【技术实现步骤摘要】
本申请属于工业网络安全,特别是涉及一种基于opc动态端口分配的分析方法。
技术介绍
1、微软的dcom协议是在网络完全问题被广泛认识之前设计的,而基于dcom协议的opc classic基本没有增加任何安全相关的特性,几乎所有著名的工业化自动软件都是基于windows平台开发的,都采用了opc技术,所以对使用opc协议进行通信的工控系统进行防护也变得复杂和困难。
2、基于opc协议的工控网络系统面临各种各样的威胁。在“两网”融合的大背景下,工业控制系统的隔离性被打破,面临来自网络的威胁空前加剧。无用的端口开放,工业软件依赖的操作系统本身存在的安全漏洞,工业协议本身安全性的缺失等等都将给工业控制网络带来巨大的安全隐患。因此,在真正接入到企业管理网,互联网之前,基于opc协议的工业控制系统n必须加入相应地安全设备进行防护,才能提高自身网络的安全。由于opc协议不同与传统的it应用层协议,对于opc协议的解析深度决定了安全产品在工业控制系统安全防护中的真正作用。
3、传统的it系统防火墙,在基于opc协议的工业控制系统中安装传统it系统防火墙进行防护,由于传统防火墙不支持opc协议的任何解析,为了能够保证opc业务的正常使用,不得不开放opc服务器的所有可开放端口,而opc服务器可分配的端口号范围很广,有超过1万多个可用端口号,由于opc服务器可能使用任何可使用的端口来进行真正的数据连接,而具体使用的端口号在响应客户端请求的应答报文中。传统防火墙无法识别出opc服务器具体所使用的端口号,传统防火墙为了保证opc
4、区别于传统防火墙,根据对于opc协议进行解析的工业防火墙可以跟踪opc连接建立的动态端口,最小化的开放工业控制网络的端口,从而达到保护作用,端口防护级工业防火墙同样部署在企业生产网和生产控制网的边界,此时配置策略只需要配置开放opc服务器的135端口,当opc客户端与服务器建立连接时,端口防护级防火墙跟踪并解析opc服务器与opc客户端协商出来的动态端口,然后自动将动态端口加入到防火墙的开放端口中,从而最小化开放生产控制网络的端口,与传统防火墙相比,防护能力有了进一步的提升。
技术实现思路
1、本申请实施例的目的在于提供一种基于opc动态端口分配的分析方法,其目的在于,防火墙跟踪并解析opc服务器与opc客户端协商出来的动态端口,然后自动将动态端口加入到防火墙的开放端口中,从而最小化开放生产控制网络的端口,提升防火墙的安全性能,保障工业控制系统的安全。
2、为实现上述目的,本申请提供如下技术方案:
3、本申请实施例提供一种基于opc动态端口分配的分析方法,包括如下步骤:
4、步骤s1:获取当前工业控制系统的opc客户端和opc服务端的设备信息;确定两个设备的ip地址,获取opc客户端和opc服务端的数据包;
5、步骤s2:从步骤s1获取的网络数据包,根据rpc协议的动态端口协商过程确定具体的会话位置,查看pcap数据包,根据动态端口协商过程,使用tcp协议建立连接,客户端向服务器发送syn,服务端响应syn,客户端向服务端发送ack,至此连接建立完成,随后基于dcerpc协议进行绑定,并进行安全验证等级,客户端向服务器发送pdu_bind,服务器向客户端响应pdu_bind_ack,随后发送pdu_auth3的安全验证,dcerpc协议连接建立,基于dcom的接口函数返回请求所分配的动态端口,使用tcp协议建立连接,开始opc数据的传输;
6、步骤s3:按步骤s2得到的会话信息,对于dcom中的接口方法进行动态端口分析。
7、步骤s1包括以下子步骤:
8、s101:完成opc动态端口模拟测试环境的搭建,samitic配置服务器,中控的接口框架配置opc客户端,其中为了利于抓取数据包,客户端和服务器在不同ip下搭建;
9、s102:操作系统用户设置,防火墙设置,关闭windows防火墙,配置系统宽泛的dcom设置,配置opc server的特殊dcom设置;
10、s103:从opc客户端连接远程搭建的opc服务器,根据远程服务器的名称,以及服务器的ip地址进行连接,连接成功后,使用wireshark在s101到s102中所搭建的opc客户端opc服务器的网络通讯中抓取网络数据包。
11、工控系统中的opc客户端可能是工控设备、服务器;
12、opc服务端可以是客户端、服务器、或工控设备;
13、opc客户端和opc服务端的基本信息包括ip地址,mac地址,设备名称,工作组信息,以及设备类型。
14、步骤s101具体是,安装samitic,配置opc服务器,阅读安装手册,掌握组态软件安装配置;opc客户端的搭建使用中控接口软件;
15、步骤s102具体是,首先基于操作系统用户的配置,在opc服务器上用administrator用户建立一个拥有管理员权限的用户并设置密码,一定要设置密码,不能为空;在opc客户端上用administrator用户建立一个相同的拥有管理员权限的用户并设置相同的密码,一定要设置密码不能为空,客户端和服务端的用户名和密码务必设置为相同的,关闭windows自带的防火墙,dcom配置,在opc服务器和opc客户端服务器都要进行设置,首先进入dcom的总体默认属性界面,启动计算机的分布式com,将默认身份级别改为无,打开属性,切换到安全属性页,将everyone,adminiatratro,annonymous uer三个用户进行添加,并勾选所有权限选项,一定要全部选定,否则会出现找不到服务器的情况,随后在msdtc标签下,进行安全性配置,在opc服务器上,还需要打开dcom配置,找到注册的opc服务器的名称选项,并打开它的属性,第四部进行本地安全策略配置,将本地账户的共享和安全模式设置为经典-本地用户以自己的身份验证;
16、步骤s103具体是,在中控接口软件,添加opc数据源,配置opc数据组态,配置服务器属性,根据服务器名称以及ip地址,连接服务器;随后添加分组,添加位号完成后,进行刷新操作,opc客户端和opc服务器开始进行通讯,最后保存当前配置的组态信息。
17、与现有技术相比,本申请的有益效果是:可以在一个模拟环境下去解析opc协议,在本地设备上去搭建opc服务器和opc客户端,从而可以抓取到大量地数据包,更方便用于测试分析,不需要在实际地工业网络环境下进行数据包的采集,大大节省了开发工业防护墙的成本,可以在本地深度解析opcda协议,从而根据数据包去分析获取服务器所重新分配的动态端口。
18、基于传统的防火墙,不对opc协议做出任何解析,为了保证通讯从而开放所有的端口,步骤s3对于防火墙进行了深度解析,可以跟踪到动态端口,最小本文档来自技高网...
【技术保护点】
1.一种基于OPC动态端口分配的分析方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于OPC动态端口分配的分析方法,其特征在于,步骤S1包括以下子步骤:
3.根据权利要求2所述的基于OPC动态端口分配的分析方法,其特征在于,工控系统中的OPC客户端可能是工控设备、服务器;
4.根据权利要求3所述的基于OPC动态端口分配的分析方法,其特征在于,
【技术特征摘要】
1.一种基于opc动态端口分配的分析方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于opc动态端口分配的分析方法,其特征在于,步骤s1包括以下子步骤:
3.根...
【专利技术属性】
技术研发人员:肖思昌,柳明,丰金浩,鲁非,王晓婷,肖金重,潘柳兆,涂京,石川,刘雯,彭学林,
申请(专利权)人:国网湖北省电力有限公司武汉供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。