iT邦幫忙

0

工廠區網病毒橫行,設備電腦必須連網收送資料,該如何自保?

如題
該工廠區網病毒橫行
工廠資安我也無權插手
生產設備的控制是由PC處理的
原本想說直接PC連區網
把所需的數據上報就好
結果只要一連區網不久後就會藍屏
設備PC也都是過時的win7
除了定時去update防毒軟體(我沒辦法顧著所有設備定期Update防毒,我不隸屬該工廠)

想了想
用樹梅派當中間層,由樹梅派寫Socket串設備PC收集資料後,再由樹梅派另外一個網卡上報到工廠網路

請教各位大神
這樣做妥當嘛?
還是有更好的作法呢?

===update===

  1. 此廠非科技廠,自動化設備並不多,位於東南亞,IT資安意識較為輕視
  2. 小弟非該廠人員,但必須對該設備改善(可以當我是該設備外包,非長駐)
  3. 該廠為了邁入工業4.0,所以希望設備數據能上傳。
  4. 原設備不連網已經生產多年,但只要一接上網路就會有藍屏狀況,安裝防毒後就可避免
  5. 會用樹梅派主要是希望能隔離生產設備PC與區網,就算樹梅派掛了,設備照常生產
  6. 該設備pc升級win10沒持續更新防毒的話,也許道高一尺魔高一丈,哪天又不行了
  7. 是想確認採用樹梅派把SSH關了後,是不是甚至還能有替設備擋住病毒的功能
看更多先前的討論...收起先前的討論...
lard0921 iT邦新手 5 級 ‧ 2021-01-22 11:18:22 檢舉
先把廠區全部電腦病毒都清除才是首要點八...抓出感染之主機直接重灌處理了
補覺鳴詩 iT邦研究生 2 級 ‧ 2021-01-22 11:43:01 檢舉
不是啊 會藍屏 確定是病毒造成?
既然你有裝防毒軟體,那應該會有對應的 LOG 可以佐證
真的有肯定的答案 那就請該廠區人員處理好,真的是被打掛,樹梅派應該沒有比 PC 有更強的防護力

我認為你的前提就有問題,硬加個樹梅派確定能解決問題?
雖你這樣做..工廠人員還是有人會用隨身碟讀資料.導致設備中毒
不是只有透過網路...

這個方法應該算是最佳的做法了
sbphsho iT邦新手 5 級 ‧ 2021-01-22 16:11:02 檢舉
隨身碟的確有毒沒錯,我中過...
froce iT邦大師 1 級 ‧ 2021-01-22 16:35:44 檢舉
不是啊,你是外包的你管這個要幹麻?
沒出事台灣老闆不會痛的。讓他真的停擺個幾天再端出解決方案吧。
sbphsho iT邦新手 5 級 ‧ 2021-01-22 16:44:20 檢舉
客戶只會說需求是設備數據上報,不會跟你說自己廠網路環境多遭。之前連區往後,設備會當機,為了生產就拔掉網路就好了,當時就不追設備數據上報了,新年度又要開始追功能了,因為我不是真的外包,說不接就沒事了,所以還是要處理這件事情。
echochio iT邦高手 1 級 ‧ 2021-01-23 19:28:06 檢舉
看給多少預算 ....
給個 樹莓派 也行 .... 找個 一千出頭 雙網卡的 就用 iptables 做 nat 只開 FTP ....哈
cklouie iT邦新手 5 級 ‧ 2021-01-24 18:38:50 檢舉
每個VLan裝一台台製的UTM,1Gbps應該夠50台機用了,CP值可以
https://www.cloudsecure.online/pico-utm-100
曾於資訊月接觸到一家"椰棗科技", 他們專職在這部份, 或許可與他們談談您的問題
sbphsho iT邦新手 5 級 ‧ 2021-01-25 09:20:17 檢舉
Pico-UTM 100 這個方案好像不錯,研究研究,謝謝
不花錢方式就是把 Win 防火牆打開,然後讓需要的 Port 打開,其他全部關閉掉。
或是乾脆買台 二手 Fortigate 防火牆( 很便宜 ... ) ,讓你的電腦躲在 Frotigate 後面,把需要對外連線的 Port 打開, Fortigate 做 NAT ,你自己的電腦與設備獨立一個網段,跟外面完全隔離。
1
hsiang11
iT邦好手 1 級 ‧ 2021-01-22 11:27:07

你的問題也太離奇了吧
定時去update防毒軟體? 這不是防毒軟體基本功能了
怎麼會需要人去介入
你應該要先找出區網哪一台中毒,所有區網電腦都掃毒
另一方面調查工廠設備軟體支不支援升win10
把系統都一併加強才是根本之道

你們這類生產公司可能會牽涉到中毒生產線停擺的問題
嚴重性之高還需要多加強資安預算
跟老闆說別開玩笑
中毒不會沒有原因
有時候夾在中間的人沒有辦法管控上層與使用者行為
就為中間的人打開地獄之門了

sbphsho iT邦新手 5 級 ‧ 2021-01-22 12:13:46 檢舉

此工廠9.9成生產設備沒連網(區網),連網的都是office的電腦

1

在不清楚你的角色定位之前。我很難給你很有效的建議。

因為正常來說,首要的一定得找出病毒的來源才行。
或是找出藍屏的原因。
一般來說,藍屏的原因不該牽拖到病毒身上才對。
一定有其它問題才對。

只是...你又說你不是該廠人員。
那你的身份在廠又算什麼呢?
因為理論上你非該廠人員來說,照理說你也因該無法操控他們的電腦才對。

所以....請先說明好你的角色關係。才好對症下藥。

再來回答你想問的問題
基本上來說,很難告訴你可以及不可以。
畢竟在不了解病毒的情況下。這種做法是否有效處理並不清楚。
畢竟只要網路有接上都有其可能性。
沒有辦法知道這樣的做法是否可行。

依照你後續的說明。
「是想確認採用樹梅派把SSH關了後,是不是甚至還能有替設備擋住病毒的功能」

希望你能認清一下,沒有所謂的設備可以擋住病毒。
在不了解病毒的情況下。
且也一定得要有認知,只要連網了就一定會中毒。

所以你目前的想法,只能跟你說你可以去試試。
理論上成效不大才對。而且還可能會發生更多的問題。

我是有個建議可以給你參考。這是曾經給客戶工廠最佳的方式。
系統是裝上還原系統的。連防毒都沒裝的。

反正他們的資料還是中央傳送。並不會直接存在本機上。
(雖然我也開了一個不會被還原的區給他們存放)

只要重開機就自動還原。
參考看看吧

sbphsho iT邦新手 5 級 ‧ 2021-01-22 23:04:11 檢舉

這好像也是一條路

3
japhenchen
iT邦大師 1 級 ‧ 2021-01-22 11:32:34

為何要拿兩三千元的樹莓派做網路分隔轉送工作?找一台穩定性高的低階伺服器來做,不要把整個工廠的運作,擺在一個幾千元的小機器上,那是用來學習用的板子,不是一個可靠的實務工作機..

另,把毒掃掉,系統重新弄好,這才是重點,而不是把有毒的廠房跟總公司隔開,三天兩頭的重灌藍屏的電腦,不累嗎?

2
dscwferp
iT邦高手 1 級 ‧ 2021-01-22 11:37:32

"只要一連區網不久後就會藍屏" 的狀況 是 "您的區網有電腦中毒了"
才會去攻擊工廠win7電腦, 然後入侵發作
讓 工廠win7電腦 藍屏
先不說 如何去解毒

先說如何防止 "只要一連區網不久後就會藍屏"
您說用 "樹梅派當中間層"
不如用 防火牆 或 nat 當 中間層
這樣不用自己做, 市面上就有
要資安認證過的也有了!
這樣就可以達成您要的:
將 工廠win7電腦 保護在 防火牆 或 nat 內部
然後 還可以 上報到工廠網路
簡單又方便!
以上建議希望能幫您忙!

sbphsho iT邦新手 5 級 ‧ 2021-01-22 12:10:24 檢舉

sounds good
我研究看看

1
chsinzk
iT邦新手 1 級 ‧ 2021-01-22 11:53:58

不花錢的做法
WINDOWS防火牆開起來

預設開啟Port都先關閉

僅開啟程式傳輸用的Port

最好是共用資料夾網路芳鄰Port都鎖掉

Port開放要限制指定電腦IP

1
rogeryao
iT邦大師 5 級 ‧ 2021-01-22 11:56:08

基於"工廠資安我也無權插手"之考量,建議 :
1.提供一份完整的報告給你的上司(內含無法取得資料對公司的影響)
2.由你的上司請對方提出改善對策及時程

畢竟,這是該工廠的"管理"問題,況且你無權插手的事提供再多的解法,也只是猜測.

sbphsho iT邦新手 5 級 ‧ 2021-01-22 12:11:41 檢舉

沒錯
只能在夾縫中找出路

3
mytiny
iT邦大師 1 級 ‧ 2021-01-22 13:26:39

看到許多先進的協助
心中不禁起了非常大的疑惑
難道大家不知道網路結構運作嗎?
不管是L2交換,或L3路由,或防火牆NAT
只要網路有通,攻擊與病毒就是可以通過的
這最基本的常識應該要有啊

有個簡報的某一頁提到相關的困境https://ithelp.ithome.com.tw/upload/images/20210122/20083857pWomlIcYZC.jpg

雖然樓主不是該廠人員,只是設備外包商
但是也應該說明事情嚴重性,並撇清責任關係
不然等到該廠全部網路掛掉停擺的時候
就再也說不清楚責任誰要擔了
而解決的辦法只有一個
就是在每一條網路線上都做防入侵及防毒等內容層檢測
如果要發展工業4.0,確實已經很多製造業都這樣做了
不需要"樹梅派",也不需要每個埠都裝資安設備(貴死)
只要能延伸上述防護到每個交換器或無線基地台的埠口就好
交換器或基地台能有多貴,是吧!

sbphsho iT邦新手 5 級 ‧ 2021-01-22 14:25:39 檢舉

是工廠要求我數據上報,我設備被毒網搞掛,不是我搞掛別人呀。

mytiny iT邦大師 1 級 ‧ 2021-01-25 13:53:52 檢舉

sbphsho大大,當然知道是無辜的
但是根據經驗,一旦發生事故時,真的有理講不清
所以才建議趁早把事情說清楚

如果要找解決方案
即便是同一VLAN內也是會互相感染
何況製造業,一個VLAN就是一大片,
設備位置在哪裡都不好確認
建議您可以詢問FortiNet原廠諮詢
可以先參考影片1影片2

1
s12873514
iT邦新手 5 級 ‧ 2021-01-22 14:03:17

樹梅派當中間層不就是版上2019年狂推的樹梅派熱潮嗎

記得當時一堆樹梅派大神,喊出自己搭防火牆、自己搭L3,自己搭路由呢

mytiny iT邦大師 1 級 ‧ 2021-01-22 14:16:28 檢舉

防火牆沒有內容層檢測也是白搭
這樣樹莓派還要搭SDN還要開源資安資料庫
每一埠都接的情況下,先不說網路管理,費用就很嚇人
如果再加上IoT運作需要無線網路
每一個無線訊號之間避免傳遞風險
樹莓派估計也很難做到
只能說:理想很美好,現實是殘酷的

樹莓派應該無法內容層檢測吧?畢竟還要解密/加密SSL流量。
樹莓派應該純粹就是stateful inspection防火牆的程度

1
pis520
iT邦新手 3 級 ‧ 2021-01-23 09:54:05

我只想說~~
你知道的太多了!!!

0
kigg1234
iT邦新手 5 級 ‧ 2021-01-23 10:52:58

先請問大大一個問題,您使用的PC到上傳SERVER走的路線是哪一種?

  • 以下以假設你使用的PC沒中毒等等的前提。

1、 PC -> 區網 -> 區網內SERVER

2、 PC -> 外網 -> 外網SERVER

1的話..幫你QQ

2的話是否可以把你用的PC安裝一個USB無線網卡,然後你手機分享熱點使用就好。

ps.好啦我來亂的...

1
打雜工
iT邦新手 3 級 ‧ 2021-01-23 20:00:11

找當地(東南亞)厲害的IT人員協助診斷或處理吧~
有些狀況,要到現場才會更清楚(如:架構、問題肇因、限制、預算...等)
不清楚上述種種問題,不容易給具體的建議

0
sd3388
iT邦新手 5 級 ‧ 2021-01-27 13:48:57

此廠非科技廠,自動化設備並不多

老大此言差矣
現在不管傳不傳統科不科技
設備都會需要聯網,除非不搞ERP

在此情形下,網路資安的知識就非常重要
連入網路,或跟網路通訊
在此之前就一定要通過資安檢核
設備互連之後,更是時時要做資安監控
不同網段如此,同一網段更重要
不然,台灣的護國神山出事案例就是最好的教訓

建議樓主把所管PC中毒事件
一律向廠方回報並要求處理
處理資安事故並不是您的責任
請廠方處理完再接通你電腦設備
不然讓廠商出資,你找合適的資安方案來做
廠方甩鍋不管看來是不負責任

sbphsho iT邦新手 5 級 ‧ 2021-01-27 14:01:48 檢舉

我這傳產大多都是機械型設備,有電有氣有水就開始做了,連個數位系統都沒,要全部都連網還很遙遠的。

我要發表回答

立即登入回答