• Кућа
  • Vesti
  • Segmentacija OT mreže korišćenjem ISA-99 zona i kanala: Praktični vodič za Schneider M580 i Bachmann M1

Segmentacija OT mreže korišćenjem ISA-99 zona i kanala: Praktični vodič za Schneider M580 i Bachmann M1

OT Network Segmentation Using ISA-99 Zones and Conduits: Schneider M580 and Bachmann M1 Practical Guide

Pravi problem sa ravnim OT mrežama

Većina industrijskih postrojenja izgrađenih pre 2015. godine koristi ravnu Ethernet mrežu gde Schneider Electric Modicon M580 PLC, Bachmann M1 kontroler za automatizaciju, SCADA istorijski server i korporativni ERP dele isti Layer 2 broadcast domen. Prvo, to znači da ransomware napad koji uđe preko korporativne mreže može doći do M580 CPU bez prolaska kroz bilo koju tačku kontrole pristupa. Drugo, nepravilno konfigurisana radna stanica koja emituje ARP oluje može zasićiti Ethernet port M580 BM•P 58•2020 CPU — Ethernet port M580 CPU obrađuje ARP na softverskom nivou sa plafonom od 500 paketa u sekundi. Treće, protokolski napadi usmereni na Modbus TCP port 502 ili EtherNet/IP port 44818 slobodno putuju kroz ravnu mrežu. Stoga, ISA-99 / IEC 62443 arhitektura zona i kanala nije opcija — to je jedini dokazan okvir koji dodaje zaštitu na nivou mreže bez ometanja strategije kontrole.

ISA-99 arhitektura zona i kanala: Definisanje strukture

ISA-99 (IEC 62443-3-3) deli industrijsku mrežu na nivoe bezbednosti (SL) i dodeljuje resurse zonama na osnovu posledica kompromitovanja. Prvo, definišite svoje zone pre nego što dirate bilo koju konfiguraciju switch-a. Drugo, identifikujte svaki uređaj u mreži postrojenja i dodelite ga jednoj od četiri zone:

  • Zona 1 — Bezbednost (SIL): Samo sigurnosni PLC-ovi. Za većinu postrojenja ovo uključuje ICS Triplex ili Triconex TMR sisteme. U ovu zonu ne ulazi saobraćaj opšte namene. Kanal do Zone 2 dozvoljava samo Modbus TCP u režimu samo za čitanje za potrebe SCADA prikaza.
  • Zona 2 — Kontrola (SL-2): Schneider M580 CPU, Bachmann M1 kontroleri, I/O mreže, upravljanje uređajima na terenu. EtherNet/IP i Modbus TCP saobraćaj ostaje unutar ove zone. Spoljni pristup je moguć samo preko IDMZ kanala.
  • Zona 3 — Nadzor (SL-1): SCADA serveri, DCS istorijski server, radne stanice operatera. Ova zona pristupa Zoni 2 preko definisanog kanala kroz stateful firewall — ne preko ravne veze.
  • Zona 4 — Preduzeće (SL-0): Korporativni ERP, Active Directory, email serveri. Nema direktnog pristupa Zoni 2 ili Zoni 1. Sav razmenjeni podatak ide isključivo preko IDMZ.

Štaviše, Industrijski DMZ (IDMZ) se nalazi između Zone 3 i Zone 4. IDMZ sadrži servere za replikaciju podataka — OSIsoft PI, Wonderware Historian ili OPC DA/UA gateway. Nijedan saobraćaj ne prolazi IDMZ od kraja do kraja — i Zona 3 i Zona 4 se povezuju na IDMZ servere, ali nikada direktno međusobno. Ovo je osnovni princip kontrole granice ISA-99.

Konfiguracija VLAN i firewall-a za Schneider M580 mreže

Schneider Modicon M580 koristi EtherNet/IP na Ethernet portu CPU backplane-a (BMEP58•020 serija) i poseban Ethernet port za I/O mrežu za Ethernet RIO drop-ove. Prvo, dodelite CPU port za upravljanje VLAN-u 20 (Kontrolna zona) na vašem upravljanom switch-u. Drugo, dodelite sve udaljene I/O (BMECRA31210 RIO drop-ove) VLAN-u 21 (I/O podzona). Treće, kreirajte ACL (lista kontrole pristupa) na switch-u da blokira sav saobraćaj između VLAN 21 i bilo koje zone iznad nivoa 2.

Na Cisco IE4000 ili Cisco IE3400 upravljanom switch-u, konfigurišite inter-VLAN rutiranje sa sledećim pravilima firewall-a:

  • Korak 1: Kreirajte VLAN 20 (Kontrola) i VLAN 21 (RIO). Dodelite M580 CPU port VLAN 20 u pristupnom režimu. Dodelite sve BMECRA31210 RIO drop portove VLAN 21 u pristupnom režimu.
  • Korak 2: Primijenite ACL na VLAN 20 SVI: dozvoli TCP bilo kome 192.168.20.0/24 eq 44818 (EtherNet/IP CIP). Dozvoli TCP bilo kome 192.168.20.0/24 eq 502 (Modbus TCP). Odbij ip bilo kome bilo gde sa logovanjem. Ovo dozvoljava samo potrebne protokole da dođu do M580.
  • Korak 3: Blokirajte sav spoljašnji pristup VLAN 21 na Layer 3 switch-u — odbij ip bilo kome 192.168.21.0/24. RIO saobraćaj nikada ne sme biti dostupan iz Zone 3 ili Zone 4.
  • Korak 4: Konfigurišite stateful firewall između Zone 2 i Zone 3 da dozvoli samo OPC UA port 4840 sa SCADA servera do Zone 3 OPC UA gateway-a. Blokirajte Modbus TCP port 502 između Zone 3 i Zone 2 — SCADA čita OPC UA gateway, ne direktno M580.
  • Korak 5: Omogućite sigurnost porta na svim M580 i BMECRA switch portovima — zaključajte na MAC adresu predajnika. Postavite režim kršenja sigurnosti porta na "restrict" (ne "shutdown") da generiše upozorenje bez isključivanja I/O mreže.

Međutim, M580 CPU Ethernet port ne podržava 802.1Q VLAN tagovanje nativno — radi samo kao VLAN pristupni port. Stoga, switch mora da obrađuje sve VLAN tagove. Ovo je uobičajeno ograničenje dizajna M580 mreže koje inženjeri često zanemaruju prilikom dizajniranja segmentacije.

Segmentacija Bachmann M1 kontrolera i OPC UA kontrola granice

Bachmann M1 kontroleri koriste sopstvenu MIO (Modular I/O) Ethernet mrežu na posebnom interfejsu odvojenom od programskog porta. Prvo, dodelite Bachmann M1 MIO mrežu VLAN-u 22 — odvojeno od Schneider M580 kontrolnog VLAN-a 20. Ovo sprečava međuprotocolne broadcast oluje. Drugo, Bachmann M1 nativno podržava OPC UA server funkcionalnost u svom SolutionCenter programskom okruženju. Konfigurišite OPC UA server da izlaže samo potrebne tagove Zoni 3 — ne izlažite ceo M1 prostor imena promenljivih.

U Bachmann SolutionCenter-u, podesite OPC UA sigurnosni režim na "SignAndEncrypt" i sigurnosnu politiku na "Basic256Sha256." Odbijte sve anonimne konekcije — zahtevajte autentifikaciju zasnovanu na sertifikatima. Ovo je u skladu sa IEC 62443-3-3 zahtevima za nivo bezbednosti 2 za Kontrolnu zonu. Štaviše, podesite adresni prostor M1 OPC UA servera da objavljuje samo tagove sa odobrene SCADA liste tagova — koristite Bachmann OPC UA NodeManager konfiguraciju za beleženje specifičnih čvorova promenljivih. Blokirajte sve ostale čvorove na nivou OPC UA servera, ne samo na firewall-u.

  • Korak 1: U Bachmann SolutionCenter-u, idite na konfiguraciju OPC UA servera u okviru modula "Communication".
  • Korak 2: Podesite sigurnosni režim na "SignAndEncrypt." Podesite sigurnosnu politiku na "Basic256Sha256." Onemogućite "None" i "Sign" politike.
  • Korak 3: Uvezite SCADA server sertifikat u Bachmann M1 skladište pouzdanih sertifikata. Samo SCADA klijenti sa sertifikatima se povezuju.
  • Korak 4: Omogućite firewall funkciju Bachmann M1 — dozvolite TCP 4840 (OPC UA) samo sa IP adrese SCADA servera 192.168.30.10. Blokirajte sve ostale dolazne konekcije na OPC UA portu.
  • Korak 5: Podesite timeout sesije na 30 sekundi. Svaka SCADA sesija neaktivna 30 sekundi automatski se zatvara — sprečava nakupljanje zastarelih sesija u M1 tabeli sesija.
  • Korak 6: Beležite sve OPC UA događaje konekcije u Bachmann M1 syslog — konfigurišite prosleđivanje syslog-a SIEM serveru u IDMZ za bezbednosni nadzor.

Dizajn IDMZ: Replikacija podataka bez direktnog prelaska zona

IDMZ sadrži tačno dve vrste servera: server za replikaciju istorijskih podataka i jump server za daljinski pristup. Prvo, OSIsoft PI Relay ili Honeywell Uniformance PHD radi u IDMZ. Istorijski server u Zoni 3 šalje podatke IDMZ relay-u koristeći TCP port 5450 (PI-to-PI interfejs). Korporativni istorijski server u Zoni 4 povlači podatke sa IDMZ relay-a koristeći isti port. Nijedan procesni podatak nikada ne putuje direktno između Zone 3 i Zone 4. Drugo, jump server za daljinski pristup u IDMZ omogućava RDP pristup za inženjere održavanja. Konfigurišite jump server da dozvoljava RDP konekcije samo sa odobrenog MFA zaštićenog VPN krajnjeg čvora — nikada ne dozvoljavajte direktan RDP iz Zone 4 u Zone 2 ili 1.

Dalje, primenite sledeća firewall pravila između Zone 4 i IDMZ: dozvolite TCP 5450 (PI) samo sa istorijskog servera Zone 4 do IDMZ relay-a. Odbijte sav ostali saobraćaj iz Zone 4 ka IDMZ. Između IDMZ i Zone 3: dozvolite TCP 5450 sa IDMZ relay-a do istorijskog servera Zone 3. Dozvolite RDP (TCP 3389) sa IDMZ jump servera samo do SCADA radnih stanica Zone 3 — sa MFA obaveznim na jump server gateway-u.

Zaključak i saveti za akciju

ISA-99 segmentacija zona i kanala za Schneider M580 i Bachmann M1 mreže je inženjerski zadatak, a ne IT bezbednosni projekat. Prvo, definišite svoje četiri zone i nacrtajte dijagram kanala pre nego što dirate bilo koji switch. Drugo, dodelite M580 CPU i M1 MIO mreže posebnim VLAN-ovima sa ACL-ovima koji blokiraju sve nepotrebne protokole. Treće, primenjujte OPC UA SignAndEncrypt na Bachmann M1 i koristite autentifikaciju zasnovanu na sertifikatima od prvog dana. Četvrto, izgradite IDMZ kao pravi relej podataka — bez direktnih puteva između Zone 3 i Zone 4. Peto, omogućite sigurnost porta na svim switch portovima kontrolnog VLAN-a da sprečite povezivanje neovlašćenih uređaja. Na kraju, testirajte segmentaciju pokušajem skeniranja portova sa radne stanice Zone 4 ka adresama Zone 2 — ako vidite bilo koji otvoreni port na M580 ili M1 iz Zone 4, vaša pravila kanala nisu potpuna. Popravite svaki otvoreni port pre nego što proglasite segmentaciju kompletnom.

Назад на блог
Покажи све
Блог постови
Покажи све
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Kontrola serije pomoću DCS sekvencijalnih funkcijskih dijagrama: Konfiguracija Emerson DeltaV SFC i sinhronizacioni interlok Woodward EasyGen 3200

Kontrola serijske obrade pomoću formalnih IEC 61131-3 struktura Sekvencijalnih funkcijskih dijagrama (SFC) u Emerson DeltaV sprečava zastoje stanja mašina i pojednostavljuje usklađenost sa ISA-88 revizijom. Ovaj vodič obuhvata principe dizajna DeltaV Phase Logic SFC, mapiranje Woodward EasyGen 3200 Modbus TCP registara za međusobnu sinhronizaciju generatora, dizajn Hold i Abort putanja, kao i dijagnostiku četiri najčešća obrasca grešaka u SFC serijskoj obradi.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Dizajn i puštanje u rad segmenta

Foundation Fieldbus H1 izvršava kontrolne funkcijske blokove unutar poljskih uređaja, održavajući kontrolu čak i kada komunikacija sa hostom zakaže — što je ključna prednost za SIL-2 i SIL-3 petlje. Ovaj vodič obuhvata proračun budžeta snage za FF H1, analizu pada napona, zaštitu od početnog udara struje sa mekim startom, petostepeni postupak puštanja u rad, raspoređivanje funkcijskih blokova i sistematsku dijagnostiku grešaka za kvarove segmenta, povremene prekide uređaja i greške u otpornosti završetka.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

Dijagnostika grešaka u PROFINET IO komunikaciji: ABB AC500 CM575-PNIO i Phoenix Contact AXL F DI16 terenska dijagnostika problema

Neuspešne PROFINET IO komunikacije između ABB AC500 CM575-PNIO i Phoenix Contact Axioline F distribuiranih I/O uređaja čest su uzrok neplaniranih zastoja. Ovaj vodič obuhvata provere kablova na fizičkom sloju, verifikaciju verzije GSDML fajla, rešavanje konflikata imena uređaja, podešavanje AR watchdog-a i šestostepeni postupak izolacije kvara koristeći mapiranje bitova DIAG_STATUS registra i alarme za dijagnostiku kanala.
Листа препоручених производа
Emerson KL3105X1-LS1 12P6551X032 Izolovana kartica za čarm
Emerson KL3105X1-LS1 12P6551X032 Izolovana kartica za čarm

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul sa suvim kontaktom CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul sa suvim kontaktom CHARM

Emerson
Emerson DeltaV KL3005X1-LS1 Izolovani digitalni ulazni modul šarma
Emerson DeltaV KL3005X1-LS1 Izolovani digitalni ulazni modul šarma

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal

Emerson
Emerson DeltaV I.S. CHARM terminal blok PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM terminal blok PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suvi kontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suvi kontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/otpornik ulazni CHARM modul
Emerson KL3031X1-BA1 RTD/otpornik ulazni CHARM modul

Emerson
GE Fanuc IC693UAA003 Serija 90 Mikro PLC modul
GE Fanuc IC693UAA003 Serija 90 Mikro PLC modul

GE
GE Fanuc RX3i IC694MDL730 modul izlaza sa pozitivnom logikom 12/24VDC
GE Fanuc RX3i IC694MDL730 modul izlaza sa pozitivnom logikom 12/24VDC

GE