Részletes útmutató az ipari tűzfalakról és az OT hálózati szegmentációról
Az ipari tűzfalak kulcsfontosságú szerepet játszanak az OT kiberbiztonságban, védve a PLC, DCS és SCADA hálózatokat szegmentálás, be- és kimeneti forgalom szabályozás, valamint az IEC 62443 elveive...
Sok automatizálási és üzemirányítási mérnök számára az ipari hálózatok és a kiberbiztonság összetett világában való eligazodás komoly kihívást jelenthet. Míg a hagyományos IT osztályok jól bevált keretrendszerek szerint működnek, amelyek a kereskedelmi irodai adatkezelésre vannak szabva, az üzemeltetési technológia (OT) környezete teljesen más megközelítést igényel. Az üzem környezetében egy egyszerű hálózati probléma nem csupán egy elveszett e-mailt jelent; katasztrofális termelésleállást, berendezéskárosodást vagy súlyos biztonsági veszélyeket is okozhat.
Biztonságos és megbízható működés kialakításához az irányítórendszereknek el kell távolodniuk a lapos, nem szegmentált hálózati architektúráktól. A modern ipari létesítmények nagymértékben támaszkodnak ipari tűzfalakra, hogy szigorú határvédelmet biztosítsanak, megvédjék a régi feldolgozó egységeket, és fenntartsák a magas rendelkezésre állást a kritikus termelési vonalak mentén.
Az ipari tűzfalak alapvető szerepe az automatizálásban
Az ipari tűzfal lényegében egy speciális hardver vagy szoftver eszköz, amely előre meghatározott biztonsági szabályok alapján figyeli, szűri és szabályozza a bejövő és kimenő hálózati forgalmat. Ellentétben a hagyományos vállalati környezettel, ahol az adatbiztonság az elsődleges, az ipari tűzfalak az üzemeltetési biztonságot, a determinisztikus teljesítményt és a maximális rendelkezésre állást helyezik előtérbe.
Egy nyitott, nem szegmentált hálózat lehetővé teszi, hogy az üzem bármely eszköze korlátozás nélkül kommunikáljon bármely más eszközzel. Bár ez megkönnyíti a kezdeti helyszíni hibakeresést, súlyos működési kockázatokat rejt magában. Egyetlen feltört laptop vagy hibás terepi műszer eláraszthatja a hálózatot, leállítva kritikus programozható logikai vezérlőket (PLC-ket) vagy elosztott irányítórendszer (DCS) csomópontokat. Az ipari tűzfalak helyi forgalomirányítóként működnek, biztosítva, hogy csak ellenőrzött, szükséges vezérlőüzenetek közlekedjenek a kritikus folyamatok területei között.
1. ábra. Az ipari tűzfal alapvető koncepciója, amely határokat szab a különböző hálózati rétegek között.
Az ipari és IT tűzfalak közötti különbségek értékelése
Egy TCP/IP protokollt használó hálózati csomag szerkezete azonos marad, akár egy vállalati adatközponton, akár egy ipari környezetben halad át. Azonban a környezeti feltételek, a protokollkövetelmények és az üzemeltetési prioritások jelentősen eltérnek.
Egy tipikus otthoni hálózatban a beépített tűzfal a fiber vagy DSL routerben egyszerű, automatizált szabályokat követ: engedélyezi a belső eszközök számára a külső internetkapcsolatot, de blokkolja a külső IP-címekről érkező, nem kezdeményezett bejövő kapcsolatokat. Egy irodai környezetben a vállalati tűzfalak kezelik a felhasználói hozzáférést a helyi fájltárakhoz, nyomtatási sorokhoz és webszerverekhez, naplózzák a gyanús forgalmat, blokkolják az illetéktelen külső domaineket, miközben optimalizálják az üzleti szoftverek adatátviteli sebességét.
