TIA Security bei CPU mit >1 Schnittstelle

[MFreiberger]

Zuviel Werbung?
-> Hier kostenlos registrieren

Moin Zusammen,

wir setzen bei unseren Anlagen Steuerungen >=1515 ein, da wir dann mind. zwei getrennte(?) Schnittstellen oboard haben.

Dabei geht es uns auch um den Faktor "Security". Denn das Profinet auf der X1 ist aus unserer Sicht autark und nur über die X2 wird das Kundennetz angebunden.

Jetzt gibt es einige IT's, die sagen: Wenn die Komponente zwei Schnittstellen hat, kann darüber auch kommuniziert werden und damit ist das Netz auf der X1 nicht autark. Das kann ich auch erstmal nicht dementieren, da ich ja auch das IP-Forwarding aktivieren kann und, wenn der Router die Route kennt, darüber von der X2 auf Teilnehmer zugreifen kann, die auf der X1 "hängen".

Also kann ich die X1 autark betrachten oder nicht?

Wie sieht das bei der Verwendung eines CP aus? Ist diese Schnittstelle autark betreibbar?

VG
MFreiberger

 

[PN/DP]

Jetzt gibt es einige IT's, die sagen: Wenn die Komponente zwei Schnittstellen hat, kann darüber auch kommuniziert werden und damit ist das Netz auf der X1 nicht autark.

Das geht nur, wenn das Gerät zwischen den zwei Schnittstellen auch routet. Meines Wissens routet die S7-1500 nur S7-Kommunikation (S7-Routing) zwischen den Schnittstellen. Oder können S7-1500 jetzt auch vollwertiges IP-Routing (dann hoffentlich managebar)?

 

[Blockmove]

Zuviel Werbung?
-> Hier kostenlos registrieren

Die Diskussion kenne ich auch.
Es gibt z.B. S7-Routing um von X2 auf ein HMI oder Antriebe an X1 zuzugreifen.
In der Standard-Konfiguration kannst du daher weder CPU noch CP als autark im Sinne von IT-Security betrachten.
Allerdings hat die 1500er noch jede Menge Security-Einstellungen.
Da holst du dir am besten von Siemens nen Fachberater und sperrst ihn zusammen mit eurem IT'ler einen Tag ein.

 

[MFreiberger]

Da holst du dir am besten von Siemens nen Fachberater und sperrst ihn zusammen mit eurem IT'ler einen Tag ein.

 

[MFreiberger]

Ok. Also, dass S7-Routing geht, ist bekannt.
IP-Forwarding geht auch. Damit kann ich zwar nicht direkt routen, aber immerhin kann ich geroutete Pakete weiterleiten.

Beide Aussagen stützen natürlich zunächst die Bedenken des ITlers.

CP1543-1 und CM1542-1 können IP-Routing, der CP1545-1 nicht, aber wer weiß, was der für Einfallstore hat?!

Am Ende muss man konstatieren, dass zumindest die Hardware von zwei Schnittstellen verfügbar ist. Mit welchen Kniffen und Tricks es einem findigen Softwerker gelingt, darüber zu kommunizieren kann man nicht abschätzen.
Also, auch, wenn es ziemlich unwahrscheinlich ist, muss es nicht unmöglich sein, hier ein Einfallstor zu erzeugen.

Das bedeutet, dass es nicht 100% sicher ist und mind. eine Firewall vorgeschaltet sein sollte.

 

[Blockmove]

Zuviel Werbung?
-> Hier kostenlos registrieren

Bei all den ganzen Diskussionen kommt am Schluß immer Firewall raus.
IT-Security hat bei mir schon an zugänglichen M12-Profinetanschlüssen an Maschinen rumgemault.

 

[MFreiberger]

Bei all den ganzen Diskussionen kommt am Schluß immer Firewall raus.
IT-Security hat bei mir schon an zugänglichen M12-Profinetanschlüssen an Maschinen rumgemault.

 

[DeltaMikeAir]

Bei all den ganzen Diskussionen kommt am Schluß immer Firewall raus.

Oder Profibus

 

[Blockmove]

Zuviel Werbung?
-> Hier kostenlos registrieren

Oder Profibus

Es geht nichts über eine gute alte Schützsteuerung.

 

[ducati]

Oder Profibus

wäre mir oft auch lieber, aber nach der letzten Abkündigungswelle wird das zumindest mit Siemens in Zukunft schwierig...

 

[ducati]

Bei all den ganzen Diskussionen kommt am Schluß immer Firewall raus.

Ja, am Ende hat das auch noch diverse andere Vorteile, zw. IT-Netz und SPS nen Firewallrouter zu setzen... Schon alleine, dass Du Dich da mit Deinem Laptop anstecken kannst ohne im IT-Netz zu landen und die MAC-Überwachung am Switch alles totlegt...

IT-Security hat bei mir schon an zugänglichen M12-Profinetanschlüssen an Maschinen rumgemault.

Mist, ich dachte das haben die noch nicht auf dem Schirm

 

[Blockmove]

Zuviel Werbung?
-> Hier kostenlos registrieren

wäre mir oft auch lieber, aber nach der letzten Abkündigungswelle wird das zumindest mit Siemens in Zukunft schwierig...

Ich hatte letztes Jahr ein langes Gespräch mit Bihl + Wiedemann über ASi-5 und da wurde genau das Thema IT-Security als quasi "neu entdeckter Vorteil" von ASI-5 genannt. Über ASi hast du halt keinen direkten Zugriff auf die CPU, HMI, usw. wie eben bei Profinet oder Profibus.
Wenn man sich die neuen Vorschriften und Normen anschaut, dann musst du dich schon fragen, ob du überhaupt noch dezentrale Peripherie verwenden willst. Wenn es nach den Forderungen der IT-Security geht, baust du am besten wieder Anlagen und Maschinen wie 1985 mit meterlangen zentralen Schaltschränken.

 

[Lars Weiß]

Dabei geht es uns auch um den Faktor "Security". Denn das Profinet auf der X1 ist aus unserer Sicht autark und nur über die X2 wird das Kundennetz angebunden.

Du hast das Böse Wort schon genannt, das "Kundennetz". Zero Trust, aus Eurer Sicht sollte dieses Netzwerk nicht vertrauenswürdig sein. Also bau noch einen cp 1543-1 ein und mach die Firewall dicht. Einfachste Lösung.

 

[Blockmove]

Du hast das Böse Wort schon genannt, das "Kundennetz". Zero Trust, aus Eurer Sicht sollte dieses Netzwerk nicht vertrauenswürdig sein. Also bau noch einen cp 1543-1 ein und mach die Firewall dicht. Einfachste Lösung.

Noch einfacher:
Auf die IT abwälzen. Die sollten wissen von wo und wohin Daten fließen (ob es wirklich so ist, ist egal)
Das Thema CP hat nämlich auch einen richtig nervigen Aspekt und zwar Firmware-Updates.
Siemens veröffentlicht ja seine Sicherheitslücken als CVEs. Jeder anständige IT-Security'ler liest aktuelle CVEs jeden Morgen.
Wenn dann bei einem CVE auch noch critical steht, hast du Freude. Egal ob nun der Fehler überhaupt in deiner Konfiguration eine Rolle spielt oder nicht, du bist im Erklärungszwang. Was ein richtiger IT-Security'ler ist, glaubt dir sowieso nix.
Daher am besten gleich fehlendes KnowHow in Sachen Security melden und im Schaltschrank ne Steckdose für ein Security-Device von der IT vorsehen.

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Noch einfacher:
Auf die IT abwälzen. Die sollten wissen von wo und wohin Daten fließen (ob es wirklich so ist, ist egal)
Das Thema CP hat nämlich auch einen richtig nervigen Aspekt und zwar Firmware-Updates.
Siemens veröffentlicht ja seine Sicherheitslücken als CVEs. Jeder anständige IT-Security'ler liest aktuelle CVEs jeden Morgen.
Wenn dann bei einem CVE auch noch critical steht, hast du Freude. Egal ob nun der Fehler überhaupt in deiner Konfiguration eine Rolle spielt oder nicht, du bist im Erklärungszwang. Was ein richtiger IT-Security'ler ist, glaubt dir sowieso nix.
Daher am besten gleich fehlendes KnowHow in Sachen Security melden und im Schaltschrank ne Steckdose für ein Security-Device von der IT vorsehen.

ja, nen Firewall-Router der der IT gehört in den Schaltschrank zur Netzetrennung einbauen... Ist schon die eleganteste Lösung... Es sein denn, mann mus selber darüber nen wie auch immer gearteten Datenaustausch fahren. Da würd ich die benötigten SPS dann doch selber über nen eigenes Netzwerkkabel untereinander von mir aus noch über nen eigenen CP verbinden.