Fernwartung über Internet - Sicherheit ?

S

smartie

Level-1
Beiträge
298
Reaktionspunkte
22
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

nachdem ich mir diverse Beiträge zum Thema Fernwartung durchgelesen habe und auch bereits eine Verbindung zur Anlage hergestellt habe (Funktion ist also gegeben) stellt sich mir trotzdem die Frage wie sicher das ganze ist:

Die entsprechende Anlage verfügt über einen CP343-1 Lean und ist in das Firmennetzwerk beim Kunden eingebunden.
(Ob es sich dabei um ein reines Automatisierungsnetzwerk handelt kann ich nicht sagen, vermutlich sind aber schon diverse PC in diesem Netzwerk eingebunden).

Vom Kunden habe ich einen Zugang über VPN erhalten mit dem ich mich in seinem Netzwerk einloggen kann und so Zugriff auf meine Steuerung habe.

Aber genau so wie ich nun Zugriff auf sein Netzwerk habe hat er doch nun auch Zugriff auf unser Firmennetzwerk!
- Welche Lösungen gibt es eine Fernwartung über Internet SICHER zu realisieren, bei der nur eine Verbindung zwischen meinem PC und dem Automatisierungssystem hergestellt wird?

- Wie löst ihr so etwas?

Gruß smartie
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ja, den Thread habe ich schon gelesen. - Meiner Meinung nach der beste Beitrag zu der ganzen Thematik.

- Aber leider wenig zur prinzipiellen Sicherheit einer VPN Verbindung.

smartie
 
Hier findest du auch noch einige Hinweise zur Sicherheit.

Was zur Sicherheit innerhalb des VPNs beiträgt sind auf jeden Fall

- externe VPN-Server (jeweils ausgehende Verbindungen vom Büro und von der Anlage)
- Firewall im VPN-Router
- Sicherheitszertifikat
- fixe IP-Adressen

In den mir bekannten Fällen wir meistens OpenVPN eingesetzt.
 
Ich verstehe die Frage so, daß der TE befürchtet, der Kunde könnte sich nun sozusagen rückwärts in seinem Netzwerk ebenfalls frei bewegen. Das sollte eigentlich nicht möglich sein oder?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ralle schrieb:
Ich verstehe die Frage so, daß der TE befürchtet, der Kunde könnte sich nun sozusagen rückwärts in seinem Netzwerk ebenfalls frei bewegen. Das sollte eigentlich nicht möglich sein oder?
Zum Vergrößern anklicken....

Das wäre mir jedenfalls neu. Wenn der Kunde den Server stellt, dann geht es ja eh nur in eine Richtung... und so wie der Kunde eine Firewall hat, so wird ja der TE im Büro auch eine Firewall haben, die er entsprechend konfigurieren kann - angenommen diese Gefahr bestünde tatsächlich.
 
Genau, unsere EDV Abteilung hat Bedenken das der Kunde über die VPN Vernindung in unser Netzwerk eindringen kann.

- Ist das überhaupt möglich?

Muss eine VPN Verbindung zwangsläufig über einen VPN Server laufen?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
hi,
ich habe da zwar nicht die grosse Erfahrung aber wir setzen in ein paar Containeranlagen (Verfahrenstechnik) Tixi-GSM-Modem´s ein. (soll keine Schleichwerbung sein)
Kleine Programmänderungen oder eine Fehleranalyse gehen da wunderbar, wähle mich mit dem Laptop und Handy ein.
Bei fehler bekomme ich ´ne SMS und wöchentlich ein Status an istwerten.
Ein bekannter arbeitet u.a. mit Teamviewer.....aber da bin ich überfragt.
glg
 
Was mir grad noch einfällt. Und zwar muss der VPN-Tunnel ja nicht permanent stehen. Das heißt, du machst deine Fernwartung, holst dir ein paar Werte oder änderst was am Programm und dann kann die Verbindung ja wieder abgebaut werden. Und ich persönlich kann mir nicht vorstellen, dass während du da an der Anlage am arbeiten bist, jemand "heimlich" auf euer Firmennetz zugreift (vorausgesetzt, das wäre grundsätzlich möglich). Also einfach Verbindung aufbauen, Fernwartung machen, Verbindung abbauen.
 
Hallo Sven,

ich seh das grundsätzlich so wie du. - Aber unsere EDV Abteilung hat wohl ein paar Bedenken und will sich mal mit unserer IT Firma abstimmen.
- Mal schauen was die dazu sagen...

