ISA-99 аймақтары мен өткізгіштерін пайдаланып OT желісін сегменттеу: Schneider M580 және Bachmann M1 практикалық нұсқаулығы

Тегіс OT желілеріндегі нақты мәселе

2015 жылға дейін салынған көптеген өнеркәсіптік зауыттар Schneider Electric Modicon M580 PLC, Bachmann M1 автоматтандыру контроллері, SCADA тарихшысы және корпоративтік ERP бірдей 2-ші деңгейдегі хабар тарату доменін бөлісетін тегіс Ethernet желісінде жұмыс істейді. Біріншіден, бұл корпоративтік желі арқылы кіретін ransomware шабуылы M580 CPU-ға ешқандай қолжетімділік бақылау нүктесінен өтпей жетеді дегенді білдіреді. Екіншіден, дұрыс бапталмаған жұмыс станциясы ARP дауылдарын таратып, M580 BM•P 58•2020 CPU Ethernet портын толтыра алады — M580 CPU Ethernet порты ARP-ды бағдарламалық деңгейде өңдейді және секундына 500 пакет шегінде жұмыс істейді. Үшіншіден, Modbus TCP 502 портына немесе EtherNet/IP 44818 портына бағытталған протокол эксплойттары тегіс желі арқылы еркін өтеді. Сондықтан ISA-99 / IEC 62443 аймақ және арна архитектурасы міндетті — бұл басқару стратегиясын бұзбай желі деңгейінде қорғаныс қосатын жалғыз дәлелденген құрылым.

ISA-99 аймақ және арна архитектурасы: Құрылымды анықтау

ISA-99 (IEC 62443-3-3) өнеркәсіптік желіні Қауіпсіздік деңгейлеріне (SL) бөледі және активтерді бұзылу салдарына қарай аймақтарға бөледі. Біріншіден, кез келген коммутатор баптамасына кіріспес бұрын аймақтарыңызды анықтаңыз. Екіншіден, зауыт желісіндегі әрбір құрылғыны анықтап, оны төрт аймақтың біріне тағайындаңыз:

• 1-аймақ — Қауіпсіздік (SIL): Тек қауіпсіздік PLC-лері. Көптеген зауыттар үшін бұл ICS Triplex немесе Triconex TMR жүйелерін қамтиды. Бұл аймаққа жалпы мақсаттағы трафик кірмейді. 2-аймаққа арналған арна тек SCADA дисплейі үшін тек оқуға арналған Modbus TCP-ны рұқсат етеді.
• 2-аймақ — Басқару (SL-2): Schneider M580 CPU-лары, Bachmann M1 контроллерлері, I/O желілері, өріс құрылғыларын басқару. EtherNet/IP және Modbus TCP трафигі осы аймақ ішінде қалады. Сыртқы қолжетімділік тек IDMZ арнасы арқылы жүзеге асады.
• 3-аймақ — Қадағалау (SL-1): SCADA серверлері, DCS тарихшысы, оператор жұмыс станциялары. Бұл аймақ 2-аймаққа күйі бар брандмауэр арқылы анықталған арна арқылы қосылады — тегіс байланыс емес.
• 4-аймақ — Корпоративтік (SL-0): Корпоративтік ERP, Active Directory, электрондық пошта серверлері. 2 немесе 1-аймаққа тікелей қолжетімділік жоқ. Барлық деректер алмасу тек IDMZ арқылы жүзеге асады.

Сонымен қатар, Өнеркәсіптік DMZ (IDMZ) 3 және 4-аймақтардың арасында орналасқан. IDMZ деректерді көшіру серверлерін қамтиды — OSIsoft PI, Wonderware Historian немесе OPC DA/UA шлюзі. IDMZ арқылы трафик толық өтпейді — 3 және 4-аймақтар IDMZ серверлеріне қосылады, бірақ бір-біріне тікелей қосылмайды. Бұл ISA-99 негізгі шекара бақылау принципі.

Schneider M580 желілері үшін VLAN және брандмауэр баптауы

Schneider Modicon M580 CPU артқы панеліндегі Ethernet портында (BMEP58•020 сериясы) EtherNet/IP және Ethernet RIO құрылғылары үшін арнайы I/O желі порты пайдаланады. Біріншіден, CPU басқару портын басқарылатын коммутаторда VLAN 20 (Басқару аймағы) ретінде тағайындаңыз. Екіншіден, барлық қашықтағы I/O (BMECRA31210 RIO құрылғылары) VLAN 21 (I/O ішкі аймағы) ретінде тағайындалсын. Үшіншіден, коммутаторда VLAN 21 мен 2-деңгейден жоғары кез келген аймақ арасындағы барлық трафикті блоктайтын ACL (Қолжетімділік бақылау тізімі) жасаңыз.

Cisco IE4000 немесе Cisco IE3400 басқарылатын коммутаторында VLAN аралық бағыттауды келесі брандмауэр ережелерімен баптаңыз:

• 1-қадам: VLAN 20 (Басқару) және VLAN 21 (RIO) жасаңыз. M580 CPU портын VLAN 20 қолжетімділік режиміне, барлық BMECRA31210 RIO порттарын VLAN 21 қолжетімділік режиміне тағайындаңыз.
• 2-қадам: VLAN 20 SVI-де ACL қолданыңыз: TCP кез келген 192.168.20.0/24 eq 44818 (EtherNet/IP CIP) рұқсат етіңіз. TCP кез келген 192.168.20.0/24 eq 502 (Modbus TCP) рұқсат етіңіз. Барлық басқа IP трафигін блоктаңыз және журналдаңыз. Бұл M580-ге тек қажетті протоколдардың жетуін қамтамасыз етеді.
• 3-қадам: 3-деңгейлі коммутаторда VLAN 21-ге сыртқы қолжетімділікті толығымен блоктаңыз — ip кез келген 192.168.21.0/24 тыйым салынады. RIO трафигі 3 немесе 4-аймақтан қолжетімді болмауы тиіс.
• 4-қадам: 2 және 3-аймақ арасындағы күйі бар брандмауэрді баптаңыз — SCADA серверінен 3-аймақ OPC UA шлюзіне тек OPC UA 4840 портына рұқсат етіңіз. 3 және 2-аймақ арасында Modbus TCP 502 портын блоктаңыз — SCADA тікелей M580-ге емес, OPC UA шлюзіне оқиды.
• 5-қадам: Барлық M580 және BMECRA коммутатор порттарында порт қауіпсіздігін қосыңыз — жіберуші MAC мекенжайына бекітіңіз. Порт қауіпсіздігі бұзылғанда "restrict" режимін орнатыңыз ("shutdown" емес) — бұл I/O желісін тоқтатпай ескерту береді.

Дегенмен, M580 CPU Ethernet порты 802.1Q VLAN таңбалауын тікелей қолдамайды — ол тек VLAN қолжетімділік порты ретінде жұмыс істейді. Сондықтан барлық VLAN таңбалауды коммутатор өңдеуі тиіс. Бұл M580 желісін сегменттеу кезінде инженерлер жиі елемейтін жалпы шектеу.

Bachmann M1 контроллерін сегменттеу және OPC UA шекара бақылауы

Bachmann M1 контроллерлері бағдарламалау портынан бөлек арнайы интерфейсте өздерінің MIO (Модульдік I/O) Ethernet желісін пайдаланады. Біріншіден, Bachmann M1 MIO желісін VLAN 22-ге тағайындаңыз — Schneider M580 басқару VLAN 20-ден бөлек. Бұл протоколдар аралық хабар тарату дауылдарын болдырмайды. Екіншіден, Bachmann M1 SolutionCenter бағдарламалау ортасында OPC UA сервер функциясын тікелей қолдайды. OPC UA серверін 3-аймаққа тек қажетті тегтерді көрсетуге баптаңыз — толық M1 айнымалы кеңістігін ашпаңыз.

Bachmann SolutionCenter-де OPC UA Қауіпсіздік режимін "SignAndEncrypt", Қауіпсіздік саясатын "Basic256Sha256" етіп орнатыңыз. Барлық анонимді қосылымдарды қабылдамаңыз — сертификат негізіндегі аутентификация талап етіңіз. Бұл IEC 62443-3-3 Қауіпсіздік деңгейі 2 талаптарына сәйкес келеді. Сонымен қатар, M1 OPC UA серверінің мекенжай кеңістігін тек мақұлданған SCADA тегтер тізіміндегі тегтерді жариялауға баптаңыз — Bachmann OPC UA NodeManager конфигурациясын пайдаланып нақты айнымалы түйіндерді ақ тізімге қосыңыз. Барлық басқа түйіндерді тек OPC UA сервер деңгейінде блоктаңыз, тек брандмауэрде ғана емес.

