Pull to refresh

Comments 23

И конечно же никакой авторизации — соединяйся с ПЛК кто хочет…
я считаю, что подобную защиту нужно организовывать на уровне роутера, а не внутри сети. VPN и всякая такая лабуда. Я просто в сетевых технологиях не силён))
Так ведь любой кто имеет доступ к локальной сети под роутером, ВПН там или не ВПН будет потенциально иметь доступ к ПЛК, а ведь перечень лиц имеющих доступ к ПЛК гораздо уже пользователей имеющих доступ в локальную сеть. Тогда на роутере нужно как-то организовывать черные-белые списки по MAC/IP и те выглядят как дешевый шпингалет на двери от банковского сейфа.
В таком варианте, от использования доступа к ПЛК защищает только незнание адреса и порта подключения(это не надолго) и совести пользователей имеющих доступ к сети. Вобщем, ключ от дома под ковриком.
Если считать что к данной точке доступа только это устройство, то на порту коммутатора можно выставить необходимый Vlan и к железке будет доступ только у участников этого Vlan.
Значит, так и надо сделать. Если конечно роутер поддерживает эту функцию…
Подобные способы организации связи и не предполагают использование этих каналов для передачи кодов запуска ракет, разумеется. Если есть требование к высокой степени защиты данных — используй специализированное оборудование для этого, а не модуль с ебея за $10.

В некоторых случаях «незнание адреса и порта подключения» вполне достаточная защита. Люди, работающие в том здании, по специфике своей работы, наверняка, и слов таких как «сканер портов» не знают)).

Там правда получился ещё такой естественный способ защиты как «проприетарный» протокол обмена между ПЛК и опрашивающей программой. Этот протокол не шифруется, но и для непосвященного человека этот набор байт понять тоже проблемно.
Про сканеры портов знают люди, которые ломают сети предприятия. Администратор локальной сети предприятия тоже может пропустить секьюрити мимо ушей. В конечном счёте вы окажетесь всего лишь одной строчкой в выдаче Shodan.
Может быть и не коды для запуска ракет… но если ПЛК управляет системой отопления или вентиляции здания проблем можно огрести реальных. откроет недопустимое сочетание клапанов и затопит подвал кипяточком… или гидроудар организует.
Надо бы озвучивать эти моменты, что безопасность соединения организованного таким образом надо обеспечивать другими средствами и иметь это в виду. Так же надо обеспечить физическую безопасность канала связи… насколько сложно будет подключиться к модулю минуя локальную беспроводную сеть? Ведь даже организовав VLAN на роутере, остается проблема эмуляции этого самого роутера злоумышленником(не надо смотреть на этот вопрос с позиции что это дескать никому не надо — а вот поди ж ты, кому-то понадобится напакостить соседу а тут такая шикарная ДЫРА в безопасности) особенно если он инсайдер — пароль от сети знает, MAC-адрес точки доступа выяснить делов на 10 секунд… что его остановит от создания клона роутера работающего на другом канале? или VLAN технология как-то решает эту проблему?
Это я к тому что если подобное соединение можно защитить без серьезных вложений, то это надо обязательно делать — лишним не будет. Причем желательно чтобы защита была на уровне как можно ближе к клиенту — SSH с ключами доступа было бы замечательно.
Извините за грубость, но обсирать любой сможет.
«Критикуя — предлагай»!
Во многие WiFi-модули уже включена такая защита. Их можно привятать либо к роутеру, либо установить парольный доступ.
Парольный доступ куда? к порту? Прозрачность тогда теряется… парольный доступ к сети — так ведь сеть в общем случае не доверенная. Кто нибудь по неосторожности запустит сканер сети, он выдаст какой-нибудь мусор в нужный порт, а как на это отреагирует ПЛК? Ладно если там ничего важного нет…

Нет. Если устройство не подключается, как клиент какой-либо уже существующей сети (с адресацией в этой сети), то тогда устройсво имеет функции точки доступа (ad-hook). Это означает воможность построение собственной сети, с запрашиваемым ключем(паролем) для шифрования на обмен пакетов данных и опционально даже функции выделения сетевого адреса. То есть все плюшки 802.11x однозначно внутри. За это разработчики таких модулей деньги и берут.
Такая же фича и в Bluetooth устройствах — часто у всяческих аналогов HC-0X есть возможность изменить код подтверждения со стандартного «0000» на что-либо другое и сохранить в энергонезависимой памяти.

Вы же не боитесь запускать у себя дома роутер WiFi для компа? А вдруг кто-нибудь скэнер запустит?
пин-код это слабая защита. У меня дома в сети нет критичных устройств которым был бы страшен сканер. Хотя конечно при желании затроянить могут.
Зачем обязательно ПИН? Ведь тут конкретно WiFIб а не Bluetooth. Даже у простого китайского модуля за $5 внутри поддерживаются протоколы 802.11 b / g / n / d / e / i / k / r:
TKIP (MIC, RC4) o WAPI (SMS4)
WEP (RC4)
CRC
WPA / WPA2 and WPS support
Other 802.11i security features

(https://nurdspace.nl/ESP8266)
та же поддержка при наличии даже не особо прямых рук позволяет прямо в модуле организовать SSL со всеми нужными шифрациями. Куда уж дальше шифроваться то? Если только за подобным котлом самому в ручном режиме управлять.

Хотя у мериканского немного похуже (http://www.compel.ru/lib/ne/2014/1/2-ss3000-wi-fi-modul-dlya-sozdaniya-interneta-veshhey/): только 802.11 b/ g. Но и там ключи можно довольно длинные наколбасить, а не четыре циферки.
Это относилось исключительно к блютузу. ПИН там нужен только для сопряжения, в дальнейшем используются более длинные ключи до тех пор пока не поменяются или не будут вытеснены другими подключениями.
Речь не о том, что кто-то перехватит, расшифрует и подменит данные в радиоканале от модуля до точки доступа. Всё гораздо проще (хуже). Весь интернет потенциально имеет доступ к COM-порту контроллера, а маршрутизаторы на пути от места установки оборудования до компьютера работающего с ним человека (и системы, которые легально или нелегально получат от них копию трафика) напрямую видят весь обмен данными. Кроме того, из неконтролируемой локальной сети доступен сам Wi-Fi-модуль, который надо кропотливее настраивать, чтобы он стал похож на ожидаемое пассивное оборудование с ровно одной функцией. Пользователи в сети, может, и не способны что-то сломать, а вот вирусы на их компьютерах — вполне. Есть тупое сканирование 80 порта, есть фирменный протокол для поиска и конфигурации модуля по сети (стыдливо запрятанный в скомпилированные .dll и .jar в примерах SDK UDP-бродкаст с порта 55555 на порт 55556 и волшебной строкой "@LT_WIFI_DEVICE@"; .dll при этом написана на C#, .jar — на Java, нувыпонели). Ну правда, какое сетевое оборудование без бэкдора!

Если всё, что можно сделать с контроллером через COM-порт — это получить статистику, то, возможно, дополнительной опасности нет, в противном случае эту бутылку коньяка автору будут ещё долго припоминать. Тем не менее, я сомневаюсь, что часть прошивки, отвечающая за интерфейс, к которому предполагался только локальный доступ, правильно обрабатывает любые мусорные запросы и рассчитана на безотказную работу с несколькими мегабитами данных, которые кто-нибудь ей отправит. То же самое относится к Wi-Fi-модулю — кто знает, что ещё туда напихали.

Для таких вещей необходим VPN в локальную сеть для удалённого обслуживания и изоляция технического канала средствами роутера, выносом оборудования в отдельную сеть или иными методами.
Если есть Ethernet — почему сбоку было не положить Wi-Fi-роутер в режиме клиента?
Можно даже не роутер, а небольшой адаптер:
www.ebay.com/itm/IOGEAR-Universal-Ethernet-to-Wi-Fi-N-Adapter-for-Home-or-Office-GWU627-Black-/201270396680

Но в любом случае сама статья показывает, как можно подключить WiFi к своему девайсу. Кому нужны детали — тот дальше сам копнет глубже.
ну вы даете. однопортовый роутер на 5350(т.е. openwrt смело можно зашить) стоит от 8 долларов.
Вы меня опередили. Тоже сразу в голову пришла мысль «зачем колхозить, если можно купить это?» Ещё и репитер в довесок.
Да, как оказалось можно, и это даже проще. Забыл про это написать — сейчас добавлю постскриптум.
Интересно, что для двух разных портов RS232 используются 2 разных драйвера: MAX3232 от Maxim и ADM3251E от Analog Devices.

Мой вариант: один изолированный(с гальванической развязкой), второй нет. Соответственно где риска нет, можно применять неизолированный- у него скорость больше, а где есть опасность пробоя используют гальванически развязанный с меньшей скоростью передачи данных.
Либо просто дело в том, что они установлены на разных платах, которые делали разные люди)
Only those users with full accounts are able to leave comments. Log in, please.