- Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
- Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
- Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
- За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
- Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
- Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
- Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.
Оповещения о посторонних подключениях в сеть АСУ ТП
Модератор: Глоб.модераторы
-
- здесь недавно
- Сообщения: 3
- Зарегистрирован: 30 мар 2023, 09:06
- Имя: Денис Ковыкта
- Страна: Россия
- город/регион: Иркутск
- Поблагодарили: 1 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
Здравствуйте. Подскажите пожалуйста, есть ли возможность, без использования стороннего ПО, получать оповещения о подключении в локальную сеть АСУ ТП новых устройств?
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Оповещения о посторонних подключениях в сеть АСУ ТП
По вопросам работы Форума можно обратиться по этим контактам.
-
- эксперт
- Сообщения: 1030
- Зарегистрирован: 27 июн 2013, 12:20
- Имя: Валерич
- Страна: СССР
- Благодарил (а): 44 раза
- Поблагодарили: 106 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
Есть, например, у меня дома стоит роутер, который высылает уведомления о подключениях - отключениях (так я узнаю, кто из домашних пришел-ушел, уснул-проснулся)
-
- здесь недавно
- Сообщения: 3
- Зарегистрирован: 30 мар 2023, 09:06
- Имя: Денис Ковыкта
- Страна: Россия
- город/регион: Иркутск
- Поблагодарили: 1 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
по топологии "кольцо" на управляемых коммутаторах МОХА
-
- администратор
- Сообщения: 4909
- Зарегистрирован: 25 июл 2008, 07:12
- Имя: Диев Александр Васильевич
- Страна: Россия
- город/регион: г. Сегежа, Карелия
- Благодарил (а): 236 раз
- Поблагодарили: 425 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
Тут надо для начала знать, что Вы называете сторонним ПО и каким ПО располагаете. Пути решения есть как минимум три:
1. Нужно всё-таки ПО, умеющее читать с сетевых устройств данные по SNMP и умеющее ловить SNMP Trap. Про реализацию функции чтения SNMP непосредственно контроллером я у кого-то (не помню, у кого) в описаниях читал, про работу с Trap - нет. Хотя теоретически возможно, если есть доступ к программированию сетевого обмена на уровне пакетов UDP. Но лучше так не делать, ибо это не есть задача контроллера. Контроллер должен управлять технологией, а все сторонние функции надо по максимуму убирать в сторону: никто не должен мешать работе, каждый должен заниматься своим делом. Если делаете только чтение данных по SNMP - узнаете о подключении не сразу, а в следующий цикл чтения. Если ловите Trap - он прилетит сразу по факту подключения. Ну и, естественно, время на свитчах должно быть синхронизировано с каким-то единым источником. Так что желательно всё же здесь поставить какой-то серверок с мониторинговым ПО типа Zabbix или каким-то другим. И, естественно, понадобится настройка свитчей.
2. У некоторых промышленных управляемых коммутаторов есть доступ по различным протоколам типа Modbus TCP или Ethernet/IP. Какие данные доступны - не знаю. Практически не сталкивался, но в теории, если такая функция есть, свитч можно опрашивать из контроллера. Посмотрите на характеристики Ваших свитчей. Опять же (см. п.1) возлагать эту функцию на контроллер я бы не стал. Только если такая информация нужна непосредственно в системе управления. И то - лучше убрать куда-нибудь в операторские сервера.
3. А ещё можно поставить видеокамеру.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Оповещения о посторонних подключениях в сеть АСУ ТП
Или взвод автоматчиков. Возможно, это будет дешевле чем комплекс мероприятий по ИБ.
По вопросам работы Форума можно обратиться по этим контактам.
-
- администратор
- Сообщения: 4909
- Зарегистрирован: 25 июл 2008, 07:12
- Имя: Диев Александр Васильевич
- Страна: Россия
- город/регион: г. Сегежа, Карелия
- Благодарил (а): 236 раз
- Поблагодарили: 425 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
-
- здесь недавно
- Сообщения: 3
- Зарегистрирован: 30 мар 2023, 09:06
- Имя: Денис Ковыкта
- Страна: Россия
- город/регион: Иркутск
- Поблагодарили: 1 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
Большое спасибо за подробный ответ! Я прочитал Ваши комментарии на хабре, в посте от Solar, очень познавательно. Пообщавшись непосредственно с человеком, эксплуатирующим АСУ ТП на наших объектах, планирую направить усилия на процессы. Такие какVADR писал(а): ↑31 мар 2023, 10:07Тут надо для начала знать, что Вы называете сторонним ПО и каким ПО располагаете. Пути решения есть как минимум три:
1. Нужно всё-таки ПО, умеющее читать с сетевых устройств данные по SNMP и умеющее ловить SNMP Trap. Про реализацию функции чтения SNMP непосредственно контроллером я у кого-то (не помню, у кого) в описаниях читал, про работу с Trap - нет. Хотя теоретически возможно, если есть доступ к программированию сетевого обмена на уровне пакетов UDP. Но лучше так не делать, ибо это не есть задача контроллера. Контроллер должен управлять технологией, а все сторонние функции надо по максимуму убирать в сторону: никто не должен мешать работе, каждый должен заниматься своим делом. Если делаете только чтение данных по SNMP - узнаете о подключении не сразу, а в следующий цикл чтения. Если ловите Trap - он прилетит сразу по факту подключения. Ну и, естественно, время на свитчах должно быть синхронизировано с каким-то единым источником. Так что желательно всё же здесь поставить какой-то серверок с мониторинговым ПО типа Zabbix или каким-то другим. И, естественно, понадобится настройка свитчей.
2. У некоторых промышленных управляемых коммутаторов есть доступ по различным протоколам типа Modbus TCP или Ethernet/IP. Какие данные доступны - не знаю. Практически не сталкивался, но в теории, если такая функция есть, свитч можно опрашивать из контроллера. Посмотрите на характеристики Ваших свитчей. Опять же (см. п.1) возлагать эту функцию на контроллер я бы не стал. Только если такая информация нужна непосредственно в системе управления. И то - лучше убрать куда-нибудь в операторские сервера.
3. А ещё можно поставить видеокамеру.
1. повышение зарплаты персоналу, в связи с возложением на них дополнительных (не сильно обременительных на мой взгляд, функций по информационной безопасности АСУ ТП),
2 определения порядка обращения с паролями (где применимо), их выдачи, смены при необходимости (увольнение тех, кто их знает и тд),
3 поддержание в актуальном состоянии резервных копий прошивок ПЛК и копий управляющих программ, наличие ЗИП (ПЛК, носителей управляющих программ),
4 контроль целостности сети, оповещение инженера АСУ ТП о новых подключениях (попытках).
5 Контроль доступа в помещения с ШУПЛК (СКУД, видео)
6 Оценка любых систем с возможностью удалённого управления АСУ ТП с привлечением специалистов. Вот тут сложно, на всех компьютерах наладчиков, где установлен TIA Portal, видел также установленный Anydesk или Team Viewer...
7 Упорядочивание процесса внесения изменений в прошивки/управляющие программы
8 Создание полных резервных копий операционных систем, используемых в АСУ ТП
Как то так.
Никаких наложенных средств защиты (пока) для этого не требуется.
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Оповещения о посторонних подключениях в сеть АСУ ТП
Тогда ФСОшников
По вопросам работы Форума можно обратиться по этим контактам.
-
- здесь недавно
- Сообщения: 68
- Зарегистрирован: 10 фев 2019, 20:16
- Имя: Углев Дмитрий
- Страна: Россия
- город/регион: Екатеринбург
- Благодарил (а): 19 раз
- Поблагодарили: 6 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
А почему бы не "разжиться" полноценным проектом СОИБ, учитывающим п. 2-8?denkov писал(а): ↑31 мар 2023, 12:20Большое спасибо за подробный ответ! Я прочитал Ваши комментарии на хабре, в посте от Solar, очень познавательно. Пообщавшись непосредственно с человеком, эксплуатирующим АСУ ТП на наших объектах, планирую направить усилия на процессы. Такие какVADR писал(а): ↑31 мар 2023, 10:07Тут надо для начала знать, что Вы называете сторонним ПО и каким ПО располагаете. Пути решения есть как минимум три:
1. Нужно всё-таки ПО, умеющее читать с сетевых устройств данные по SNMP и умеющее ловить SNMP Trap. Про реализацию функции чтения SNMP непосредственно контроллером я у кого-то (не помню, у кого) в описаниях читал, про работу с Trap - нет. Хотя теоретически возможно, если есть доступ к программированию сетевого обмена на уровне пакетов UDP. Но лучше так не делать, ибо это не есть задача контроллера. Контроллер должен управлять технологией, а все сторонние функции надо по максимуму убирать в сторону: никто не должен мешать работе, каждый должен заниматься своим делом. Если делаете только чтение данных по SNMP - узнаете о подключении не сразу, а в следующий цикл чтения. Если ловите Trap - он прилетит сразу по факту подключения. Ну и, естественно, время на свитчах должно быть синхронизировано с каким-то единым источником. Так что желательно всё же здесь поставить какой-то серверок с мониторинговым ПО типа Zabbix или каким-то другим. И, естественно, понадобится настройка свитчей.
2. У некоторых промышленных управляемых коммутаторов есть доступ по различным протоколам типа Modbus TCP или Ethernet/IP. Какие данные доступны - не знаю. Практически не сталкивался, но в теории, если такая функция есть, свитч можно опрашивать из контроллера. Посмотрите на характеристики Ваших свитчей. Опять же (см. п.1) возлагать эту функцию на контроллер я бы не стал. Только если такая информация нужна непосредственно в системе управления. И то - лучше убрать куда-нибудь в операторские сервера.
3. А ещё можно поставить видеокамеру.
1. повышение зарплаты персоналу, в связи с возложением на них дополнительных (не сильно обременительных на мой взгляд, функций по информационной безопасности АСУ ТП),
2 определения порядка обращения с паролями (где применимо), их выдачи, смены при необходимости (увольнение тех, кто их знает и тд),
3 поддержание в актуальном состоянии резервных копий прошивок ПЛК и копий управляющих программ, наличие ЗИП (ПЛК, носителей управляющих программ),
4 контроль целостности сети, оповещение инженера АСУ ТП о новых подключениях (попытках).
5 Контроль доступа в помещения с ШУПЛК (СКУД, видео)
6 Оценка любых систем с возможностью удалённого управления АСУ ТП с привлечением специалистов. Вот тут сложно, на всех компьютерах наладчиков, где установлен TIA Portal, видел также установленный Anydesk или Team Viewer...
7 Упорядочивание процесса внесения изменений в прошивки/управляющие программы
8 Создание полных резервных копий операционных систем, используемых в АСУ ТП
Как то так.
Никаких наложенных средств защиты (пока) для этого не требуется.
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Оповещения о посторонних подключениях в сеть АСУ ТП
Появились лишние деньги? :) На зависть.
А по сути, озвученные пункты с 1 по 8 ничего принципиально нового в себе не несут. Это обычная эксплуатация, такая какой она должна быть. Только по пунктам такие комментарии. Тут геополитика вмешивается, как ни удивительно. Во-первых п.1. может не дать совершенно никакого результата, а может даже дать и обратный.
А п.6. я бы переименовал из "оценки" в "недопущение использования с примением средств контроля". Почему "геополитика"? - может я неточно выражаюсь, имею в виду т.н."менталитет" персонала как действующего, так и потенциального, и общую социально-экономическую обстановку в регионе. Короче говоря, будут ли работать в должной мере взыскания и будут ли они кого-то останавливать.
Например в инструкциях фиксируется запрет на использование средств удалённого доступа. По факту в ноутбуки заглядывать мало кто будет, разве что поначалу. А потом на буке может быть что угодно, не уследишь. Но вот факт появления характерного трафика может фиксироваться и тогда будет всё равно, что там за софт у тебя на компе: с твоего компа ушёл трафик - ты и виноват. Чтобы за буками следили как за личным оружием и отмазки типа "это не я - кто-то другой воспользовался" не прокатывали: с твоего компа ушло - ты и виноват.
Воспитывает не размер наказания, а его неотвратимость.
И всё это - однозначно лучше в рамках простого наведения порядка в эксплуатации, чем в качестве объявления этого всего мерами направленными на повышение информационной безопасности. Само словосочетание "информационая безопасность" можетт стать для кого-то красной тряпкой, триггером для начала развёртывания полноценно службы ИБ - если этого можно избежать, то лучше избежать, а функции раскидать по имеющимся подразделениям.
По вопросам работы Форума можно обратиться по этим контактам.
-
- здесь недавно
- Сообщения: 68
- Зарегистрирован: 10 фев 2019, 20:16
- Имя: Углев Дмитрий
- Страна: Россия
- город/регион: Екатеринбург
- Благодарил (а): 19 раз
- Поблагодарили: 6 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
Как минимум появились лишние риски. Не оценивая отрасль, в которой работает автор темы, объективно с ИБ стало напряженнее. Об этом говорят абсолютно все отечественные специалисты в этой сфере, которых я имел удовольствие слушать/читать/смотреть.
И указанная Вами геополитика играет не последнюю роль.
Любой набор мероприятий/действий/телодвижений только тогда имеет положительный и долгоиграющий эффект, когда имеет место быть скоординированность. Так не реализацией ли единого проекта по СОИБ обеспечить эту пресловутую ИБ.
-
- эксперт
- Сообщения: 2099
- Зарегистрирован: 15 авг 2011, 21:36
- Имя: Пупков Сергей Викторович
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 138 раз
- Поблагодарили: 174 раза
Оповещения о посторонних подключениях в сеть АСУ ТП
Сейчас трафик почти весь шифрованный. Это только специализированные промышленные протоколы до сих пор открытые используют.
Хорошо помогают "права пользователя" и "хардварный отключатель интернета" - все остальное дыры, через которые можно диверсию устроить.
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Оповещения о посторонних подключениях в сеть АСУ ТП
Вовсе не факт. Не надо за уши тащить сюда СОИБ. Принцип разумности: если без чего-то можно обойтись, то без этого нужно обойтись. Вот и не надо ИБ пристёгивать туда где и без неё всё хорошо.
Да, это работает.
А вот тут надо грамотно поставить задачу. Навести дисциплину и защититься от диверсий - не одно и то же. Это совершенно разные задачи и решать их следует по отдельности. К тому же, от диверсий защиты не существует, потому что диверсия - это целенаправленное действие человека, а человек в состоянии обойти то, что создал другой человек. Всегда. А дисциплина - это состояние, а не действие. Наличие дисциплины не защитит от диверсии, но позволит её значительно быстрее обнаружить.
Это совсем разные вещи и не надо их смешивать. Тогда чего-то можно будет добиться.
По вопросам работы Форума можно обратиться по этим контактам.
-
- здесь недавно
- Сообщения: 68
- Зарегистрирован: 10 фев 2019, 20:16
- Имя: Углев Дмитрий
- Страна: Россия
- город/регион: Екатеринбург
- Благодарил (а): 19 раз
- Поблагодарили: 6 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
Надо, надо, это реалии сегодняшнего дня в части большого количества предприятий крупного и отчасти среднего промышленного бизнеса. СОИБ - это не что-то страшное, затратное и непонятное. Грамотный проект и его последующая реализация избавят от множества проблем, в первую очередь, от ненужного внимания регулятора.
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Оповещения о посторонних подключениях в сеть АСУ ТП
Вы это кому говорите? Мне не надо. Многим тут не надо. Вы считаете - надо? А я считаю что нет. Реалии эти в основном придуманы, притащены отсутствием дисциплины, а иногда и просто обоснованы невежеством. По большей части именно так. Это опыт. И спорить на эту тему лично я не собираюсь. Тут много об этом уже написано и мнения не изменились, нет смысла повторяться. Кто хочет - на здоровье, но не в той теме пожалуйста. Тут был конкретный вопрос и не надо его замыливать. А про ИБ вообще - отдельно давайте.
По вопросам работы Форума можно обратиться по этим контактам.
-
- здесь недавно
- Сообщения: 68
- Зарегистрирован: 10 фев 2019, 20:16
- Имя: Углев Дмитрий
- Страна: Россия
- город/регион: Екатеринбург
- Благодарил (а): 19 раз
- Поблагодарили: 6 раз
Оповещения о посторонних подключениях в сеть АСУ ТП
Да пожалуйста! Раз Вы такой опытливый, то и останетесь при своё мнении. Каждый видит прежде всего со своей колокольни.
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Оповещения о посторонних подключениях в сеть АСУ ТП
То есть факт использования, скажем, AnyDesk по трафику не возможно распознать - я правильно Вас понял?
По вопросам работы Форума можно обратиться по этим контактам.