Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Ergebnis 1 bis 8 von 8

Thema: PLC Robustification - MPI/DP-Zugang

  1. #1
    Registriert seit
    13.01.2007
    Beiträge
    8
    Danke
    0
    Erhielt 0 Danke für 0 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hallo Zusammen,
    ich habe ein paar Fragen an die "Security Fachmänner" unter Euch...
    Bei der Einführung eines "Robustification Programs" für industrielle Automatisierungssysteme tun sich mir ein paar Fragen auf, was den Zugang zur Steuerung betrifft. Der Zugang über industrial Ethernet ist ganz klar immer eine Herausforderung an die IT-Sicherheit des Programmiergeräts (Antivirensoftware, Whitelisting und Hardening erforderlich). Wie verhält das sich beim Zugang via Feldbus (MPI/Profibus)? Hier ist doch erst einmal nur die aktuell verbundene Steuerung "gefährdet", oder gibt es bereits Schadsoftware, die sich über die Steuerungen hinweg in das übergeordnete Netzwerk ausbreiten kann? Meiner Meinung nach stellt ein Zugang via MPI im Verhältnis zu industrial Ethernet doch schon mal recht hohe Sicherheit dar. Kann man so Argumentieren?
    Wie setzt Ihr das in der Praxis um? Was tut Ihr zur Steigerung der Sicherheit auf Programmiergerät/Laptop? Auf einem 10 Jahre alten Programmiergerät, was noch immer wegen des Softwarestandes benötigt wird, ist es jedenfalls nicht praktikabel einen aktuellen Virenscanner zu installieren... Hat jemand von Euch Erfahrung im Einsatz der Whitelisting Software "Mc Afee Application Control" auf einem Programmiergerät in der Praxis?
    Vorab vielen Dank

    Gruß

    hackaria
    Zitieren Zitieren PLC Robustification - MPI/DP-Zugang  

  2. #2
    Registriert seit
    06.10.2004
    Ort
    Kopenhagen.
    Beiträge
    4.626
    Danke
    377
    Erhielt 801 Danke für 642 Beiträge

    Standard

    Zitat Zitat von hackaria Beitrag anzeigen
    Meiner Meinung nach stellt ein Zugang via MPI im Verhältnis zu industrial Ethernet doch schon mal recht hohe Sicherheit dar. Kann man so Argumentieren?
    Nein.
    Du hast ja keine Argumente warum MPI sicherer ist. Bei MPI und Profibus gibt es in den Netwerkstandard kein Sicherheit.
    Es gibt also absolut kein Sicherheit bei MPI, ausser das der CPU mit Passwort geschützt ist.

    Wenn ein CPU kein direkten LAN Netzwerk Verbindungs hat, dann ist der wahrscheinlichkeit weniger das es über das Internet gehackt wird.
    Aber man ist naiv wenn man denkt das MPI sicher ist.
    Jesper M. Pedersen

  3. #3
    hackaria ist offline Neuer Benutzer
    Themenstarter
    Registriert seit
    13.01.2007
    Beiträge
    8
    Danke
    0
    Erhielt 0 Danke für 0 Beiträge

    Standard

    Bei MPI und Profibus gibt es in den Netwerkstandard kein Sicherheit.
    Genau das ist das Problem. MPI ist nicht sicher. Diese eine Steuerung ist bei Verbindung mit einem PG "gefährdet", aber wirkt sich die Gefahr überhaupt auf ein übergeordnetes Netz aus? Meines Wissens nach gibt es noch keine Viren, die über MPI eine Steuerung infizieren können, aktiv auf der PLC laufen und sich über ein übergeordnetes Netz auf weitere Steuerungen innerhalb einer Netzwerkzelle ausbreiten können. Von daher könnte man doch argumentieren, dass der Zugang via MPI für das gesamte Prozessnetz eine wesentlich höhere Sicherheit bietet, als wenn das PG direkt mit diesem Netz verbunden ist, oder? Hängt das PG direkt im Netz, ist die Angriffsfläche und damit das Sicherheitsrisiko im Verhältnis zum MPI-Zugang doch viel größer.

  4. #4
    Registriert seit
    06.10.2004
    Ort
    Kopenhagen.
    Beiträge
    4.626
    Danke
    377
    Erhielt 801 Danke für 642 Beiträge

    Standard

    Zitat Zitat von hackaria Beitrag anzeigen
    Meines Wissens nach gibt es noch keine Viren, die über MPI eine Steuerung infizieren können, aktiv auf der PLC laufen und sich über ein übergeordnetes Netz auf weitere Steuerungen innerhalb einer Netzwerkzelle ausbreiten können.
    Meines Wissens gibt es Heute noch kein Virus der sich über SPSen verbreitet.
    Was man in das Internet von Gerüchte hört (Stuxnet), handelt sich um ein Virus auf die PGs, wobei von die PGs bösartige Code in den SPS übertragen wurde.

    Dazu muss gesagt werden das MPI total veraltet ist, und nicht in ein heutigen Projekt eingesetzt werden soll.
    Wenn man Angst von Hacker und Virusangriffe hat, dann hilft nur den totalen Trennung von das Internet, und selbst dann ist man nicht 100% sicher (stuxnet).
    Jesper M. Pedersen

  5. #5
    Registriert seit
    19.02.2016
    Beiträge
    464
    Danke
    8
    Erhielt 54 Danke für 49 Beiträge

    Standard

    Zitat Zitat von JesperMP Beitrag anzeigen
    Meines Wissens gibt es Heute noch kein Virus der sich über SPSen verbreitet.
    Was? Dann bist du leider nicht auf dem neusten Stand
    https://media.ccc.de/v/32c3-7229-plc-blaster

    War zwar auf den neuen 1200er, weil man da mehr "Freiheiten" in der Programmierung hat, aber deren Tests lassen sich sicher leicht auf MPI/Profibus umsetzen...

    MfG Fabsi

  6. Folgender Benutzer sagt Danke zu Fabpicard für den nützlichen Beitrag:

    JesperMP (06.06.2016)

  7. #6
    Registriert seit
    06.10.2004
    Ort
    Kopenhagen.
    Beiträge
    4.626
    Danke
    377
    Erhielt 801 Danke für 642 Beiträge

    Standard

    Das war mir nicht bekannt. Erschockend !
    Jesper M. Pedersen

  8. #7
    Registriert seit
    29.03.2004
    Beiträge
    5.735
    Danke
    143
    Erhielt 1.686 Danke für 1.225 Beiträge

    Standard

    Zitat Zitat von Fabpicard Beitrag anzeigen
    War zwar auf den neuen 1200er, weil man da mehr "Freiheiten" in der Programmierung hat, aber deren Tests lassen sich sicher leicht auf MPI/Profibus umsetzen...
    Lassen sich nicht einfach auf MPI/Profibus umsetzen, da es nicht möglich ist vom SPS Programm aus diese Schnittstellen völlig frei zu verwenden, wie es bei Ethernet möglich ist.
    Aber ein infizieren einer Steuerung ist durchaus möglich.
    Die Genialität einer Konstruktion liegt in ihrer Einfachheit – Kompliziert bauen kann jeder.

    (Sergei Pawlowitsch Koroljow, sowjetischer Konstrukteur von Raketen und Weltraumpionier)

  9. #8
    Registriert seit
    17.07.2009
    Ort
    Am Rande der Ostalb
    Beiträge
    5.480
    Danke
    1.141
    Erhielt 1.242 Danke für 973 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Wie sieht es eigentlich mit den ganzen Routing-Funktionen bei Siemens aus?
    Vom Ethernet aus klappt es ja wunderbar ... Routing von Profibus aus Ethernet hab ich mir noch nie angeschaut

Ähnliche Themen

  1. Internet Zugang über Kabel?
    Von Sabrina33 im Forum Stammtisch
    Antworten: 8
    Letzter Beitrag: 24.02.2016, 18:11
  2. TIA S7-1200 Kein Online Zugang
    Von bernd67 im Forum Simatic
    Antworten: 11
    Letzter Beitrag: 07.12.2013, 20:13
  3. UMTS Zugang zum Forum
    Von jabba im Forum Stammtisch
    Antworten: 11
    Letzter Beitrag: 12.03.2011, 13:12
  4. Siemens USB/MPI+ PLC-Kabel [7092]
    Von haschaberger im Forum Simatic
    Antworten: 0
    Letzter Beitrag: 21.10.2009, 21:05
  5. Zugang zum Chat
    Von Approx im Forum Stammtisch
    Antworten: 10
    Letzter Beitrag: 16.02.2008, 19:26

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •