Startseite » Safety »

Daten und Programme liegen offen

Schreib- und Lesezugriffe auf die S7-300/400 kontrollieren
Daten und Programme liegen offen

10. Juni 2015
5 Minuten Lesezeit
Durch ihre hohe Qualität und Verfügbarkeit sowie die hervorragende Zuverlässigkeit hat sich die Simatic-S7 in vielen Bereichen der Industrie zum De-facto-Standard entwickelt. Die S7-300/400er-Serie ist in praktisch jeder Art elektrotechnischer Anlagen im Einsatz: In Fertigungsstraßen und Prüfständen der Automobilindustrie, bei der Steuerung chemischer Prozesse, in Kraftwerken, in Kläranlagen oder Wasserwerken. Zwar werden Neuanlagen zunehmend mit der S7-1200/1500-Serie ausgestattet, die S7-300/400 kommt jedoch auch weiterhin zum Einsatz.

Dipl. Ing. (FH) Alois Träger ist Entwicklungs- und Produktmanager der Traeger Industry Components GmbH

Leider ist meist nicht bekannt, dass Programme und Daten der S7-300/400 offen liegen und praktisch jeder Teilnehmer im Netz der SPS diese lesen oder verändern kann. Die SPS hat eine offene TCP/IP-Schnittstelle. Über den Port 102 läuft das RFC-1006-Protokoll (ISO on TCP), bei dem es sich um eine ungesicherte Verbindung handelt. Im Grunde stellt RFC-1006 ein virtuelles Kabel dar, über das sich Programmiergeräte und Scada-Systeme mit der SPS verbinden. Praktisch jeder S7-OPC-Server verwendet dieses Protokoll. Darüber wird programmiert, diagnostiziert und visualisiert.
Daten und Programme können beliebig manipuliert werden, ohne dass die Steuerung den Zugriff kontrollieren kann. Jeder PC, jedes Gerät, das sich im Netz der S7 befindet, hat freien Zugang. Jeder Netzwerk-Teilnehmer, der dieses Protokoll spricht, darf alle Funktionen in der SPS ausführen. Das reicht vom Programmieren, dem Start und Stopp der Steuerung bis hin zum Lesen und Schreiben der Prozessabbilder, Peripheriezustände und Datenbausteine. Das S7-Protokoll ist zwar nicht offengelegt, es gibt jedoch mittlerweile viele Implementierungen (z. B. IP-S7-Link, oder Prodave), die den Zugriff mit jeder Programmiersprache (C++/C# VB, Java etc.) ermöglichen.
Wie lässt sich die S7 schützen
Dem IT- und Netzwerktechniker reicht es meist aus, den Zugriff auf das SPS-Netz über den Port 102 zu sperren. Für Geräte und Programme, die z. B. Produktionsdaten von der S7 lesen und schreiben müssen, wird dieser Port über die Firewall wieder freigegeben. Genau da aber liegt das Problem. Diese Geräte haben einen Vollzugriff auf das Programm und alle Daten der SPS. Ziel ist es aber, nur bestimmte Datenbereiche der SPS freizugeben, und den Rest gegen Zugriffe zu schützen. Selbst HMI-Geräte oder PCs, die einen gewollten Zugriff auf die Steuerung haben, können durch Fehlkonfiguration Schaden anrichten. Da genügt das Vertauschen von IP-Adressen oder Datenbausteinnummern. Schon landet der Sollwert im Instanz-Datenbereich der SPS und das Programm arbeitet nicht mehr korrekt.
EasyProtect bietet eine Lösung
Da unabhängig von irgendwelcher Schadsoftware immer die Gefahr eines Fehlers besteht, muss der Zugriff auf die SPS kontrolliert werden. Eine Standard-Firewall kann diese Funktion nicht leisten. Eine mögliche Lösung stellt das S7-EasyProtect-Gerät dar, das von Traeger Industry Components entwickelt wurde.
S7-EasyProtect regelt den Zugriff pro SPS-Gruppe, pro angeschlossenem Gerät oder der Gerätegruppe. EasyProtect bietet einen skalierbaren Zugriffsschutz und erlaubt bitgenaue Lese- oder Schreibzugriffe auf einzelne Datenbereiche der SPS.
Es bietet folgende Funktionen:
  • Kontrolle der Programmierung (wer darf das)
  • Diagnose der PLC
  • Lernmodus
  • Schutz pro Gerät/Gerätegruppe (HMI/PC/SPS) parametrierbar
  • High-Securtity-Mode (eingefrorene Konfiguration) für validierungspflichtige Maschinen
  • OpenVPN-Server integriert, Benutzer- gesteuerter Zugriff auf IP-Adressen
  • 6 IP-Adressen/Subnetze konfigurierbar, DHCP, DynDNS, PPPoE
  • 4 Port-Switch/1 x WAN
  • IP-Address-Changer integriert
  • Schlüsselschalter optional
  • Integrierter WEB-Server
So funktioniert das Gerät
S7-EasyProtect wird an beliebiger Stelle zwischen SPS- und Programmier-/Bedienebene eingefügt. Zur Erhöhung der Sicherheit ist es möglich, nur konfigurierte Verbindungen zuzulassen. EasyProtect setzt sich direkt in den RFC1006-Verbindungskanal. Die Zugriffe auf die SPS werden quasi in Echtzeit kontrolliert. Dieses Vorgehen erlaubt eine feine Skalierung des Schutzverhaltens.
Die Verbindungen werden aus der Kombination HMI/PG-Station und SPS-Station gebildet. Jede SPS-Station kann mehreren HMI/PG-Stationen zugeordnet werden. Aus dieser Kombination werden Verbindungskanäle gebildet. Es wird eingestellt, welche Funktionen für die einzelnen Verbindungen erlaubt sind:
  • Programmieren der SPS (Vollzugriff)
  • Diagnose des SPS-Programms (Programm nur lesen)
  • Variablen der SPS nur lesen (PUT)
  • Variablen der SPS lesen und schreiben (PUT/GET)
Der Datenzugriff kann für jede Verbindung im Detail über ein Regelscript parametriert werden.
Scriptsprache regelt den Datenzugriff
Der Zugriff auf die Prozessdaten (DB, Merker etc.) wird über eine einfache Scriptsprache geregelt. Im Handumdrehen wird der Datenzugriff auf die S7 bis auf das Bit genau kontrolliert. S7-EasyProtect analysiert den Inhalt der Datentelegramme, wehrt unerlaubte Zugriffe ab und speichert sie in einem Logfile. So lassen sich mögliche Angriffe oder Fehlzugriffe leicht erkennen. Mit der Funktion Lernmodus lässt sich das Ergebnis des Log-Files einfach in ein Regelscript umwandeln. Das erlaubt eine schnelle Konfiguration des Systems.
Anwendungen wie die SPS-SPS-Verbindung
In der Regel werden größere Automatisierungsanlagen von mehreren Firmen entwickelt und geliefert. Die einzelnen Steuerungen müssen untereinander Prozessdaten austauschen. Ein beliebtes Verfahren ist die PUT/GET-Schnittstelle in der S7. Über diese Verbindung können die SPSen gegenseitig Datenbereiche lesen und scheiben. S7-EasyProtect erlaubt den Zugriff nur auf freigegebene Daten für die Partner-SPS. So können Programm und Prozessdaten vor unberechtigtem Zugriff geschützt werden.
Verbindung über IP-Address-Changer
S7-EasyProtect hat den IP-Address-Changer integriert. Damit ist es möglich, Netzwerkteilnehmer aus unterschiedlichen Subnetzen miteinander zu verbinden, ohne an den Teilnehmern IP-Adresse oder Gateway zu ändern. S7-EasyProtect übernimmt dabei eine Art Proxy-IP-Adresse. Dabei ist keine Konfigurationsänderung der vorhandenen Stationen notwendig. Der Schutzmechanismus von S7-EasyProtect greift für die neue IP-Adresse.
Validierungspflichtige Anlagen
Ist die S7-EasyProtect parametriert, kann dieser Zustand eingefroren werden. Das Gerät befindet sich dann im High-Security- Mode. Die Änderung ist nur durch einen Factory-Reset möglich. Diese Option ist besonders für Anlagen geeignet, die einer Validierungspflicht unterliegen, wie in der Pharmaindustrie. ge
INFO & KONTAKT
Traeger.de
Alois Träger
Söllnerstrasse 9
D-92637 Weiden
Tel: 0961 482300
a.traeger@traeger.de
www.traeger.de
Teilen:
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de