Anzeigen - Industry Support Siemens
Contents
1. Pr fung Regel Pr fung erfolgt lokal projektweit Im Register Schnittstellen muss die Netz ID des internen Subnetzes x unterschiedlich zur Netz ID des externen Subnetzes sein Die internen IP Adressen d rfen nicht identisch sein mit den IP Adressen des x Moduls bernehmen Sie den durch die Subnetzmaske bestimmten Anteil f r die IP x Adressen e Die externe IP Adresse muss im selben Subnetzbereich liegen wie die externe IP Adresse des Security Moduls im Register Schnittstellen e Die interne IP Adresse muss im selben Subnetzbereich liegen wie die interne IP Adresse des Security Moduls im Register Schnittstellen Eine IP Adresse die in der NAT NAPT Adressumsetzungsliste verwendet wird X darf keine Multicast Adresse und keine Broadcast Adresse sein Der Standard Router muss in einem der beiden Subnetze des Security Moduls x liegen d h er muss entweder zur externen oder zur internen IP Adresse passen Die f r die NAPT Umsetzung vergebenen externen Ports liegen im Bereich gt 0 x und lt 65535 Port 123 NTP 443 HTTPS 514 Syslog und 500 4500 IPsec sind davon ausgeschlossen Die externe IP Adresse des Security Moduls darf in der NAT Tabelle nur f r die x Richtung Scr NAT nach Extern verwendet werden Die interne IP Adresse des Security Moduls darf in der NAT Tabelle und in der x NAPT Tabelle nicht verwendet werden Duplikatspr fung in der NAT Tabelle x Eine externe IP Adresse die mit Richtung D2. Firewall Alle Telegrammtypen von intern nach extern sind standardm ig geblockt au er den explizit zugelassenen Alle Telegrammtypen von extern nach intern sind standardm ig geblockt au er den explizit zugelassenen Die IP Paketfilterregel 1 l sst Telegramme mit der Dienstdefinition Service X1 von intern nach extern zu Die IP Paketfilter Regel 2 l sst Telegramme von extern nach intern zu wenn erf llt ist e IP Adresse des Absenders 196 65 254 2 e IP Adresse des Empf ngers 197 54 199 4 e Dienstdefinition Service X2 Die IP Paketfilter Regel 3 blockt Telegramme mit der Dienstdefinition Service X1 im VPN IPsec Tunnel IPsec Tunnelkommunikation ist standardm ig zugelassen au er den explizit geblockten Telegrammtypen Siehe auch MAC Paketfilter Regeln Seite 125 Wertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs Seite 215 IP Adressen in IP Paketffilter Regeln 120 Die IP Adresse besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind Beispiel 141 80 0 16 In der Paketfilter Regel haben Sie folgende M glichkeiten IP Adressen anzugeben e keine Angabe Es erfolgt keine Pr fung die Regel gilt f r alle IP Adressen e eine IP Adresse Die Regel gilt genau f r die angegebene Adresse Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus e Ad
3. Log Einstellungen im Standard Modus Die Log Einstellungen im Standard Modus entsprechen den Voreinstellungen im Erweiterten Modus Im Standard Modus k nnen Sie die Einstellungen jedoch nicht ver ndern Log Einstellungen im Erweiterten Modus 1 Markieren Sie das zu bearbeitende Modul 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Log Einstellungen Der folgende Dialog zeigt die Standard Einstellungen f r das Security Modul zus tzlich ist der Dialog zur Konfiguration der Aufzeichnung von System Ereignissen ge ffnet Grundlagen und Anwendung 208 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Online Funktionen Test Diagnose und Logging 8 2 Ereignisse aufzeichnen Logging E Moduleigenschaften Modulel keck SCH VPN Sat Routing Modus S DHCP Server E Netzwerk Goes C SSL Zertifikate O Zeitsynchronisierung EI Log Einstellungen B Knoten Lokaler Log Ereignisklassen Ereignisklasse aktivieren Umlaufspeicher Linearer Speicher Log buffer IV Paketfilter Ereignisse Firewall Ce C Paket Log R Audit Log Iw Systemereignisse Konfigurieren 5 Systemereignisse konfigurieren Filterung der Systemereignisse Ebene 0 Emergency Eigenschaften der Systemereignisse Leitungsdiagnose Fehlerhafte Telegramme 2a 16 local 0 ie Yam ng Limit fehlerhafte Pakete Priorit t 4 OK Abbrechen mp Abbrechen m E Ereignisklassen kon
