Sonstiges Netzwerksicherheit Soemens 315 PN

C

Cami

Level-1
Beiträge
14
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo
ich habe mal ein paar Fragen zum Thema Netzwerksicherheit da mann immer wieder hört das offene SPSSteueurngen über das Internet z.b shodan.io erreichbar sind.

In meinem Heimnetz ist eine S7 315 PN über einen Switch direkt am Router (Fritz box) angeschlossen. An diesem Switch hängt ein PC auf dem Tia Wincc Runtime lauft und ein Raspbbery pi auf dem Fhem mit der S7 kommuniziert.
Eigentlich sollte man ja eine 343 CP verwenden.
Für mich stellt sich die Frage ob jemand von außen auf meine SPS ohne größeren Aufwand zugreifen kann? Man hört ja immer das SPS Steuerungen über shodan gefunden werden.
Ist eine 343 CP zwingend erforderlich?
Als Router verwende ich eine Fritz box 7490 . An der Fritz box ist die Kindersicherung eingestellt das die SPS nicht auf das Internet zugreifen kann?
Es geht mir nur darum das ich wissen möchte ob ich ein offenes Scheunentor habe das mit Leichtigkeit manipuliert werden kann.
 
In der üblichen Konfiguration dieser Router sind deine internen Netzwerkgeräte aus dem Internet nicht erreichbar. Das ist aber keine Sicherheitsfunktionalität im Router, sondern es liegt im Prinzip der Netzwerkadressübersetzung (NAT) begründet, dass es nicht funktioniert.
Das Verwenden eines separaten Ethernet-CPs anstelle der PN-CPU macht keinen Unterschied.

Ohne an deiner Netzwerkkonfiguration im Router etwas zu ändern, oder ein anderes Netzwerkgerät zu manipulieren und unter die Kontrolle zu bringen kommt aus dem Internet keiner auf deine SPS. Für eine Heimanwendung ist das durchaus ausreichend, Verbesserungsmöglichkeit besteht aber immer. Z.B. könntest du über einen weiteren internen Router das SPS-Netz von dem restlichen (Heim-)Netz trennen, und dann z.B. zu diesem nur einen Port auf den fhm Server weiterleiten. Dann kommen auch wildgewordene Smartphones der Kinder nicht auf dein SPS-Netz ;-)

Bei IPv6 ist das noch etwas komplizierter, aber ich glaube da gibt es noch keine SPS die das unterstützt.
Ich habe mich schon öfters gefragt, was das für SPSen sein sollen die da bei Shodan sichtbar sind. Ich glaube nicht, dass es sich dabei um echte Maschinen oder Anlagen handelt, zumindest nicht in Deutschland.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Was für deine SPS gilt, gilt übrigends auch für deinen fhem :)
Viele haben da auch einfach nur ne simple Portweiterleitung in der Fritzbox für Port 8084 eingerichtet ...

Gruß
Blockmove
 
Shodan prüft soweit ich weiß nur auf einen offenen Port 102. Da müsste also jemand schon eine feste Portweiterleitung in seinem Router auf seine SPS eingerichtet haben. Aber warum sollte das jemand tun? Wenn jemand weiß welcher Port für die SPS einzurichten ist und wie er die Weiterleitung in seinem Router realisiert, dann weiß er auch was er da für ein Scheunentor aufmacht. Vermutlich sind 95% davon Honeypots und die restlichen 5% irgendwelche Test-Steuerungen.
 
Thomas_v2.1 schrieb:
Shodan prüft soweit ich weiß nur auf einen offenen Port 102. Da müsste also jemand schon eine feste Portweiterleitung in seinem Router auf seine SPS eingerichtet haben. Aber warum sollte das jemand tun? Wenn jemand weiß welcher Port für die SPS einzurichten ist und wie er die Weiterleitung in seinem Router realisiert, dann weiß er auch was er da für ein Scheunentor aufmacht. Vermutlich sind 95% davon Honeypots und die restlichen 5% irgendwelche Test-Steuerungen.
Zum Vergrößern anklicken....

Schön wär's :)
Doch leider sind viele Steuerungen (egal ob nun Siemens, Codesys, oder sonstwas) wirklich offen am Netz.

Es ist einfach heftig wieviel Halbwissen und Leichtsinn bei diesem Thema vorhanden ist.
AVM und die anderen Hersteller sollten das Einrichten von Portweiterleitungen und dynamischen DNS massiv erschweren.
So genügen ein paar Mausklicks und eines der unzähligen Youtube "Tutorials" zum Aufreissen des Scheunentors.

Gruß
Blockmove
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo
vielen danke für die ausführliche Erklärung. Da bin ich ja erst mal beruhigt.
Also wir eine 343 CP nur im Firmennetzwerk verwendet das niemand unabsichtlich im Firmennetzwerk auf die SPS zugreifen kann.
Ich habe kürzlich einen Bericht gesehen wie einfache es ist ein Smart Home zu Hacken.
Hier mal der Bericht
http://www.ardmediathek.de/tv/Repor...utschland/Das-Erste/Video?documentId=43011206
Da hat sich für mich die Frage gestellt ob es bei mir auch solche erheblichen Sicherheitsmängel gibt.
Ich werde mich wohl mal mit dem zweiten Router Variante beschäftigen um mein Netzwerk zu trennen.
Ich würde dann SPS, HMI, FHEM IP Camaras auf des 2 Netzwerk hängen. Jedoch sollte der HMI Runtime PC mit dem Internet verbunden sein da ich diesen über TeamViewer mit meinem Smartphon von unterwegs bedienen möchte.
 
Über den CP 343 kann die SPS genauso programmiert werden wie über die PN/MPI oder DP-Schnittstelle, das bringt euch keinen Sicherheitsgewinn. Meistens baut man einen zusätzlichen CP ein um das (Echtzeit-)Maschinennetzwerk mit Profinet- und sonstigen Teilnehmern vom übergeordneten Anlagennetz zu trennen.
 
Cami schrieb:
Ich werde mich wohl mal mit dem zweiten Router Variante beschäftigen um mein Netzwerk zu trennen.
Ich würde dann SPS, HMI, FHEM IP Camaras auf des 2 Netzwerk hängen. Jedoch sollte der HMI Runtime PC mit dem Internet verbunden sein da ich diesen über TeamViewer mit meinem Smartphon von unterwegs bedienen möchte.
Zum Vergrößern anklicken....

Es geht mit weniger Aufwand, weniger Kosten aber mit mehr Sicherheit:
Du hast eine Fritzbox als Router. Schau dir doch mal die Anleitungen für VPN bei AVM an.
Funktioniert problemlos, ist einfach einzurichten und erfüllt genau deine Anforderungen.

Gruß
Blockmove
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Blockmove,
eine VPN zur Fritz box mit meinem Smartphon habe ich schon eingerichtet. Aber was hat das mit den zwei Netzwerken zu tun?
Wenn es um die Frage geht warum ich TeamViewer nutze für den Fernzugriff, das liegt daran das über VPN und Smart@cient die Übertragungsrate zu groß ist. Diese Variante benötigt 10x mehr Speicher als TeamViewer.
 
Cami schrieb:
Hallo Blockmove,
eine VPN zur Fritz box mit meinem Smartphon habe ich schon eingerichtet. Aber was hat das mit den zwei Netzwerken zu tun?
Wenn es um die Frage geht warum ich TeamViewer nutze für den Fernzugriff, das liegt daran das über VPN und Smart@cient die Übertragungsrate zu groß ist. Diese Variante benötigt 10x mehr Speicher als TeamViewer.
Zum Vergrößern anklicken....

Man muß 2 Themen betrachten.
Das eine ist das Netzwerk zu Hause. Persönlich halte ich da 2 getrennte Netzwerke für zuviel des Guten.
Welche Teilnehmer sollen im "SPS-Netz" laufen? Die SPS und vielleicht der PI mit fhem.
Von beiden brauchst du aber auch einen Zugriff ins "Normale Netz". Sei es für die Visualisierung oder eben für die Bedienung des fhem.
Somit brauchst du eine Firewall mit entsprechenden Regeln. Ist auch nicht gerade ganz trivial, wenn man das sicher machen will.

Und dann kommt der Fernzugriff:
Wenn du das alleine mit Teamviewer und einer entsprechenden Portweiterleitung machen willst, dann ist das so ne Sache.
Teamviewer ist quasi dazu gemacht auch hinter Firewalls zu funktionieren. Bei sehr vielen Firmen steht Teamviewer deshalb auch auf der Blacklist.
Daher würde ich auch die Kombination Teamviewer UND VPN einsetzen. Vorteil ist, dass man keine Portfreigabe auf der Fritzbox braucht und die Kontrolle über die Kommunikation behältst.

Gruß
Blockmove
 
Hallo

Im SPS Netzwerk sollte SPS, Raspberry pi Fhem, HMI Runtime PC, IP Kamera.
Wobei z.b Meine VU+ auf Fhem und IP Kamera zugreifen muss.

zu TeamViewer. An der Fritz box habe ich nichts verändert. Keinen Port Freigegeben.
Auf dem Runtime PC ist TeamViewer installiert und ein Benutzer angegeben. Es gibt eine White List wonach ich nur meine ID des Smartphons zulasse. Wenn ich auf meinem Smartphon die TeamViewer App öffne und mich anmelde sehe ich meine Rechner die mit TeamViewer verbunden sind und kann dieses Fernsteuern.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Bei sehr vielen Firmen steht Teamviewer deshalb auch auf der Blacklist
Zum Vergrößern anklicken....

Ist zwar ein wenig Off Topic, wollte aber trotzdem kurz einen zum Besten geben:
Habe bzgl. TeamViewer vor kurzem die gegenteilige Erfahrung machen müssen. Wir haben bei einem Kunden der zu einem amerikanischen Konzern gehört eine grosse Maschine in Betrieb gesetzt. Standardmässig verwenden wir die Deltalogic/ Insys Router (Open VPN) für unserere Fernwartung.
Bei diesem Kunden musste ich zum IT- Admin, mir endlose Vorträge über Netzwerksicherhheit, Versicherungen und überhaupt meine Unfähigkeit in diesen Dingen anhören. Neben mir saßen ebenfalls die Inbetriebnehmer all unserer Nebenmaschien und wurden mit mir gemeinsam heruntergeputzt.
Ende vom Lied: Industrierouter ist gefährlich, doof und verboten. Teamviewer- Zugriff auf die Anlage ist toll und erlaubt...
 
Cliff schrieb:
Ist zwar ein wenig Off Topic, wollte aber trotzdem kurz einen zum Besten geben:
Habe bzgl. TeamViewer vor kurzem die gegenteilige Erfahrung machen müssen. Wir haben bei einem Kunden der zu einem amerikanischen Konzern gehört eine grosse Maschine in Betrieb gesetzt. Standardmässig verwenden wir die Deltalogic/ Insys Router (Open VPN) für unserere Fernwartung.
Bei diesem Kunden musste ich zum IT- Admin, mir endlose Vorträge über Netzwerksicherhheit, Versicherungen und überhaupt meine Unfähigkeit in diesen Dingen anhören. Neben mir saßen ebenfalls die Inbetriebnehmer all unserer Nebenmaschien und wurden mit mir gemeinsam heruntergeputzt.
Ende vom Lied: Industrierouter ist gefährlich, doof und verboten. Teamviewer- Zugriff auf die Anlage ist toll und erlaubt...
Zum Vergrößern anklicken....

Ich habe einen großen Kunden, der schließt einen kleinen Linksys-LTE-Router per USB an einen WinCC-PC, dann startet er Teamviewer, ruft mich an und gibt mit das Login weiter. Bin ich fertig, kommt der LTE-Router wieder in den Schreibtisch, Ende. Denke mal sowas kann man sicher betreiben, wenn alle Beteiligten verantwortungsvoll damit umgehen. Teamviewer ist so gar nicht von außen erreichbar, wenn der LTE-Router nicht am PC steckt, also selbst, wenn jemand Team-Viewer hackt (hab ich noch nie gehört), ginge das hier gar nicht.

PS: Gibt schon so einige SPS am Netz, manchmal "aus versehen", weil der Chef will, dass seine Leute auch nachts um 2:00 Uhr schnell Fehler beseitigen können, manchmal, weil die Beteiligten denken, sie wüßten, was sie tun, manchmal, weil sie es eben gerade nicht wissen. :) Wasserwerke, Windkraftanlagen, Home-Automatisierung. Mit IoT wird das noch viel schlimmer werden, denke ich.
 
Unabhängig davon, ob das Ding von außen sichtbar ist, solltest Du für Schreib- und Lesezugriffe ein Passwort vergeben. Sonst kann jeder in Deinem Netzwerk Dein Programm holen, abändern und wieder drauf spielen.

Das könnten z.B. Gäste mit WLAN Zugriff sein, oder ein Schadprogramm, das per Mail auf Deinen Rechner kam, oder die FritzBox hat mal ne Schwachstelle, oder WPA2 Verschlüsselung fällt oder, oder, oder...
 

Similar threads

S
Sonstiges Fernwartung LTE Profibus/MPI
Antworten
1
Aufrufe
872
SPS-Bitschubser
S
Blackforest
Step 7 CPU Tausch CPU 315-2 DP mit CPU 315-2 PN/DP
2
Antworten
20
Aufrufe
4K
MSB
MSB
S
TIA ET200S Fehler aber keine SF an
2 3
Antworten
45
Aufrufe
5K
PN/DP
PN/DP
S
TIA Kommunikation S7 315-2DP als PN-Slave und S7 1511-1PN
Antworten
7
Aufrufe
822
Slimer
S
E
Step 7 315-2DP mit CP Datenauslesen
Antworten
6
Aufrufe
2K
JesperMP
JesperMP
Zurück
Oben