Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 4 von 4 ErsteErste ... 234
Ergebnis 31 bis 35 von 35

Thema: Stuxnet Source und Gegenmaßnahmen

  1. #31
    Registriert seit
    19.06.2003
    Beiträge
    2.200
    Danke
    85
    Erhielt 259 Danke für 175 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Man könnte eine kleine "Kiste" zwischen CPU/CP und Netwerk stecken, die die S7 Pakete filtert. Eine solche "Kiste" würde das S7-Protokoll kennen und könnte konfiguriert werden, was sie erlauben und was sie verwerfen soll.
    - Program speichern, löschen
    - Program auslesen
    - Start, Stop
    - Werte ändern
    - Werte auslesen
    - Zugriff auf Werte nur in erlaubten DBs.
    Diese "Kiste" hinge auf einer Seite am Ethernet, die andere Seite ist entweder auch Ethernet oder aber Profibus.
    Die Kiste hätte ein Web-Interface. Darüber könnte sich z.B. ein Fernwarter authorisieren und temporär weitere Zugriffe freischalten.
    Besteht Interesse für so ein Produkt?

  2. #32
    Registriert seit
    31.05.2010
    Beiträge
    411
    Danke
    37
    Erhielt 10 Danke für 9 Beiträge

    Standard

    Zitat Zitat von Flinn Beitrag anzeigen
    SFC109 bietet exakt den gleichen Schutz wie der fruehere Run/Run-P Schluesselschalter. Bietet also Schutz vor Codeplatzierung ala Stuxnet im lfd. Betrieb, jedoch nicht vor Sabotage ala CPU-Stop. Ist auf jeden Fall besser als nichts.

    Gruss,
    Flinn

    Wie muss ich SFC denn paramtieren? (Gibts ne Beschreibung was der SFC genau macht [Außer das was in der Hilfe steh?])

    Und was muss ich dabei beachten. Will das an bestehenden anlagen einbauen, wenn es nicht so schwer ist den einzubauen während lfd. Betrieb.

  3. #33
    Registriert seit
    29.03.2004
    Beiträge
    5.735
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Zitat Zitat von Zottel Beitrag anzeigen
    Man könnte eine kleine "Kiste" zwischen CPU/CP und Netwerk stecken, die die S7 Pakete filtert. Eine solche "Kiste" würde das S7-Protokoll kennen und könnte konfiguriert werden, was sie erlauben und was sie verwerfen soll.
    - Program speichern, löschen
    - Program auslesen
    - Start, Stop
    - Werte ändern
    - Werte auslesen
    - Zugriff auf Werte nur in erlaubten DBs.
    Diese "Kiste" hinge auf einer Seite am Ethernet, die andere Seite ist entweder auch Ethernet oder aber Profibus.
    Die Kiste hätte ein Web-Interface. Darüber könnte sich z.B. ein Fernwarter authorisieren und temporär weitere Zugriffe freischalten.
    Besteht Interesse für so ein Produkt?
    Das war das was ich mit "Firewall auf Applikationsebene" meinte.
    Leider sind die meisten Linux-Firewalls nur reine Paketfilter (iptables etc.). Sonst könnte man sich einfach einen Router mit Linux passend umkonfigurieren (diverse Linksys Geräte).

    Eigentlich gehört so ein Zugriffschutz aber in die SPS (bzw. CP) und nicht in ein externes Gerät welches man einfach davorhängt, da dieses auch wieder ausgebaut oder umgangen werden kann.

  4. #34
    Registriert seit
    05.10.2005
    Beiträge
    2.373
    Danke
    321
    Erhielt 296 Danke für 266 Beiträge

    Standard

    ... im Endeffekt muß das Programm irgendwann in die CPU. Und da beginnt ja schon die Unsicherheit. Für den laufenden Betrieb ist eine davorgeschaltete Firewall welcher Art auch immer eine Hürde für Schadcode. Es wird immer aber immer eine Möglichkeit geben, diversen Code einzubringen. Nur der Aufwand ändert sich. Eine gewisse Sparsamkeit in der Vernetzung ist auch hilfreich. Nicht jede Steuerung/VISU/... muß im allesumspannenden Firmennetz aus gründen der Bequemlichkeit hängen. Ein abgeschottetes Anlagennetz SPS/VISU/FELDGERÄTE/... und ein separates Netz mit eigenem CP und IP-Zugriffsschutz zur Anbindung ans Unternehmensnetz wo z.B. auch nur auf bestimmte Datenbereiche zugegriffen werden darf hält auch schon einiges ab.

    Thomas

  5. #35
    Registriert seit
    23.11.2005
    Beiträge
    38
    Danke
    0
    Erhielt 2 Danke für 2 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Servus zusammen freut mich dass wieder leben ins Stuxnet Thema kommt

    Folgende Möglichkeiten halte ich mal fest:

    * NAC (Network Access Control) unbekannte Teilnehmer bekommen
    keinen Zugang zum Netz wenn nicht erst alle Security Patches,
    Virenscanner Def Files usw. uptodate sind
    * Trennung der Netzwerke
    * Verringerung der Netzwerkdosen mit Zugang zur SPS
    * Partner IP in der CP Projektieren (Filterregeln in der CP)
    * Firewall IP Adressen basierend
    * Firewall Protokoll basierend RFC1006
    * Firewall Port basierend 102
    * HW basierende Lösungen die die Manipulation des SPS Rechners
    überwachen (compare der Step7 Installationsfiles auf Änderungen)
    * keine SPS mit Netzwerkstecker einzusetzen

    Fällt euch noch was ein ...
    Gestern noch nicht gekonnt,
    Heute ein neuer Horizont.
    Zitieren Zitieren Zusammenfassung:  

Ähnliche Themen

  1. Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern
    Von DennisBerger im Forum Stammtisch
    Antworten: 141
    Letzter Beitrag: 07.08.2013, 08:38
  2. Source Revisionsystem: Best practice gesucht
    Von shadowdb im Forum Simatic
    Antworten: 3
    Letzter Beitrag: 25.09.2011, 09:55
  3. Stuxnet und Simatic Security Update
    Von ssound1de im Forum PC- und Netzwerktechnik
    Antworten: 2
    Letzter Beitrag: 02.11.2010, 14:44
  4. Stuxnet
    Von abasi im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 28.10.2010, 15:26
  5. open source Programme
    Von id107 im Forum Schaltschrankbau
    Antworten: 1
    Letzter Beitrag: 22.03.2007, 17:35

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •