Функциональность системы обнаружения и предотвращения вторжений в ARMA FW реализуется посредством ПО с открытым исходным кодом «Suricata» и использованием метода захвата пакетов «Netmap» для повышения производительности и минимизации загрузки ЦП.
Система обнаружения и предотвращения вторжений в ARMA FW позволяет решать следующие задачи:
обнаружение и предотвращение эксплуатации уязвимостей в поддерживаемых протоколах;
обнаружение и предотвращение использования эксплойтов и уязвимостей сетевых приложений;
обнаружение и предотвращение DOS-атак;
обнаружение и предотвращение сетевого сканирования;
обнаружение и фильтрация трафика от скомпрометированных хостов;
обнаружение и фильтрация трафика от хостов, заражённых троянским ПО и сетевыми червями.
Примечание
Фильтрация трафика выполняется только при включённом режиме СПВ. При выключенном режиме СПВ производятся только уведомления о срабатывании правил СОВ.
Правила СОВ отображаются во вкладке «Правила» подраздела администрирования СОВ («Обнаружение вторжений» - «Администрирование»).
Правила обрабатываются в порядке, зависящем от действия над пакетом трафика:
Перед использованием СОВ необходимо убедиться, что отключён режим «Hardware Offloading». Для выключения данного режима необходимо перейти в подраздел настройки интерфейсов («Интерфейсы» - «Настройки»), установить флажки напротив параметров:
Для включения СОВ необходимо выполнить следующие действия:
Перейти в подраздел администрирования СОВ («Обнаружение вторжений» - «Администрирование») и на вкладке «Настройки» установить флажок для параметра «Включен» (см. Рисунок – Включение СОВ).
Выбрать все интерфейсы, которые необходимо будет защищать в параметре «Интерфейсы».
Включить переключатель «расширенный режим», указать значения используемых локальных сетей в поле «Домашние сети ($HOME_NET)» и нажать кнопку «Применить».
Примечание
Для включения режима СПВ необходимо установить флажок для параметра «Режим IPS».
Часть дополнительных параметров доступна при включённом переключателе «расширенный режим».
Параметр «Авто применение правил» – включает автоматическое применение правил после их изменения.
Параметр «Смешанный режим» включает режим неразборчивого захвата – «Promiscuous Mode», например, при использовании СОВ на конфигурации с VLAN.
В параметре «Сравнение маршрутов» выбирается один из алгоритмов поиска подстроки при обработке пакетов:
«Aho-Corasick» – алгоритм сопоставления «со словарём», находящий подстроки из «словаря» в пакетах. Используется по умолчанию;
«Hyperscan» – высокопроизводительная библиотека сопоставления регулярных выражений от корпорации «Intel».
Параметры «Сохранить журналы», «Размер сохраняемых журналов» отвечают за ведение журнала работы СОВ. В поле параметра «Сохранить журналы» указывается значение, не превышающее «1000». По умолчанию используется значение «4». В поле параметра «Размер сохраняемых журналов» указывается значение в диапазоне от «8» до «512» Мбайт. По умолчанию используется значение «256» Мбайт.
Параметры «Содержимое пакета для журнала» и «Журналировать пакет» отвечают за полноту информации о трафике, содержащейся в журнале работы СОВ.
Параметр «Размер пакета по умолчанию» – задаёт размер сетевых пакетов по умолчанию.
В параметрах «Домашние сети ($HOME_NET)» и «Внешние сети ($EXTERNAL_NET)» задаются диапазоны адресов домашней сети и не относящихся к домашней сети соответственно.
Нестандартные значения портов, на которых выполняется детектирование соответствующих протоколов, указываются в блоке настроек «Уровень приложения» в полях параметров: «ADS порт(-ы)», «DNP3 порт(-ы)», «ENIP/CIP порт(-ы)», «Fanuc FOCAS порт(-ы)», «IEC104 порт(-ы)», «Modbus порт(-ы)», «OPC UA порт(-ы)», «TPKT порт(-ы)».
Блок «Настройки дефрагментации IP» содержит следующие параметры:
«Объем памяти (memcap)» – лимит памяти в Мб для движка дефрагментации. По умолчанию «64»;
«Политика memcap» – в режиме IPS, выполняемое действие над пакетами при превышении объема памяти для движка дефрагментации. По умолчанию используется значение «игнорировать (ignore)». Доступен выбор следующих значений:
«игнорировать (ignore)»;
«отбрасывать пакет (drop-packet)»;
«передавать пакет (pass-packet)»;
«Размер хеша» – размер хеш-таблицы;
«Трекеры» – количество отслеживаемых дефрагментированных потоков;
«Максимальное количество фрагментов» – количество сохраняемых фрагментов. Должно быть больше, чем значение в поле параметра «Трекеры»;
«Тайм-аут» – временной интервал в секундах, по истечении которого Suricata отбрасывает фрагменты. По умолчанию «60».
Блок «Настройки потока» содержит следующие параметры:
«Объем памяти (memcap)» – лимит памяти в Мб для движка потока. По умолчанию «512»;
«Политика memcap» – в режиме IPS, выполняемое действие над пакетами при превышении объема памяти для движка потока. По умолчанию используется значение «игнорировать (ignore)». Доступен выбор следующих значений:
«игнорировать (ignore)»;
«отбрасывать пакет (drop-packet)»;
«передавать пакет (pass-packet)»;
«отклонять (reject)»;
«Размер хеша» – размер хеша, используемого для идентификации потоков внутри движка;
«Предварительное распределение» – количество потоков, которые Suricata должна поддерживать в готовности в памяти. По умолчанию «32768»;
«Аварийное восстановление» – количество потоков в процентах, которые необходимо сократить перед сбросом аварийного состояния. Аварийное состояние активируется при достижении лимита памяти для движка потока. Это позволяет создавать новые потоки, но запускать их с учётом аварийных тайм-аутов. По умолчанию «30»;
«Количество сокращаемых потоков» – количество потоков, прекращаемых в аварийном режиме. По умолчанию «5».
Блок «Тайм-ауты потока: По умолчанию» содержит следующие параметры:
«Новое состояние» – время ожидания в секундах после последнего действия в этом потоке в новом состоянии. По умолчанию «30»;
«Установленное состояние» – время ожидания в секундах после последнего действия в этом потоке в установленном состоянии. По умолчанию «300»;
«Закрытое состояние» – время ожидания в секундах после закрытия потока. По умолчанию «0»;
«Новое аварийное состояние» – время ожидания в секундах после последнего действия в этом потоке в новом состоянии во время аварийного режима. По умолчанию «10»;
«Установленное аварийное состояние» – время ожидания в секундах после последнего действия в этом потоке в установленном состоянии в аварийном режиме. По умолчанию «100»;
«Аварийное установленное закрытое состояние» – время ожидания в секундах после закрытия потока в аварийном режиме. По умолчанию «0».
Блок «Тайм-ауты потока: TCP» содержит следующие параметры:
«Новое состояние» – время ожидания в секундах после последнего действия в этом потоке в новом состоянии. По умолчанию «60»;
«Установленное состояние» – время ожидания в секундах после последнего действия в этом потоке в установленном состоянии. По умолчанию «3600»;
«Закрытое состояние» – время ожидания в секундах после закрытия потока. По умолчанию «120»;
«Новое аварийное состояние» – время ожидания в секундах после последнего действия в этом потоке в новом состоянии во время аварийного режима. По умолчанию «10»;
«Установленное аварийное состояние» – время ожидания в секундах после последнего действия в этом потоке в установленном состоянии в аварийном режиме. По умолчанию «300»;
«Аварийное установленное закрытое состояние» – время ожидания в секундах после закрытия потока в аварийном режиме. По умолчанию «20».
Блок «Тайм-ауты потока: UDP» содержит следующие параметры:
«Новое состояние» – время ожидания в секундах после последнего действия в этом потоке в новом состоянии. По умолчанию «30»;
«Установленное состояние» – время ожидания в секундах после последнего действия в этом потоке в установленном состоянии. По умолчанию «300»;
«Новое аварийное состояние» – время ожидания в секундах после последнего действия в этом потоке в новом состоянии во время аварийного режима. По умолчанию «10»;
«Установленное аварийное состояние» – время ожидания в секундах после последнего действия в этом потоке в установленном состоянии в аварийном режиме. По умолчанию «100».
Блок «Тайм-ауты потока: ICMP» содержит следующие параметры:
«Новое состояние» – время ожидания в секундах после последнего действия в этом потоке в новом состоянии. По умолчанию «30»;
«Установленное состояние» – время ожидания в секундах после последнего действия в этом потоке в установленном состоянии. По умолчанию «300»;
«Новое аварийное состояние» – время ожидания в секундах после последнего действия в этом потоке в новом состоянии во время аварийного режима. По умолчанию «10»;
«Установленное аварийное состояние» – время ожидания в секундах после последнего действия в этом потоке в установленном состоянии в аварийном режиме. По умолчанию «100».
Блок «Настройки потока (TCP)» содержит следующие параметры:
«Объем памяти (memcap)» – максимальное использование памяти в Мб для отслеживания TCP-сессии. По умолчанию «1024»;
«Политика memcap» – действие, выполняемое над пакетами или потоками при превышении памяти для отслеживания TCP-сессии. По умолчанию используется значение «игнорировать (ignore)». Доступен выбор следующих значений:
«игнорировать (ignore)»;
«отбрасывать пакет (drop-packet)»;
«передавать пакет (pass-packet)»;
«отбрасывать поток (drop-flow)»;
«передавать поток (pass-flow)»;
«обходить (bypass)»;
«отклонять (reject)»;
«Валидация контрольной суммы» – проверка контрольной суммы пакета, отклонение пакетов с недопустимыми контрольными суммами. По умолчанию флажок установлен;
«Режим midstream» – детектирование на уровне приложения в середине TCP-потока без предварительного обнаружения «трёхсторонних рукопожатий». По умолчанию флажок не установлен;
«Политика в середине потока (midstream policy)» – действие, выполняемое над пакетами или потоками, в середине потока. По умолчанию используется значение «игнорировать (ignore)». Доступен выбор следующих значений:
«игнорировать (ignore)»;
«отбрасывать пакет (drop-packet)»;
«передавать пакет (pass-packet)»;
«отбрасывать поток (drop-flow)»;
«передавать поток (pass-flow)»;
«обходить (bypass)»;
«отклонять (reject)».
Блок «Настройки повторной сборки потока» содержит следующие параметры:
«Объем памяти (memcap)» – объем памяти в Мб, зарезервированный для восстановления потоковых данных. По умолчанию «6144»;
«Политика memcap» – действие, выполняемое над пакетами или потоками при превышении памяти для восстановления потоковых данных. По умолчанию используется значение «игнорировать (ignore)». Доступен выбор следующих значений:
«игнорировать (ignore)»;
«отбрасывать пакет (drop-packet)»;
«передавать пакет (pass-packet)»;
«отбрасывать поток (drop-flow)»;
«передавать поток (pass-flow)»;
«обходить (bypass)»;
«отклонять (reject)»;
«Глубина» – глубина повторной сборки в Мб. По умолчанию «1»;
«Размер блока данных к серверу» – разбивать поток на фрагменты как минимум такого размера в байтах. По умолчанию «2560»;
«Размер блока данных к клиенту» – разбивать поток на фрагменты как минимум такого размера в байтах. По умолчанию «2560»;
«Рандомизировать размер блока данных» – флажок установить для избежания предсказуемости границ. Размеры возможно варьировать, добавляя случайный коэффициент. По умолчанию флажок установлен.
Во вкладке «Сохранение» подраздела администрирования СОВ («Обнаружение вторжений» - «Администрирование») (см. Рисунок – Настройка импорта правил) возможны следующие действия над локальными наборами правил:
«Включить выбранные» – включение набора правил;
«Включить (фильтр отбрасывания)» – включение набора правил с применением отбрасывания пакета;
«Включить (без фильтра действия)» – включение набора правил применением действий по умолчанию;
«Отключить выбранные» – отключение набора правил без изменения порядка обработки пакетов;
«Удалить выбранные» – удаление набора и правил его составляющих;
«Загрузить новый локальный набор правил» – импорт файла с правилами.
В случае сброса ARMA FW к значениям по умолчанию, загруженные ранее правила сохраняются.
Примечание
Удалённые наборы правил СОВ вновь будут отображаться в перечне наборов после успешного выполнения обновления (см. «Обновление правил СОВ с внешнего сервера») или восстановления правил СОВ (см. «Восстановление правил СОВ»). Восстанавливаемые наборы правил будут добавлены выключенными.
Для изменения настройки какого-либо набора правил СОВ необходимо выполнить следующие действия:
Установить флажок слева от описания набора правил, подлежащего изменению.
Кнопка «Применить изменения» становится неактивной на период применения изменений настройки набора правил СОВ.
Возможна настройка автоматического обновления и перезагрузки правил СОВ с помощью планировщика задач Cron (см. «Cron»). При создании задачи необходимо выбрать «Обновить и перезагрузить правила обнаружения вторжений» в параметре «Команда».
Примечание
В случае работы СОВ в режиме СПВ, при выполнении расписания автоматического обновления и перезагрузки правил обнаружения вторжений, возможен временный разрыв соединений.
ARMA FW поддерживает возможность обновления правил СОВ с внешнего сервера.
Для обновления правил СОВ с внешнего сервера необходимо выполнить следующие действия:
Перейти во вкладку «Настройки» подраздела настроек обновления («Система» - «Прошивка» - «Обновления»), ввести значения в полях параметров «Имя пользователя» и «Пароль», затем нажать кнопку «Сохранить».
Примечание
Для получения учётных данных, используемых для обновления правил СОВ, необходимо обратиться в техподдержку ООО «ИнфоВотч АРМА».
В случае успешного сохранения настроек будет выведено соответствующее уведомление.
В случае выполнения проверки наличия обновления без предварительного указания учётных данных будет выведено соответствующее уведомление об ошибке (см. Рисунок – Ошибка проверки обновлений).
В случае наличия в ARMA FW актуальной базы правил СОВ, во всплывающем окне будет отображаться кнопка «Восстановить» (см. Рисунок – Доступных обновлений не найдено).
Дождаться окончания процесса обновления, после которого будет отображена информация о дате и времени загрузки правил.
Загруженные правила будут отображены в списке во вкладке «Правила» подраздела администрирования СОВ («Обнаружение вторжений» - «Администрирование»).
Возможна настройка автоматической проверки наличия обновления с помощью планировщика задач Cron (см. «Cron»). При создании задачи необходимо выбрать «Проверить обновления правил suricata» в параметре «Команда». После результативного выполнения задачи планировщиком, при наличии доступного обновления будет выведено соответствующее уведомление.
В случае удаления каких-либо наборов правил СОВ на ARMA FW поддерживается возможность их восстановления.
Для восстановления правил СОВ с внешнего сервера необходимо выполнить следующие действия:
Перейти во вкладку «СОВ» подраздела настроек обновления («Система» - «Прошивка» - «Обновления») и нажать кнопку «Проверить наличие обновлений» (см. Рисунок – Проверка наличия обновлений).
Обновление базы правил может осуществляться путём импорта файла с правилами в формате «Suricata» с помощью веб-интерфейса.
В качестве примера будет использован файл набора правил «scan.rules», содержащий в себе правило, рассчитанное на обнаружение сетевого сканирования.
Для импорта пользовательских решающих правил необходимо выполнить следующие действия:
Во вкладке «Сохранение» подраздела администрирования СОВ («Обнаружение вторжений» - «Администрирование») нажать кнопку «Загрузить новый локальный набор правил», в открывшейся форме выбрать файл «scan.rules» и нажать кнопку «Открыть».
необходимо нажать кнопку «Закрыть», найти в списке загруженный набор правил, установить флажок слева от него, нажать кнопку «Включить выбранные», а затем нажать кнопку «Применить изменения» (см. Рисунок – Включение набора правил).
Перейти во вкладку «Правила», ввести в строку поиска «NMAP –sS», установить флажок справа от кнопки «» для включения правил (см. Рисунок – Включение правил) и нажать кнопку «Применить».
Рисунок – Запуск сканирования с помощью программы Zenmap
Результатом успешного срабатывания правила будет появление событий в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»), в детальной информации которых присутствует значение, указанное в параметре «Заголовок»:
ARMA FW поддерживает выполнение определённых действий над группой выбранных правил СОВ нажатием на следующие кнопки (см. Рисунок – Управление группой правил СОВ):
Во вкладке «Правила» подраздела администрирования СОВ («Обнаружение вторжений» - «Администрирование») (см. Рисунок – Счётчик правил СОВ) расположен счётчик, отображающий количество следующих правил СОВ:
Импорт правил СОВ возможен с удалённых FTP/SFTP/SMB-серверов.
ARMA FW поддерживает передачу данных по протоколу SMB 3.1.1.
При импорте используется архив «tar.gz», содержащий файлы наборов правил. Название архива должно соответствовать следующему формату:
«rulesets_[версия ARMA FW]_[версия правил].tar.gz», например «rulesets_3.7.1_1.0.6.tar.gz»,
файлы наборов правил должны иметь расширение «rules», например, «scan.rules».
В процессе импорта выбирается архив с наиболее новой версией правил.
Архив, содержащий файлы наборов правил, должен находиться в каталоге с названием, соответствующим следующему формату:
«armaif_[версия ARMA FW]», например «armaif_3.7.1».
Для настройки импорта правил необходимо выполнить следующие действия:
Перейти в подраздел настроек импорта правил («Обнаружение вторжений» - «Настройки импорта правил»).
Установить флажок в параметре «Включен» и указать настройки импорта для требуемого протокола:
Значение для FTP|SFTP:
«Протокол» – «FTP» или «SFTP»;
«Адрес» – адрес сервера: IP-адрес, хост, доменное имя;
«Имя пользователя» – учётные данные;
«Пароль» – учётные данные;
«Путь к корневой папке» – путь к каталогу с архивом правил. Путь должен начинаться с символа «/». Если архив находится в корневой директории, необходимо указать только символ «/»;
«Интервал» – интервал ожидания в случае неудачной попытки, задаётся в секундах.
При активации «расширенного режима» (см. Рисунок – Настройки импорта правил) становится доступным параметр «FTP|SFTP порт», который позволяет изменить порт для подключения к FTP|SFTP-серверу. По умолчанию для FTP-сервера установлен порт «21», а для SFTP-сервера – «22».
«Адрес» – адрес сервера: IP-адрес, хост, доменное имя;
«Общедоступный ресурс Samba» – имя общедоступного ресурса Samba;
«Имя пользователя» – учётные данные;
«Пароль» – учётные данные;
«Путь к корневой папке» – путь к каталогу с архивом правил. Путь должен начинаться с символа «/». Если архив находится в корневой директории, необходимо указать только символ «/»;
«Интервал» – интервал ожидания в случае неудачной попытки, задаётся в секундах.
Для сохранения настроек необходимо нажать кнопку «Сохранить», а для сохранения настроек и импорта нажать кнопку «Сохранить и импортировать».
Рисунок – Сообщения об успешном импорте правил СОВ
Для настроенного импорта возможно задать расписание выполнения с помощью планировщика задач Cron (см. «Cron»). При создании задачи необходимо выбрать «Импорт правил СОВ» в параметре «Команда».
Существует возможность экспортировать наборы правил СОВ, загруженных ранее.
Для этого необходимо перейти в подраздел резервного копирования («Система» - «Конфигурация» - «Резервные копии») и в блоке «Скачать наборы правил СОВ» (см. Рисунок – Экспорт наборов правил СОВ) нажать кнопку «Экспорт». Наборы правил СОВ будут скачаны архивом формата «tar.gz», название архива будет иметь следующий формат:
«localrulesets-[полное доменное имя ARMA FW]-[Дата экспорта][Время экспорта].tar.gz».
Подсистема контроля промышленных протоколов модуля СОВ реализована на базе технологии глубокой инспекции пакетов протоколов прикладного уровня, включая промышленные протоколы.
Функциональность подсистемы контроля промышленных протоколов обеспечивает интеллектуальное распознавание протоколов прикладного уровня за счёт сигнатурного анализа.
Шаблоны промышленных протоколов позволяют создавать пользовательские правила для обеспечения дополнительной фильтрации или уведомления об определённых сетевых событиях.
Далее приведён перечень поддерживаемых протоколов, для которых представлены шаблоны форм правил, и степень их разбора:
ADS.
Стандарт – Automation Device Specification.
Сообщения по протоколу ADS разделяются по типу транспорта:
TCP;
UDP.
Для сообщений по протоколу ADS возможно задать правило обнаружения по признакам:
AMS NetId – идентификатор устройства, для которого предназначен пакет;
AMS порт – порт устройства, для которого предназначен пакет;
команды ADS;
тип сообщения – запрос или ответ.
При обнаружении по командам «ADS Read», «ADS Write», «ADS Add Device Notification», «ADS Read Write» возможно задать параметры для следующих запросов:
ADS индекс группы;
ADS индекс смещения.
При обнаружении по команде «ADS Write Control» возможно задать параметры для следующих запросов:
состояние ADS;
состояние устройства.
При обнаружении по команде «ADS Add Device Notification» возможно задать параметры для запроса:
режим передачи.
Alpha Link.
Поддерживается работа на прикладном или сетевом уровне.
Для сообщений по протоколу Alpha Link возможно задать правило обнаружения по:
команде;
типу команды.
DNP3.
Сообщения по протоколу DNP3 разделяются по:
функции;
объекту, с указанием группы и вариации;
внутренней индикации;
контенту, с указанием шестнадцатеричного потока.
ENIP/CIP.
Сообщения по протоколу ENIP обнаруживаются по команде.
Сообщения по протоколу CIP обнаруживаются по:
сервису;
сервису и классу;
сервису, классу и атрибуту.
Сообщения по протоколу CIP обнаруживаются по классу и атрибуту для сервисов: «3», «4», «14», «16».
EtherCAT.
Стандарт – IEC/PAS 62407(2005).
Сообщения по протоколу EtherCAT обнаруживаются по:
команде – CMD;
логическому адресу – ADDR;
составному адресу – SLAVE, OFFSET;
значению поля данные – DATA;
регистрам – 120, 130, 200, 300, 502, 504-50E.
Fanuc FOCAS.
Сообщения по протоколу EtherCAT обнаруживаются по:
запросу;
ответу;
команде;
аргументам.
GOOSE.
Стандарт – IEC 61850-8-1.
Сообщения по протоколу GOOSE разделяются по:
идентификатору приложения;
значению поля «Dataset»;
значению поля «GoCBRef»;
значению поля «GoID»;
значению поля «Дельта секунд»;
значению поля «Дельта наносекунд»;
значению поля «Предустановленная дата и время»;
значению поля «Предустановленные наносекунды».
IEC 60870-5-104.
Стандарт – ГОСТ Р МЭК 60870-5-104-2004.
Сообщения по протоколу IEC 60870-5-104 могут быть определены по типу пакета:
полный APDU;
для целей управления – только поля APCI.
При классификации по типу пакета APCI возможен выбор формата пакета:
любой;
«U-format (unnumbered control functions)» – функции управления без нумерации;
«S-format (numbered supervisory functions)» – функции контроля с нумерацией.
При классификации по типу пакета ASDU возможно задание:
диапазона разрешённых входящих пакетов (RX);
диапазона разрешённых исходящих пакетов (TX);
типа данных ASDU;
COT (Cause of Transmission) – причины передачи;
AD – ASDU адреса (условие).
Возможно задать правила для полей объектов информации:
IOA – адрес (диапазон);
IOA_V – значение (целые числа) (условие);
VALUE – значение (целые и дробные числа) (условие и диапазон);
Для сообщений по протоколу Modbus TCP можно задать правило обнаружения на основе признака совпадения:
свойство функции – код или категория функции;
тип доступа к данным – тип доступа и основная модель данных;
диапазон функции – ввод кода функции, адреса и значения переменной вручную.
При обнаружении по свойству функции возможно задать дополнительные опции:
используемую функцию, подфункцию;
категорию кодов функции.
Категории кодов функции:
назначенная – коды функций, которые определены в Modbus спецификации;
неназначенная – общедоступная, стандартные и организационные коды;
пользовательская – два диапазона кодов, для которых возможно назначить произвольную функцию;
зарезервированная – коды функций, не являющихся стандартными;
все категории.
При классификации по доступу к данным возможно задать следующие дополнительные опции:
тип доступа к данным – записать или считать;
Модель данных:
«Регистры флагов (Coils)» – битовые данные, доступ чтение/запись;
«Регистры хранения (Holding Registers)» – 16 битовые данные, доступ чтение/запись;
«Дискретные входы (Discrete Inputs)» – битовые данные, доступ чтение;
«Регистры ввода (Input Registers)» – 16 битовые данные, доступ чтение.
OPC DA.
Стандарт – OLE for Process Control Data Access Automation Interface Standard v.2.0.
Сообщения по протоколу OPC DA разделяются по типу сообщения:
REQUEST;
PING;
RESPONSE;
FAULT;
WORKING;
NOCALL;
REJECT;
ACK;
CI_CANCEL;
FACK;
CANCEL_ACK;
BIND;
BIND_ACK;
BIND_NACK;
ALTER_CONTEXT;
ALTER_CONTEXT_RESP;
SHUTDOWN;
AUTH3;
CO_CANCEL;
ORPHANED.
При выборе «REQUEST» в поле появятся поля ввода идентификатора вызываемого объекта и ввода номера вызываемой функции объекта.
OPC UA.
Стандарт – IEC 62541.
Сообщения по протоколу OPC UA разделяются по типу сообщения:
«HELLO» – маркер начала передачи данных между клиентом и сервером;
«ACKNOWLEDGE» – ответ на сообщение типа HELLO;
«OPEN» – открытие канала передачи данных с предложенным методом шифрования данных;
«MESSAGE» – передаваемое сообщение;
«CLOSE» – конец сессии.
При выборе «OPEN» появится поле выбора политики безопасности.
При выборе «MESSAGE» появится поле выбора типа запроса.
При выборе «BROWSE» в поле «Тип запроса» появятся поле выбора типа идентификатора узла и поле ввода значения, и поле ввода идентификатора пространства имён.
При выборе «READ» в поле «Тип запроса» появятся поле выбора типа идентификатора узла и поле ввода значения, поле ввода идентификатора пространства имён.
При выборе «WRITE» в поле «Тип запроса» появятся поле ввода идентификатора пространства имен, поле ввода значения, поле выбора типа идентификатора узла и поле выбора типа значений.
При выборе «CALL» в поле «Тип запроса» появятся поле выбора типа идентификатора узла, вызываемого объекта, и поле выбора типа идентификатора узла, вызываемого метода.
RDP.
Стандарт – T.120.
Сообщения по протоколу RDP фильтруются по значению поля «Значение RDP Cookie».
S7comm.
Стандарт протокола связи коммуникационных модулей серий Siemens SIMATIC S7-300/400.
Сообщения по протоколу S7comm разделяются по функции:
CPUSERVICE;
SETUPCOMM;
READVAR;
WRITEVAR;
REQUESTDOWNLOAD;
DOWNLOADBLOCK;
DOWNLOADENDED;
STARTUPLOAD;
UPLOAD;
ENDUPLOAD;
PLCCONTROL;
PLCSTOP.
При выборе в поле «Функция» функции «READVAR» необходимо выбрать тип области чтения и поля ввода имени области, типа данных, количества данных и смещения данных.
При выборе в поле «Функция» функции «WRITEVAR» необходимо выбрать тип области чтения и поля ввода имени области, типа данных, количества данных и смещения данных, типа передаваемого значения, количество передаваемых данных, список значений данных.
При выборе в поле «Функция» функции «REQUESTDOWNLOAD» появятся поля выбора типа блока, номера блока и целевой файловой системы.
При выборе в поле «Функция» функции «DOWNLOADBLOCK» появятся поля выбора типа блока, номера блока и целевой файловой системы.
При выборе в поле «Функция» функции «STARTUPLOAD» появятся поля выбора типа блока, номера блока и целевой файловой системы.
При выборе в поле «Функция» функции «PLCCONTROL» появится поле выбора функции управления ПЛК:
«INSE (Активация скачанного блока, параметром выступает имя блока)»;
«DELE (Удаление блока, параметром выступает имя блока)»;
«PPROGRAM (Запуск программы, параметром выступает имя программы)»;
«GARB (Сжатие памяти)»;
«MODU (Копирование RAM в ROM, параметр содержит идентификатор файловой системы A/E/P)»;
«OFF (Выключение ПЛК)»;
«ON (Включение ПЛК)».
S7comm Plus.
Стандарт протокола связи коммуникационных модулей серий Siemens SIMATIC S7-1200 и S7-1500.
Сообщения по протоколу S7comm Plus разделяются по типу сообщения:
REQUEST;
RESPONSE;
NOTIFY;
RESPONSE2.
По типу взаимодействия:
CONNECT;
DATA;
DATAFW1_5;
KEEPALIVE;
EXT_KEEPALIVE.
По функции:
EXPLORE;
CREATEOBJECT;
DELETEOBJECT;
SETVARIABLE;
GETLINK;
SETMULTIVAR;
GETMULTIVAR;
BEGINSEQUENCE;
ENDSEQUENCE;
INVOKE;
GETVARSUBSTR.
При выборе в поле «Функция» функции «EXPLORE» возможно выбрать диапазоны для параметров «EXPLORE_AREA» и «EXPLORE_ATTR_ID».
При выборе в поле «Функция» функции «CREATEOBJECT» возможно выбрать диапазон для параметра «CREATEOBJECT_ATTR_ID».
При выборе в поле «Функция» функции «DELETEOBJECT» возможно выбрать диапазоны для параметров «DELETEOBJECT_OBJ_ID» и «DELETEOBJECT_ATTR_ID».
При выборе в поле «Функция» функции «GETLINK» возможно выбрать диапазон для параметра «GETLINK_ATTR_ID».
При выборе в поле «Функция» функции «SETMULTIVAR» возможно выбрать диапазон для параметра «SETMULTIVAR_ATTR_ID».
При выборе в поле «Функция» функции «GETMULTIVAR» возможно выбрать диапазон для параметра «GETMULTIVAR_ATTR_ID».
При выборе в поле «Функция» функции «GETVARSUBSTR» возможно выбрать диапазон для параметра «GETVARSUBSTR_ATTR_ID».
Telnet.
Стандарт – RFC 854.
Сообщения по протоколу Telnet фильтруются по значению поля «Значение Telnet login».
UMAS.
Основан на протоколе Xway Unite. Протокол Umas используется для настройки и мониторинга ПЛК Schneider-Electric.
Сообщения по протоколу UMAS разделяются по функциям:
инициализация UMAS сессии;
чтение информации о проекте;
чтение внутренней информации ПЛК;
назначение ПЛК владельца;
инициализация загрузки – копирования с инженерного ПК на ПЛК;
завершение загрузки – копирования с инженерного ПК на ПЛК;
инициализация скачивания – копирования с ПЛК на инженерный ПК;
конец скачивания – копирования с ПЛК на инженерный ПК;
включение ПЛК;
выключение ПЛК.
Поддержка правил по протоколам:
ADS;
IEC104;
MMS;
Modbus;
OPC DA;
OPC UA;
S7comm;
S7comm Plus;
реализована на уровне приложений. Данные протоколы будут анализироваться и обнаруживаться ARMA FW только в случае, если подсистема СОВ была запущена до момента установления сессии по данным протоколам.
В случае, если установление сессии произошло до запуска подсистемы СОВ, пакеты данных сессий при анализе использованы не будут.
При использовании нестандартных портов для протоколов:
ADS;
DNP3;
ENIP/CIP;
Fanuc FOCAS;
IEC104;
MMS, TPKT;
Modbus;
OPC UA;
S7comm, TPKT;
S7comm Plus, TPKT;
следует указать значения портов в блоке настроек «Уровень приложения» в полях соответствующих параметров: «ADS порт(-ы)», «DNP3 порт(-ы)», «ENIP/CIP порт(-ы)», «Fanuc FOCAS порт(-ы)», «IEC104 порт(-ы)», «Modbus порт(-ы)», «OPC UA порт(-ы)», «TPKT порт(-ы)» (см. «Дополнительные настройки СОВ»).
Для создания пользовательских правил необходимо перейти в подраздел настроек правил («Обнаружение вторжений» - «Контроль промышленных протоколов») и нажать кнопку «», в открывшейся форме (см. Рисунок – Форма редактирования правила СОВ) указать параметры правила и нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения».
При создании пользовательских правил доступны следующие варианты действий:
«Предупредить (Alert)» – оповещение при срабатывании правила;
«Отклонить (Reject)» – блокировка пакета при срабатывании правила и оповещение о блокировке отправителя;
«Отбросить (Drop)» – блокировка пакета при срабатывании правила без уведомления о блокировке отправителя;
«Разрешить (Pass)» – разрешение прохождения пакета при срабатывании правила.
Создаваемые правила СОВ должны обладать тремя или более уникально настроенными параметрами, два из которых являются обязательными для заполнения – «Заголовок» и «Сообщение».
Примечание
При проверке срабатывания пользовательских правил необходимо убедиться, что СОВ включена (см. «Основные настройки СОВ»).
Для редактирования существующих правил необходимо перейти в подраздел настроек правил («Обнаружение вторжений» - «Контроль промышленных протоколов») и нажать кнопку «» напротив существующего правила, в открывшейся форме (см. Рисунок – Форма редактирования правила СОВ) изменить параметры правила и нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения».
Возможно копирование правил СОВ с помощью кнопки «».
Создание пользовательских правил на основе собственного шаблона
«Специфичная часть правила» – «flow: stateless; threshold: type both, track by_dst, count 200, seconds 1;».
Остальные параметры необходимо оставить по умолчанию и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».
Параметр «Специфичная часть правила» сконфигурирован в соответствии с форматом написания правил ПО «Suricata», дополнительные сведения представлены на официальном сайте ПО «Suricata» (см. https://docs.suricata.io/en/suricata-6.0.20/rules/intro.html).
Для проверки правила СОВ необходимо выполнить следующие действия:
На ПК «Kali Linux» запустить терминал и выполнить команду:
hping3-S--flood192.168.2.100
Через 10 секунд остановить команду комбинацией клавиш «Ctrl» + «C».
Результатом успешного срабатывания правила будет появление событий в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»), в детальной информации которых присутствует значение, указанное в параметре «Заголовок»:
Рисунок – Схема стенда для срабатывания пользовательских правил СОВ на основе шаблонов промышленных протоколов
Для некоторых промышленных протоколов доступно значение «Любые кроме пакета протокола» в параметре «Фильтровать на основе протокола». При выборе данной опции при создании правила для указанного протокола все пакеты, не определённые как пакеты указанного протокола, вызовут срабатывания правила.
При создании пользовательского правила на основе шаблона промышленного протокола ADS необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Тип сообщения».
В поле параметра «Тип сообщения» возможно выбрать следующие значения:
«Любой»;
«Запрос»;
«Ответ».
При выборе значения «Запрос» в поле параметра «Тип сообщения» дополнительно появятся следующие параметры:
«Тип условия AMS Target Net Id» – значение или диапазон;
«Значение AMS Target Net Id» – целевой идентификатор;
«Значение AMS Target port» – целевой порт;
«Тип условия AMS Source Net Id» – значение или диапазон;
«Значение AMS Source Net Id» – идентификатор источника;
«Значение AMS Source port» – порт источника;
«CmdId» – идентификатор команды.
В полях параметров «Тип условия AMS Target Net Id» и «Тип условия AMS Source Net Id» возможно выбрать:
«Значение»;
«Диапазон».
При выборе значения «Диапазон» в поле параметра «Тип условия AMS Target Net Id» дополнительно появятся следующие параметры:
«Начало диапазона значения AMS Target Net Id»;
«Конец диапазона значения AMS Target Net Id».
При выборе значения «Диапазон» в поле параметра «Тип условия AMS Source Net Id» дополнительно появятся следующие параметры:
«Начало диапазона значения AMS Source Net Id»;
«Конец диапазона значения AMS Source Net Id».
В полях параметров «Значение AMS Target Net Id», «Значение AMS Source Net Id», «Начало диапазона значения AMS Target Net Id», «Конец диапазона значения AMS Target Net Id», «Начало диапазона значения AMS Source Net Id» и «Конец диапазона значения AMS Source Net Id» необходимо указать значение, состоящее из шести чисел от «0» до «255», разделённых знаком «точка», например «10.0.8.2.1.1».
В полях параметров «Значение Target port» и «Значение AMS Source port» возможно указать число от «0» до «65535» или диапазон чисел от «0» до «65535» при установке флажка напротив параметра.
В поле параметра «CmdId» возможно выбрать следующие значения:
«Любой»;
«1: ADS Read Device Info»;
«2: ADS Read»;
«3: ADS Write»;
«4: ADS Read State»;
«5: ADS Write Control»;
«6: ADS Add Device Notification»;
«7: ADS Delete Device Notification»;
«8: ADS Device Notification»;
«9: ADS Read Write»;
«Настроенное пользователем».
В поле параметра «CmdId» при выборе значения «Настроенное пользователем» дополнительно появится параметр:
«Значение CmdId» – возможно указать число от «1» до «10» или диапазон чисел от «1» до «10» при установке флажка напротив параметра.
В поле параметра «CmdId» при выборе значений «2: ADS Read», «3: ADS Write», «6: ADS Add Device Notification» и «9: ADS Read Write» дополнительно появятся следующие параметры:
«Значение IndexGroup»;
«Значение IndexOffset».
В полях параметров «Значение IndexGroup» и «Значение IndexOffset» возможно указать число от «0» до «4294967295» или диапазон чисел от «0» до «4294967295» при установке флажка напротив параметра.
В поле параметра «CmdId» при выборе значения «5: ADS Write Control» дополнительно появятся следующие параметры:
«AdsState»;
«DeviceState».
В полях параметров «AdsState» и «DeviceState» возможно выбрать следующие значения:
«Любой»;
«1: INVALID»;
«2: IDLE»;
«3: RESET»;
«4: INIT»;
«5: RUN»;
«6: STOP»;
«7: SAVECFG»;
«8: LOADCFG»;
«9: POWERFAILURE»;
«10: POWERGOOD»;
«11: ERROR»;
«12: SHUTDOWN»;
«13: SUSPEND»;
«14: RESUME»;
«15: CONFIG»;
«16: RECONFIG»;
«Настроенное пользователем».
В полях параметров «AdsState» и «DeviceState» при выборе значения «Настроенное пользователем» дополнительно появятся следующие параметры:
«Значение AdsState»;
«Значение DeviceState».
В полях параметров «Значение AdsState» и «Значение DeviceState» возможно указать число от «0» до «65535» или диапазон чисел от «0» до «65535» при установке флажка напротив параметра.
При создании пользовательского правила на основе шаблона промышленного протокола Alpha Link необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся параметры «Команда», «Тип команды».
Поле параметра «Счетчики» обязательно для заполнения и принимает значения целых чисел в диапазоне от «0» до «9223372036854775807», используемые для декодирования пакетов.
В поле параметра «Команда» возможен выбор следующих значений:
«CMD_LIST_NODES»;
«RES_LIST_NODES»;
«CMD_GET_PROPS»;
«RES_GET_PROPS»;
«CMD_SET_PROP»;
«RES_SET_PROP»;
«CMD_GET_PROP»;
«RES_GET_PROP»;
«CMD_CREATE_NODE»;
«RES_CREATE_NODE»;
«CMD_DELETE_NODE»;
«RES_DELETE_NODE»;
«CMD_RENAME_NODE»;
«RES_RENAME_NODE»;
«CMD_DELETE_PROP»;
«RES_DELETE_PROP»;
«CMD_SET_PROPS»;
«RES_SET_PROPS»;
«CMD_CREATE_NODE_EX»;
«RES_CREATE_NODE_EX»;
«CMD_COPY_NODE»;
«RES_COPY_NODE»;
«CMD_LOCK_NODE»;
«RES_LOCK_NODE»;
«CMD_UNLOCK_NODE»;
«RES_UNLOCK_NODE»;
«CMD_LOCK_BRANCH»;
«RES_LOCK_BRANCH»;
«CMD_UNLOCK_BRANCH»;
«RES_UNLOCK_BRANCH»;
«CMD_GET_PROP_DESCRIPTIONS»;
«RES_GET_PROP_DESCRIPTIONS»;
«CMD_ON_CHANGE_CONFIG»;
«CMD_ON_LOCK»;
«CMD_SET_USER_INFO»;
«CMD_GET_LOCKINGS»;
«RES_GET_LOCKINGS»;
«CMD_BACKUP»;
«RES_BACKUP»;
«CMD_FIND_NODE»;
«RES_FIND_NODE»;
«CMD_GET_CONFIG_TREE»;
«RES_GET_CONFIG_TREE»;
«CMD_GET_SERVER_PARAM»;
«RES_GET_SERVER_PARAM»;
«CMD_CREATE_NODES»;
«RES_CREATE_NODES»;
«CMD_CREATE_NODES_BY_ID»;
«RES_CREATE_NODES_BY_ID»;
«CMD_GET_FREE_ID»;
«RES_GET_FREE_ID»;
«CMD_GET_ID_BY_NAME»;
«RES_GET_ID_BY_NAME»;
«CMD_CREATE_NODE_BY_ID»;
«RES_CREATE_NODE_BY_ID»;
«CMD_GET_CONFIG_ID»;
«RES_GET_CONFIG_ID»;
«CMD_SET_CONFIG_ID»;
«RES_SET_CONFIG_ID»;
«CMD_GET_CONFIG_NODE_STREAM»;
«RES_GET_CONFIG_NODE_STREAM»;
«CMD_SEND_DATA_STREAM»;
«RES_SEND_DATA_STREAM»;
«CMD_DATA_STREAM_CONTROL»;
«RES_DATA_STREAM_CONTROL»;
«CMD_AUTHORIZE_WITH_PASSWORD»;
«RES_AUTHORIZE_WITH_PASSWORD»;
«CMD_SET_MASTER_PASSWORD»;
«RES_SET_MASTER_PASSWORD»;
«CMD_KICKED_FROM_SERVER»;
«CMD_CREATE_OR_UPDATE_NODES»;
«RES_CREATE_OR_UPDATE_NODES»;
«CMD_GET_BACKUP»;
«RES_GET_BACKUP»;
«CMD_SET_BACKUP»;
«RES_SET_BACKUP»;
«CMD_GET_EXTOBJECTS»;
«RES_GET_EXTOBJECTS»;
«CMD_SET_EXTOBJECTS»;
«RES_SET_EXTOBJECTS»;
«CMD_GET_SNAPSHOT»;
«RES_GET_SNAPSHOT»;
«CMD_UPLOAD_SNAPSHOT»;
«RES_UPLOAD_SNAPSHOT»;
«Настроенное пользователем»;
при выборе которых, за исключением «Настроенное пользователем», дополнительно появится параметр «Тип команды».
Перечень доступных к выбору значений в полях параметров «Команда» и «Тип команды» приведён в таблице (см. Таблица «Доступные типы команд»).
В зависимости от выбранного типа команды могут появляться следующие дополнительные параметры:
«COMPUTER_NAME», «DST_FULL_NAME», «ERROR», «FULL_NAME», «LOCAL_IP», «NAME», «NODE_FULL_NAME», «NODE_NAME», «NEW_NAME», «PARAM», «PATH», «REMOTE_IP», «USER_NAME», «VERSION» – поля параметров принимают данные в шестнадцатеричном формате, где символ занимает два байта, например, «4400 6500 6D00 6F00 2E00 5300 6500 7400»;
«CONFIG_ID» – поле параметра принимает значение GUID;
«CUR_PASS_CIPHER», «NEW_PASS_CIPHER» – поля параметров принимают числа в шестнадцатеричной системе счисления, где символ занимает один байт, например, «44 65 6D 6F 2E 53 65 74»;
«DAY» – поле параметра принимает число от «0» до «31» или диапазон чисел при установке флажка напротив параметра;
«DOW» – номер дня в неделе, поле параметра принимает число от «1» до «7» или диапазон чисел при установке флажка напротив параметра;
«DST» – поле параметра принимает число от «-1» до «1» или диапазон чисел при установке флажка напротив параметра;
«HOUR» – час, поле параметра принимает число от «0» до «23» или диапазон чисел при установке флажка напротив параметра;
«ACTION», «ID», «LOCK_ID», «NODE_ID», «NUM», «OPERATION», «PARENT_ID», «PROP_ID», «QUALITY», «STREAM_ID», «TYPE», «VER», «Инвертированное значение ACTION», «Инвертированное значение DAY», «Инвертированное значение DOW», «Инвертированное значение DST», «Инвертированное значение HOUR», «Инвертированное значение ID», «Инвертированное значение LOCK_ID», «Инвертированное значение MIN», «Инвертированное значение MONTH», «Инвертированное значение NODE_ID», «Инвертированное значение NUM», «Инвертированное значение OPERATION», «Инвертированное значение PARENT_ID», «Инвертированное значение PROP_ID», «Инвертированное значение QUALITY», «Инвертированное значение SEC», «Инвертированное значение STREAM_ID», «Инвертированное значение TYPE», «Инвертированное значение VER», «Инвертированное значение YEAR» – возможно указать число от «-9223372036854775808» до «9223372036854775807» или диапазон чисел при установке флажка напротив параметра;
«IS_LAST_PART»;
«IS_MY_CHANGE»;
«MIN» – минута, поле параметра принимает число от «0» до «59» или диапазон чисел при установке флажка напротив параметра;
«MONTH» – месяц, поле параметра принимает число от «1» до «12» или диапазон чисел при установке флажка напротив параметра;
«PROP_VALUE» – в зависимости от выбранного значения параметра «Тип PROP_VALUE», поле параметра принимает числа в десятичной системе счисления в различных диапазонах или числа в шестнадцатеричной системе счисления, где символ занимает один байт, например, «44 65 6D 6F 2E 53 65 74» либо два байта, например, «4400 6500 6D00 6F00 2E00 5300 6500 7400», а также принимает значения GUID;
«SEC» – секунда, поле параметра принимает число от «0» до «59» или диапазон чисел при установке флажка напротив параметра;
«TERMINATE»;
«VALUE» – в зависимости от выбранного значения параметра «Тип VALUE», поле параметра принимает числа в десятичной системе счисления в различных диапазонах или числа в шестнадцатеричной системе счисления, где символ занимает один байт, например, «44 65 6D 6F 2E 53 65 74», либо два байта, например, «4400 6500 6D00 6F00 2E00 5300 6500 7400», а также принимает значения GUID;
«YEAR» – год, поле параметра принимает число от «0» до «9223372036854775807» или диапазон чисел при установке флажка напротив параметра;
При создании пользовательского правила на основе шаблона протокола ENIP/CIP необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся параметры «Совпадение по» и «Команда».
В поле параметра «Совпадение по» возможно выбрать следующие значения:
«ENIP команда»;
«Сервис CIP»;
«ENIP команда CIP сервис».
В поле параметра «Команда» возможно указать число от «0» до «65535».
В поле параметра «Совпадение по» при выборе значения «Сервис CIP» дополнительно появятся следующие параметры:
«Служба»;
«Использовать класс».
В поле параметра «Служба» возможно указать число от «0» до «127».
При установке флажка для параметра «Использовать класс» дополнительно появятся следующие параметры:
«Класс»;
«Использовать атрибут».
При установке флажка для параметра «Использовать атрибут» дополнительно появится параметр «Атрибут».
В полях параметров «Класс» и «Атрибут» возможно указать число от «0» до «65535».
При создании пользовательского правила на основе шаблона промышленного протокола EtherCAT необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся следующие параметры:
«Cmd»;
«Тип адресации»;
«Значение логического адреса»;
«Поля регистра 0х120»;
«Поля регистра 0х130»;
«Поля регистра 0х200»;
«Поля регистра 0х300»;
«Поля регистра 0х502»;
«Поля регистров 0х504-0х50E»;
«Строка данных в шестнадцатеричном формате»;
«Коммуникационный профиль».
В поле параметра «Cmd» возможно выбрать следующие значения:
«Любой»;
«0: No operation» – ведомое устройство игнорирует команду;
«1: Auto Increment Physical Read» – ведомое устройство увеличивает значение адреса «Slave», записывает данные в датаграмму, если значение адреса «Slave» равно «0»;
«2: Auto Increment Physical Write» – ведомое устройство увеличивает значение адреса «Slave», записывает данные себе, если значение адреса «Slave» равно «0»;
«3: Auto Increment Physical ReadWrite» – ведомое устройство увеличивает значение адреса «Slave», записывает данные в датаграмму и себе, если значение адреса «Slave» равно «0»;
«4: Configured address Physical Read» – ведомое устройство записывает данные в датаграмму, если значение адреса «Slave» датаграммы соответствует адресу/псевдониму этого устройства;
«5: Configured address Physical Write» – ведомое устройство записывает данные себе, если значение адреса «Slave» датаграммы соответствует адресу/псевдониму этого устройства;
«6: Configured address Physical ReadWrite» – ведомое устройство записывает данные в датаграмму и себе, если значение адреса «Slave» датаграммы соответствует адресу/псевдониму этого устройства;
«7: Broadcast Read» – все ведомые устройства записывают в датаграмму «логическое или» данных своих и датаграммы, увеличивают значение адреса «Slave»;
«8: Broadcast Write» – все ведомые устройства записывают данные себе, увеличивают значение адреса «Slave»;
«9: Broadcast ReadWrite» – все ведомые устройства записывают в датаграмму «логическое или» данных своих и датаграммы, записывают данные себе, увеличивают значение адреса «Slave»;
«10: Logical Read» – ведомое устройство записывает данные в датаграмму, если значение адреса датаграммы соответствует логическому адресу этого устройства;
«11: Logical Write» – ведомое устройство записывает данные себе, если значение адреса датаграммы соответствует логическому адресу этого устройства;
«12: Logical ReadWrite» – ведомое устройство записывает данные в датаграмму и себе, если значение адреса датаграммы соответствует логическому адресу этого устройства;
«13: Auto Increment Physical Read Multiple Write» – ведомое устройство увеличивает значение адреса «Slave», записывает данные в датаграмму, если значение адреса «Slave» равно «0» и записывает данные себе, если значение адреса «Slave» не равно «0»;
В поле параметра «Cmd» при выборе значения «Настроенное пользователем» дополнительно появится параметр:
«Значение Cmd» – возможно указать число от «0» до «255» или диапазон чисел от «0» до «255» при установке флажка напротив параметра.
В поле параметра «Тип адресации» возможно выбрать следующие значения:
«Логический»;
«Составной».
В поле параметра «Тип адресации» при выборе значения «Составной» появятся следующие параметры:
«Значение адреса Slave»;
«Значение адреса Offset»;
в поле каждого из которых, возможно указать число от «0» до «65535» или диапазон чисел от «0» до «65535» при установке флажка напротив параметра.
В поле параметра «Значение логического адреса» возможно указать число от «0» до «4294967295» или диапазон чисел от «0» до «4294967295» при установке флажка напротив параметра.
В полях параметров «Поля регистра 0х120», «Поля регистра 0х130», «Поля регистра 0х200», «Поля регистра 0х300», «Поля регистра 0х502» и «Поля регистров 0х504-0х50E» возможно выбрать следующие значения:
«Любой»;
«Настроенное пользователем».
В поле параметра «Поля регистра 0х120» при выборе значения «Настроенное пользователем» дополнительно появятся следующие параметры:
«Регистр 0х120 значение Ctrl»;
«Регистр 0х120 Error ACK»;
«Регистр 0х120 Id».
В поле параметра «Регистр 0х120 значение Ctrl» возможно указать число от «0» до «65535» или диапазон чисел от «0» до «65535» при установке флажка напротив параметра.
В полях параметров «Регистр 0х120 Error ACK» и «Регистр 0х120 Id» возможно выбрать следующие значения:
«Любой»;
«True»;
«False».
В поле параметра «Поля регистра 0х130» при выборе значения «Настроенное пользователем» дополнительно появятся следующие параметры:
«Регистр 0х130 значение Status»;
«Регистр 0х130 Error»;
«Регистр 0х130 Id».
В поле параметра «Регистр 0х130 значение Status» возможно указать число от «0» до «65535» или диапазон чисел от «0» до «65535» при установке флажка напротив параметра.
В полях параметров «Регистр 0х130 Error» и «Регистр 0х130 Id» возможно выбрать следующие значения:
«Любой»;
«True»;
«False».
В поле параметра «Поля регистра 0х200» при выборе значения «Настроенное пользователем» дополнительно появятся следующие параметры:
«Регистр 0х200 Latch»;
«Регистр 0х200 Esk Status»;
«Регистр 0х200 Sm 0 IRQ»;
«Регистр 0х200 Sm 1 IRQ»;
«Регистр 0х200 Sm 2 IRQ»;
«Регистр 0х200 Sm 3 IRQ»;
«Регистр 0х200 Sm 4 IRQ»;
«Регистр 0х200 Sm 5 IRQ»;
«Регистр 0х200 Sm 6 IRQ»;
«Регистр 0х200 Sm 7 IRQ»;
в поле каждого из которых, возможно выбрать следующие значения:
«Любой»;
«True»;
«False».
В поле параметра «Поля регистра 0х300» при выборе значения «Настроенное пользователем» дополнительно появятся следующие параметры:
«Регистр 0х300 значение CRC 0 Inv Frame»;
«Регистр 0х300 значение CRC 1 Inv Frame»;
«Регистр 0х300 значение CRC 2 Inv Frame»;
«Регистр 0х300 значение CRC 3 Inv Frame»;
«Регистр 0х300 значение CRC 0 RX Error»;
«Регистр 0х300 значение CRC 1 RX Error»;
«Регистр 0х300 значение CRC 2 RX Error»;
«Регистр 0х300 значение CRC 3 RX Error»;
в поле каждого из которых, возможно указать число от «0» до «255» или диапазон чисел от «0» до «255» при установке флажка напротив параметра.
В поле параметра «Поля регистра 0х502» при выборе значения «Настроенное пользователем» дополнительно появятся следующие параметры:
«Регистр 0х502 Write Access 1»;
«Регистр 0х502 EEPROM Emul»;
«Регистр 0х502 8 B Access»;
«Регистр 0х502 2 B Access»;
«Регистр 0х502 Read Access»;
«Регистр 0х502 Write Access 2»;
«Регистр 0х502 Reload Access»;
«Регистр 0х502 CRC Error»;
«Регистр 0х502 Load Error»;
«Регистр 0х502 Cmd Eror»;
«Регистр 0х502 Write Error»;
«Регистр 0х502 Busy»;
в поле каждого из которых, возможно выбрать следующие значения:
«Любой»;
«True»;
«False».
В поле параметра «Поля регистров 0х502-0х50E» при выборе значения «Настроенное пользователем» дополнительно появятся следующие параметры:
«Значение регистра 0х504»;
«Значение регистра 0х506»;
«Значение регистра 0х508»;
«Значение регистра 0х50A»;
«Значение регистра 0х50C»;
«Значение регистра 0х50E»;
в поле каждого из которых, возможно указать число от «0» до «65535» или диапазон чисел от «0» до «65535» при установке флажка напротив параметра.
