home Herstellungstechnologie Produktionsanlagen
Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Manufacturing Technology >> Industrietechnik

So verwenden Sie Cnspec, um veraltete Firmware und Fehlkonfigurationen auf PLCnext Control zu erkennen

Nehmen wir als Beispiel die PLCnext Control AXC F 2125 von Phonix Contact, die auf dem ARM Cortex-A9-Prozessor basiert und über ein IEC 61131-Laufzeitsystem verfügt. Cnspec ist ein Open-Source-Tool, das verschiedene Optionen zum Scannen des Linux-basierten PLCnext Control bietet, um alte Firmware und Fehlkonfigurationen zu erkennen. Diese Anleitung enthält eine Schritt-für-Schritt-Anleitung zum Scannen einer PLCnext-Steuerung über den cnspec-SSH-Anbieter.

  1. Installieren Sie cnspec auf Ihrem Notebook (Installationsanleitung)

  2. Testen Sie die Verbindung und richten Sie eine cnspec-Shell zur PLCnext-Steuerung ein, indem Sie den folgenden Befehl ausführen:

    cnspec shell ssh admin@192.168.1.10 --ask-pass

  3. Führen Sie den folgenden MQL-Befehl in der cnspec-Shell aus:

    file("/etc/plcnext/arpversion").content

Wie wir sehen, konnten wir uns über SSH mit der PLCnext-Steuerung verbinden und den ersten MQL-Befehl ausführen.

→ loaded configuration from /home/user/.config/mondoo/mondoo.yml using source default
Enter password: 
→ discover related assets for 1 asset(s)
→ resolved assets resolved-assets=1
 ___ _ __ ___ _ __ ___ ___ 
 / __| '_ \/ __| '_ \ / _ \/ __|
| (__| | | \__ \ |_) | __/ (__ 
 \___|_| |_|___/ .__/ \___|\___|
 mondoo™ |_| 
cnspec> file("/etc/plcnext/arpversion").content
file.content: "Arpversion: 23.0.0.65
GIT Commit Hash: d755854b5b21ecb8dca26b0a560e6842a0c638d7
Build Job: \"jenkins-PLCnext-Yocto_Targets-Yocto_AXCF2152-release%2F23.0.x-65\"
"

  1. Laden Sie die PLCnext Technology-Richtlinie aus dem öffentlichen cnspec-policies-Repository herunter, um eine grundlegende Sicherheitsüberprüfung durchzuführen, indem Sie den folgenden Befehl ausführen:

    git clone https://github.com/mondoohq/cnspec-policies
Cloning into 'cnspec-policies'...
remote: Enumerating objects: 1075, done.
remote: Counting objects: 100% (149/149), done.
remote: Compressing objects: 100% (84/84), done.
remote: Total 1075 (delta 75), reused 115 (delta 61), pack-reused 926
Receiving objects: 100% (1075/1075), 699.81 KiB | 402.00 KiB/s, done.
Resolving deltas: 100% (690/690), done.

  2. Führen Sie den folgenden Befehl aus, um über SSH einen vollständigen Sicherheitsscan auf der PLCnext-Steuerung durchzuführen:

    cnspec scan ssh admin@192.168.1.10 -f cnspec-policies/community/mondoo-phoenix-plcnext-security.mql.yaml --ask-pass

Die vollständige Ausgabe sollte so aussehen:

cnspec scan ssh admin@192.168.1.10 -f cnspec-policies/community/mondoo-phoenix-plcnext-security.mql.yaml --ask-pass
→ loaded configuration from /home/user/.config/mondoo/mondoo.yml using source default
Enter password: 
→ using service account credentials
→ discover related assets for 1 asset(s)
→ resolved assets resolved-assets=1
 axcf2152 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 100% score: F
Asset: axcf2152
---------------
Controls:
✕ Fail: Ensure SSH MaxAuthTries is set to 4 or less
✓ Pass: Ensure secure permissions on SSH public host key files are set
✓ Pass: Ensure only strong MAC algorithms are used
✓ Pass: Ensure only strong ciphers are used
✓ Pass: Ensure SSH IgnoreRhosts is enabled
✓ Pass: Ensure SSH Idle Timeout Interval is configured
✕ Fail: Ensure SSH password authentication is disabled
✓ Pass: Ensure current system time is synchronized
✓ Pass: Ensure only strong Key Exchange algorithms are used
✓ Pass: Ensure SSH LoginGraceTime is set to one minute or less
✓ Pass: Ensure SSH Protocol is set to 2
✓ Pass: Ensure SSH root login is disabled or set to prohibit-password
✓ Pass: Ensure SSH LogLevel is appropriate
✓ Pass: Ensure SSH PermitUserEnvironment is disabled
✓ Pass: Ensure SSH HostbasedAuthentication is disabled
✓ Pass: Ensure SSH access is limited
✓ Pass: Ensure secure permissions on SSH private host key files are set
✓ Pass: Ensure SSH warning banner is configured
✕ Fail: Ensure Firewall is active
✓ Pass: Ensure SSH PermitEmptyPasswords is disabled
✓ Pass: Ensure SSH X11 forwarding is disabled
✓ Pass: Ensure latest PLCnext Firmware is installed
Scanned 1 assets
For detailed output, run this scan with "-o full".

Die Open-Source-Sicherheitslösung cnspec bietet einen umfassenden Ansatz zur Identifizierung von Schwachstellen und Fehlkonfigurationen in IT- und OT-Systemen. Durch regelmäßiges Scannen Ihrer Systeme können Sie potenzielle Sicherheitsprobleme proaktiv erkennen und beheben, bevor sie zu einem Problem werden.

Hinweis:

Der Makers Blog zeigt Anwendungen und User Stories von Community-Mitgliedern, die nicht von Phoenix Contact getestet oder überprüft wurden. Die Nutzung erfolgt auf eigene Gefahr.


Industrietechnik

  • Herstellungsprozess
  • 3d Drucken
  • Automatisierungssteuerung System
  • Industrietechnik
    1. Wie positioniere ich mich für eine erfolgreiche Lead-Generierung?
    2. Federal Smart Gun Regulations for Law Enforcement
    3. Industrial Sales Insights von Amy Kim, Thomas' neuer Chief Revenue Officer und ehemaliger Google Sales Executive
    4. Erklärung der UNS-Gewinde:Bedeutung, Standards, Passungsklassen und Maßtabelle
    5. Infografik:Was Cobots für Ihr Unternehmen tun können
    6. Schwenken zu Beatmungsgeräten:Fragen und Antworten mit Kash Behdinan, Präsident von Pointfar Automation (Teil 2)
    7. Rekordverdächtiger 53-Qubit-Quantensimulator vorgestellt
    8. Was ist Formsand? - Arten und Eigenschaften
    9. Die wahre Chance ist die industrielle Chance
    10. Verwandeln Sie Kaltakquise in qualifizierte Leads:Wie PPC-Daten das Umsatzwachstum steigern