OT tīkla segmentācija, izmantojot ISA-99 zonas un kanālus: Schneider M580 un Bachmann M1 praktiskais ceļvedis

Bachmann M1, EtherNet/IP, firewall rules, IDMZ, IEC 62443, industrial DMZ, ISA-99, Modbus TCP, OT network segmentation, Schneider M580
aprīlis 13, 2026

OT Network Segmentation Using ISA-99 Zones and Conduits: Schneider M580 and Bachmann M1 Practical Guide

Patiesā problēma ar plakaniem OT tīkliem

Lielākā daļa rūpniecības objektu, kas būvēti pirms 2015. gada, izmanto platu Ethernet tīklu, kurā Schneider Electric Modicon M580 PLC, Bachmann M1 automatizācijas kontrolieris, SCADA vēsturnieks un uzņēmuma ERP dala vienu un to pašu 2. slāņa apraides domēnu. Pirmkārt, tas nozīmē, ka izspiedējvīrusa uzbrukums, kas ienāk caur uzņēmuma tīklu, sasniedz M580 CPU, nepārejot caur nevienu piekļuves kontroles punktu. Otrkārt, nepareizi konfigurēta darba stacija, kas izplata ARP vētras, var piesātināt M580 BM•P 58•2020 CPU Ethernet portu — M580 CPU Ethernet ports apstrādā ARP programmatūras līmenī ar 500 paketes sekundē ierobežojumu. Treškārt, protokola ievainojamības, kas mērķētas uz Modbus TCP portu 502 vai EtherNet/IP portu 44818, brīvi pārvietojas pa plakano tīklu. Tāpēc ISA-99 / IEC 62443 zonu un kanālu arhitektūra nav izvēle — tā ir vienīgā pārbaudītā sistēma, kas nodrošina tīkla līmeņa aizsardzību, netraucējot vadības stratēģiju.

ISA-99 zonu un kanālu arhitektūra: struktūras definēšana

ISA-99 (IEC 62443-3-3) sadala rūpniecības tīklu drošības līmeņos (SL) un piešķir aktīvus zonām, pamatojoties uz kompromisa sekām. Vispirms definējiet savas zonas pirms jebkādas slēdža konfigurācijas veikšanas. Otrkārt, identificējiet katru ierīci rūpnīcas tīklā un piešķiriet to vienai no četrām zonām:

1. zona — Drošība (SIL): Tikai drošības PLC. Lielākajai daļai rūpnīcu tas ietver ICS Triplex vai Triconex TMR sistēmas. Šajā zonā neieplūst vispārējā satiksme. Kanāls uz 2. zonu ļauj tikai Modbus TCP tikai lasīšanas režīmā SCADA displeja vajadzībām.
2. zona — Vadība (SL-2): Schneider M580 CPU, Bachmann M1 kontrolieri, I/O tīkli, lauka ierīču pārvaldība. EtherNet/IP un Modbus TCP satiksme paliek šajā zonā. Ārēja piekļuve tikai caur IDMZ kanālu.
3. zona — Uzraudzība (SL-1): SCADA serveri, DCS vēsturnieks, operatoru darba stacijas. Šī zona piekļūst 2. zonai caur definētu kanālu, izmantojot stāvokļa ugunsmūri — nevis platu savienojumu.
4. zona — Uzņēmums (SL-0): Uzņēmuma ERP, Active Directory, e-pasta serveri. Nav tiešas piekļuves 2. vai 1. zonai. Visi datu apmaiņas notiek tikai caur IDMZ.

Turklāt rūpniecības DMZ (IDMZ) atrodas starp 3. un 4. zonu. IDMZ satur datu replikācijas serverus — OSIsoft PI, Wonderware Historian vai OPC DA/UA vārteju. Neviena satiksme neiet cauri IDMZ no gala līdz galam — gan 3., gan 4. zona pieslēdzas IDMZ serveriem, bet nekad tieši viens otram. Tas ir ISA-99 galvenais robežu kontroles princips.

VLAN un ugunsmūra konfigurācija Schneider M580 tīkliem

Schneider Modicon M580 izmanto EtherNet/IP CPU aizmugures Ethernet portā (BMEP58•020 sērija) un atsevišķu I/O tīkla Ethernet portu Ethernet RIO pieslēgumiem. Vispirms piešķiriet CPU pārvaldības portu VLAN 20 (Vadības zona) jūsu pārvaldītajā slēdzī. Otrkārt, piešķiriet visus attālinātos I/O (BMECRA31210 RIO pieslēgumus) VLAN 21 (I/O apakšzona). Treškārt, izveidojiet ACL (piekļuves kontroles sarakstu) slēdzī, lai bloķētu visu satiksmi starp VLAN 21 un jebkuru zonu virs 2. līmeņa.

Cisco IE4000 vai Cisco IE3400 pārvaldītā slēdzī konfigurējiet starp-VLAN maršrutēšanu ar šādiem ugunsmūra noteikumiem:

1. solis: Izveidojiet VLAN 20 (Vadība) un VLAN 21 (RIO). Piešķiriet M580 CPU portu VLAN 20 piekļuves režīmā. Piešķiriet visus BMECRA31210 RIO pieslēguma portus VLAN 21 piekļuves režīmā.
2. solis: Lietojiet ACL uz VLAN 20 SVI: atļaujiet TCP jebkuram 192.168.20.0/24 eq 44818 (EtherNet/IP CIP). Atļaujiet TCP jebkuram 192.168.20.0/24 eq 502 (Modbus TCP). Aizliegiet ip jebkuram jebkuram ar žurnālu. Tas ļauj sasniegt M580 tikai nepieciešamos protokolus.
3. solis: Bloķējiet visu ārējo piekļuvi VLAN 21 3. slāņa slēdzī — aizliegiet ip jebkuram 192.168.21.0/24. RIO satiksmei nekad nedrīkst būt pieejama piekļuve no 3. vai 4. zonas.
4. solis: Konfigurējiet stāvokļa ugunsmūri starp 2. un 3. zonu, lai atļautu tikai OPC UA portu 4840 no SCADA servera uz 3. zonas OPC UA vārteju. Bloķējiet Modbus TCP portu 502 starp 3. un 2. zonu — SCADA lasa OPC UA vārteju, nevis tieši M580.
5. solis: Ieslēdziet portu drošību visos M580 un BMECRA slēdža portos — pieslēdziet pie raidītāja MAC adreses. Iestatiet portu drošības pārkāpuma režīmu uz "ierobežot" (nevis "izslēgt"), lai ģenerētu brīdinājumu, nezaudējot I/O tīklu.

Tomēr M580 CPU Ethernet ports nativā atbalsta 802.1Q VLAN tagošanu — tas darbojas tikai kā VLAN piekļuves ports. Tāpēc visas VLAN tagošanas funkcijas jāveic slēdzim. Tas ir izplatīts M580 tīkla dizaina ierobežojums, ko inženieri bieži ignorē segmentācijas projektēšanā.

Bachmann M1 kontroliera segmentācija un OPC UA robežu kontrole

Bachmann M1 kontrolieri izmanto savu MIO (modulāro I/O) Ethernet tīklu atsevišķā interfeisā, kas atšķiras no programmēšanas porta. Vispirms piešķiriet Bachmann M1 MIO tīklu VLAN 22 — atsevišķi no Schneider M580 vadības VLAN 20. Tas novērš protokolu krustošanās apraides vētras. Otrkārt, Bachmann M1 nativā atbalsta OPC UA servera funkcionalitāti savā SolutionCenter programmēšanas vidē. Konfigurējiet OPC UA serveri, lai atklātu tikai nepieciešamos tagus 3. zonai — neatklājiet pilnu M1 mainīgo nosaukumu telpu.

Bachmann SolutionCenter iestatiet OPC UA drošības režīmu uz "SignAndEncrypt" un drošības politiku uz "Basic256Sha256." Noraidiet visas anonīmās savienojumus — pieprasiet sertifikātu autentifikāciju. Tas atbilst IEC 62443-3-3 drošības līmeņa 2 prasībām Vadības zonai. Turklāt iestatiet M1 OPC UA servera adreses telpu, lai publicētu tikai tagus, kas iekļauti apstiprinātajā SCADA tagu sarakstā — izmantojiet Bachmann OPC UA NodeManager konfigurāciju, lai baltajā sarakstā iekļautu konkrētus mainīgo mezglus. Bloķējiet visus citus mezglus OPC UA servera līmenī, ne tikai ugunsmūrī.

1. solis: Bachmann SolutionCenter dodieties uz OPC UA servera konfigurāciju sadaļā "Communication".
2. solis: Iestatiet drošības režīmu uz "SignAndEncrypt." Iestatiet drošības politiku uz "Basic256Sha256." Atspējojiet "None" un "Sign" politikas.
3. solis: Importējiet SCADA servera sertifikātu Bachmann M1 uzticamo sertifikātu krātuvē. Tikai sertifikātus saturoši SCADA klienti var pieslēgties.
4. solis: Ieslēdziet Bachmann M1 ugunsmūra funkciju — atļaujiet TCP 4840 (OPC UA) tikai no SCADA servera IP adreses 192.168.30.10. Bloķējiet visas citas ienākošās savienojumus OPC UA portā.
5. solis: Konfigurējiet sesijas laika beigas uz 30 sekundēm. Jebkura SCADA sesija, kas nav aktīva 30 sekundes, automātiski aizveras — novērš novecojušu sesiju uzkrāšanos M1 sesiju tabulā.
6. solis: Reģistrējiet visus OPC UA savienojuma notikumus Bachmann M1 syslogā — konfigurējiet syslog pārsūtīšanu uz SIEM serveri IDMZ drošības uzraudzībai.

IDMZ dizains: datu replikācija bez tiešas zonu šķērsošanas

IDMZ satur tieši divu veidu serverus: datu vēsturnieka replikācijas serveri un attālinātās piekļuves starpserveri. Pirmkārt, IDMZ darbojas OSIsoft PI Relay vai Honeywell Uniformance PHD. Vēsturnieks 3. zonā nosūta datus IDMZ relejam, izmantojot TCP portu 5450 (PI-to-PI interfeiss). Uzņēmuma vēsturnieks 4. zonā saņem datus no IDMZ releja, izmantojot to pašu portu. Nevieni procesa dati nekad neceļo tieši starp 3. un 4. zonu. Otrkārt, IDMZ attālinātās piekļuves starpserveris nodrošina RDP piekļuvi apkopes inženieriem. Konfigurējiet starpserveri, lai atļautu RDP savienojumus tikai no apstiprināta MFA aizsargāta VPN gala punkta — nekad neatļaujiet tiešu RDP no 4. uz 2. vai 1. zonu.

Turklāt piemērojiet šādus ugunsmūra noteikumus starp 4. zonu un IDMZ: atļaujiet TCP 5450 (PI) tikai no 4. zonas vēsturnieka uz IDMZ releju. Aizliegiet visu citu satiksmi no 4. zonas uz IDMZ. Starp IDMZ un 3. zonu: atļaujiet TCP 5450 no IDMZ releja uz 3. zonas vēsturnieku. Atļaujiet RDP (TCP 3389) tikai no IDMZ starpservera uz 3. zonas SCADA darba stacijām — ar MFA uzraudzību starpservera vārtejā.

Nobeigums un rīcības ieteikumi

ISA-99 zonu un kanālu segmentācija Schneider M580 un Bachmann M1 tīklos ir inženiertehnisks uzdevums, nevis IT drošības projekts. Vispirms definējiet savas četras zonas un uzzīmējiet kanālu shēmu pirms jebkādas slēdža konfigurācijas. Otrkārt, piešķiriet M580 CPU un M1 MIO tīkliem atsevišķus VLAN ar ACL, kas bloķē visus nevajadzīgos protokolus. Treškārt, no pirmās dienas nodrošiniet OPC UA SignAndEncrypt un sertifikātu autentifikāciju Bachmann M1. Ceturtkārt, izveidojiet IDMZ kā patiesu datu releju — bez tiešiem ceļiem no 3. uz 4. zonu. Piektkārt, ieslēdziet portu drošību visos vadības VLAN slēdža portos, lai novērstu nesankcionētu ierīču pieslēgšanos. Visbeidzot, pārbaudiet segmentāciju, mēģinot veikt portu skenēšanu no 4. zonas darba stacijas uz 2. zonas adresēm — ja redzat kādus atvērtus portus M580 vai M1 no 4. zonas, jūsu kanālu noteikumi nav pilnīgi. Novērsiet visus atvērtos portus pirms segmentācijas pabeigšanas.