راهنمای جامع فایروال‌های صنعتی و تقسیم‌بندی شبکه OT

فایروال‌های صنعتی نقش حیاتی در امنیت سایبری OT ایفا می‌کنند و از شبکه‌های PLC، DCS و SCADA از طریق بخش‌بندی، کنترل ورود/خروج و ادغام IDS/IPS مطابق با اصول IEC 62443 محافظت می‌کنند.

برای بسیاری از مهندسان اتوماسیون و کنترل کارخانه، عبور از دنیای پیچیده شبکه‌های صنعتی و امنیت سایبری می‌تواند چالشی دشوار باشد. در حالی که بخش‌های سنتی فناوری اطلاعات تحت چارچوب‌های مشخصی که برای داده‌های اداری تجاری طراحی شده‌اند فعالیت می‌کنند، محیط فناوری عملیاتی (OT) نیازمند رویکردی کاملاً متفاوت است. در محیط کارخانه، یک مشکل ساده شبکه فقط به معنای از دست رفتن یک ایمیل نیست؛ بلکه می‌تواند منجر به توقف فاجعه‌بار تولید، آسیب به تجهیزات یا خطرات جدی ایمنی شود.

برای ایجاد عملیات امن و قابل اعتماد، سیستم‌های کنترل باید از معماری‌های شبکه مسطح و بدون بخش‌بندی فاصله بگیرند. تأسیسات صنعتی مدرن به شدت به فایروال‌های صنعتی متکی هستند تا کنترل‌های مرزی سختگیرانه را اعمال کنند، واحدهای پردازش قدیمی را محافظت کنند و در خطوط تولید حیاتی، دسترسی بالا را حفظ نمایند.

نقش بنیادی فایروال‌ها در اتوماسیون صنعتی

در اصل، فایروال صنعتی یک دارایی سخت‌افزاری یا نرم‌افزاری تخصصی است که برای نظارت، فیلتر و کنترل ترافیک شبکه ورودی و خروجی بر اساس قوانین امنیتی از پیش تعریف شده طراحی شده است. برخلاف تنظیمات استاندارد شرکتی که محرمانگی داده‌ها را در اولویت قرار می‌دهند، فایروال‌های صنعتی ایمنی عملیاتی، عملکرد قطعی و حداکثر زمان کارکرد را در اولویت دارند.

یک شبکه باز و بدون بخش‌بندی اجازه می‌دهد هر دستگاهی در کف کارخانه بدون محدودیت با هر دستگاه دیگری ارتباط برقرار کند. در حالی که این امر عیب‌یابی اولیه در میدان را ساده می‌کند، خطرات عملیاتی عمیقی را به همراه دارد. یک لپ‌تاپ به خطر افتاده یا یک ابزار میدانی معیوب می‌تواند شبکه را اشباع کند و کنترل‌کننده‌های منطقی برنامه‌پذیر (PLC) یا گره‌های سیستم کنترل توزیع شده (DCS) حیاتی را از کار بیندازد. فایروال‌های صنعتی مانند پلیس‌های ترافیک محلی عمل می‌کنند و اطمینان می‌دهند که تنها پیام‌های کنترل تأیید شده و ضروری بین مناطق فرآیندی حیاتی منتقل شوند.

نموداری که مفهوم پایه فایروال صنعتی در فیلتر کردن ترافیک بین شبکه‌های خارجی و مناطق اتوماسیون حیاتی را نشان می‌دهد.
شکل ۱. مفهوم پایه فایروال صنعتی در اعمال مرزها بین لایه‌های مختلف شبکه.

ارزیابی تفاوت‌ها: فایروال‌های صنعتی در مقابل فناوری اطلاعات

یک بسته شبکه که از مجموعه پروتکل TCP/IP استفاده می‌کند، ساختار یکسانی دارد چه در مرکز داده شرکتی حرکت کند و چه در کف کارخانه‌ای سخت‌افزاری. با این حال، شرایط محیطی، نیازهای پروتکلی و اولویت‌های عملیاتی در این حوزه‌ها به شدت متفاوت است.

