S7-Firewall

Wie der Schutz funktioniert

Die Firewall erlaubt klare und einfache Zugriffsregeln für jeden Netzwerkteilnehmer. Die Konfiguration erfolgt über die WEB-Oberfläche des Gerätes. S7-Firewall kann beliebig zwischen SPS- und Bedien-/Programmierebene eingebaut werden. Die Einbaurichtung wird automatisch erkannt. Ferner werden zur Erhöhung der Sicherheit nur konfigurierte Verbindungen zugelassen.
Die Kommunikation zur SPS läuft auf Basis des RFC1006-Telegramms. Diese Verbindung zur SPS wird über Absende-MAC,- IP-Adresse, TCP-IP-Port, sowie der IP-Adresse und SPS-Kanal in der Ziel-SPS identifiziert.
S7-Firewall ist eine skalierbare „SPS-Firewall“, die im Gegensatz zu herkömmlichen Firewall-Systemen nicht nur IP-,MAC-Adressen und Port filtert. Der Lese- und Schreibzugriff auf die SPS-Daten wird über die quasi Echtzeitprüfung der Protokollinhalte kontrolliert.
Die Teilnehmer im Netzwerk werden in SPS-Station und PG/OP(SCADA)-Stationen eingeteilt. MAC-, IP-Adresse und Verbindungskanal identifizieren die Station.

Die Verbindungen werden aus der Kombination HMI/PG-Station und SPS-Station gebildet. Jede HMI/SPS-Station kann mehreren HMI/PG-Stationen zugeordnet werden.

Schutz vor Virenangriffe auf das Steuerungssystem

Für Verbindungen mit PG-Funktionalität kann bestimmt werden, welche Services erlaubt sind. So kann z.B. nur ein „Read“-Modus aktiviert werden. Damit kann zwar Diagnose an der SPS  durchgeführt werden.  Programm und Daten der SPS bleiben dabei schreibgeschützt. Ferner kann festgelegt werden, welche Bausteine (Art und Nummer) überhaupt in der Ziel-SPS existieren dürfen.
Ein Übertragen von Schadsoftware wie z.B. Stuxnet, wird dadurch erschwert. Stuxnet & Co. zielen darauf ab, das SPS-Programm zu verändern, um dort schadhaften Code einzuschleusen. Näheres über Stuxnet finden Sie unter http://de.wikipedia.org/wiki/Stuxnet oder unter http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection-process.
Verbindungtypen ohne PG-Funktion dürfen nur auf die freigegebenen Datenbereiche der SPS lesen/schreiben. Jeder einzelnen Verbindungen  wird ein „Regelscript“ zugeordnet.

Beispiel einer Konfiguration
HMI/PG-Stationen:

SPS-Stationen:

Die Verbindungen - Kombinantion aus HMI/PG-Station und SPS-Station
In der Konfguration wird festgelegt, ob die HMI/PG-Station überhaupt Programmierfunktionen ausführen darf.

Einfache Scriptsprache regelt den Datenzugriff

Der Zugriff auf die Prozessdaten (DB, Merker etc. ) wird über die eine einfache Scriptsprache  geregelt. Im Handumdrehen wird der Datenzugriff auf die S7 bis auf das Bit genau kontrolliert
Beispiele:
„r:MB1-MB20“  - erlaube nur Lese des MB1 bis MB20,
„rw:DB123.DBB0 - DBB24“ - erlaube Lesen und Schreiben des DB 123 von Datenbyte 0 bis 24.
In quasi Echtzeit  analysiert die S7-Firewall den Inhalt der Datentelegramme. Unerlaubte Zugriffe werden abgewehrt und in einem Logfile gespeichert. 
Der Datenverkehr wird überwacht, es sind nur die konfigurierten Zugriffe möglich. Das lesen/schreiben von Programmen und Systemdaten wird verhindert. Ohne besondere Konfiguration ist in dieser Betriebsart das SPS-Programm und die Konfiguration bereits gesichert.

In  Echtzeit analysiert die S7-Firewall den Inhalt der Datentelegramme. Unerlaubte Zugriffe werden abgewehrt und in einem Logfile gespeichert.

Lernmodus

Ideal für validierungspflichtige Anlagen

Ist die Firewall komplett parametriert, kann dieser Zustand „eingefroren“ werden. Das Gerät befindet sich dann im „High-Security-Mode“. Änderung der Konfiguration ist nur durch komplettes „Neuladen/Urlöschen“ möglich. Diese Option ist besonders für Anlagen, die einer Validierungspflicht unterliegen, sinnvoll. Dies ist z.B. in der Pharmaindustrie der Fall.