Стандартные номера tcp портов OPC UA

[VADR]

Приветствую, коллеги.

В ходе экспериментов с серверами/клиентами OPC UA столкнулся со следующим: в настройках софта везде указывается в явном виде номер порта (что как бы намекает, что номер этот может быть любым), причём разный софт по умолчанию предлагает разные номера. Где-то одни и те же (к примеру, 4840), где-то близкие (4841 и 4843), где-то - вообще из дальних закоулков (49320). На opcfoundation нашёл в описании одного application example рекомендации по настройке файрвола - там вообще куча разных портов для разных применений (причём непонятно - это для "общего случая" или конкретно для этого application example). Отсюда вытекает вопрос: существует ли какой-либо стандартный номер порта для OPC UA? Или их вообще несколько? Или можно придумать любой и узаконить стандартом предприятия?

[SaNNy]

Насколько я знаю, номер порта определяется производителем opc ua сервера, соответственно он может быть любым доступным в системе.

[Jackson]

Мне тоже кажется, что в поддержке или документации производителя должен быть однозначный ответ на этот вопрос.

[keysansa]

Номер порта никак не связан с его функцией.
По моему только Microsoft не позволяет изменять порты.
В RFC или спецификациях производителей могут быть прописаны какие-то номера, но это не значит, что они "прибиты намертво" и не могут быть изменены.
С точки зрения безопасности - использование стандартного номера порта = дыра. При этом минус удобство использования (что всегда - чем безопаснее, тем неудобнее). Попробуйте открыть "вовну" 22 порт. Тут же получите до 100 в сек (мое измерение) попыток войти с помощью root.
Дополнительно, сейчас число сетевых служб очень много. И часто непопулярные, по умолчанию, занимают одни и те же порты.
Поэтому смотрите, какие у вас не заняты, выбирайте на ваше усмотрение и заносите в документацию. Ничего криминального в нестандартном порту нет.

[VADR]

По моему только Microsoft не позволяет изменять порты.
В RFC или спецификациях производителей могут быть прописаны какие-то номера, но это не значит, что они "прибиты намертво" и не могут быть изменены.

Modbus TCP, S7...

С точки зрения безопасности - использование стандартного номера порта = дыра.

Использование фиксированного порта - возможность ограничить на файрволах целевой трафик этим самым одним портом. Дыра тут небольшая. Никакая по сути. Я потому и спрашиваю, что надо на предприятии установить какие-то правила на эту тему, и хотелось бы понимать, какие. Если общего стандарта нет и устанавливается стандартом предприятия - ОК, будем придумывать свой стандарт.

[keysansa]

Общий стандарт обычно описывается в RFC для протокола.
Стоит различать фиксированные и динамические порты (например FTP, RTP для SIP, или торрент. Динамические используются обычно для обхода защиты).

Отправлено спустя 9 минут 4 секунды:

Modbus TCP, S7...

Modbus TCP - Все позволяют конфигурировать
Для примера Owen https://owen.ua/uploads/81/rp_plk100-pl ... ukr_27.pdf (стр 44). ICP Con так же позволяют.
S7 - Да. Порты стандартны. Но вы видели S7 для Linux?

Отправлено спустя 2 минуты 5 секунд:

Дыра тут небольшая.

Дыра в том, что по номеру порта уже понятно какой эксплоит применять. И это можно делать автоматически.

Отправлено спустя 1 минуту 52 секунды:

Если общего стандарта нет и устанавливается стандартом предприятия - ОК, будем придумывать свой стандарт.

Общий стандарт выбирается во время написания RFC. Для того, что бы не конфликтовать с уже имеющимися портами. Но, порты просто рекомендуются, и не факт, что все остальные в вашей системе заняты.

Отправлено спустя 9 минут 14 секунд:
Вам никто не запретит использование отличных от RFC портов. Только нужно провести мероприятия, предотвращающие их использование другими программными средствами. Ну, и наверное, нужно учесть софт для конфигурации. Не всегда им предоставляется право выбора порта.
С точки зрения правил - нет ограничений.