Запрет функций PUT\GET

Сообщение **Roman_33** » 13 фев 2022, 07:43

Здравствуйте,тут пошла такая тема, что на некоторых предприятиях ИБ запрещает использовать в коде данные функции. Может кто нибудь объяснить с чем это связанно. Только,если можно, без софистики, а конкретно,"в следствии использования в коде функции PUT произошло то-то, ущерб составил столько-то,человеческие жертвы такие-то". А то как то странно все это выглядит, столько времени не заморачивались и тут на тебе.

Сообщение **VADR** » 13 фев 2022, 08:35

Я так думаю, проблема в том, что функции PUT/GET (если речь идёт о Симатиках) могут использоваться для доступа к данным внутри контроллера без необходимости конфигурирования соединения в проекте. А конкретно PUT - для изменения данных в контроллере. То есть, теоретически - если будет возможность как-то внедрить в систему свой траффик (необязательно это физическое включение лишнего компьютера в сеть - может быть проход через неправильно сконфигурированный или взломанный файрвол) - то появится опасность влияния на работу контроллера и собственно техпроцесс. Ну а функция GET за компанию под раздачу попала, так как запрет в проекте выставляется сразу на обе функции. Вообще говоря, запрет не лишён смысла.

Сообщение **Roman_33** » 13 фев 2022, 10:07

Так и представляю себе "черного властелина" проникающего в технологическую сеть (Профинет), которая по хорошему должна быть физически изолирована от сети верхнего уровня, дабы учинить диверсию и посеять хаос.

Сообщение **VADR** » 13 фев 2022, 11:22

Тем не менее всё это весьма серьёзно. Она, конечно, по хорошему должна... Однако, чуть чаще, чем всегда, требуется собирать данные из локальной системы, например, в общую АСОДУ предприятия. Или в MES. Да, через файрвол между сетями, но файрволы тоже не идеальны. Кроме того, сквозь файрвол проковыривается таки дырочка для локального OPC-сервера, а на нём уже есть всё необходимое... А АСОДУ/MES стыкуется с ERP (надо ведь производственную информацию с финансовой интегрировать). А там - обычные компьютеры бухгалтеров/экономистов/закупщиков/продаванов. То есть - цепочка налицо. И в какое место флешку заражённую ткнут или письмо с вирусом пришлют - кто его знает?

Сообщение **Roman_33** » 13 фев 2022, 12:04

То есть, если я не буду использовать в своем коде эти функции (весьма удобные), то всего вышеперечисленного проделать категорически не получится? Вам не кажется это бредом? Я больше склоняюсь, что кто то нехило деньжат на всем этом поднял и продолжает поднимать.

Сообщение **VADR** » 13 фев 2022, 13:54

Если у вас дома есть сейф с деньгами, он ведь наверняка закрыт, да? Несмотря на то, что закрыта также и дверь в квартиру. И внизу в подъезде - тоже, наверное, домофон. А ещё есть специально обученные люди в форме, в чьи обязанности входит обеспечение в том числе и безопасность вашей собственности (и содержимое сейфа - в ом числе). Это называется эшелонированной защитой. Ни одна из защит не может обеспечить абсолютной безопасности, и даже все вместе. Но максимально затруднить задачу потенциальному злоумышленнику надо. В пределах разумного, конечно. PUT/GET - удобно, конечно, но это не единственный способ обмена данными между контроллерами. Есть более безопасные способы.

Roman_33 писал(а): ↑13 фев 2022, 12:04 То есть, если я не буду использовать в своем коде эти функции (весьма удобные), то всего вышеперечисленного проделать категорически не получится?

И, кстати, дело тут не в самих функциях, а в разрешении на использование этих функций в настройках контроллеров.

Сообщение **Sergy6661** » 14 фев 2022, 08:22

Всем привет. Тоже внесу 5 копеек...Вот точно не помню(пол года с Леней Брэдли работаю и Симатик в файл подкачки выгрузился

), но для резервированных S7-400H какой-то важный функционал не работал при запрещенных PUT/GET.

VADR писал(а): ↑13 фев 2022, 13:54 Если у вас дома есть сейф с деньгами, он ведь наверняка закрыт, да? Несмотря на то, что закрыта также и дверь в квартиру.

Запрет PUT/GET мне больше напоминает охраняемые злобным алабаем (Фаерволл) запертые, заколоченные и забаррикадированные ворота в сарайчик, а задней стеночки то нету...вот такое вот эшелонирование.

Сообщение **Jackson** » 14 фев 2022, 13:03

Roman_33 писал(а): ↑13 фев 2022, 07:43 Может кто нибудь объяснить с чем это связанно. Только,если можно, без софистики, а конкретно,"в следствии использования в коде функции PUT произошло то-то, ущерб составил столько-то,человеческие жертвы такие-то".

Может. Но вообще-то за такую статистику, которую проводят крупные конторы, денег просят.
Причину объяснил VADR, отраслевые стандарты могут такое запрещать, имеют право.
Например я знаю отрасли, где запрещены безусловные переходы, и инспектора требуют это продемонстрировать в коде.

Sergy6661 писал(а): ↑14 фев 2022, 08:22 Запрет PUT/GET мне больше напоминает охраняемые злобным алабаем (Фаерволл) запертые, заколоченные и забаррикадированные ворота в сарайчик, а задней стеночки то нету...вот такое вот эшелонирование.

Всё может быть. Но раз есть запрет в нормативе - соблюдать запрет надо, независимо от своих ассоциаций и предположений.