RS-485 - небезопасный?

[Jackson]

Один широко известный в узких кругах производитель в новых разрабатываемых устройствах собирается полностью убрать RS-485 ModBUS, оставив только Ethernet c поддержкой ModBUS-TCP как опция. В некоторых устройствах уже убрал, чему ряд пользователей не обрадовались и вынуждены покупать теперь ещё и шлюзы Eth/RS-485. Мотивация такова: RS-485 ModBUS - не секурный интерфейс, ни авторизации тебе, ни администрирования, ни отслеживания.

Вопрос: это просто дань новым европейским (не сказать хуже) традициям или есть аргументация посерьёзнее? Кто что слышал про это?

[Ryzhij]

Я так понимаю, что речь про информационную безопасность?
И если это так, то позволю напомнить, что RS-485 это стандарт физического интерфейса, для подключения к которому необходим физический доступ к кабелю.
Это как-то не очень вяжется с моими представлениями об информационной безопасности.
Сдаётся мне, что созданные модные структуры начинают высасывать проблемы из пальца для обеспечения своего финансирования.
Очень напоминает "проблему 2000-го года".

[Sokolov_Dmitry]

Мотивация такова: RS-485 ModBUS - не секурный интерфейс

нелогично, зря гонят на интерфейс, сам модбас не секурный

скорее всего производителю дешевле, убрать интерфейс, убрать большой кусок кода из обслуживания, все равно уже у всех производителей датчиков, модулей ввода/вывода и т.д. есть модели с rs485 и ethernet. Убрал не значит запретил, частное решение производителя.

[Jackson]

И если это так, то позволю напомнить, что RS-485 это стандарт физического интерфейса, для подключения к которому необходим физический доступ к кабелю.
Это как-то не очень вяжется с моими представлениями об информационной безопасности.

Такое же мнение, ибо о случаях хакерских атак на сеть RS-485 ModBUS мне тоже неизвестно - ровно по озвученным причинам.

Сдаётся мне, что созданные модные структуры начинают высасывать проблемы из пальца для обеспечения своего финансирования.
Очень напоминает "проблему 2000-го года".

Те фирмы, насколько я знаю, до мозга костей прагматичны, они просто не станут делать то что можно не делать. Может, конечно, и у них "там" тоже все на кибербезопасности повернулись, но такого влияния этой модной струи на технику как у нас, у них" я пока не замечаю. Дело не в России происходит и Российским рынком далеко не ограничивается.

Раньше Ethernet был доп.опцией и достаточно дорогой, а 485-й был на борту по умолчанию. Теперь (как смотрю по истории развития продуктов, а есть на что посмотреть) Ethernet много где по-дефолту, а 485й либо остался потому что затратнее его удалить чем продолжать продавать, либо доп.опция. А часть продуктов вообще лишились 485го даже в виде доп.опции.
Похоже на какую-то общую тенденцию, только вот что ей движет?

Разговоры про информационную безопасность видятся мне липовыми для отвода глаз. И с точки зрения простоты и надежности, КМК, всяко же лучше прокладывать всего два провода под обычную клемму, часто и не специальным кабелем а каким под руку попадётся, чем 4 или 8 проводов наверняка специальным кабелем и под специальный разъем. В итоге жертвуем простотой и надежностью, а ради чего?

[Valerich]

не секурный интерфейс, ни авторизации тебе, ни администрирования, ни отслеживания.

С этой точки зрения дискретные и аналоговые входы-выходы еще более несекурные

[Никита]

Те фирмы, насколько я знаю, до мозга костей прагматичны, они просто не станут делать то что можно не делать. Может, конечно, и у них "там" тоже все на кибербезопасности повернулись, но такого влияния этой модной струи на технику как у нас, у них" я пока не замечаю.

Вопрос, само собой, не в кибербезопасности и не в надежности. А, похоже, как раз в том, что

Раньше Ethernet был доп.опцией и достаточно дорогой

А теперь он в общем-то никому особо и не нужен. Очень немного таких бытовых применений, в которых нужен именно провод. А чипы-то на рынке остались...
Сдается, что с появлением в широком доступе сетей 5G увидим мы новые поколения контроллеров с беспроводными сетями по умолчанию.. Задвижки от аумы и автоматы от шнайдера с блютусом - так уже). Блютус, кстати, тоже из моды выходит понемногу, но тут яблочники ему применение нашли, а за ними и другие...

Ну и поколения меняются. Наш молодой специалист (энергетик по образованию, не асушник), когда пришел, вообще не знал о существовании 485. Зато Ethernet, IP-адреса и маршруты на бытовом уровне вопросов не вызывали.
Ну а Таврида, набрав молодежи, вообще отчебучила хау-ноу - ячейки "Эталон" со связью между защитами по беспроводке... Ржали вроде тут недавно над защитами по 485.. Так вот, тогда это был марципанчик (С) Ф. Раневская...

[VADR]

Глупость, кмк. Я на одном из объектов диаметрально-противоположную вещь предлагал (правда, в работу не пошло): для связи между системой ПАЗ категорийного объекта, где всё серьёзно с ИБ, и смежной некатегорийной АСУТП использовать именно Modbus RTU через RS-485 (С ИБшниками, кстати, обсуждал, и они не возражали). Мотивация - невозможность напрямую использовать Modbus RTU для внесения изменений в ПО контроллера на другой стороне, да и просто управлению навредить, если обмен данными нормально продуман, тоже нереально. В отличие от Modbus TCP, который живёт на обычных ethernet портах, через которые нередко можно программатором подцепиться и что-то там нахулиганить (Modbus TCP сам по себе тут ни при чём - работают через другие механизмы).

[Jackson]

А теперь он в общем-то никому особо и не нужен.

ну не знаю, у нас довольно активно применяется.
Так что не исключаю даже сговор, ибо кабели продавать можно больше, свичи. А посмотрите, сколько стоит гигабитный свич с морским одобрением.
Мы же не в быту.

Отправлено спустя 12 минут 51 секунду:

Я на одном из объектов диаметрально-противоположную вещь предлагал (правда, в работу не пошло): для связи между системой ПАЗ категорийного объекта, где всё серьёзно с ИБ, и смежной некатегорийной АСУТП использовать именно Modbus RTU через RS-485 (С ИБшниками, кстати, обсуждал, и они не возражали). Мотивация - невозможность напрямую использовать Modbus RTU для внесения изменений в ПО контроллера

тут я на твоей стороне целиком. С точки зрения ИБО круче замка не придумаешь, чем просто-напросто уничтожить не замок, а дверь целиком.

Но в европах похоже другие веяния.
У нас тут проблема выявилась в контроллерах, мы несколько дней разработчикам пытались её обьяснить. Они у себя берут то же самое железо, грузят наш софт с нашими настройками и в упор не могут повторить. Оказалось мы к контроллерам подключаемся по сервисному USB-порту (а в компе для него виртуальный COM как обычно), а они по Ethernet и через него все Настройки льют. И когда мы настояли на том чтобы они все-таки воткнулись по USB, то они как говорят ещё полдня бегали по всей конторе немаленький в поисках стандартного USB-кабеля как от принтера, в итоге не нашли и говорят пришлось заказывать за какие-то невменяемые деньги ибо раритет. А у нас они по 100 рублей вон валяются. И проблема оказалась именно тут и закопана - в драйвере USB/COM. Т.е. они там похоже в мире передовых технологий живут, где про 485й не все и слышали, как ваш молодой энергетик. :)

Отправлено спустя 1 минуту 46 секунд:

С этой точки зрения дискретные и аналоговые входы-выходы еще более несекурные

теперь главное чтобы и к ним эта же мысль не пришла. А то ведь во все контакторы и реле езернет повтыкают.

Отправлено спустя 26 минут 3 секунды:

[+]

Косвенно это кстати подтверждается. Жена когда в Германии жила, то там говорит нельзя лампочку в доме самостоятельно поменять - должен специально обученный и сертифицированный человек прийти для этого. Котёл в доме у них стоял, и что-то забарахлил, его выключили, в доме прохладно. Жена глянула - говорит там ерунда какая-то, то ли контакта просто нет то ли ещё что, дайте говорит отвертку, сейчас сделаю. Так владельцы дома вместо отвертки амбарный замок на подвал с котлом повесили - чтобы она не дай RND котёл не починила. И реально пришёл этот человек, хаус-мастер называется, подкрутил нужную клемму и котёл поехал. Оказалось они некислых денег отваливают за каждое такое "подкрутить", но если сам подкрутишь то можно на ещё более некислый штраф нарваться.
На кухонном шкафчике петля разболталась - пришёл этот хаусмастер и дал заключение: вся кухня под замену полностью. Тут уже она не выдержала, взяла у хаусмастера отвертку, закрутила два шурупа в петле и попросила деньги за новую кухню ей отдать. Повезло что шутку оценили. Потом ещё остаток времени хохотали: если в душе шланг потёк на стыке - что ж теперь, все трубы в доме под замену? А если на котле труба - то и все трубы в городе вплоть до насосной станции (а может и саму станцию тоже)? Хохотали, но замок на котёл таки повесили - больно штрафы большие.
Были и ещё эпизоды подобные по медицинской части, тогда её сначала чуть не выгнали из больницы невзирая на оплаченный контракт, а когда сами разобрались то чуть ли не на работу в клинику взять готовы были за наличие знаний. Главврач офигел, узнав что она по профессии проектировщик АСУ в энергетике и к медицине так же близка как к литературоведению или к археологии. А все с того началось что имела смелость посоветовать врачам половину препаратов отменить, а вторую заменить на другие. Оказалось, там с врачами никто так не разговаривает и влезть с пожеланием во врачебное решение - это практически преступление против общества, а если оспорить - это сразу расстрел.

Вот есть мнение что у них там всё так. И с 485м также: кто-то молодой эффективный подумал что нафиг он сдался - и все под козырёк это мнение взяли.

Т.е. спорить у них привычки нет совсем. Сказали "так надо" - всё, значит так и надо под страхом расстрела.

Отправлено спустя 13 минут 3 секунды:
Помните же видеоролик про 7 красных перпендикулярных линии, две из которых синие, а две прозрачные, и одна в виде котёнка? Решениями этой задачи полон интернет, загуглите. А фраза "ну я же эксперт" теперь означает "ну я же тупой, но эксперт". :)

[leon78]

"Транснефть" из соображений информационной безопасности запрещает стыковать разные системы по Ethernet, только RS485 Modbus RTU.
Кстати как-то попадалось в Интернете устройство, которое ставится на каждом конце RS485 и шифрует пакеты - чтобы нельзя было перехватить, если есть физическое подключение к кабелю.

[VADR]

"Транснефть" из соображений информационной безопасности запрещает стыковать разные системы по Ethernet, только RS485 Modbus RTU.

Ну вот... и это тоже не я первый придумал, оказывается... :)

[rwg]

Для чего в своё время убрали из компьютеров СОМ-порты, заменили их на USB - официальная версия - они устарели, чтобы идти в ногу с прогрессом. Неофициальная версия - чтобы ослабить или убрать конкурентов - разработчиков вокругкомпьютерного оборудования, которым пришлось потратить силы и время на борьбу с USB. Жизнь победила официалов и сегодня СОМ-порты вернулись в виде долларовых переходников USB-ТТЛ и USB-RS485.
С переходом на Ethernet и WiFi всё то же самое, любой менеджер объяснит, что это современно, круто и полезно, за ними будущее, а RS485 c Modbus - никому не нужное давно устаревшее старьё. И если поднять пыльные подшивки журналов СТА двадцатипятилетней давности, уже там это было написано.

Кстати интересно, почему CAN не победил RS485, тогда же писали, что это вот-вот произойдёт.

И ещё одно наблюдение - спасибо Arduino, рынок уже подготовился и заполнен околодолларовыми переходниками Ethernet, WiFi, Bluetooth в COM.

[Никита]

И ещё одно наблюдение - спасибо Arduino, рынок уже подготовился и заполнен околодолларовыми переходниками Ethernet, WiFi, Bluetooth в COM.

UART TTL есть почти в каждом кристалле. А что сделать из него - 485, Etnernet или Wi-Fi - дело разработчика. И очевидно, что спрос на Wi-Fi преобразователи в разы выше чем на 485. Плюс "умные дома" подогрели рынок. Даже за счет тиражей микросхем wi-fi обходится дешевле 485.
А кибербезопасность, увы стала уделом инфоцыган и лоббистов. Задач не обеспечить безопасность, а освоить бюджет.

[VADR]

Для чего в своё время убрали из компьютеров СОМ-порты, заменили их на USB - официальная версия - они устарели, чтобы идти в ногу с прогрессом.

Тут прогресс прогрессом, а то, что в большинстве случаев USB реально удобнее - факт. Иметь одинаковые порты для клавиатуры, мышки, принтера/сканера и внешнего накопителя - удобно. COM-порт нужен не всем, а если и нужен, то можно взять либо упомянутую околодолларовую железку, или как у меня - за 162.97 y.e.. Но для RS-485 всё равно остаются задачи, где он более соответствует требуемому функционалу, чем USB и ethernet, поэтому окончательный отказ от него вряд ли возможен в ближайшее время.

[Sergy6661]

Но для RS-485 всё равно остаются задачи, где он более соответствует требуемому функционалу, чем USB и ethernet

Там, где расстояния по кабелю >150m альтернативы 485му нет. Есть конечно оптика, но это уже оборудование и инфраструктура другого уровня.
А само повсеместное внедрение Ethernet тоже понятно- вертикальная интеграция, красота(все вокруг так красиво, я всех понимаю, меня все понимают) и данные летят во все стороны и сервис все на свете конфигурирует и...куратор Лёни Брэдли готов ЭрЭс Хууу и готова Венесуэла.

[Jackson]

Для чего в своё время убрали из компьютеров СОМ-порты, заменили их на USB - официальная версия - они устарели, чтобы идти в ногу с прогрессом.

Не убрали.

[+] Не ищите заговор там где его нет, всё проще.

В половине мат.плат он есть. Если на корпус не выведен - есть разьем, остается только выброс купить за 100 рублей. В ноутбуках убрали, да - разъём большой. Из них также и VGA убрали и LPT. У меня в ультрабуке только HDMI (часто нет и его) и Micro-HDMI, но в комплекте видеокарты на USB, да и стоят они копейки. А ставишь ноут в докстанцию - там и два COM и LPT и VGA, DVI, HDMI и всё что хочешь. У меня вон стационарных компа два стоят - все с COM-портами. А если нет то купить конвертер к ноутбуку или моксовскую мультипортовую плату на все случаи жизни (у меня и стоит) - никаких проблем. Когда-то на XTшках же ставили мультипортовые контроллеры, на нём два COM и один LPT - и нормально. А сейчас что изменилось?
В моем ультрабуке кстати Ethernet-порта тоже нет, по габаритам не влез. USB-сетевая карта копеек стоит и она в комплекте шла.

С переходом на Ethernet и WiFi всё то же самое, любой менеджер объяснит, что это современно, круто и полезно, за ними будущее, а RS485 c Modbus - никому не нужное давно устаревшее старьё.

Э... Это плохие менеджеры. Вот я про мышку рассказывал?

[+]

В комп.магазине (пока они ещё у нас были) пришел мышу купить, зачем-то беспроводную. А мне говорят: "мыши вот, но у них проблема: потерять можно и батарейки садятся. Но производитель и об этом позаботился и есть специальные версии, лишенные этих недостатков: проводом в USB подключается, такую мышу и не потеряешь, и питается она по этому же проводу. Поэтому стОит дороже беспроводной, зато за классную фичу платите!" Вот это, я понимаю, менеджер.

Хорошие продадут то что есть в любом случае. Или ".... э, мужик, так ты корову не продашь" - это ж классика.

А кибербезопасность, увы стала уделом инфоцыган и лоббистов. Задач не обеспечить безопасность, а освоить бюджет.

По нашей дискуссии, я склоняюсь к тому что в пресс-релизе (с которого всё началось) её просто так написали чтобы что-то написать. Типа "мы так решили и всё", но кто-то попросил причину придумать ибо вдруг спросят - что первое в голову пришло то и ляпнули.

Тут прогресс прогрессом, а то, что в большинстве случаев USB реально удобнее - факт.

Да. К примеру, ты попробуй на работающем компе PS/2 клавиатуру выдернуть - комп с большой вероятностью повиснет намертво.

Но для RS-485 всё равно остаются задачи, где он более соответствует требуемому функционалу, чем USB и ethernet

Само собой, что никуда он не денется. Я и пытаюсь производителю тому объяснить, что убрав у себя 485й они обрекают покупателя тратить дополнительные деньги чтоб купить шлюз Eth/485 и плясками с бубном заниматься вокруг шлюза, и что если они думают что они экономят - так экономят за счет покупателя, и покупатель тоже считать умеет - он просто пойдёт и купит что-то другое с 485 на борту, в итоге продажи в минус, а не в плюс как они ожидают наверное. Или же покупатель всё равно заплатит если купит, но часть денег он заплатит не вам, а другому производителю - вам оно надо?

Вопрос-то я задал чтоб понять, действительно ли повсеместно на Ethernet переход происходит или нет. Пока по дискуссии вижу что нет.

[VADR]

Там, где расстояния по кабелю >150m альтернативы 485му нет. Есть конечно оптика, но это уже оборудование и инфраструктура другого уровня.

На подходе SPE с его 10 мегабитами полудуплекса и километром дальности по одной паре. Со всеми присущими ethernet преимуществами и недостатками.

[Jackson]

Там, где расстояния по кабелю >150m альтернативы 485му нет.

Приехали. Оптика есть.

[Ryzhij]

Там, где расстояния по кабелю >150m альтернативы 485му нет.

Приехали. Оптика есть.

Есть. Также как есть понятие "совокупная стоимость владения". И вот, когда у вас реальное "поле", а не офисное здание с СКС, хотел бы я видеть как вы будете разбираться со сбоями связи в фибре без интерферометра, без набора оптических коннекторов, без станции сварки, без обученного персонала. Сколько времени на это уйдёт? А сколько всё это будет стоить?
Оставьте в покое модный нынче в Европах аутсорс.
Это Россия, детка...
Как давно вы видели инженерный ноут со встроенным оптическим портом?
Ноут, а не домашний Медиа-центр.
Ровно полторы недели тому, нам пытались впарить АРМы с оптическими сетевухами. Были посланы лесом по вышеизложенным причинам.

[Jackson]

Есть. Также как есть понятие "совокупная стоимость владения".

Разве суть была в том, сколько это стОит? Сказано было - "кроме 485го ничего больше нет". И это неправда. Только и всего. И без оптики хватает решений, просто в таких случаях мои заказчики предпочитают именно оптику, она и используется и работает - поэтому и назвал.

[Михайло]

Проблема существует, хакеры лазят в сетях больших корпораций. Простои и ущерб реальные.

Да, всякие там Профинеты в контроллерах можно запаролить, без проблем. А вот с датчиком как быть? На корпусе писать пароль? А как менять в случае компрометации? Веб-интерфейс нужен...

Шифрование поверх любого Модбаса организовать можно, хоть RTU, хоть TCP, но веб-интерфейс нужен... Я так думаю.

[Looker]

Проблема существует, хакеры лазят в сетях больших корпораций. Простои и ущерб реальные.

Более 20 лет назад на control.com (получал от них mail-list) обсуждали как "уронили" водоснабжение города - Modbus RTU работал, "уронили" центр и все стало. Бестолковая реализация была.

[Sergy6661]

Jackson писал(а): ↑
Вчера, 11:51

Sergy6661 писал(а): ↑
Вчера, 10:49
Там, где расстояния по кабелю >150m альтернативы 485му нет.

Приехали. Оптика есть.

Приехали...сказано было:

Там, где расстояния по кабелю >150m альтернативы 485му нет. Есть конечно оптика, но это уже оборудование и инфраструктура другого уровня.

Вот так вырванное из контекста и репощенное превращается в дезинформацию:

Сказано было - "кроме 485го ничего больше нет". И это неправда

А по теме- чтобы "уронить" часть АСУ-ТП, работающую по 485му надо физически нарушить линию связи, ну или внедрить доп. устройство, дающее помехи. В свою очередь архитектура Ethernet позволяет создать сквозную информационную архитектуру , но большое внимание требует именно иформационная безопасность, т.к да лазят всякие любопытствующие и вредители по сетям. И, иногда, вот такое слышно: А зачем их(ПЛК) защищать-закрывать это-ж не компьютер...

[+]

Объект, установки с СУ на ПЛК Rockwell, все в одной сетке, там-же роутер и интернет, понятно что админ (может быть) прикрыл подсеть ПЛК от Нета, но не факт, и что заводской админский пароль на роутере поменял, в общем куст- мечта хакера вредителя, ущерб просто чудовищный будет

Отправлено спустя 21 минуту 11 секунд:

Более 20 лет назад на control.com (получал от них mail-list) обсуждали как "уронили" водоснабжение города - Modbus RTU работал, "уронили" центр и все стало. Бестолковая реализация была.

Вот-вот, самое страшное, если спросить у этих "ронял" нахрена вы это сделали? Какая выгода твоя? Ответ будет:- та, проста по приколу...

[Никита]

лазят всякие любопытствующие и вредители по сетям

Откуда лазят? Чтобы залезть в нормальную сеть АСУТП - надо физически иметь к ней доступ (это проблема СБ) и знать в какую собственно сеть лезть. В хорошем варианте - еще и мак-адрес знать, с которым можно зайти. А если лезут извне через маршрутизаторы с любыми маками и IP - то эту дыру надо затыкать, а лучше ликвидировать, как класс. И если связей с внешним миром нет вообще, или хотя бы vlan расписаны грамотно, то Ethernet в планебезопасности не сильно от модбаса отличается.
Вообще, проблема не в самом Ethernet, а в стеке TCP/IP, который по нему бегает, задача изначально неверно определена.

[Jackson]

Чтобы залезть в нормальную сеть АСУТП - надо физически иметь к ней доступ

Это если в нормальную. А их всё меньше.

Вот так вырванное из контекста и репощенное превращается в дезинформацию:

Ничего подобного.
За всё в этой жизни надо платить, это во-первых. И это было отмечено. А во-вторых, было отмечено что RS485 - не единственное средство прокинуть связь на 100+ метров. Это во-вторых. Так что вот не надо. Прежде чем говорить "вырвано из контекста" - проверьте, сами-то Вы ничего ли не вырвали?

Отправлено спустя 1 минуту 52 секунды:

Вот-вот, самое страшное, если спросить у этих "ронял" нахрена вы это сделали? Какая выгода твоя? Ответ будет:- та, проста по приколу...

Это не страшное. Это жизнь. А в 485 "так просто по-приколу" уже не влезешь. Это будет целенаправленная диверсия, даже если организован криво.

[Sergy6661]

В хорошем варианте - еще и мак-адрес знать, с которым можно зайти.

Лицензирование ПО Rockwell, SE+WW(Шнайдер Вондерварь прикупил) и прочие подразумевает передачу МАК сетевухи и прочего кому надо, оно конечно там хранится надежно и бла-бла-бла и простым хулиганам может быть недоступно, но при случае найдут как зайти и потрут что надо, как энергетику суверенного государства латинской америки.