Ezzel szemben az ipari OT hálózat teljesen különálló biztonsági infrastruktúrát igényel. Az ipari tűzfalaknak kezelniük kell a sajátos, valós idejű automatizálási protokollokat, mint a Modbus TCP, EtherNet/IP, PROFINET és OPC UA. Emellett megbízhatóan kell működniük zord környezetben, ahol szélsőséges hőmérséklet, erős elektromágneses interferencia (EMI) és jelentős mechanikai rezgés van jelen. Míg egy IT tűzfalat gyakran frissítenek vagy újraindítanak csúcsidőn kívül, egy OT tűzfalnak hónapokon vagy éveken át folyamatosan kell működnie, hogy elkerülje a váratlan folyamatleállásokat.
Mély csomagszűrés és állapotkövető szűrési mechanizmusok
Az ipari tűzfalak több szintű csomagszűrést alkalmaznak az üzemeltetési eszközök védelmére a rosszindulatú parancsok és hálózati anomáliák ellen:
- Hagyományos csomagszűrés: Ez az alapvető mechanizmus egyes csomagokat külön-külön vizsgál. A tűzfal ellenőrzi a forrás- és cél IP-címeket, valamint a TCP vagy UDP portszámokat, összevetve azokat egy hozzáférés-ellenőrzési listával (ACL), hogy eldöntse, továbbítja vagy eldobja-e a csomagot.
- Állapotkövető tűzfalak: Ezek nem izolált eseményként kezelik a csomagokat, hanem nyomon követik az aktív hálózati beszélgetések állapotát. A kapcsolat teljes életciklusának figyelésével biztosítják, hogy a bejövő csomagok egy előre létrehozott, elvárt munkamenet részei legyenek, megakadályozva a gyakori hamisítási támadásokat.
- Mély csomagvizsgálat (DPI): A fejlett ipari tűzfalak a hálózati fejlécen túl az alkalmazási réteg adatcsomagját is elemzik. Például Modbus TCP forgalom esetén a DPI tűzfal meg tudja különböztetni a veszélytelen "Read Holding Registers" parancsot a potenciálisan veszélyes "Write Multiple Registers" parancstól, blokkolva az engedély nélküli konfigurációs módosításokat még akkor is, ha azok jóváhagyott IP-címről érkeznek.
- Webalkalmazás-tűzfalak (WAF): Az alkalmazási rétegen működve a WAF figyeli a HTTP és HTTPS forgalmat, hogy megvédje a webes vezérlőfelületeket, például a modern ember-gép interfészeket (HMI-ket) és élvégponti átjárókat a webes támadások, SQL injekciók és cross-site scripting sebezhetőségek ellen.
Ezeket a szűrési rétegeket kiegészítve sok modern OT architektúrában behatolásészlelő (IDS) és behatolásmegelőző rendszereket (IPS) is alkalmaznak. Míg a hagyományos tűzfalak merev, szabályalapú blokkolást végeznek, az IDS/IPS platformok fejlett heurisztikát és alapvonal-elemzést használnak az anomáliák felismerésére. Ha például egy vezérlő hirtelen elkezdi feltérképezni a hálózatot nem hozzárendelt IP-címek után kutatva, az IDS jelzi az anomáliát a biztonsági csapatnak, míg az IPS aktívan beavatkozik, megszakítva az illetéktelen munkamenetet, mielőtt a vírus továbbterjedne a vezérlőhálózaton.
Kétirányú forgalomkezelés és kimenő forgalom szűrése
Az ipari biztonsági stratégiák gyakran elsősorban a bejövő forgalom szűrésére koncentrálnak – megakadályozva, hogy külső fenyegetések behatoljanak a helyi vezérlőhálózatba. Azonban a szigorú kimenő forgalom-szűrés (a vezérlőzónából kimenő forgalom szabályozása) ugyanolyan fontos a hatékony védelem érdekében.
