Fernwartungs-Varianten
Also, der einfachste Weg ist:
Kunde macht ein Portforwarding (mit dem Begriff sollte der ITler etwas anfangen können) von seinem Internet Gateway Port 102 auf die interne IP-Adresse des MP277 ebenfalls Port 102.
ACHTUNG! In dieser Konstellation ist keinerlei Sicherheit mehr gewährleistet. Um hier auf die Anlage zugreifen zu können, braucht man keinen Benutzer/Passwort, keinen Schlüssel - nur die IP-Adresse und den Port - und die kann man heraus bekommen.
Diesen Tip möchte ich hier nicht so unkommentiert stehenlassen, da in diesem Forum viele absolute SPS-Anfänger mitlesen.
Hier eine Aufstellungen von Fernwartungs-Varianten, die ich nutze:
A) "klassische" Telefon-Einwahl über TS-Adapter mit Simatic TeleService
- keine Anpassungen im Step7-Projekt nötig
- Nachteile: geringe Baudrate, Verbindungskosten, evtl. feste Rückrufnummer
B) Mitglied des fernen Firmennetzwerkes werden über (SSL-)VPN-Zugang
- keine Anpassungen im Step7-Projekt nötig
- Zugangs-Berechtigung durch Kunde-Administrator einfach und voll administrierbar
- Vorteile: hohe Baudrate und keine Verbindungskosten bei DSL-Flatrate
- Nachteil: kostenintensiv, wenn der Kunde noch keine VPN-Zugangslösung hat
C) RemoteDesktop-Verbindung zu einem vor-Ort-PC, der Step7 (...) installiert hat
-- Zugang zum vor-Ort-PC in der Regel über (SSL-)VPN-Verbindung
- keine Anpassungen im Step7-Projekt nötig
- Vorteil: Zugriff auf alle vor Ort vernetzten SPS und Panels einfach möglich
- Vorteil: je nach SPS-Anbindung des vor-Ort-PC ggf. direkte Profibus-Diagnose möglich
- Vorteil: die Step7-Projekte vor Ort sind (immer) aktuell
- Vorteil: der Fernwarte-PC benötigt kein Step7 und kein Step7-Projekt, also quasi jeder PC weltweit nutzbar
- Nachteil: Step7(...)-Lizenz(en) vor Ort nötig
- Nachteil: Programm beobachten in der Regel nicht effektiv (Kommunikation meist zu langsam)
- Nachteil: aufwendige Synchronisation der Step7-Projekte auf vor-Ort-PC und Fernwarte-PC
D) (festes) Port-Forwarding Port 102 in der Kunden-Firewall
- einen "Router" im Step7-Projekt hinzufügen, um Step7 die öffentliche IP-Adresse des Kundenzugangs mitzuteilen
- Vorteile: hohe Baudrate und keine Verbindungskosten bei DSL-Flatrate
- Nachteil: in der Regel keinerlei wirksamer Schutz gegen Fremd-Zugriffe!
- Nachteil: ohne zusätzlichen Aufwand nur eine SPS erreichbar
- Hinweis: ein Ping auf die SPS funktioniert nicht, es antwortet immer die Firewall
- die Ziel-SPS sollte nur während einer vorher verabredeten Fernwartungs-Sitzung mit dem Kunde-Netzwerk verbunden sein
- (Netzwerkkabel die übrige Zeit von der SPS abziehen)
Ich habe zu betreuen
A) 4 Anlagen - Zugang über ISDN und Rückruffunktion
B) ca. 80 Anlagen - Zugang über F5 Networks FirePass
-- 3 Anlagen - Zugang über SonicWALL SSL-VPN 200
C) 2 Anlagen - Zugang über andere SSL-VPN-Verbindungen
D) 6 Anlagen - die Anlagen werden nur für die Dauer der Fernwarte-Sitzung mit dem Kunde-Netzwerk verbunden
Die einfachste Variante
D) Port-Forwarding sollte nur eingesetzt werden, wenn es die Gefährdungsanalyse zuläßt und die anderen Varianten nicht wirtschaftlich sind.
Die von mir immer empfohlene Fernwartungs-Variante ist der Fall
B) SSL-VPN Zugang
Das kostet zwar einigen Aufwand beim Kunden, ist dann aber die bequemste und sicherste Lösung.
Meine Empfehlung einer VPN-Lösung für größere Firmen
F5 Networks FirePass
kostengünstige VPN-Lösung für kleine Firmen bzw. Einzel-Anlagen
SonicWALL SSL-VPN
z.B.
SonicWALL SSL-VPN 200
ca. EUR 900,00 netto inkl. 3 Jahre Garantie + Firmwareupdates + Telefonsupport
Ein paar Aspekte, die bei Fernzugriffen auf SPS-Anlagen unbedingt zu beachten sind:
- Sicherheitsempfehlungen vom "Bundesamt für Sicherheit in der Informationstechnik" (BSI)
IT-Grundschutz-Kataloge (früher: IT-Grundschutzhandbuch)
- Fernwartung/Fernzugriff auf SPS-Anlagen/Maschinen gehört generell in die
Gefährdungsanalyse/Risikobewertung der betreffenden Anlage!
- Siemens-Hinweis in den Handbüchern der IE-CPs:
"EG-Hinweis: Die Inbetriebnahme ist so lange untersagt, bis festgestellt wurde, dass die Maschine, in die diese Komponente eingebaut werden soll, den Bestimmungen der Richtlinie 89/392/EWG entspricht."
- Siemens-Hinweis zu "Mögliche Sicherheitslücken bei Standard-IT-Schnittstellen / Unerlaubte Zugriffe unterbinden"
"In verschiedenen SIMATIC-NET Komponenten (...) werden über offene Protokolle und Schnittstellen (...) Funktionen (..) zur Verfügung gestellt. Es kann nicht ausgeschlossen werden, dass diese offenen Protokolle und Schnittstellen durch Dritte unbefugt missbraucht werden können, z.B. für Manipulationen.
Bei Benutzung oben genannter Funktionen und Verwendung dieser offenen Schnittstellen und Protokolle (...) sind daher geeignete Sicherheitsvorkehrungen zu treffen, die den unerlaubten Zugriff auf die Komponenten bzw. das Netzwerk insbesondere aus dem WAN/Internet unterbinden.
Achtung
Wir weisen daher ausdrücklich darauf hin, dass Automatisierungsnetze durch geeignete Netzübergänge (z.B. die bewährten Firewall-Systeme) vom restlichen Firmennetz getrennt werden müssen. Wir übernehmen keine Haftung für Schäden, gleich aus welchem Rechtsgrund, die sich aus der Nichtbeachtung dieses Hinweises ergeben."
- weitere Hinweise siehe Siemens Systemhandbuch
Kommunikation mit SIMATIC
Kapitel "2.4 Informationssicherheit in der Automatisierung" -> Schutzmaßnahmen
-
Das Zielsystem ist vor Eingriffen unbedingt eindeutig zu identifizieren!
- (durch Bausteinvergleich, ggf. zusätzlich CPU-Passwort, Zielsystem -> Baugruppenzustand, ...)
Die Anlage, die ferngewartet werden soll, ist nicht nur vor unerlaubten Fremdzugriffen zu schützen, sondern der Programmierer, der einen "erlaubten" Fernzugriff vornimmt, muß sich auch selber schützen vor versehentlichem Zugriff auf falsche/fremde SPS-Anlagen.
Der (versehentliche) Zugriff auf falsche/fremde SPS-Anlagen kann verheerende Auswirkungen haben,
die bis zum Tod von Menschen führen können!
Es ist also alles zu unternehmen, was die Chance für einen versehentlichen Falschzugriff verringert.
z.B. sind die Zugangsadressen möglichst im Step7-Projekt oder in TeleService fest zu hinterlegen, um Tippfehler beim Verbindungsaufbau zu vermeiden.
Die Ziel-SPS sollten ein CPU-Passwort haben, jede CPU ein anderes Passwort!
(Das CPU-Passwort soll nicht unbedingt den Kunden von der SPS fernhalten, es dient hier mehr der Identifizierung.)
.
