Stuxnet Source und Gegenmaßnahmen

Das ist ja das (un-)lösbare an der Sache ...

Was unterscheidet dem Virus vom User ?


Wenn ich an ein Forum denke gibts hier ja User und Robots ?
Da gibts ja auch diverse Lösunge (Captcha usw.)
 
Brauch dann auch noch eine Hardware Firewall direkt vor der SPS die
Linux und Windows zugriffe unterscheiden kann ...

Oder einfacher die IP des Linux rechners kennt ...

hört sich ja fast gut ... wäre nur nicht die Sache mit
der Installation ...
 
Zusammengefasst welche Lösungen dem Dokument stehen:
- VPN-Verbindung
- Physikalische Trennung der Netze, bzw. VLANs

oder steht dort etwas neues drin?
z.B.:
Schutz im Endgerät

Um einen unerlaubten Zugriff auf eine S7-Station zu unterbinden, wird als
Netzanschluss auf Seiten der S7 eine Ethernet-Kommunikationsprozessor (z.B. CP
443-1) eingesetzt. Diese CPs können - bei entsprechender Konfiguration - nur
auserwählten IP-Adressen den Zugriff auf die S7-Staton via Ethernet zu erlauben.

Die nötige Konfiguration und Projektierung erfolgt über HW-Konfig von STEP 7 in
den Eigenschaften des CPs. Hier befindet sich in der Registerkarte IP-
Zugriffsschutz eine editierbare Liste, wo alle die IP-Adressen eingetragen werden,
denen der Zugriff auf die S7-Station gewährt wird.
Möglich ab 343-1EX21/V1.0 und 443-1EX10/V2.3

Das bringt aber im Fall von Stuxnet natürlich nichts.
Mein Link auf den Siemens-Beitrag war auf diese Frage gemünzt:
wie sieht es mit Anwenderspezifischen Filterregeln in der CP aus ?
Gibts hier einen SFC um ACLs definieren zu können.
Alles was ich bis dato gesehen hab war eine Blacklist...

Harald
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Tresor auf Virus und Programmierer rein ... :)

Virus sitzt ja in der gleichen DLL wie der User ...

Da lob ich mir doch meine OMRON, bis einschießlich CJ1 kann ich sie noch mit einer Programmierkonsole programmieren (wenn nur eine Task und keine FBs verwendet).
Die Progammierkonsole ist richtig Hardware, da kriegst du keinen Virus rein, nicht mit USB-Stick, nicht mit Bluetooth, nicht mit WLAN, nicht mit Ethernet, sind nur Tasten zum Drücken mit deinen Fingern drauf.

Eine Anlage, wo nur ca. 200 Umrichter immer eine konstante Frequenz halten müssen, kriegt man damit noch programmiert. Und wenn die SCADA über Hostlink angeschlossen ist, kann man im Run-Mode noch nicht mal Werte in der SPS ändern, nur auslesen.
 
Da lob ich mir doch meine OMRON, bis einschießlich CJ1 kann ich sie noch mit einer Programmierkonsole programmieren (wenn nur eine Task und keine FBs verwendet).
Die Progammierkonsole ist richtig Hardware, da kriegst du keinen Virus rein, nicht mit USB-Stick, nicht mit Bluetooth, nicht mit WLAN, nicht mit Ethernet, sind nur Tasten zum Drücken mit deinen Fingern drauf.

Eine Anlage, wo nur ca. 200 Umrichter immer eine konstante Frequenz halten müssen, kriegt man damit noch programmiert. Und wenn die SCADA über Hostlink angeschlossen ist, kann man im Run-Mode noch nicht mal Werte in der SPS ändern, nur auslesen.

Toll und ich hab 'nen Abakus zu Hause, da geht nicht mal Strom rein, aber vielleicht ein Holzwurm...