• 1-қадам: Bachmann SolutionCenter-де "Communication" модуліндегі OPC UA сервер баптауына өтіңіз.
• 2-қадам: Қауіпсіздік режимін "SignAndEncrypt" етіп орнатыңыз. Қауіпсіздік саясатын "Basic256Sha256" етіп орнатыңыз. "None" және "Sign" саясаттарын өшіріңіз.
• 3-қадам: SCADA серверінің сертификатын Bachmann M1 сенімді сертификат дүкеніне импорттаңыз. Тек сертификаты бар SCADA клиенттері қосыла алады.
• 4-қадам: Bachmann M1 брандмауэр функциясын қосыңыз — тек SCADA серверінің IP мекенжайы 192.168.30.10-дан TCP 4840 (OPC UA) рұқсат етіңіз. OPC UA портындағы барлық басқа кіріс қосылымдарын блоктаңыз.
• 5-қадам: Сессияның уақытша тоқтауын 30 секундқа орнатыңыз. 30 секунд бойы белсенді емес SCADA сессиясы автоматты түрде жабылады — M1 сессия кестесінде ескі сессиялардың жиналуын болдырмайды.
• 6-қадам: Барлық OPC UA қосылым оқиғаларын Bachmann M1 syslog-қа тіркеңіз — қауіпсіздік мониторингі үшін syslog-ты IDMZ-дегі SIEM серверіне бағыттауды баптаңыз.

IDMZ дизайны: Тікелей аймақтарды кесіп өтпей деректерді көшіру

IDMZ-де дәл екі типтегі серверлер бар: деректер тарихшысы көшіру сервері және қашықтан қолжетімділік секіру сервері. Біріншіден, OSIsoft PI Relay немесе Honeywell Uniformance PHD IDMZ-де жұмыс істейді. 3-аймақтағы тарихшы деректерді IDMZ релейіне TCP 5450 порты арқылы жібереді (PI-to-PI интерфейсі). 4-аймақтағы корпоративтік тарихшы сол порт арқылы IDMZ релейінен деректерді алады. 3 және 4-аймақ арасында ешқашан тікелей процесс деректері жүрмейді. Екіншіден, IDMZ-дегі қашықтан қолжетімділік секіру сервері техникалық қызмет инженерлеріне RDP қолжетімділігін береді. Секіру серверін MFA қорғалған VPN бекеті арқылы ғана RDP қосылымдарын қабылдайтындай етіп баптаңыз — 4-аймақтан 2 немесе 1-аймаққа тікелей RDP-ге ешқашан рұқсат бермеңіз.

Сонымен қатар, 4-аймақ пен IDMZ арасындағы брандмауэр ережелерін қолданыңыз: 4-аймақ тарихшысынан IDMZ релейіне тек TCP 5450 (PI) рұқсат етіңіз. 4-аймақтан IDMZ-ге барлық басқа трафикті блоктаңыз. IDMZ мен 3-аймақ арасында: IDMZ релейінен 3-аймақ тарихшысына TCP 5450 рұқсат етіңіз. IDMZ секіру серверінен 3-аймақ SCADA жұмыс станцияларына тек MFA қолданылатын RDP (TCP 3389) рұқсат етіңіз.

Қорытынды және іс-әрекетке кеңес

Schneider M580 және Bachmann M1 желілері үшін ISA-99 аймақ және арна сегментациясы — бұл инженерлік міндет, IT қауіпсіздік жобасы емес. Біріншіден, төрт аймағыңызды анықтап, кез келген коммутаторға қол тигізбестен бұрын арна сызбасын жасаңыз. Екіншіден, M580 CPU және M1 MIO желілерін арнайы VLAN-дарға тағайындап, барлық қажет емес протоколдарды блоктайтын ACL-дарды қолданыңыз. Үшіншіден, Bachmann M1-де OPC UA SignAndEncrypt-ті міндеттеп, бірінші күннен бастап сертификат негізіндегі аутентификацияны қолданыңыз. Төртіншіден, IDMZ-ді нағыз деректер релейі ретінде құрыңыз — 3 және 4-аймақтар арасында тікелей жолдар болмауы тиіс. Бесіншіден, барлық басқару VLAN коммутатор порттарында порт қауіпсіздігін қосып, заңсыз құрылғылардың қосылуын болдырмаңыз. Соңында, 4-аймақ жұмыс станциясынан 2-аймақ мекенжайларына порт сканерлеуді сынап көріңіз — егер 4-аймақтан M580 немесе M1-де ашық порттар көрінсе, арна ережелеріңіз толық емес. Барлық ашық порттарды жабыңыз да, сегментацияны аяқталған деп жариялаңыз.