• Ev
  • Haberler
  • ISA-99 Bölgeleri ve Kanal Kullanarak OT Ağ Segmentasyonu: Schneider M580 ve Bachmann M1 Pratik Rehberi

ISA-99 Bölgeleri ve Kanal Kullanarak OT Ağ Segmentasyonu: Schneider M580 ve Bachmann M1 Pratik Rehberi

OT Network Segmentation Using ISA-99 Zones and Conduits: Schneider M580 and Bachmann M1 Practical Guide

Düz OT Ağlarının Gerçek Sorunu

2015 öncesi inşa edilen çoğu endüstriyel tesis, Schneider Electric Modicon M580 PLC, Bachmann M1 otomasyon kontrolörü, SCADA tarihçisi ve kurumsal ERP'nin aynı Katman 2 yayın alanını paylaştığı düz bir Ethernet ağı kullanır. Öncelikle, bu durum kurumsal ağ üzerinden giren bir fidye yazılımı saldırısının herhangi bir erişim kontrol noktasından geçmeden M580 CPU’ya ulaşması anlamına gelir. İkinci olarak, yanlış yapılandırılmış bir iş istasyonunun ARP fırtınaları yayması, M580 BM•P 58•2020 CPU Ethernet portunu doyurabilir — M580 CPU Ethernet portu ARP işlemlerini yazılım seviyesinde saniyede 500 paket sınırıyla gerçekleştirir. Üçüncü olarak, Modbus TCP 502 portu veya EtherNet/IP 44818 portunu hedef alan protokol açıkları düz ağda serbestçe hareket eder. Bu nedenle, ISA-99 / IEC 62443 bölge ve kanal mimarisi isteğe bağlı değil — kontrol stratejisini bozmadan ağ seviyesinde koruma sağlayan tek kanıtlanmış çerçevedir.

ISA-99 Bölge ve Kanal Mimarisi: Yapının Tanımlanması

ISA-99 (IEC 62443-3-3), endüstriyel ağı Güvenlik Seviyelerine (SL) ayırır ve varlıkları ihlal sonucuna göre bölgelere atar. Öncelikle, herhangi bir anahtar yapılandırmasına dokunmadan önce bölgelerinizi tanımlayın. İkinci olarak, tesisteki her cihazı belirleyin ve dört bölgeden birine atayın:

  • Bölge 1 — Güvenlik (SIL): Sadece güvenlik PLC’leri. Çoğu tesis için bu ICS Triplex veya Triconex TMR sistemlerini içerir. Bu bölgeye genel amaçlı trafik girmez. Bölge 2’ye olan kanal sadece SCADA görüntüleme amaçlı salt okunur Modbus TCP’ye izin verir.
  • Bölge 2 — Kontrol (SL-2): Schneider M580 CPU’ları, Bachmann M1 kontrolörleri, I/O ağları, saha cihaz yönetimi. EtherNet/IP ve Modbus TCP trafiği bu bölge içinde kalır. Dış erişim sadece IDMZ kanalı üzerinden olur.
  • Bölge 3 — Denetim (SL-1): SCADA sunucuları, DCS tarihçisi, operatör iş istasyonları. Bu bölge, Bölge 2’ye durum bilgisi olan bir güvenlik duvarı üzerinden tanımlı bir kanal aracılığıyla erişir — düz bağlantı değil.
  • Bölge 4 — Kurumsal (SL-0): Kurumsal ERP, Active Directory, e-posta sunucuları. Bölge 2 veya Bölge 1’e doğrudan erişim yoktur. Tüm veri alışverişi sadece IDMZ üzerinden gerçekleşir.

Ayrıca, Endüstriyel DMZ (IDMZ) Bölge 3 ile Bölge 4 arasında yer alır. IDMZ, veri çoğaltma sunucularını — OSIsoft PI, Wonderware Historian veya OPC DA/UA geçidini içerir. IDMZ üzerinden uçtan uca trafik geçmez — hem Bölge 3 hem Bölge 4 IDMZ sunucularına bağlanır ancak birbirlerine doğrudan bağlanmazlar. Bu, ISA-99’un temel sınır kontrol prensibidir.

Schneider M580 Ağları için VLAN ve Güvenlik Duvarı Yapılandırması

Schneider Modicon M580, CPU arka plan Ethernet portunda (BMEP58•020 serisi) EtherNet/IP ve Ethernet RIO bağlantıları için ayrılmış bir I/O ağ Ethernet portu kullanır. Öncelikle, CPU yönetim portunu yönetilen anahtarınızda VLAN 20’ye (Kontrol Bölgesi) atayın. İkinci olarak, tüm uzak I/O’ları (BMECRA31210 RIO bağlantıları) VLAN 21’e (I/O alt bölgesi) atayın. Üçüncü olarak, anahtarda VLAN 21 ile Seviye 2 üzerindeki herhangi bir bölge arasındaki tüm trafiği engelleyen bir Erişim Kontrol Listesi (ACL) oluşturun.

Cisco IE4000 veya Cisco IE3400 yönetilen anahtarda, bu güvenlik duvarı kurallarıyla VLAN’lar arası yönlendirmeyi yapılandırın:

  • Adım 1: VLAN 20 (Kontrol) ve VLAN 21 (RIO) oluşturun. M580 CPU portunu VLAN 20 erişim moduna atayın. Tüm BMECRA31210 RIO bağlantı portlarını VLAN 21 erişim moduna atayın.
  • Adım 2: VLAN 20 SVI üzerinde ACL uygulayın: TCP herhangi 192.168.20.0/24 eq 44818 (EtherNet/IP CIP) izin verin. TCP herhangi 192.168.20.0/24 eq 502 (Modbus TCP) izin verin. ip herhangi herhangi log engelle. Bu, sadece gerekli protokollerin M580’e ulaşmasına izin verir.
  • Adım 3: Katman 3 anahtarında VLAN 21’e tüm dış erişimi engelleyin — ip herhangi 192.168.21.0/24 engelle. RIO trafiği Bölge 3 veya Bölge 4’ten asla erişilebilir olmamalıdır.
  • Adım 4: Bölge 2 ile Bölge 3 arasındaki durum bilgisi olan güvenlik duvarını, SCADA sunucusundan Bölge 3 OPC UA geçidine sadece OPC UA 4840 portunu izin verecek şekilde yapılandırın. Bölge 3 ile Bölge 2 arasında Modbus TCP 502 portunu engelleyin — SCADA, OPC UA geçidini okur, M580’i doğrudan değil.
  • Adım 5: Tüm M580 ve BMECRA anahtar portlarında port güvenliğini etkinleştirin — verici MAC adresine kilitleyin. Port güvenliği ihlal modunu "restrict" (kapatma değil) olarak ayarlayın; bu, I/O ağı düşürmeden uyarı oluşturur.

Ancak, M580 CPU Ethernet portu 802.1Q VLAN etiketlemeyi yerel olarak desteklemez — sadece VLAN erişim portu olarak çalışır. Bu nedenle, tüm VLAN etiketlemesi anahtar tarafından yapılmalıdır. Bu, M580 ağ tasarımında mühendislerin segmentasyon tasarlarken gözden kaçırdığı yaygın bir kısıtlamadır.

Bachmann M1 Kontrolör Segmentasyonu ve OPC UA Sınır Kontrolü

Bachmann M1 kontrolörleri, programlama portundan ayrı özel bir arayüzde kendi MIO (Modüler I/O) Ethernet ağını kullanır. Öncelikle, Bachmann M1 MIO ağını Schneider M580 kontrol VLAN 20’den ayrı VLAN 22’ye atayın. Bu, protokoller arası yayın fırtınalarını önler. İkinci olarak, Bachmann M1, SolutionCenter programlama ortamında yerel olarak OPC UA sunucu işlevselliğini destekler. OPC UA sunucusunu sadece Bölge 3’e gerekli etiketleri açacak şekilde yapılandırın — tam M1 değişken ad alanını açmayın.

Bachmann SolutionCenter’da OPC UA Güvenlik Modunu "SignAndEncrypt" ve Güvenlik Politikasını "Basic256Sha256" olarak ayarlayın. Tüm anonim bağlantıları reddedin — sertifika tabanlı kimlik doğrulama zorunlu olsun. Bu, Kontrol Bölgesi için IEC 62443-3-3 Güvenlik Seviyesi 2 gereksinimleriyle uyumludur. Ayrıca, M1 OPC UA sunucu adres alanını sadece onaylı SCADA etiket listesinde yer alan etiketleri yayınlayacak şekilde ayarlayın — belirli değişken düğümlerini beyaz listeye almak için Bachmann OPC UA NodeManager yapılandırmasını kullanın. Diğer tüm düğümleri sadece güvenlik duvarında değil, OPC UA sunucu seviyesinde engelleyin.

  • Adım 1: Bachmann SolutionCenter’da "İletişim" modülü altında OPC UA Sunucu yapılandırmasına gidin.
  • Adım 2: Güvenlik Modunu "SignAndEncrypt" olarak ayarlayın. Güvenlik Politikasını "Basic256Sha256" olarak ayarlayın. "None" ve "Sign" politikalarını devre dışı bırakın.
  • Adım 3: SCADA sunucu sertifikasını Bachmann M1 güvenilir sertifika deposuna içe aktarın. Sadece sertifikalı SCADA istemcileri bağlanabilir.
  • Adım 4: Bachmann M1 güvenlik duvarı işlevini etkinleştirin — sadece SCADA sunucu IP adresi 192.168.30.10’dan TCP 4840 (OPC UA) izin verin. OPC UA portunda diğer tüm gelen bağlantıları engelleyin.
  • Adım 5: Oturum zaman aşımını 30 saniye olarak ayarlayın. 30 saniye hareketsiz kalan herhangi bir SCADA oturumu otomatik kapanır — M1 oturum tablosunda eski oturumların birikmesini önler.
  • Adım 6: Tüm OPC UA bağlantı olaylarını Bachmann M1 syslog’una kaydedin — güvenlik izleme için syslog iletimini IDMZ’deki SIEM sunucusuna yapılandırın.

IDMZ Tasarımı: Doğrudan Bölge Geçişi Olmadan Veri Çoğaltma

IDMZ tam olarak iki tür sunucu içerir: veri tarihçisi çoğaltma sunucusu ve uzak erişim atlama sunucusu. Öncelikle, OSIsoft PI Relay veya Honeywell Uniformance PHD IDMZ’de çalışır. Bölge 3 tarihçisi verileri TCP port 5450 (PI-to-PI arayüzü) kullanarak IDMZ rölesine gönderir. Bölge 4 kurumsal tarihçisi aynı portu kullanarak IDMZ rölesinden veri çeker. Bölge 3 ile Bölge 4 arasında süreç verisi asla doğrudan seyahat etmez. İkinci olarak, IDMZ’deki uzak erişim atlama sunucusu bakım mühendisleri için RDP erişimi sağlar. Atlama sunucusunu sadece onaylı MFA korumalı VPN uç noktasından RDP bağlantılarına izin verecek şekilde yapılandırın — Bölge 4’ten Bölge 2 veya Bölge 1’e doğrudan RDP asla izin verilmez.

Ayrıca, Bölge 4 ile IDMZ arasında şu güvenlik duvarı kurallarını uygulayın: Bölge 4 tarihçisinden IDMZ rölesine sadece TCP 5450 (PI) izin verin. Bölge 4’ten IDMZ’ye diğer tüm trafiği engelleyin. IDMZ ile Bölge 3 arasında: IDMZ rölesinden Bölge 3 tarihçisine TCP 5450 izin verin. IDMZ atlama sunucusundan Bölge 3 SCADA iş istasyonlarına sadece MFA zorunlu RDP (TCP 3389) izin verin.

Sonuç ve Eylem Tavsiyesi

Schneider M580 ve Bachmann M1 ağları için ISA-99 bölge ve kanal segmentasyonu bir mühendislik görevidir, bir BT güvenlik projesi değil. Öncelikle, dört bölgenizi tanımlayın ve herhangi bir anahtara dokunmadan önce kanal diyagramını çizin. İkinci olarak, M580 CPU ve M1 MIO ağlarını, tüm gereksiz protokolleri engelleyen ACL’lerle özel VLAN’lara atayın. Üçüncü olarak, Bachmann M1’de OPC UA SignAndEncrypt’i zorunlu kılın ve baştan itibaren sertifika tabanlı kimlik doğrulamayı kullanın. Dördüncü olarak, IDMZ’yi gerçek bir veri rölesi olarak kurun — Bölge 3’ten Bölge 4’e doğrudan yol yok. Beşinci olarak, tüm kontrol VLAN anahtar portlarında port güvenliğini etkinleştirerek kötü amaçlı cihaz bağlantılarını önleyin. Son olarak, Bölge 4 iş istasyonundan Bölge 2 adreslerine port taraması yaparak segmentasyonunuzu test edin — Bölge 4’ten M580 veya M1 üzerinde açık port görüyorsanız, kanal kurallarınız eksiktir. Segmentasyonu tamamlamadan önce her açık portu düzeltin.

Bloga geri dön
Hepsini Göster ↓
Blog gönderileri
Hepsini Göster ↓
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

RTD Sensörlerinin Orifis Plakalarının Aşağısına Neden Kurulması Gerekiyor

Bir orifis plakası öncesine bir RTD yerleştirmek, termokuyu girdap salınımı nedeniyle diferansiyel basınç ölçümlerini bozabilir. Bu makale, von Kármán girdap sokağı fiziğini, ISO 5167 ve ASME MFC-3M standartlarına göre orifis plakasının aşağı akışa yerleştirilme gereksinimlerini, 5D minimum mesafe kuralını, termoku yuva uyumlu uyan frekansını ve orifis plaka ile RTD birleşik montajları için 7 adımlı kurulum prosedürünü açıklar.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Vorteks Debimetre: Çalışma Prensipleri, Seçim Kriterleri ve Saha Devreye Alma

Bir girdap akış ölçer, von Karman girdap kopma prensibiyle çalışır ve hareketli parça olmadan buhar, gaz ve düşük viskoziteli sıvı hizmetlerinde mükemmel uzun vadeli doğruluk sağlar. Bu rehber, Strouhal sayısı fiziği, Reynolds sayısı kısıtlamaları, ölçer boyutlandırması, ABB VortexMaster FSV430 için düz boru gereksinimleri ve Woodward türbin regülatörü entegrasyonu için saha devreye alma adımlarını kapsar.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Termokupl Kablosu, Standartlar ve Sorun Giderme: Pratik Bir Saha Rehberi

Doğru termokupl ölçümü, doğru tip seçimi, uyumlu uzatma kablosu ve güvenilir soğuk bağlantı kompanzasyonu gerektirir. Bu rehber, IEC 60584 tip kodları ve uygulama aralıkları, uzatma kablosu ve kompanzasyon kablosu seçimi, Phoenix Contact WTOP CJC terminal blokları, Yokogawa YTA110 CJC yapılandırması ve açık devre, kısa devre ve kalibrasyon sapması için sistematik arıza teşhisini kapsar.
Önerilen Ürünler Listesi
Emerson KL3105X1-LS1 12P6551X032 İzoleli Charm Kartı
Emerson KL3105X1-LS1 12P6551X032 İzoleli Charm Kartı

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog Giriş CHARM Modülü, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog Giriş CHARM Modülü, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Kuru Kontak CHARM Modülü
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Kuru Kontak CHARM Modülü

Emerson
Emerson DeltaV KL3005X1-LS1 İzole Dijital Giriş Charm Modülü
Emerson DeltaV KL3005X1-LS1 İzole Dijital Giriş Charm Modülü

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adres Terminali
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adres Terminali

Emerson
Emerson DeltaV I.S. CHARM Terminal Bloğu PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Terminal Bloğu PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Güç Modülü
Emerson DeltaV KL1501X1-BA1 CSLS Güç Modülü

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Kuru Kontak CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Kuru Kontak CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Direnç Girişli CHARM Modülü
Emerson KL3031X1-BA1 RTD/Direnç Girişli CHARM Modülü

Emerson
GE Fanuc IC693UAA003 Seri 90 Mikro PLC Modülü
GE Fanuc IC693UAA003 Seri 90 Mikro PLC Modülü

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Pozitif Mantık Çıkış Modülü
GE Fanuc RX3i IC694MDL730 12/24VDC Pozitif Mantık Çıkış Modülü

GE