原則として、自動プロセス制御システムでは、非武装地帯の実装は次のとおりです。
ネットワークNo. 1には、ネットワークNo. 2のOPCクライアントがデータを受信するOPCサーバーがあります。 DMZサーバーがあります。 ファイアウォール1は、ネットワーク1からの接続のみを許可し、残りの接続は拒否されます。 ファイアウォール2はネットワーク2からの接続のみを許可し、残りの接続は拒否されます。 このような状況では、OPC DA伝送は不可能です。
ICSの標準交換プロトコルは何ですか? もちろん、Modbusが最初に思い浮かびます。 TCP / IPには、Modbus TCPがあります。 TCP / IP経由のModbus-RTUモードもあります。RS-485を通過する同じパケットがTCP / IP経由で送信されます。 Modbus-RTU over TCP / IPモードは事実上の標準になりましたが、非標準のままです。
用語を定義しましょう:
- Modbus-Slave-Modbusプロトコル経由でデータを送信するプログラム
- Modbus-Master-Modbusプロトコル経由でスレーブからデータを受信するプログラム
したがって、次のスキームを検討してください。
ネットワークNo. 1では、「OPCからModbus TCPコンバーター」はModbusスレーブであり、OPCサーバーからデータを受信します。 「OPC to Modbus TCPコンバーター」自体は、DMZ内のModbus TCP OPCサーバー(Modbus-Master)とのTCP接続を確立し(パッシブ接続スタンバイモードを使用)、非武装地帯のOPCからModbus TCP(Modbus-slave)コンバーターがデータを受信しますOPCサーバー。 ネットワーク2のOPCサーバーModbus TCP(Modbus-Master)は、DMZの「OPC to Modbus TCP Converter」との接続を確立し、OPCクライアントにデータを送信します。
このスキームでは、Modbusスレーブである「OPC to Modbus TCPコンバーター」自体がModbus-Masterとの接続を確立することは非標準です。 そのため、独自のコンバーターを作成する必要がありました。
スキームを簡素化します。
コード名TCP connections Convertorを使用して、境界ネットワークのサーバー用の簡単なプログラムを作成します。 彼女は2つのTCPポートを開きます。 ネットワークNo. 1から、OPCからModbus TCPコンバーターはポート1000を介して接続を確立し、Modbus TCP OPCサーバーはポート1001を介して接続を確立します。ポート1000に到着したパケットは、ポート1001に接続したクライアントに送信されます。パケット到着ポート1001で、ポート1000に接続されているクライアントに送信されます。
潜在的な攻撃者は、不正なパケットを送信することで「OPCからModbusへのTCPコンバーター」をクラックできると言えます。 次に、TCP接続Convertorで、不明なIPアドレスからの接続の禁止を入力し、パケット長制御を入力し、Modbus TCP標準に準拠しているかどうかパケットを確認します。
では、IEC-60870-5-104に移りましょう。 このプロトコルはModbusよりも高度です。 これを使用して、シグナルとタイムスタンプの有効性を送信できます。 また、IEC-60870-5-104規格は、スレーブがマスターとの接続を確立するときのモードをサポートします。
マスターは標準で監視ステーションと呼ばれ、スレーブは監視ステーションと呼ばれます。
スキームを再描画しましょう:
説明を繰り返します。ネットワークNo. 1では、「OPCからIEC-104へのコンバーター」はスレーブであり、OPCサーバーからデータを受信します。 「OPC to IEC-104コンバーター」自体がDMZのIEC-104 OPCサーバー(マスター)とTCP接続を確立し、非武装地帯のOPCからIEC-104(スレーブ)コンバーターがIEC-104 OPCサーバーからデータを受信します。 ネットワーク2のOPCサーバーIEC-104(マスター)は、DMZのOPC to IEC-104コンバーターとの接続を確立し、OPCクライアントにデータを送信します。
繰り返しますが、このスキームは、TCP接続Convertorプログラムを使用して簡素化できます。 別のアイデア!
TCP / IPプロトコルスタックを介してネットワーク上でデータを送信するワイヤレスGSM / GPRSモデムの出現により、リモートオブジェクトとの通信チャネルを整理することが便利になりました。 ただし、GSM / GPRSモデムの静的IPアドレスを常に取得できるとは限りません。 この場合、静的IPアドレスがサーバーに割り当てられます。 GSM / GPRSモデムはサーバーとの接続を確立し、TCP接続Convertorプログラムがサーバーにインストールされます。 OPCサーバーはポート1000でサーバーに要求を送信し、ポート1001に接続されたGSM / GPRSモデムがこのパケットを受信し、カウンターに渡し、カウンターが応答し、GSM / GPRSモデムがポート1001でサーバーに応答を送信し、サーバーがポート1000を介して応答を送信しますOPCサーバー。 OPCサーバーは、カウンターと直接通信すると「考え」、OPCサーバーを備えたコンピューターは外部ネットワーク(インターネット)から隔離されます。