+49 961-48 23 00

S7-Firewall

S7-Firewall

Absicherung des Produktions- / Automatisierungs-Netzwerks vom Firmenetzwerk

s7firewall-small 
  • Schutz vor Viren Attacken wie Stuxnet
  • Zugriffschutz S7-Datenbereich
  • S7-Programmschutz
  • Alarmierung und Eventlogbuch
 

S7-Firewall-Handbuch und Firmware finden Sie hier zum Download

Wie der Schutz funktioniert

Die Firewall erlaubt klare und einfache Zugriffsregeln für jeden Netzwerkteilnehmer. Die Konfiguration erfolgt über die WEB-Oberfläche des Gerätes. S7-Firewall kann beliebig zwischen SPS- und Bedien-/Programmierebene eingebaut werden. Die Einbaurichtung wird automatisch erkannt. Ferner werden zur Erhöhung der Sicherheit nur konfigurierte Verbindungen zugelassen.
Die Kommunikation zur SPS läuft auf Basis des RFC1006-Telegramms. Diese Verbindung zur SPS wird über Absende-MAC,- IP-Adresse, TCP-IP-Port, sowie der IP-Adresse und SPS-Kanal in der Ziel-SPS identifiziert.
S7-Firewall ist eine skalierbare „SPS-Firewall“, die im Gegensatz zu herkömmlichen Firewall-Systemen nicht nur IP-,MAC-Adressen und Port filtert. Der Lese- und Schreibzugriff auf die SPS-Daten wird über die quasi Echtzeitprüfung der Protokollinhalte kontrolliert.
Die Teilnehmer im Netzwerk werden in SPS-Station und PG/OP(SCADA)-Stationen eingeteilt. MAC-, IP-Adresse und Verbindungskanal identifizieren die Station.

S7-Firewall-Blockschaltbild

Die Verbindungen werden aus der Kombination HMI/PG-Station und SPS-Station gebildet. Jede HMI/SPS-Station kann mehreren HMI/PG-Stationen zugeordnet werden.

Schutz vor Virenangriffe auf das Steuerungssystem

Für Verbindungen mit PG-Funktionalität kann bestimmt werden, welche Services erlaubt sind. So kann z.B. nur ein „Read“-Modus aktiviert werden. Damit kann zwar Diagnose an der SPS  durchgeführt werden.  Programm und Daten der SPS bleiben dabei schreibgeschützt. Ferner kann festgelegt werden, welche Bausteine (Art und Nummer) überhaupt in der Ziel-SPS existieren dürfen.
Ein Übertragen von Schadsoftware wie z.B. Stuxnet, wird dadurch erschwert. Stuxnet & Co. zielen darauf ab, das SPS-Programm zu verändern, um dort schadhaften Code einzuschleusen. Näheres über Stuxnet finden Sie unter   http://de.wikipedia.org/wiki/Stuxnet oder unter   http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection-process.
Verbindungtypen ohne PG-Funktion dürfen nur auf die freigegebenen Datenbereiche der SPS lesen/schreiben. Jeder einzelnen Verbindungen  wird ein „Regelscript“ zugeordnet.

Beispiel einer Konfiguration
HMI/PG-Stationen:
s7-firewall-hmipg-station

SPS-Stationen:
s7-rirewall-stations

Die Verbindungen - Kombinantion aus HMI/PG-Station und SPS-Station
In der Konfguration wird festgelegt, ob die HMI/PG-Station überhaupt Programmierfunktionen ausführen darf.
s7-firewall-connections

Einfache Scriptsprache regelt den Datenzugriff

Der Zugriff auf die Prozessdaten (DB, Merker etc. ) wird über die eine einfache Scriptsprache  geregelt. Im Handumdrehen wird der Datenzugriff auf die S7 bis auf das Bit genau kontrolliert
Beispiele:
„r:MB1-MB20“  - erlaube nur Lese des MB1 bis MB20,
„rw:DB123.DBB0 - DBB24“ - erlaube Lesen und Schreiben des DB 123 von Datenbyte 0 bis 24.
In quasi Echtzeit  analysiert die S7-Firewall den Inhalt der Datentelegramme. Unerlaubte Zugriffe werden abgewehrt und in einem Logfile gespeichert. 
Der Datenverkehr wird überwacht, es sind nur die konfigurierten Zugriffe möglich. Das lesen/schreiben von Programmen und Systemdaten wird verhindert. Ohne besondere Konfiguration ist in dieser Betriebsart das SPS-Programm und die Konfiguration bereits gesichert.
s7-firewall-script

In quasi Echtzeit analysiert die S7-Firewall den Inhalt der Datentelegramme. Unerlaubte Zugriffe werden abgewehrt und in einem Logfile gespeichert.

s7-firewall-learnmode

Lernmodus

Mit der Funktion "Lernmodus" lässt sich das Ergebnis der Log-Files in ein Regelscript umgewandelt.
 

Ideal für validierungspflichtige Anlagen

Ist die Firewall komplett parametriert, kann dieser Zustand „eingefroren“ werden. Das Gerät befindet sich dann im „High-Security-Mode“. Änderung der Konfiguration ist nur durch komplettes „Neuladen/Urlöschen“ möglich. Diese Option ist besonders für Anlagen, die einer Validierungspflicht unterliegen, sinnvoll. Dies ist z.B. in der Pharmaindustrie der Fall.

Mit Schlüssel zu sicheren Fernwartung

Ein Feature, welches besonders für eine sichere Fernwartung genutzt wir, ist die Option „Schlüssel“. Mit einem eingebauten Schlüsselschalter können defnierte Verbindungen mit Programmiererlaubnis aktiviert oder deaktiviert werden.

Protokollmeldungen per E-Mail

Ein intelligentes Meldesystem sendet Zugriffsverletzungen und Unregelmäßigkeiten per Email an ausgewählte Empfängert.

Technische Daten
Versorgungsspannung 24V DC +/- 20%
Leistungsaufnahme 6,5 Watt
Anzeige / Bedienung Web-Interface
4 Status-LED's, Taster Werkeinstellung
Schnittstellen 1 x 10/100BaseTX RJ45-Ethernetbuchse WAN-Port
4 x 10/100BaseTX RJ45-Ethernetbuchse SWITCH
alle Ports Auto MDI-X (selbst drehend)
Betriebstemperatur 5 - 55 ºC
Gehäuse pulverbeschichtetes Metallgehäuse
Abmessungen 154 x 92 x 28 mm
Bestellnummer Bezeichnung
9373-S7-Firewall S7-Firewall
OEM-Version (ohne Zubehör)
9373-O-Learn Option für S7-Firewall: Learnmodus
Erzeugt aus Logdatei Regeln für den Gerätezugriff
9391.1 24 V SC Steckernetzteil 625 mA Primär 110V-240VAC Euro+USA-Stecker