PLC Robustification - MPI/DP-Zugang

H

hackaria

Level-1
Beiträge
12
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Zusammen,
ich habe ein paar Fragen an die "Security Fachmänner" unter Euch...
Bei der Einführung eines "Robustification Programs" für industrielle Automatisierungssysteme tun sich mir ein paar Fragen auf, was den Zugang zur Steuerung betrifft. Der Zugang über industrial Ethernet ist ganz klar immer eine Herausforderung an die IT-Sicherheit des Programmiergeräts (Antivirensoftware, Whitelisting und Hardening erforderlich). Wie verhält das sich beim Zugang via Feldbus (MPI/Profibus)? Hier ist doch erst einmal nur die aktuell verbundene Steuerung "gefährdet", oder gibt es bereits Schadsoftware, die sich über die Steuerungen hinweg in das übergeordnete Netzwerk ausbreiten kann? Meiner Meinung nach stellt ein Zugang via MPI im Verhältnis zu industrial Ethernet doch schon mal recht hohe Sicherheit dar. Kann man so Argumentieren?
Wie setzt Ihr das in der Praxis um? Was tut Ihr zur Steigerung der Sicherheit auf Programmiergerät/Laptop? Auf einem 10 Jahre alten Programmiergerät, was noch immer wegen des Softwarestandes benötigt wird, ist es jedenfalls nicht praktikabel einen aktuellen Virenscanner zu installieren... Hat jemand von Euch Erfahrung im Einsatz der Whitelisting Software "Mc Afee Application Control" auf einem Programmiergerät in der Praxis?
Vorab vielen Dank

Gruß

hackaria
 
hackaria schrieb:
Meiner Meinung nach stellt ein Zugang via MPI im Verhältnis zu industrial Ethernet doch schon mal recht hohe Sicherheit dar. Kann man so Argumentieren?
Zum Vergrößern anklicken....
Nein.
Du hast ja keine Argumente warum MPI sicherer ist. Bei MPI und Profibus gibt es in den Netwerkstandard kein Sicherheit.
Es gibt also absolut kein Sicherheit bei MPI, ausser das der CPU mit Passwort geschützt ist.

Wenn ein CPU kein direkten LAN Netzwerk Verbindungs hat, dann ist der wahrscheinlichkeit weniger das es über das Internet gehackt wird.
Aber man ist naiv wenn man denkt das MPI sicher ist.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Bei MPI und Profibus gibt es in den Netwerkstandard kein Sicherheit.
Zum Vergrößern anklicken....

Genau das ist das Problem. MPI ist nicht sicher. Diese eine Steuerung ist bei Verbindung mit einem PG "gefährdet", aber wirkt sich die Gefahr überhaupt auf ein übergeordnetes Netz aus? Meines Wissens nach gibt es noch keine Viren, die über MPI eine Steuerung infizieren können, aktiv auf der PLC laufen und sich über ein übergeordnetes Netz auf weitere Steuerungen innerhalb einer Netzwerkzelle ausbreiten können. Von daher könnte man doch argumentieren, dass der Zugang via MPI für das gesamte Prozessnetz eine wesentlich höhere Sicherheit bietet, als wenn das PG direkt mit diesem Netz verbunden ist, oder? Hängt das PG direkt im Netz, ist die Angriffsfläche und damit das Sicherheitsrisiko im Verhältnis zum MPI-Zugang doch viel größer.
 
hackaria schrieb:
Meines Wissens nach gibt es noch keine Viren, die über MPI eine Steuerung infizieren können, aktiv auf der PLC laufen und sich über ein übergeordnetes Netz auf weitere Steuerungen innerhalb einer Netzwerkzelle ausbreiten können.
Zum Vergrößern anklicken....
Meines Wissens gibt es Heute noch kein Virus der sich über SPSen verbreitet.
Was man in das Internet von Gerüchte hört (Stuxnet), handelt sich um ein Virus auf die PGs, wobei von die PGs bösartige Code in den SPS übertragen wurde.

Dazu muss gesagt werden das MPI total veraltet ist, und nicht in ein heutigen Projekt eingesetzt werden soll.
Wenn man Angst von Hacker und Virusangriffe hat, dann hilft nur den totalen Trennung von das Internet, und selbst dann ist man nicht 100% sicher (stuxnet).
 
Fabpicard schrieb:
War zwar auf den neuen 1200er, weil man da mehr "Freiheiten" in der Programmierung hat, aber deren Tests lassen sich sicher leicht auf MPI/Profibus umsetzen...
Zum Vergrößern anklicken....
Lassen sich nicht einfach auf MPI/Profibus umsetzen, da es nicht möglich ist vom SPS Programm aus diese Schnittstellen völlig frei zu verwenden, wie es bei Ethernet möglich ist.
Aber ein infizieren einer Steuerung ist durchaus möglich.
 
Wie sieht es eigentlich mit den ganzen Routing-Funktionen bei Siemens aus?
Vom Ethernet aus klappt es ja wunderbar ... Routing von Profibus aus Ethernet hab ich mir noch nie angeschaut
 

Similar threads

MB connect line GmbH
Security-Lösung für S7-300/400-Steuerungen und kompatible
Antworten
12
Aufrufe
2K
Flinn
Flinn
Zurück
Oben