Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 2 von 4 ErsteErste 1234 LetzteLetzte
Ergebnis 11 bis 20 von 35

Thema: Stuxnet Source und Gegenmaßnahmen

  1. #11
    Registriert seit
    17.06.2004
    Ort
    Offenau
    Beiträge
    3.745
    Danke
    209
    Erhielt 421 Danke für 338 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von matthiasd:-m Beitrag anzeigen
    Also wenn ich das richtig verstehe ist der Baustein upload
    usw. Pwd geschützt. Das Steuern von Variablen nicht.
    Wie sieht es den mit Run/Stop aus ... hoffe hier ist wenigstens
    ein Passwortschutz möglich ...
    Kannst ja mit LibNoDave ganz einfach testen... Einfach Passwort aktivieren, und StartStop mit libnodave machen...
    ---------------------------------------------
    Jochen Kühner
    https://github.com/jogibear9988/DotN...ToolBoxLibrary - Bibliothek zur Kommunikation mit PLCs und zum öffnen von Step 5/7 Projekten

  2. #12
    Registriert seit
    23.11.2005
    Beiträge
    38
    Danke
    0
    Erhielt 2 Danke für 2 Beiträge

    Standard

    So hab das mit Run / Stop und schreibschutz getestet.
    Man kann ohne Eingabe des Passwortes mit Libnodave
    die CPU in RUN/STOP versetzen.
    Ebenso ist es möglich Variablen zu setzen.

    Kann man irgendwelche Maßnahmen treffen um auch dies
    zu verhindern ?

    Ist Port 102 mit MAC Filterung die letzte Lösung ?
    Gestern noch nicht gekonnt,
    Heute ein neuer Horizont.

  3. #13
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.163
    Danke
    921
    Erhielt 3.286 Danke für 2.655 Beiträge

    Standard

    Zitat Zitat von matthiasd:-m Beitrag anzeigen
    Man kann ohne Eingabe des Passwortes mit Libnodave
    die CPU in RUN/STOP versetzen.
    Ebenso ist es möglich Variablen zu setzen.

    Kann man irgendwelche Maßnahmen treffen um auch dies
    zu verhindern ?
    Eventuell die SFC109 "PROTECT" programmieren? Habe ich aber nicht ausprobiert.

    Harald
    Es ist immer wieder überraschend, wie etwas plötzlich funktioniert, sobald man alles richtig macht.

    FAQ: Linkliste SIMATIC-Kommunikation über Ethernet

  4. #14
    Registriert seit
    25.08.2003
    Beiträge
    332
    Danke
    46
    Erhielt 54 Danke für 46 Beiträge

    Standard

    Zitat Zitat von PN/DP Beitrag anzeigen
    Eventuell die SFC109 "PROTECT" programmieren? Habe ich aber nicht ausprobiert.

    Harald
    SFC109 bietet exakt den gleichen Schutz wie der fruehere Run/Run-P Schluesselschalter. Bietet also Schutz vor Codeplatzierung ala Stuxnet im lfd. Betrieb, jedoch nicht vor Sabotage ala CPU-Stop. Ist auf jeden Fall besser als nichts.

    Gruss,
    Flinn

  5. Folgender Benutzer sagt Danke zu Flinn für den nützlichen Beitrag:

    PN/DP (04.12.2010)

  6. #15
    Registriert seit
    23.11.2005
    Beiträge
    38
    Danke
    0
    Erhielt 2 Danke für 2 Beiträge

    Standard

    Es wäre schön eine Möglichkeit zu finden dies es er möglicht
    auch eine vernünftige Authentifizierung im Betriebszustand RUN zu haben.

    Änderungen des Codes im Livesystem sind ja nicht ungewöhnlich.

    wie sieht es mit Anwenderspezifischen Filterregeln in der CP aus ?
    Gibts hier einen SFC um ACLs definieren zu können.
    Alles was ich bis dato gesehen hab war eine Blacklist...

    Allerdings wäre eine Authentifizierung über die Windows Domain Controller
    wesentlich geschickter ...