Az ipari vezérlőhálózatok adatáramlása sokkal kiszámíthatóbb és merevebb, mint a tipikus IT környezetekben. Egy terepi vezérlő ritkán kezdeményez kommunikációt a kijelölt alhálózatán kívül. Részletes kimenő szabályok alkalmazásával a mérnök biztosíthatja, hogy még ha egy speciális automatizálási komponens kompromittálódik is – például egy szoftverfrissítésbe ágyazott ellátási lánc támadás révén –, akkor se tudjon kapcsolatot létesíteni egy távoli parancs- és vezérlőszerverrel. Ez a korlátozás hatékonyan semlegesíti a fenyegetést, lokalizálva azt és megakadályozva a laterális terjedést az üzem szélesebb architektúrájában.
Az ipari hálózatokon belüli architekturális elhelyezés
Az ipari tűzfalakat stratégiai pontokon telepítik az automatizálási hierarchiában, hogy világos határokat hozzanak létre a különböző működési zónák között:
2. ábra. Egy izolált hálózati alhálózat, amely minimalizálja a helyi vezérlőfelületek csomagfeldolgozási terhelését.
Míg az elsődleges terepi vezérlők a feldolgozási sebességet és a determinisztikus biztonságot helyezik előtérbe a fedélzeti kriptográfiai szűrés helyett, a biztonságot dedikált infrastruktúra komponenseknek kell kezelniük. A szegmentált architektúrákban a menedzselt hálózati kapcsolók alapvető portszintű biztonságot biztosítanak ACL-ek révén. Az igazi hálózati határokat azonban dedikált ipari átjárók, routerek és megerősített tűzfalak tartják fenn, amelyek a különböző működési zónák metszéspontjain helyezkednek el.
A régi feldolgozó vonalakat karbantartó mérnökök számára a dedikált kommunikációs és hálózati komponensek telepítése továbbra is kritikus része a modern hálózati szegmentációs stratégiáknak. Ezek a hardverrétegek biztosítják, hogy a kritikus feldolgozó eszközök védve legyenek a felesleges hálózati forgalomtól, lehetővé téve belső processzoraik számára, hogy kizárólag a nagysebességű végrehajtási feladatokra koncentráljanak.
Hálózati zónák összehangolása az IEC 62443 szabványokkal
A modern ipari hálózattervezés nagyban támaszkodik a nemzetközi IEC 62443 szabványra, amely átfogó keretrendszert nyújt az ipari automatizálási és vezérlőrendszerek (IACS) biztonságához. Ennek a szabványnak az alapelve a „Zónák és Csatornák” modell. Egy zóna logikai vagy fizikai csoportosítása az eszközöknek, amelyek hasonló biztonsági követelményeket támasztanak, míg egy csatorna a kommunikációs útvonalat jelenti ezen zónák között.
Az ipari tűzfalak ezeknek a csatornáknak az elsődleges fizikai kapuőrei. Minden csatornánál tűzfal elhelyezésével a mérnökök biztosítják, hogy a különböző kockázati profilú eszközök ne kommunikálhassanak ellenőrizetlenül. Például egy létesítmény elkülönítheti a kritikus feldolgozó berendezéseket a felügyeleti rendszerektől, külön funkcionális zónákat létrehozva:
- PLC hálózati zóna: Magas sebességű, valós idejű feldolgozó vezérlőket tartalmaz, amelyek precíz fizikai mozgásokat és biztonsági zárolásokat kezelnek.
- DCS hálózati zóna: Folyamatos folyamatműveleteket, szabályozó vezérlő processzorokat és elosztott I/O blokkokat foglal magában több egységműveletben.
- SCADA hálózati zóna: Felügyeleti számítógépeket, regionális adatgyűjtőket és központi vezérlőtermi HMI szervereket tartalmaz.
- Turbina felügyeleti hálózati zóna: Magas sebességű gépvédelmi rendszereknek fenntartva, folyamatos rezgésadatokat, tengelyeltolódásokat és kritikus termodinamikai mérőszámokat rögzít.
