Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Ergebnis 1 bis 9 von 9

Thema: Unterschiedliche IP Adressebereiche

  1. #1
    Registriert seit
    24.10.2007
    Beiträge
    50
    Danke
    14
    Erhielt 0 Danke für 0 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hallo

    Da ich hier schon öfters gelesen habe (und ich auch der Meinung bin), dass SPS Steuerung nichts im Internet zu suchen haben,
    Stellt sich für mich diese Frage.
    Die CPU und der Visualisierungs-PC sind im gleichen physikalischen Ethernet-Netzwerk wie der Router und der Surf PC.
    Jetzt habe ich für den Steuerungsteil z.B. den Adressebereich den fixen IP Adressen 10.0.0.xx vergeben.
    Wenn ich für meine Router und Surf-PC, welches im gleichen Ethernetnetz hängt die IP Adressen 192.168.0.xx vergebe (über DHCP)
    sind diese ja gegenseitig nicht erreichbar.
    Wäre das mit dieser Konstellation so, als wenn die Steuerung und das "normale" Netz in unterschiedlichen Physikalischen Netzen hängen wurde?
    Oder könnte es trotzdem (Stichwort Stuxnet) dazu kommen, dass auf die Steuerung vom Internet zugegriffen werden kann?
    Das eine Physikalische Trennung der Netze besser wäre ist mit klar, aber käme dieser "Work-Around" auf die selbe Lösung bzw welche Nachteile hätte ich?

    Danke schon im voraus
    Roli
    Zitieren Zitieren Unterschiedliche IP Adressebereiche  

  2. #2
    Registriert seit
    09.08.2006
    Beiträge
    3.626
    Danke
    911
    Erhielt 656 Danke für 542 Beiträge

    Standard

    Trennung der IP-Bereiche bringt vielleicht etwas mehr Sicherheit, ist aber keine ordentliche Lösung. Falls Du physikalisch nicht trennen kannt, gibt es noch die Möglichkeit einen größeren Switch mit VLAN-Funktionalität einzusetzen. Dann hats Du zwar physikalisch ein Netz, aber der Switch unterteilt das in verschiedene "vituelle Netzwerke", wo sich die Teilnehmer wirklich nicht sehen.

    Wenn Du nur eine SPS und einen Visu-PC hast, kannst Du ja auch die SPS direkt an den Visu-PC hängen, ohne Switch. Dann hängt beides nicht mehr am Internet.

    Nebenbei, auch der Visu-PC hat nichts am Internet zu suchen, die Gefahr, dass der Visu-PC "verseucht" wird, ist sogar größer als bei der SPS... Und ohne Visu funktioniert ja die Anlage meist auch nicht sinnvoll...

    Gruß.

  3. #3
    Registriert seit
    28.03.2006
    Beiträge
    83
    Danke
    5
    Erhielt 14 Danke für 13 Beiträge

    Standard

    Es würde sogar schon ausreichen in der SPS kein Default-Gateway (Router-IP) einzutragen, dann kann diese auch nicht ins Internet kommunizieren.
    Bei der SPS sehe ich aber nicht das Problem, Stuxnet hat schließlich auch keine SPSen infiltriert, sondern die PCs auf denen der Simatic Manager lief und dadurch Manipulationen in die SPS geladen.
    Ich würde mir daher mehr Gedanken um den Visu-PC machen, als um die SPS an sich.

  4. #4
    Registriert seit
    24.10.2007
    Beiträge
    50
    Danke
    14
    Erhielt 0 Danke für 0 Beiträge

    Standard

    Danke für eure Antworten

    Ich will als Visu PC eine VM mit Win-XP und Simatic Manager und WinCCFlex mit einer Runtime verwenden.
    Diese Virtuelle Maschine läuft auf meinen Surf PC, auf welchen Ubuntu installiert ist.
    Ich könnte die Netze Trennen, da ich 1. Ethernetschnittstelle und WLAN am PC habe,
    nur sind diese dann ja nicht wirklich getrennt.
    In der Virtuellen Maschine würde ich auch keinen Internetzugriff haben, da die Einstelleung des Netzwerk Adapter auf "Bridged" und vergebe eine Fixe IP-Adresse. (Ohne Gateway)
    Und hier sehe ich das Problem, dass die Tennung der Netze nur durch den IP-Adressbereich erfolgt,
    da die VM-Ware ja beide Netze an das Gast-System mit der Visu weiterleitet.
    Daher ist meine eigentliche Fragen, wie sicher ist diese Trennung der Netze nur mittels unterschiedlichen IP-Adressbereich.

  5. #5
    Registriert seit
    20.06.2003
    Ort
    Sauerland.NRW.Deutschland
    Beiträge
    4.849
    Danke
    78
    Erhielt 800 Danke für 543 Beiträge

    Standard

    ich sehe hier erstmal grundsätzlich keine große gefahr solange du in deinem router nicht die entsprechenden ports für die s7 freischaltest.
    .
    mfg Volker .......... .. alles wird gut ..

    =>Meine Homepage .. direkt zum Download

    Meine Definition von TIA: Total Inakzeptable Applikation

  6. #6
    Registriert seit
    09.08.2006
    Beiträge
    3.626
    Danke
    911
    Erhielt 656 Danke für 542 Beiträge

    Standard

    Zitat Zitat von rolandh Beitrag anzeigen
    Ich könnte die Netze Trennen, da ich 1. Ethernetschnittstelle und WLAN am PC habe,
    Naja, ob das mit der VM auf nem "Surf-PC" jetzt so super ist? Ist das ne "lebenswichtige" Automatisierungsanlage?
    Ansonsten würd ich über WLAN vom Host ins Internet. Den Ethernetport nur auf die SPS und an den VM-Gast weiterleiten. Das WLAN nicht an den VM-Gast weiterleiten. Somit sieht der VM-Gast kein Internet. Im Host sollten ja die 2 Netzte nicht gebrückt sein, obwohl ich jetzt Linux nicht kenne
    Weiterhin kannst Du ja trotzdem für WLAN/Router und LAN andere Subnetzbereiche verwenden...

    Zitat Zitat von rolandh Beitrag anzeigen
    da die VM-Ware ja beide Netze an das Gast-System mit der Visu weiterleitet.
    VMWare leitet an den Gast nur die Netzwerkadapter weiter, welche Du auch eingestellt hast. Also Wenn Du LAN weiterleitest und WLAN nicht, dann passiert auch normalerweise nichts.
    Gruß.

    PS: im Host für das LAN keine IP-Adresse vergeben.
    Geändert von ducati (20.08.2013 um 13:37 Uhr)

  7. Folgender Benutzer sagt Danke zu ducati für den nützlichen Beitrag:

    rolandh (20.08.2013)

  8. #7
    Registriert seit
    24.10.2007
    Beiträge
    50
    Danke
    14
    Erhielt 0 Danke für 0 Beiträge

    Standard

    Nein ist keine "lebenswichtige" Anlage, soll aber trotzdem funktionieren und auch "sicher" sein.

    Danke für den Tipp, ich habe gar nicht auf die Einstellung mit dem Virtual Network Editor gedacht.
    Dort kann ich für die Einstellung "Bridge" die Netzwerkkarte angeben. Habe es sonst immer auf Automatik.
    Damit kann ich wie du schon sagest die Netze "sauber" Trennen.

  9. #8
    Winpow Gast

    Standard

    Ja, das klingt nach einem guten Plan. Dem werd ich mich mal einfach anschließen

  10. #9
    Registriert seit
    16.03.2006
    Ort
    Franken
    Beiträge
    3.793
    Danke
    30
    Erhielt 916 Danke für 797 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    oder du nimmst einen USB-LAN Adapter und gibst den direkt als USB Gerät an die VM durch, dann weiß der Horst gar nix davon und du hast auf einfachem Weg zwei physikalische Netze.

  11. Folgender Benutzer sagt Danke zu ChristophD für den nützlichen Beitrag:

    rolandh (21.08.2013)

Ähnliche Themen

  1. DB beobachten - unterschiedliche aktualwerte
    Von elektro_mensch im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 25.07.2010, 22:28
  2. Biete unterschiedliche S5 Baugruppen.
    Von Andy082 im Forum Suche - Biete
    Antworten: 6
    Letzter Beitrag: 03.03.2009, 01:59
  3. Unterschiedliche Softwareversionen ?
    Von mr__mines im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 02.01.2007, 07:46
  4. Unterschiedliche Variablentabellen.
    Von Tigerkroete im Forum Simatic
    Antworten: 4
    Letzter Beitrag: 02.06.2006, 08:57
  5. unterschiedliche bausteinaufrufe
    Von Markus im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 31.07.2003, 14:01

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •