Inspecteur S7CommPlus

Présentation de l’inspecteur S7CommPlus

Type

Inspecteur (service)

Usage

Inspecter

Type d’instance

Multiton

Autres inspecteurs requis

stream_tcp

Activé

faux

S7CommPlus est un protocole propriétaire développé par Siemens. S7CommPlus permet la communication entre les automates programmables industriels de la gamme de produits Siemens S7.

L’inspecteur s7commplus détecte et analyse le trafic S7CommPlus. Vous pouvez définir des options de règles de prévention des intrusions pour déclencher des alertes basées sur les champs d’en-tête du code de fonction et d’opération S7CommPlus spécifiés, et ainsi détecter des attaques au sein du trafic S7CommPlus.

Bonnes pratiques en matière de configuration de l’inspecteur S7CommPlus

Si aucun appareil S7CommPlus n’est activé sur votre réseau, vous ne devez pas activer l’inspecteur s7commplus dans une politique d’analyse de réseau que vous appliquez au trafic.

Paramètres de l’inspecteur S7CommPlus

Configuration du port TCP S7CommPlus

L’inspecteur binder configure le port TCP S7CommPlus. Pour obtenir plus d'informations, reportez-vous à la Présentation de l’inspecteur de binder.

Exemple : 
[
    {
        "when": {
            "role": "server",
            "proto": "tcp",
            "ports": "102"
        },
        "use": {
            "type": "s7commplus"
        }
    },
    {
        "when": {
            "role": "any",
            "service": "s7commplus"
        },
        "use": {
            "type": "s7commplus"
        }
    }
]

Remarque

L’inspecteur S7CommPlus ne fournit aucun paramètre.

Règles de l’inspecteur S7CommPlus

Activez les règles de l’inspecteur s7commplus pour générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés.

Tableau 1. Règles de l’inspecteur S7CommPlus

GID:SID

Message de règle
149:1

La longueur de l’en-tête MBAP S7commplus ne correspond pas à la longueur requise pour la fonction S7commplus

149:2

L’ID du protocole S7commplus est différent de zéro

149:3

 Code de fonction S7commplus réservé en cours d’utilisation

Options des règles de prévention des intrusions de l’inspecteur S7CommPlus

Vous pouvez utiliser les mots clés s7commplus seuls ou combinés pour créer des règles de prévention des intrusions personnalisées qui identifient les attaques ciblant le trafic détecté par l’inspecteur s7commplus. Pour les mots-clés configurables, spécifiez une valeur unique connue ou un seul entier dans la plage autorisée.

Tenez compte des points suivants :

  • Lorsqu’une règle s7commplus comporte plusieurs mots-clés, une condition AND est appliquée entre ceux-ci.

  • L’utilisation de plusieurs mots clés s7commplus_func ou s7commplus_opcode dans une même règle invalide cette règle. Une règle ainsi invalidée ne peut pas trouver de correspondance dans le trafic. Pour rechercher plusieurs valeurs avec ces mots clés, créez plusieurs règles.

s7commplus_content

Utilisez le mot clé s7commplus_content pour positionner le curseur de détection au début de la charge utile du paquet S7CommPlus. Nous vous recommandons de définir ce mot clé avant d’utiliser un mot clé content ou protected_content dans une règle de prévention des intrusions S7CommPlus.

Syntaxe : s7commplus_content;

Exemples : s7commplus_content;

s7commplus_func

Utilisez le mot clé s7commplus_func pour rechercher une correspondance avec l’un des paramètres d’en-tête S7CommPlus spécifiés. Vous pouvez spécifier le nom du paramètre S7CommPlus ou le code hexadécimal correspondant.

Type : chaîne

Syntaxe : s7commplus_func: <header_parameter>;

Valeurs valides :

Nom

Code

explore

0x04BB

createobject

0x04CA

deleteobject

0x04D4

setvariable

0x04F2

getlink

0x0524

setmultivar

0x0542

getmultivar

0x054C

beginsequence

0x0556

endsequence

0x0560

invoke

0x056B

getvarsubstr

0x0586

0x0 à 0xFF

Notez que les expressions numériques permettent des valeurs supplémentaires.

Exemples : s7commplus_func: createobject;

s7commplus_opcode

Utilisez le mot clé s7commplus_opcode pour rechercher une correspondance avec l’un des paramètres d’en-tête S7CommPlus spécifiés. Vous pouvez spécifier le nom du paramètre S7CommPlus ou le code hexadécimal correspondant.

Type : chaîne

Syntaxe : s7commplus_opcode: <header_parameter>

Valeurs valides :

Nom

Code

demande

0x31

response

0x32

notification

0x33

response2

0x02

0x0 à 0xFF

Notez que les expressions numériques permettent des valeurs supplémentaires.

Exemples : s7commplus_opcode: 0x31;