IT und OT Trennung…

N

Nitro-Haiza

Level-2
Beiträge
104
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

Ich habe mal eine Frage zu einem wichtigen Thema. Wir haben bei uns in der Firma MES schon länger und rollen es weiter aus.

Wie geht ihr mit Maschinen um die Windows 7 und älter haben? Gibt es da eine gute Lösung?

Ich dachte an einen RevPi mit 2 Netzwerkschnittstellen. Weiß aber nicht wie man die von einander trennen kann.

Vllt gibt es da von euch Ansätze?!

Vielen Dank.

Mit freundlichen Grüßen Phil…
 
Falls es um unsicheres Samba geht kann ich einen Artikel in der C't empfehlen:
www.heise.de

Brückenbau

Manches Gerät, zum Beispiel ein Scanner, kann Dateien im Netz abladen und benutzt dafür das SMB-Protokoll. Wenn es ungünstig läuft, versteht es sich nur auf das wegen vieler Sicherheitslücken verpönte SMBv1. Wer auf das Gerät nicht verzichten will, muss entweder das unsichere SMBv1 in seinem...
www.heise.de www.heise.de
 
Ich nutze für die Problemstellung eigentlich immer einen NAT-Router mit Whitelist als Einstellung.
Also prinzipiell alles gesperrt, nur für einzelne Routen von IP-A zu IP-B (oder theoretisch auch MAC-basiert, wobei das für die Instandhaltung wieder negativ ist) werden einzelne Ports freigegeben.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Du brauchst das Rad nicht 2 mal erfinden.
Stichwort ist Hardwarefirewall. Gibt es von zig Herstellern.
Ein paar Beispiele
Siemens hat da die Scalance S Reihe
https://new.siemens.com/de/de/produ...l-ethernet/netzwerksicherheit/scalance-s.html
Als recht einfache Lösung gibt es Helmholz die wall-ie
https://www.helmholz.de/de/produkte/industrial-ethernet/nat-gateway-firewall/wall-ie
oder auch von mb connect line
https://mbconnectline.com/de/mbnetfix/

Wenn ihr ein MES habt, dann habt ihr wahrscheinlich auch eine IT-Abteilung, die das Firmen-Netzwerk managed und betreut.
Die sollten erstmal mit ins Boot.
Je nach verbauten Netzwerkkomponenten, kann es durchaus schon sein, dass die Funktionalität schon vorhanden ist und nur konfiguriert werden muss.

Gruß
Blockmove
 
Hallo zusammen,

Erstmal vielen Dank für eure zahlreichen Antworten. Ja es geht um die „gefährlichen“ Windows 7 Computer!

Unsere IT möchte keinen Rechner im Netzwerk haben und bietet leider keine Ideen an. Sie scheinen überlastet zu sein.

Ein Vorschlag bei einer Beckhoff Steuerung war:
- Profinet Koppler
- PN/PN Koppler
- S7-1200 als Datensammler

Fand ich nicht unbedingt schön.

Was meint ihr?
 
Was läuft denn auf diesen Rechnern für Software? Wäre ein W10 Update eine Option?
Warum ist euer Firmennetz angebunden? Welche Daten werden da abgeholt?

Die IT möchte also, dass die Anlage komplett aus dem IT Netz getrennt wird und es nur ein sicheres "Gateway" gibt? Sehe ich das richtig?
Wenn ja, wieviele Daten werden in das IT Netz übergeben und an was ( Applikation, SAP, WinCC.... )?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Nitro-Haiza schrieb:
Was meint ihr?
Zum Vergrößern anklicken....
Ich meine, dass eure IT keine Ahnung hat :)

Hardware-Firewall rein und die Ports für MES und ggf. Programmierung freigeben.
Am besten als transparente bzw. Stealth-Firewall. Diese Firewalls arbeiten auf Layer 2 und es ändert sich nichts an irgendwelchen IP-Adressen.
 
Nitro-Haiza schrieb:
Hallo zusammen,

Erstmal vielen Dank für eure zahlreichen Antworten. Ja es geht um die „gefährlichen“ Windows 7 Computer!

Unsere IT möchte keinen Rechner im Netzwerk haben und bietet leider keine Ideen an. Sie scheinen überlastet zu sein.

Ein Vorschlag bei einer Beckhoff Steuerung war:
- Profinet Koppler
- PN/PN Koppler
- S7-1200 als Datensammler

Fand ich nicht unbedingt schön.

Was meint ihr?
Zum Vergrößern anklicken....
Was bitte sollen die 3 Vorschläge bringen, um einen Win7 PC sicher ins Firmennetz zu bringen?

Blockmove schrieb:
Ich meine, dass eure IT keine Ahnung hat :)
Zum Vergrößern anklicken....
Jo...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Die Steuerung hängt noch nicht im Netz! Wir wollen Maschinendaten von der Maschine erfassen. Produktion, Stückzähler usw. Dafür benötigen wir eine „sicher“ Schnittstelle. Die IT sagt stumpf keine Windows Systeme im Firmennetz kleiner Windows 10. Kann keiner Supporten usw.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Nitro-Haiza schrieb:
Die Steuerung hängt noch nicht im Netz! Wir wollen Maschinendaten von der Maschine erfassen. Produktion, Stückzähler usw. Dafür benötigen wir eine „sicher“ Schnittstelle. Die IT sagt stumpf keine Windows Systeme im Firmennetz kleiner Windows 10. Kann keiner Supporten usw.
Zum Vergrößern anklicken....
Naja, dann prüft erstmal, welche Schnittstellen und Protokolle Eure Maschine liefern könnte, und welche Schnittstellen und Protokolle Euer MES kann. Dann kannst Du entscheiden, ob ein Gateway notwendig ist oder ein Router mit explizieter Portfreigabe...
 
ducati schrieb:
Naja, dann prüft erstmal, welche Schnittstellen und Protokolle Eure Maschine liefern könnte, und welche Schnittstellen und Protokolle Euer MES kann. Dann kannst Du entscheiden, ob ein Gateway notwendig ist oder ein Router mit explizieter Portfreigabe...
Zum Vergrößern anklicken....
Ok, ein MES möchte Zugriff, das habe ich überlesen. Dieter ( @Blockmove ) hat schon geeignete Geräte/Möglichkeiten genannt.
 
ducati schrieb:
und Euer MES spricht Profinet-IO? Also ist PNIO-Controller?
Zum Vergrößern anklicken....
Wir haben die Lösung vorgeschlagen bekommen. Um an Daten zu kommen würden wir eine S7 1200 einsetzen um diese dann an einen OPC und Nodered weiterzuleiten.

Ich finde die Lösung sehr komplex, wenn es nicht anders geht dann ist das so aber vllt gibt es auch eine schönere ☺️
 

Similar threads

T
Programmierstrategien technische Projektleitung
2
Antworten
29
Aufrufe
3K
DCDCDC
D
I
Live-Webinar: Die Resilienz der Lieferkette mit OT-Security erhöhen
Antworten
4
Aufrufe
3K
Ioana Radulescu
I
M
NIS2 und Kritis
Antworten
6
Aufrufe
2K
DeltaMikeAir
DeltaMikeAir
K
Einstieg Selbständigkeit
2
Antworten
33
Aufrufe
3K
JSEngineering
J
S
Sandbox Ultralangsam
Antworten
7
Aufrufe
590
Schlabbesaicher
S
Zurück
Oben