# Tool zum Auffinden von SPSen im Netzwerk



## Blockmove (15 Februar 2016)

Hallo Zusammen,

wir hatten heute eine interessante Diskussion über die (nicht vorhandene) Netzwerksicherheit von S7-Steuerungen.
Der zuständige IT-Verantworliche war doch recht überrascht ... Schließlich reden ja alle von Industrie 4.0 
Kennt jemand ein eigenständiges Tool (Portscanner) mit dem man gezielt einen IP-Adressbereich im Netzwerk nach Steuerungen absuchen kann?

Besten Dank!

Gruß
Dieter


----------



## Thomas_v2.1 (15 Februar 2016)

Zählt das nicht mittlerweile unter verbotene Hackertools, so wie ein Siemens-PG?
Gibts aber mittlerweile wie Sand am Meer, diverse Security Appliances können mittlerweile auch SPSen detektieren.

https://github.com/atimorin/scada-tools


----------



## Blockmove (15 Februar 2016)

Tja für die einen ist es ein Hackertool für die anderen ein Penetrationstest Zwei Seiten der selben Medaille.


Kennnst du nicht zufällig ein "normales" Programm? Python gehört nicht gerade zur "Standardausstattung" unserer IT-ler 


Gruß
Dieter


----------



## Thomas_v2.1 (15 Februar 2016)

Blockmove schrieb:


> Kennnst du nicht zufällig ein "normales" Programm? Python gehört nicht gerade zur "Standardausstattung" unserer IT-ler



Ein IT-ler ohne Python im Werkzeugkasten ist aber kein IT-ler ;-)

Um S7-Steuerungen zu finden reicht aber auch schon ein einfacher Portscan z.B. mit nmap auf TCP-Port 102. Für einen erstes Finden von Profinet Teilnehmern ein Test auf UDP-Port 34964. Dann sieht man zumindest ob jemand da ist, aber noch nicht wer.


----------



## HaDi (15 Februar 2016)

Ich nutze für solche Zwecke den SoftPerfect Network Scanner:
http://www.heise.de/download/network-scanner-1113270.html
Klein, kost nix und muss nicht installiert werden.

Grüße von HaDi


----------



## Matze001 (16 Februar 2016)

Den von HaDi nutze ich auch! Super Teil!

Grüße

Marcel

P.S: Natürlich wie immer vorsicht bei der Verwendung im Netztwerk des Kunden - sowas ist meist in irgendeiner Form verboten.


----------



## Blockmove (16 Februar 2016)

Kann der "SoftPerfect Network Scanner" Filter?
Es sollen nur S7 (offener Port 102) angezeigt werden. 

Gruß
Dieter


----------



## HaDi (16 Februar 2016)

Ja, kann er.

Grüße von HaDi


----------



## W_Hafner (29 Februar 2016)

Hmmm... wir haben zu dem Zweck mal einen nmap in unseren RSGW Gateways verbaut. Zusammen mit einer Web-GUI ist das sehr gut zu bedienen. Mit den passenden NSE Skripten kann der nmap auch SCADA Komponenten erkennen: https://github.com/drainware/nmap-scada

Ein Kunde wollte nach Inbetriebnahme seiner Anlagen sicher gehen, dass nur seine Komponenten verbaut sind und nichts anderes in seiner Anlage aktiv ist...

-Walter Hafner


----------



## Fabpicard (29 Februar 2016)

Na das funktioniert aber auch nicht immer wirklich zuverlässig 
Je nach Netzwerkinfrastruktur muss man da zusätzlich aufpassen und sollte solche Späße gerade bei großen/größeren Unternehmen sogar ganz lassen...
Ich hab für unsere PLCs einen Großteil eines Class-B Netzes /16  (Nach Abzug von bischen "Hühnerfutter" bleiben da noch gut 35.000 IPs)
Da ich selbst in einem Class-C /24 "fest hänge" findet der nmap entweder nur die freigegebenen Maschinen. Oder wenn ich wirklich alle 65k-IPs nmappen würde, sperrt mich nach 15 Sekunden die Firewall komplett aus und trennt die Kiste vom Netzwerkswitch 

Aber solch eine Konstellation wünsch ich keinem, den Ärger den ich seit Monaten mit hab, das man alle CPUs und HMI auch anständig erreichen kann... :sb5:

MfG Fabsi


----------



## W_Hafner (1 März 2016)

Fabpicard schrieb:


> Ich hab für unsere PLCs einen Großteil eines Class-B Netzes /16  (Nach Abzug von bischen "Hühnerfutter" bleiben da noch gut 35.000 IPs)
> Da ich selbst in einem Class-C /24 "fest hänge" findet der nmap entweder nur die freigegebenen Maschinen. Oder wenn ich wirklich alle 65k-IPs nmappen würde, sperrt mich nach 15 Sekunden die Firewall komplett aus und trennt die Kiste vom Netzwerkswitch


Naja, das ist klar. Aber wenn ich jemandem eine geladene Pistole in die Hand drücke, kann er sich damit auch in den Fuß schiessen. Als Hersteller kann ich nur Warnungen einblenden und ins Handbuch entsprechende Hinweise schreiben. Einen Waffenschein verlange ich nicht...

Für wirkliche High-Performance Scans ist der nmap auch nicht geeignet. Wenn es nur um eine Erreichbarkeitsprüfung geht, ist z.B. zmap super (https://zmap.io/). In einem Gbit Netz scannt der ein /16 in ein paar Minuten 


> Aber solch eine Konstellation wünsch ich keinem, den Ärger den ich seit Monaten mit hab, das man alle CPUs und HMI auch anständig erreichen kann... :sb5:


Ich kann da nur etwas zur Fernwartung sagen. Vor Ort sollte schon alles erreichbar sein, das ist ja Grundvoraussetzung. Wir haben z.B. die Erfahrung gemacht, dass oft keine Rückrouten für Fernwarter in die Anlagennetze eingetragen werden können. Deshalb machen wir (optional) Masquerading in unseren Gateways auf der Anlagenseite und (optional) 1:1 NAT für ganze Netze auf Fernwarter-Seite, falls da Netze doppelt vergeben worden sind. Mit beidem zusammen erreicht man eigentlich jede Anlage, egal wie die Topologie vor Ort aussieht. Nur wie gesagt: Die Vor-Ort Erreichbarkeit Gateway <-> Anlage ist Voraussetzung.

-Walter Hafner


----------



## DeltaMikeAir (11 März 2016)

Guten Tag,

ich nutze das frei Primary Setup Tool von Siemens um Steuerungen bzw. alle Profinetteilnehmer in einem
Netz zu finden. Es findet auch Steuerungen, welche nicht im gleichen IP Kreis wie der PC ist, auf dem
das PST Tool läuft.

Hier ist der Link:
https://support.industry.siemens.co...odukten-als-download-verfügbar?dti=0&lc=de-WW

Mit Grüßen


----------

