СТА 3/2018

полняющее DPI, должно поверять каж- дый Modbus-пакет в Ethernet-пакете, фактически разворачивать и собирать пакет данных с полезной нагрузкой, как матрёшку. Ведь ложные данные могут со- держаться в последовательности переда- ваемых Modbus-пакетов. Помимо меха- низмов фильтрации также необходимо проводить аналитику тех событий, кото- рые происходят в сети при использова- нии промышленных протоколов. ВModbus TCP индикаторами наличия вредоносных действий могут выступать следующие события: ● наличие Modbus-соединений, кото- рые являются нетипичными для дан- ной зоны; ● наличие неудачных попыток уста- новки TCP/UDP-соединения по пор- ту 502; ● сканирование порта 502 в широком диапазоне адресов; ● наличие команды сканирования от slave-устройства; ● использование команд, специфичных для различных производителей; ● поток пакетов данных ADU (Applica- tion Data Unit) с множеством различ- ных команд; ● нетипичные команды; ● непоследовательная история получен- ных данных в ответах устройств; ● передачаModbus-данных в обходDMZ; ● трафик Modbus с использованием протокола UDP. В модуле Tofino Modbus TCP Enforcer LSM реализована достаточно богатая функциональность, которая позволяет защитить протоколModbus TCP. Факти- чески, используя данный модуль, мож- но обеспечить защиту данных на уров- не регистров. Для каждого оконечного устройства можно задать ряд правил, ко- торые будут включать разрешение или запрет доступа. Создаваемое для протокола «правило на доступ» будет включать следующие параметры: ● связка IP/MAC-адрес; ● перечень значимых регистров; ● тип возможных операций (запрет до- ступа, только чтение, только запись, запись/чтение); ● идентификатор устройства; ● наличие проверки базовых команд (1–6, 15, 16, 20–24); ● установка контроля соединения; ● политики исключений; ● реакция в случае блокировки со- общения. Сформировав данный список разре- шённых запросов (рис. 3), можно защи- тить Modbus- устройство. Tofino Modbus TCP Enforcer LSM является «инспекто- ром» контента для Modbus-протокола. При работе происходит полная DPI- проверка каждого Modbus-запроса и от- вета, как для входящего, так и для исхо- дящего трафика. Любая команда, кото- рая не находится в списке разрешён- ных, или любая попытка доступа к ре- гистрам данных, которая находится за пределами разрешённого диапазона за- просов, блокируется, о чём сообщается на специальный IP-адрес. В итоге уста- новка устройства Tofino Xenon с моду- лем Modbus TCP Enforcer LSM позво- лит не только защитить сеть на уровне протокола, но и повысить надёжность и снизить нагрузку сети. T OFINO OPC C LASSIC E NFORCER LSM Далее перейдём к модулю, который предназначен для защиты OPC-сервера. OPC (Open Platform Communications) – семейство программных технологий, ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И СТА 3/2018 28 www.cta.ru УЧЕБНЫЙ ЦЕНТР ПРОСОФТ - МОСКВА Более 200 человек из России и стран СНГ проходят обучение в УЦ ПРОСОФТ каждый год Учебно-методические пособия позволяют быстро осваивать материал Учебные классы оснащены индивидуальными рабочими местами с современным оборудованием Ведущие специалисты компании предоставляют консультации по реализации проектов Программы обучения разработаны совместно с ведущими мировыми производителями средств АСУ ТП Уникальная возможность получения качественного обучения в рамках программы дистанционного образования Мы обучаем специалистов из всех уголков СНГ Курсы по промышленной автоматизации: верхний и нижний уровни АСУ ТП ПРЕИМУЩЕСТВА: ЭКСКЛЮЗИВНЫЙ ДИСТРИБЬЮТОР FASTWEL, ICONICS ОФИЦИАЛЬНЫЙ ДИСТРИБЬЮТОР WAGO, ADVANTECH УЗНАТЬ БОЛЬШЕ