Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Page 3 of 3 FirstFirst 123
Results 21 to 25 of 25

Thread: OPC UA Kommunikation begrenzt

  1. #21
    Join Date
    17.07.2009
    Location
    Am Rande der Ostalb
    Posts
    7,018
    Danke
    1,417
    Erhielt 1,674 Danke für 1,288 Beiträge

    Default


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Quote Originally Posted by vollmi View Post
    Ich denke gegen AG_Send/Recv spricht nicht viel. Aber absichtlich auf einer 1500er die Sicherheit aufzuheben nur damit man wieder mit PUT/GET auf der Steuerung rumzufahren, sehe ich nicht ein. Das waren immer die zeitaufwändigsten Fehlersuchen die ich gehabt habe. Wenn fremde Steuerungen bei mir was geschrieben haben wo sie nix zu schreiben haben. Und heute wo man viele Steuerungen in dasselbe Physikalische Netz wenn auch in VLANS aufgeteilt bringt, da muss nur mal ein VLAN nicht richtig trennen und ne andere Steuerung n Tipfehler drin haben und schon hat man schräge querkommunikation die man kaum erkennt.
    Wenn du OPC UA auf der 1500er mit den Grundeinstellungen betreibst, hast du erstmal keinen Unterschied zu PUT.
    Bis jetzt hast du ja eine Kopplung HMI / OPC UA. Ist eine Variable vom HMI beschreibbar, so geht es auch per OPC UA.
    Erst die richtigen Sicherheitseinstellungen schaffen da Abhilfe. Aber hier ist auch Detailwissen erforderlich. Der Umgang mit Zertifikaten und ähnlichen ist nicht gerade Kernkompetenz von SPSlern.
    Themen wie Mapping, Methoden, Subscriptions usw. sind hoch interessant, aber hier ist noch viel Try- und Error erforderlich.

    Gruß
    Blockmove

  2. #22
    Join Date
    22.11.2006
    Location
    CH
    Posts
    4,464
    Danke
    1,047
    Erhielt 893 Danke für 659 Beiträge

    Default

    Quote Originally Posted by Blockmove View Post
    Wenn du OPC UA auf der 1500er mit den Grundeinstellungen betreibst, hast du erstmal keinen Unterschied zu PUT.
    Bis jetzt hast du ja eine Kopplung HMI / OPC UA. Ist eine Variable vom HMI beschreibbar, so geht es auch per OPC UA.
    Erst die richtigen Sicherheitseinstellungen schaffen da Abhilfe. Aber hier ist auch Detailwissen erforderlich. Der Umgang mit Zertifikaten und ähnlichen ist nicht gerade Kernkompetenz von SPSlern.
    Themen wie Mapping, Methoden, Subscriptions usw. sind hoch interessant, aber hier ist noch viel Try- und Error erforderlich.

    Gruß
    Blockmove
    Selbst ohne Sicherheitseinstellungen fällt bei opc die möglichkeit weg, aus versehen statt auf db110.dbx 2.3 (alarmreset) auf db10.dbx2.3 (presse anfahren) zu schreiben. Da man sich wesenlich seltener in nem kompletten symbol vertut als in ner einfachen ziffer. Wenn put erlaubt ist, kann man auf einmal von jedem cp aus auf egal welche speicherzelle schreiben. Bei opc muss man sich mindestens ein volles symbol zusammenbauen. Ein tipfehler gibt eher einen zugriffsfehler als das man an einen falschen ort schreibt.

  3. #23
    Join Date
    29.03.2004
    Posts
    6,871
    Danke
    162
    Erhielt 2,117 Danke für 1,507 Beiträge

    Default

    Quote Originally Posted by vollmi View Post
    Wenn put erlaubt ist, kann man auf einmal von jedem cp aus auf egal welche speicherzelle schreiben.
    Nur auf die "nicht optimierten" DBs und Merker. Und als Grund für "nicht optimierte" DBs gibt es eigentlich nur, darauf per Put/Get zuzugreifen.

    Aber wer meint, seine SPS durch die vermeintlichen OPC-UA Sicherheitsmechanismen ins WWW hängen zu dürfen, dem ist eh nicht mehr zu helfen. Und ich habe mich immer gefragt, was das wohl für welche sind deren Steuerungen sich bei Shodan finden lassen, die haben doch sicher noch nie was mit SPS zu tun gehabt.

  4. #24
    Join Date
    17.07.2009
    Location
    Am Rande der Ostalb
    Posts
    7,018
    Danke
    1,417
    Erhielt 1,674 Danke für 1,288 Beiträge

    Default

    Quote Originally Posted by Thomas_v2.1 View Post
    Aber wer meint, seine SPS durch die vermeintlichen OPC-UA Sicherheitsmechanismen ins WWW hängen zu dürfen, dem ist eh nicht mehr zu helfen. Und ich habe mich immer gefragt, was das wohl für welche sind deren Steuerungen sich bei Shodan finden lassen, die haben doch sicher noch nie was mit SPS zu tun gehabt.
    100% Zustimmung

    Es gibt Untersuchungen was für SPS-Systeme am Internet hängen.
    In rasch wachsender Zahl sind es Smarthomes. Naja da hält sich der Schaden in Grenzen.
    Viel schlimmer sind viele kleine kommunale Anlagen. Also z.B. kleine Kläranlagen oder Wasserversorgung.
    Hier geht es einfach um Fernwartung. Ist ja bequemer und billiger wenn der Klärwärter von der Kneipe aus quittieren kann.
    Interessant ist hier die regionale Verteilung. Deutschland mit seinen alten Anlagen ist hier weniger betroffen.
    Industrieanlagen sind weniger betroffen und die Zahl stagniert.

