СТА 3/2018

анса связи ОРС-клиентом происходит динамическое назначение нового номера порта. Подключившись к ОРС-серверу, ОРС-клиент запрашивает номер ТСР- порта, который должен быть использо- ван для этой сессии. Затем производится новое соединение и заново отправляется запрос на номер свободного порта. По этой причине протокол ОРС сложно и почти невозможно защитить с помощью классических стандартных брандмау- эров, так как при настройках нужно бу- дет открыть большой диапазон портов. Кроме того, в OPC Classic сервер должен иметь возможность инициировать связь с клиентом для обратных запросов, тре- бующих доступа с сервера к клиенту. Эта функциональность приводит к тому, что все OPC-клиенты также настроены так, как будто бы они были OPC-сервером, а все OPC-серверы настроены так, как ес- ли бы они были OPC-клиентами. Другими словами, для возможности работы OPC необходимо открыть прак- тически все порты брандмауэра в обоих направлениях. В целом сервер OPC Classic может быть сконфигурирован так, чтобы обеспечить достаточную сте- пень безопасности, но всегда стоит пом- нить, что она обеспечивается функцио- нальностью DCOM/COM. Один из вариантов решения данной проблемы – это контроль удалённого вызова процедур со стороны клиента (RPC – Remote Procedure Call, класс технологий, позволяющих вызывать функции или процедуры в другом ад- ресном пространстве). На транспорт- ном уровне RPC используют в основном протоколы TCP и UDP. RPC может быть настроен так, чтобы либо ограничивать диапазон используемых портов, либо статически назначать фиксированный порт данному серверу OPC Classic. Но назначение фиксированного порта мо- жет не работать на различных версиях OPC Classic. В итоге такое решение не- обходимо дополнительно тестировать, чтобы убедиться в его работоспо- собности. Иной вариант решения – это контроль пользователем OPC каждого соединения с помощью DPI-инспек- ции. Необходимо контролировать за- ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И СТА 3/2018 30 www.cta.ru Рис. 4. Настройка DPI-фильтра для протокола OPC Classic УЗНАТЬ БОЛЬШЕ