Unterschiedliche IP Adressebereiche

[rolandh]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo

Da ich hier schon öfters gelesen habe (und ich auch der Meinung bin), dass SPS Steuerung nichts im Internet zu suchen haben,
Stellt sich für mich diese Frage.
Die CPU und der Visualisierungs-PC sind im gleichen physikalischen Ethernet-Netzwerk wie der Router und der Surf PC.
Jetzt habe ich für den Steuerungsteil z.B. den Adressebereich den fixen IP Adressen 10.0.0.xx vergeben.
Wenn ich für meine Router und Surf-PC, welches im gleichen Ethernetnetz hängt die IP Adressen 192.168.0.xx vergebe (über DHCP)
sind diese ja gegenseitig nicht erreichbar.
Wäre das mit dieser Konstellation so, als wenn die Steuerung und das "normale" Netz in unterschiedlichen Physikalischen Netzen hängen wurde?
Oder könnte es trotzdem (Stichwort Stuxnet) dazu kommen, dass auf die Steuerung vom Internet zugegriffen werden kann?
Das eine Physikalische Trennung der Netze besser wäre ist mit klar, aber käme dieser "Work-Around" auf die selbe Lösung bzw welche Nachteile hätte ich?

Danke schon im voraus
Roli

 

[ducati]

Trennung der IP-Bereiche bringt vielleicht etwas mehr Sicherheit, ist aber keine ordentliche Lösung. Falls Du physikalisch nicht trennen kannt, gibt es noch die Möglichkeit einen größeren Switch mit VLAN-Funktionalität einzusetzen. Dann hats Du zwar physikalisch ein Netz, aber der Switch unterteilt das in verschiedene "vituelle Netzwerke", wo sich die Teilnehmer wirklich nicht sehen.

Wenn Du nur eine SPS und einen Visu-PC hast, kannst Du ja auch die SPS direkt an den Visu-PC hängen, ohne Switch. Dann hängt beides nicht mehr am Internet.

Nebenbei, auch der Visu-PC hat nichts am Internet zu suchen, die Gefahr, dass der Visu-PC "verseucht" wird, ist sogar größer als bei der SPS... Und ohne Visu funktioniert ja die Anlage meist auch nicht sinnvoll...

Gruß.

 

[WendeMarkus]

Zuviel Werbung?
-> Hier kostenlos registrieren

Es würde sogar schon ausreichen in der SPS kein Default-Gateway (Router-IP) einzutragen, dann kann diese auch nicht ins Internet kommunizieren.
Bei der SPS sehe ich aber nicht das Problem, Stuxnet hat schließlich auch keine SPSen infiltriert, sondern die PCs auf denen der Simatic Manager lief und dadurch Manipulationen in die SPS geladen.
Ich würde mir daher mehr Gedanken um den Visu-PC machen, als um die SPS an sich.

 

[rolandh]

Danke für eure Antworten

Ich will als Visu PC eine VM mit Win-XP und Simatic Manager und WinCCFlex mit einer Runtime verwenden.
Diese Virtuelle Maschine läuft auf meinen Surf PC, auf welchen Ubuntu installiert ist.
Ich könnte die Netze Trennen, da ich 1. Ethernetschnittstelle und WLAN am PC habe,
nur sind diese dann ja nicht wirklich getrennt.
In der Virtuellen Maschine würde ich auch keinen Internetzugriff haben, da die Einstelleung des Netzwerk Adapter auf "Bridged" und vergebe eine Fixe IP-Adresse. (Ohne Gateway)
Und hier sehe ich das Problem, dass die Tennung der Netze nur durch den IP-Adressbereich erfolgt,
da die VM-Ware ja beide Netze an das Gast-System mit der Visu weiterleitet.
Daher ist meine eigentliche Fragen, wie sicher ist diese Trennung der Netze nur mittels unterschiedlichen IP-Adressbereich.

 

[volker]

ich sehe hier erstmal grundsätzlich keine große gefahr solange du in deinem router nicht die entsprechenden ports für die s7 freischaltest.

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich könnte die Netze Trennen, da ich 1. Ethernetschnittstelle und WLAN am PC habe,

Naja, ob das mit der VM auf nem "Surf-PC" jetzt so super ist? Ist das ne "lebenswichtige" Automatisierungsanlage?
Ansonsten würd ich über WLAN vom Host ins Internet. Den Ethernetport nur auf die SPS und an den VM-Gast weiterleiten. Das WLAN nicht an den VM-Gast weiterleiten. Somit sieht der VM-Gast kein Internet. Im Host sollten ja die 2 Netzte nicht gebrückt sein, obwohl ich jetzt Linux nicht kenne
Weiterhin kannst Du ja trotzdem für WLAN/Router und LAN andere Subnetzbereiche verwenden...

da die VM-Ware ja beide Netze an das Gast-System mit der Visu weiterleitet.

VMWare leitet an den Gast nur die Netzwerkadapter weiter, welche Du auch eingestellt hast. Also Wenn Du LAN weiterleitest und WLAN nicht, dann passiert auch normalerweise nichts.
Gruß.

PS: im Host für das LAN keine IP-Adresse vergeben.

 

[rolandh]

Nein ist keine "lebenswichtige" Anlage, soll aber trotzdem funktionieren und auch "sicher" sein.

Danke für den Tipp, ich habe gar nicht auf die Einstellung mit dem Virtual Network Editor gedacht.
Dort kann ich für die Einstellung "Bridge" die Netzwerkkarte angeben. Habe es sonst immer auf Automatik.
Damit kann ich wie du schon sagest die Netze "sauber" Trennen.

 

[Winpow]

Ja, das klingt nach einem guten Plan. Dem werd ich mich mal einfach anschließen

 

[ChristophD]

Zuviel Werbung?
-> Hier kostenlos registrieren

oder du nimmst einen USB-LAN Adapter und gibst den direkt als USB Gerät an die VM durch, dann weiß der Horst gar nix davon und du hast auf einfachem Weg zwei physikalische Netze.