Логирование при подключении SCADA

[kostkost]

Хочется мне защитить переменные на запись в контроллере паролем
Создаю вход переменную на запись пароля ну скажем 11122233
если пароль в настройках и пришедший пароль совпадают то разрешаю прохождение сигнала с входов к элементам меню

Вопрос
1 будет ли работать приложенная схема?
2 как убрать доступ если не знаешь что соединение разорвалось ?

[Arsie]

Цитата:

Сообщение от kostkost

Хочется мне защитить переменные на запись в контроллере паролем
Создаю вход переменную на запись пароля ну скажем 11122233
если пароль в настройках и пришедший пароль совпадают то разрешаю прохождение сигнала с входов к элементам меню

Вопрос
1 будет ли работать приложенная схема?

Будет, но очень плохо. Зачем вы выход уставки подключаете к её входу?

Цитата:

Сообщение от kostkost

2 как убрать доступ если не знаешь что соединение разорвалось ?

Можно вопрос поставить и с другой стороны: как случайно не убрать доступ, если соединение ещё есть?

Нужно знать, есть ли соединение или нет его. Если это невозможно, то авторазлогинивание по тайм-ауту, как банковских клиентах. Тут уже возможны варианты, в зависимости от контроллера.

[kostkost]

1 в этой схеме мне не понятно пройдет ли сигнал на запись если не подключать выход так хотя бы в настройку ноль не попадет
если подключить вход напрямую то понятно что по приходу пакета
ядро будет записывать новые данные в переменную но мне нужен разрыв а будет ли оно реагировать также я не уверен

2 на контроллере можно узнать о текущем соединении что то ?
по моему нет . в блоках типа девайс я ничего не нашел
таймаут само сабой но это не дает гарантии что станция отвалилась а злоумышленники не переписывают данные

[Arsie]

Цитата:

Сообщение от kostkost

1 в этой схеме мне не понятно пройдет ли сигнал на запись если не подключать выход так хотя бы в настройку ноль не попадет
если подключить вход напрямую то понятно что по приходу пакета
ядро будет записывать новые данные в переменную но мне нужен разрыв а будет ли оно реагировать также я не уверен

2 на контроллере можно узнать о текущем соединении что то ?
по моему нет . в блоках типа девайс я ничего не нашел
таймаут само сабой но это не дает гарантии что станция отвалилась а злоумышленники не переписывают данные

Пока что я порядка в ТЗ не вижу, делать какую-либо программу в такой ситуации нет никакого смысла, как и продумывать какие-то алгоритмы.

Вы условия сначала расскажите, страхов всяких я и сам себе придумать могу.

[ujin]

Цитата:

Сообщение от kostkost

2 как убрать доступ если не знаешь что соединение разорвалось ?

Например факт соединения можно определить по изменению переменной, которую хотите записать. Если нет изменения переменной, то без разницы есть ли соединение, менять все равно нечего
Факт прерывания соединения - считать что соединение сразу же прерывается. Один раз записал и доступ закрыт.
Есть плохой момент при записи пароля в сетевой вход он там остается до тех пор пока не будет перезаписи извне на этом входе.
Следовательно после записи можно потребовать от клиента сброса пароля в 0 или другое число.

[kostkost]

1 ТЗ защитить запись настроек (управление оборудованием) паролем
Вопрос о том что при вылете программы на компе (отключение света,поломка оборудования...) пароль остается висеть и любая другая программа может изменять все что захочет поскольку модбас протокол открытый

2 По изменению
Придется создавать алгоритм изменения и контролировать его исполнение на контроллере что приведет к росту программы контроллера
плюс к этому вопросы синхронизации
Если этого не сделать то подключится и менять переменную может любая программа
а пароль известен только ограниченному кругу лиц

3 Идеально было бы получить выход из кернела ConectionsStates

[Ilya J.]

Цитата:

Сообщение от kostkost

1 ТЗ защитить запись настроек (управление оборудованием) паролем
Вопрос о том что при вылете программы на компе (отключение света,поломка оборудования...) пароль остается висеть и любая другая программа может изменять все что захочет поскольку модбас протокол открытый

2 По изменению
Придется создавать алгоритм изменения и контролировать его исполнение на контроллере что приведет к росту программы контроллера
плюс к этому вопросы синхронизации

3 Идеально было бы получить выход из кернела ConectionsStates

Можно в скаде создать переменную-счетчик, да можно ее даже не контроллере создать и пропускать через скаду, в контроллере контролировать счет. Если он останавливается, значит разрыв соединения и запрет ввода пароля.

[kostkost]

Цитата:

Сообщение от Ilya J.

Можно в скаде создать переменную-счетчик, да можно ее даже не контроллере создать и пропускать через скаду, в контроллере контролировать счет. Если он останавливается, значит разрыв соединения и запрет ввода пароля.

Вы не поняли
Проблема не в контроле соединения как таковом
ну один комп отключился а другой подключился и мотает ваш счетчик
и контроллер пишет все что он скажет
если у вас есть пароль то без него нельзя провести ряд действий
в частности запись и управление

[Arsie]

Соберитесь с мыслями и начните с самого начала.

Что за контроллер?

Что за скада?

Что за сеть, в которой контроллер и скада?

Как администрируется сеть?

Как организован доступ в сеть извне предприятия и изнутри предприятия?

Какова цена неавторизованного доступа для АСУ, реализованной на контроллере?


Это тот минимум, который требуется. Без него всё то, что вы придумаете и сделаете - бесполезная трата времени.


Добавлено через 9 минут

Цитата:

Сообщение от kostkost

Проблема не в контроле соединения как таковом
ну один комп отключился а другой подключился и мотает

В вашей идее, показанной в первом сообщении, пароль перехватить гораздо проще, чем имитировать счётчик в идее Ильи.


PS. Тема создана как "Логирование". При чём тут логирование, если вы обсуждаете контроль доступа?

[Ilya J.]

Цитата:

Сообщение от kostkost

Вы не поняли

Мы пытаемся понять ждем подробного ТЗ

[kostkost]

согласен насчет перехвата хотя это потребует времени

остановлюсь на идее что контроллер будет отправлять случайные числа и разбирать ответы тогда время взома будет упираться в сложность алгоритма

но давайте вернемся к картинки
при подключении входа напрямую к уставке значение на входе меняется при приходе пакета а уставка меняется после изменения значения на ее входе правильно?
тогда нули гарантированы в уставках
обьясните механизм работы этой системы пож

[Arsie]

Цитата:

Сообщение от kostkost

согласен насчет перехвата хотя это потребует времени

остановлюсь на идее что контроллер будет отправлять случайные числа и разбирать ответы тогда время взома будет упираться в сложность алгоритма

но давайте вернемся к картинки
при подключении входа напрямую к уставке значение на входе меняется при приходе пакета а уставка меняется после изменения значения на ее входе правильно?
тогда нули гарантированы в уставках
обьясните механизм работы этой системы пож

Контроллер у вас на руках?

[Ilya J.]

Цитата:

Сообщение от kostkost

согласен насчет перехвата хотя это потребует времени

остановлюсь на идее что контроллер будет отправлять случайные числа и разбирать ответы тогда время взома будет упираться в сложность алгоритма

но давайте вернемся к картинки
при подключении входа напрямую к уставке значение на входе меняется при приходе пакета а уставка меняется после изменения значения на ее входе правильно?
тогда нули гарантированы в уставках
обьясните механизм работы этой системы пож

Вы нам для ответа полноту картины расскажите? Вас Арсений попросил написать минимум, который требуется.

[kostkost]

контроллер 2g и 4 но я ориентируюсь на 2g
да лежит на столе

[Arsie]

Цитата:

Сообщение от kostkost

контроллер 2g и 4 но я ориентируюсь на 2g

Ну так соберите и попробуйте. Ответ я уже дал на этот вопрос: "Будет, но очень плохо". Сами всё и увидите.

[kostkost]

все работает не знаю что вы имели ввиду

[Ilya J.]

Цитата:

Сообщение от kostkost

все работает не знаю что вы имели ввиду

Тогда зачем был этот вопрос?

Цитата:

1 будет ли работать приложенная схема?

[Arsie]

Цитата:

Сообщение от kostkost

все работает не знаю что вы имели ввиду

А вы её во всех режимах прогоните, а не только в одном.

[gcvdsv]

Цитата:

Сообщение от kostkost

Хочется мне защитить переменные на запись в контроллере паролем
Создаю вход переменную на запись пароля ну скажем 11122233
если пароль в настройках и пришедший пароль совпадают то разрешаю прохождение сигнала с входов к элементам меню

Вопрос
1 будет ли работать приложенная схема?
2 как убрать доступ если не знаешь что соединение разорвалось ?

А если использовать XOR(16) например , или ещё что , что бы зашифровать народной стороне и расшифровать на другой ?

[Ilya J.]

Цитата:

Сообщение от gcvdsv

А если использовать XOR(16) например , или ещё что , что бы зашифровать народной стороне и расшифровать на другой ?

Это вопрос или предложение?)

[gcvdsv]

Цитата:

Сообщение от Ilya J.

Это вопрос или предложение?)

Предложение
Естественно, во избежание проблем, необходимо каким то образом учесть что данные могут придти недостоверные.

[Arsie]

Цитата:

Сообщение от gcvdsv

Предложение
Естественно, во избежание проблем, необходимо каким то образом учесть что данные могут придти недостоверные.

Есть такая фраза, давно уже ставшая крылатой: "А был ли мальчик?"

Например, SMH4 может поднять защищённый канал связи и думать о доп. защите просто глупо.

[kostkost]

Мальчик был
Конечно в большинстве случаев заморачиваться с кодировкой передаваемых данных смысла нет поскольку процесс происходит в закрытых сетях
Но рассмотреть можно всякие случаи
В конечном случае можно использовать метод шифрования RSA
2 ключа один на котроллер другой на машину

PS
Вопрос просили рассмотреть. Благо до реализации недошло а то бы пришлось писать блок дешифровки на контроллер

[Arsie]

Цитата:

Сообщение от kostkost

Вопрос просили рассмотреть. Благо до реализации недошло а то бы пришлось писать блок дешифровки на контроллер

Так VPN-то чем не устраивает? При желании там шифрование можно влупить ого-го, правда процессор это загрузит процентов на 90. Но и без шифрования придётся подделывать пакеты и ключи авторизации - объект этих трудов со стороны хакеров вообще стоит?)