Vállalati szintű gyártói telepítések és alkalmazási profilok
Robusztus biztonsági stratégia megvalósításához speciális hardvereket kell telepíteni, amelyek az adott vezérlési rétegekhez és gyártói ökoszisztémákhoz igazodnak. Például a nagy sebességű diszkrét termelési vonalakat működtető létesítmények gyakran telepítenek dedikált tűzfalakat közvetlenül a fő processzorszekrények elé. Egy Allen-Bradley ControlLogix platformon a mérnökök gyakran helyeznek ipari biztonsági eszközöket közvetlenül a 1756-EN2T vagy 1756-EN3TR kommunikációs modulok elé. Ez az architektúra megvédi az EtherNet/IP forgalmat a váratlan broadcast viharoktól, és blokkolja az engedély nélküli CIP firmware módosítási parancsokat az illetéktelen alhálózatokról.
Hasonlóképpen, a folyamatos feldolgozó hálózatok védelme mély integrációt igényel a rendszer szintjén. Egy Siemens Simatic S7 hálózattal működő üzem esetén a megerősített biztonsági modulok, mint a Scalance S sorozat, rendszeresen használatosak biztonságos csatornák létrehozására. Ezek az eszközök mély csomagvizsgálatot végeznek az S7 kommunikációs protokollokon, biztosítva, hogy csak hitelesített mérnöki munkaállomások állíthassák STOP állapotba az S7-1500 vagy S7-300 CPU-kat, vagy írják felül a helyi blokklogikát.
Ez a szigorú zónaelhatárolás ugyanolyan fontos a nagyszabású elosztott architektúrák esetén is. Egy átfogó ABB 800xA AC 800M ökoszisztémában tűzfalakat telepítenek a nagysebességű vezérlőhálózat izolálására a szélesebb üzem hálózattól. Ez biztosítja, hogy a kritikus MMS és RNRP vezérlőkommunikáció teljesen el legyen szigetelve az irodai üzleti forgalomtól. Hasonlóképpen, egy Honeywell Experion PKS C300 Series C rendszert telepítő vállalat általában dedikált tűzfalakat használ a Fault Tolerant Ethernet (FTE) infrastruktúra védelmére, megakadályozva, hogy a külső hálózati jitter veszélyeztesse a C300 vezérlők determinisztikus végrehajtási ciklusait.
Felhasználói vezérlés, hosszú távú szabálykarbantartás és konfigurációs auditok
Az ipari tűzfalak különböző szintű felhasználói vezérlést kínálnak a tervezésüktől függően. Sok modern rendszer egyszerűsített grafikus felhasználói felülettel rendelkezik, amely az üzem személyzete számára készült, míg a fejlett biztonsági eszközök lehetővé teszik a mérnökök számára, hogy részletes szabályrendszereket állítsanak össze egészen az ipari csomagok hexakódjaiig és parancsszerkezeteiig.
Stabil üzemkörnyezetekben, ahol a fizikai hálózati topológia és a terepi berendezések ritkán változnak, a tűzfal konfigurációk hosszú ideig állandóak maradhatnak. Azonban új, kocsira szerelt hardver integrálásakor, PLC program módosításakor vagy amikor egy külső támogató technikus ideiglenes távoli hozzáférést igényel biztonságos VPN-en keresztül, a tűzfal szabályokat ennek megfelelően módosítani kell.
A biztonsági eltérések és véletlen nyitások megelőzése érdekében rendszeres konfigurációs auditok erősen ajánlottak. A biztonsági személyzetnek rendszeresen át kell tekintenie az aktív szabályrendszereket, hogy meggyőződjön arról, hogy a karbantartási leállások idején használt ideiglenes szabályokat visszavonták, így az ipari perem teljes mértékben védett marad az újonnan felmerülő kiberbiztonsági fenyegetésekkel szemben.
A szerzőről
Marcus Vance | Vezető ipari rendszerszakértő
Marcus Vance tapasztalt automatizálási elemző, több mint 14 év gyakorlati terepi tapasztalattal nagy léptékű ipari vezérlőhálózatok tervezésében és üzembe helyezésében. Széles körű munkája során jelentős komplex integrációkban vett részt Rockwell Automation, Siemens és Honeywell platformokon, és szakértőként hidat képez a régi OT infrastruktúra és a modern IEC 62443 biztonsági szabványok között.