Tool zum Auffinden von SPSen im Netzwerk

Blockmove

Supermoderator und User des Jahres 2019
Teammitglied
Beiträge
11.578
Reaktionspunkte
3.843
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Zusammen,

wir hatten heute eine interessante Diskussion über die (nicht vorhandene) Netzwerksicherheit von S7-Steuerungen.
Der zuständige IT-Verantworliche war doch recht überrascht ... Schließlich reden ja alle von Industrie 4.0 :ROFLMAO:
Kennt jemand ein eigenständiges Tool (Portscanner) mit dem man gezielt einen IP-Adressbereich im Netzwerk nach Steuerungen absuchen kann?

Besten Dank!

Gruß
Dieter
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Tja für die einen ist es ein Hackertool für die anderen ein Penetrationstest :pZwei Seiten der selben Medaille.


Kennnst du nicht zufällig ein "normales" Programm? Python gehört nicht gerade zur "Standardausstattung" unserer IT-ler :ROFLMAO:


Gruß
Dieter
 
Kennnst du nicht zufällig ein "normales" Programm? Python gehört nicht gerade zur "Standardausstattung" unserer IT-ler :ROFLMAO:

Ein IT-ler ohne Python im Werkzeugkasten ist aber kein IT-ler ;-)

Um S7-Steuerungen zu finden reicht aber auch schon ein einfacher Portscan z.B. mit nmap auf TCP-Port 102. Für einen erstes Finden von Profinet Teilnehmern ein Test auf UDP-Port 34964. Dann sieht man zumindest ob jemand da ist, aber noch nicht wer.
 
Kann der "SoftPerfect Network Scanner" Filter?
Es sollen nur S7 (offener Port 102) angezeigt werden.

Gruß
Dieter
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hmmm... wir haben zu dem Zweck mal einen nmap in unseren RSGW Gateways verbaut. Zusammen mit einer Web-GUI ist das sehr gut zu bedienen. Mit den passenden NSE Skripten kann der nmap auch SCADA Komponenten erkennen: https://github.com/drainware/nmap-scada

Ein Kunde wollte nach Inbetriebnahme seiner Anlagen sicher gehen, dass nur seine Komponenten verbaut sind und nichts anderes in seiner Anlage aktiv ist...

-Walter Hafner
 
Na das funktioniert aber auch nicht immer wirklich zuverlässig :)
Je nach Netzwerkinfrastruktur muss man da zusätzlich aufpassen und sollte solche Späße gerade bei großen/größeren Unternehmen sogar ganz lassen...
Ich hab für unsere PLCs einen Großteil eines Class-B Netzes /16 (Nach Abzug von bischen "Hühnerfutter" bleiben da noch gut 35.000 IPs)
Da ich selbst in einem Class-C /24 "fest hänge" findet der nmap entweder nur die freigegebenen Maschinen. Oder wenn ich wirklich alle 65k-IPs nmappen würde, sperrt mich nach 15 Sekunden die Firewall komplett aus und trennt die Kiste vom Netzwerkswitch :D

Aber solch eine Konstellation wünsch ich keinem, den Ärger den ich seit Monaten mit hab, das man alle CPUs und HMI auch anständig erreichen kann... :sb5:

MfG Fabsi
 
Ich hab für unsere PLCs einen Großteil eines Class-B Netzes /16 (Nach Abzug von bischen "Hühnerfutter" bleiben da noch gut 35.000 IPs)
Da ich selbst in einem Class-C /24 "fest hänge" findet der nmap entweder nur die freigegebenen Maschinen. Oder wenn ich wirklich alle 65k-IPs nmappen würde, sperrt mich nach 15 Sekunden die Firewall komplett aus und trennt die Kiste vom Netzwerkswitch :D
Naja, das ist klar. Aber wenn ich jemandem eine geladene Pistole in die Hand drücke, kann er sich damit auch in den Fuß schiessen. Als Hersteller kann ich nur Warnungen einblenden und ins Handbuch entsprechende Hinweise schreiben. Einen Waffenschein verlange ich nicht...

Für wirkliche High-Performance Scans ist der nmap auch nicht geeignet. Wenn es nur um eine Erreichbarkeitsprüfung geht, ist z.B. zmap super (https://zmap.io/). In einem Gbit Netz scannt der ein /16 in ein paar Minuten ;)
Aber solch eine Konstellation wünsch ich keinem, den Ärger den ich seit Monaten mit hab, das man alle CPUs und HMI auch anständig erreichen kann... :sb5:
Ich kann da nur etwas zur Fernwartung sagen. Vor Ort sollte schon alles erreichbar sein, das ist ja Grundvoraussetzung. Wir haben z.B. die Erfahrung gemacht, dass oft keine Rückrouten für Fernwarter in die Anlagennetze eingetragen werden können. Deshalb machen wir (optional) Masquerading in unseren Gateways auf der Anlagenseite und (optional) 1:1 NAT für ganze Netze auf Fernwarter-Seite, falls da Netze doppelt vergeben worden sind. Mit beidem zusammen erreicht man eigentlich jede Anlage, egal wie die Topologie vor Ort aussieht. Nur wie gesagt: Die Vor-Ort Erreichbarkeit Gateway <-> Anlage ist Voraussetzung.

-Walter Hafner
 
Zurück
Oben