【技術(shù)實(shí)現(xiàn)步驟摘要】
本申請(qǐng)屬于工業(yè)網(wǎng)絡(luò)安全,特別是涉及一種基于opc動(dòng)態(tài)端口分配的分析方法。
技術(shù)介紹
1、微軟的dcom協(xié)議是在網(wǎng)絡(luò)完全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的,而基于dcom協(xié)議的opc?classic基本沒(méi)有增加任何安全相關(guān)的特性,幾乎所有著名的工業(yè)化自動(dòng)軟件都是基于windows平臺(tái)開(kāi)發(fā)的,都采用了opc技術(shù),所以對(duì)使用opc協(xié)議進(jìn)行通信的工控系統(tǒng)進(jìn)行防護(hù)也變得復(fù)雜和困難。
2、基于opc協(xié)議的工控網(wǎng)絡(luò)系統(tǒng)面臨各種各樣的威脅。在“兩網(wǎng)”融合的大背景下,工業(yè)控制系統(tǒng)的隔離性被打破,面臨來(lái)自網(wǎng)絡(luò)的威脅空前加劇。無(wú)用的端口開(kāi)放,工業(yè)軟件依賴的操作系統(tǒng)本身存在的安全漏洞,工業(yè)協(xié)議本身安全性的缺失等等都將給工業(yè)控制網(wǎng)絡(luò)帶來(lái)巨大的安全隱患。因此,在真正接入到企業(yè)管理網(wǎng),互聯(lián)網(wǎng)之前,基于opc協(xié)議的工業(yè)控制系統(tǒng)n必須加入相應(yīng)地安全設(shè)備進(jìn)行防護(hù),才能提高自身網(wǎng)絡(luò)的安全。由于opc協(xié)議不同與傳統(tǒng)的it應(yīng)用層協(xié)議,對(duì)于opc協(xié)議的解析深度決定了安全產(chǎn)品在工業(yè)控制系統(tǒng)安全防護(hù)中的真正作用。
3、傳統(tǒng)的it系統(tǒng)防火墻,在基于opc協(xié)議的工業(yè)控制系統(tǒng)中安裝傳統(tǒng)it系統(tǒng)防火墻進(jìn)行防護(hù),由于傳統(tǒng)防火墻不支持opc協(xié)議的任何解析,為了能夠保證opc業(yè)務(wù)的正常使用,不得不開(kāi)放opc服務(wù)器的所有可開(kāi)放端口,而opc服務(wù)器可分配的端口號(hào)范圍很廣,有超過(guò)1萬(wàn)多個(gè)可用端口號(hào),由于opc服務(wù)器可能使用任何可使用的端口來(lái)進(jìn)行真正的數(shù)據(jù)連接,而具體使用的端口號(hào)在響應(yīng)客戶端請(qǐng)求的應(yīng)答報(bào)文中。傳統(tǒng)防火墻無(wú)法識(shí)別出opc服務(wù)器具體所使用的端口號(hào),傳統(tǒng)防火墻為了保證opc
4、區(qū)別于傳統(tǒng)防火墻,根據(jù)對(duì)于opc協(xié)議進(jìn)行解析的工業(yè)防火墻可以跟蹤opc連接建立的動(dòng)態(tài)端口,最小化的開(kāi)放工業(yè)控制網(wǎng)絡(luò)的端口,從而達(dá)到保護(hù)作用,端口防護(hù)級(jí)工業(yè)防火墻同樣部署在企業(yè)生產(chǎn)網(wǎng)和生產(chǎn)控制網(wǎng)的邊界,此時(shí)配置策略只需要配置開(kāi)放opc服務(wù)器的135端口,當(dāng)opc客戶端與服務(wù)器建立連接時(shí),端口防護(hù)級(jí)防火墻跟蹤并解析opc服務(wù)器與opc客戶端協(xié)商出來(lái)的動(dòng)態(tài)端口,然后自動(dòng)將動(dòng)態(tài)端口加入到防火墻的開(kāi)放端口中,從而最小化開(kāi)放生產(chǎn)控制網(wǎng)絡(luò)的端口,與傳統(tǒng)防火墻相比,防護(hù)能力有了進(jìn)一步的提升。
技術(shù)實(shí)現(xiàn)思路
1、本申請(qǐng)實(shí)施例的目的在于提供一種基于opc動(dòng)態(tài)端口分配的分析方法,其目的在于,防火墻跟蹤并解析opc服務(wù)器與opc客戶端協(xié)商出來(lái)的動(dòng)態(tài)端口,然后自動(dòng)將動(dòng)態(tài)端口加入到防火墻的開(kāi)放端口中,從而最小化開(kāi)放生產(chǎn)控制網(wǎng)絡(luò)的端口,提升防火墻的安全性能,保障工業(yè)控制系統(tǒng)的安全。
2、為實(shí)現(xiàn)上述目的,本申請(qǐng)?zhí)峁┤缦录夹g(shù)方案:
3、本申請(qǐng)實(shí)施例提供一種基于opc動(dòng)態(tài)端口分配的分析方法,包括如下步驟:
4、步驟s1:獲取當(dāng)前工業(yè)控制系統(tǒng)的opc客戶端和opc服務(wù)端的設(shè)備信息;確定兩個(gè)設(shè)備的ip地址,獲取opc客戶端和opc服務(wù)端的數(shù)據(jù)包;
5、步驟s2:從步驟s1獲取的網(wǎng)絡(luò)數(shù)據(jù)包,根據(jù)rpc協(xié)議的動(dòng)態(tài)端口協(xié)商過(guò)程確定具體的會(huì)話位置,查看pcap數(shù)據(jù)包,根據(jù)動(dòng)態(tài)端口協(xié)商過(guò)程,使用tcp協(xié)議建立連接,客戶端向服務(wù)器發(fā)送syn,服務(wù)端響應(yīng)syn,客戶端向服務(wù)端發(fā)送ack,至此連接建立完成,隨后基于dcerpc協(xié)議進(jìn)行綁定,并進(jìn)行安全驗(yàn)證等級(jí),客戶端向服務(wù)器發(fā)送pdu_bind,服務(wù)器向客戶端響應(yīng)pdu_bind_ack,隨后發(fā)送pdu_auth3的安全驗(yàn)證,dcerpc協(xié)議連接建立,基于dcom的接口函數(shù)返回請(qǐng)求所分配的動(dòng)態(tài)端口,使用tcp協(xié)議建立連接,開(kāi)始o(jì)pc數(shù)據(jù)的傳輸;
6、步驟s3:按步驟s2得到的會(huì)話信息,對(duì)于dcom中的接口方法進(jìn)行動(dòng)態(tài)端口分析。
7、步驟s1包括以下子步驟:
8、s101:完成opc動(dòng)態(tài)端口模擬測(cè)試環(huán)境的搭建,samitic配置服務(wù)器,中控的接口框架配置opc客戶端,其中為了利于抓取數(shù)據(jù)包,客戶端和服務(wù)器在不同ip下搭建;
9、s102:操作系統(tǒng)用戶設(shè)置,防火墻設(shè)置,關(guān)閉windows防火墻,配置系統(tǒng)寬泛的dcom設(shè)置,配置opc?server的特殊dcom設(shè)置;
10、s103:從opc客戶端連接遠(yuǎn)程搭建的opc服務(wù)器,根據(jù)遠(yuǎn)程服務(wù)器的名稱,以及服務(wù)器的ip地址進(jìn)行連接,連接成功后,使用wireshark在s101到s102中所搭建的opc客戶端opc服務(wù)器的網(wǎng)絡(luò)通訊中抓取網(wǎng)絡(luò)數(shù)據(jù)包。
11、工控系統(tǒng)中的opc客戶端可能是工控設(shè)備、服務(wù)器;
12、opc服務(wù)端可以是客戶端、服務(wù)器、或工控設(shè)備;
13、opc客戶端和opc服務(wù)端的基本信息包括ip地址,mac地址,設(shè)備名稱,工作組信息,以及設(shè)備類型。
14、步驟s101具體是,安裝samitic,配置opc服務(wù)器,閱讀安裝手冊(cè),掌握組態(tài)軟件安裝配置;opc客戶端的搭建使用中控接口軟件;
15、步驟s102具體是,首先基于操作系統(tǒng)用戶的配置,在opc服務(wù)器上用administrator用戶建立一個(gè)擁有管理員權(quán)限的用戶并設(shè)置密碼,一定要設(shè)置密碼,不能為空;在opc客戶端上用administrator用戶建立一個(gè)相同的擁有管理員權(quán)限的用戶并設(shè)置相同的密碼,一定要設(shè)置密碼不能為空,客戶端和服務(wù)端的用戶名和密碼務(wù)必設(shè)置為相同的,關(guān)閉windows自帶的防火墻,dcom配置,在opc服務(wù)器和opc客戶端服務(wù)器都要進(jìn)行設(shè)置,首先進(jìn)入dcom的總體默認(rèn)屬性界面,啟動(dòng)計(jì)算機(jī)的分布式com,將默認(rèn)身份級(jí)別改為無(wú),打開(kāi)屬性,切換到安全屬性頁(yè),將everyone,adminiatratro,annonymous?uer三個(gè)用戶進(jìn)行添加,并勾選所有權(quán)限選項(xiàng),一定要全部選定,否則會(huì)出現(xiàn)找不到服務(wù)器的情況,隨后在msdtc標(biāo)簽下,進(jìn)行安全性配置,在opc服務(wù)器上,還需要打開(kāi)dcom配置,找到注冊(cè)的opc服務(wù)器的名稱選項(xiàng),并打開(kāi)它的屬性,第四部進(jìn)行本地安全策略配置,將本地賬戶的共享和安全模式設(shè)置為經(jīng)典-本地用戶以自己的身份驗(yàn)證;
16、步驟s103具體是,在中控接口軟件,添加opc數(shù)據(jù)源,配置opc數(shù)據(jù)組態(tài),配置服務(wù)器屬性,根據(jù)服務(wù)器名稱以及ip地址,連接服務(wù)器;隨后添加分組,添加位號(hào)完成后,進(jìn)行刷新操作,opc客戶端和opc服務(wù)器開(kāi)始進(jìn)行通訊,最后保存當(dāng)前配置的組態(tài)信息。
17、與現(xiàn)有技術(shù)相比,本申請(qǐng)的有益效果是:可以在一個(gè)模擬環(huán)境下去解析opc協(xié)議,在本地設(shè)備上去搭建opc服務(wù)器和opc客戶端,從而可以抓取到大量地?cái)?shù)據(jù)包,更方便用于測(cè)試分析,不需要在實(shí)際地工業(yè)網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)包的采集,大大節(jié)省了開(kāi)發(fā)工業(yè)防護(hù)墻的成本,可以在本地深度解析opcda協(xié)議,從而根據(jù)數(shù)據(jù)包去分析獲取服務(wù)器所重新分配的動(dòng)態(tài)端口。
18、基于傳統(tǒng)的防火墻,不對(duì)opc協(xié)議做出任何解析,為了保證通訊從而開(kāi)放所有的端口,步驟s3對(duì)于防火墻進(jìn)行了深度解析,可以跟蹤到動(dòng)態(tài)端口,最小本文檔來(lái)自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
1.一種基于OPC動(dòng)態(tài)端口分配的分析方法,其特征在于,包括如下步驟:
2.根據(jù)權(quán)利要求1所述的基于OPC動(dòng)態(tài)端口分配的分析方法,其特征在于,步驟S1包括以下子步驟:
3.根據(jù)權(quán)利要求2所述的基于OPC動(dòng)態(tài)端口分配的分析方法,其特征在于,工控系統(tǒng)中的OPC客戶端可能是工控設(shè)備、服務(wù)器;
4.根據(jù)權(quán)利要求3所述的基于OPC動(dòng)態(tài)端口分配的分析方法,其特征在于,
【技術(shù)特征摘要】
1.一種基于opc動(dòng)態(tài)端口分配的分析方法,其特征在于,包括如下步驟:
2.根據(jù)權(quán)利要求1所述的基于opc動(dòng)態(tài)端口分配的分析方法,其特征在于,步驟s1包括以下子步驟:
3.根...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:肖思昌,柳明,豐金浩,魯非,王曉婷,肖金重,潘柳兆,涂京,石川,劉雯,彭學(xué)林,
申請(qǐng)(專利權(quán))人:國(guó)網(wǎng)湖北省電力有限公司武漢供電公司,
類型:發(fā)明
國(guó)別省市:
還沒(méi)有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。