4. Bezeichnung Bedeutung Auswirkung Neu Legen Sie eine neue IP Adresse oder einen neuen IP Adressbereich mit den dazugeh rigen Rechten an ndern Markieren Sie einen Eintrag und klicken Sie auf diese Schaltfl che um einen bestehenden Eintrag zu bearbeiten L schen L schen Sie ber diese Schaltfl che den ausgew hlten Eintrag Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 1 1 4 Eintrag zur Zugriffsliste hinzuf gen Nehmen Sie folgende Einstellungen vor 4 1 CPs im Standard Modus Feld IP Adresse oder Start des IP Bereich Beschreibung Geben Sie die IP Adresse oder den Anfangswert eines IP Bereichs ein Ende des IP Bereichs optional Geben Sie den Endwert eines IP Bereichs ein Kommentar Zus tzliche Kommentareingabe beispielsweise zur Beschreibung des Kommunikationspartners oder des Adressbereiches Diese IP Adresse ist autorisiert f r Zugriff auf Station A Access Kommunikationspartner mit Adressen im angegebenen Bereich haben Zugriff auf die dem CP zugeh rende Station CP CPU Diese Zugriffsberechtigung ist f r IP Adressen die Sie in der Verbindungsprojektierung angegeben haben implizit gesetzt gilt nur f r spezifizierte Verbindungen IP Routing zu anderem Subnetz R Routing Kommunikationspartner mit Adressen im angegebenen Bereich haben Zugriff auf weitere am CP angeschlossene Subnetze Diese
5. Hinweis Detaillierte Firewall Einstellungen im Erweiterten Modus Im Erweiterten Modus k nnen Sie Firewall Regeln auf einzelne Teilnehmer beschr nken Um in den Erweiterten Modus zu wechseln klicken Sie das Optionsk stchen Erweiterter Modus aktiveren Tabelle 4 9 Verf gbare Dienste und Richtungen Regel Option Ausschlie lich getunnelte Kommunikation Freigegebene Ports Funktion Das ist die Standardeinstellung Die Option ist nur dann w hlbar wenn sich das Modul in einer Gruppe befindet Mit dieser Einstellung wird nur verschl sselter IPsec Datentransfer zugelassen nur Knoten in internen Netzen von SCALANCE S k nnen miteinander kommunizieren Wenn diese Option abgew hlt ist dann ist die getunnelte Kommunikation und zus tzlich die in den anderen Auswahlboxen angew hlte Kommunikationsart zugelassen Erlaube IP Verkehr vom internen ins externe Netz Interne Knoten k nnen eine Kommunikationsverbindung zu Knoten im externen Netz initiieren Nur Antworttelegramme aus dem externen Netz werden ins interne Netz weitergeleitet Vom externen Netz aus kann keine Kommunikationsverbindung zu Knoten im internen Netz initiiert werden Erlaube IP Verkehr mit S7 Protokoll vom internen ins externe Netz TCP Port 102 Interne Knoten k nnen eine S7 Kommunikationsverbindung zu Knoten im externen Netz initiieren Nur Antworttelegramme aus dem externen Netz werden ins interne Netz weitergeleitet Vom e
6. Im Internet unter folgender Beitrags ID 56714413 http support automation siemens com W W view de 567 14413 B 10 SIMATIC NET Industrial Ethernet Security B 10 1 WEI SIMATIC NET Industrial Ethernet Security SCALANCE S ab V3 0 Inbetriebnahme und Montagehandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 56576669 http support automation siemens com W W view de 56576669 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 221 Literaturverzeichnis B 10 SIMATIC NET Industrial Ethernet Security B 10 2 B 10 3 222 14 SIMATIC NET Industrial Ethernet Security EDGE GPRS Router SCALANCE MD741 1 Systemhandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 31385703 http support automation siemens com WW view de 31385703 WI SIMATIC NET Telecontrol SCALANCE M875 Betriebsanleitung Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 58122394 http support automation siemens com WW view de 58122394 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Index cer 56 190 dat 190 p12 56 70 190 3 3DES 172 A Administrator 60 Adressband 121 Adresse des Netz bergangs 216 Adressparameter 75 Advanced Encryption Standard AES 172 AES 159 172 Aggressive Mode 172 Aktive Tei
