TIA OPC UA Kommunikation begrenzt

Zuviel Werbung?
-> Hier kostenlos registrieren
vollmi schrieb:
Ich denke gegen AG_Send/Recv spricht nicht viel. Aber absichtlich auf einer 1500er die Sicherheit aufzuheben nur damit man wieder mit PUT/GET auf der Steuerung rumzufahren, sehe ich nicht ein. Das waren immer die zeitaufwändigsten Fehlersuchen die ich gehabt habe. Wenn fremde Steuerungen bei mir was geschrieben haben wo sie nix zu schreiben haben. Und heute wo man viele Steuerungen in dasselbe Physikalische Netz wenn auch in VLANS aufgeteilt bringt, da muss nur mal ein VLAN nicht richtig trennen und ne andere Steuerung n Tipfehler drin haben und schon hat man schräge querkommunikation die man kaum erkennt.
Zum Vergrößern anklicken....

Wenn du OPC UA auf der 1500er mit den Grundeinstellungen betreibst, hast du erstmal keinen Unterschied zu PUT.
Bis jetzt hast du ja eine Kopplung HMI / OPC UA. Ist eine Variable vom HMI beschreibbar, so geht es auch per OPC UA.
Erst die richtigen Sicherheitseinstellungen schaffen da Abhilfe. Aber hier ist auch Detailwissen erforderlich. Der Umgang mit Zertifikaten und ähnlichen ist nicht gerade Kernkompetenz von SPSlern.
Themen wie Mapping, Methoden, Subscriptions usw. sind hoch interessant, aber hier ist noch viel Try- und Error erforderlich.

Gruß
Blockmove
 
Blockmove schrieb:
Wenn du OPC UA auf der 1500er mit den Grundeinstellungen betreibst, hast du erstmal keinen Unterschied zu PUT.
Bis jetzt hast du ja eine Kopplung HMI / OPC UA. Ist eine Variable vom HMI beschreibbar, so geht es auch per OPC UA.
Erst die richtigen Sicherheitseinstellungen schaffen da Abhilfe. Aber hier ist auch Detailwissen erforderlich. Der Umgang mit Zertifikaten und ähnlichen ist nicht gerade Kernkompetenz von SPSlern.
Themen wie Mapping, Methoden, Subscriptions usw. sind hoch interessant, aber hier ist noch viel Try- und Error erforderlich.

Gruß
Blockmove
Zum Vergrößern anklicken....

Selbst ohne Sicherheitseinstellungen fällt bei opc die möglichkeit weg, aus versehen statt auf db110.dbx 2.3 (alarmreset) auf db10.dbx2.3 (presse anfahren) zu schreiben. Da man sich wesenlich seltener in nem kompletten symbol vertut als in ner einfachen ziffer. Wenn put erlaubt ist, kann man auf einmal von jedem cp aus auf egal welche speicherzelle schreiben. Bei opc muss man sich mindestens ein volles symbol zusammenbauen. Ein tipfehler gibt eher einen zugriffsfehler als das man an einen falschen ort schreibt.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
vollmi schrieb:
Wenn put erlaubt ist, kann man auf einmal von jedem cp aus auf egal welche speicherzelle schreiben.
Zum Vergrößern anklicken....
Nur auf die "nicht optimierten" DBs und Merker. Und als Grund für "nicht optimierte" DBs gibt es eigentlich nur, darauf per Put/Get zuzugreifen.

Aber wer meint, seine SPS durch die vermeintlichen OPC-UA Sicherheitsmechanismen ins WWW hängen zu dürfen, dem ist eh nicht mehr zu helfen. Und ich habe mich immer gefragt, was das wohl für welche sind deren Steuerungen sich bei Shodan finden lassen, die haben doch sicher noch nie was mit SPS zu tun gehabt.
 
Thomas_v2.1 schrieb:
Aber wer meint, seine SPS durch die vermeintlichen OPC-UA Sicherheitsmechanismen ins WWW hängen zu dürfen, dem ist eh nicht mehr zu helfen. Und ich habe mich immer gefragt, was das wohl für welche sind deren Steuerungen sich bei Shodan finden lassen, die haben doch sicher noch nie was mit SPS zu tun gehabt.
Zum Vergrößern anklicken....

100% Zustimmung

Es gibt Untersuchungen was für SPS-Systeme am Internet hängen.
In rasch wachsender Zahl sind es Smarthomes. Naja da hält sich der Schaden in Grenzen.
Viel schlimmer sind viele kleine kommunale Anlagen. Also z.B. kleine Kläranlagen oder Wasserversorgung.
Hier geht es einfach um Fernwartung. Ist ja bequemer und billiger wenn der Klärwärter von der Kneipe aus quittieren kann.
Interessant ist hier die regionale Verteilung. Deutschland mit seinen alten Anlagen ist hier weniger betroffen.
Industrieanlagen sind weniger betroffen und die Zahl stagniert.

Network-Security ist ein ekelhaftes Thema im SPS-Umfeld.
Kompetenz- und Organisationsgerangel zwischen SPSlern und ITlern.
Dazu noch selbsternannte externe Experten und Berater.

Gruß
Blockmove
 
Thomas_v2.1 schrieb:
Aber wer meint, seine SPS durch die vermeintlichen OPC-UA Sicherheitsmechanismen ins WWW hängen zu dürfen, dem ist eh nicht mehr zu helfen. Und ich habe mich immer gefragt, was das wohl für welche sind deren Steuerungen sich bei Shodan finden lassen, die haben doch sicher noch nie was mit SPS zu tun gehabt.
Zum Vergrößern anklicken....

Ich glaub es läuft eher umgekehrt. Man will immer mehr in der Anlage miteinander vernetzen. Man will keine getrennten Physikalischen Netzwerke mehr. Darum sollte sich auch der SPS Programmierer Gedanken machen was er auf seiner Seite absichern kann sollte die IT welche das Netzwerk aufbaut, Scheisse bauen.

Das man nicht mehr alles auf getrennten Anlagennetzen will kann ich durchaus nachvollziehen. Da möchte ich mal erzählen wie das vor 20 Jahren in der Verkehrstechnik lief und wie sich das mittlerweile entwickelt.

Früher^TM: hatte jedes Gewerk sein eigenes Physikalisches Netzwerk das ausfallsicher sein sollte. Ventilation, Beleuchtung, Brandanlage, Verkehrslenkung, Notrufanlage etc. Jeder hat einen LWL Ring durch mehrere Kilometer Tunnel und Strassenstrecke aufgebaut mit jeder 100ten LWL Ringswitches in jeder Zentrale. Extrem viele Bauteile. Man brauchte Dutzende LWL Fasern weil jeder Unternehmer welche brauchte. Weil Brand und Ventilation ja auch Daten austauschen mussten, musste trotzdem immer noch ein zusätzlicher CP rein für eine direkte Kupferquerkommunikation der Anlagen.

Heute: Der Weg geht zu einer Ausfallsicheren IT infrastruktur mit Backbones zusätzlichen kommunikationswegen falls einer ausfällt. Das Netzwerk ist also ungleich aufwändiger und die Teile wesentlich komplizierter weil eben VLANS aufgebaut werden müssen und auch übergeordnete Steuerzentralen in anderen gebäuden informationen erhalten müssen.
Es soll halt nicht mehr jeder Unternehmer ein rudimentäres Anlagennetz aufbauen bei dem es sowieso nicht sicher ist ob es jemanden gibt der sich wirklich damit auskennt. Sondern die sollen einen Antrag stellen für ihre Geräte wohin die kommunizieren sollen, welche Datenmengen etc. und die bekommen dann zugriff zum WAN. Aber um die Ausfallsicherheit und Einbruchssicherheit ebenjenigen soll sich eine spezialisierte Firma kümmern. Und diese Firma sagt halt auch: Es gibt keine Ports in die man einfach was einstecken kann, Es gibt keine querschiessenden CPUs die einfach irgendwohin kommunizieren welcher Virenscanner auf einem IPC zu installieren ist etc.

Darum kommt es nicht so gut wenn man deren Forderung begegnet mit: "wir wollen eine Unspezifizierte S7 Verbindung zu einer anderen Anlage machen mit Put/Get das wir da den Brand auslösen können. Weil das haben wir schon immer so gemacht."
 
Zuletzt bearbeitet:

Similar threads

K
TIA OPC UA Server S7 15xx
Antworten
3
Aufrufe
334
maxder2te
M
Y
Step 7 IRB 14000 von ABB mit S7-1500 durch OPC UA steuern
Antworten
8
Aufrufe
865
yourifi
Y
A
TIA S7-1200 Signal über OPC UA bei Power AUS
Antworten
5
Aufrufe
346
Michitronik
M
A
Sonstiges OPC-UA für S7-300 via IBH oder Simatic NET
Antworten
17
Aufrufe
4K
JesperMP
JesperMP
C
Step 7 S7-1500 Profinet und OPC UA (Client)
Antworten
11
Aufrufe
3K
oliver.tonn
O
Zurück
Oben