• Dom
  • Aktualności
  • Segmentacja sieci OT z wykorzystaniem stref i przewodów ISA-99: Praktyczny przewodnik Schneider M580 i Bachmann M1

Segmentacja sieci OT z wykorzystaniem stref i przewodów ISA-99: Praktyczny przewodnik Schneider M580 i Bachmann M1

OT Network Segmentation Using ISA-99 Zones and Conduits: Schneider M580 and Bachmann M1 Practical Guide

Prawdziwy problem z płaskimi sieciami OT

Większość zakładów przemysłowych zbudowanych przed 2015 rokiem korzysta z płaskiej sieci Ethernet, w której Sterownik PLC Schneider Electric Modicon M580, sterownik automatyki Bachmann M1, system SCADA historian oraz korporacyjny ERP dzielą tę samą domenę rozgłoszeniową warstwy 2. Po pierwsze, oznacza to, że atak ransomware, który dostanie się przez sieć korporacyjną, dociera do CPU M580 bez przechodzenia przez jakikolwiek punkt kontroli dostępu. Po drugie, błędnie skonfigurowana stacja robocza generująca burze ARP może zapełnić port Ethernet CPU M580 BM•P 58•2020 — port Ethernet CPU M580 przetwarza ARP na poziomie oprogramowania z limitem 500 pakietów na sekundę. Po trzecie, exploity protokołów skierowane na port Modbus TCP 502 lub EtherNet/IP port 44818 swobodnie przemieszczają się po płaskiej sieci. Dlatego architektura stref i przewodów ISA-99 / IEC 62443 nie jest opcjonalna — to jedyny sprawdzony model, który dodaje ochronę na poziomie sieci bez zakłócania strategii sterowania.

Architektura stref i przewodów ISA-99: definiowanie struktury

ISA-99 (IEC 62443-3-3) dzieli sieć przemysłową na Poziomy Bezpieczeństwa (SL) i przypisuje zasoby do stref w oparciu o konsekwencje naruszenia bezpieczeństwa. Najpierw zdefiniuj swoje strefy, zanim zaczniesz konfigurować przełączniki. Następnie zidentyfikuj każde urządzenie w sieci zakładu i przypisz je do jednej z czterech stref:

  • Strefa 1 — Bezpieczeństwo (SIL): tylko sterowniki bezpieczeństwa PLC. W większości zakładów obejmuje to systemy ICS Triplex lub Triconex TMR. Do tej strefy nie wchodzi ruch ogólnego przeznaczenia. Przewód do Strefy 2 pozwala tylko na odczyt Modbus TCP do celów wyświetlania SCADA.
  • Strefa 2 — Sterowanie (SL-2): CPU Schneider M580, sterowniki Bachmann M1, sieci I/O, zarządzanie urządzeniami polowymi. Ruch EtherNet/IP i Modbus TCP pozostaje w tej strefie. Dostęp zewnętrzny tylko przez przewód IDMZ.
  • Strefa 3 — Nadzór (SL-1): serwery SCADA, historian DCS, stacje operatorskie. Ta strefa uzyskuje dostęp do Strefy 2 przez zdefiniowany przewód przez zaporę stanową — nie przez połączenie płaskie.
  • Strefa 4 — Przedsiębiorstwo (SL-0): korporacyjny ERP, Active Directory, serwery poczty. Zero bezpośredniego dostępu do Strefy 2 lub Strefy 1. Cała wymiana danych odbywa się wyłącznie przez IDMZ.

Dodatkowo, Industrial DMZ (IDMZ) znajduje się pomiędzy Strefą 3 a Strefą 4. IDMZ zawiera serwery replikacji danych — OSIsoft PI, Wonderware Historian lub bramkę OPC DA/UA. Żaden ruch nie przechodzi przez IDMZ end-to-end — zarówno Strefa 3, jak i Strefa 4 łączą się z serwerami IDMZ, ale nigdy bezpośrednio ze sobą. To jest podstawowa zasada kontroli granic ISA-99.

Konfiguracja VLAN i zapory dla sieci Schneider M580

Schneider Modicon M580 używa EtherNet/IP na porcie Ethernet płyty tylnej CPU (seria BMEP58•020) oraz dedykowanego portu Ethernet sieci I/O dla punktów Ethernet RIO. Po pierwsze, przypisz port zarządzania CPU do VLAN 20 (Strefa Sterowania) na zarządzanym przełączniku. Po drugie, przypisz wszystkie zdalne I/O (punkty BMECRA31210 RIO) do VLAN 21 (podstrefa I/O). Po trzecie, utwórz listę kontroli dostępu (ACL) na przełączniku, aby zablokować cały ruch między VLAN 21 a dowolną strefą powyżej Poziomu 2.

Na zarządzanym przełączniku Cisco IE4000 lub Cisco IE3400 skonfiguruj routing między VLAN z następującymi regułami zapory:

  • Krok 1: Utwórz VLAN 20 (Sterowanie) i VLAN 21 (RIO). Przypisz port CPU M580 do trybu dostępu VLAN 20. Przypisz wszystkie porty punktów BMECRA31210 RIO do trybu dostępu VLAN 21.
  • Krok 2: Zastosuj ACL na SVI VLAN 20: zezwól na TCP dowolny 192.168.20.0/24 eq 44818 (EtherNet/IP CIP). Zezwól na TCP dowolny 192.168.20.0/24 eq 502 (Modbus TCP). Odrzuć ip dowolny dowolny z logowaniem. To pozwala tylko wymaganym protokołom dotrzeć do M580.
  • Krok 3: Zablokuj cały zewnętrzny dostęp do VLAN 21 na przełączniku warstwy 3 — odrzuć ip dowolny 192.168.21.0/24. Ruch RIO nigdy nie może być dostępny ze Strefy 3 ani Strefy 4.
  • Krok 4: Skonfiguruj zaporę stanową między Strefą 2 a Strefą 3, aby zezwolić tylko na port OPC UA 4840 z serwera SCADA do bramki OPC UA Strefy 3. Zablokuj port Modbus TCP 502 między Strefą 3 a Strefą 2 — SCADA odczytuje bramkę OPC UA, a nie bezpośrednio M580.
  • Krok 5: Włącz zabezpieczenie portów na wszystkich portach przełącznika M580 i BMECRA — przypisz do adresu MAC nadajnika. Ustaw tryb naruszenia zabezpieczeń portu na „restrict” (nie „shutdown”), aby generować alert bez odcinania sieci I/O.

Jednak port Ethernet CPU M580 nie obsługuje natywnie tagowania VLAN 802.1Q — działa tylko jako port dostępu VLAN. Dlatego przełącznik musi obsługiwać całe tagowanie VLAN. To jest powszechne ograniczenie projektowe sieci M580, które inżynierowie często pomijają przy projektowaniu segmentacji.

Segmentacja sterownika Bachmann M1 i kontrola granic OPC UA

Sterowniki Bachmann M1 korzystają z własnej sieci Ethernet MIO (Modular I/O) na dedykowanym interfejsie, oddzielnym od portu programowania. Po pierwsze, przypisz sieć MIO Bachmann M1 do VLAN 22 — oddzielnie od VLAN 20 sterowania Schneider M580. Zapobiega to burzom rozgłoszeniowym między protokołami. Po drugie, Bachmann M1 natywnie obsługuje funkcję serwera OPC UA w środowisku programistycznym SolutionCenter. Skonfiguruj serwer OPC UA tak, aby udostępniał tylko wymagane tagi do Strefy 3 — nie udostępniaj pełnej przestrzeni nazw zmiennych M1.

W Bachmann SolutionCenter ustaw tryb bezpieczeństwa OPC UA na „SignAndEncrypt” oraz politykę bezpieczeństwa na „Basic256Sha256.” Odrzuć wszystkie anonimowe połączenia — wymuszaj uwierzytelnianie oparte na certyfikatach. To odpowiada wymaganiom Poziomu Bezpieczeństwa 2 IEC 62443-3-3 dla Strefy Sterowania. Ponadto ustaw przestrzeń adresową serwera OPC UA M1 tak, aby publikowała tylko tagi z zatwierdzonej listy tagów SCADA — użyj konfiguracji Bachmann OPC UA NodeManager do białej listy konkretnych węzłów zmiennych. Zablokuj wszystkie inne węzły na poziomie serwera OPC UA, a nie tylko na zaporze.

  • Krok 1: W Bachmann SolutionCenter przejdź do konfiguracji serwera OPC UA w module „Communication”.
  • Krok 2: Ustaw tryb bezpieczeństwa na „SignAndEncrypt.” Ustaw politykę bezpieczeństwa na „Basic256Sha256.” Wyłącz polityki „None” i „Sign.”
  • Krok 3: Zaimportuj certyfikat serwera SCADA do zaufanego magazynu certyfikatów Bachmann M1. Tylko klienci SCADA z certyfikatem mogą się łączyć.
  • Krok 4: Włącz funkcję zapory Bachmann M1 — zezwól na TCP 4840 (OPC UA) tylko z adresu IP serwera SCADA 192.168.30.10. Zablokuj wszystkie inne połączenia przychodzące na port OPC UA.
  • Krok 5: Skonfiguruj limit czasu sesji na 30 sekund. Każda sesja SCADA nieaktywna przez 30 sekund zostaje automatycznie zamknięta — zapobiega to gromadzeniu się przestarzałych sesji w tabeli sesji M1.
  • Krok 6: Loguj wszystkie zdarzenia połączeń OPC UA do sysloga Bachmann M1 — skonfiguruj przekazywanie sysloga do serwera SIEM w IDMZ dla monitoringu bezpieczeństwa.

Projekt IDMZ: replikacja danych bez bezpośredniego przekraczania stref

IDMZ zawiera dokładnie dwa typy serwerów: serwer replikacji danych historian oraz serwer skokowy do zdalnego dostępu. Po pierwsze, w IDMZ działa OSIsoft PI Relay lub Honeywell Uniformance PHD. Historian w Strefie 3 przesyła dane do przekaźnika IDMZ za pomocą portu TCP 5450 (interfejs PI-to-PI). Historian korporacyjny w Strefie 4 pobiera dane z przekaźnika IDMZ tym samym portem. Żadne dane procesowe nigdy nie przemieszczają się bezpośrednio między Strefą 3 a Strefą 4. Po drugie, serwer skokowy zdalnego dostępu w IDMZ zapewnia dostęp RDP dla inżynierów utrzymania ruchu. Skonfiguruj serwer skokowy tak, aby zezwalał na połączenia RDP tylko z zatwierdzonego punktu końcowego VPN chronionego MFA — nigdy nie zezwalaj na bezpośredni RDP ze Strefy 4 do Strefy 2 lub Strefy 1.

Dodatkowo zastosuj następujące reguły zapory między Strefą 4 a IDMZ: zezwól na TCP 5450 (PI) tylko z historian Strefy 4 do przekaźnika IDMZ. Odrzuć cały inny ruch ze Strefy 4 do IDMZ. Między IDMZ a Strefą 3: zezwól na TCP 5450 z przekaźnika IDMZ do historian Strefy 3. Zezwól na RDP (TCP 3389) tylko z serwera skokowego IDMZ do stacji roboczych SCADA Strefy 3 — z wymuszonym MFA na bramce serwera skokowego.

Podsumowanie i zalecenia

Segmentacja stref i przewodów ISA-99 dla sieci Schneider M580 i Bachmann M1 to zadanie inżynierskie, a nie projekt bezpieczeństwa IT. Po pierwsze, zdefiniuj swoje cztery strefy i narysuj schemat przewodów zanim zaczniesz konfigurować przełączniki. Po drugie, przypisz sieci CPU M580 i MIO M1 do dedykowanych VLAN-ów z ACL blokującymi wszystkie protokoły niepotrzebne. Po trzecie, wymuszaj OPC UA SignAndEncrypt na Bachmann M1 i stosuj uwierzytelnianie oparte na certyfikatach od samego początku. Po czwarte, zbuduj IDMZ jako prawdziwy przekaźnik danych — bez bezpośrednich ścieżek między Strefą 3 a Strefą 4. Po piąte, włącz zabezpieczenie portów na wszystkich portach przełączników VLAN sterowania, aby zapobiec podłączaniu nieautoryzowanych urządzeń. Wreszcie, przetestuj segmentację, próbując skanowania portów ze stacji roboczej Strefy 4 do adresów Strefy 2 — jeśli zobaczysz jakiekolwiek otwarte porty na M580 lub M1 ze Strefy 4, twoje reguły przewodów są niekompletne. Napraw każdy otwarty port, zanim uznasz segmentację za zakończoną.

Powrót do bloga
Pokaż wszystko
Posty na blogu
Pokaż wszystko
Smart Valve Positioner HART Calibration: GE Masoneilan 4700 and Bachmann M1
plcdcspro

Kalibracja pozycjonera zaworu Smart Valve HART: GE Masoneilan 4700 i Bachmann M1

Inteligentny pozycjoner zaworu działający z odchyleniem 3% od celu powoduje odchylenia jakości produktu. Ten artykuł omawia automatyczną kalibrację GE Masoneilan 4700 za pomocą poleceń HART 0, 145 i 150, izolację usterek sprzężenia zwrotnego ruchu, eliminację oscylacji przez regulację wzmocnienia oraz transmisję HART przez Bachmann M1 AIO288.
Turbine Flow Meter Troubleshooting: Yokogawa and Allen-Bradley ControlLogix
plcdcspro

Rozwiązywanie problemów z przepływomierzem turbinowym: Yokogawa i Allen-Bradley ControlLogix

Przepływomierze turbinowe zapewniają dokładność na poziomie 0,5%, gdy łożyska i współczynniki K mieszczą się w specyfikacji. Ten artykuł omawia 7-etapową diagnostykę usterek w terenie dla przepływomierzy Yokogawa EF-TG z modułami Allen-Bradley 1756-HSC, w tym wykrywanie oporu łożysk oraz eliminację zanieczyszczeń gazowych.
Alarm Flooding During Power Restoration: Emerson Ovation and ICS Triplex TMR
plcdcspro

Alarm powodziowy podczas przywracania zasilania: Emerson Ovation i ICS Triplex TMR

Przywrócenie zasilania wywołuje niebezpieczne zalewy alarmowe. Emerson Ovation i ICS Triplex TMR radzą sobie z tym inaczej. Ten artykuł omawia tłumienie alarmów przy uruchomieniu zgodnie z ISA-18.2, projektowanie logiki priorytetów oraz 6-etapową procedurę redukcji liczby alarmów do poniżej 10 na 10 minut w ciągu 5 minut od ponownego startu.
Lista polecanych produktów
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM

Emerson
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1

Emerson
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM

Emerson
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym

Emerson
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro

GE
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC

GE
IC697CMM731 | Moduł interfejsu szerokopasmowego GE Fanuc MAP (kopii)
IC697CMM731 | Moduł interfejsu szerokopasmowego GE Fanuc MAP (kopii)

GE
IC697CMM731 | Moduł interfejsu szerokopasmowego GE Fanuc MAP
IC697CMM731 | Moduł interfejsu szerokopasmowego GE Fanuc MAP

GE
Moduł kontrolera magistrali FIP GE Fanuc IC693BEM340 (FBC)
Moduł kontrolera magistrali FIP GE Fanuc IC693BEM340 (FBC)

GE
ABB DSTD 197 Jednostka połączeniowa 8 kanałów, 120V 3BSE004726R1(副本)
ABB DSTD 197 Jednostka połączeniowa 8 kanałów, 120V 3BSE004726R1(副本)

ABB
ABB DSTD 197 Jednostka połączeniowa 8 kanałów, 120V 3BSE004726R1
ABB DSTD 197 Jednostka połączeniowa 8 kanałów, 120V 3BSE004726R1

ABB