Ein Ansatz wäre jetzt von Helmholz den REX 300 einzusetzen.
Für mein Verständniss arbeitet der so das einmal der REX 300 eine Verbindung zu einem Vermittlungsserver aufbaut und das selbe wird von meinem PC aus gemacht.

Der Vermittlungsserver koppelt dann scheinbar beide Enden miteinander, wobei scheinbar nur ein Zugriff über das S7-Protokoll möglich ist.

Nachteil ist dann aber das ich nicht auf weitere Geräte (Drucker, Scanner) im Netzwerk zugreifen kann.

Mal schauen was die IT Firma dazu sagt ...

smartie
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Das heißt bei uns Deltalogic24 und wird von uns kostenlos zu jedem gekauften Router mitgeliefert.
Der Router und der PC bauen jeweils eine Verbindung zum VPN-Portal Deltalogic24 auf und werden dort verbunden.
 
smartie schrieb:
Nachteil ist dann aber das ich nicht auf weitere Geräte (Drucker, Scanner) im Netzwerk zugreifen kann.
Zum Vergrößern anklicken....
Je nachdem wie die Port-Forwarding-Regeln im Router konfiguriert sind hast du auch auf mehrere Geräte, die am Router hängen Zugriff. Wenn eine SPS dranhängt, kannst du über STEP7 auf diese Zugreifen, wenn ein PC dranhängt, kannst du auf diesen über z. B. Teamviewer, PC Anywhere etc, zugreifen...

Der Router bzw. das Portal (bei uns Deltalogic24) hat in erster Linie nix mit der (reinen) S7-Kommunikation zu tun. Du kannst - je nach dem wie es gewünscht ist - auf alle Geräte die am Router hängen zugreifen, sofern die entsprechende Software (STEP7, WinCC, ...), die dazu benötigt wird, vorhanden ist.
 
Hallo, grundsätzlich ist unser myREX24.net Server bis zu 10 Geräte kostenlos. Ein Zugriff auf das dahinterliegende Netzwerk ist außerdem problemlos möglich.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
http://www.mbconnectline.de/mbnet.html
smartie schrieb:
Vom Kunden habe ich einen Zugang über VPN erhalten mit dem ich mich in seinem Netzwerk einloggen kann und so Zugriff auf meine Steuerung habe.

Aber genau so wie ich nun Zugriff auf sein Netzwerk habe hat er doch nun auch Zugriff auf unser Firmennetzwerk!
- Welche Lösungen gibt es eine Fernwartung über Internet SICHER zu realisieren, bei der nur eine Verbindung zwischen meinem PC und dem Automatisierungssystem hergestellt wird?
Zum Vergrößern anklicken....

Hallo,

es wurde ja schon einiges geschrieben, hier meine Meinung:

Am sichersten sind im Moment die Portallösungen. Ob deltalogic24,
myrex24 oder mbCONNECT24 ist das von der Sicherheit her ähnlich:

In der Mitte ist das Portal. Von der eine Seite wählen sich die
Anlagen auf dem Portal ein, auf der anderen Seite das Service-
personal. Das Portal ist praktisch eine Vermittlung. Dort ist hinterlegt,
wer mit wem "reden" darf. Ein willkürlicher Zugriff Deines Kunden auf
Deine Servicezentrale ist damit ausgeschlossen.

Einweiterer Vorteil der Portallösung: Jeder Teilnehmer baut von
außen zum Portal hin seine Verbindungen auf. Auf keiner Seite muss
die Firewall "aufgebohrt" werden, um Verbindungen von außen
zuzulassen. Das kommt prinzipbedingt nicht vor.

Deslab ist es auch kein Problem, wenn ein mobiler Zugangpunkt vom
Provider nur eien private IP-Adresse bekommt. Sie muss ja nicht
erreichbar sein.

Die Kommunikation selbst erfolgt über gesicherte VPN-Verbindungen,
dazu haben die Router an der Anlage und die Clients für den Service
entsprechende Zertifikate.

Ich persönlich halte www.mbCONNECT24.net für die flexibelste Lösung,
da die passenden Router mbNET eine große Treiber- und Schnittstellen-
vielfalt haben. Als nicht nur Profibus, sondern auch RS232 und RS485
für verschiedene Steuerungen, Bedienpanels, Antriebe, Umrichter usw.
 
Gerhard Bäurle schrieb:
Am sichersten sind im Moment die Portallösungen. Ob deltalogic24,
myrex24 oder mbCONNECT24 ist das von der Sicherheit her ähnlich:

In der Mitte ist das Portal. Von der eine Seite wählen sich die
Anlagen auf dem Portal ein, auf der anderen Seite das Service-
personal. Das Portal ist praktisch eine Vermittlung. Dort ist hinterlegt,
wer mit wem "reden" darf. Ein willkürlicher Zugriff Deines Kunden auf
Deine Servicezentrale ist damit ausgeschlossen.
Zum Vergrößern anklicken....

Wobei ich diese Portal-Lösungen immer etwas kritisch sehe, weil ich als Endanwender nicht weiß was die Anbieter mit meinen Daten machen, bzw. ich überhaupt nicht die genaue Architektur im Hintergrund kenne um abschätzen zu können wie sicher das Ganze ist. Die Hersteller werden solche Bedenken natürlich immer abwiegeln.

Da wir Software für verschiedene Maschinen- und Anlagenbauer erstellen, sind wir immer auf die von diesem bevorzugte Fernwartungslösung angewiesen. Aus dem Grunde tummeln sich auf meinem PG die diversen Einwahlprogramme der Anbieter herum.
Ich kann mich nicht entsinnen, irgendwann mal so etwas wie Zertifikate, Authentifizierung oder dergleichen gesehen zu haben. Meist gibt es nur ein Passwort mit dem ich mich zum Portal verbinde und das war es dann.

Wenn ich einen reinen Ethernet Einwahlpunkt benötige, würde ich (entsprechendes Know-How vorausgesetzt) immer einen Standard VPN-Router (z.B. Cisco, Lancom) einsetzen zu dem ich mich direkt verbinde.
 
Thomas_v2.1 schrieb:
Wobei ich diese Portal-Lösungen immer etwas kritisch sehe, weil ich als Endanwender nicht weiß was die Anbieter mit meinen Daten machen, bzw. ich überhaupt nicht die genaue Architektur im Hintergrund kenne um abschätzen zu können wie sicher das Ganze ist. Die Hersteller werden solche Bedenken natürlich immer abwiegeln.
Zum Vergrößern anklicken....

Guten zusammen,

es gibt schon Kunden, die so ein Portal lieber im eigenen Zugriff haben, da gibt es nichts gegen einzuwenden.

Deshalb gibt es das mbCONNECT24-Portal auch vorinstalliert auf Serverhardware. Dann liegen alle Endpunkte (Portal, Server, Anlagen)
im Verantwortungsbereich des Maschinenbauers oder Servicedienstleisters:

http://www.mbconnectline.de/news oder

http://www.mbconnectline.de/beschreibung-mymbconnect24.html
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Wie Thomas bevorzuge ich ebenfalls die Direkteinwahl in das Kundennetz. Aber nicht wegen Angst um irgendwelche Daten, sondern weil ich bei den Portallösungen auf einen weiteren Dienstleister angewiesen bis, dessen Zuverlässigkeit ich nicht beeinflussen kann, zumal die Dienste bei wenigen Anlagen meistens kostenlos sind.

Es gibt aber z.B. kleine Lebensmittelhersteller mit nur einer Abfüll-Anlage, denen sind "richtige" Internet-Anbindungen einfach zu teuer. Oder SPS-Programmierer, denen die Netzwerktechnik einfach zu kompliziert erscheint. In solchen Fällen können die Portallösungen durchaus sinnvoll sein.

Harald
 
Hier Lösungsansätze zur Erhöhung der Sicherheit bei Fernwartung per VPN:

Grundsatz: verwenden von ausschließlich managebaren Netzwerkkomponenten und schalten von Rules auf Portbasis

1. Office Netz und Produktionsnetz als 2 separate VLAN's am zentralen Switch verwalten - dies unterbindet jegliche Querkommunikation;

2. jeder physikalische Port im Produktionsnetzwerk bekommt ausschließlich definierte MAC Adressen (z.B. die eines PG's) vorgegeben, mit denen kommuniziert wird

3. An der Firewall des Office Netzwerkes wird der Zugriff des VPN Clients auf dem PG im VPN Server des Firewallrouters für die Fernwartung eingetragen
 

Similar threads

M
TIA S7-Verbindung über Router
Antworten
1
Aufrufe
731
Pipboy
Pipboy
R
WinCC Per VPN Router auf Smart Server zugreifen
Antworten
11
Aufrufe
933
DCDCDC
D
S
TIA TIA Portal V17 WinCC Advanced kein Laden der HMI-Runtime über VPN möglich
Antworten
3
Aufrufe
819
Sona_the_witch
S
K
X127 verbindung S120 über Ethernet
Antworten
9
Aufrufe
2K
Koehler_
K
S
TIA Startdrive hängt sich Online ständig auf
Antworten
4
Aufrufe
765
Sinamics250
S
Zurück
Oben