7. Siehe auch Wertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs Seite 215 MAC Adresse Seite 216 74 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Module anlegen und Netzparameter einstellen 3 1 Parameter im Inhaltsbereich 3 1 Parameter im Inhaltsbereich So erreichen Sie die Ansicht Selektieren Sie im Navigationsbereich das Objekt Alle Module Folgende Eigenschaften der Module werden spaltenweise angezeigt Eigenschaft Spalte Bedeutung Kommentar Auswahl Nummer Fortlaufende Modulnummer wird automatisch vergeben Name Eindeutige Modulbenennung frei w hlbar Typ Ger tetyp Hinweis F r Ger te vom Produkttyp SOFNET Configuration existiert kein Eigenschaftsdialog F r SCALANCE M k nnen Sie im Inhaltsbereich nur die IP Adressen und die Subnetzmasken einstellen IP Adresse ext IP Adresse ber die das Ger t im Im Netzverbund passende Vergabe externen Netz erreichbar ist z B zum Laden der Konfiguration Subnetzmaske ext Subnetzmaske Im Netzverbund passende Vergabe IP Adresse int IP Adresse ber die das Ger t im Im Netzverbund passende Vergabe internen Netz erreichbar ist wenn Das Eingabefeld ist nur dann es als Router konfiguriert ist editierbar wenn der Routing Modus aktiviert ist Subnetzmaske int Subnetzmaske Im Netzverbund passende Vergabe Das Eingabefeld ist nur dann editierbar wenn der Routing Modus ak
8. ACHTUNG Die internen Netze werden als sicher vertrauensw rdig betrachtet Verbinden Sie ein internes Netzsegment nur ber SCALANCE S mit den externen Netzsegmenten Weitere Verbindungswege zwischen dem internen und externen Netz d rfen nicht vorhanden sein Grundlagen und Anwendung 22 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 6 Einsatz von SCALANCE S612 und S623 1 6 Einsatz von SCALANCE S612 und S623 Umfassender Schutz Aufgabe von SCALANCE S612 und SCALANCE S623 Durch die Kombination unterschiedlicher Sicherheitsma nahmen wie Firewall NAT NAPT Router und VPN Virtual Private Network ber IPsec Tunnel sch tzen die Security Module SCALANCE S612 und SCALANCE S623 einzelne Ger te oder auch ganze Automatisierungszellen vor e Datenspionage e Datenmanipulation e unberechtigten Zugriffen SCALANCE S erm glicht diesen Schutz flexibel r ckwirkungsfrei protokollunabh ngig ab Layer 2 gem IEEE 802 3 und ohne komplizierte Handhabung SCALANCE S und SOFTNET Security Client werden mit dem Projektierwerkzeug Security Configuration Tool konfiguriert Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 23 Einf hrung und Grundlagen 1 6 Einsatz von SCALANCE S612 und S623 I i Fertigungsleitrechner VG mit CP 1628 externes Netz Industrial S7 400 mit S7 300 mit u CP 443 1 Advanced
9. ER Teilnehmer von SCALANCE S 192 168 10 109 192 168 10 1 192 168 10 11 PR Teilnehmer von SCALANCE S 192 168 10 110 192 168 10 1 192 168 10 11 V Lemen der internen Knoten Alle l schen Log Konsole Juni 14 2010 09 19 32 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 1 Juni 14 2010 09 19 32 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 101 Juni 14 2010 09 19 32 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 102 4 p Liste leeren Hilfe Falls Knoten bzw Teilnehmer in der Tabelle nicht angezeigt werden setzen Sie ber die Kommandozeile ein Ping Kommando an den fehlenden Knoten ab Ergebnis Der Knoten wird vom Security Modul gelernt und an den SOFTNET Security Client weitergegeben Anmerkung Falls der Dialog nicht ge ffnet ist w hrend ein Teilnehmer erfasst wird wird der Dialog automatisch aufgeblendet Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 SOFTNET Security Client 7 5 Tunnel einrichten und bearbeiten Hinweis Statisch konfigurierte Teilnehmer und Subnetze Wenn Sie Teilnehmer oder Subnetze statisch konfigurieren m ssen Sie auch die Konfiguration f r einen in der VPN Gruppe genutzten SOFTNET Security Client neu laden 7 Aktivieren Sie die Teilnehmer bei denen noch keine Tunnelverbindung aufgebaut ist Nach erfolgreic
10. Logging Einstellungen aktivieren 4 1 Je nach eingestellter Bedienungssicht unterscheidet sich auch hierf r die Projektierung W hrend im Standard Modus das Logging nur f r einige vordefinierte Regels tze pauschal eingeschaltet werden kann kann es im Erweiterten Modus f r jede einzelne Pakettfilter Regel aktiviert werden CPs im Standard Modus Paketfilter Regeln aktivieren 88 Wenn Sie in STEP 7 f r die CPs die Security Funktion aktivieren sind zun chst alle Zugriffe auf und ber den CP zugelassen Um einzelne Pakeffilter Regeln zu aktivieren klicken Sie das Kontrollk stchen Firewall aktivieren Schalten Sie anschlie end die gew nschten Dienste frei Firewall Regeln die aufgrund einer Verbindungsprojektierung automatisch angelegt werden haben Vorrang vor den hier eingestellten Diensten Alle anderen Teilnehmer haben vollen Zugriff Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 1 CPs im Standard Modus Detaillierte Firewall Einstellungen im Erweiterten Modus Im Erweiterten Modus k nnen Sie Firewall Regeln auf einzelne Teilnehmer beschr nken Um in den Erweiterten Modus zu wechseln klicken Sie das Optionsk stchen Erweiterter Modus Firewall Projektierung mit VPN Befindet sich das Security Modul in einer VPN Gruppe ist standardm ig das Kontrollk stchen Ausschlie lich getunnelte Kommunikation aktiviert Dies bedeutet dass ber die exter
11. Modul festgelegt mit welcher Kombination aus Facility und Severity das Ereignis angezeigt wird System Ereignisse Die Aktivierung erfolgt ber das Optionsk stchen Zur Konfiguration des Ereignisfilters und der Leitungsdiagnose ffnen Sie ber die Schaltfl che Konfigurieren einen weiteren Dialog Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 C286 01 213 Online Funktionen Test Diagnose und Logging 8 2 Ereignisse aufzeichnen Logging Funktion Register im Online Dialog Projektierung Bemerkungen Filterung der System Ereignisse Stellen Sie in diesem Sub Dialog f r W hlen Sie als Filterebene Error oder die Systemereignisse eine einen h heren Wert um die Filterebene ein Standardm ig sind Aufzeichnung von allgemeinen nicht die folgenden Werte eingestellt kritischen Ereignissen abzustellen e SCALANCE S Ebene 0 Hinweis f r CP e CP Ebene 3 W hlen Sie f r den CP nur Ebene 3 oder Ebene 6 aus e Bei Auswahl von Ebene 3 werden die Fehlermeldungen der Ebenen 0 bis 3 ausgegeben e Bei Auswahl von Ebene 6 werden die Fehlermeldungen der Ebenen O bis 6 ausgegeben P Die Leitungsdiagnose erzeugt ein ber die Severity gewichten Sie die Leitungsdiagnose DER on we spezielles System Ereignis Stellen System Ereignisse der Leitungsdiagnose Sie ein ab welchem Prozentsatz im Verh ltnis zur Severity der brigen fehlerhafter Telegramme ein System
12. Projektierungshandbuch 03 2012 C79000 G8900 C286 01 19 Einf hrung und Grundlagen 1 4 Einsatz vom SOFTNET Security Client Ausgangsmodul M glicher Baugruppentausch ohne Verluste mit eventuellen Verlusten SOFTNET Security Client SOFTNET Security Client 2005 2008 SOFTNET Security Client V3 0 SOFTNET Security Client V4 0 SOFTNET Security Client SOFTNET Security Client 2005 und v3 0 SOFTNET Security Client 2008 SOFTNET Security Client SOFTNET Security Client 2005 und 2 v4 0 SOFTNET Security Client 2008 SOFTNET Security Client V3 0 SCALANCE M Wenn sich das Modul nicht in einer Routing Gruppe befindet Wenn sich das Modul nicht mit einem MD Modul in einer VPN Gruppe befindet Siehe auch Bedienoberfl che und Men befehle Seite 38 2 Seite 218 1 4 Einsatz vom SOFTNET Security Client PG PC Kommunikation im VPN Aufgabe des SOFTNET Security Client Mit der PC Software SOFTNET Security Client sind gesicherte Fernzugriffe vom PG PC auf Automatisierungsger te die durch Security Module gesch tzt sind ber ffentliche Netze hinweg m glich Mittels des SOFTNET Security Client wird ein PG PC automatisch so konfiguriert dass er eine gesicherte IPsec Tunnelkommunikation im VPN Virtual Private Network zu einem oder mehreren Security Modulen aufbauen kann PG PC Applikationen wie NCM Diagnose oder STEP 7 k nnen so ber eine gesicherte Tunnelverbindung au
13. System Ereignisse Ereignis erzeugt werden soll Weisen Hinweis Sie dem System Ereignis eine Facility und eine Severity zu Weisen Sie den System Ereignissen der Leitungsdiagnose keine geringere Severity als der Filterung der System Ereignisse zu Ansonsten passieren diese Ereignisse den Filter nicht und werden vom Syslog Server nicht aufgezeichnet 8 2 3 Projektierung des Paket Logging Projektierung des Logging im Standard Modus Informationen zum Logging von IP und MAC Regels tze finden Sie im Kapitel CPs im Standard Modus Seite 88 im jeweiligen Unterkapitel des Security Moduls Projektierung des Logging im Erweiterten Modus Die Aktivierung des Logging ist f r beide Regeltypen IP oder MAC und alle Regeln identisch Um Datenpakete bestimmter Paketfilter Regeln aufzuzeichnen setzen Sie im Register Firewall in der Spalte Log einen Auswahlhaken Grundlagen und Anwendung 214 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Anhang A 1 A DNS Konformit t DNS Konformit t gem RFC1035 beinhaltet folgende Regeln A 2 e Beschr nkung auf 255 Zeichen insgesamt Buchstaben Ziffern Bindestrich oder Punkt e der Name muss mit einem Buchstaben beginnen e der Name darf nur mit einem Buchstaben oder einer Ziffer enden e ein Namensbestandteil innerhalb des Namens d h eine Zeichenkette zwischen zwei Punkten darf max 63 Zeichen lang sein e keine Sonderzeichen wie Umlaute Klammern
14. 03 2012 C79000 G8900 C286 01 83 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S 3 2 4 Porteinstellungen Ports konfigurieren Nehmen Sie f r die Ports die Verbindungseinstellungen vor e Halbduplex Das Security Modul kann zu einem Zeitpunkt entweder Daten empfangen oder senden e Vollduplex Das Security Modul kann zu einem Zeitpunkt gleichzeitig Daten empfangen und senden bertragungsgeschwindigkeit und Duplex Verfahren w hlen Gehen Sie folgenderma en vor 1 W hlen Sie in den Moduleigenschaften des Security Moduls das Register Schnittstellen 2 Klicken Sie auf die Schaltfl che Erweiterte Einstellungen 3 W hlen Sie das Register Port Einstellungen Folgende bertragungsraten werden unterst tzt Auswahl Beschreibung Autonegotiation Die bertragungsgeschwindigkeit und das Duplex Verfahren werden automatisch ausgew hlt Hinweis Nur wenn Autonegotiation ausgew hlt ist wird die Autocrossing Funktion unterst tzt 10 MBit s half und full duplex bertragungsgeschwindigkeit von 10 Mbit s 100 MBit s half und full duplex bertragungsgeschwindigkeit von 100 Mbit s Grundlagen und Anwendung 84 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S 3 2 5 Internetverbindung Zus tzliche Parameter Wenn eine Verbindung ber PPPoE
15. Anmerkung Wegen dieser Auswirkung auf die Adressumsetzungsliste ist diese Option trotz der zus tzlichen Zuordnung einer Portnummer dem Eingabebereich NAT zugeordnet Umsetzungsart Src NAT Dst NAT Extern Feld M gliche Eingaben Bedeutung Externe IP Adresse e IP Adresse im externen Subnetz Erfolgt die Adressumsetzung von intern nach extern Bei dynamischer Adressevergabe siehe Tabelle Umsetzungsart Dst NAT von Extern funktioniert diese Umsetzungsart nicht Erfolgt die Adressumsetzung von extern nach intern Interne IP Adresse Se S bnet siehe Tabelle Umsetzungsart Src NAT nach Extern NAPT aktivieren Der Eingabebereich f r NAPT wird aktiviert NAPT Umsetzungen werden erst durch die nachfolgend beschriebene Option und Eintr ge in die Liste wirksam Zus tzlich m ssen Sie die Firewall passend konfigurieren siehe Beispiele Feld M gliche Eingaben Bedeutung externer Port Port oder Portbereich Beispiel f r die Eingabe eines Portbereiches 78 99 Ein Teilnehmer im externen Netz kann einem Teilnehmer im internen Subnetz ein Telegramm senden indem er diese Portnummer verwendet interne IP Adresse Siehe Kapitel IP Adressen in IP Paketffilter Regeln Alternativ k nnen Sie symbolische Namen eingeben IP Adresse des angesprochenen Teilnehmers im internen Subnetz interner Port Port Portnummer eines Teilnehmers im internen Subnetz Grundlagen und Anwendung Proje
16. Firewall Regeln Ge ndertes Verhalten nach Migration e Nach der Migration wirkt der Zugriffsschutz nur noch an der externen Schnittstelle Damit der Zugriffsschutz auch an der internen Schnittstelle wirkt Konfigurieren Sie im Erweiterten Modus von SCT die entsprechenden Firewall Regeln e Das Security Modul antwortet auch auf ARP Anfragen von nicht freigegebenen IP e Wenn Sie eine IP Access Control Liste ohne Eintr ge migrieren wird die Firewall aktiviert und auf den CP kann von extern nicht mehr zugegriffen werden Damit der CP erreichbar ist konfigurieren Sie im Erweiterten Modus von SCT die entsprechenden So erreichen Sie diese Funktion 94 Men befehl SCT Markieren Sie das zu bearbeitende Modul und w hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall Men befehl STEP 7 IP Zugriffsschutz gt Start der Firewall Konfiguration Schaltfl che Ausf hren Tabelle 4 3 Angaben Parameter Bedeutung IP Adresse Zugelassene IP Adresse oder IP Adressbereich Rechte Je nach getroffener Zuordnung Rechte die f r die IP Adresse freigeschaltet sind Kommentar Zus tzliche Kommentareingabe Logging Aktiveren Sie das Kontrollk stchen werden die Regeln im Paketfilter Log aufgezeichnet Erweiterten Modus aktiveren Aktiveren Sie das Kontrollk stchen werden die Eintr ge in folgende Firewall Regeln umgewandelt Tabelle 4 4 Schaltfl chen
17. GO Telegramme vom Security Modul nach extern vom folgenden Typ sind zugelassen e ARP mit Bandbreitenbegrenzung e PROFINET DCP mit Bandbreitenbegrenzung Folgende Protokolle die durch IPsec Tunnel gesendet werden sind zugelassen e ISO e LLDP Hinweis Keine Kommunikation am VPN Tunnel vorbei Zus tzlich wird f r alle im Projekt bekannten VPN Partnern verhindert dass eine Kommunikation zwischen den VPN Endpunkten am Tunnel vorbei m glich ist Das Verhalten kann auch nicht durch das Anlegen von entsprechenden Firewall Regeln im Erweiterten Modus ge ndert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 G8900 C196 07 91 Firewall projektieren 4 1 CPs im Standard Modus 4 1 1 2 Firewall projektieren So erreichen Sie diese Funktion 1 Markieren Sie das zu bearbeitende Modul 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall Tabelle 4 1 Verf gbare Dienste und Richtungen Dienst Station gt Extern gt Extern gt Extern amp Freigegebene Bedeutung Extern Intern Station Station Ports Intern gt Extern Erlaube IP x x x Der IP Verkehr f r die ausgew hlten Kommunikation Kommunikationsrichtungen wird zugelassen Erlaube S7 x x x TCP Port 102 Kommunikation der Protokoll Netzwerkteilnehmer ber das S7 Protokoll wird zugelassen Erlaube x x x TCP Port 20 Zur Dateiverwaltung un
18. Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen es erneut So erreichen Sie diese Funktion 1 Markieren Sie das zu bearbeitende Modul Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 149 Weitere Moduleigenschaften projektieren 5 2 Security Modul als DHCP Server 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register DHCP Server EI schnitstelen E Routing Si NAT D I Firewall I Zeitsynchronisierung A Log Enstellungen t Knoten ven DHCP Server E3 SNMP Proxy ARP 9 DHCP aktivieren Einstellungen f r Schnittstelle nen D Statische Adresszuordnungen MAC Adresse Client ID IP Adresse 02 02 03 03 04 04 200 1 2 195 02 02 03 03 04 05 200 1 2 198 Hinzuf gen Entfernen Dynamische Adresszuordnungen Geben Sie den gew nschten Adressbereich ein Startadresse 200 1 2 200 Endadresse 200 1 2 220 Erweiterter Modus Op Abbrechen bernehmen Hilfe 3 Aktiveren Sie das Kontrollk stchen DHCP aktiveren 4 W hlen Sie aus f r welche Schnittstelle die DHCP Einstellungen vorgenommen werden sollen 5 Neh
