И вот теперь вопрос. Если сегодня, в час ночи у

них закраснеет такой объект на каком-то их там большом экране? Персонала там нет, полная автоматизация. Видео не идет. Команду не дашь, что происходит - не понятно. Думаете, туда сразу поедут? Хрен. Позвонят начальнику отдела телекома. Он мне. Я полезу через кучу тунелей и промежуточных джамп-серверов и дам вердикт с некоторой вероятностной оценкой. Что это пров. Сейчас будем решать. Или - вижу пограничный роутер, он же впн шлюз объекта, дальше по диагностике делаю вывод, что оборудование за ним обесточено или вышло из строя. Едут. Чаще обесточено. Нихрена не поедут просто так, пока не отпинают телеком. Как тут без удаленного доступа?

12 ответов

23 просмотра

В вашем случае достаточно иметь доступ до опрделенного уровня чтобы сказать на каком этапе все пропало и в контур непосредственного управления таки иметь доступ совсем не обязательно. Более того построение информационной системы поверх асутп с частичным управлением может быть гораздо дешевле чем вотэтовотвсе.

Anton- Автор вопроса
Sergey
В вашем случае достаточно иметь доступ до опрделен...

Когда контур управления как в ПГУ, про что вы упоминали, заныка за кучей других зон, до которых по сути телеком разрыв (не путать с воздушным зазором), ваше замечание почти в тему. Когда это малый объект автоматизации, у которого контур управления начинается сразу или почти сразу за пограничным уровнем - никак. Контур управления - это тупо свич (он может быть вовсе не тупой, а очень даже интеллектуальный). Редко, но и на них бывают проблемы. Как их решать? Снимать, везти на стенд, до стенда уже удаленка? А если проблема с одним хостом на этом свиче? Кто будет траблшутить? Могу сказать, этот траблшутинг не всегда совсем уж примитивный бывает. Добавляется оборудование? Не было камер на объекте, ставят. Свич все тот же, к котрому контроллер подключен, там уровни изоляции сложные, как в ПГУ, никто развозить не станет. Максимум влан-ом обойдешься и фильтрацией между вланами. Снимать, везти? По телефону АСУШНИку рассказывать? Конфиги по почте высылать? Вот как вы это видите?

Anton
Когда контур управления как в ПГУ, про что вы упом...

1. Ну все что в контуре управления должен знать асушник в любом случае - это все его. 2. Получается по вашей архитектуре я могу подключаться и шить контроллер. - да удобно, но зачем его часто шить не понятно. - зачем вообще такой фукционал удаленно - почему не сделать шлюза для передачи необходимых сигналов для верха чтобы и обратно причем четко фиксированных. Пока вопросов больше. Это все к рискам и целесообразности.

Sergey
1. Ну все что в контуре управления должен знать ас...

По поводу шить плк. Описывали же выше: на границе объекта есть файервол. Если диспетчеризация в интернете, это же не означает что плк светит там всеми открытыми портами. Ну открыт там один 502 порт и дальше что? Вы даже своим инструментальным ПО в большинстве случаев не подключитесь.

Азат М.
По поводу шить плк. Описывали же выше: на границе ...

Я правильно понял что у вас 502 порт открыт в Интернет?

Азат М.
По поводу шить плк. Описывали же выше: на границе ...

Это же modbustcp по умолчанию, почему к нему нельзя подключиться?

Я на вебинаре показывал как модулем Metasploit изменять тех процесс устройства по порту 502

R Z
Я на вебинаре показывал как модулем Metasploit изм...

Даже при наличии аксес-листов на пограничном мсэ, самом плк и других мер?

Азат М.
Даже при наличии аксес-листов на пограничном мсэ, ...

МСЭ в данном случае все равно не препятствует изменению команд. Даже если у вас dpi настроен, то все равно легитимными командами процесс можно вывести из штатного, поэтому кроме МСЭ нужен ещё защищённый канал или защищённый протокол.

Marina S
МСЭ в данном случае все равно не препятствует изме...

Ну если залезть в vpn, сесть вместо управляющего сервера с его ip, то да, не спасет ничего.

Азат М.
Ну если залезть в vpn, сесть вместо управляющего с...

Не понятно. Если предполагается внутренний нарушитель, то вы защищаете сегменты исходя из этого, между сегментами vpn. Кто должен залезть ?

Marina S
МСЭ в данном случае все равно не препятствует изме...

Либо подтверждение для "рискованных"команд

Похожие вопросы

Обсуждают сегодня

Гайс, вопрос для разносторонее развитых: читаю стрим с юарта, нада выделять с него фреймы с определенной структурой, если ли чо готовое, или долбаться с ринг буффером? нада у...
Vitaly
9
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
длина пакета фиксированная, или меняется?
Okhsunrog
7
Вот еще странный косяк, подскажите как бороться. Я git clone сделал себе всего embassy и примеры там запускаю. Всё хорошо. Но вот решил в cargo.toml зависимости не как в приме...
Lukutin R2AJP
5
А в каком формате фреймы? Сам формат сейчас придумываешь, или что-то готовое нужно распарсить?
Okhsunrog
5
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Добрый вечер, Пока не совсем понимаю как наладить общение между телеграм ботом и ПО для работы с сим боксом. По самому боту так понял: - Нужен некий баланс, который можно поп...
Magic
6
Всем привет, нужна как никогда, нужна помощь с IO в загрузчике. Пишу в code16 после установки сегментных регистров, пишу вывод символа. Пробовал 2 варианта: # 1 mov $0x0E, %a...
Shadow Akira
14
Раз начали говорить про embassy, то присоединюсь со своими парой вопросов. 1) Есть ли сопоставимые аналоги для асинхронного кода в emdebbed? 2) Можно ли внутри задач embassy ...
NI_isx
6
сделал сайт, прикрутил в боте сайт, и виджет логина. как автоматически логинить пользователя в аккаунт(телеграм), при входе с бота?
Александра Чернивецкая
5
Карта сайта