VNC Zugang zu Siemens Panels über Sprungserver

M

McRonny

Level-2
Beiträge
17
Reaktionspunkte
1
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Allerseits,



wir betreiben mehrere Panels (MP 370, MP377, TP 1500) in unseren Anlagen. Diese sind mittels Sm@rtAccess und Sm@rtServer über VNC im Netzwerk erreichbar.

Zukünftig soll aber die Kommunikation über einen Sprungserver geschehen, um nur noch einen berechtigten Personenkreis den VNC Zugang zu gewähren.

Dazu gehört dann eine Software, die Usern den Zugang, z.B. zum Smartclient, gewehrt.

Ich versuche gerad heraus zu finden, ob die Lösung von Siemens "UMC", das richtige Tool wäre oder ob meine Gedanken da gerade in die falsche Richtung gehen.

Über ein paar Anregungen, Stichwörter und Vorschläge würde ich mich freuen.



Mfg
 
Zuletzt bearbeitet:
Serverseitige virtuelle Maschine, Schnittstelle1 im Intranet (vor Sprungserver), Schnittstelle2 (vLAN) im Maschinennetz (nach Sprungserver), Login über Remotedesktop und darüber bedienbar, jeder mit seinem eigenen Login.

Hab aber mit UMC noch nie gearbeitet und kann nicht beurteilen wie weitreichend das ist und wie gut es funktioniert.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Nur von lesen von die Beschreibung von UMC, denke ich es ist nicht die Lösung.
1. Da steht nur was von Comfort Panels und Unified Panels. Nicht ältere Panele wie MP370 oder MP377.
2. Und ich glaube es deckt nur die Benutzerverwaltung von das HMI Programm. Die Smartserver hat je seine eigene Passwörter, die nichts mit die HMI Benutzer zu tun haben.

Vielleicht gibt es ein 3. Anbieter Produkt der diesen VNC Sprung Funktionalität erzeugt.
Nachteil wäre dass man die Hardware Taster auf die MP370 und MP377 mit ein 3. Anbieter VNC nicht bedienen kann.
 
Oder eventuell einen Fernwartungsrouter bekannter Anbieter installieren. Die können meistens das VNC selbsttätig, z.B. dann im Browser darstellen. Aber über den Router lassen sich die User und deren Berechtigungen einstellen.
 
DCDCDC schrieb:
Serverseitige virtuelle Maschine, Schnittstelle1 im Intranet (vor Sprungserver), Schnittstelle2 (vLAN) im Maschinennetz (nach Sprungserver), Login über Remotedesktop und darüber bedienbar, jeder mit seinem eigenen Login.

Hab aber mit UMC noch nie gearbeitet und kann nicht beurteilen wie weitreichend das ist und wie gut es funktioniert.
Zum Vergrößern anklicken....

Wir bräuchten ein User Management für den zukünftigen Server (User Management Component UMC), in erster Linie damit User auf die System kommen um dort den Zustand der Anlagen zu checken. Die Panels ein Login System mit unterschiedlichen Levelberechtigungen von WinCC.
Aus Kritis Sicht wird nun eine höherer Sicherheitsstandart gefordert. Bedeutet das wir den Zugang auf befugte User begrenzen müssen. VNC über Browser kommt nicht in Frage. Es muss nach dem Einloggen ein VNC Client starten können. Wie gesagt versuche ich erstmal Informationen zu sammeln.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
JSEngineering schrieb:
Oder eventuell einen Fernwartungsrouter bekannter Anbieter installieren. Die können meistens das VNC selbsttätig, z.B. dann im Browser darstellen. Aber über den Router lassen sich die User und deren Berechtigungen einstellen.
Zum Vergrößern anklicken....
Das wäre eine dezentrale Lösung!?! Das kollidiert sicher mit unseren IT Bereich und den Kritis-Anforderungen.
 
Es gibt beim Sm@rtserver ja zwei Logins, einer mit Schreibrechten und der andere nur mit Leserechten.., glaube bei dem Login mit Leserechten ist auch die Navigation nicht möglich.

Ansonsten schau mal was dir HMI Option+ für zusätzliche Möglichkeiten geben könnte, dafür müsste aber jedes Panel damit über ProSave ausgestattet werden.

Desweiteren können zumindest in TIA Portal Projekten (weiß nicht genau ab welcher Version) ja projektspezifische Logins verwendet werden, welche verschiedene Schreib-/Leserechte haben, da wäre definitiv eine individuelle Unterscheidung möglich, vielleicht sogar ans UMC gekoppelt?

Fernzugriff auf SIMATIC HMI Bediengeräte​

SIOS

support.industry.siemens.com support.industry.siemens.com

Servicetool SIMATIC ProSave​

SIOS

support.industry.siemens.com support.industry.siemens.com

SIMATIC HMI Option+​

SIOS

support.industry.siemens.com support.industry.siemens.com
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
DCDCDC schrieb:
Fernzugriff auf SIMATIC HMI Bediengeräte

SIOS

support.industry.siemens.com support.industry.siemens.com

Zum Vergrößern anklicken....

Zu "Fernzugriff auf SIMATIC HMI Bediengeräte" werde ich mich mal rein lesen.
ProSave kenne und nutzen wir eigentlich nur für Backup oder Updates der Panels.
Bei der HMI Option+ war ich von ausgegangen das dies für den lokalen Zugriff vor Ort gedacht ist.
 
McRonny schrieb:
Das wäre eine dezentrale Lösung!?! Das kollidiert sicher mit unseren IT Bereich und den Kritis-Anforderungen.
Zum Vergrößern anklicken....
Wenn eure IT Abteilung besondere Anforderungen hat, dann frag doch euere IT Abteilung. Die sollten sich auskennen.
Für den Fernzugriff auf HMI Panels eignet sich praktisch jede VPN Lösung.
 
Ich will meine vorige Aussage moderien,
Wenn man über Smartservice auf ein Panel einloggt, dann hat man 'nur' Zugang zu den Bedienung von den Bildschirm. Versucht mein ein Bildelement zu bedienen wird man dann gefordert um einzuloggen wenn das HMI Programm dafür programmiert ist, und zwar mit die Benutzerverwaltung von das HMI Programm.
Es bedeutet: Die Passwörter für Smartservice/VNC sind eigentlich nur den erste Stufe, und nicht so wichtig.
Zweitens, mit SIMATIC LOGON hat man eine zentrale Verwaltung von die Benutzerverwaltung, und meines Wissens geht dies auch mit ältere Panele wie MP370 und MP377.
Und, in die Beschreibung von UMC scheint es dass UMC mit SIMATIC LOGON arbeiten kann.
Die Passwörter für Smartservice sind meines Wissens nicht von SIMATIC LOGON oder UMC umfasst.
Ich wurde Siemens fragen ob man eine Lösung mit SIMATIC LOGON und UMC machen kann.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
JesperMP schrieb:
Ich will meine vorige Aussage moderien,
Wenn man über Smartservice auf ein Panel einloggt, dann hat man 'nur' Zugang zu den Bedienung von den Bildschirm. Versucht mein ein Bildelement zu bedienen wird man dann gefordert um einzuloggen wenn das HMI Programm dafür programmiert ist, und zwar mit die Benutzerverwaltung von das HMI Programm.
Es bedeutet: Die Passwörter für Smartservice/VNC sind eigentlich nur den erste Stufe, und nicht so wichtig.
Zum Vergrößern anklicken....
Kann ich zu 100% bestätigen. Erst Login Smartservice. Diese Passwörter sind nur von Hand in den System-Einstellungen vorzunehmen. Danach muss man sich in die Bedienoberfläche von WinCC einloggen. Jeder der die IP Adresse und die Passwörter hat, kann sich ein Loggen unser System protokolliert über die Meldungen das ein geloggt wurde, über welche Rechte er verfügt, Admin, User ect. , es nach zu verfolgen was die eingeloggte Person gemacht hat. Aber es ist nicht erkennbar welche Person hinter den Einloggen steht. Deshalb ein Sprungserver.
JesperMP schrieb:
Zweitens, mit SIMATIC LOGON hat man eine zentrale Verwaltung von die Benutzerverwaltung, und meines Wissens geht dies auch mit ältere Panele wie MP370 und MP377.
Und, in die Beschreibung von UMC scheint es dass UMC mit SIMATIC LOGON arbeiten kann.
Die Passwörter für Smartservice sind meines Wissens nicht von SIMATIC LOGON oder UMC umfasst.
Ich wurde Siemens fragen ob man eine Lösung mit SIMATIC LOGON und UMC machen kann.
Zum Vergrößern anklicken....
Es gibt ein Passwortserver von Siemens der die WinCC Passwörter z.B. neu einspielen kann. Das MP370 kann das wohl nicht. MP377 ja. Dieser Schritt wäre wohl nach dem Sprungserver der nächste logische Schritt. Der Smartservice läßt sich damit nicht ändern.

Wir werden sicher Siemens dazu noch kontakten, aber mir geht es erstmal darum welche Richtung dazu richtig ist. Aber Danke für dein Input.
 
McRonny schrieb:
Sorry für das Zuviel an Information, hätte ja sein können das jemand sich mit dem Thema aus dieser Richtung befasst hat.
Zum Vergrößern anklicken....
weniger war meine Bemerkung in Richtung des Zu-viel als des zu-WENIG....
wenn man Ideen hat, sind die oft erstmal auf "Standard"-Sicherheit ausgelegt.
wenn Du aber von KRITIS-Anforderungen sprichst, dann müssen die Gedankenspiele natürlich einen deutlichen Schritt weiter gehen in Richtung Sicherheit.

McRonny schrieb:
Jeder der die IP Adresse und die Passwörter hat, kann sich ein Loggen unser System protokolliert über die Meldungen das ein geloggt wurde, über welche Rechte er verfügt, Admin, User ect. , es nach zu verfolgen was die eingeloggte Person gemacht hat. Aber es ist nicht erkennbar welche Person hinter den Einloggen steht.
Zum Vergrößern anklicken....

Du willst also mit dem Satz ausdrücken, daß Du alle Informationen über den Benutzer hast, inklusive dem, was er macht, außer dem Benutzernamen?
Wenn dem so sein sollte, was ich fast nicht glauben kann, könnte man das doch über die Runtime lösen? Benutzer auslesen und in Variable speichern, was man wiederum protokollieren kann. Oder sehe ich das jetzt falsch? Wenn das Euer einziges Problem ist...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
PN/DP schrieb:
Wenn eure IT Abteilung besondere Anforderungen hat, dann frag doch euere IT Abteilung. Die sollten sich auskennen.
Für den Fernzugriff auf HMI Panels eignet sich praktisch jede VPN Lösung.
Zum Vergrößern anklicken....
Unsere IT Abteilung ist kein Spezialist für Automatisierungstechnik. Die kennen Netzwerke, PC Server usw. Wenn ich die nach Siemens Comfort Panel oder SmartServer frage werde ich dort keine Antwort bekommen.

Wir befinden uns innerhalb einen riesigen Netzwerken von dem unsere HMI's ein Bestandteil sind. Die IT Abteilung wird dafür sorgen das die HMI's nicht mehr über das Intranet erreichbar sind sondern über einen Sprungserver. Das ist auch nicht mein Job die HMI's abzukoppeln und den Datenverkehr umzuleiten.

Mir geht es nur um die geeignete Software um die Siemens VNC mit Userverwaltung anzubinden. Vielleicht habe ich mich im ersten Post nicht so klar ausgedrückt. Es geht nicht darum die Anlagen mit TIA, Step7 oder WinCC aus der Ferne zuwarten.
 
Zuletzt bearbeitet:
McRonny schrieb:
Mir geht es nur um die geeignete Software um die Siemens VNC mit Userverwaltung anzubinden. Vielleicht habe ich mich im ersten Post nicht so klar ausgedrückt. Es geht nicht darum sie Anlagen mit TIA, Step7 oder WinCC aus der Ferne zuwarten.
Zum Vergrößern anklicken....
Wie schon hier erwähnt wurde, wird es sicherlich nicht möglich sein, die VNC-Benutzer (wovon es ja prinzipiell nur 2 gibt: Viewer und User) in die Benutzerverwaltung zu bekommen.
Das VNC-Paßwort ist nur ein grober Zugriffsschutz.
Die eigentliche Sicherheit muß auf dem Panel/demHMI stattfinden.
Und dazu wurden Dir schon einige Lösungsansätze angeboten.

Wenn Du darüber eine Sicherheitsebene legen willst, wurde ja schon angesprochen, einen PC/Server zu nehmen, auf dem die einzelnen VNC-Zugriffe hinterlegt sind. Auf diesem PC kannst Du dann jeden einzelnen Benutzer nochmals anlegen und dort protokollieren, wer sich wann eingeloggt hat. Ob Du dort dann allerdings protokollieren kannst, wer welche VNC-Verbindung aufgerufen hat, mag ich bezweifeln.
 
JSEngineering schrieb:
Du willst also mit dem Satz ausdrücken, daß Du alle Informationen über den Benutzer hast, inklusive dem, was er macht, außer dem Benutzernamen?
Wenn dem so sein sollte, was ich fast nicht glauben kann, könnte man das doch über die Runtime lösen? Benutzer auslesen und in Variable speichern, was man wiederum protokollieren kann. Oder sehe ich das jetzt falsch? Wenn das Euer einziges Problem ist...
Zum Vergrößern anklicken....

Der Kreis der Mitarbeite die auf die Anlagen zugreifen ist sehr groß, die Anzahl der Anlagen ist sehr groß. Die Benutzerverwaltung von WinCC gegelt wer was auf der Anlage darf. Einige können mit ihren Passwort Steuern und Bilder ansehen, andere können nicht steuern und nur bestimmte Bilder ansehen.
Wir können in dieses System nicht einzelne User pflegen. Die Verwaltung würde einfach nicht funktionieren und uns überfordern. Deshalb, so der Gedanke, soll eben bereits ein Sprungserver vorher entscheiden, wer über über das Netzwerk an die Anlage darf.

Die ist sicher erst der erste Schritt in einem zukünftigen Sicherheitskonzept. Es geht aber eben nur Schritt für Schritt.

Es kommen jedes Jahr neue HMI's dazu, alte Systeme mit IFix oder Wonderware werden ebenfalls mit neuer Hmi Hardware in System angebunden. Wären es nur eine Handvoll Analgen würde ich mir gar noch so ein Kopf machen.
Dann würde ich mit einen Fernwartungsrouter mal einfach was auf die Beine stellen. Mit einen Ewon haben wir mal vor 12 Jahren experimentiert um eine alternative Zentrale Visualisierungen aufzubauen.
 
Zuletzt bearbeitet:
Ich habe das Gefühl, Du vermischst einige Aufgaben miteinander, die nichts miteinander zu tun haben. Außer, daß man dafür jeweils Passwörter braucht.

Der Sprungserver hat nichts damit zu tun, was der Mitarbeiter am HMI machen darf. Der regelt nur, wer aus einem anderen Netzwerk (z.B. Internet oder anderem Betriebsteil) überhaupt zu dem Netzwerk hinter dem Sprungserver durchkommt. Dafür gibt es eine Netzwerkbenutzer-Verwaltung, die durch die IT Abteilung gepflegt wird. Die generelle Fernsteuer-Möglichkeit per VNC kann am HMI nicht benutzerabhängig projektiert werden. Das wird daher ebenfalls über die Netzwerkbenutzer-Verwaltung geregelt, welcher Benutzer überhaupt per VNC auf welche HMI-Geräte zugreifen darf.

Die IT Abteilung möchte aber normalerweise nicht belästigt werden, wenn ein Mitarbeiter nun auch Maschinen-Einstellwerte ändern können soll oder ein anderer Mitarbeiter nur noch Protokolle herunterladen können soll. Was MA an den Anlagen dürfen, fällt in die Zuständigkeit der Abteilung und wird in der Benutzerverwaltung des HMI eingestellt. Dafür gibt es eine eigene Benutzerverwaltung für das HMI mit eigenen Benutzern und Passwörtern. Das könnte auch eine zentralisierte Lösung wie SIMATIC LOGON (oder UMC ?) sein, wenn viele MA an vielen HMI mit dem selben Benutzername+Passwort sich anmelden können sollen. Diese Benutzerverwaltung wird auch herangezogen, wenn der MA direkt vor dem HMI steht und direkt das HMI bedient - er also gar nicht über das Netzwerk und evtl. den Sprungserver kommt.

Eine zentrale Benutzerverwaltung "für alles" ist nicht praktikabel. Man regelt ja auch nicht über den Wohnungsschlüssel, wer zu welcher Zeit den Fernseher einschalten darf.

Ein weiterer Aspekt von Fernsteuerung: darf der jeweilige Anlagenteil überhaupt von einem ganz anderen Ort aus bedient werden, von wo aus man keinen Sichtkontakt zur Anlage hat? Oder dürfen nur einige wenige Funktionen (z.B. Protokolle herunterladen) von fern gemacht werden, die Anlage bedienen aber nicht?
 
JesperMP schrieb:
Dann gebe ich auf.
Es gibt ja Methoden für den zentralen Benutzerverwaltung. Dies ist aber ganz bassiert auf einzelne User. Wenn man Benutzer und Passwörter teilen, dann ist es sowiso nutzlos.
Zum Vergrößern anklicken....
Erstmal trotzdem Danke, für den Einsatz (y)
Ein Umstellung auf der Benuterverwaltung auf dem HMI ist sicher Sinnvoll und läßt sich vielleicht mit Hilfe des Sprungservers realisieren.
So nehme ich die Anregung mit darüber nach zudenken und es meinen Vorgesetzen als Vorschlag zu unterbreiten.
 

Similar threads

T
Sonstiges Simatic: Universelle Fernwartung - Siemens und andere Anbieter
Antworten
7
Aufrufe
10K
Wincctia
W
Zurück
Oben