• Ev
  • Haberler
  • IEC 62443 OT Yama Yönetimi Schneider Modicon M580 ve Phoenix Contact mGuard Güvenlik Duvarları için

IEC 62443 OT Yama Yönetimi Schneider Modicon M580 ve Phoenix Contact mGuard Güvenlik Duvarları için

IEC 62443 OT Patch Management for Schneider Modicon M580 and Phoenix Contact mGuard Firewalls

Schneider Modicon M580 PLC'ler ve Phoenix Contact FL mGuard RS4000 güvenlik duvarları için IEC 62443-2-3 uyumlu pratik bir yama yönetimi iş akışı — CVSS risk puanlaması, aşamalı test prosedürleri, geri alma protokolleri ve değişiklik kontrol dokümantasyonu dahil.

OT Yama Yönetiminin IT'den Farklı Olmasının Nedeni

Bir IT sunucusunu yamak dakikalar sürer. Bir proses tesisinde çalışan bir PLC'yi yamak üretim durmasına yol açabilir. IEC 62443-2-3 bu farkı doğrudan ele alır. Yama yönetimini tek seferlik bir olay değil, sürekli bir yaşam döngüsü süreci olarak tanımlar. Standart, varlık sahiplerinin herhangi bir yama uygulamadan önce riski değerlendirmesini gerektirir. CVSS v3.1 puanlaması önceliklendirme için nicel bir temel sağlar.

Schneider Modicon M580 donanım yazılımı güvenlik açıkları ICS-CERT ADVISORIES veritabanında düzenli aralıklarla görünür. 2024 yılında, üç uyarı 3.30 altı M580 donanım yazılımı sürümlerini etkiledi. En kritik olanı CVSS 9.8 puanına ulaştı. Phoenix Contact FL mGuard RS4000 aynı dönemde iki uyarı aldı. Her iki sistem de proses tesislerinde EtherNet/IP Seviye 2 ağlarında yer alır. Birini yamak, tüm I/O ağına EtherNet/IP CIP bağlantısını etkiler. Bu nedenle, yapılandırılmış bir prosedür kontrolsüz riski önler.

Yama Risk Değerlendirmesi ve CVSS Puanlaması

Herhangi bir yama işleminden önce, uyarıyı dört kriterle değerlendirin: CVSS temel puanı, saldırı vektörü, sömürülebilirlik ve kullanılabilirlik etkisi. 7.0 üzeri puan 30 gün içinde işlem gerektirir. 9.0 üzeri puan 72 saat içinde acil yama gerektirir.

M580 uyarıları için Schneider Electric PSIRT servisini kullanın. mGuard uyarıları için Phoenix Contact Güvenlik Portalını kullanın. Her ikisi de satıcı onaylı CVSS puanları ve düzeltme adımlarını yayınlar.

Ayrıca mevcut telafi edici kontrolleri değerlendirin. Eğer mGuard zaten dışarıdan UDP port 502'yi engelliyorsa, M580'deki bir Modbus açığı ağdaki sömürülebilirliği azaltır. Etkin risk puanını ayarlayın ve telafi edici kontrolleri IEC 62443-2-1 risk kayıt defterine belgeleyin.

Aşamalı Yama Test Prosedürü

Üretimdeki bir M580 veya mGuard'a doğrudan donanım yazılımı güncellemesi asla uygulamayın. Aşamalı bir yaklaşım kullanın: laboratuvar doğrulaması, hazırlık ortamı, ardından üretim. Şu adımları izleyin:

