Traeger Industry Components GmbH
Am Steigacker 26
D- 92694 Etzenricht
Phone +49 961 48 23 0 0
Fax +49 961 48 23 0 20

  • Schrift vergrößern
  • Standard-Schriftgröße
  • Schriftgröße verkleinern

S7-Firewall

Absicherung des Produktions- / Automatisierungs-Netzwerks vom Firmenetzwerk

s7-firewall-small

  • Schutz vor Viren Attacken wie Stuxnet
  • Zugriffschutz S7-Datenbereich
  • S7-Programmschutz
  • Alarmierung und Eventlogbuch

    • Wie der Schutz funktioniert

    Die S7-Firewall wird zwischen Automatisierungsnetzwerk (SPS) und SCADA/Programmierebene platziert. Die Konfiguration erfolgt grundsätzlich per WEB-Interface.
    Für Stationen im SCADA-Netzwerk kann (abhängig von IP-Adresse / MAC) der Zugriff auf die jeweilige SPS-Station eingeschränkt bzw. skaliert werden. 
In der S7-Firewall gibt es für jede angeschlossene Anlage verschiedene Betriebsarten. Diese werden per WEB-Oberfläche mit gesichertem Zugang eingestellt. So ist es z.B. möglich, im Netz nur bestimmte Anlagen zum Service/Programmieren freizugeben. Optional kann über Schlüsselschalter die Freigabe erteilt werden.

    Prozessbetrieb

    Der Datenverkehr wird überwacht, es sind nur die konfigurierten Zugriffe möglich. Das lesen/schreiben von Programmen und Systemdaten wird verhindert. Ohne besondere Konfiguration ist in dieser Betriebsart das SPS-Programm und die Konfiguration bereits gesichert.

    Servicebetrieb


    Der Datenverkehr wird überwacht, es sind die konfigurierten Zugriffe möglich. Zusätzlich erhalten Stationen, welche die Eigenschaft „Service“ besitzen die Möglichkeit, das Programm zu verändern, zu testen (Status...). Das Anlegen und Umbenennen von neuen Bausteinen bleibt jedoch verboten.

    Programmierbetrieb

    Einschränkungen wie „Servicebetrieb“ zusätzlich erhalten Stationen mit der Eigenschaft „Programmiergerät“ die Erlaubnis das neue Bausteine zu erzeugen, SPS Urlöschen, neues Programm übertragen
Mögliche Einschränkungen / Kontrollen der Daten

    Offener Betrieb


    Alle Zugriffe auf die betreffende Station sind erlaubt.

    Die Schutzebenen

    Durch den skalierbaren Schutzbetrieb werden die SPS-Stationen vor unliebsamen Zugriff geschützt.

    Schutz von definierbarer Datenbereichen in der Steuerung

    Sie haben in Ihrer Anlage Maschinen mit komplexen Programm / und Datenstrukturen. Selbst mit einfachen Demo-Programmen, die im Internet zu finden sind. Können beliebige Datenbereiche der SPS verändert werden. Solche Veränderungen können die Funktion er Anlage komplett zum erliegen bringen oder gar erheblichen Schaden verursachen.
Dies gilt es zu verhindern. S7-Firewall setzt genau hier den Hebel an. So wird konfiguriert, welche Station (OP/PG/PC/SPS) abhängig von (IP/MAC-Adresse) im Netzwerk welche Datenbereiche verändern darf. Nicht konfigurierte Stationen erhalten keinen Zugriff. Das SPS-Programm kann nicht verändert oder gelesen werden. So haben Sie auch eine Art Diebstahlschutz.

    Schutz vor Virenangriffe auf das Steuerungssystem


    Selbstverständlich kann S7-Firewall den Virenscanner im PG nicht ersetzen, jedoch erhalten Sie einen zusätzlichen Schutz, der das ungehinderte Übergreifen auf die Anlage verhindert.
Spätestens seid auftauchen des „Stuxnet“-Virus sollten Angriffe auf Automatisierungsanlagen nicht mehr als beiläufig hingenommen werden. Näheres über Stuxnet finden Sie unter http://de.wikipedia.org/wiki/Stuxnet oder unter http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection-process.

    Stuxnet & Co. zielen darauf ab, das SPS-Programm zu verändern, um dort schadhaften Code einzuschleusen. Ein versuchtes SCADA-System (z.B. WinCC) kann dies zur Zeit vollkommen ungehindert durchführen. Ja, jeder verseuchte PC, der sich im Automatisierungsnetz befindet, ist im Stande das Virus in die SPS zu verpflanzen. Wie wirkt S7-Firewall entgegen? 
SCADA-Systemen wird der Zugriff auf Programm und Systemdaten grundsätzlich verwehrt. 
Programmiergeräte müssen die S7-Firewall erst mal für die gewünschte SPS in den Service- oder Programmiermodus schalten. 
Im Servicemode können nur Bausteine verändert bzw. übertragen werden, die bereits in der Steuerung vorhanden sind. Auch im Programmiermodus können Einschränkungen getroffen werden. So kann z.B. festgelegt werden, welche Bausteinnummern überhaupt existieren dürfen. Stuxnet z.B. erzeugt eigene FC und DB mit der Nummer > 1000. Mit S7-Firewall können selbst im Programmiermodus Attacken außerhalb dieses Bereichs unmittelbar erkannt werden.

    Protokollmeldungen per E-Mail

    Sie wollen über Zugriffsverletzungen, Bereichsüberschreitungen bei der Kommunikation mit Ihren Steuerungen informiert werden? Kein Problem, in S7-Firewall können Sie festlegen, welche Zugriffsverletzungen protokolliert und per E-Mail versendet werden

    Lernmodus (optional)

    Mit der Option „Lernmodus“ kann dieser für jede Anlage separat oder für alle Anlagen aktiviert werden. 
Im Lernmodus protokolliert S7-Firewall sämtliche Zugriffe auf Anlagen und erstellt sich daraus intelligent automatische Zugriffsregeln für die jeweilige Anlage. Dabei werden Bausteinnummer und Baustein- / Datenbereich berücksichtigt.

    Schlüsselschalter (optional)

    Über Schlüsselschalter kann die Bedienung des WEB-Interfaces, sowie die Aktivierung des Prozessbetriebs geschaltet werden. Das gibt zusätzlichen Schutz und Sicherheit für den Endkunden. Ist der Schalter umgelegt, ist der Zugriff auf das SPS-Programm gesperrt.

     

    Technische Daten
    Versorgungsspannung
    		 24V DC +/- 20%
    Leistungsaufnahme
    		 6,5 Watt
    Anzeige / Bedienung
    		 Web-Interface
    4 Status-LED's, Taster Werkeinstellung
    Schnittstellen
    		 1 x 10/100BaseTX RJ45-Ethernetbuchse WAN-Port
    4 x 10/100BaseTX RJ45-Ethernetbuchse SWITCH
    alle Ports Auto MDI-X (selbst drehend)
    Betriebstemperatur
    		 5 - 55 ºC
    Gehäuse pulverbeschichtetes Metallgehäuse
    Abmessungen
    		 154 x 92 x 28 mm