# IT und OT Trennung…



## Nitro-Haiza (1 Oktober 2022)

Hallo zusammen,

Ich habe mal eine Frage zu einem wichtigen Thema. Wir haben bei uns in der Firma MES schon länger und rollen es weiter aus.

Wie geht ihr mit Maschinen um die Windows 7 und älter haben? Gibt  es da eine gute Lösung?

Ich dachte an einen RevPi mit 2 Netzwerkschnittstellen. Weiß aber nicht wie man die von einander trennen kann.

Vllt gibt es da von euch Ansätze?!

Vielen Dank.

Mit freundlichen Grüßen Phil…


----------



## DeltaMikeAir (1 Oktober 2022)

Was ist genau die Frage ( oder das Problem )?


----------



## Oberchefe (1 Oktober 2022)

Meine Glaskugel sagt mir, dass sich der Threadersteller Gedanken macht, wie er das Sicherheitsrisiko bedingt durch die Windows 7 Geräte im Netzwerk minimieren kann.


----------



## Oberchefe (1 Oktober 2022)

Falls es um unsicheres Samba geht kann ich einen Artikel in der C't empfehlen:








						Brückenbau
					

Manches Gerät, zum Beispiel ein Scanner, kann Dateien im Netz abladen und benutzt dafür das SMB-Protokoll. Wenn es ungünstig läuft, versteht es sich nur auf das wegen vieler Sicherheitslücken verpönte SMBv1. Wer auf das Gerät nicht verzichten will, muss entweder das unsichere SMBv1 in seinem...




					www.heise.de


----------



## Holzmichl (2 Oktober 2022)

Ich nutze für die Problemstellung eigentlich immer einen NAT-Router mit Whitelist als Einstellung.
Also prinzipiell alles gesperrt, nur für einzelne Routen von IP-A zu IP-B (oder theoretisch auch MAC-basiert, wobei das für die Instandhaltung wieder negativ ist) werden einzelne Ports freigegeben.


----------



## Blockmove (2 Oktober 2022)

Du brauchst das Rad nicht 2 mal erfinden.
Stichwort ist Hardwarefirewall. Gibt es von zig Herstellern.
Ein paar Beispiele
Siemens hat da die Scalance S Reihe
https://new.siemens.com/de/de/produ...l-ethernet/netzwerksicherheit/scalance-s.html
Als recht einfache Lösung gibt es Helmholz die wall-ie
https://www.helmholz.de/de/produkte/industrial-ethernet/nat-gateway-firewall/wall-ie
oder auch von mb connect line
https://mbconnectline.com/de/mbnetfix/

Wenn ihr ein MES habt, dann habt ihr wahrscheinlich auch eine IT-Abteilung, die das Firmen-Netzwerk managed und betreut.
Die sollten erstmal mit ins Boot.
Je nach verbauten Netzwerkkomponenten, kann es durchaus schon sein, dass die Funktionalität schon vorhanden ist und nur konfiguriert werden muss.

Gruß
Blockmove


----------



## Nitro-Haiza (2 Oktober 2022)

Hallo zusammen,

Erstmal vielen Dank für eure zahlreichen Antworten. Ja es geht um die „gefährlichen“ Windows 7 Computer!

Unsere IT möchte keinen Rechner im Netzwerk haben und bietet leider keine Ideen an. Sie scheinen überlastet zu sein.

Ein Vorschlag bei einer Beckhoff Steuerung war:
- Profinet Koppler
- PN/PN Koppler
- S7-1200 als Datensammler

Fand ich nicht unbedingt schön.

Was meint ihr?


----------



## DeltaMikeAir (2 Oktober 2022)

Was läuft denn auf diesen Rechnern für Software? Wäre ein W10 Update eine Option?
Warum ist euer Firmennetz angebunden? Welche Daten werden da abgeholt?

Die IT möchte also, dass die Anlage komplett aus dem IT Netz getrennt wird und es nur ein sicheres "Gateway" gibt? Sehe ich das richtig?
Wenn ja, wieviele Daten werden in das IT Netz übergeben und an was ( Applikation, SAP, WinCC.... )?


----------



## Blockmove (2 Oktober 2022)

Nitro-Haiza schrieb:


> Was meint ihr?


Ich meine, dass eure IT keine Ahnung hat  

Hardware-Firewall rein und die Ports für MES und ggf. Programmierung freigeben.
Am besten als transparente bzw. Stealth-Firewall. Diese Firewalls arbeiten auf Layer 2 und es ändert sich nichts an irgendwelchen IP-Adressen.


----------



## ducati (2 Oktober 2022)

Nitro-Haiza schrieb:


> Hallo zusammen,
> 
> Erstmal vielen Dank für eure zahlreichen Antworten. Ja es geht um die „gefährlichen“ Windows 7 Computer!
> 
> ...


Was bitte sollen die 3 Vorschläge bringen, um einen Win7 PC sicher ins Firmennetz zu bringen?



Blockmove schrieb:


> Ich meine, dass eure IT keine Ahnung hat


Jo...


----------



## Nitro-Haiza (2 Oktober 2022)

ducati schrieb:


> Was bitte sollen die 3 Vorschläge bringen, um einen Win7 PC sicher ins Firmennetz zu bringen…


Hallo Ducati,

das war eine Lösung im Daten aus der Windows Steuerung zu bekommen. So kann nichts in Richtung Windows kommen.



Blockmove schrieb:


> Ich meine, dass eure IT keine Ahnung hat…



Danke Blockmove. Das Weiss ich leider auch schon 😓…


----------



## DeltaMikeAir (2 Oktober 2022)

Nitro-Haiza schrieb:


> das war eine Lösung im Daten aus der Windows Steuerung zu bekommen.


Was für eine Windows Steuerung?


----------



## Nitro-Haiza (2 Oktober 2022)

Beckhoff Steuerung mit Windows 7.


----------



## DeltaMikeAir (2 Oktober 2022)

Ok, jetzt habe ich es verstanden. Und dieser Rechner ist mit einem Firmennetz verbunden. Welche Daten in welcher Form tauschen die aus?


----------



## Nitro-Haiza (2 Oktober 2022)

Die Steuerung hängt noch nicht im Netz! Wir wollen Maschinendaten von der Maschine erfassen. Produktion, Stückzähler usw. Dafür benötigen wir eine „sicher“ Schnittstelle. Die IT sagt stumpf keine Windows Systeme im Firmennetz kleiner Windows 10. Kann keiner Supporten usw.


----------



## ducati (2 Oktober 2022)

Nitro-Haiza schrieb:


> das war eine Lösung im Daten aus der Windows Steuerung zu bekommen. So kann nichts in Richtung Windows kommen.


und Euer MES spricht Profinet-IO? Also ist PNIO-Controller?


----------



## DeltaMikeAir (2 Oktober 2022)

Nitro-Haiza schrieb:


> Die Steuerung hängt noch nicht im Netz


Jetzt kommen wir der Sache immer näher...



Nitro-Haiza schrieb:


> Wir wollen Maschinendaten von der Maschine erfassen.


Wer bzw. was ist wir? Ein SAP, WinCC, eigene Applikation.....?


----------



## ducati (2 Oktober 2022)

Nitro-Haiza schrieb:


> Die Steuerung hängt noch nicht im Netz! Wir wollen Maschinendaten von der Maschine erfassen. Produktion, Stückzähler usw. Dafür benötigen wir eine „sicher“ Schnittstelle. Die IT sagt stumpf keine Windows Systeme im Firmennetz kleiner Windows 10. Kann keiner Supporten usw.


Naja, dann prüft erstmal, welche Schnittstellen und Protokolle Eure Maschine liefern könnte, und welche Schnittstellen und Protokolle Euer MES kann. Dann kannst Du entscheiden, ob ein Gateway notwendig ist oder ein Router mit explizieter Portfreigabe...


----------



## DeltaMikeAir (2 Oktober 2022)

ducati schrieb:


> Naja, dann prüft erstmal, welche Schnittstellen und Protokolle Eure Maschine liefern könnte, und welche Schnittstellen und Protokolle Euer MES kann. Dann kannst Du entscheiden, ob ein Gateway notwendig ist oder ein Router mit explizieter Portfreigabe...


Ok, ein MES möchte Zugriff, das habe ich überlesen. Dieter ( @Blockmove  ) hat schon geeignete Geräte/Möglichkeiten genannt.


----------



## Nitro-Haiza (2 Oktober 2022)

ducati schrieb:


> und Euer MES spricht Profinet-IO? Also ist PNIO-Controller?


Wir haben die Lösung vorgeschlagen bekommen. Um an Daten zu kommen würden wir eine S7 1200 einsetzen um diese dann an einen OPC und Nodered weiterzuleiten.

Ich finde die Lösung sehr komplex, wenn es nicht anders geht dann ist das so aber vllt gibt es auch eine schönere ☺️…


----------



## DeltaMikeAir (2 Oktober 2022)

Nitro-Haiza schrieb:


> Wir haben die Lösung vorgeschlagen bekommen. Um an Daten zu kommen würden wir eine S7 1200 einsetzen um diese dann an einen OPC und Nodered weiterzuleiten.


Du kannst dir ja folgendes Gerät mal anschauen, evtl wäre das etwas für dich:
Siemens IOT2050

Ich habe keine Erfahrung mit dem Teil, vielleicht passt es ja für dich. Lieferbar und preislich attraktiv ist es auch.

PS:
Ob die Daten von einer Beckhoff SoftSPS lesen kann, das müsstest du recherchieren.


----------



## Thomas_v2.1 (2 Oktober 2022)

Ob man dadurch an Sicherheit gewinnt, zusätzliche Geräte dazwischenzusetzen, die garantiert schlechter gewartet werden als ein Windows Rechner?

Ich hatte schon den Fall, dass in einem Betrieb anstelle eines PCs mit WinCC Runtime auf jeden Fall ein Siemens Panel verbaut werden musste. Denn dann zählt das für die IT unter OT und denen ist dann egal was damit passiert. Dass da trotzdem ein ganz normales Windows drauf läuft, egal. Und ein Linux-Kästchen was nicht auf aktuellem Stand gehalten wird, ist nicht viel besser.


----------



## DeltaMikeAir (2 Oktober 2022)

Was für eine TwinCat Version läuft denn auf dem PC? Wäre ein W10 Upgrade eine Option bzw. was spricht momentan dagegen?


----------



## Blockmove (2 Oktober 2022)

DeltaMikeAir schrieb:


> Was für eine TwinCat Version läuft denn auf dem PC? Wäre ein W10 Upgrade eine Option bzw. was spricht momentan dagegen?


Sobald auch nur irgendein PC-Betriebssystem drauf ist, hast du die IT an der Backe.
Daher am besten ein Zonierungskonzept mit Firewalls zwischen den Netzen.


----------



## ducati (2 Oktober 2022)

Nitro-Haiza schrieb:


> Wir haben die Lösung vorgeschlagen bekommen. Um an Daten zu kommen würden wir eine S7 1200 einsetzen um diese dann an einen OPC und Nodered weiterzuleiten.
> 
> Ich finde die Lösung sehr komplex, wenn es nicht anders geht dann ist das so aber vllt gibt es auch eine schönere ☺️…


Wenn die S7-1200 zwei getrennte Netzwerkanschlüsse hat, spricht per se ja nichts dagegen, eine S7-1200 als Gateway einzusetzen. Also ich finde die Lösung persönlich schöner, als irgend ein Noname Gateway, mit dem sich garniemand auskennt... Und was nach 3 Jahren nicht mehr supportet wird...


----------



## 312C (2 Oktober 2022)

ducati schrieb:


> Wenn die S7-1200 zwei getrennte Netzwerkanschlüsse hat, spricht per se ja nichts dagegen, eine S7-1200 als Gateway einzusetzen. Also ich finde die Lösung persönlich schöner, als irgend ein Noname Gateway, mit dem sich garniemand auskennt... Und was nach 3 Jahren nicht mehr supportet wird...


Leider gibt es keine S7-1200, die integriert zwei Netzwerkschnittstellen hat. Selbst die "große" 1217 hat nur zwei geswitchte Ports. Mit einem CP natürlich denkbar.


----------



## ducati (2 Oktober 2022)

oder halt ne 1510SP + CP154xSP ...


----------



## malloc (3 Oktober 2022)

Könntet ihr euch von eurer göttlichen IT eine kleine Windows-Kiste mit zwei separaten Netzwerkschnittstellen zur Verfügung stellen lassen? Dann könnte die eine Karte ins Firmennetz und die andere wird direkt mit der Beckhoff-SPS verbunden. Dann könnte auf dem Rechner nämlich eine Komponente laufen, die per ADS die benötigten Daten von der Steuerung holt und für Datensammler, MES, SCADA, etc... bereitstellt/wegschickt.


----------



## Nitro-Haiza (4 Oktober 2022)

Hallo zusammen,

erstmal vielen Dank für eure Nachrichten und Anregungen. 

Was ich schonmal sagen kann, ich würde nichts an neuen Windows Systemen dranhängen. Wer Supportet usw. Es ist anscheindend echt kein einfaches unterfangen. Die Lösung mit dem PN PN Koppler scheint in der Tat eine sehr angenehme zu sein. Hätte nie gedacht das ich sowas schreiben würde.

Wenn ich natürlich an die Anzahl an Systeme denke dann wird es natürlich auch schon teurer...

Ich denke darüber nach ob es sinn macht eine Netzwerkanbindung komplett ohne Netzwerk? Per Profibus? Was denkt ihr darüber?

Bei allen Systemen mit Firewalls oder so kommt der Boomerang zurück, wer wartet diese usw. Deshalb ein anderer Ansatz?!

Danke.


----------



## PN/DP (4 Oktober 2022)

Nitro-Haiza schrieb:


> Die Lösung mit dem PN PN Koppler scheint in der Tat eine sehr angenehme zu sein.


Dann braucht man auf der MES-Seite einen PN-IO-Controller (wie ducati in #16 schon angesprochen hatte), z.B. als Software - die kostet vermutlich Lizenzkosten. Oder PN/PN-Koppler plus einen Microcontroller oder S7-1200 als TCP/IP-nach-PN-IO-Gateway. Also zwei Geräte zwischen dem MES-Netz und dem SPS-Netz. So ein PN/PN-Koppler kann nur eine begrenzte Menge an Datenpunkten durchleiten, und jeder Datenpunkt muß vor der Verwendung projektiert werden. Da wäre eine ordentlich administrierte Hardware-Firewall am Ende günstiger.



Nitro-Haiza schrieb:


> Ich denke darüber nach ob es sinn macht eine Netzwerkanbindung komplett ohne Netzwerk? Per Profibus?


Das wäre eine noch aufwändigere Lösung, nur damit die IT sagen kann, daß diese Vernetzung nicht ihre Zuständigkeit ist.

Harald


----------



## jensemann (27 Oktober 2022)

Ich würde da einfach einen Beckhoff TC-Rechner als Gateway nehmen (Win10 mit TC3) mit 2 Netzwerkkarten. Der kann dann über ADS oder OPC-UA mit den Beckhoff-Rechnern kommunizieren über EtherCat. Auf der Netzwerkkarte wo EtherCat läuft, werden alle anderen Protokolle deaktiviert.
Die MES-Daten könnt ihr dann vom Gateway weiterschicken wie ihr wollt. Das sollte selbst für eure IT-Abteilung machbar sein.


----------



## Pippen (15 November 2022)

@Nitro-Haiza 
Was spricht dagegen, Deinen Beckhoff Rechner auf Win10 upzudaten? Das wäre doch mit Abstand die einfachste Lösung. Damit wäre die IT doch einverstanden, hast Du gesagt.


----------



## Pippen (15 November 2022)

jensemann schrieb:


> Ich würde da einfach einen Beckhoff TC-Rechner als Gateway nehmen (Win10 mit TC3) mit 2 Netzwerkkarten. Der kann dann über ADS oder OPC-UA mit den Beckhoff-Rechnern kommunizieren über EtherCat. Auf der Netzwerkkarte wo EtherCat läuft, werden alle anderen Protokolle deaktiviert.
> Die MES-Daten könnt ihr dann vom Gateway weiterschicken wie ihr wollt. Das sollte selbst für eure IT-Abteilung machbar sein.


Ich nehme an Du meinst "über Ethernet kommunizieren". Denn OPC-UA und ADS gehen nicht direkt über EtherCAT.


----------

