Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Vil IPv6 være egnet for bruk i Industrielle Kontrollnettverk?


Anbefalte innlegg

Videoannonse
Annonse

Tror det er et blindspor.

Utviklingen blir nok ikke bestemt av oss eller en diskusjonen på diskusjonsforum. 

Hvis man skal få tak i hvordan tingene kan forventes å utvikle seg i framtiden, så må man nok snakke litt med de som er store i bransjen.

Når det gjelder det automasjonsutstyret som jeg har vært borte i de siste 25 årene, så har jeg ikke sett at noe av det støtter IPv6. Det har bare vært støtte for IPv4. Men det kan tenkes at det er endringer på gang. Det gjelder utstyr for tradisjonell industriell automasjon.

For et par "beslektede teknologier", så kan det være annerledes. Det gjelder for eksempel teknologi rundt "intelligente bygninger" og IIOT eller "Industrial Internet of Things" og teknologi rund "smarte byer". 

https://www.controleng.com/articles/wireless-protocol-supports-end-to-end-ipv6/

 

Endret av arne22
Lenke til kommentar
9 minutes ago, aklla said:

"IPv6 is not more or less secure than IPv4" konkluderes det med..

Når man kan det og har konfigurert riktig. Men det er nok litt mer å kunne enn før. Og så må man ha utstyr som er kompatibelt.

At forskjellen mellom IPv4 og IPv6 er de lange adressene, eller at IPv6 er IPv4 med lange adresser, det stemmer vel ikke på noen måte som helst. Det er to forskjellige protokoller med ganske ulike egenskaper.

Endret av arne22
Lenke til kommentar
Gjest Slettet-7QKwQIfm
arne22 skrev (17 minutter siden):

Når man kan det og har konfigurert riktig. Men det er nok litt mer å kunne enn før. Og så må man ha utstyr som er kompatibelt.

At forskjellen mellom IPv4 og IPv6 er de lange adressene, eller at IPv6 er IPv4 med lange adresser, det stemmer vel ikke på noen måte som helst. Det er to forskjellige protokoller med ganske ulike egenskaper.

Nå må du se til å lese de svarene du har fått i denne tråden.

Denne tråden fører ingen vei.

Under kommer jeg til å skrive et innlegg som er off topic, men noe vagt relevant.

Lenke til kommentar
Gjest Slettet-7QKwQIfm

"Trust no one"

Joda, rent sikkerhetsmessig vil det hjelpe. Men glem ikke de som faktisk tjener penger inn til virksomheten dere jobber i.

De som tjener penger må ha en effektiv hverdag, uten unødig hinder.

I mine år utenfor IT, er det mye bra, men jeg sløser mye penger/tid pga. enten "IT-byrokrati" eller noe viktig som IT-sikkerhet.

Eksempel: Jeg har et fagprogram jeg bruker daglig på min klientPC. Er det feil der, kunne jeg logget meg på serveren og løst problemet på to minutter. Istedenfor må jeg vente på førstesupport, ca 4 dager, som likevel må logge meg på serveren for å løse problemet.

 

Endret av Slettet-7QKwQIfm
Lenke til kommentar
1 hour ago, arne22 said:

At forskjellen mellom IPv4 og IPv6 er de lange adressene, eller at IPv6 er IPv4 med lange adresser, det stemmer vel ikke på noen måte som helst. Det er to forskjellige protokoller med ganske ulike egenskaper.

Hva er de ulike egenskapene, @arne22? Konkret, hva er forskjellen? Slutt å vri deg unna, og svar.

  • Liker 1
  • Hjerte 1
Lenke til kommentar
arne22 skrev (7 timer siden):

Når man kan det og har konfigurert riktig. Men det er nok litt mer å kunne enn før. Og så må man ha utstyr som er kompatibelt.

At forskjellen mellom IPv4 og IPv6 er de lange adressene, eller at IPv6 er IPv4 med lange adresser, det stemmer vel ikke på noen måte som helst. Det er to forskjellige protokoller med ganske ulike egenskaper.

Nok en påstand. IPv4 er og usikker om man ikke har kompetanse til å gjøre det riktig.

Du er særdeles påståelig her og til tross for at samtlige her er uenig med deg så står du på ditt uten å kunne redergjøre for det. Samtidig sier du at tråden ble opprettet for å lære.

Da er det bare å sette i gang å lære. Du er blitt utfordret to ganger nå til å redergjøre for de påståtte forskjellene.

Link Lokal adresser eksiterer i begge protokoller. Og kunnskap er viktig for å sette opp begge korrekt.

Så hva er forskjellen?

  • Liker 2
Lenke til kommentar
7 hours ago, barfoo said:

Hva er de ulike egenskapene, @arne22? Konkret, hva er forskjellen? Slutt å vri deg unna, og svar.

Det er jo det denne tråden handler om. Å finne fram til hva som er den praktiske forskjellen.

Hvis man vet svaret, vil man da starte en tråd?

Det er nok mitt intrykk at det finnes en del forskjeller, ja og at noen av disse forskjellene er beskrevet i presentasjonen til RIPE.

https://www.ripe.net/support/training/material/ipv6-security/ipv6security-slides.pdf

Så vidt som jeg kan se så har de problemstillingene som står nevnt i denne presentasjonen ikke brukbare eller tilstrekkelige fullstendige svar i denne tråden.

Spørsmålet er jo: Hva består forskjellene i i, og hvordan håndterer man disse forskjellene på en sikker måte?

Det er jo også et spørsmål om hvilke typer industriell automasjonsutstyr som faktisk støtter IPv4. Har ikke sett noen som nevner noe om det i tråden over. 

Det er jo ikke den som stiller spørsmål om i hvilken grad man kan bruke IPv4 vs IPv6, i industriell sammenheng, som skal besvare sitt eget spørsmål.

Det må jo være den som eventulet vet noe om svareret, som kommer opp med svarene. 

Det aller første og viktigste spørsmålet i den sammenheng, det må vel være: Hvilket industrielt automasjonsutstyr er det som støtter IPv6? 

Kan man gjennomføre IPv6 som kommuniksjonsprotokoll for teknisk utstyr som bare støtter IPv4?

Hvilket automasjonsutstyr er det som støtter IPv6 annet enn noen nyere modeller fra Siemens?

Endret av arne22
Lenke til kommentar
arne22 skrev (14 minutter siden):

Det er jo det denne tråden handler om. Å finne fram til hva som er den praktiske forskjellen.

Hvis man vet svaret, vil man da starte en tråd?

Det er nok mitt intrykk at det finnes en del forskjeller, ja og at noen av disse forskjellene er beskrevet i presentasjonen til RIPE.

https://www.ripe.net/support/training/material/ipv6-security/ipv6security-slides.pdf

Så vidt som jeg kan se så har de problemstillingene som står nevnt i denne presentasjonen ikke brukbare eller tilstrekkelige fullstendige svar i denne tråden.

Spørsmålet er jo: Hva består forskjellene i i, og hvordan håndterer man disse forskjellene på en sikker måte?

Det er jo også et spørsmål om hvilke typer industriell automasjonsutstyr som faktisk støtter IPv4. Har ikke sett noen som nevner noe om det i tråden over. 

Det er jo ikke den som stiller spørsmål om i hvilken grad man kan bruke IPv4 vs IPv6, i industriell sammenheng, som skal besvare sitt eget spørsmål.

Det må jo være den som eventulet vet noe om svareret, som kommer opp med svarene. 

Svaret på IPv4 vs IPv6 har du fått. Flere ganger. Hvorfor godtar du ikke svaret?

Til tross for en ganske entydig tilbakemelding her er du uenig. Da må du argumentere for hvorfor. Dette er tross alt et diskusjonsforum.

  • Liker 2
  • Hjerte 1
Lenke til kommentar
17 minutes ago, arne22 said:

Det er jo det denne tråden handler om. Å finne fram til hva som er den praktiske forskjellen.

Hvis man vet svaret, vil man da starte en tråd?

Du er faen meg ikke sann.

Dette er hva du skrev:

8 hours ago, arne22 said:

At forskjellen mellom IPv4 og IPv6 er de lange adressene, eller at IPv6 er IPv4 med lange adresser, det stemmer vel ikke på noen måte som helst. Det er to forskjellige protokoller med ganske ulike egenskaper.

Her påstår du at det er forskjellige protokoller med ganske ullike egenskaper. Jeg ber deg utdype hva de ulikhetene er, og da er du brått ute etter å lære, og har aldri påstått at det noen forskjeller? Det gjentar seg gang på gang.

Dette handler ikke om å være tunglært. Dette handler om grunnleggende formuleringsevne.

 

  • Hjerte 1
Lenke til kommentar
arne22 skrev (49 minutter siden):

Det aller første og viktigste spørsmålet i den sammenheng, det må vel være: Hvilket industrielt automasjonsutstyr er det som støtter IPv6? 

Kan man gjennomføre IPv6 som kommuniksjonsprotokoll for teknisk utstyr som bare støtter IPv4?

Hvilket automasjonsutstyr er det som støtter IPv6 annet enn noen nyere modeller fra Siemens?

For å gå på dette temaet så er det flere utfordringer knyttet til utbredelsen og støtte for IPv6 i spesielt automasjonsutstyr.

For det første kjøper en gjerne inn systemer som har en forventet varighet på langt over 5-10 år. Når utskiftningshastigheten er så treg så er det helt naturlig at utstyret henger bakpå når det gjelder teknologisk utskiftning. Til sammenligning har en PC gjerne en levetid på 3-5 år og nettverksutstyr 3-6 år.

For det andre så har det ofte en høy kostnad å gjøre oppgraderinger og utbedringer på slike system. Både i forhold til å få inn kompetanse til å gjøre jobben, kostnad med utstyret og tapt inntekt knyttet til stans i driften. Da vil det ofte være slik at en går for det "gode gamle" som alltid har virket.

For det tredje så har automasjonsbransjen ofte ville være for seg selv. Operasjonelle nettverk (SCADA etc) blir ofte definert ut fra at de skal stå i egne lukka nettverk. Ofte argumentert for av hensyn til sikkerhet men og driftsstabilitet. Da har det vært lett å tenke at IPv4 er det som gjelder og IPv6 er det IT folka går og bekymrer seg over.

Til sammenligning så har vi hos oss et system som kjører på Windows NT4. Vi snakker altså om et system som er tett opp mot 30 år gammelt. Som fungerer helt greit til jobben det gjør i dag og de som betjener systemet er trygge på det og systemet har svært lite nedetid. Klarer jeg å argumentere for å bytte det systemet til noe som støtter IPv6 for eks? Tvilsomt. Kan jeg argumentere for sikkerhet? Tja, fysisk isolert system med adskilt adgangskontroll på et lukka IPv4 nettverk (samt en del andre bus-systemer). Det vil koste flere millioner å bytte ut det systemet alene og selv om jeg får inn IPv6 støtte der så er det lite av sensorene og andre systemer på samme nettverk som gjør det. Altså blir ikke IPv6 prioritert. Heller ikke av produsentene som vet at dette er ståa hos mange. Hvorfor introdusere en funksjon få vil ta i bruk? Dette blir da en klassisk høna og egget situasjon.

Men fremover vil jeg påstå at vi vil se et større behov for å koble flere og flere automasjonssystemer sammen med andre system. Mange gjør dette allerede i dag og, men behovet for data-driven ledelse vil kreve mer datainnsamling og rapportering. Og da ofte direkte fra systemene som drar inn pengene som ledelsen skal ta beslutninger for. Da må automasjonsbransjen våkne litt mer og ta både teknologien og sikkerhet rundt det mer på alvor.

Lenke til kommentar
3 minutes ago, nomore said:

Men fremover vil jeg påstå at vi vil se et større behov for å koble flere og flere automasjonssystemer sammen med andre system.

Jeg haller mot at Stuxnet demonstrerte en gang for alle at air gap er illusorisk sikkerhet.

Lenke til kommentar
barfoo skrev (Akkurat nå):

Jeg haller mot at Stuxnet demonstrerte en gang for alle at air gap er illusorisk sikkerhet.

Enig.

Jeg har vært med på mange nok evalueringsmøter og post-mortems til å vite at det finnes alltid kreative nok ansatte som bare skal gjøre jobben sin, og at de alltid vil klare å finne omveier til målet.

Lenke til kommentar
Bugle skrev (8 timer siden):

"Trust no one"

Joda, rent sikkerhetsmessig vil det hjelpe. Men glem ikke de som faktisk tjener penger inn til virksomheten dere jobber i.

De som tjener penger må ha en effektiv hverdag, uten unødig hinder.

I mine år utenfor IT, er det mye bra, men jeg sløser mye penger/tid pga. enten "IT-byrokrati" eller noe viktig som IT-sikkerhet.

Eksempel: Jeg har et fagprogram jeg bruker daglig på min klientPC. Er det feil der, kunne jeg logget meg på serveren og løst problemet på to minutter. Istedenfor må jeg vente på førstesupport, ca 4 dager, som likevel må logge meg på serveren for å løse problemet.

Men hvorfor retter du ikke kritikken mot rett sted? I stede for å kritisere IT som er satt til å drifte systemet (og sannsynligvis heller ikke var med i prosessen med å skaffe fagsystemet) så bør du kanskje rette kritikken mot de som lagde (og solgte) fagsystemet som krever at du som (super)bruker skal logge deg på serveren for å utføre endringer?

Det er på alle måter dårlig praksis å tillate brukere å logge på servere. At de som har laget fagsystemet mener det er en akseptabel løsning sier veldig mye om hvor mye de egentlig legger i sikkerhet i systemet.

Ellers er det jo en fin holdning med "de som tjener penger". Uten IT er det lite i de fleste bedrifter som fungerer.

  • Liker 1
Lenke til kommentar
Gjest Slettet-7QKwQIfm
nomore skrev (14 minutter siden):

Men hvorfor retter du ikke kritikken mot rett sted? I stede for å kritisere IT som er satt til å drifte systemet (og sannsynligvis heller ikke var med i prosessen med å skaffe fagsystemet) så bør du kanskje rette kritikken mot de som lagde (og solgte) fagsystemet som krever at du som (super)bruker skal logge deg på serveren for å utføre endringer?

Det er på alle måter dårlig praksis å tillate brukere å logge på servere. At de som har laget fagsystemet mener det er en akseptabel løsning sier veldig mye om hvor mye de egentlig legger i sikkerhet i systemet.

Ellers er det jo en fin holdning med "de som tjener penger". Uten IT er det lite i de fleste bedrifter som fungerer.

For å legge denne død, ettersom det er helt off topic.

Er helt enig i det du skriver.

Lenke til kommentar
On 1/16/2023 at 8:48 AM, nomore said:

For å gå på dette temaet så er det flere utfordringer knyttet til utbredelsen og støtte for IPv6 i spesielt automasjonsutstyr.

For det første kjøper en gjerne inn systemer som har en forventet varighet på langt over 5-10 år. Når utskiftningshastigheten er så treg så er det helt naturlig at utstyret henger bakpå når det gjelder teknologisk utskiftning. Til sammenligning har en PC gjerne en levetid på 3-5 år og nettverksutstyr 3-6 år.

For det andre så har det ofte en høy kostnad å gjøre oppgraderinger og utbedringer på slike system. Både i forhold til å få inn kompetanse til å gjøre jobben, kostnad med utstyret og tapt inntekt knyttet til stans i driften. Da vil det ofte være slik at en går for det "gode gamle" som alltid har virket.

Se her er vi inne på noe. Grunnen til at jeg startet denne tråden, det var jo ikke at jeg visste svaret, men der i mot for å finne ut hva svaret var. Det er sånn sett egentlig ikke noe snakk om "påstander", men å "avdekke problemstillinger" og "å finne ut av".

Hvis jeg skal oppsummere noen av problemstillingene så tror jeg det må bli omtrent slik:

1. Først og fremst, hvis man skal ta i bruk IPv6 i industrielle kontrollsystemer, så må det finnes utstyr som er kompatibelt, inklusive også alle funksjoner som har med funksjonalitet og sikkerhet å gjøre. Hvis mesteparten av det det nye automasjonsutstyret som selges nytt nå i dag ikke, og mesteparten av det utstyret som er ute i anleggene nå i dag ikke støtter IPv6, vil man da ta i bruk IPv6 i stort omfang? 

Første avklaring må vel bli: Hvilket automasjonsutstyr er det som støtter IPv6? HVis det er noen som har en link vedrørende dette, så legg den gjerne ut.

Levetiden for typisk automasjonsutstyr er vel ellers ofte mye mer enn 5-10 år. Dette har jo til dels sammenheng med riskovurdering i forhold til ha som kan skje hvis utstyret feiler. Brann, oversvømmelse, eksplosjon, osv, kan vel også være en mulighet, slik at konsekvensene av feil kan bli annerledes enn i typiske IT systemer. 

2. Hvis man har utstyr som er kompatibelt, så behøver man personell som kan dette med sikkerhet og funksjonalitet i forhold til bruk av IPv6 i industrielle kontrollanlegg, og hvor skaffer man den utdanningen? Tilbakemeldingene fra "bransjen" det er vel stort sett at den utdanningen finnes foreløpig i liten grad, og at det som finnes har karakter av bedriftintern opplæring hos noen av de store selskapene. Hvis det er noen som har en kjennskap til en slik utdanning, nasjonalt eller internasjonalt, så vil jeg være glad for en link vedrørende dette også. (Mener å vite at det er ting under utvikling, man har så langt ikke sett noe ferdig.)  

Nå er jeg vil klar over at man kan vurdere sikkerhet, forebyggelse av hacker angrep og risiko på forskjellig måte, men jeg for min del har inntrykk av at det er noen flere faktorer å ta med i betraktning. 

  • Globale IPv6 addresser kan tildeles utstyr og noder automatisk. Uten en lukket brannmur, så er disse tilgjengelig fra Internett.
  • Automatisk tildeling av IPv6 adresser skjer på en annen måte enn ved bruk av IPv4.
  • Porscanning for å sjekke for en sikker konfigurering av en IPv6 brannmur, må skje på en annen måte enn tilsvarende scanning av en IPv4 brannmur. (Og ved dual-stack så må man bruke flere metoder.  
  • Link local adresses i IPv4 og lokale IPv6 adresser er så vidt vites ikke helt det samme. (Må sette meg bedre inn i dette.)
  • Ved bruk av globale IPv6 adresser på lokalt utstyr, så vil en hacker kunne få nye og andre muligheter til å finne ut av hva som befinner seg bak en brannmur eller rundt en hacket node. (PC eller noe annet.)
  • IPv4 og IPv6 er ikke bare to forskjellige måter å adressere på, det er to forskjellige protokoller med hver sine egenskaper.
  • IPv4 og IPv6 har forskjellig pakkeformat, slik at de vil se forskjellig ut når man ser på trafikken vha en packet sniffer.
  • På grunn av at pakkeformatet er forskjellig, så vil detaljer innenfor "packet filtering" også kunne bli litt forskjellig.
  • En del servere og annet utstyr har ikke IPv6 støtte for sikkerhetslogger og logging av driftsdata, slik at når man skifter over til IPv6, så kan man risikere å være uten sikkerhetslogg. (Påstand på nettside. må sjekkes nærmere.)

 Påstår fortsatt hverken det ene eller det andre, forsøker bare å skaffe litt oversikt over hva likheter og forskjeller består i, og hvilke nye utfordringer som eventuelt finnes.

Jeg ville vel tro at den aller viktigste problemstillingen det er hvilket utstyr det er som støtter IPv6 og at mangelen på IPv6 kompatibelt utstyr vil være den faktor som medfører at IPv4 fortsatt vil bli mye brukt som protokoll innenfor industrielle kontrollsystemer. 

Når vi der i mot er over i "beslektede bransjer" som smarthus, intelligente bygninger og "Industrial Internet of Things", så ville jeg forvente at utviklingen over mot IPv6 skjer mye raskere.

Hvis man skal forsøke å spå litt om framtiden så kan man ikke ha rett eller galt før man har kommet litt fram i tid.   

Tenkte å sette opp en IPv6 testserver for å teste ut IPv6 på server. Noen som har et tips?:
Nytt spørsmål.

Det ser ikke ut til å være noen enkel måte å sette opp en slik server på, og jeg lurer jo på om det kan ha noe å gjøre med eventuelle problemer med å få sikkerhetsloggene til å fungere.

 

 

Endret av arne22
Lenke til kommentar

Jeg er jo ikke den som har fagkunnskap her, men jeg har et par poenger å dele likevel; 
1: Allerede før første avklaring: Er utstyret en del av trafikkjeden mellom internett og enheten, etableres det jo ingen trafikk på IPv6. Er utstyret ikke en del av trafikkjeden mellom internett og enheten, er det ikke relevant om enheten støtter IPv6 eller ikke. Dermed synes jeg ikke første avklaring er spesielt interessant i denne settinga heller - det utstyret som er relevant for problemstillinga er kun det som støtter IPv6. 

2: Grunnen til at du ikke finner utdanning for å bruke IPv6 er den samme som grunnen til at du ikke finner utdanning for å bruke IPv4 eller at du ikke finner utdanning for å bruke postkort. Det er bare protokoller for overføring av informasjon, og en liten del av en mye bredere utdanning. Det er et lite, veldig spesifikt område. Personell blir utdannet til bredere fagfelt enn dette. Kanskje spisset mot sikkerhet eller nettverksfunksjonalitet. For de områdene man snakker om er det muligens noe innenfor automasjonsutdanning eller rett og slett elektrikerutdanning? Noen andre får skyte inn for dette fagområdet.

Som flere andre har sagt her, for at IPv6 skal bli et problem her, har man et større problem i utgangspunktet - usikkert oppsett. IPv6 er bare en nyere protokoll å kommunisere over mot utstyr der oppsettet i utgangspunktet allerede er usikkert.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...