В поле параметра «Строка данных в шестнадцатеричном формате» возможно указать данные в шестнадцатеричном формате, например, «0A 94 FF C7».
В поле параметра «Коммуникационный профиль» возможно выбрать следующие параметры:
«Любой»;
«ADS over EtherCAT».
В поле параметра «Коммуникационный профиль» при выборе значения «ADS over EtherCAT» дополнительно появится параметр «Фильтровать на основе протокола».
В поле параметра «Фильтровать на основе протокола» возможно выбрать следующие параметры:
«Любые пакеты протокола»;
«Указать дополнительные параметры».
Для ознакомления с описанием дополнительно появляющихся параметров см. «Шаблон протокола ADS».
При создании пользовательского правила на основе шаблона протокола Fanuc FOCAS необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Тип сообщения».
В поле параметра «Тип сообщения» возможно выбрать следующие значения:
«Отсутствует»;
«Запрос»;
«Ответ»;
«Команда».
В поле параметра «Тип сообщения» при выборе значения «Запрос» дополнительно появятся следующие параметры:
«Тип запроса»;
«Добавить команду»;
«Значение ARG1»;
«Значение ARG2»;
«Значение ARG3»;
«Значение ARG4»;
«Значение ARG5».
В полях параметров «Значение ARG1», «Значение ARG2», «Значение ARG3», «Значение ARG4», «Значение ARG5» возможно указать число от «0» до «4294967295» в десятичной системе или от «0» до «FFFFFFFF» в шестнадцатеричной системе либо указать диапазон чисел при установке флажка напротив параметра.
В поле параметра «Тип запроса» возможно выбрать следующие значения:
«Любой»;
«Загрузить программу»;
«Настроенное пользователем».
В поле параметра «Тип запроса» при выборе значения «Загрузить программу» дополнительно появятся следующие параметры:
«Тип загружаемой программы»;
«Путь к программе».
В полях параметров «Тип загружаемой программы», «Значение запроса», «Значение команды», «Тип скачиваемой программы», «Значение ответа», «Начальное значение диагностических данных», «Конечное значение диагностических данных», «Осевое значение диагностических данных», «Начало чтения регистра», «Конец чтения регистра», «Тип памяти чтения регистра», «Тип данных чтения регистра» возможно указать число от «0» до «4294967295» в десятичной системе или от «0» до «FFFFFFFF» в шестнадцатеричной системе либо указать диапазон чисел при установке флажка напротив параметра.
Примечание
Рекомендуется использовать значения, соответствующие указанным в библиотеках Fanuc FOCAS.
В поле параметра «Тип запроса» при выборе значения «Настроенное пользователем» дополнительно появится параметр «Значение запроса».
При установке флажка для параметра «Добавить команду» дополнительно появятся следующие параметры:
«Тип команды»;
«Путь до удаляемых файлов».
В поле параметра «Тип команды» возможно выбрать следующие значения:
«Отсутствует»;
«Диагностические данные»;
«Список программ или файлов»;
«Удалить файл, папку или программу»;
«Чтение регистра»;
«Настроенное пользователем».
В поле параметра «Тип команды» при выборе значения «Диагностические данные» дополнительно появятся следующие параметры:
«Начальное значение диагностических данных»;
«Конечное значение диагностических данных»;
«Осевое значение диагностических данных».
В поле параметра «Тип команды» при выборе значения «Список программ или файлов» дополнительно появится параметр «Путь до читаемого каталога».
В поле параметра «Тип команды» при выборе значения «Удалить файл, папку или программу» дополнительно появится параметр «Путь до удаляемых файлов».
В поле параметра «Тип команды» при выборе значения «Чтение регистра» дополнительно появятся следующие параметры:
«Начало чтения регистра»;
«Конец чтения регистра»;
«Тип памяти чтения регистра»;
«Тип данных чтения регистра».
В поле параметра «Тип команды» при выборе значения «Настроенное пользователем» дополнительно появится параметр «Значение команды».
В поле параметра «Тип сообщения» при выборе значения «Ответ» дополнительно появится параметр «Тип ответа».
В поле параметра «Тип ответа» возможно выбрать следующие значения:
«Любой»;
«Скачать программу»;
«Настроенное пользователем».
В поле параметра «Тип ответа» при выборе значения «Скачать программу» дополнительно появятся следующие параметры:
«Тип скачиваемой программы»;
«Путь к программе».
В поле параметра «Тип ответа» при выборе значения «Настроенное пользователем» дополнительно появится параметр «Значение ответа».
В поле параметра «Тип сообщения» при выборе значения «Команда» дополнительно появятся следующие параметры:
При создании пользовательского правила на основе шаблона промышленного протокола GOOSE необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся следующие параметры, значения которых должны содержать не более 150 символов:
«APPID»;
«Dataset»;
«GoCBRef»;
«GoID»;
«Дельта секунд»;
«Дельта наносекунд»;
«Предустановленная дата и время»;
«Предустановленные наносекунды».
ARMA FW пропускает пакеты промышленного протокола GOOSE только в режиме сетевого моста, который необходимо настроить перед проверкой (см. «Пример настройки сетевого моста»).
Для проверки срабатывания пользовательского правила на основе шаблона протокола GOOSE на ПК «Server» и «Client» должно быть установлено ПО «IED Explorer».
Порядок проверки срабатывания пользовательских правил:
На ПК «Client» запустить ПО «IED Explorer» и выполнить подключение к ПК «Server».
Рисунок – Настройка ПО «IED Explorer» на ПК «Server»
Результатом успешного срабатывания правила будет появление событий в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»), в детальной информации которых присутствует значение, указанное в параметре «Заголовок»:
При создании пользовательского правила на основе шаблона промышленного протокола IEC 104 необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Функция приложения», в котором доступно два типа пакета:
«ASDU» – блок данных прикладного уровня;
«APCI» – управляющая информация прикладного уровня, включающий в каждый заголовок APCI такие маркировочные элементы, как стартовый символ и указание длины ASDU вместе с полем управления.
При выборе опции «ASDU (блок данных прикладного уровня)» появятся следующие параметры:
«RX»;
«TX»;
«Тип ASDU»;
«ASDU COT (причина передачи)»;
«AD условие»;
«AD (ASDU адрес)»;
«IOA (адрес объекта информации)»;
«Тип объекта»;
«Инвертировать IOA значение»;
«IOA значение»;
«Тип проверки».
Диапазон разрешённых входящих и исходящих пакетов необходимо указать в полях параметров «RX» и «TX» соответственно.
В поле параметра «Тип ASDU» доступны следующие типы ASDU:
«12: M_ME_TB_1 (Measured value, scaled value with time tag)» – значение измеряемой величины, масштабированное значение с меткой времени;
«13: M_ME_NC_1 (Measured value, short floating point number)» – значение измеряемой величины, короткий формат с плавающей запятой;
«14: M_ME_TC_1 (Measured value, short floating point number with time tag)» – значение измеряемой величины, короткий формат с плавающей запятой, с меткой времени;
«16: M_IT_TA_1 (Integrated totals with time tag)» – интегральные суммы с меткой времени;
«17: M_EP_TA_1 (Event of protection equipment with time tag)» – информация о работе релейной защиты с меткой времени;
«18: M_EP_TB_1 (Packed start events of protection equipment with time tag)» – упакованная информация о срабатывании пусковых органов защиты с меткой времени;
«19: M_EP_TC_1 (Packed output circuit information of protection equipment with time tag)» – упакованная информация о срабатывании выходных цепей защиты с меткой времени;
«20: M_PS_NA_1 (Packed single point information with status change detection)» – упакованная одноэлементная информация с определением изменения состояния;
«21: M_ME_ND_1 (Measured value, normalized value without quality descriptor)» – значение измеряемой величины, нормализованное значение без описателя качества;
«30: M_SP_TB_1 (Single-point information with time tag CP56Time2a)» – одноэлементная информация с меткой времени «CP56time2a»;
«31: M_DP_TB_1 (Double-point information with time tag CP56Time2a)» – двухэлементная информация с меткой времени «CP56time2a»;
«32: M_ST_TB_1 (Step position information with time tag CP56Time2a)» – информация о положении отпаек с меткой времени «CP56time2a»;
«33: M_BO_TB_1 (Bitstring of 32 bit with time tag CP56Time2a)» – строка из 32 битов с меткой времени «CP56time2a»;
«34: M_ME_TD_1 (Measured value, normalized value with tag CP56Time2a)» – значение измеряемой величины, нормализованное значение с меткой времени «CP56time2a»;
«35: M_ME_TE_1 (Measured value, scaled value with tag CP56Time2a)» – значение измеряемой величины, масштабированное значение с меткой времени «CP56time2a»;
«36: M_ME_TF_1 (Measured value, short floating point number with time tag CP56Time2a)» – значение измеряемой величины, короткий формат с плавающей запятой с меткой времени «CP56time2a»;
«37: М_IТ_ТВ 1 (Integrated totals with time tag CP56Time2a)» – интегральная сумма с меткой времени «CP56time2a»;
«38: M_EP_TD_1 (Event of protection equipment with time tag CP56Time2a)» – информация о работе релейной защиты с меткой времени «CP56time2a»;
«39: M_EP_TE_1 (Packed start events of protection equipment with time tag CP56Time2a)» – упакованная информация о срабатывании пусковых органов защиты с меткой времени «CP56time2a»;
«40: M_EP_TF_1 (Packed output circuit information of protection equipment with time tag CP56Time2a)» – упакованная информация о срабатывании выходных цепей защиты с меткой времени «CP56time2a»;
«50: C_SE_NC_1 (Set-point Command, short floating point number)» – команда установки, короткое число с плавающей запятой;
«51: C_BO_NA_1 (Bitstring 32 bit command)» – строка из 32 битов;
«58: C_SC_TA_1 (Single command with tag CP56Time2a)» – одноэлементная команда с меткой времени «CP56time2a»;
«59: C_DC_TA_1 (Double command with tag CP56Time2a)» – двухэлементная команда с меткой времени «CP56time2a»;
«60: C_RC_TA_1 (Regulating step command with tag CP56Time2a)» – команда пошагового регулирования с меткой времени «CP56time2a»;
«61: C_SE_TA_1 (Measured value, normalized value command with tag CP56Time2a)» – команда установки, нормализованное значение с меткой времени «CP56time2a»;
«62: C_SE_TB_1 (Measured value, scaled value command with tag CP56Time2a)» – команда установки, масштабированное значение с меткой времени «CP56time2a»;
«63: C_SE_TC_1 (Measured value, short floating point number command with time tag CP56Time2a)» – команда установки, короткое число с плавающей запятой с меткой времени «CP56time2a»;
«64: C_BO_TA_1 (Bitstring 32 bit command with time tag CP56Time2a)» – строка из 32 битов с меткой времени «CP56time2a»;
«70: M_EI_NA_1 (End of initialisation)» – конец инициализации;
«100: C_IC_NA_1 (Interrogation command)» – команда опроса;
«101: C_CI_NA_1 (Counter interrogation command)» – команда опроса счётчика;
«102: C_RD_NA_1 (Read command)» – команда считывания;
«103: C_CS_NA 1 (Clock synchronisation command)» – команда синхронизации времени;
«104: C_TS_NA_1 (Test command)» – команда тестирования;
«105: C_RP_NA_1 (Reset process command)» – команда установки процесса в исходное состояние;
«106: C_CD_NA_1 (C_CD_NA_1 Delay acquisition command)» – команда задержки получения;
«107: C_TS_TA_1 (Test command with time tag CP56Time2a)» – команда тестирования с меткой времени «CP56time2a»;
В поле параметра «AD условие» доступны следующие условия:
«Равно»;
«Больше чем»;
«Меньше чем»;
«Отрицание»;
«Побитовое И».
В поле параметра «AD (ASDU адрес)» возможно указание значения в диапазоне от «0» до «65535».
В поле параметра «IOA (адрес объекта информации)» возможно указание отрицательных или положительных значений.
В поле параметра «Тип объекта» доступны следующие значения:
«Нетипизированный»;
«Типизированный».
При установке флажка для параметра «Инвертировать IOA значение» дополнительно появится параметр «Инвертируемое IOA значение».
В поле параметра «Инвертируемое IOA значение» возможно указание отрицательного или положительного значения.
При выборе в поле параметра «Тип ASDU» значений «9: M_ME_NA_1 (Measured value, normalised value)», «10: M_ME_TA_1 (Measured value, normalised value with time tag)», «13: M_ME_NC_1 (Measured value, short floating point number)», «14: M_ME_TC_1 (Measured value, short floating point number with time tag)», «34: M_ME_TD_1 (Measured value, normalized value with tag CP56Time2a)», «36: M_ME_TF_1 (Measured value, short floating point number with time tag CP56Time2a)», «48: C_SE_NA_1 (Set-point Command, normalized value)», «50: C_SE_NC_1 (Set-point Command, short floating point number)», «61: C_SE_TA_1 (Measured value, normalized value command with tag CP56Time2a)», «63: C_SE_TC_1 (Measured value, short floating point number command with time tag CP56Time2a)», «110: P_ME_NA_1 (Parameter of measured values, normalized value)», «112: P_ME_NC_1 (Parameter of measured value, short floating point number)» и выборе в поле параметра «Тип объекта» значения «Нетипизированный» дополнительно появится параметр «Вещественное IOA значение», а в случае установленного флажка для параметра «Инвертировать IOA значение» появится параметр «Вещественное инвертируемое IOA значение».
В поле параметра «Тип проверки» доступны следующие значения:
«Отсутствует»;
«CHECK_ANY (по крайней мере один из пакетов IEC соответствует сигнатуре)»;
При выборе в поле параметра «Тип» значения «SIQ - Одноэлементная информация с описателем качества» дополнительно появятся параметры «SIQ условие» и «SIQ значение».
В полях параметров «SIQ условие», «QDP условие», «SEP условие», «OCI условие» доступны следующие значения:
«Равно»;
«Больше чем»;
«Меньше чем»;
«Отрицание»;
«Побитовое И».
В поле параметра «SIQ значение» доступны следующие значения:
«SPI»;
«BL»;
«SB»;
«NT»;
«IV».
При выборе в поле параметра «Тип» значения «QDS - Описатель качества (отдельный байт)» дополнительно появится параметр «QDS значение».
В поле параметра «QDS значение» доступны следующие значения:
«OV»;
«BL»;
«SB»;
«NT»;
«IV».
При выборе в поле параметра «Тип» значения «SP_QDS - Фильтрует SIQ» дополнительно появится параметр «SP_QDS значение».
В поле параметра «SP_QDS значение» доступны следующие значения:
«SP»;
«BL»;
«SB»;
«NT»;
«IV».
При выборе в поле параметра «Тип» значения «DP_QDS - Фильтрует DIQ» дополнительно появятся параметры «DP_QDS значение» и «DP_QDS DP значение».
В поле параметра «DP_QDS значение» доступны следующие значения:
«BL»;
«SB»;
«NT»;
«IV».
В поле параметра «DP_QDS DP значение» возможно указать число от «0» до «3» или диапазон чисел от «0» до «3» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «QDP - Описатель качества для сообщения о работе релейной защиты» дополнительно появятся параметры «QDP условие» и «QDP значение».
В полях параметров «QDP значение» и «SEP значение» доступны следующие значения:
«EI»;
«BL»;
«SB»;
«NT»;
«IV».
При выборе в поле параметра «Тип» значения «SEP - Одиночное событие релейной защиты» дополнительно появятся параметры «SEP условие», «SEP ES» и «SEP значение».
В поле параметра «SEP ES» доступны следующие значения:
«0 - not used»;
«1 - disabled»;
«2 - enabled»;
«3 - not used».
При выборе в поле параметра «Тип» значения «OCI - Информация о выходных цепях» дополнительно появятся параметры «OCI условие» и «OCI значение».
В поле параметра «OCI значение» доступны следующие значения:
«CL3»;
«CL2»;
«CL1»;
«GC».
При выборе в поле параметра «Тип» значения «SINGLE_CMD - Фильтрует SCO» дополнительно появятся параметры «SINGLE_CMD ST значение», «SINGLE_CMD QL значение» и «SINGLE_CMD значение».
В поле параметра «SINGLE_CMD ST значение» возможно указать число от «0» до «3» или диапазон чисел от «0» до «3» при установке флажка напротив параметра.
В поле параметра «SINGLE_CMD QL значение» возможно указать число от «0» до «31» или диапазон чисел от «0» до «31» при установке флажка напротив параметра.
В полях параметров «SINGLE_CMD значение», «DOUBLE_CMD значение», «QLF значение» доступны следующие значения:
«Отсутствует»;
«SE».
При выборе в поле параметра «Тип» значения «DOUBLE_CMD - Фильтрует DCO, RCO» дополнительно появятся параметры «DOUBLE_CMD ST значение», «DOUBLE_CMD QL значение» и «DOUBLE_CMD значение».
В поле параметра «DOUBLE_CMD ST значение» возможно указать число от «0» до «3» или диапазон чисел от «0» до «3» при установке флажка напротив параметра.
В поле параметра «DOUBLE_CMD QL значение» возможно указать число от «0» до «31» или диапазон чисел от «0» до «31» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «QLF - Фильтрует QOS» дополнительно появятся параметры «QLF QL значение» и «QLF значение».
В поле параметра «QLF QL значение» возможно указать число от «0» до «127» или диапазон чисел от «0» до «127» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «QLF_COUNTER - Фильтрует QCC» дополнительно появятся параметры «QLF_COUNTER QL значение» и «QLF_COUNTER FR значение».
В поле параметра «QLF_COUNTER QL значение» возможно указать число от «0» до «63» или диапазон чисел от «0» до «63» при установке флажка напротив параметра.
В поле параметра «QLF_COUNTER FR значение» возможно указать число от «0» до «3» или диапазон чисел от «0» до «3» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «QLF_MEASURED - Фильтрует QPB» дополнительно появятся параметры «QLF_MEASURED значение» и «QLF_MEASURED KIND значение».
В поле параметра «QLF_MEASURED значение» доступны следующие значения:
«LPC»;
«POP».
В поле параметра «QLF_MEASURED KIND значение» возможно указать число от «0» до «63» или диапазон чисел от «0» до «63» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «CP16TIME - Фильтрует time_elapsed, delay» дополнительно появится параметр «CP16TIME MS значение».
В полях параметров «CP16TIME MS значение», «CP24TIME MS значение», «CP56TIME MS значение» возможно указать число от «0» до «59999» или диапазон чисел от «0» до «59999» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «CP24TIME - Фильтрует time» дополнительно появятся параметры «CP24TIME MS значение» и «CP24TIME MIN значение».
В полях параметров «CP24TIME MIN значение», «CP56TIME MIN значение» возможно указать число от «0» до «59» или диапазон чисел от «0» до «59» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «CP56TIME - Фильтрует time» дополнительно появятся параметры «CP56TIME MS значение», «CP56TIME MIN значение», «CP56TIME HOUR значение», «CP56TIME значение», «CP56TIME DAY значение», «CP56TIME DOW значение», «CP56TIME MONTH значение» и «CP56TIME YEAR значение».
В полях параметров «CP56TIME HOUR значение», «CP56TIME MIN значение» возможно указать число от «0» до «23» или диапазон чисел от «0» до «23» при установке флажка напротив параметра.
В полях параметров «CP56TIME значение», «CP56TIME_BEGIN значение» доступны следующие значения:
«Отсутствует»;
«SU».
В полях параметров «CP56TIME DAY значение», «CP56TIME_BEGIN DAY значение», «CP56TIME_END DAY значение» возможно указать число от «0» до «31» или диапазон чисел от «0» до «31» при установке флажка напротив параметра.
В полях параметров «CP56TIME DOW значение», «CP56TIME_BEGIN DOW значение», «CP56TIME_END DOW значение» возможно указать число от «0» до «7» или диапазон чисел от «0» до «7» при установке флажка напротив параметра.
В полях параметров «CP56TIME MONTH значение», «CP56TIME_BEGIN MONTH значение», «CP56TIME_END MONTH значение» возможно указать число от «0» до «12» или диапазон чисел от «0» до «12» при установке флажка напротив параметра.
В полях параметров «CP56TIME YEAR значение», «CP56TIME_BEGIN YEAR значение», «CP56TIME_END YEAR значение» возможно указать число от «0» до «99» или диапазон чисел от «0» до «99» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «CP56TIME_BEGIN - Фильтрует time_begin» дополнительно появятся параметры «CP56TIME_BEGIN MS значение», «CP56TIME_BEGIN MIN значение», «CP56TIME_BEGIN HOUR значение», «CP56TIME_BEGIN значение», «CP56TIME_BEGIN DAY значение», «CP56TIME_BEGIN DOW значение», «CP56TIME_BEGIN MONTH значение» и «CP56TIME_BEGIN YEAR значение».
В полях параметров «CP56TIME_BEGIN MS значение», «CP56TIME_END MS значение» возможно указать число от «0» до «59999» или диапазон чисел от «0» до «59999» при установке флажка напротив параметра.
В полях параметров «CP56TIME_BEGIN MIN значение», «CP56TIME_END MIN значение» возможно указать число от «0» до «59» или диапазон чисел от «0» до «59» при установке флажка напротив параметра.
В полях параметров «CP56TIME_BEGIN HOUR значение», «CP56TIME_END HOUR значение» возможно указать число от «0» до «23» или диапазон чисел от «0» до «23» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «CP56TIME_END - Фильтрует time_end» дополнительно появятся параметры «CP56TIME_END MS значение», «CP56TIME_END HOUR значение», «CP56TIME_END значение», «CP56TIME_END DAY значение», «CP56TIME_END DOW значение», «CP56TIME_END MONTH значение» и «CP56TIME_END YEAR значение».
При выборе в поле параметра «Тип» значения «VTI - Фильтрует VTI» дополнительно появятся параметры «VTI значение» и «VTI VAL значение».
В поле параметра «VTI значение» доступны следующие значения:
«Отсутствует»;
«T».
В поле параметра «VTI VAL значение» возможно указать отрицательное или положительное число от «-64» до «63» или диапазон чисел от «-64» до «63» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «COI - Фильтрует COI» дополнительно появятся параметры «COI значение» и «COI CAUSE значение».
В поле параметра «COI значение» доступны следующие значения:
«Отсутствует»;
«CHANGED».
В поле параметра «COI CAUSE значение» возможно указать число от «0» до «127» или диапазон чисел от «0» до «127» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «FILE - Фильтрует NOF, section_name, SOF, CHS, FRQ, SRQ, SCQ, LSQ, AFQ» дополнительно появятся следующие параметры:
«FILE NAME значение»;
«FILE SECTION_NAME значение»;
«FILE STATE значение»;
«FILE CHECKSUM значение»;
«FILE QL значение».
В поле параметра «FILE NAME значение» возможно указать число от «0» до «65535» или диапазон чисел от «0» до «65535» при установке флажка напротив параметра.
В полях параметров «FILE SECTION_NAME значение», «FILE STATE значение», «FILE CHECKSUM значение», «FILE QL значение» возможно указать число от «0» до «255» или диапазон чисел от «0» до «255» при установке флажка напротив параметра.
При выборе в поле параметра «Тип» значения «SEP_SINGLE - Фильтрует SEP» дополнительно появятся параметры «SEP_SINGLE значение» и «SEP_SINGLE ES значение».
В поле параметра «SEP_SINGLE значение» доступны следующие значения:
«EL»;
«BL»;
«SB»;
«NT»;
«IV».
В поле параметра «SEP_SINGLE ES значение» возможно указать число от «0» до «3» или диапазон чисел от «0» до «3» при установке флажка напротив параметра.
При выборе опции «APCI (управляющая информация прикладного уровня)» появится параметр «Формат», в котором доступны следующие значения:
«Любой»;
«U-format (ненумерованные функции управления)» – функции управления без нумерации;
«S-format (пронумерованные надзорные функции)» – функции контроля с нумерацией.
При выборе в поле параметра «Формат» значения «U-format (ненумерованные функции управления)» дополнительно появятся параметры «Функция U-формата» и «Статус функции U-формата».
В поле параметра «Функция U-формата» доступны следующие значения:
«Любая U-формат функция»;
«TESTFR (тестовый блок)»;
«старт передачи данных»;
«STOPDT (прекращение передачи данных)».
В поле параметра «Статус функции U-формата» доступны следующие значения:
«act (активация)»;
«con (подтверждение)».
При выборе в поле параметра «Формат» значения «S-format (пронумерованные надзорные функции)» дополнительно появится параметр «RX».
В поле параметра «RX» возможно указать число от «0» до «65534» или диапазон чисел от «0» до «65534» при установке флажка напротив параметра.
Для проверки срабатывания пользовательского правила на основе шаблона протокола IEC 104 на ПК «Server» должен быть установлен эмулятор протокола IEC 104 – ПО «IECServer», а на ПК «Client» – ПО «QTester104».
Для проверки правила СОВ необходимо выполнить следующие действия:
Запустить ПО «IECServer».
В выпадающем списке выбрать «C_SC_NA» и дважды нажать кнопку «Add», а затем нажать кнопку «StartServer» (см. Рисунок – Запуск IECServer).
Запустить ПО «QTester104», указать в поле «Remote IP Address» значение «192.168.1.200» и нажать кнопку «Connect» для подключения к ПО «IECServer» (см. Рисунок – Подключение к серверу в QTester104).
Результатом успешного срабатывания правила будет появление событий в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»), в детальной информации которых присутствует значение, указанное в параметре «Заголовок»:
При создании пользовательского правила на основе шаблона промышленного протокола KRUG необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся следующие параметры:
«COMMAND» – используется для передачи номера команды запроса от станции оператора, возможно указать число или диапазон чисел от «0» до «255»;
«CMD» – используется для передачи номера команды запроса от станции инжиниринга, за исключением значения «23» – номера команды от станции оператора на запрос протокола событий, возможно указать число или диапазон чисел от «0» до «255»;
«PORT» – используется для передачи номера устройства, для которого послан пакет, возможно указать число или диапазон чисел от «0» до «65535»;
«ACCESS» – используется для передачи атрибута файла в запросах станции инжиниринга при работе с файловой системой, возможно указать число или диапазон чисел от «0» до «65535»;
«MODE» – используется для передачи кода «тип переменной» в запросах/ответах от станции оператора, возможно указать число или диапазон чисел от «0» до «65535»;
«ERRCODE» – используется для передачи кода ошибки в запросах/ответах от станции оператора, возможно указать число или диапазон чисел от «0» до «65535».
При создании пользовательского правила на основе шаблона промышленного протокола MMS необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Тип сообщения», в котором доступны следующие типы сообщений:
«CANCEL_REQUEST»;
«CANCEL_RESPONSE»;
«CANCEL_ERROR»;
«CONFIRMED_REQUEST»;
«CONFIRMED_RESPONSE»;
«CONFIRMED_ERROR»;
«UNCONFIRMED»;
«REJECT»;
«INITIATE_REQUEST»;
«INITIATE_RESPONSE»;
«INITIATE_ERROR»;
«CONCLUDE_REQUEST»;
«CONCLUDE_RESPONSE»;
«CONCLUDE_ERROR».
