Авторизация на чтение/запись по ModBus

[sgmj]

Добрый день

Есть ПЛК110, опрашиваемые по ModBus. Возможно ли как то настроить авторизацию на чтение\запись ModBus переменных?

[Yegor]

Протоколом не предусмотрено. А зачем это понадобилось? Какую задачу решаете?

[sgmj]

Просто моделирую ситуацию, когда некто со злым умыслом имея доступ к сети ПЛК мог бы использовать его для саботажа работы (к ПЛК подключена периферия типа вентиляторов/нагревателей и т.д.) - например, изменяя напрямую регистр, переменная из которого отвечает за включение нагревателя.

[melky]

sgmj делите сети на отдельные VLAN и доступ к другой сети только "избранным".
обратитесь к администраторам.

[lomtik]

подскажите тоже интересно, извините что вмешиваюсь, а есть ли возможность защитить плк от несанкционированного доступа. Ведь при доступе к сети диспетчеризации(физически - где установлен ПЛК либо виртуально из сети) возможно подключение к любому ПЛК в этой сети по IP, можно и программу перезалить несанкционированно. Как в этом случае защитить ПЛК? Например, можно ли ПЛК использовать в системах охранной сигнализации?

[_Mikhail]

подскажите тоже интересно, извините что вмешиваюсь, а есть ли возможность защитить плк от несанкционированного доступа. Ведь при доступе к сети диспетчеризации(физически - где установлен ПЛК либо виртуально из сети) возможно подключение к любому ПЛК в этой сети по IP, можно и программу перезалить несанкционированно. Как в этом случае защитить ПЛК? Например, можно ли ПЛК использовать в системах охранной сигнализации?

Кто мешает установить пароль на перезапись или чтение проекта?

[Yegor]

Кто мешает установить пароль на перезапись или чтение проекта?

Не спасёт.

Как в этом случае защитить ПЛК? Например, можно ли ПЛК использовать в системах охранной сигнализации?

Шифрующую аппаратуру ставить в разрез линии в одном шкафу с ПЛК.

[Scream]

Сначало надо угадать целевую платформу. Про модбас, надо угадать порт, а если хоть 1 клиент подключен к порту (я о TCP), то к нему уже не подключиться.
Про авторизацию, нативно врятли, а вот ручками можно. Порт для авторизации один, который после успешной авторизации открывает порт с модбас другой, работающий ровно 1 подключение.

[Yegor]

Сначало надо угадать целевую платформу

Ни к чему. Таргет нужен среде разработки. Остальному софту важна только версия протокола (плюмс).

Про модбас, надо угадать порт

Поднимите руки те, кто постоянно меняет 502 на что-то другое. Лес рук!

а если хоть 1 клиент подключен к порту (я о TCP), то к нему уже не подключиться

Порт 1200 с кодесисовским протоколом открыт всем ветрам.

Порт для авторизации один, который после успешной авторизации открывает порт с модбас другой, работающий ровно 1 подключение.

Не забываем про порт 1200. А благодаря команде SetIP можно вообще устроить man in the middle.

[Sergey666]

Ни к чему. Таргет нужен среде разработки. Остальному софту важна только версия протокола (плюмс).Поднимите руки те, кто постоянно меняет 502 на что-то другое. Лес рук!Порт 1200 с кодесисовским протоколом открыт всем ветрам.Не забываем про порт 1200. А благодаря команде SetIP можно вообще устроить man in the middle.

Ну ок порт туды-сюды , IPшник что на проходной написан ?
Ну теоретически 254 адреса можно потыкать КДСом , если действительно таргет есть , опять же подсеть надо знать .

Даже взять КДС3 с WEBкой и WI-FI шлюзом (роутером) - ну увидел сеть - введи пароля , даже если сеть открытая - все равно в запросе IP и порт присутствует .
ПЛК это-ж не комп с виндой , который в сети регистрируется , его "видно" , он сам все о себе расскажет , тому кто спрашивать умеет.