DD
Если цель мониторить плк
Size: a a a
2020 March 19
K
логится в скаду
K
цель мониторить траффик всё-таки
DD
Ээээээ, неееет)
K
так как есть сетевое взаимодействие инжнерной станции и серверов через ISO интерфейсы к контроллерам
DD
При компромитации скада, с чего всё собсно и начинается от этого логирования толку не будет)
K
так вот как раз и надо настроить сбор событий со SPAN
DD
Трафик хорошо мониторить, но недостаточно
DD
Повторюсь, что типичные пром ids не работают с событиями из логов плк...
K
включать snmp в плк?
K
у меня разбор траффика будет делать datapk
DD
Включать экспорт логов в плк и отправлять во внешний лог коллектор а потом в сием
DD
Или внутренний, у некоторых асу тп вендоров есть свои решения для этого.
DD
Точнее у всех зарубежных)
K
я у сименса знаю два пути: ручная выгрузка логов через Diagnostic buffer и выгрузка в скаду. Родная программа мониторинга событий предполагает сбор событий только по верхнему уровню. но на самом деле надо почитать поподробнее
K
Судя по описанию всё же нужно вылавливать из траффика как то eventы
K
либо генерить тэг, собрать в него все ивенты из OB и как-то записать их на сервер
НД
Thanks for coming back ,
So it’s accepted to work with Siemens platform because as we discussed before facing unknown protocol drops on interfaces where Siemens PLC devices are connected using PROFINET.Gabor raised a bug CSCvi10141< https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi10141/?reffering_site=dumpcr>;;; and issue has been classified as cosmetic.
Unknown protocol drops reports the packets with unknown or un-configured protocol on a per interface basis. Therefore it can be any protocol that the router doesn't recognize. Siemens PLCs sometimes use non-standard Ethernet for communication. For instance Profinet IRT packets are standard Ethernet .
Also , we are not able to force the SW to not filter the traffic unless using an ACL to filter the traffic and disabling the STP not recommend from cisco TAC it’s will cause a Network down situation .
Please let me know if any assistance still needed from our side and how we can proceed with the case
So it’s accepted to work with Siemens platform because as we discussed before facing unknown protocol drops on interfaces where Siemens PLC devices are connected using PROFINET.Gabor raised a bug CSCvi10141< https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi10141/?reffering_site=dumpcr>;;; and issue has been classified as cosmetic.
Unknown protocol drops reports the packets with unknown or un-configured protocol on a per interface basis. Therefore it can be any protocol that the router doesn't recognize. Siemens PLCs sometimes use non-standard Ethernet for communication. For instance Profinet IRT packets are standard Ethernet .
Also , we are not able to force the SW to not filter the traffic unless using an ACL to filter the traffic and disabling the STP not recommend from cisco TAC it’s will cause a Network down situation .
Please let me know if any assistance still needed from our side and how we can proceed with the case
Товарищи из Индии не совсем правы. У прфинет рт есть минимум 2 особенности: особое значение поля ethertype (что уже может быть поводом для некоторых коммутаторов отбросить пакет) и особая интерпретация vlan tag - что точно приведет к неадекватной реакции коммутатора, если он в этом поле будет искать именно vlan id
K
Николай Домуховский
Товарищи из Индии не совсем правы. У прфинет рт есть минимум 2 особенности: особое значение поля ethertype (что уже может быть поводом для некоторых коммутаторов отбросить пакет) и особая интерпретация vlan tag - что точно приведет к неадекватной реакции коммутатора, если он в этом поле будет искать именно vlan id
что не помешало им закрыть кейс
НД
К сожалению, не приходится ожидать от специалистов ТП знаний из смежных областей