При выборе типа сообщения «CONFIRMED_REQUEST» появится параметр «Тип службы», в котором доступны следующие типы используемых служб:
«STATUS»;
«GETNAMELIST»;
«IDENTIFY»;
«RENAME»;
«READ»;
«WRITE»;
«GETVARIABLEACCESSATTRIBUTES»;
«DEFINENAMEDVARIABLE»;
«DEFINESCATTEREDACCESS»;
«GETSCATTEREDACCESSATTRIBUTES»;
«DELETEVARIABLEACCESS»;
«DEFINENAMEDVARIABLELIST»;
«GETNAMEDVARIABLELISTATTRIBUTES»;
«DELETENAMEDVARIABLELIST»;
«DEFINENAMEDTYPE»;
«GETNAMEDTYPEATTRIBUTES»;
«DELETENAMEDTYPE»;
«INPUT»;
«OUTPUT»;
«TAKECONTROL»;
«RELINQUISHCONTROL»;
«DEFINESEMAPHORE»;
«DELETESEMAPHORE»;
«REPORTSEMAPHORESTATUS»;
«REPORTPOOLSEMAPHORESTATUS»;
«REPORTSEMAPHOREENTRYSTATUS»;
«INITIATEDOWNLOADSEQUENCE»;
«DOWNLOADSEGMENT»;
«TERMINATEDOWNLOADSEQUENCE»;
«INITIATEUPLOADSEQUENCE»;
«UPLOADSEGMENT»;
«TERMINATEUPLOADSEQUENCE»;
«REQUESTDOMAINDOWNLOAD»;
«REQUESTDOMAINUPLOAD»;
«LOADDOMAINCONTENT»;
«STOREDOMAINCONTENT»;
«DELETEDOMAIN»;
«GETDOMAINATTRIBUTES»;
«CREATEPROGRAMINVOCATION»;
«DELETEPROGRAMINVOCATION»;
«START»;
«STOP»;
«RESUME»;
«RESET»;
«KILL»;
«GETPROGRAMINVOCATIONATTRIBUTES»;
«OBTAINFILE»;
«DEFINEEVENTCONDITION»;
«DELETEEVENTCONDITION»;
«GETEVENTCONDITIONATTRIBUTES»;
«REPORTEVENTCONDITIONSTATUS»;
«ALTEREVENTCONDITIONMONITORING»;
«TRIGGEREVENT»;
«DEFINEEVENTACTION»;
«DELETEEVENTACTION»;
«GETEVENTACTIONATTRIBUTES»;
«REPORTEVENTACTIONSTATUS»;
«DEFINEEVENTENROLLMENT»;
«DELETEEVENTENROLLMENT»;
«ALTEREVENTENROLLMENT»;
«REPORTEVENTENROLLMENTSTATUS»;
«GETEVENTENROLLMENTATTRIBUTES»;
«ACKNOWLEDGEEVENTNOTIFICATION»;
«GETALARMSUMMARY»;
«GETALARMENROLLMENTSUMMARY»;
«READJOURNAL»;
«WRITEJOURNAL»;
«INITIALIZEJOURNAL»;
«REPORTJOURNALSTATUS»;
«CREATEJOURNAL»;
«DELETEJOURNAL»;
«GETCAPABILITYLIST»;
«FILEOPEN»;
«FILEREAD»;
«FILECLOSE»;
«FILERENAME»;
«FILEDELETE»;
«FILEDIRECTORY»;
«ADDITIONALSERVICE»;
«GETDATAEXCHANGEATTRIBUTES»;
«EXCHANGEDATA»;
«DEFINEACCESSCONTROLLIST»;
«GETACCESSCONTROLLISTATTRIBUTES»;
«REPORTACCESSCONTROLLEDOBJECTS»;
«DELETEACCESSCONTROLLIST»;
«CHANGEACCESSCONTROL»;
«RECONFIGUREPROGRAMINVOCATION».
При выборе типа службы «ADDITIONALSERVICE» появится параметр «Дополнительный тип сервиса», в котором доступны следующие типы дополнительного сервиса:
«VMDSTOP»;
«VMDRESET»;
«SELECT»;
«ALTERPI»;
«INITIATEUCLOAD»;
«UCLOAD»;
«UCUPLOAD»;
«STARTUC»;
«STOPUC»;
«CREATEUC»;
«ADDTOUC»;
«REMOVEFROMUC»;
«GETUCATTRIBUTES»;
«LOADUCFROMFILE»;
«STOREUCTOFILE»;
«DELETEUC»;
«DEFINEECL»;
«DELETEECL»;
«ADDECLREFERENCE»;
«REMOVEECLREFERENCE»;
«GETECLATTRIBUTES»;
«REPORTECLSTATUS»;
«ALTERECLMONITORING».
При выборе типа службы «READ» появятся параметры:
«Item ID запроса чтения»;
«Domain ID запроса чтения»;
«Адрес запроса чтения».
При выборе типа службы «WRITE» появятся параметры «Item ID запроса чтения» и «Domain ID запроса чтения».
Для проверки срабатывания пользовательского правила на основе шаблона протокола MMS на ПК «Server» должен быть установлен эмулятор протокола MMS, а на ПК «Client» – ПО «IEDExplorer».
Порядок проверки срабатывания пользовательских правил:
Рисунок – Подключение к ПК «Server» в ПО «IEDExplorer»
Выбрать файл по пути «IED1LD1/MMDC1/FC SV/Watt/SubMag/DA f», нажать правой кнопкой мыши, выбрать «Write data», в поле «New Value» ввести значение «1» и нажать кнопку «ОК» (см. Рисунок – Запись значения) для сохранения нового значения.
Результатом успешного срабатывания правила будет появление событий в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»), в детальной информации которых присутствует значение, указанное в параметре «Заголовок»:
При создании пользовательского правила на основе шаблона промышленного протокола Modbus необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе «Указать дополнительные параметры» появятся параметры «Совпадение по» и «Код функции».
В поле параметра «Совпадение по» доступно два признака совпадения правила:
«Функции» – код или категория функции;
«Данные» – тип доступа и основная таблица.
При выборе опции «Функции» появится параметр «Код функции», в котором необходимо выбрать код или категорию функции.
При выборе опции «Данные» появятся параметры «Идентификатор устройства», «Код функции», «Отсчёт адреса», «Адрес» и «Значение», доступные для указания значения или диапазона значений:
Для проверки срабатывания пользовательского правила на основе шаблона протокола Modbus на ПК «Server» должно быть установлено ПО «ModbusPal», а на ПК «Client» – ПО «qModMaster».
Для проверки правила СОВ необходимо выполнить следующие действия:
В ПО «ModbusPal» запустить сервис, нажав кнопку «Run», затем в блоке «Modbus slaves» нажать кнопку «Add», выбрать «1» и снова нажать кнопку «Add».
Нажать кнопку «» и путём нажатия кнопки «Add» добавить строки от «1» до «10» (см. Рисунок – Настройка ПО «ModbusPal») для добавления десяти регистров со значениями «0».
В ПО «qModMaster» выполнить соединение с ПО «ModbusPal», для этого нажать кнопку «», ввести «192.168.1.100» и нажать кнопку «» («Connect») для подключения к ПК «Server».
Внесённые данные в строку, указанную в поле «Start Address», фактически будут отображаться со смещением на одну строку – то есть при внесении изменения в 7 строку данные появятся в 8.
В ПО «ModbusPal» убедиться, что внесённые данные отобразились (см. Рисунок – Запись данных).
Результатом успешного срабатывания правила будет появление событий в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»), в детальной информации которых присутствует значение, указанное в параметре «Заголовок»:
При создании пользовательского правила на основе шаблона промышленного протокола OPC DA необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Тип сообщения», в котором доступны типы сообщений, указанных в таблице (см. Таблица «Типы сообщений OPC DA»).
В качестве примера будет рассмотрено детектирование чтения тега «Integer_1» и выполнение функции номер «3» UUID «IOPCItemMgt».
Необходимо создать пользовательские правила (см. «Создание правила СОВ») для детектирования действия над тегом и детектирования выполнения функции с заданным UUID.
Для детектирования действия над тегом при создании правила необходимо указать следующие параметры правила:
«Включить» – флажок установлен;
«Заголовок» – «Test.Folder.Integer_1 Read»;
«Использовать шаблон» – «OPC DA»;
«Действие» – «Предупредить (Alert)»;
«Сообщение» – «Test.Folder.Integer_1 Read»;
«Фильтровать на основе протокола» – «Операция над тегом»;
«Операция над тегом» – «Считать»;
«Полный путь к тегу(-ам)» – «Test.Folder.Integer_1». Данный параметр содержит в себе имя тега и все каталоги по пути к нему, разделённые точками.
Остальные параметры необходимо оставить по умолчанию и нажать кнопку «Сохранить».
Для детектирования выполнения функции UUID при создании правила необходимо указать следующие параметры правила:
«Включить» – флажок установлен;
«Заголовок» – «OPC DA IOPCItemMgt»;
«Использовать шаблон» – «OPC DA»;
«Действие» – «Предупредить (Alert)»;
«Сообщение» – «OPC DA IOPCItemMgt»;
«Фильтровать на основе протокола» – «Дополнительные параметры»;
«Номер вызываемой функции объекта» – «3». В случае, если данный параметр оставить пустым предупреждение будет сформировано для любой вызываемой функции UUID.
Остальные параметры необходимо оставить по умолчанию и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».
Для проверки срабатывания пользовательских правила на основе шаблона протокола OPC DA на ПК «Server» должен быть установлен и запущен эмулятор протокола OPC DA – «OPC DA Server», на ПК «Client» – «OPCtools».
Порядок проверки срабатывания пользовательских правил:
Запустить ПО «OPCtools» и выполнить подключение к серверу «OPC DA».
Рисунок – Чтение тега «Integer_1» в ПО «OPCtools»
Результатом успешного срабатывания правила будет появление событий в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»), в детальной информации которых присутствует значение, указанное в параметре «Заголовок»:
При создании пользовательского правила на основе шаблона промышленного протокола OPC UA необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Тип сообщения».
В поле параметра «Тип сообщения» доступны следующие типы сообщений:
«HELLO» – маркер начала передачи данных между клиентом и сервером;
«ACKNOWLEDGE» – ответ на сообщение типа HELLO;
«OPEN» – открытие канала передачи данных с предложенным методом шифрования данных;
«MESSAGE» – передаваемое сообщение;
«CLOSE» – конец сессии.
При выборе типа сообщения «OPEN» появится параметр «Политика безопасности», в котором доступны следующие политики безопасности:
«NONE» – политика безопасности для конфигураций с самыми низкими требованиями безопасности, нет алгоритмов шифрования;
«BASIC128RSA15» – политика безопасности для конфигураций со средними требованиями безопасности, такими как:
проверка сертификата безопасности;
необходимо шифрование;
необходима безопасная подпись;
использование алгоритма шифрования SHA 1;
использование алгоритма шифрования AES 128 CBC;
использование алгоритма шифрования RSA-PKCS15-SHA1;
использование алгоритма шифрования RSA-PKCS15;
использование алгоритма получения ключа P-SHA1;
использование алгоритма подписи сертификата RSA-PKCS15-SHA1;
использование ограниченного алгоритма получения ключа RSA15;
«BASIC256» – политика безопасности для конфигураций со средними требованиями безопасности, такими как:
проверка сертификата безопасности;
необходимо шифрование;
необходима безопасная подпись;
использование алгоритма шифрования SHA 1;
использование алгоритма шифрования AES 128 CBC;
использование алгоритма шифрования RSA-PKCS15-SHA1;
использование алгоритма шифрования RSA-OAEP-SHA1;
использование алгоритма получения ключа P-SHA1;
использование алгоритма подписи сертификата RSA-PKCS15-SHA1;
использование ограниченного алгоритма получения ключа RSA15;
«BASIC256SHA256» – политика безопасности для конфигураций со средними требованиями безопасности, такими как:
проверка сертификата безопасности;
необходимо шифрование;
необходима безопасная подпись;
использование алгоритма шифрования SHA 2;
использование алгоритма шифрования AES 256 CBC;
использование алгоритма шифрования RSA-PKCS15-SHA2-256;
использование алгоритма шифрования RSA-OAEP-SHA1;
использование алгоритма получения ключа P-SHA2-256;
использование алгоритма подписи сертификата RSA-PKCS15-SHA2-256;
использование ограниченного алгоритма получения ключа SHA2-256;
«AES128_SHA256_RSAOAEP» – политика безопасности для конфигураций со средними требованиями безопасности, такими как:
проверка сертификата безопасности;
необходимо шифрование;
необходима безопасная подпись;
использование алгоритма шифрования AES 128 SHA-256;
«PUBSUB_AES128_CTR» – политика безопасности для конфигураций со средними требованиями безопасности, такими как:
необходимо шифрование;
необходима безопасная подпись;
использование алгоритма шифрования AES 128 CTR;
«PUBSUB_AES256_CTR» – политика безопасности для конфигураций со средними требованиями безопасности, такими как:
необходимо шифрование;
необходима безопасная подпись;
использование алгоритма шифрования AES 128 CTR.
При выборе типа сообщения «MESSAGE» появится параметр «Тип запроса», в котором доступны типы запросов:
«FINDSERVERS» – запрос известных серверов;
«FINDSERVERSONNETWORK» – запрос известных работающих серверов;
«GETENDPOINTS» – запрос на поддерживаемые сервером конечные точки;
«REGISTERSERVER» – запрос на регистрацию сервера;
«REGISTERSERVER2» – запрос на регистрацию сервера с дополнительной информацией для FINDSERVERSONNETWORK;
«CREATESESSION» – запрос на создание сессии;
«ACTIVATESESSION» – запрос на создание сессии (передача идентификационных данных клиента);
«CLOSESESSION» – запрос на завершение сессии;
«CANCEL» – запрос отмены невыполненных запросов на обслуживание;
«ADDNODES» – запрос на добавление узла как дочерний в адресное пространство;
«ADDREFERENCES» – запрос на добавление ссылки на узел;
«DELETENODES» – запрос на удаление узла из адресного пространства;
«DELETEREFERENCES» – запрос на удаление ссылки узла;
«BROWSE» – запрос на просмотр узлов;
«BROWSENEXT» – запрос на продолжение просмотра результата запроса BROWSE, если результат этого запроса превышает максимальное значение;
«TRANSLATEBROWSEPATHSTONODEIDS» – запрос на преобразование пути узла в идентификатор узла;
«REGISTERNODES» – запрос на регистрацию узла, например, узла, информация о котором пользователю известна;
«UNREGISTERNODES» – запрос на отмену регистрации узла;
«QUERYFIRST» – запрос просмотр данных из определённого экземпляра;
«QUERYNEXT» – запрос на продолжение просмотра результата запроса QUERYFIRST, если результат этого запроса превышает максимальное значение;
«READ» – запрос на чтение данных;
«HISTORYREAD» – запрос на просмотр значений или событий узлов;
«WRITE» – запрос на изменение узла;
«HISTORYUPDATE» – запрос на обновление значений или событий узлов;
«CALLMETHOD» – запрос на получение результатов вызова удалённой процедуры;
«CALL» – запрос на вызов удалённой процедуры;
«MONITOREDITEMCREATE» – запрос на начало подписки на событие;
«CREATEMONITOREDITEMS» – запрос на подписку на событие;
«MONITOREDITEMMODIFY» – запрос на изменение параметров подписки на события;
«MODIFYMONITOREDITEMS» – запрос на изменение подписки;
«SETMONITORINGMODE» – запрос на установку режима подписки;
«SETTRIGGERING» – запрос на создание связи между событием и узлом;
«DELETEMONITOREDITEMS» – запрос на завершение подписки;
«CREATESUBSCRIPTION» – запрос на создание подписки на событие;
«MODIFYSUBSCRIPTION» – запрос на изменение подписки на событие;
«SETPUBLISHINGMODE» – запрос на включение отправки уведомлений по подпискам на событие;
«PUBLISH» – запрос на подтверждение получения уведомлений по подпискам на события;
«REPUBLISH» – запрос на повторную отправку уведомлений по подпискам на события;
«TRANSFERSUBSCRIPTIONS» – запрос на передачу подписки на событие из одной сессии в другую;
«DELETESUBSCRIPTIONS» – запрос на удаление подписки на событие.
При выборе типа запросов «BROWSE» и «READ» появятся параметры:
«Идентификатор пространства имен»;
«Тип идентификатора узла».
При выборе типа запросов «WRITE» появятся параметры:
«Идентификатор пространства имен»;
«Тип идентификатора узла»;
«Тип значений».
При выборе типа запроса «CALL» появятся параметры:
«Тип идентификатора узла вызываемого объекта»;
«Тип идентификатора узла вызываемого метода».
ARMA FW поддерживает отслеживание следующих типов идентификатора узла:
числовой;
строковый;
GUID.
ARMA FW поддерживает отслеживание следующих типов значений:
Для проверки срабатывания пользовательского правила на основе шаблона протокола OPC UA на ПК «Server» должен быть установлен эмулятор протокола OPC UA – «OPC UA Server», на ПК «Client» – ПО «UaExpert».
Порядок проверки срабатывания пользовательских правил:
Запустить ПО «UaExpert». При первом запуске необходимо будет создать сертификат, указав стандартную информацию SSL-ключа (см. Рисунок – Создание сертификата в UaExpert).
Перейти в каталог «Root/Server/Machine» и перетащить мышью строку «HeaterSwitch» в окно «Data Access View». Затем левой кнопкой мыши дважды нажать по значению поля «Value» для перехода в режим редактирования значения переменной (см. Рисунок – Редактирование значения переменной).
Результатом успешного срабатывания правила будет появление событий в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»), в детальной информации которых присутствует значение, указанное в параметре «Заголовок»:
При создании пользовательского правила на основе шаблона протокола RDP необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся следующие параметры:
«Инвертировать правило»:
«Нет» – используется для фильтрации по указанному имени пользователя;
«Да» – используется для фильтрации по именам всех пользователей, кроме указанного имени.
«Значение RDP Cookie» – используется для передачи имени подключённого пользователя.
Примечание
Фильтрация согласно созданному правилу на основе шаблона протокола RDP не будет выполняться в случае добавления имени ПК к имени пользователя (см. Рисунок – Добавление имени ПК к имени пользователя), в некоторых случаях ОС Windows может добавлять имя ПК автоматически.
Для корректной фильтрации следует в используемом правиле указанное ранее имя пользователя, например «test_user», в поле параметра «Значение RDP Cookie» заменить 9-ю начальными символами имени ПК (см. Рисунок – Редактирование правила).
Рисунок – Добавление имени ПК к имени пользователя
При создании пользовательского правила на основе шаблона промышленного протокола S7comm необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Тип сообщения», в котором доступно четыре типа сообщений:
«JOBREQUEST» – пакет с запросом на выполнение функции;
«ACK» – пакет с результатом выполнения операции;
«ACKDATA» – пакет с ответом на запрос;
«USERDATA» – пакет с данными пользователя.
При выборе типа сообщения «JOBREQUEST» появится параметр «Функция», в котором доступны следующие функции:
«CPUSERVICE» – сервисы ЦП;
«SETUPCOMM» – запрос на подключение к ПЛК;
«READVAR» – запрос на чтение;
«WRITEVAR» – запрос на запись;
«REQUESTDOWNLOAD» – запрос на загрузку прошивки;
«DOWNLOADBLOCK» – загрузка прошивки на ПЛК;
«DOWNLOADEND» – запрос на завершение загрузки прошивки на ПЛК;
«STARTUPLOAD» – запрос на выгрузку прошивки;
«UPLOAD» – выгрузка прошивки с ПЛК;
«ENDUPLOAD» – окончание выгрузки прошивки с ПЛК;
«PLCCONTROL» – управление ПЛК;
«PLCSTOP» – остановка ПЛК.
При выборе функции «READVAR» или «WRITEVAR» появится параметр «Тип области», в котором доступны типы области чтения, указанные в таблице (см. Таблица «Типы области»).
При выборе в поле параметра «Тип области» любого значения, кроме значения «Любой», появятся поля:
«Имя области»;
«Тип данных»;
«Количество данных»;
«Смещение данных».
Поле параметра «Имя области» принимает значения от «0» до «65535».
В поле параметра «Тип данных» доступны следующие типы данных:
«BIT»;
«BYTE»;
«CHAR»;
«WORD»;
«INT»;
«DWORD»;
«DINT»;
«REAL»;
«DATE»;
«TOD»;
«TIME»;
«S5TIME»;
«DATETIME»;
«COUNTER»;
«TIMER»;
«IECTIMER»;
«IECCOUNTER»;
«HSCOUNTER».
Поле параметра «Смещение данных» принимает целочисленное значение в шестнадцатеричной системе счисления в формате «0х000000».
При выборе функции «WRITEVAR» и любого значения в поле параметра «Тип области», кроме значения «Любой», появятся дополнительные параметры:
«Тип передаваемого значения»;
«Количество передаваемых данных»;
«Список значений данных».
В поле параметра «Тип передаваемого значения» доступны следующие типы значений:
«NULL» – не выбрано;
«BIT» – значение в битах;
«BYTE» – значение в байтах;
«INT» – целочисленное значение;
«REAL» – вещественное;
«STR» – строковое значение.
Поле параметра «Список значений данных» принимает целочисленное значение в шестнадцатеричной системе счисления в формате «0х000000».
При выборе функций «REQUESTDOWNLOAD», «DOWNLOADBLOCK», «STARTUPLOAD» появится параметр «Тип блока», в котором доступны следующие типы блока скачивания:
«OB» – организационный блок, хранит главные программы;
«DB» – блок данных, хранит необходимые для ПЛК программ данные;
«SDB» – блок данных системы, хранит необходимые для ПЛК программ данные;
«FC» – функция, функции без состояния – не имеют собственной памяти, могут быть запущены из других программ;
«SFC» – системная функция, функции без состояния – не имеют собственной памяти, могут быть вызваны из других программ;
«FB» – блок функции, функции с состоянием, обычно имеют ассоциированный SDB;
«SFB» – блок системной функции, функции с состоянием, обычно имеют ассоциированный SDB.
При выборе в поле параметра «Тип блока» любого значения, кроме значения «Любой», появятся параметры «Номер блока» и «Целевая файловая система».
В поле параметра «Целевая файловая система» доступны две опции:
«P» – пассивная, блок требует активации после скачивания;
«A» – активная, блок будет активизирован после скачивания.
При выборе функции «PLCCONTROL» появится параметр «Функция», в котором доступны следующие функции управления ПЛК:
«INSE» – активация скачанного блока, параметром выступает имя блока;
«DELE» – удаление блока, параметром выступает имя блока;
«PPROGRAM» – запуск программы, параметром выступает имя программы;
«GARB» – сжатие памяти;
«MODU» – копирование RAM в ROM, параметр содержит идентификаторы файловой системы A/E/P;
Для проверки срабатывания пользовательского правила на основе шаблона протокола S7comm на ПК «Server» должно быть установлено ПО «Snap7 Server Demo», а на ПК «Client» – ПО «Snap7 Client Demo».
Для проверки правила СОВ необходимо выполнить следующие действия:
В ПО «Snap7 Server Demo», в поле «Local Address» ввести «192.168.1.200» и нажать кнопку «Start» (см. Рисунок – Запуск ПО «Snap7 Server Demo») для локального запуска сервиса.
Произвести запись в регистр, для этого перейти во вкладку «Data read/write», ввести в регистр «0000/00» значение «1» и нажать кнопку «Write» (см. Рисунок – Запись в регистр «0000/00»).
Перейти во вкладку «Control», нажать кнопку «Stop» для остановки работы контроллера и убедиться в изменении индикации с «RUN» на «Unknown» и недоступности кнопки «Get status» (см. Рисунок – Отключение контроллера).
Результатом успешного срабатывания правила будет появление событий в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»), в детальной информации которых присутствует значение, указанное в параметре «Заголовок»:
При создании пользовательского правила на основе шаблона промышленного протокола S7comm Plus необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся следующие параметры:
«Тип сообщения»;
«Тип»;
«Функция».
Параметр «Тип сообщения» содержит выпадающий список со значениями:
«REQUEST»;
«RESPONSE»;
«NOTIFY»;
«RESPONSE2».
Параметр «Тип» – содержит выпадающий список со значениями:
«CONNECT»;
«DATA»;
«DATAW1_5»;
«KEEPALIVE»;
«EXT_KEEPALIVE».
Параметр «Функция» – содержит выпадающий список со значениями:
«Отсутствует»;
«EXPLORE»;
«CREATEOBJECT»;
«DELETEOBJECT»;
«SETVARIABLE»;
«GETLINK»;
«SETMULTIVAR»;
«GETMULTIVAR»;
«BEGINSEQUENCE»;
«ENDSEQUENCE»;
«INVOKE»;
«GETVARSUBSTR».
При выборе опций «EXPLORE», «CREATEOBJECT», «DELETEOBJECT», «GETLINK», «SETMULTIVAR», «GETMULTIVAR», и «GETVARSUBSTR» появятся параметры для указания значений функции.
При создании пользовательского правила на основе шаблона протокола Telnet необходимо задать значения следующих параметров:
«Уникальный Telnet Login поток»;
«Значение Telnet login» – используется для передачи имени пользователя.
Примечание
В случае создания множества правил для разных логинов на один и тот же набор IP-адресов получателей и отправителей и портов, необходимо выбирать в поле параметра «Уникальный Telnet Login поток»:
«Да» – только на первом правиле из этого множества или единственном правиле;
При создании пользовательского правила на основе шаблона промышленного протокола UMAS необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Функция», в поле которого доступны функции:
0x01 – «INIT_COMM» – инициализация UMAS сессии;
0x02 – «READ_ID» – запрос ПЛК ID;
0x03 – «READ_PROJECT_INFO» – чтение информации о проекте;
0x04 – «READ_PLC_INFO» – чтение внутренней информации ПЛК;
0x06 – «READ_CARD_INFO» – чтение информации о внутренней SD карты ПЛК;
0x0A – «REPEAT» – отправить информацию обратно ПЛК. Используется для синхронизации;
В открывшейся форме (см. Рисунок – Настройка политики контроля приложений) отметить в списке правила для приложений, подлежащих блокировке, указать значения параметров «Имя» и «Описание», нажать кнопку «Сохранить» и нажать кнопку «Применить изменения».
Для импорта набора правил контроля приложений необходимо выполнить следующие действия:
Перейти в подраздел указания политик контроля приложений («Обнаружение вторжений» - «Контроль приложений») и нажать кнопку «Загрузить новый локальный набор правил» (см. Рисунок – Добавление политик контроля приложений).
В открывшейся форме выбрать архив в формате «tar.gz», содержащий набор правил контроля приложений, и нажать кнопку «Открыть».
После успешной загрузки правил (см. Рисунок – Статус импорта правил) необходимо нажать кнопку «Закрыть», а затем кнопку «Применить изменения» чтобы изменения вступили в силу.
» для включения правил (см. Рисунок – Включение правил) и нажать кнопку «Применить».
» – отключение правил;
» – включение правил;
» – назначение действия «Предупредить (Alert)»;
» – назначение действия «Отбросить (Drop)».
», расположенную в правой части счётчика.
», в открывшейся форме (см. Рисунок – Форма редактирования правила СОВ) указать параметры правила и нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения».
».
» (см. Рисунок – Настройка ПО «IED Explorer» на ПК «Client»).
», в поле «AppID» поставить значение «5» и нажать кнопку «Send 1x» (см. Рисунок – Настройка ПО «IED Explorer» на ПК «Server»).
» и путём нажатия кнопки «Add» добавить строки от «1» до «10» (см. Рисунок – Настройка ПО «ModbusPal») для добавления десяти регистров со значениями «0».
», ввести «192.168.1.100» и нажать кнопку «
» («Connect») для подключения к ПК «Server».
» – «Read/Write».
» и добавить подключение к серверу «OPC UA Server» (см. Рисунок – Добавление сервера в UaExpert).