Das hören wir immer wieder, "Meins ist das Beste", aber bitteschön, wenns denn sein soll. *ROFL*
 
Man könnte eine kleine "Kiste" zwischen CPU/CP und Netwerk stecken, die die S7 Pakete filtert. Eine solche "Kiste" würde das S7-Protokoll kennen und könnte konfiguriert werden, was sie erlauben und was sie verwerfen soll.
- Program speichern, löschen
- Program auslesen
- Start, Stop
- Werte ändern
- Werte auslesen
- Zugriff auf Werte nur in erlaubten DBs.
Diese "Kiste" hinge auf einer Seite am Ethernet, die andere Seite ist entweder auch Ethernet oder aber Profibus.
Die Kiste hätte ein Web-Interface. Darüber könnte sich z.B. ein Fernwarter authorisieren und temporär weitere Zugriffe freischalten.
Besteht Interesse für so ein Produkt?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
SFC109 bietet exakt den gleichen Schutz wie der fruehere Run/Run-P Schluesselschalter. Bietet also Schutz vor Codeplatzierung ala Stuxnet im lfd. Betrieb, jedoch nicht vor Sabotage ala CPU-Stop. Ist auf jeden Fall besser als nichts.

Gruss,
Flinn


Wie muss ich SFC denn paramtieren? (Gibts ne Beschreibung was der SFC genau macht [Außer das was in der Hilfe steh?])

Und was muss ich dabei beachten. Will das an bestehenden anlagen einbauen, wenn es nicht so schwer ist den einzubauen während lfd. Betrieb.
 
Man könnte eine kleine "Kiste" zwischen CPU/CP und Netwerk stecken, die die S7 Pakete filtert. Eine solche "Kiste" würde das S7-Protokoll kennen und könnte konfiguriert werden, was sie erlauben und was sie verwerfen soll.
- Program speichern, löschen
- Program auslesen
- Start, Stop
- Werte ändern
- Werte auslesen
- Zugriff auf Werte nur in erlaubten DBs.
Diese "Kiste" hinge auf einer Seite am Ethernet, die andere Seite ist entweder auch Ethernet oder aber Profibus.
Die Kiste hätte ein Web-Interface. Darüber könnte sich z.B. ein Fernwarter authorisieren und temporär weitere Zugriffe freischalten.
Besteht Interesse für so ein Produkt?

Das war das was ich mit "Firewall auf Applikationsebene" meinte.
Leider sind die meisten Linux-Firewalls nur reine Paketfilter (iptables etc.). Sonst könnte man sich einfach einen Router mit Linux passend umkonfigurieren (diverse Linksys Geräte).

Eigentlich gehört so ein Zugriffschutz aber in die SPS (bzw. CP) und nicht in ein externes Gerät welches man einfach davorhängt, da dieses auch wieder ausgebaut oder umgangen werden kann.
 
... im Endeffekt muß das Programm irgendwann in die CPU. Und da beginnt ja schon die Unsicherheit. Für den laufenden Betrieb ist eine davorgeschaltete Firewall welcher Art auch immer eine Hürde für Schadcode. Es wird immer aber immer eine Möglichkeit geben, diversen Code einzubringen. Nur der Aufwand ändert sich. Eine gewisse Sparsamkeit in der Vernetzung ist auch hilfreich. Nicht jede Steuerung/VISU/... muß im allesumspannenden Firmennetz aus gründen der Bequemlichkeit hängen. Ein abgeschottetes Anlagennetz SPS/VISU/FELDGERÄTE/... und ein separates Netz mit eigenem CP und IP-Zugriffsschutz zur Anbindung ans Unternehmensnetz wo z.B. auch nur auf bestimmte Datenbereiche zugegriffen werden darf hält auch schon einiges ab.

Thomas
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Zusammenfassung:

Servus zusammen freut mich dass wieder leben ins Stuxnet Thema kommt

Folgende Möglichkeiten halte ich mal fest:

* NAC (Network Access Control) unbekannte Teilnehmer bekommen
keinen Zugang zum Netz wenn nicht erst alle Security Patches,
Virenscanner Def Files usw. uptodate sind
* Trennung der Netzwerke
* Verringerung der Netzwerkdosen mit Zugang zur SPS
* Partner IP in der CP Projektieren (Filterregeln in der CP)
* Firewall IP Adressen basierend
* Firewall Protokoll basierend RFC1006
* Firewall Port basierend 102
* HW basierende Lösungen die die Manipulation des SPS Rechners
überwachen (compare der Step7 Installationsfiles auf Änderungen)
* keine SPS mit Netzwerkstecker einzusetzen

Fällt euch noch was ein ...
 
Zurück
Oben