TIA TIA V21 - Secure PG/PC- und HMI-Kommunikation deaktivieren

PeterPan-35

PeterPan-35

Level-2
Beiträge
422
Reaktionspunkte
93
Zuviel Werbung?
-> Hier kostenlos registrieren
Hi,

kann man bei TIA V21 diese Funktion nicht mehr deaktivieren?
Egal wie ich die Sicherheit über den Assistenten einstelle, dieser Kasten bleibt immer ausgegraut.
In V20 konnte man das hier über den Assistenten noch deaktivieren.

1776949075291.png
 
Online war ich nicht.
Online kommt man auch garnicht in den Assistenten.

@BastiM. ich schaue morgen nochmal genauer.

Welche CPU hast du?
Bei mir ists eine 1200er G2, habe die auch zum ersten Mal im Einsatz.
Versuche es morgen mal mit einer 1500er, nicht dass da was CPU-Spezifisches im Argen ist.

Laufen tuts auf jeden Fall, aber dass ich das nicht deaktivieren konnte, hat mich stutzig gemacht.
 
Scheinbar lässt sich das bei der S7-1200 G2 gar nicht mehr deaktivieren.
Habs gerade auch getestet

Siemens SiePortal

sieportal.siemens.com sieportal.siemens.com

Wobei ich sowieso den Eindruck habe das seit TIA V20 das Häkchen keine wirkliche Funktion mehr hat.
Ohne richtiges Datum und Uhrzeit funktioniert es nicht mehr
 
Zuviel Werbung?
-> Hier kostenlos registrieren
van schrieb:
Wobei ich sowieso den Eindruck habe das seit TIA V20 das Häkchen keine wirkliche Funktion mehr hat.
Ohne richtiges Datum und Uhrzeit funktioniert es nicht mehr
Zum Vergrößern anklicken....
Seit TIA V17 baut das TIA Portal eine TLS gesicherte Verbindung zur Steuerung auf wenn das die Gegenstelle unterstützt.
Das Häkchen besagt nur dass die Steuerung unverschlüsselte Verbindungen ablehnt. Du kannst damit aber nicht verhindern dass TIA die Verschlüsselung nutzt.
 
PeterPan-35 schrieb:
Scheint wirklich was 1200er G2-Spezifisches zu sein.
Wahrscheinlich wird das dann nach und nach auch bei anderen nachgezogen.

Also werde ich es in Zukunft einfach nicht mehr deaktivieren wollen, fertig :D
Zum Vergrößern anklicken....
Naja, das Ganze ist ganz einfach:
Mit der Maßnahme werden einfach alle fremden "alten" Kommunikationswerkzeuge ausgesperrt, die auf unverschlüsselte Verbindungen gesetzt haben. Das Siemens Zeug kann eh TLS, alle anderen sollen schauen wo sie bleiben.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Das stimmt so nicht ganz, nur ab V17, ältere Versionen werden da auch ausgeschlossen.
Somit kann man mit der 1200er G2 keine alten Panels (<V17) mehr einbinden, da die keine sichere Verbindung herstellen können.

Aber da das durch Verordnungen immer mehr Pflicht wird, wird das auch früher oder später bei der 1500er kommen, dass man die Funktion nicht mehr deaktivieren kann.
 
und PutGet wird dann auch gleich mit auch abgeschaft und somit alle Fremdvisuanbieter... (die nicht mal eben auf die neuesten Treiber umrüsten wollen oder können) Oder alle, die noch irgendwie na alte Visu/Leitsystem/MES/BDE betreiben und da ne neue Steuerung dran muss...

Ich zähl zur Sicherheit am Wochenende nochmal meine Jahre bis zur Rente nach...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
und PutGet wird dann auch gleich mit auch abgeschaft und somit alle Fremdvisuanbieter... (die nicht mal eben auf die neuesten Treiber umrüsten wollen oder können) Oder alle, die noch irgendwie na alte Visu/Leitsystem/MES/BDE betreiben und da ne neue Steuerung dran muss...

Ich zähl zur Sicherheit am Wochenende nochmal meine Jahre bis zur Rente nach...
Zum Vergrößern anklicken....
Naja, du darfst entscheiden ob Web-API (langsam) oder OPC UA benutzt. Und bei letzterem gibt's halt zwei Händy voll Möglichkeiten.

Vor 25 Jahren bevors libnodave gab war das Thema PUT/GET auch noch viel Mystery.

Mit OPC bin ich die letzten 25 Jahre eigentlich immer gut gefahren, der Raum für Bastel- und Billigstlösungen ist halt kleiner.
 
maxder2te schrieb:
Naja, das Ganze ist ganz einfach:
Mit der Maßnahme werden einfach alle fremden "alten" Kommunikationswerkzeuge ausgesperrt, die auf unverschlüsselte Verbindungen gesetzt haben. Das Siemens Zeug kann eh TLS, alle anderen sollen schauen wo sie bleiben.
Zum Vergrößern anklicken....
Sind halt EU-Verordnungen zur Cyber-Security, die umgesetzt werden und auch im Maschinenbau gelten.
Unverschlüsselte Verbindungen sollen eigentlich auch nicht mehr genutzt werden.

Über kurz oder lang, wirds das aber in den Neu-Systemen alles nicht mehr geben.
Ist halt dennoch komfortabler, ohne die ganzen Mechanismen, wie Zertifikate, etc.
 
PeterPan-35 schrieb:
Sind halt EU-Verordnungen zur Cyber-Security, die umgesetzt werden und auch im Maschinenbau gelten.
Unverschlüsselte Verbindungen sollen eigentlich auch nicht mehr genutzt werden.

Über kurz oder lang, wirds das aber in den Neu-Systemen alles nicht mehr geben.
Ist halt dennoch komfortabler, ohne die ganzen Mechanismen, wie Zertifikate, etc.
Zum Vergrößern anklicken....

So und nicht anders. Das "fremde Kommunikationswerkzeuge" damit ausgesperrt werde, ist lediglich ein Nebeneffekt.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Transportverschlüsselung != Sicherheit

Die transportierten Daten werden verschlüsselt. Aber das hindert einen Angreifer nicht daran eine verschlüsselte Verbindung zur SPS aufzubauen.

Eine Authentifizierung kann das verhindern. Ich weiß jetzt nicht, ob eine Authentifizierung bei der secure PG-Kommunikation enthalten ist.

Erschwerend kommt hinzu, dass das von Siemens genutzte Protokoll propritär ist.

Echte Sicherheit bekommt man nur mit offenen Srandards und selbst da gibt es oft Bugs, die mehrere Jahre nicht auffallen.
 
PeterPan-35 schrieb:
Sind halt EU-Verordnungen zur Cyber-Security, die umgesetzt werden und auch im Maschinenbau gelten.
Unverschlüsselte Verbindungen sollen eigentlich auch nicht mehr genutzt werden.

Über kurz oder lang, wirds das aber in den Neu-Systemen alles nicht mehr geben.
Ist halt dennoch komfortabler, ohne die ganzen Mechanismen, wie Zertifikate, etc.
Zum Vergrößern anklicken....

tja, komfortabel ist das eine, am Ende ist das ganze aber zur Zeit so unübersichtlich, dass dieses ganze Sicherheitsgedödel so gut wie nirgends ordentlich konfiguriert wird (werden kann)...

Schön, wenn das wegen Cyber-Security notwendig ist, nützt Dir aber wenig, wenn Deine Anlage irgendwann nicht mehr bedienbar ist, weil irgendwelche Zertifikate abgelaufen sind... Oder irgendeins von den ganzen Passworten keiner mehr kennt, oder das irgendwann abgelaufen ist...

Also, das ganze Zeug wird in Zukunft mehr Ärger machen, als es Ärger verhindert! Bin ich der festen Überzeugung.

Natürlich gibt es spezielle kritische Anwendungen, wo es primär auf Cyber-Sicherheit ankommt, da sollten sich dann auch Leute damit befassen, die sonst den ganzen Tag nichts anderes machen müssen. (ne normale Maschine oder Anlage gehört da aber nicht dazu)
Für Standardanwendungen muss das komplett deaktivierbar sein und bleiben.

Wenn man sich das ganze mal in der Windows-Zertifikateverwaltung anschaut, was da an Zertifikaten rumliegt die nur wenige Jahre Laufzeit haben, sei es von Siemens oder Microsoft oder sonsteiner wichtigen Anwendung auf dem PC, dann wird einem schlecht. Eigentlich müsste man auf den Kram irgendwie komplett verzichten (und Protool mit WinXP wieder vorholen 😂 )
Die Siemens-Zertifikate sind halt auch nur ein Teil der Geschichte...

Ein Beispiel diese Secure-Boot-Geschichte jetzt im Juni/Oktober 2026....
 
Was will man machen.

Selbst auf Steuergeräte von neueren Autos kommst du nicht mehr ohne Freischaltcode, welchen man sich beim Autohersteller käuflich erwerben muss.
Weil auch da Security-Auflagen gemacht wurden, die unterbinden sollen, dass Dritte einfach so auf die Steuergeräte zugreifen können.
Somit sind fast alle nicht herstellergebundenen Diagnosegeräte bei den neusten Autos hinfällig, da die nur noch aufs Motorsteuergerät kommen, weil das warum auch immer erreichbar sein muss und von der Regelung ausgeschlossen ist.

Ob das jetzt alles so sinnig ist oder nicht, ist eine andere Frage.

Aber der Weg wird dahin gehen, dass es nicht mehr ohne Zertifikate, Autorisation, etc. gehen wird.
Ich bin auch kein Freund davon.
 

Similar threads

Stanislaw
TIA TIA Openness Manager
Antworten
0
Aufrufe
441
Stanislaw
Stanislaw
DeltaMikeAir
WinCC Unified Zur Info: Änderung der Power Tag Zählung ab Unified PC Runtime V21
Antworten
4
Aufrufe
673
Chräshe
Chräshe
J
TIA Inbetriebnahme S210 / Probleme mit Technologieobjekt
Antworten
9
Aufrufe
756
Joe_2105
J
Botimperator
WinCC Unified | Scripting - GettingStarted
Antworten
1
Aufrufe
1K
Botimperator
Botimperator
M
TIA PLC ist nicht vertraunswürdig
Antworten
8
Aufrufe
3K
PN/DP
PN/DP
Zurück
Oben