Step 7 S7-300 mit CP343 absichern

[Ben8)]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo zusammen,

wir haben hier 2 Maschinen mit jeweils einer S7-300 CPU und CP343 Modul das mit dem Produktionsnetz verbunden ist.
Eine Analyse des Netzwerks hat jetzt ergeben das diese CP343 Module vollkommen ohne Passworteingabe eine Verbindung akzeptieren und Daten abgegriffen werden können, oder evtl. die Anlage sabotiert.

Der Entwickler der Maschinen ist leider nicht mehr greifbar und ich habe zwar ne SPS Ausbildung an S5 und bissl an S7 aber bin schon seit 15 Jahren in der IT nicht mehr als Mess- und Regeltechniker unterwegs aber ratet mal wen es jetzt erwischt hat als das Wort Siematic gefallen ist...

Meine Frage ist wie man das System absichern kann oder gibt es hier keine Möglichkeit?
Firmwarestand ist V3.0.23

Gruß
Ben

 

[DeltaMikeAir]

Hallo zusammen,

wir haben hier 2 Maschinen mit jeweils einer S7-300 CPU und CP343 Modul das mit dem Produktionsnetz verbunden ist.
Eine Analyse des Netzwerks hat jetzt ergeben das diese CP343 Module vollkommen ohne Passworteingabe eine Verbindung akzeptieren und Daten abgegriffen werden können, oder evtl. die Anlage sabotiert.

Der Entwickler der Maschinen ist leider nicht mehr greifbar und ich habe zwar ne SPS Ausbildung an S5 und bissl an S7 aber bin schon seit 15 Jahren in der IT nicht mehr als Mess- und Regeltechniker unterwegs aber ratet mal wen es jetzt erwischt hat als das Wort Siematic gefallen ist...

Meine Frage ist wie man das System absichern kann oder gibt es hier keine Möglichkeit?
Firmwarestand ist V3.0.23

Gruß
Ben

Welche Gefahr erwartet ihr denn?

Was meinst du mit Produktionsnetz? Ist das ein geschlossenes Produktionsnetz oder ein Firmennetzwerk ggf. mit Internetzugang?

 

[Process-Informatik GmbH]

Zuviel Werbung?
-> Hier kostenlos registrieren

Um nichts an der SPS ändern zu müssen, dann setze doch einen TeleRouter mit Firewall-Option zwischen den Steuerungen und und dem Produktionsnetz.
Mit der Firewall-Option kannst Du die Zugriffe auf die Steuerung filtern:
unterste Stufe: prüfen ob die Absende-IP zugelassen ist
oberste Stufe: Zugriff auf ein einzelnes Datenwort. beschränken und ob nur lesend oder schreibend
Man kann durch Regeln die Zugriffe einschränken und entsprechend verbieten.
Dein Vorteil, Du musst an der SPS nichts ändern, die bleibt wie sie ist.

Mehr dazu hier: https://www.process-informatik.de/9373-PPPOE_telerouter.html/?lang=de_

 

[Ben8)]

Produktion hat ein eigenes VLAN mit allen CNC Geräten und eben 2 Maschinen die mit den S7 gesteuert werden.
Internet ist nicht erlaubt, CPC Programme und Aufträge werden im Büronetz auf einen Fileservice gelegt auf den die Produktion nach einem Virenscan Zugriff hat.

Hintergrund ist ein Vorfall der alle aufgescheucht hat und eine externe Firma hat diesen Punkt mit vielen anderen bemängelt und das muss hald jetzt abgestellt werden.

Ben

 

[DeltaMikeAir]

Produktion hat ein eigenes VLAN mit allen CNC Geräten und eben 2 Maschinen die mit den S7 gesteuert werden.
Internet ist nicht erlaubt, CPC Programme und Aufträge werden im Büronetz auf einen Fileservice gelegt auf den die Produktion nach einem Virenscan Zugriff hat.

Hintergrund ist ein Vorfall der alle aufgescheucht hat und eine externe Firma hat diesen Punkt mit vielen anderen bemängelt und das muss hald jetzt abgestellt werden.

Ben

Unterhalten sich nur diese beiden Maschinen mit den CP343 untereinander oder gibt es weitere Kommunikation ( z.B. zu Programmen in eurem Firmennetz )?
Ist die Anbindung an das Firmennetz evtl. unnötig oder wurde nur der Einfachheit halber umgesetzt um kein neues Netzwerkkabel legen zu müssen ( zwischen den Maschinen )?

 

[DeltaMikeAir]

Zuviel Werbung?
-> Hier kostenlos registrieren

Falls die Verbindung zwingend bestehen muss, dann wirst du mit deiner IT reden müssen. Am CP343 lässt sich da nichts machen.
Siemens gibt selber an, dies separat/extern zu lösen:

Auszug aus dem CP343 Handbuch:

 

[Ben8)]

Unterhalten sich nur diese beiden Maschinen mit den CP343 untereinander oder gibt es weitere Kommunikation ( z.B. zu Programmen in eurem Firmennetz )?
Ist die Anbindung an das Firmennetz evtl. unnötig oder wurde nur der Einfachheit halber umgesetzt um kein neues Netzwerkkabel legen zu müssen ( zwischen den Maschinen )?

Es werden z.B. aus dem SAP Auftrag automatisch die Daten für das Typenschild geholt die in der Maschine gelasert werden, also ist schon eine gewisse Anbindung nötig aber wie es aussieht ist die einzige Chance ein weiteres VLAN anzulegen und über unsere Firewall zu leiten und alles dicht zumachen außer was wirklich benötigt wird.

Falls die Verbindung zwingend bestehen muss, dann wirst du mit deiner IT reden müssen.

Der war gut Das bin ich selber.

Gruß
Ben

 

[DeltaMikeAir]

Der war gut Das bin ich selber.

Dann sollten dir doch die gängigen Methoden zur Unterbindung eines Fremdzugriffes geläufig sein.

 

[Ben8)]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wie gesagt, die Steuerung an sich will keiner mehr anfassen (neues vlan=neue IP Adressen im Programm für z.B. SAP Zugriff) da der Programmierer nicht mehr im Haus ist. Es ist ein Retrofit geplant um mit einem neuen externen Partner die Dinger wieder in einen wartbaren Zustand zu bekommen. Jetzt kam dieses Audit dazwischen aber ich hab jetzt alle Infos die ich brauche um die Entscheidung denen zu überlassen die dafür auch die Entgeltstufe haben.


Danke,
Ben

 

[PN/DP]

Welchen CP343-1 genau hast Du? 6GK7343-1........?

Projektierungs-Hinweise und Empfehlungen zur Security-Problematik findet man im zum jeweiligen CP343-1 gehörenden Gerätehandbuch
und in Projektierungshandbüchern, z.B. Link Link Link

Bei manchen CP343-1 kann man einen IP-Zugriffsschutz (IP-ACL) aktivieren (Zugriffe nur von bestimmten IP-Adressen zulassen)
Generell sollte aber vorrangig der Netzwerkbereich geschützt werden und nicht alles dem CP343-1 überlassen werden.
Für die Security sind auch Einstellungen der CPU relevant.

Harald