    Aber nachrüstbar wäre ggf. nur eine Art von Hardware NAC vorm Port ...
    Ich weiß nur leider nicht ob die NAC Lösungen auch auf RFC 1006 Zugriffe
    auf dem Port 102 parametrierbar sind...
    Diese müsste dann aber eine Client Applikation bedingen die den Zugriff bemerkt, meldet und bei korrekter Authentifizierung (Radius, DOC usw)
    freigibt.
    Gestern noch nicht gekonnt,
    Heute ein neuer Horizont.

  7. #16
    Registriert seit
    29.03.2004
    Beiträge
    5.731
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Hast du einen konkreten Anwendungsfall? Wenn ja, welcher Datenaustausch mit der SPS darf/muss möglich sein?

    Da die gesamte Kommunikation zu einer S7 über Port 102 läuft wirst du eine Firewall benötigen die auf Applikationsebene ansetzt. Dann musst du noch das Protokoll kennen um zu wissen welche Pakete du erlauben möchtest und welche nicht.
    Man könnte z.B. eine Whitelist erstellen bei der nur Pakete in Richtung SPS erlaubt sind mit denen Datenbereiche gelesen werden können. Ob das aber in einem Intranet einen relevanten Sicherheitsgewinn darstellt? Vor allem wogegen: gegen "aus Versehenes" in Stop setzen?

  8. #17
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.163
    Danke
    921
    Erhielt 3.286 Danke für 2.655 Beiträge

    Standard

    Es ist immer wieder überraschend, wie etwas plötzlich funktioniert, sobald man alles richtig macht.

    FAQ: Linkliste SIMATIC-Kommunikation über Ethernet

  9. #18
    Registriert seit
    29.03.2004
    Beiträge
    5.731
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Zusammengefasst welche Lösungen dem Dokument stehen:
    - VPN-Verbindung
    - Physikalische Trennung der Netze, bzw. VLANs

    oder steht dort etwas neues drin?

  10. #19
    Registriert seit
    23.11.2005
    Beiträge
    38
    Danke
    0
    Erhielt 2 Danke für 2 Beiträge

    Standard

    Der Anwendungsfall wäre jede S7 Steuerung der Welt,
    man muss sicherlich Kosten/Nutzen in Relation stellen.

    Stuxnet war der Anfang ... Laut Langner kommt üblicherweise in 90 Tagen
    was anderes nettes.

    Es wurde ja demonstriert was möglich ist.

    Somit muss verhindert sein:

    - Einspielen von Programm und Datenbausteinen ...
    - Einfluss auf und E/A Daten
    - Einfluss auf den Systemzustand (RUN/STOP)
    - Auslesen von Systeminformationen
    - Auslesen von Applikationsknowhow
    - DoS Attacken
    - Brute Force Attacken

    Das alles immer unter der Annahme der Virenscanner findet nichts ...
    Zero Days Exploits sind ja dafür bekannt unbekannt zu sein ...

    Autorisiert ist der SPS Entwickler. Der Stuxnet und Co muss aussen bleiben.

    So nun zur (un-)lösbaren Aufgabe -> wieviel von 100% kann man abfangen.
    Gestern noch nicht gekonnt,
    Heute ein neuer Horizont.

  11. #20
    Registriert seit
    29.03.2004
    Beiträge
    5.731
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von matthiasd:-m Beitrag anzeigen

    Autorisiert ist der SPS Entwickler. Der Stuxnet und Co muss aussen bleiben.
    Dann hast du nicht verstanden wie Stuxnet funktioniert. Denn Stuxnet gelangt doch eben über einen infiziertes PG in die Steuerung.
    Und wer garantiert dir dass immer die richtige Person am PG sitzt?

Ähnliche Themen

  1. Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern
    Von DennisBerger im Forum Stammtisch
    Antworten: 141
    Letzter Beitrag: 07.08.2013, 08:38
  2. Source Revisionsystem: Best practice gesucht
    Von shadowdb im Forum Simatic
    Antworten: 3
    Letzter Beitrag: 25.09.2011, 09:55
  3. Stuxnet und Simatic Security Update
    Von ssound1de im Forum PC- und Netzwerktechnik
    Antworten: 2
    Letzter Beitrag: 02.11.2010, 14:44
  4. Stuxnet
    Von abasi im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 28.10.2010, 15:26
  5. open source Programme
    Von id107 im Forum Schaltschrankbau
    Antworten: 1
    Letzter Beitrag: 22.03.2007, 17:35

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •