Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Vil IPv6 være egnet for bruk i Industrielle Kontrollnettverk?


Anbefalte innlegg

7 minutes ago, barfoo said:

Klassefulle nettverk kan mao ikke brukes lengre, og å nevne det i en lærebok produsert etter år 2000 er vranglære.

Hva med lokale nettverk i 10.x.x.x serien? Kn kan man ikke bygge opp på denne måten?

8 minutes ago, barfoo said:

Det har med all respekt å melde ikke resten av dine påstander i denne tråden heller...

Da gjelder det jo ikke å fortelle folk hvor dumme de er, men å forsøke å tilføre litt kunnskap. Ikke bare å fortelle om hva som er feil, men også litt om de riktige løsningene.   

Lenke til kommentar
Videoannonse
Annonse
Just now, arne22 said:

Hva med lokale nettverk i 10.x.x.x serien? Kn kan man ikke bygge opp på denne måten?

Nei, verden bruker CIDR. Dvs. at alt nettverksutstyr du tar i vil støtte at 10.0.0.0-nettet kan brukes som noe annet enn /8. Med klassefulle nettverk ville du kun fått til å benytte 10.0.0.0/8 som nettverk. Dette var ikke en gang nytt når du lærte om TCP/IP for 25 år siden...

Lenke til kommentar
arne22 skrev (34 minutter siden):

Det er nok noe av det første man lærer på VG1 ja. Men det ikke så mye om industrielle kontrollnettverk på dette klassetrinnet.

Du svarte ikke på spørsmålet mitt.

Er det fordi du ikke vil, eller fordi du ikke kan?

  • Liker 2
Lenke til kommentar
arne22 skrev (13 timer siden):

Det man kan bruke en hub til det er å oppnå forbedret funksjonalitet til en packet-sniffer. Enig?

Nei. En hub øker på ingen måte funksjonaliteten til en pakkesniffer.

Men jeg tror du forstår hva jeg vil frem til, om en noe feilformulert. Oppfølgingsspørsmålet mitt da blir; kommer den dårligere sikkerheten i et IPv4 nettverk med hub kontra switch fra IPv4 adresseringen, TCP/UDP protokollen, dårlig lagde hubber eller kompetansen hos den som designer nettverket/monterer nettverket?

  • Liker 1
Lenke til kommentar
19 hours ago, nomore said:

Nei. En hub øker på ingen måte funksjonaliteten til en pakkesniffer.

Mange år siden jeg testet dette, ettersom "hub" ikke lengre er i vanlig bruk, og så vidt jeg vet ikke i vanlig salg. Men slik som det fungerte den gangen jeg testet det ut, så kunne man koble en hub inn i eller i serie med en datakabel. (En hub virker jo på layer 1 i forhold til OSO modellen.) Når man så koblet en PC med packet sniffer kjørende, så kunne man lese ut alle de datapakkene som kjørte gjennom hubben. 

Tilsvarende ble også oppnådd ved å sette opp to nettverkskort i bridgemode på en Red Hat LInux maskin og så la trafikken passere gjennom broen. Da kunne man lese ut all trafikken som passerte gjennom denne broen. En slik bro fungerer imidlertid ut i fra lag 2 i OSI modellen, slik at MAC adressene blir endret.

Når man bruker Linux/Netfilter på denne måten så er det også mulig å formulere regler for en "bridge mode firewall" slik at man kan få broen til å droppe de pakkene man måtte ønske. Man kan da bruke de egenskapene til pakkene som man kan lese i packet sniffer til å formulere regler for hvilke pakker bridge mode firewall eventuelt skal droppe eller man kan eventuelt bare loggføre pakkene.

En Hub fungerer ellers på lag 1 i OSI modellen. EN switch på lag 2 og en router på lag 3 i OSI modellen. Det som har å gjøre med IPv4 og IPv6 og ip adresser hører jo hjemme på lag 3, men de dataene man leser når man henter pakker fra lag 1 eller lag 2 vil være forskjellig, slik at tolkningen av data fra packet-sniffer ikke blir lik.

Jeg har linket opp til et online kurs som forklarer noe av dette i denne tråden:

 

Endret av arne22
Lenke til kommentar

Litt oppsummering av "bruk av IPv6 i kontrollnettverk". (Foreløpige konklusjoner.)

For IPv4:

  • IPv4 baserer seg på korte enkle IP adresser med lengde 32 bit, som kan være lokale og som vanligvis bare ha gyldighet inne på lokalnettverket.
  • IPv4 adresser kan enten settes opp automatisk ved bruk av DHCP eller manuelt. Begge deler er svært enkelt å konfigurere og sette opp. Automasjonsutstyret vil vanligvis ikke være tildelt IP adresser som kan rutes over Internett.
  • De fleste kjente systemer for HMI, logging, journalføring og de fleste typer PLS'er, med datakommunikasjon støtter IPv4, som har vært brukt i en årrekke.
  • Utstyret vil vanligvis ligge bak en NAT router som også har funksjoner for "anonymisering" og "firewalling".
  • Det vil være svært enkelt å teste ut eller å verifisere sikkerhet for kontroll-nettverket ved bruk av nettverksscanner og eventuelt packet sniffer.
  • Lite behov for opplæring. Stort opplæringtilbud.
  • Fordeler: Enkelt, robust, utprøvd. Ingen kjente utfordringer, lett å verifisere.

For IPv6:

  • IPv6 baserer seg på noe lengere adresser med lengde 128 bit. En node som skal kunne kommunisere ut i mot Internett, for eksempel for oppdatering vil ofte kunne ha 1 eller flere globale IPv6 adresser, som kan routes via Internett.
  • Det er mulig å bare å bruke "link-local" adresser som bare kan kommunisere lokalt. Link-local adressene settes opp automatisk av utstyret selv, slik at det vl være komplisert å sette opp kommunikasjon mellom forskjellig teknisk utstyr.  
  • Det er mulig å konfigurere slik at de globale IPv6 adressene settes opp automatisk ved hovedsakelig ved hjelp av to alternative metoder, SLAAC og DHCPv6 (Det ser også ut til å finnes flere metoder.)
  • Det er også mulig å konfigurere utstyrets globale IPv6 adresser manuelt, men dette må gjøres i samarbeid med ISP, ettersom utstyrets individuelle "tildelte lokale adresser", også skal være rutbare over internett.
  • Det utstyret som skal kobles opp i et IPv6 kontrollnettverk må være kompatibelt med IPv6. Pr i dag så er det kanskje mye utstyr som ikke støtter IPv6 (PLS, HMI, Scada(?), osv)
  • Det må undersøkes og verifiseres at utstyr for loggføring og bearbeiding av data også støtter IPv6. 
  • Verifisering av sikkerhet ved hjelp av portscanner blir vesentlig mye mer komplisert. Hver IPv6 node vil kunne inneholde mange forskjellige IPv6 adresser som må scannes individuelt, ettersom scanning av IP-range ikke er praktisk mulig. 
  • Tolkning av data fra packet sniffer blir svært komplisert, ved at det vil opptre et stort antall lange IPv6 adresser, uten at man vet hvilket utstyr hver enkelt adresse tilhører.
  • Stort opplæringsbehov. Foreløpig et forholdvis lite opplæringstilbud.
  • Fordeler: I forhold til industrielle kontrollnettverk - Ingen kjente.   

Andre problemstillinger:

Man må også ta hensyn til hvilken yrkesgruppe det er som er "maskinbyggere" og som skal sluttkontrollere og skrive samsvarserkæring etter Maskinforskriften og NEK EN 60204-1. Dette vil jo ofte være en automatiker. De to nye lærebøkene som ble gitt ut nå nylig, inneholder av det jeg kan se ikke et eneste ord om IPv6, eller konfigurering av eller sikkerhet for IPv6 nettverk 

Foreløpig konklusjon:

For industrielle kontrollnettverk, så er det i dag i liten grad behov for IPv6. Gjennomføring av IPv6 vil foreløpig skape mange flere nye problemer enn de som blir løst. For bruksområdet industrielle kontrollnettverk, så vil det by på mange fordeler å avvente IPV6 til teknologien og rutinene rundt bruken av IPv6 blir mer moden.  

Hva Industrien så gjør i praksis, det er det jo bare framtiden som kan vise.

En sak som ville være interessant å undersøke nærmere i den sammenheng det er hvordan denne problemstillingen fungerer i land som har kommet mye lengre i implementeringen av IPv6 i forhold til "nasjonalt og lokalt Internett".

Rettelse:

I innlegg fra barfoo litt nedenunder i tråde så kommer det fram at "nodene" i et IPv6 nettverk også kan kommunisere ved hjelp av ULA adresser. Dette medfører jo at det er mulig å planlegge og bruke interne ULA adresser på en litt annen måte enn link-local og globale IPv6 adresser.. 

Endret av arne22
Lenke til kommentar

Konklusjonen din er med all tenkelig respekt å melde totalt verdiløs. Du tar for eksempel ikke opp problemene NAT medfører når det gjelder å bestemme opphavet til trafikk.

Du tar også med aparte punkter, som at "Tolkning av data fra packet sniffer blir svært komplisert, ved at det vil opptre et stort antall lange IPv6 adresser, uten at man vet hvilket utstyr hver enkelt adresse tilhører. "

I et automasjonsnett ville jeg brukt statiske IPer, og hatt 1:1-mapping mellom IP og utstyr. Det er også et krav iht. IEC62443 at en slik oversikt finnes.

Videre har du jo ikke nevnt fordeler ved IPv6, som f.eks. ULA. Det gjer at man kan ha langt flere private nett enn det som er mulig med RFC1918, og man kan være sikker på at de er unikt adresserbare.

Du har enkelt og greit ikke nok oversikt over nettverk til å komme med en troverdig konklusjon rundt temaet. At du forsøker velger jeg å tolke som bekreftelse på Dunning-Kruger.

Lenke til kommentar

Men jeg er automatiker og har sånn sett god rede på hva automatikere ikke kan 🙂

Bruker ellers alltid statiske adresser i IPv4 nettverk.

Sitter og blar i de to nye lærebøkene for automatikerfaget, og der står det vel stort sett, og av det jeg kan se, ingen ting om IPv6.

Endret av arne22
Lenke til kommentar
barfoo skrev (På 7.1.2023 den 17.40):

Jeg vil tippe du ikke finner veldig mye, av to grunner:

  • Forskjellene er ikke så store. TCP er fortsatt TCP.
  • Veldig lite lavnivå automasjonsutstyr støtter IPv6, så det er ikke veldig relevant problemstilling enda.

IPV6? Mye av skiten de kommer drassende gjennom dørene støtter jo ikke en gang TCP og kjører en eller annen bus tullingene som selger skiten tviholder på, eller i beste fall har en TCP converter som i beste fall er bogus. 

Premissene som skiller IPV6 fra IPV4 er gjerne diskusjonen om hvorvidt de skal henges på et internt subnet eller stå rett på nett med en offentlig IPV6 adresse. Selv om dette strengt tatt er mulig med IPV4 så er det en mer relevant tanke med IPV6. Jeg vet ikke om det er dette TS tenker på, men jeg nevner det like vel. 

Folkene som kommer drassende på dette utstyret, og deres kunskap om nettverk og holdning til sikkerhet er i seg selv grunn nok til å ikke vurdere en slik løsning spør du meg. (No offense, og jo det finnes sikkert floke folk her også). 

Men, altså en generell betrakning, ikke nødvendigvis helt spisset inn mot diskusjonen her...

 

Endret av Serpentbane
Lenke til kommentar
56 minutes ago, barfoo said:

I et automasjonsnett ville jeg brukt statiske IPer, og hatt 1:1-mapping mellom IP og utstyr. Det er også et krav iht. IEC62443 at en slik oversikt finnes.

Men hvordan gjør man dette i praksis, for IPv6, sånn forklart for en enfoldig automatiker?

Link-local adressene genereres vel automatisk, så de kan man vel ikke bruke? 

Hvordan går man da fram rent praktisk for å sette statiske adresser i IPv6? Dette må vel være globalt rutbare IPv6 adresser, slik at det må skje i samarbeid eller ut i fra opplysninger fra ISP?

Har tilgang til Standard.no online, men har ikke lagt inn IEC62443. Hvilken del er den mest sentrale? (Det koster jo kroner for hver ny standard man legger inn.) 

Eventuelt en lærebok som kan anbefales i forhold til IEC62443?

 

Endret av arne22
Lenke til kommentar
31 minutes ago, Serpentbane said:

IPV6? Mye av skiten de kommer drassende gjennom dørene støtter jo ikke en gang TCP og kjører en eller annen bus tullingene som selger skiten tviholder på, eller i beste fall har en TCP converter som i beste fall er bogus. 

Mesteparten av de "rare tingene" som jeg har vært borte i kjører jo feltbuss og her finnes det jo verken IP adresser eller TCP. Det gjelder vel for de fleste feltbuss og for instrumenteringssystemer generelt.

På nivå over, dvs "kontrollnett", altså kommunikasjon mellom PLS, HMI, Scada, osv så går det vel mye i IPv4 og TCP. Har man utstyr som støtter som støtter IPv6, så skulle det jo være mulig å bruke IPv6 på dette nivået. Hvis Scada kjører på PC, så skulle jo det i seg selv gi mulighet for IPv6. (Men enhetene man henter inn data, dvs PLS og lignende fra må jo også være IPv6)

Endret av arne22
Lenke til kommentar
arne22 skrev (2 timer siden):

Mange år siden jeg testet dette, ettersom "hub" ikke lengre er i vanlig bruk, og så vidt jeg vet ikke i vanlig salg. Men slik som det fungerte den gangen jeg testet det ut, så kunne man koble en hub inn i eller i serie med en datakabel. (En hub virker jo på layer 1 i forhold til OSO modellen.) Når man så koblet en PC med packet sniffer kjørende, så kunne man lese ut alle de datapakkene som kjørte gjennom hubben.

Men du omgår jo egentlig svare på spørsmålet. Hva er det som faktisk gjør at dette er mulig?

Lenke til kommentar
22 minutes ago, nomore said:

Men du omgår jo egentlig svare på spørsmålet. Hva er det som faktisk gjør at dette er mulig?

Hvorfor fungerer enheter på lag 1 i OSI modellen som de gjør? Det må vel falle litt utenom det som går på maskinbygging og automatikerfaget?

Lenke til kommentar
36 minutes ago, arne22 said:

Men hvordan gjør man dette i praksis, for IPv6, sånn forklart for en enfoldig automatiker?

Du setter statisk IP på utstyret. Det skjer stortsett på lignende måte som for IPv4.

37 minutes ago, arne22 said:

Link-local adressene genereres vel automatisk, så de kan man vel ikke bruke? 

Det mest aktuelle er globale eller ULA, som jeg linket til i innleggett mitt.

40 minutes ago, arne22 said:

Har tilgang til Standard.no online, men har ikke lagt inn IEC62443. Hvilken del er den mest sentrale? (Det koster jo kroner for hver ny standard man legger inn.) 

Det avhenger av hva din rolle er. Mest konkrete er vel fort 3-3.

Lenke til kommentar
1 hour ago, Serpentbane said:

Premissene som skiller IPV6 fra IPV4 er gjerne diskusjonen om hvorvidt de skal henges på et internt subnet eller stå rett på nett med en offentlig IPV6 adresse.

Det oppfatter ikke jeg som en reell diskusjon. At man har globalt rutbare adresser (eller i det minste unike, som med ULA) handler stortsett ikke om et ønske om å tillate trafikk, men heller å kunne muliggjøre sammenkobling ved behov.

Lenke til kommentar
7 minutes ago, barfoo said:

Du setter statisk IP på utstyret. Det skjer stortsett på lignende måte som for IPv4.

Hvis man vet hva som er riktig adresse, ja.

7 minutes ago, barfoo said:

Det mest aktuelle er globale eller ULA, som jeg linket til i innleggett mitt.

Globale adresser må man vel få fra ISP? ULA er lokale adresser som kan settes "manuelt" og som man kan velge selv? Men disse kan i så fall ikke kommunisere ut mot internett? (Hvis man ikke setter opp en form for proxy?)

Endret av arne22
Lenke til kommentar
6 minutes ago, arne22 said:

Globale adresser må man vel få fra ISP?

Ikke nødvendigvis. Man kan få sitt eget adresseområde fra RIR, for Europa sin del RIPE. De kan man annonsere i samarbeid med ISP.

7 minutes ago, arne22 said:

ULA er lokale adresser som kan settes "manuelt" og som man kan velge selv?

Korrekt. De er ikke globalt rutbare, men kan brukes innen samme organisasjon. Fordelen over RFC1918 er at det er så mange flere, så man kan ha flere nettverk - og ved sammenslåinger er sjansen for kollisjoner liten.

Lenke til kommentar
barfoo skrev (13 minutter siden):

Det oppfatter ikke jeg som en reell diskusjon. At man har globalt rutbare adresser (eller i det minste unike, som med ULA) handler stortsett ikke om et ønske om å tillate trafikk, men heller å kunne muliggjøre sammenkobling ved behov.

Nei, men IPV4 og 6 er i praksis "same same but different", men når man begynner å snakke om IPV6 er det ofte globalt rutbare adresser man sikter etter. Jo, det er noen andre små ting, men... 

Altså, hva er premissene for spørmålet eller diskusjonen?

Så skrives det mye om klassefulle nett og CIDR, uten at jeg skjønner hvordan det er relevant for diskusjonen?

Hva ønsker man å oppnå med IPV6 i kontekst av spørsmålet? Selvfølgelig kan IPV6 brukes om støtte implementeres i utstyret. Men... 

Lenke til kommentar
56 minutes ago, barfoo said:

Det avhenger av hva din rolle er. Mest konkrete er vel fort 3-3.

Interessant. Ser at det er mye info på Youtube. Denne videoen ser ut til å gi en god oversikt.

Fant også en IPv6 bok som jeg synes ser ganske OK ut. (Lastet med en preview) Noen bedre forslag?

Endret av arne22
  • Innsiktsfullt 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...