در یک شبکه خانگی استاندارد، فایروال یکپارچه در روتر فیبر یا DSL قوانین ساده و خودکاری را دنبال می‌کند: اجازه می‌دهد دستگاه‌های داخلی ارتباطات خارجی با اینترنت عمومی برقرار کنند، اما تلاش‌های اتصال ورودی بدون درخواست از آدرس‌های IP خارجی را مسدود می‌کند. در محیط اداری تجاری، فایروال‌های سازمانی دسترسی کاربران به مخازن فایل محلی، صف‌های چاپ و سرورهای وب را مدیریت می‌کنند، ترافیک مشکوک را ثبت و دامنه‌های خارجی غیرمجاز را مسدود می‌کنند و در عین حال بهینه‌سازی پهنای باند برای نرم‌افزارهای تجاری را انجام می‌دهند.

در مقابل، شبکه OT صنعتی نیازمند کلاس کاملاً متفاوتی از زیرساخت‌های امنیتی است. فایروال‌های صنعتی باید پروتکل‌های اختصاصی و زمان واقعی اتوماسیون مانند Modbus TCP، EtherNet/IP، PROFINET و OPC UA را مدیریت کنند. همچنین باید در محیط‌های سخت با دماهای شدید، تداخل الکترومغناطیسی (EMI) بالا و لرزش مکانیکی قابل توجه به طور قابل اعتمادی کار کنند. علاوه بر این، در حالی که فایروال IT ممکن است به طور مکرر به‌روزرسانی یا در ساعات کم‌بار راه‌اندازی مجدد شود، فایروال OT باید به طور مداوم برای ماه‌ها یا سال‌ها بدون وقفه اجرا شود تا از قطع ناگهانی فرآیند جلوگیری کند.

بازرسی عمیق بسته و مکانیزم‌های فیلترینگ حالت‌دار

فایروال‌های صنعتی از چندین سطح پیشرفته فیلترینگ بسته برای محافظت از دارایی‌های عملیاتی در برابر دستورات مخرب و ناهنجاری‌های شبکه استفاده می‌کنند:

  • فیلترینگ بسته سنتی: این مکانیزم پایه بسته‌های جداگانه را به صورت ایزوله بررسی می‌کند. فایروال آدرس‌های IP مبدا و مقصد و شماره پورت‌های TCP یا UDP خاص را بررسی کرده و آن‌ها را با فهرست کنترل دسترسی (ACL) مقایسه می‌کند تا تصمیم بگیرد بسته را رها کند یا ارسال نماید.
  • فایروال‌های بازرسی حالت‌دار: به جای دیدن بسته‌ها به عنوان رویدادهای جداگانه، فایروال‌های حالت‌دار وضعیت مکالمات فعال شبکه را دنبال می‌کنند. با نظارت بر چرخه کامل یک اتصال، فایروال اطمینان می‌دهد که بسته‌های ورودی بخشی از یک جلسه از پیش تعیین شده و مورد انتظار هستند و از حملات جعل رایج جلوگیری می‌کند.
  • بازرسی عمیق بسته (DPI): فایروال‌های صنعتی بسیار پیشرفته فراتر از هدرهای شبکه به داده‌های لایه کاربرد نگاه می‌کنند. به عنوان مثال، هنگام بررسی ترافیک Modbus TCP، یک فایروال DPI می‌تواند بین فرمان بی‌ضرر "خواندن رجیسترهای نگهدارنده" و فرمان بالقوه خطرناک "نوشتن چندین رجیستر" تمایز قائل شود و تغییرات پیکربندی غیرمجاز را حتی اگر از یک آدرس IP مجاز آمده باشد، مسدود کند.
  • فایروال‌های برنامه وب (WAF): که به طور خاص در لایه برنامه کار می‌کنند، ترافیک HTTP و HTTPS را برای محافظت از رابط‌های کنترل وب‌محور مانند آن‌هایی که در رابط‌های انسان-ماشین (HMI) مدرن و دروازه‌های لبه وجود دارند، در برابر سوءاستفاده‌های وب، تزریق SQL و آسیب‌پذیری‌های اسکریپت‌نویسی بین‌سایتی نظارت می‌کنند.

برای تکمیل این لایه‌های فیلترینگ، بسیاری از معماری‌های مدرن OT سیستم‌های تشخیص نفوذ (IDS) و پیشگیری از نفوذ (IPS) را به کار می‌گیرند. در حالی که فایروال‌های استاندارد موانع سخت و مبتنی بر قوانین را اعمال می‌کنند، پلتفرم IDS/IPS از روش‌های پیشرفته هیورستیک و تحلیل الگوهای پایه برای شناسایی رفتارهای ناهنجار استفاده می‌کند. اگر یک کنترل‌کننده ناگهان شروع به اسکن شبکه برای آدرس‌های IP تخصیص نیافته کند، IDS این ناهنجاری را به تیم امنیت کارخانه گزارش می‌دهد، در حالی که IPS می‌تواند به طور فعال وارد عمل شده و جلسه غیرمجاز را قبل از گسترش ویروس در شبکه کنترل خاتمه دهد.

مدیریت ترافیک دوطرفه و فیلترینگ خروجی

استراتژی‌های امنیتی صنعتی اغلب بر فیلترینگ ورودی تمرکز دارند—جلوگیری از ورود تهدیدات خارجی به شبکه کنترل محلی. با این حال، اعمال فیلترینگ خروجی سختگیرانه (کنترل ترافیک خروجی از منطقه کنترل) به همان اندازه برای حفاظت قوی حیاتی است.

شبکه‌های کنترل صنعتی جریان‌های داده بسیار قابل پیش‌بینی و سختگیرانه‌ای نسبت به محیط‌های معمول IT دارند. یک کنترل‌کننده میدانی به ندرت نیاز دارد که ارتباطی خارج از زیرشبکه تعیین شده خود برقرار کند. با اعمال قوانین دقیق خروجی، مهندس می‌تواند اطمینان حاصل کند که حتی اگر یک جزء اتوماسیون تخصصی به خطر بیفتد—مثلاً از طریق سوءاستفاده زنجیره تأمین جاسازی شده در یک به‌روزرسانی نرم‌افزاری—نمی‌تواند به سرور فرمان و کنترل از راه دور تماس بگیرد. این محدودسازی به طور مؤثری تهدید را خنثی می‌کند، آن را محلی نگه می‌دارد و از حرکت جانبی در سراسر معماری گسترده‌تر کارخانه جلوگیری می‌کند.

مکان‌یابی معماری در شبکه‌های صنعتی

فایروال‌های صنعتی در نقاط استراتژیک در سراسر سلسله‌مراتب اتوماسیون مستقر می‌شوند تا مرزهای واضحی بین مناطق عملیاتی متمایز ایجاد کنند:

نمودار معماری شبکه که طرح شبکه کنترل ایزوله‌ای را نشان می‌دهد که تداخل بسته‌های خارجی را به حداقل می‌رساند.
شکل ۲. زیر بخش شبکه ایزوله شده طراحی شده برای کاهش بار پردازش بسته‌ها روی رابط‌های کنترل محلی.

در حالی که کنترل‌کننده‌های میدانی اصلی سرعت پردازش و ایمنی قطعی را بر فیلترینگ رمزنگاری داخلی اولویت می‌دهند، امنیت باید توسط اجزای زیرساختی اختصاصی مدیریت شود. در معماری‌های بخش‌بندی شده، سوئیچ‌های شبکه مدیریت شده امنیت پایه در سطح پورت را از طریق ACLها انجام می‌دهند. با این حال، مرزهای واقعی شبکه توسط دروازه‌های صنعتی اختصاصی، روترها و فایروال‌های مقاوم در برابر شرایط سخت که در تقاطع مناطق عملیاتی مختلف قرار دارند، حفظ می‌شود.

برای مهندسانی که خطوط پردازش قدیمی را نگهداری می‌کنند، استقرار اجزای ارتباطات و شبکه اختصاصی بخش مهمی از استراتژی‌های مدرن بخش‌بندی شبکه است. این لایه‌های سخت‌افزاری اطمینان می‌دهند که دارایی‌های پردازشی حیاتی از ترافیک شبکه غیرضروری محافظت می‌شوند و پردازنده‌های داخلی آن‌ها می‌توانند صرفاً بر وظایف اجرای با سرعت بالا تمرکز کنند.

هم‌راستایی مناطق شبکه با استانداردهای IEC 62443

طراحی شبکه صنعتی مدرن به شدت به استاندارد بین‌المللی IEC 62443 متکی است که چارچوب جامعی برای تأمین امنیت سیستم‌های اتوماسیون و کنترل صنعتی (IACS) ارائه می‌دهد. اصل اساسی این استاندارد مدل "مناطق و کانال‌ها" است. منطقه گروه‌بندی منطقی یا فیزیکی دارایی‌ها است که نیازهای امنیتی مشابهی دارند، در حالی که کانال مسیر ارتباطی بین این مناطق را نشان می‌دهد.

فایروال‌های صنعتی به عنوان نگهبانان فیزیکی اصلی این کانال‌ها عمل می‌کنند. با قرار دادن فایروال در هر تقاطع کانال، مهندسان کارخانه اطمینان حاصل می‌کنند که دارایی‌هایی با پروفایل‌های ریسک متفاوت نمی‌توانند بدون کنترل با هم ارتباط برقرار کنند. به عنوان مثال، یک تأسیسات ممکن است تجهیزات پردازش حیاتی خود را از سیستم‌های نظارتی با ایجاد مناطق عملکردی متمایز جدا کند:

  • منطقه شبکه PLC: شامل کنترل‌کننده‌های پردازش زمان واقعی با سرعت بالا که حرکات فیزیکی دقیق و مکانیزم‌های ایمنی قفل‌کننده را مدیریت می‌کنند.
  • منطقه شبکه DCS: شامل عملیات فرآیند پیوسته، پردازنده‌های کنترل تنظیمی و بلوک‌های ورودی/خروجی توزیع شده در چندین واحد عملیاتی.
  • منطقه شبکه SCADA: شامل کامپیوترهای نظارتی، تاریخچه‌نگارهای داده منطقه‌ای و سرورهای HMI اتاق کنترل مرکزی.
  • منطقه شبکه نظارت توربین: اختصاص یافته به حفاظت ماشین‌آلات با سرعت بالا، ضبط داده‌های لرزش پیوسته، جابجایی شفت و معیارهای ترمودینامیکی حیاتی.

استقرارهای فروشنده در سطح سازمان و پروفایل‌های کاربردی

اجرای یک استراتژی امنیتی قوی نیازمند استقرار سخت‌افزار تخصصی متناسب با لایه‌های کنترل خاص و اکوسیستم‌های فروشنده است. به عنوان مثال، تأسیساتی که خطوط تولید گسسته با سرعت بالا دارند اغلب فایروال‌های اختصاصی را درست در جلوی رک‌های پردازنده اصلی خود نصب می‌کنند. در پلتفرم Allen-Bradley ControlLogix، مهندسان معمولاً دستگاه‌های امنیتی صنعتی را بلافاصله قبل از ماژول‌های ارتباطی 1756-EN2T یا 1756-EN3TR قرار می‌دهند. این معماری ترافیک EtherNet/IP را از طوفان‌های پخش غیرمنتظره محافظت می‌کند و فرمان‌های تغییر فرم‌ویر CIP غیرمجاز را از زیرشبکه‌های تأیید نشده مسدود می‌سازد.

