Proizvodno preduzeće

Kontekst

Pogon sa SCADA i kancelarijom na istom kompleksu. Mešanje OT i IT i interferencija u metalnoj hali pravili su nestabilne veze za liniju.

Principi

Fizički i logički odvojeni segmenti za mašine
Kontrolisani most (jump host / firewall pravila) samo za potrebne portove
5 GHz planiranje za halu; site survey prije finalnog kanala

Topologija (pojednostavljeno)

text

[ OT PLCs / SCADA ] ---- bridge-OT ----+---- [ firewall ] ---- IT LAN                                       |                                [ read-only monitoring ]

[ OT PLCs / SCADA ] ---- bridge-OT ----+---- [ firewall ] ---- IT LAN                                       |                                [ read-only monitoring ]

Mikrotik napomena

text

/interface bridge add name=bridge-ot protocol-mode=none comment="OT L2"/interface list add name=LIST-OT/interface list member add interface=bridge-ot list=LIST-OT/ip firewall filter add chain=forward action=drop \  src-address-list=IT-USERS dst-address-list=OT-NODES \  comment="deny direct IT to OT"

/interface bridge add name=bridge-ot protocol-mode=none comment="OT L2"/interface list add name=LIST-OT/interface list member add interface=bridge-ot list=LIST-OT/ip firewall filter add chain=forward action=drop \  src-address-list=IT-USERS dst-address-list=OT-NODES \  comment="deny direct IT to OT"

Monitoring

SNMP i Telegram notifikacije za offline uređaje; prag kašnjenja za kritičan servis je dogovoren sa proizvodnjom.

Ishod

Stabilniji rad linije, manje neplaniranih zaustavljanja zbog mreže i jasna granica odgovornosti između IT i održavanja pogona.