Page 1 of 1

Modbus Sicherheit TCP/IP

Posted: 05 Aug 2017, 12:34
by Ingo
Hallo,

das richtet sich speziell an Mathias.

Ich hätte da eine Wunsch was den Modbus Slave angeht.
Da wir hier die Verbindung über TCP/IP herstellen ist es derzeit möglich das von einer beliebigen IP adresse im Netzwerk auf den Slave zugegriffen werden kann. Daten an den Slave übertragen (unfug treiben) ist somit möglich gewesen. Ist es Schwer eine Sicherheit in den Slave mit zu intigrieren, das man den Slave so Konfigurieren kann das dort die IP adresse einzustellen geht auf die der Slave Reagieren darf/soll. Derzeit ja nur Port eingabe möglich. Alle anderen IP Adressen die versuchen Daten an den Slave zu senden werden nicht berücksichtigt. So würde eine Fremdeinwirkung verhindert werden.

gruß

Re: Modbus Sicherheit TCP/IP

Posted: 06 Aug 2017, 00:10
by volker
Diese Sicherheit wird in der Industrie in der Regel durch ein separates Netz erreicht. Modbus TCP wird in der Regel niemals auf einem Netz ausgeführt, welches andere Teilnehmer als Modbus Slaves und Master hat. Im Übrigen reicht für Deinen Vorschlag nicht die Angabe einer Ip, sondern wenn müsste der Slave eine Liste mit IPs führen, die zugreifen dürfen. Modbus ist ein Multi-Master-fähiges Protokoll. In komplexen Installationen mit Modbus TCP-Netzen werden daher managed Switches eingesetzt, die genau diese von Dir gewünschten Einschränkungen auf Basis der MAC oder IP Adressen ermöglichen: Auch ein IPSEC Filter in Linux ermöglicht solche Einschränkungen für einzelne Ethernetanschlüsse. Grundvoraussetzung ist dabei aber immer die oben genannte physikalische Trennung des Netzwerkanschlusses. Auf einem RevPi nutzen daher viele Kunden WIFI oder Ethernet über USB als 2. Netz für den allgemeinen Zugriff ins LAN/WAN. Der für dieses Jahr noch geplante RevPi comapct wird genauso wie der RevPi Connect über zwei unabhängige Ethernetbuchsen verfügen.

Re: Modbus Sicherheit TCP/IP

Posted: 07 Aug 2017, 08:40
by Ingo
Hallo Volker,

Recht hast du was es Angeht im Industriebereich. Ich bin aber nicht in der Industrie zu hause sondern Privatnutzer von diesem Teil. Und ich glaube nicht das wo ich es einsetzen möchte das dort der Aufwand betrieben wird mit einem 2 ten Netz.
Wie soll das gehen. die meisten haben nur einen Router wo alles drüber läuft und evenztuell noch einen Switch der aber meistens nicht managebar ist. Und wenn dann würde ich mich auch selber aus diesem System aussperren und könnte nicht über ssh oder Putty darauf zugreifen. Ich müsste den Umweg über einen 2ten Rechner machen worauf ich zugreifen kann und dann von dort aus dann auf den PI und das wird so keiner machen wollen, weil es wieder mehr kosten dann sind das die leute nicht ausgeben werden. Oder sehe ich das Falsch. Sie wollen es einfach und Billig. Klar ich könnte es auch so wie es ist einbauen und mich ein schei* darum kümmern was mit der Sicherheit ist. Aber dann steigen sie mir aufs Dach wenn alles verstellt wurde oder noch mehr. Es gibt genug Idi*** die nichts anderes zu tun haben als sowas zu versuchen.
Vieleicht denke ich nun auch etwas Quer was dies angeht.

Für wen habt Ihr die Geräte eigendlich Entwickelt frage ich mich nun. Für die Industrie oder auch für Privatleute? weil dann hätte ich auch ein anderes System zum einsatz bringen können.
Es kann doch nicht so schwer sein für Private Anwender es so einzustellen das man die Sicherheit ohne das man viel Aufwand betreiben muss so herzurichten das es mit wenigen Bordmitteln geht. Ich glaube kaum das Privatleute soviele Modbusnetze nutzen das man eine Ellenlange IP Liste zum eintragen brauch.
Daher auch meine Anfrage ob es auch so Möglich sein könnte und nicht so Kompliziert mit Anderes Netz und Manage baren Switch. Da hast du dann auch recht, ich sperre das Teil völlig aus. Nur kann ich dann nicht von den leuten verlangen wenn es zu Updates kommt das diese einen USB stick mit den Sachen fertig machen und sich dann selber hinsetzen und diese einspielen. Damit macht man sich keine Freunde. Also man muss immernoch über ein Terminal Programm zugriff auf dieses haben.
Ok wenn es nicht geht dann geht es nicht. Es war nur eine Frage von meiner Seite mit der Ip Adresse zum einstellen im Slave.

gruß
Ingo

Re: Modbus Sicherheit TCP/IP

Posted: 07 Aug 2017, 10:33
by volker
Hallo Ingo,
da hast du etwas missverstanden: gerade wenn du ein zweites Netz für Modbus einsetzt, dann wirst du keien Probleme haben, von überall her (auch mit TV oder einem eigenen Tunnel aus dem Internet) auf deinen RevPi Core zuzugreifen. Denn dieses Netz ist dann nicht mit MAC- oder IP-Beschränkungen belegt (wenn du als Privatanwender dieses Scheuentor offen lassen willst - in der Industrie wäre es eher unwahrscheinlich so zu handeln).
Das zweite Netz hat dann nur verbindungen von Deinem RevPi zu deinen Modbus Slaves. An der Verkabelung in Deinem Haus ändert das ja erst einmal gar nichts. Die Modbus--Leitungen müssen nur auf einen 2. Switch (sollte auch für einen Privatmann bezahlbar sein - ca. 20 Euro) den du an die 2. Ethernetschnittstelle anschließt. Wenn Du für die 1. Ethernetschnittstelle nicht mit Wifi arbeiten willst (warum auch immer, wenn du eh die Scheunentür offen lassen willst), dann verwende einfach einen USB auf Ethernetadapter (kostet auch nur ein paar euro). Mit weniger als 50 euro bekommst Du dann 1) ein Netz, welches nicht mit Modbus ausgelastet wird und 2) ein absolut abgeschottetes Modbus als privat network, welches von außen nicht zugängig ist. Wenn Du allerdings um den physikalischen Zugang zu den Buchsen und Switches als Privatmann nicht so abschotten kannst, dass keine fremden Personen sich in dieses private Netz einhacken können, dann hilft dir auch ein IP oder MAC Filter wenig, denn Hacker können beides bequem im LAN mit physikalischem Zugang faken.
Daher noch mal der Vorschlag: Wenn Du diese Sicherheit brauchst, dann schaffe sie Dir mit einem billigen Switch plus einem USB auf Ethernetstick oder warte auf den RevPi Connect bzw. den RevPi compact, die beide eine zweite Ethernetschnittstelle haben.
Zu Deiner Frage nach der Zielgruppe:
Der RevPi ist ein Gerät, welches für den industriellen Einsatz entwickelt wurde. Alle Details sind auf dieses zeil hin konzipiert und realisiert worden. Für den privaten Einsatz ist in 90% der Fälle ein Raspberry Pi in einem Hutschienengehäuse oft ausreichend und deutlich günstiger. Da manche Privatanwender aber industrielle Anforderungen an die Hardware haben (so wie ich verstanden habe ist dies bei Dir der Fall), versuchen wir so weit es geht auch Unterstützung für diese Nutzergruppe zu leisten. Wir hoffen aber auf dein Verständnis, dass bei Produktfeatures Kosten und Nutzen in Relation zu der potenziellen Zahl der nutzenden Anwender gesetzt werden müssen.