Communicatie met HMI via internet

woensdag 21 september 2016 19:51

Acties:

0 Henk 'm!

Topicstarter

Beste allemaal,

Graag wordt ik door de deskundigen hier de juiste richting ingestuurd. Ik wil met mobiele apparatuur via internet verbinding maken met een apparaat in het lokaal netwerk.

Ik heb hier een PLC systeem dat diverse geautomatiseerde installaties bestuurt. Voor de bediening en visualisering zit er een HMI in het netwerk die communiceert met het PLC systeem. Deze HMI is de TP 3070T van Phoenix Contact.

Het is de wens om het systeem ook te bedienen met mobiele apparaten via internet. Hiervoor wordt app Visu+ van Phoenix Contact geïnstalleerd op Android eindapparatuur. De app maakt verbinding met de HMI, haalt eenmalig de visualiseringspagina's op, en wisselt continu de gebruikers in/-uitvoer uit met de HMI.

De app maakt verbinding met de HMI door het IP adres en het ingestelde poortnummer van de HMI in te voeren. Eventueel wordt dit beveiligd met een wachtwoord dat in de HMI wordt ingesteld. Uit de documentatie blijkt niet dat het dataverkeer versleuteld is.

De bediening met de app werkt prima door via het lokaal netwerk verbinding de maken met de HMI. Nu is het doel om dit ook via internet voor elkaar te krijgen. Het LAN is nu gekoppeld aan internet met router Thomson TG787v. Indien noodzakelijk wordt apparatuur vervangen of toegevoegd.

Vooralsnog zie ik twee opties:

Optie 1:
De eindapparatuur wordt aan het lokaal netwerk gekoppeld via een VPN verbinding. Ik denk dat dit niet handig is, omdat men deze apparaten (smartphones) ook voor andere doeleinden gebruikt, waarbij men niet altijd via het VPN wil surfen. Daarnaast moet volgens mij een VPN server geplaatst worden die altijd beschikbaar is. Ik denk wel dat dit een veilige optie is.

Optie 2:
Al het netwerkverkeer op de gespecificeerde poort wordt naar de HMI gecommuniceerd. Volgens mij kan dit als volgt:
1) Ik zorg dat mijn router een vast publiek IP adres heeft;
2) Ik stel dit IP adres en de gekozen poort in op de app. De app gaat hiermee verbinden;
3) Door middel van poortmapping stuurt de router al het dataverkeer voor deze poort door naar de HMI.
Ik vraag mij af of deze optie mogelijk is en vooral, wat de beveiligingsrisico's zijn. Ik denk dat de kans klein is dat iemand bewust schade toebrengt door data van de applicatie te manipuleren. Maar hoe groot is bijvoorbeeld de kans dat de netwerkverbinding van de HMI overbelast raakt, doordat allerlei berichten de HMI bereiken die hier niks te zoeken hebben? En welke andere risico's zie ik nog over het hoofd?

Volgens mij biedt optie 2 de meest gebruikersvriendelijke oplossing, maar zoals benoemd zet ik mijn vraagtekens bij de beveiliging. De enige beveiliging die ik kan realiseren is een wachtwoord in het applicatieprotocol (mogelijk niet versleuteld) en een niet populair poortnummer kiezen.

Lijkt optie 2 jullie een goede mogelijkheid om de HMI via internet te benaderen? Welke opties heb ik hierbij nog meer om de beveiligingsrisico's te beperken? Zien jullie nog andere opties op het gewenste voor elkaar te krijgen? Als er meer info nodig is dan hoor ik het graag!

Alvast bedankt en met vriendelijke groet,

Martijn

woensdag 21 september 2016 19:57

Acties:

0 Henk 'm!

Kavaa

automation schreef op woensdag 21 september 2016 @ 19:51:
Beste allemaal,

Graag wordt ik door de deskundigen hier de juiste richting ingestuurd. Ik wil met mobiele apparatuur via internet verbinding maken met een apparaat in het lokaal netwerk.

Ik heb hier een PLC systeem dat diverse geautomatiseerde installaties bestuurt. Voor de bediening en visualisering zit er een HMI in het netwerk die communiceert met het PLC systeem. Deze HMI is de TP 3070T van Phoenix Contact.

Het is de wens om het systeem ook te bedienen met mobiele apparaten via internet. Hiervoor wordt app Visu+ van Phoenix Contact geïnstalleerd op Android eindapparatuur. De app maakt verbinding met de HMI, haalt eenmalig de visualiseringspagina's op, en wisselt continu de gebruikers in/-uitvoer uit met de HMI.

De app maakt verbinding met de HMI door het IP adres en het ingestelde poortnummer van de HMI in te voeren. Eventueel wordt dit beveiligd met een wachtwoord dat in de HMI wordt ingesteld. Uit de documentatie blijkt niet dat het dataverkeer versleuteld is.

De bediening met de app werkt prima door via het lokaal netwerk verbinding de maken met de HMI. Nu is het doel om dit ook via internet voor elkaar te krijgen. Het LAN is nu gekoppeld aan internet met router Thomson TG787v. Indien noodzakelijk wordt apparatuur vervangen of toegevoegd.

Vooralsnog zie ik twee opties:

Optie 1:
De eindapparatuur wordt aan het lokaal netwerk gekoppeld via een VPN verbinding. Ik denk dat dit niet handig is, omdat men deze apparaten (smartphones) ook voor andere doeleinden gebruikt, waarbij men niet altijd via het VPN wil surfen. Daarnaast moet volgens mij een VPN server geplaatst worden die altijd beschikbaar is. Ik denk wel dat dit een veilige optie is.

Optie 2:
Al het netwerkverkeer op de gespecificeerde poort wordt naar de HMI gecommuniceerd. Volgens mij kan dit als volgt:
1) Ik zorg dat mijn router een vast publiek IP adres heeft;
2) Ik stel dit IP adres en de gekozen poort in op de app. De app gaat hiermee verbinden;
3) Door middel van poortmapping stuurt de router al het dataverkeer voor deze poort door naar de HMI.
Ik vraag mij af of deze optie mogelijk is en vooral, wat de beveiligingsrisico's zijn. Ik denk dat de kans klein is dat iemand bewust schade toebrengt door data van de applicatie te manipuleren. Maar hoe groot is bijvoorbeeld de kans dat de netwerkverbinding van de HMI overbelast raakt, doordat allerlei berichten de HMI bereiken die hier niks te zoeken hebben? En welke andere risico's zie ik nog over het hoofd?

Volgens mij biedt optie 2 de meest gebruikersvriendelijke oplossing, maar zoals benoemd zet ik mijn vraagtekens bij de beveiliging. De enige beveiliging die ik kan realiseren is een wachtwoord in het applicatieprotocol (mogelijk niet versleuteld) en een niet populair poortnummer kiezen.

Lijkt optie 2 jullie een goede mogelijkheid om de HMI via internet te benaderen? Welke opties heb ik hierbij nog meer om de beveiligingsrisico's te beperken? Zien jullie nog andere opties op het gewenste voor elkaar te krijgen? Als er meer info nodig is dan hoor ik het graag!

Alvast bedankt en met vriendelijke groet,

Martijn

Zie voor een stukje security ook even het nieuwsartikel van vandaag:

plan: Meet-up Security en Privacy - Verslag van de vierde editie van 2016

En dan met name het filmpje van KPN.
Presentatie is RUK maar de info die erin staat is erg waardevol.

ICTWebSolution - Wi-Fi Problemen? Stuur maar een berichtje! - Wi-Fi Bereik verbeteren?

woensdag 21 september 2016 20:44

Acties:

0 Henk 'm!

jeroen3

Je knoopt PLC's niet zomaar aan het internet. Daar zet je een firewall/vpn tussen.
Zoals een eWon. Die zijn hier speciaal voor gemaakt, en volgens mij hebben ze een Android app. Dus dat komt helemaal goed.
*onderwater werkt het met OpenVPN

Je hebt spul van Phoenix, dus een krap budget zal er niet zijn. Die HMI neem je mee voor slechts 1.3k

[ Voor 5% gewijzigd door jeroen3 op 21-09-2016 20:46 ]

vrijdag 23 september 2016 06:13

Acties:

0 Henk 'm!

automation

Topicstarter

Bedankt voor jullie reacties. Vooral die link naar shodan.io maakt duidelijk dat er nog al wat gevaren schuilen in de grote wolk.

Op het eerste gezicht lijkt eWon alleen met webgebaseerde HMI's op mobiele apparaten te werken, maar dit is het verder uitzoeken waard.

Ik begrijp dat een firewall de autorisatie en versleuteling kan realiseren. Is het juist dat de gebruikers in dit geval altijd een VPN verbinding op moeten zetten? Zou een firewall zoals deze Juniper de klus kunnen klaren? Het zou de gebruikersvriendelijkheid niet ten goede komen dat men elke keer een VPN verbinding moet maken, alvorens de app gebruikt kan worden. Hiervoor zoek ik nog een oplossing.

vrijdag 23 september 2016 07:35

Acties:

0 Henk 'm!

jeroen3

Een eWon is gewoon een VPN verbinding, via een server, want de eWon is ook een client. Je kunt die dus gewoon zonder enige port forwards on-site inpluggen op het netwerk of voorzien van een sim kaart.
Daarna krijg je met de eCatcher een overzichtje van al je eWons op je account, en kun je verbinden met een of meerdere locaties.
Werkt best goed.

Ik weet niet of een losse firewall helpt, je zult immers op een manier authenticatie moet uitvoeren los van de HMI. En dat is volgens mij alleen mogelijk met een VPN.

Je moet ook in je achterhoofd houden dat de HMI waarschijnlijk een minder krachtige processor draait, en dat ding als ge-DDoSt is als hij 5 verzoeken tegelijk krijgt.

[ Voor 14% gewijzigd door jeroen3 op 23-09-2016 07:37 ]

vrijdag 23 september 2016 10:16

Acties:

0 Henk 'm!

Frogmen

Je kan al met een simpele Ubiquity Edgerouter met openvpn en firewall dit voor elkaar krijgen. Ja je hebt gelijk je moet tweehandelingen doen vpn aan zetten en app starten maar dat lijkt mij in dit geval zeker wenselijk.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 23 september 2016 10:36

Acties:

0 Henk 'm!

DrivinUCrazy

Vechte, valle en opstoan

Ik zou gewoon even met (mijn contactpersoon bij) Phoenix bellen, en hun specialist even uitnodigen. Die vertelt je haarfijn wat de gevaren zijn, maar ook de mogelijkheden. Ze hebben specialisten op dit vlak.

't Is een kwestie van geduld, rustig wachten op de dag, dat heel Holland Limburgs lult.

vrijdag 23 september 2016 11:24

Acties:

0 Henk 'm!

jeroen3

Phoenix verkoopt zelf ook VPN's. Onder de FL MGUARD serie. (eg: 2700634)

vrijdag 23 september 2016 11:28

Acties:

0 Henk 'm!

johnkeates

Installeer een IKEv2 of OpenVPN server, problem solved. Heeft net zoals alle IT apparatuur wel onderhoud nodig, dus niet zomaar neerzetten en vergeten dat het bestaat.

[ Voor 50% gewijzigd door johnkeates op 23-09-2016 11:29 ]

vrijdag 23 september 2016 20:03

Acties:

0 Henk 'm!

automation

Topicstarter

In ieder geval staat vast dat een VPN verbinding nodig is. Daarin blijken een aantal mogelijkheden te bestaan:

Het principe van eWon: de eindapparatuur is een client van een VPN server, en in het lokaal netwerk wordt ook een client opgenomen. Voor mobiele apparaten biedt eWon m2web. Deze mevrouw legt ons uit hoe dit werkt. Wat ik hier zie op 2:33s is dat mijn HMI het HTTP, VNC, of RDP protocol moet ondersteunen, wat geen van allen het geval is. Phoenix Contact heeft er immers een eigen app voor gemaakt. Of ga ik hier ergens fout?
Ik neem een VPN server op in het lokaal netwerk. Wellicht informeer ik bij Phoenix Contact. De overige HMI's, PLC's en switches in het netwerk zijn ook van Phoenix Contact. Het is altijd fijn om aanspraak op één en dezelfde partij te kunnen doen om het e.e.a. werkende te krijgen. Daarnaast heeft een apparaat met industriële bouwvorm zeker de voorkeur.
Maar ik ook een een VPN server applicatie installeren op een (embedded) PC, zoals bijvoorbeeld OpenVPN (correct?). Heb ik het juist dat een dergelijke VPN server achter mijn router komt, en dat ik dus moet zorgen voor een vast publiek IP adres voor mijn router? En moet ik in dit geval alsnog portforwarding instellen voor het verkeer naar de VPN server?

Verder vraag mij af hoe de VPN faciliteit in andriod precies werkt. Ik heb gevonden dat je hiermee met de server verbindt door het (publiek) adres in te geven, het gebruikte protocol en authenticatiegegevens. Veronderstel dat de verbinding met de server gelukt is. Kan de gebruiker dan ook nog gewoon internetten met de smartphone? Verloopt dit internetverkeer dan allemaal via de VPN server, en is de gebruiker dan eigenlijk vanuit het lokale netwerk aan het internetten?

vrijdag 17 maart 2017 21:43

Acties:

0 Henk 'm!

automation

Topicstarter

Beste allen,

Nog altijd ben ik zoekende naar een goede oplossing. Inmiddels heb ik besloten de communicatie te regelen door een VPN tunnel te maken tussen smartphone(s) en het machinenetwerk met daarin de HMI.

Een mogelijke oplossing: een modem/router/firewall/VPN server kopen. De firewall en VPN functionaliteit zie ik het liefst in één apparaat, zodat ik geen port forwarding oplossing hoef te knutselen. Echter, ik wil
twee netwerkgedeeltes strikt gescheiden houden: het privé netwerk (dynamische adressen) en het machine netwerk (vaste IP adressen). Een apparaat in het privé netwerk mag nooit een machine kunnen bereiken (behalve via de VPN tunnel). Hoe is dit het best te realiseren? Zelf zie ik twee opties. Deze heb ik uitgewerkt in een plaatje:

https://www.uploadarchief...nload/netwerk_ontwerp.png

- Is de strikte scheiding met optie 1 mogelijk? Hoe voorkom ik dat het machinenetwerk wordt bereikt vanuit het privénetwerk?
- Is optie 2 technisch mogelijk? Ik heb meerdere vaste publieke IP adressen van KPN. Kan ik dus twee firewall/routers met hun WAN poort, via een switch, achter één modem plaatsen?

maandag 20 maart 2017 21:38

Acties:

0 Henk 'm!

automation

Topicstarter

Beste allen,

Na nog wat verder zoeken, lijk ik een oplossing gevonden te hebben. Dit apparaat biedt mij alle functionaliteiten:

http://www.draytek.nl/pro...2-serie/vigor-2860-serie/

- ADSL modem
- Router
- Firewall
- VPN server
- VLAN (multiple subnet): het creëren van gescheiden netwerken

Lijkt een goedkope alles in een oplossing (300..400 euro).

Onderwerpen

Vraag

Alle reacties