DNP3 新しいアプリ-ID リリース

DNP3 新しいアプリ-ID リリース

0
Created On 09/25/18 19:45 PM - Last Modified 07/19/22 22:42 PM


Resolution


背景:

DNP3 (分散ネットワークプロトコル) は、SCADAシステムのコンポーネント間で使用される通信プロトコルのセットです。その主な用途は、電気や水道会社などのユーティリティです。各種データ集録・制御機器間の通信用に開発されました。それは scada のマスターステーションによって使用されている scada の s ystems、で重要な役割を果たしている (別名 制御センター)、リモートターミナルユニットとインテリジェント電子デバイス。

  

我々は現在、DNP3 のための5つのアプリケーション id を持っており、32のアプリケーション id にこれを取るすべての DNP3 関数コードにこれを拡張することを計画しています。これは、SCADA と ICS システムで使用される重要なプロトコルであることを考えると、DNP3 App ID を利用した既存のデプロイメントを中断することなく、これらの変更を円滑に吸収できるような方法でこれらの変更を導入したいと思います。

 

リリース計画:

2017 8 月21日の週では、パロアルトのネットワークは DNP3 機能コードのための27の App id を加える。8月17日の週に有効になるアプリ id の一覧は、次のとおりです。

 

dnp3-確認
dnp3-選択
dnp3-直接動作-resp
dnp3-フリーズ
dnp3-フリーズ-resp dnp3-
クリア dnp3-
クリア-resp

dnp3-時間
dnp3-フリーズ-時-resp
dnp3-コールド-再起動
dnp3-ウォーム-再起動
dnp3-初期化-データ dnp3-
初期化-アプリケーション

dnp3-スタート-アプリケーション
dnp3-stop-アプリケーション
dnp3-保存-構成
dnp3-有効-未承諾の
dnp3-無効-未承諾の dnp3-
割り当てクラスの
dnp3 遅延測定

dnp3-レコード-現在の時間
dnp3-オープン-ファイル
dnp3-閉じる-ファイル
dnp3-削除-ファイル
dnp3-get-ファイル-情報
dnp3-認証-ファイル
dnp3-中止-ファイル

 

これらの27のアプリケーション id は、2つのフェーズでリリースされます。 

 

  • 7月 2017-27 DNP3 プレースホルダ機能アプリ-IDs がリリースされます -リリース時間枠 (7 月17日、2017の週) 
  • 8月 2017-有効にする 27 DNP3 機能アプリ-IDs の-リリース時間枠 (8 月21日の週, 2017) 

 

プレースホルダアプリ id を使用すると、お客様は事前にファイアウォールに必要なポリシー変更を行うことができます。 アプリ ID のプレース ホルダーは、計画し、セキュリティ ポリシーにアプリケーション Id を追加する顧客に十分な時間を与えます。

  

Frequently Asked Questions

 

Q: なぜパロアルト ネットワークはこの変更を行うのですか。

A: SCADA と ICS のスペースと進化する脅威の風景の中で多くのお客様との相互作用に基づいて定義済みの DNP3 アプリケーション id の要求が頻繁に来ています。それと私たちの継続的な努力は、SCADA のスペースでのアプリケーションの可視性を提供することを認識している我々は、これらの27の追加 DNP3 アプリケーション id をリリースすることを決定した。

 

Q: どのようなポリシーの変更は必要になりますか。

a:アプリ id ベースのポリシーと dnp3 という名前のアプリ id を使用して dnp3 関連のトラフィックを許可するお客様は、このポリシーを変更して、必要な dnp3 アプリ id を27のアプリ id の一覧から "追加" する必要があります。前の文に「add」という言葉に細心の注意を払ってください。dnp3 ベースは削除せず、その既存のポリシーに dpn3 機能的なアプリ id を追加することをお勧めします。

 

やや簡単ですが、あまり細分化されていないアプローチは、すべての DNP3 アプリ id を許可する DNP3 コンテナアプリの識別子を許可するだけです。

 

スクリーンショット2017-07-17 で16.14.17

 

ただし、より詳細なアプローチについては、許可する必要がある DNP3 トラフィックの種類を評価し、これらの特定の DNP3 関数コードアプリ id のみを許可することをお勧めします。以下のセキュリティポリシーは単なる例であり、すべてのお客様のセットアップが異なることに注意してください。適切なポリシーを構築するには、ネットワークに存在する DNP3 フローに関する独自の判断と知識を使用してください。 

スクリーンショット2017-07-17 で16.14.42

 

 

Q: DNP3 に関連するトラフィックを許可するためにポートベースのポリシーを使用している場合はどうなりますか。

A: DNP3 トラフィックを安全に有効にするためにポートベースのポリシーを使用している場合、この変更は影響を受けません。ただし、DNP3 に関連するトラフィックを安全に有効にするには、DNP3 アプリ ID の使用を開始することを強くお勧めします。

 

Q: dnp3セキュリティポリシー内の1つ以上の dnp3 機能アプリ id に置き換えられない場合はどうなりますか。

A: 2017 8 月21日の週に、すべての27の DNP3 機能アプリ id が有効になります。以前に dnp3 として識別されたトラフィックは、これらの新しいアプリ id のシグネチャと一致する場合、これらの27の機能的なアプリ id の1つとして識別できるようになります。 既存のセキュリティポリシーに dnp3 が明示的に許可されており、これらの27の機能 dnp3 アプリ id のいずれかに一致するトラフィックがある場合は、削除される可能性があります。 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcdCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail