AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

FTP unsicher? Alternativen?

Ein Thema von zeras · begonnen am 7. Nov 2018 · letzter Beitrag vom 15. Nov 2018
Antwort Antwort
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#1

FTP unsicher? Alternativen?

  Alt 7. Nov 2018, 23:12
Hallo,

wir nutzen eine Steuerung in unseren Maschinen, mit der per FTP Daten gelesen und geschrieben werden können. Die Maschine ist dabei der FTP Client.
Nun gibt es einen Kundenberater, der sagt, dass FTP nicht sicher sei. OK, das mag ja wohl sein.
Wichtig, so denke ich, ist, dass der Kunde das Maschinennetz nicht nach außen öffnet. Dann ist wohl der erste Schritt getan.
Ein anderer Ansatz ist vielleicht ein Koppler, den man in die Maschinen baut. Zur Steuerung macht er FTP und nach außen dann vielleicht SFTP? Gibt es solche Koppler?
Oder habt ihr andere Ideen?
Auf der Steuerung läuft leider nur FTP. Da gibt es nichts anderes.

Ich bin leider in keinem SPS Forum angemeldet. Sonst wäre die Frage da wohl besser aufgehoben. Aber hier gibt es bestimmt auch genug Spezialisten, die da vielleicht eine Antwort haben.

Danke im Voraus.
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
Benutzerbild von sh17
sh17

Registriert seit: 26. Okt 2005
Ort: Radebeul
1.643 Beiträge
 
Delphi 11 Alexandria
 
#2

AW: FTP unsicher? Alternativen?

  Alt 8. Nov 2018, 10:24
Was ist denn die Steuerung? Ist das ein normaler Rechner?
Sven Harazim
--
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#3

AW: FTP unsicher? Alternativen?

  Alt 8. Nov 2018, 10:40
Der Berater hat recht. Aber es kommt auf den Einsatzzweck an. Abgetrenntes Netz taugt bspw. nur bedingt als Ausrede, da es oft doch noch Verknüpfungspunkte gibt die ein Eindringling überwinden könnte.

Zwei Fragen: ist die Authentizität der Daten beim Auslesen wichtig und könnte durch das Schreiben fehlerhafter Daten Schaden erzeugt werden? Wenn eines davon mit Ja beantwortet wird, solltet ihr umsteigen.

Als einfachste Alternative bietet sich FTPS an (das kann der Server unter Umständen sogar schon). Das ist das genau gleiche Protokoll, aber über TLS-Verbindung. Ansonsten HTTPS, denn da gibt es auch kleine und flotte Server die eingebettet laufen können. Und zuguterletzt, falls ihr einen SSH-Server schon zu laufen habt, könntet ihr SFTP (kein Abkömmling von FTP, trotz des Namens!) oder SCP benutzen. Die letzte Methode hat sogar noch weitere Vorteile, weil man serverseitig diverse Optionen hat die Zugriffe weiter zu beschränken.

Also nochmal SFTP hat nix mit FTP oder FTPS zu tun, außer gleiche Buchstaben und ähnliche Zielsetzung

Achso, eins noch. Bei einer sicheren Verbindung gibt es eigentlich immer zwei Themenbereiche, die man abdecken will. Einmal ist dies die Authentisierung (ist dies wirklich der Benutzer der er vorgibt zu sein?; sind das wirklich die Daten so wie sie geschickt wurden) und die Autorisierung (darf der das?). Getrennt nach diesen Themen solltet ihr also eine Gefährdungsanalyse machen. Der Berater hat zwar recht, aber ein bißchen platt scheint die Aussage dann schon.
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)

Geändert von Assarbad ( 8. Nov 2018 um 10:49 Uhr)
  Mit Zitat antworten Zitat
HolgerX

Registriert seit: 10. Apr 2006
Ort: Leverkusen
969 Beiträge
 
Delphi 6 Professional
 
#4

AW: FTP unsicher? Alternativen?

  Alt 8. Nov 2018, 11:18
Hmm..

Auf der Steuerung läuft leider nur FTP. Da gibt es nichts anderes.
Somit hat sich die Umstellung, zumindestens aus Sicht der Maschine, zu egal welchem Protokol wohl erledigt.

Wenn nun die Maschine(n) sicherer über das Netz kommunizieren sollen, dann bleiben eigentlich nur folgende Optionen:
- Einsatz eines VLANs mit kompletter Netztrennung
- Einsatz eines Repeaters/Gateways, welcher über eine Netzwerkkarte nur mit den Maschinen per FTP kommuniziert und zur anderen Seite über eine weitere Netzwerkkarte eben ein sichereres Protokoll einsetzt. Wie Sicher dies ist, hängt von den eingesetzten Komponenten (Hardware/OS/Services) ab.
  Mit Zitat antworten Zitat
Medium

Registriert seit: 23. Jan 2008
3.686 Beiträge
 
Delphi 2007 Enterprise
 
#5

AW: FTP unsicher? Alternativen?

  Alt 8. Nov 2018, 11:24
Wenn die Maschine nur FTP kann, dann bleibt entweder nur den Hersteller nach einer alternativen Methode zu fragen und ggf. die Maschine bzw. deren Steuerung auszutauschen, oder die Sicherheit muss am übergeordneten System (dem Maschinennetz in diesem Fall) garantiert werden. Reine Abkopplung vom Internet ist eine gute Basis, aber oft nicht ausreichend. Es muss z.B. auch sichergestellt werden, dass nicht Hans und Franz USB Sticks oder sonstige Datenträger an einem Gerät im Maschinennetz einfach so einstöpseln können. WLAN an diesem Netz unterbinden ist auch immer eine gute Idee. Mit diesen 3 Maßnahmen sind zumindest unsere Kunden (z.T. weltweit operierende Riesen) bzw. deren üblicherweise nahezu (berechtigt) paranoide IT-Abteilungen zufrieden.

Letztlich muss man auch immer abwägen: Gefährdungspotenzial, der potenziell enstehende Schaden bei Angriff, die möglichen Kosten (Produktionsausfall und Bereinigung) versus Gesamtkosten (auch die operativen) der eingesetzten Sicherheitsmaßnahmen und ggf. Anschaffungskosten in dem Zusammenhang. Diese Abwägung obliegt dem Kunden - man selber kann da nur beratend wirken. Wenn es jetzt um eine einfache Verpackungsmaschine geht, deren Ausfall ggf. 2-3 vermurkste Gebinde verursacht und ein Factory-Reset und Neukonfiguration in 2-3 Stunden erledigt ist, dann wage ich zu bezweifeln ob es überhaupt kosteneffektiv ist sich damit zu befassen - bedenkt man, dass ein Angriff auf diese sehr wahrscheinlich sehr gezielt erfolgen müsste und ja zumindest Bedrohungen aus dem Internet schon mal wegfallen. Es müsste also jemand explizit auf das Gerät abgesehen haben, sich Zugang zu einem PC im Maschinennetz verschaffen, und dort einen Datenträger einbringen. Es gibt zwar sicherlich Idioten die sowas machen würden, aber die reelle Gefahr schätze ich doch eher gering ein. (Zumindest wenn der Kunde keine kontroversen Produkte herstellt, wo man sich ggf. noch mit etwas Phantasie einen übereifrigen Aktivisten als Angreifer vorstellen könnte.)
"When one person suffers from a delusion, it is called insanity. When a million people suffer from a delusion, it is called religion." (Richard Dawkins)
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#6

AW: FTP unsicher? Alternativen?

  Alt 8. Nov 2018, 18:55
Kann der Server denn FTPS bzw. ist FTPS Unterstützung auf ihm aktiviert (und ein Zertifikat installiert)?

Es könnte ja sein dass der Client dann FTPS verwendet, wenn er erkennt dass es unterstützt wird.

Das kann man eventuell auch im Client-Log erkennen. Hier ein Beispiel des Verbindungsaufbaus aus einem FTP Client zu einem "unsicheren" Server:

Status: Auflösen der IP-Adresse für example.com
Status: Verbinde mit 123.123.123:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Status: Unsicherer Server; er unterstützt kein FTP über TLS.
Status: Angemeldet
Michael Justin
habarisoft.com
  Mit Zitat antworten Zitat
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#7

AW: FTP unsicher? Alternativen?

  Alt 8. Nov 2018, 19:22
Danke für eure Hinweise.

Ich werde morgen nochmals beim Steuerungslieferanten nachfragen, ob sich doch etwas getan hat von wegen einer sicheren Verbindung.
Ein Austausch der Steuerung kommt meines Erachtens nicht in Frage, da es sich um etliche Maschinen handelt.
Aber vielleicht gibt es ja ein spezielles Modul, was in die Maschine eingebaut werden kann und dann auf der einen Seite FTP macht, was direkt zur Steuerung geht und auf der anderen Seite eine sichere Verbindung zu einen sicheren FTP Server aufbaut. Das Protokoll darf dabei aber nicht geändert werden.
Ich weiß nicht, ob so etwas technisch möglich wäre.

Auch ein VLAN werde ich ansprechen.
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#8

AW: FTP unsicher? Alternativen?

  Alt 15. Nov 2018, 13:15
Nimm die Maschinen in ein extra Netz. Vor dem Netz ein Router, welcher VPN macht.
  Mit Zitat antworten Zitat
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#9

AW: FTP unsicher? Alternativen?

  Alt 15. Nov 2018, 19:38
Danke euch allen für die Infos.
Ich war letztens beim Kunden und erfahren, dass es schon ein extra Netz für die Maschinen gibt. Damit sollte eigentlich die Hürde genommen sein, dass da etwas passieren kann.
In dem Gespräch war aber auch ein Berater zu Gange, der alle Infos der Maschine über Beckhoff abwickeln wollte. So mit digitalen Ein/Ausgängen und dann wahrscheinlich über Netzwerk weiter.
Ist wahrscheinlich sicherer, aber im Zeitalter von Industrie 4.0 meines Erachtens überhaupt nicht machbar.
Mal sehen, wie sich die GF weiter entscheidet.
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 03:13 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz