Wpisz czego szukasz
i kliknij enter

Jak zabezpieczyć komunikację do sterowników PLC w płaskiej sieci OT?

cybersecurity laptop

Gdy organizacja podejmie decyzję o wprowadzeniu u siebie programu cyberbezpieczeństwa to w jakimś momencie, zwykle po wykonanej ocenie ryzyka, rozpoczyna wprowadzanie zabezpieczeń mającymi chronić system przemysłowy przed cyberzagrożeniami.

Jednym z takich podstawowych środków zaradczych jest segmentacja sieci polegająca na zdefiniowaniu stref i kanałów, najlepiej zgodnie z rekomendacjami zapisanymi w standardzie IEC 62443.  

Czym jest strefa?

Strefa (zone) to kombinacja zasobów logicznych bądź fizycznych spełniających wspólne wymagania w zakresie bezpieczeństwa. Posiada ona jasno określoną granicę (także logiczną bądź fizyczną), która rozgranicza elementy znajdujące się wewnątrz i na zewnątrz. 

Przykładowo możemy mieć strefę lokalnego nadzoru (poziom 2 modelu Purdue) z urządzeniami HMI oraz stacjami inżynierskimi, która komunikuje się ze strefą sterowania (poziom 1 modelu Purdue) z licznymi sterownikami PLC. 

Pomiędzy strefami należy zdefiniować kanał (conduit) określający wszystkie ścieżki komunikacyjne wraz z regułami regulującymi ruch sieciowy. Dobrą praktyką jest gdy filtrowanie ruchu sieciowego pomiędzy strefami odbywa się z wykorzystaniem tzw. białych list reguł, które precyzyjnie definiują ruch dopuszczony i blokują pozostały. 

Segmentacja sieci

Typowym podejściem przy segmentacji sieci jest podział na mniejsze sieci, w których występują różne adresacje IP. Pomiędzy różnymi podsieciami IP w celu zapewnienia dokładnie zdefiniowanej komunikacji potrzebne jest urządzenie łączące funkcje routera i firewall-a.  Nierzadkim przypadkiem jest sytuacja, w której, owszem, pogrupowaliśmy urządzenia w strefy, ale sieć jest płaska i z różnych powodów musi taka pozostać, a musimy wdrożyć zabezpieczenie kanału komunikacyjnego pomiędzy urządzeniami we właśnie zdefiniowanych grupach. 

Z pomocą przychodzą tu firewalle przemysłowe z tzw. funkcją filtrowania transparentnego. Urządzenia te pozwalają, że wybrane porty Ethernet (minimum dwa) są zgrupowane i przypisane do mostka sieciowego (bridge). Urządzenia końcowe (np. HMI, PLC, PC,..) podłączone do tych portów komunikują się ze sobą jakby były podłączone do przełącznika LAN (urządzenie działające w warstwie drugiej modelu ISO/OSI). Jednakże dla komunikacji pomiędzy portami można założyć reguły filtrujące dodatkowo w warstwach wyższych czyli w IP, transportowej i aplikacyjnej. 

Przykładem takich rozwiązań są urządzenia StormShield SNi20 i SNi40. Na rysunku pokazano ideę wprowadzenia filtrowania komunikacji za pomocą firewalla SNi40 pomiędzy strefę zaufaną i niezaufaną, w których urządzenia sieciowe zaadresowane są z wykorzystaniem adresów IP należących do tej samej podsieci.

Stormshield

Filtrowanie ruchu

Urządzenie może filtrować ruch sieciowy w oparciu o reguły tradycyjnego firewalla (SPI) jak i w oparciu o głęboką analizę pakietów (DPI). 

W pierwszym przypadku reguły są oparte o adresy IP oraz porty, w drugim dokonywana jest analiza w warstwie aplikacyjnej dla protokołów przemysłowych takich jak: BACnet/IP, CIP, EtherNet/IP, IEC 60870-5-104, Modbus TCP, UMAS, Siemens s7, Profinet IO, Profinet RT, OPC AE, OPC DA, OPC HDA, OPC UA. Można precyzyjnie określić jakie komendy mogą być przekazywane, a które będą blokowane. 

Dodatkowymi parametrami są oprócz adresów IP identyfikatory urządzeń UID oraz konkretne adresy rejestrów. Bardzo istotnym czynnikiem mającym wpływ na powodzenie implementacji firewalli w sieci OT jest zapewnienie ciągłości procesu. Tu nie ma możliwości na błędy i przypadkowe zablokowanie potrzebnej komunikacji. Dlatego wszystkie reguły jakie chcemy wprowadzić mogą zostać dokładnie zweryfikowane dzięki zastosowaniu trybu monitorowania (IDS) zanim zastosujemy tryb filtrowania (IPS). 

W trybie monitorowania w logach zobaczymy pełną informację o tym, jaki ruch zostanie przepuszczony, a jaki zostałby zablokowany. Dopiero po zweryfikowaniu i ewentualnym dostrojeniu reguł można bezpiecznie dla procesu uruchomić filtrowanie. 

Chciałbyś dowiedzieć się więcej? Sprawdź inne nasze artykuły dotyczące cyberbezpieczeństwa.

Zobacz inne wpisy

Cyberbezpieczeństwo
Dekalog Bezpiecznika. Poznaj 10 przykazań badania bezpieczeństwa sieci OT

Czym dokładnie jest badanie bezpieczeństwa sieci? Co je odróżnia od audytu, testu podatności i testu penetracyjnego? Jakie korzyści przynosi? Jak wybrać rzetelnego dostawcę? Pytań jest sporo – na te i wiele innych odpowiadają inżynierowie Tekniski.

Sieci przemysłowe
Jak wdrożyć MPLS-TP w energetyce? Case study

Jak wygląda od strony praktycznej wdrożenie MPLS-TP w sektorze energetycznym? Zobacz, jak poradził sobie z tym klient, który szukał łatwego we wdrożeniu i obsłudze oraz intuicyjnego rozwiązania.

Ta strona używa plików Cookie. Korzystając ze strony wyrażasz zgodę na używanie Cookie, zgodnie z aktualnymi ustawieniami używanej przeglądarki. Szczegóły znajdziesz w Polityce prywatności.