunikasi PROFINET IO antara ABB AC500 CM575-PNIO dan Phoenix Contact Axioline F distributed I/O sering menjadi sumber downtime yang tidak direncanakan. Panduan ini mencakup pemeriksaan kabel lapisan fisik, verifikasi versi GSDML, penyelesaian konflik nama perangkat, penyetelan AR watchdog, dan prosedur isolasi kesalahan enam langkah menggunakan pemetaan bit register DIAG_STATUS serta alarm Diagnosa Saluran.
Daftar Produk yang Direkomendasikan
Emerson KL3105X1-LS1 12P6551X032 Kartu Pesona Terisolasi
Emerson KL3105X1-LS1 12P6551X032 Kartu Pesona Terisolasi

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Modul Input Analog Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA
Modul Input Analog Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Modul Kontak Kering CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Modul Kontak Kering CHARM

Emerson
Emerson DeltaV KL3005X1-LS1 Modul Sinyal Digital Terisolasi Charm
Emerson DeltaV KL3005X1-LS1 Modul Sinyal Digital Terisolasi Charm

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal Alamat I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal Alamat I.S. CHARM

Emerson
Emerson DeltaV I.S. Terminal Block CHARM PN: KL4510X1-DA1
Emerson DeltaV I.S. Terminal Block CHARM PN: KL4510X1-DA1

Emerson
Modul Daya Emerson DeltaV KL1501X1-BA1 CSLS
Modul Daya Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Kontak Kering CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Kontak Kering CHARM

Emerson
Emerson KL3031X1-BA1 Modul CHARM Input RTD/Resistansi
Emerson KL3031X1-BA1 Modul CHARM Input RTD/Resistansi

Emerson
Modul PLC Mikro GE Fanuc IC693UAA003 Seri 90
Modul PLC Mikro GE Fanuc IC693UAA003 Seri 90

GE
Modul Output Logika Positif GE Fanuc RX3i IC694MDL730 12/24VDC
Modul Output Logika Positif GE Fanuc RX3i IC694MDL730 12/24VDC

GE