به طور مشابه، حفاظت از شبکه‌های پردازش پیوسته نیازمند ادغام عمیق در سطح سیستم است. در کارخانه‌ای که توسط شبکه Siemens Simatic S7 تغذیه می‌شود، ماژول‌های امنیتی مقاوم مانند سری Scalance S به طور منظم برای ایجاد کانال‌های امن استفاده می‌شوند. این دستگاه‌ها بازرسی عمیق بسته را روی پروتکل‌های ارتباطی S7 انجام می‌دهند و اطمینان می‌دهند که تنها ایستگاه‌های مهندسی تأیید شده می‌توانند یک CPU S7-1500 یا S7-300 را به حالت STOP ببرند یا منطق بلوک محلی را بازنویسی کنند.

این جداسازی سخت منطقه‌ای برای معماری‌های توزیع شده در مقیاس بزرگ نیز حیاتی است. در اکوسیستم جامع ABB 800xA AC 800M، فایروال‌ها برای جدا کردن شبکه کنترل با سرعت بالا از شبکه گسترده‌تر کارخانه مستقر می‌شوند. این تنظیم اطمینان می‌دهد که ارتباطات کنترل MMS و RNRP حیاتی کاملاً از ترافیک اداری جدا شده‌اند. به همین ترتیب، سازمانی که سیستم Honeywell Experion PKS C300 Series C را به کار می‌گیرد، معمولاً از سیستم‌های فایروال اختصاصی برای محافظت از زیرساخت اترنت تحمل خطا (FTE) استفاده می‌کند و از ورود تداخل شبکه خارجی که می‌تواند چرخه‌های اجرای قطعی کنترل‌کننده‌های C300 را مختل کند، جلوگیری می‌نماید.

کنترل کاربر نهایی، نگهداری قوانین بلندمدت و ممیزی پیکربندی

فایروال‌های صنعتی بسته به طراحی خاص خود سطوح مختلفی از کنترل کاربر را ارائه می‌دهند. در حالی که بسیاری از سیستم‌های مدرن دارای رابط‌های گرافیکی ساده شده متناسب با پرسنل کارخانه هستند، دستگاه‌های امنیتی پیشرفته به مهندسان اجازه می‌دهند قوانین دقیق تا کدهای هگز و ساختارهای فرمان خاص در بار داده بسته صنعتی را بسازند.

در محیط‌های پایدار کارخانه که توپولوژی شبکه فیزیکی و تجهیزات میدانی به ندرت تغییر می‌کنند، پیکربندی فایروال می‌تواند برای دوره‌های طولانی ثابت بماند. با این حال، هر زمان که سخت‌افزار جدیدی روی اسکید نصب شود، برنامه PLC تغییر کند یا تکنسین پشتیبانی خارجی نیاز به دسترسی موقت از راه دور از طریق VPN امن داشته باشد، قوانین فایروال باید متناسب با آن تنظیم شوند.

برای جلوگیری از انحراف امنیتی و باز شدن‌های تصادفی، انجام ممیزی‌های منظم پیکربندی بسیار توصیه می‌شود. پرسنل امنیتی باید به طور سیستماتیک قوانین فعال را مرور کنند تا اطمینان حاصل شود که قوانین موقتی استفاده شده در طول تعمیرات لغو شده‌اند و محیط صنعتی کاملاً در برابر تهدیدات نوظهور امنیت سایبری محافظت شده باقی بماند.

درباره نویسنده

مارکوس ونس | خبرنگار ارشد سیستم‌های صنعتی

مارکوس ونس تحلیلگر باتجربه اتوماسیون است که بیش از ۱۴ سال تجربه عملی در طراحی و راه‌اندازی شبکه‌های کنترل صنعتی در مقیاس بزرگ دارد. او که به طور گسترده روی ادغام‌های پیچیده عمده شامل پلتفرم‌های Rockwell Automation، Siemens و Honeywell کار کرده است، در پل زدن شکاف بین زیرساخت‌های OT قدیمی و استانداردهای امنیتی مدرن IEC 62443 تخصص دارد.

Leave a comment

Please note, comments need to be approved before they are published.