    Network-Security ist ein ekelhaftes Thema im SPS-Umfeld.
    Kompetenz- und Organisationsgerangel zwischen SPSlern und ITlern.
    Dazu noch selbsternannte externe Experten und Berater.

    Gruß
    Blockmove

  5. #25
    Join Date
    22.11.2006
    Location
    CH
    Posts
    4,464
    Danke
    1,047
    Erhielt 893 Danke für 659 Beiträge

    Default


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Quote Originally Posted by Thomas_v2.1 View Post
    Aber wer meint, seine SPS durch die vermeintlichen OPC-UA Sicherheitsmechanismen ins WWW hängen zu dürfen, dem ist eh nicht mehr zu helfen. Und ich habe mich immer gefragt, was das wohl für welche sind deren Steuerungen sich bei Shodan finden lassen, die haben doch sicher noch nie was mit SPS zu tun gehabt.
    Ich glaub es läuft eher umgekehrt. Man will immer mehr in der Anlage miteinander vernetzen. Man will keine getrennten Physikalischen Netzwerke mehr. Darum sollte sich auch der SPS Programmierer Gedanken machen was er auf seiner Seite absichern kann sollte die IT welche das Netzwerk aufbaut, Scheisse bauen.

    Das man nicht mehr alles auf getrennten Anlagennetzen will kann ich durchaus nachvollziehen. Da möchte ich mal erzählen wie das vor 20 Jahren in der Verkehrstechnik lief und wie sich das mittlerweile entwickelt.

    Früher^TM: hatte jedes Gewerk sein eigenes Physikalisches Netzwerk das ausfallsicher sein sollte. Ventilation, Beleuchtung, Brandanlage, Verkehrslenkung, Notrufanlage etc. Jeder hat einen LWL Ring durch mehrere Kilometer Tunnel und Strassenstrecke aufgebaut mit jeder 100ten LWL Ringswitches in jeder Zentrale. Extrem viele Bauteile. Man brauchte Dutzende LWL Fasern weil jeder Unternehmer welche brauchte. Weil Brand und Ventilation ja auch Daten austauschen mussten, musste trotzdem immer noch ein zusätzlicher CP rein für eine direkte Kupferquerkommunikation der Anlagen.

    Heute: Der Weg geht zu einer Ausfallsicheren IT infrastruktur mit Backbones zusätzlichen kommunikationswegen falls einer ausfällt. Das Netzwerk ist also ungleich aufwändiger und die Teile wesentlich komplizierter weil eben VLANS aufgebaut werden müssen und auch übergeordnete Steuerzentralen in anderen gebäuden informationen erhalten müssen.
    Es soll halt nicht mehr jeder Unternehmer ein rudimentäres Anlagennetz aufbauen bei dem es sowieso nicht sicher ist ob es jemanden gibt der sich wirklich damit auskennt. Sondern die sollen einen Antrag stellen für ihre Geräte wohin die kommunizieren sollen, welche Datenmengen etc. und die bekommen dann zugriff zum WAN. Aber um die Ausfallsicherheit und Einbruchssicherheit ebenjenigen soll sich eine spezialisierte Firma kümmern. Und diese Firma sagt halt auch: Es gibt keine Ports in die man einfach was einstecken kann, Es gibt keine querschiessenden CPUs die einfach irgendwohin kommunizieren welcher Virenscanner auf einem IPC zu installieren ist etc.

    Darum kommt es nicht so gut wenn man deren Forderung begegnet mit: "wir wollen eine Unspezifizierte S7 Verbindung zu einer anderen Anlage machen mit Put/Get das wir da den Brand auslösen können. Weil das haben wir schon immer so gemacht."
    Last edited by vollmi; 05.09.2019 at 07:22.

  6. Folgender Benutzer sagt Danke zu vollmi für den nützlichen Beitrag:

    Blockmove (05.09.2019)

Similar Threads

  1. Replies: 9
    Last Post: 06.05.2019, 11:59
  2. Störmeldungen begrenzt?
    By spirit in forum HMI
    Replies: 4
    Last Post: 02.07.2015, 13:48
  3. Replies: 6
    Last Post: 22.05.2014, 14:25
  4. Replies: 1
    Last Post: 08.02.2010, 13:15
  5. FB in S7-Graph begrenzt?
    By tino2512 in forum Simatic
    Replies: 4
    Last Post: 05.10.2007, 18:38

Tags for this Thread

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •