Security-Leistungsmerkmale An Der Externen Ethernet-Schnittstelle - Siemens SENTRON 7KN POWERCENTER 3000 Gerätehandbuch

Einbauen, Anschließen, Inbetriebnehmen
4.7 Security-Eigenschaften
4.7.1

Security-Leistungsmerkmale an der externen Ethernet-Schnittstelle

● Signierte Firmware: 7KN Powercenter 3000 kann nur mit einer von SIEMENS signierten
Firmware betrieben werden. Damit ist der Betrieb mit einer gefälschten bzw.
manipulierten Firmware nicht möglich. Auch das Rückrüsten (downgrade) auf eine,
gegebenenfalls fehlerhafte Firmware, ist nicht möglich.
● IP Filter: Bei 7KN Powercenter 3000 können bis zu 5 verschiedene privilegierte IP-
Adressen oder IP-Subnetze, die so genannte Firewall Positivliste (Firewall Whitelist)
ausgewählt werden. Wird diese Option genutzt, sind alle weiteren IP-Adressen / IP-
Adressbereiche oder Subnetze von der Kommunikation ausgeschlossen, die nicht in der
Firewall Positivliste eingetragen sind.
Hinweis
Das Eintragen einer einzelnen IP-Adresse erfolgt mit: xxx.xxx.xxx.xxx/32 z. B. für
192.168.10.15/32.
Das Eintragen eines IP-Subnetzes erfolgt mit: xxx.xxx.xxx.xxx/24 und damit z. B. für den
IP-Adressbereich von 192.168.10.1 bis 192.168.10.254
Sind mehr als 5 explizite IP-Adressen erforderlich, können die Applikationen (= IP-
Adressen) in ein IP-Subnetz (IP-Adressbereich) zusammengefasst, und dieses
angegeben werden.
● Sichere MindSphere Kommunikation: Durch den sicheren für MindSphere definierten
Anmelde-Prozess und dem dafür definierten Austausch von elektronischen Schlüsseln
läuft die Kommunikation zu MindSphere verschlüsselt ab. Die Kommunikation zu
MindSphere kann nur vom 7KN Powercenter 3000 initiiert werden und nicht umgekehrt
● Wählbare TCP-Ports: Das Ausspähen und damit das Analysieren der Kommunikation
erfolgen typischerweise über die Identifikation der Ports. Sind solche Angriffe möglich,
kann ein anderer Port gewählt werden. Die Port-Auswahl muss bei beiden
Kommunikationspartnern erfolgen.
● Nicht benötigte Dienste: Jeder Dienst bietet eine Angriffsfläche, deshalb können aktuell
nicht benötigte Dienste ausgeschaltet werden.
– Identifikations-Dienst - kann ausgeschaltet werden. Damit ist 7KN Powercenter 3000
– Modbus TCP-Gateway - kann ausgeschaltet bzw. nicht automatisch gestartet werden.
– Web-Interface - kann ausgeschaltet werden. Damit ist 7KN Powercenter 3000 nicht
● Schreibschutz für das Web-Interface an der externen Schnittstelle X1P1: Für das Web-
Interface an der externen Ethernet Schnittstelle X1P1 kann über Einstellungen →
Allgemein, im Bereich Externe Kommunikation (X1P1) der Web-Server Schreibschutz
deaktiviert / aktiviert werden. Der Schreibschutz ist bei Auslieferung aktiviert.
● Security Tests: 7KN Powercenter 3000 wird regelmäßig Security Tests ausgesetzt.
Schwachstellen werden kontinuierlich behoben.
42
nicht über die Schnittstelle mit powerconfig auffindbar und identifizierbar.
Damit kann 7KN Powercenter 3000 nicht mehr als Modbus TCP-Gateway von
anderen Applikationen, wie powermanager oder powerconfig, genutzt werden.
über die entsprechende Schnittstelle mit Web-Browsern erreichbar und damit nicht
mehr über "Einstellungen" manipulierbar.
7KN POWERCENTER 3000
Gerätehandbuch, 10/2019, L1V30579222004-01