  • Adım 1: M580 donanım yazılımı paketini Schneider Electric Exchange portalından indirin. Yayınlanan SHA-256 karmasını doğrulayın. Karmayı değişiklik kontrol bileti içinde kaydedin. FL mGuard donanım yazılımı için Phoenix Contact Yazılım Merkezi'nden indirin ve MD5 kontrol toplamını doğrulayın.
  • Adım 2: Donanım yazılımını test laboratuvarında aynı M580 birimine uygulayın. Unity Pro XL veya EcoStruxure Control Expert kullanarak USB servis portu üzerinden 115.200 baud hızında donanım yazılımı aktarımını gerçekleştirin. Aktarım ilerleme çubuğunu izleyin. Tam M580 BME P58 1020 donanım yazılımı imajı için toplam aktarım süresi yaklaşık 8 dakikadır.
  • Adım 3: Aktarımdan sonra, EcoStruxure Control Expert'te PLC — Özellikler — İşlemci Sürümü altında donanım yazılımı sürümünü doğrulayın. Uyarı düzeltme tablosundaki hedef sürümle eşleştiğinden emin olun.
  • Adım 4: Fonksiyonel test protokolünü uygulayın. 4 saatlik otomatik I/O döngü testi yapın. Tüm uzak I/O adaptörlerine EtherNet/IP CIP örtük mesajlaşmayı doğrulayın. RPI (İstenen Paket Aralığı) değerinin 10 ms olduğunu ve bağlantı zaman aşımı alarmı olmadığını onaylayın.
  • Adım 5: mGuard için, yamadan önce mevcut güvenlik duvarı kural setini yedekleyin. mGuard web arayüzünde Yönetim — Konfigürasyon Profilleri — Dışa Aktar yolunu izleyin. .tar.gz yedek dosyasını değişiklik yönetim sunucusuna kaydedin. Donanım yazılımı güncellemesini HTTPS (port 443) üzerinden uygulayın. Yeniden başlatmadan sonra tüm VLAN yönlendirme kuralları ve IPsec tünel yapılandırmalarının sağlam kaldığını doğrulayın.
  • Adım 6: Test sonuçlarını değişiklik kontrol kaydına belgeleyin. Donanım yazılımı sürümü ve güvenlik duvarı kural sayılarının öncesi ve sonrası ekran görüntülerini ekleyin. Üretim yamalama planlamasından önce proses sahibi ve OT güvenlik görevlisinden onay alın.

VLAN Segmentasyonu ve mGuard Güvenlik Duvarı Politikası İncelemesi

Phoenix Contact FL mGuard RS4000 durum bilgili paket denetimi ve 802.1Q VLAN etiketlemeyi destekler. Tipik bir tesis mimarisinde, M580 VLAN 10'da (Seviye 2) yer alır. Historian ve iş istasyonları VLAN 20'de (Seviye 3) bulunur. mGuard VLAN 10/20 sınırını uygular.

Yamadan önce, gereksiz açık portlar için güvenlik duvarı kural setini gözden geçirin. Yaygın yanlış yapılandırmalar şunlardır:

  • VLAN 20'den VLAN 10'a TCP 102 (S7) sınırsız erişim — Siemens PG/PC erişimi gerekmedikçe engelleyin
  • UDP 44818 (EtherNet/IP I/O) çift yönlü açık — belirli M580 ve adaptör IP çiftleriyle sınırlandırın
  • VLAN 20'den mGuard arayüzüne TCP 80 (HTTP) — sadece TCP 443 HTTPS ile değiştirin
  • ICMP sınırsız — sadece OT historian IP'sinden echo-request ile sınırlandırın

mGuard Bağlantı Günlüğü'nü SIEM syslog için UDP 514 üzerinden VLAN 30'a etkinleştirin. Yama sonrası doğrulamanın bir parçası olarak syslog sürekliliğini onaylayın. BMENOC0311 Modicon M580 Ağ Modülü, herhangi bir güvenlik duvarı politikası değişikliğinden sonra doğrulanması gereken EtherNet/IP bağlantısını destekler.

Üretim Yama Uygulaması ve Geri Alma Protokolü

Üretim yamalarını planlı bakım penceresinde zamanlayın. M580'i manuel moda alın. Tüm PID döngülerinin stabil olduğunu doğrulayın. 15 dakikalık yama süresi için özel bir operatör atayın.

Donanım yazılımını EcoStruxure Control Expert ile Ethernet yönetim portu üzerinden aktarın. Donanım yazılımı aktarımı için Modbus TCP port 502'yi kullanmayın. M580 otomatik olarak yeniden başlatılır. Yeniden başlatma 45–60 saniye sürer. RUN LED'inin sabit yeşil olduğunu doğrulamadan manuel kontrolü bırakmayın.

Geri alma için Control Expert Menü — PLC — Önceki Sürümü Geri Yükle seçeneğini kullanın. Bu işlem 6 dakika sürer. Değişiklik kontrol onayında tesis operasyonlarının toplam 10 dakikalık kesinti süresini kabul ettiğini doğrulayın. mGuard geri alımı için, kaydedilen .tar.gz profilini Yönetim — Konfigürasyon Profilleri — İçe Aktar yoluyla yükleyin. Tüm güvenlik duvarı kuralları 90 saniye içinde geri yüklenir. Geri yüklemeden hemen sonra Modicon X80 EIO Drop Adaptör ile EtherNet/IP bağlantısını doğrulayın.

Sonuç ve Eylem Tavsiyesi

IEC 62443-2-3 OT sistemleri için yama yönetimi hız değil disiplin gerektirir. Telafi edici kontrollerle ayarlanmış CVSS v3.1 kullanarak yamaları önceliklendirin. Her donanım yazılımı güncellemesini üretim öncesi test laboratuvarında doğrulayın. Her güncellemeden önce mGuard güvenlik duvarı kurallarını yedekleyin. Donanım yazılımını önceden hazırlayarak ve geri alma prosedürlerini hazırlayarak üretim kesintisini en aza indirin. Her yama döngüsünde gereksiz portları kapatmak için güvenlik duvarı kurallarını gözden geçirin. Tüm işlemleri OT güvenlik görevlisi tarafından imzalanan başlangıç ve bitiş kayıtlarıyla belgeleyin. Bu iş akışı Schneider Modicon M580 ve Phoenix Contact mGuard kurulumlarını üretim kullanılabilirliğinden ödün vermeden güvenli tutar.

Yazar: Zhang Hua, PLC, DCS ve kontrol sistemlerinde 10 yılı aşkın deneyime sahip endüstriyel otomasyon mühendisi.

Bloga geri dön
Hepsini Göster ↓
Blog gönderileri
Hepsini Göster ↓
Hydraulic System Pressure Instability: Root Causes and Field Troubleshooting Guide
Liang Haocheng

Hidrolik Sistem Basıncı Dengesizliği: Temel Nedenler ve Saha Arıza Giderme Rehberi

Hidrolik sistem basıncı kararsızlığı, proses tesislerinde en rahatsız edici arıza türlerinden biridir. Bu rehber, basınç düşüşleri, ani artışlar ve kavitasyon olaylarının temel nedenlerini, her arıza modu için yapılandırılmış teşhis adımlarını, Yokogawa EJA transmitter izlemeyi, Emerson Fisher oransal vana histerezis testini ve 5 adımlı önleyici bakım programını kapsamaktadır.
Dragon Boat Festival: China's Ancient Festival of Loyalty, Tradition and Summer Rituals
PLC DCS Pro

Ejderha Teknesi Festivali: Çin'in Sadakat, Gelenek ve Yaz Ritüelleriyle Dolu Kadim Festivali

Her yıl beşinci ayın beşinci gününde, Çin genelindeki nehirlerde davulların ritmik sesi yankılanır. Çin'in en eski ve en çok kutlanan kültürel bayramlarından biri olan Ejderha Teknesi Festivali'nin tarihini, efsanelerini ve geleneklerini keşfedin.
Machinery Protection: Vibration Probe Installation and Loop Setup
Weijie Chen

Makine Koruması: Titreşim Probunun Kurulumu ve Döngü Ayarı

Makine koruma sistemleri, mekanik arızaya 50 milisaniye içinde tepki vermelidir — bu, herhangi bir DCS veya PLC platformundan çok daha hızlıdır. Bu rehber, Bently Nevada 3300 yakınlık probu montajını, -12 V DC orta noktasında boşluk voltajı ayarını, API 670'e göre 4–20 mA döngü konfigürasyonunu, uzatma kablosu korumasını ve prob teması, prob kaybı, güç frekansı paraziti ile VFD elektromanyetik gürültüsü için sistematik arıza teşhisini kapsamaktadır.
Önerilen Ürünler Listesi
Emerson KL3105X1-LS1 12P6551X032 İzoleli Charm Kartı
Emerson KL3105X1-LS1 12P6551X032 İzoleli Charm Kartı

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog Giriş CHARM Modülü, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog Giriş CHARM Modülü, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Kuru Kontak CHARM Modülü
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Kuru Kontak CHARM Modülü

Emerson
Emerson DeltaV KL3005X1-LS1 İzole Dijital Giriş Charm Modülü
Emerson DeltaV KL3005X1-LS1 İzole Dijital Giriş Charm Modülü

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adres Terminali
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adres Terminali

Emerson
Emerson DeltaV I.S. CHARM Terminal Bloğu PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Terminal Bloğu PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Güç Modülü
Emerson DeltaV KL1501X1-BA1 CSLS Güç Modülü

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Kuru Kontak CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Kuru Kontak CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Direnç Girişli CHARM Modülü
Emerson KL3031X1-BA1 RTD/Direnç Girişli CHARM Modülü

Emerson
GE Fanuc IC693UAA003 Seri 90 Mikro PLC Modülü
GE Fanuc IC693UAA003 Seri 90 Mikro PLC Modülü

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Pozitif Mantık Çıkış Modülü
GE Fanuc RX3i IC694MDL730 12/24VDC Pozitif Mantık Çıkış Modülü

GE