19. Je nachdem ob Sie an den Gruppeneigenschaften etwas ge ndert haben oder nicht m ssen Sie beim Vorgehen unterscheiden e Falla Wenn Sie die Gruppeneigenschaften nicht ge ndert haben 1 F gen Sie die neuen Security Module der Gruppe hinzu 2 Laden Sie die Konfiguration in die neuen Module e Fallb Wenn Sie die Gruppeneigenschaften ge ndert haben 1 F gen Sie die neuen Security Module der Gruppe hinzu 2 Laden Sie die Konfiguration in alle Module die zur Gruppe geh ren Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 C286 01 173 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Vorteil Bereits vorhandene in Betrieb genommene Security Module m ssen nicht neu projektiert und geladen werden Die laufende Kommunikation wird nicht beeinflusst oder unterbrochen Einstellungen f r Teilnehmer mit unbekannter IP Adresse Teilnehmer bei denen zum Projektierungszeitpunkt die IP Adresse unbekannt ist Unknown Peers k nnen in eine bestehende VPN Gruppe eingef gt werden Da sich die Teilnehmer meist im mobilen Einsatz befinden und die IP Adresse dynamisch beziehen z B ein SOFTNET Security Client oder SCALANCE M kann der VPN Tunnel nur aufgebaut werden wenn Sie die Parametereinstellungen f r Phase 1 entsprechend einer der folgenden Tabellen vornehmen Verwenden Sie andere Einstellungen k nnen Sie keinen VPN Tunnel zum Endger t aufbauen Ta
20. Regel f r eine automatische Verbindungsregel angelegt Grundlagen und Anwendung 126 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren Erlaubte Richtungen Wertebereiche 4 3 Im Erweiterten Modus Folgende Richtungen k nnen eingestellt werden Tabelle 4 17 Firewall Richtungen CP Auswahlm glichkeiten Security Modul Bedeutung Von Nach CP x43 1 Adv CP 1628 Extern Station x x Zugriff vom externen Netz auf die Station Station Extern x x Zugriff von der Station auf das externe Netz Tunnel x x Zugriff von der Station auf VPN Tunnelpartner Tunnel Station x x Zugriff ber VPN Tunnelpartner auf die Station Tabelle 4 18 Firewall Richtungen SCALANCE S 2 V3 0 Von Auswahlm glichkeiten Wertebereiche Nach S602 V3 Security Modul S612 V3 S623 V3 Intern Extern x x x Tunnel x Any x DMZ Extern Intern Any Tunnel DMZ Tunnel Intern Extern DMZ Any Intern Extern DMZ DMZ Intern Extern Any Tunnel x X x X X X X X X X x X x x x x X Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 G8900 C196 07 Auch f r SCALANCE S 602 V2 g ltig Auch f r SCALANCE S 612 V2 und SCALANCE S 613 V2 g ltig 127 Firewall projektieren 4 3 Im Erwei
21. Test Diagnose und Logging 8 2 Ereignisse aufzeichnen Logging 8 2 2 Netzwerk Syslog Einstellungen in der Konfiguration Sie k nnen das Security Modul als Client konfigurieren der Logging Informationen an einen Syslog Server sendet Der Syslog Server kann sich im lokalen internen oder im externen Subnetz befinden Die Implementierung entspricht RFC 3164 Hinweis Firewall Syslog Server im externen Netz nicht aktiv Wenn der Syslog Server auf dem adressierten Rechner nicht aktiv ist sendet dieser Rechner in der Regel ICMP Antworttelegramme port not reachable zur ck Wenn aufgrund der Firewall Konfiguration diese Antworttelegramme als Systemereignisse aufgezeichnet und an den Syslog Server gesendet werden kann sich dieser Vorgang endlos fortsetzen Ereignis Lawine Abhilfen e Syslog Server starten e Firewall Regeln ndern e Rechner mit deaktiviertem Syslog Server vom Netz nehmen Log Einstellungen vornehmen 1 Schalten Sie ber den Men befehl Ansicht gt Erweiterter Modus die Betriebsart um Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen es erneut 2 Markieren Sie das zu bearbeitende Modul 3 W hlen Sie den Men
22. Testmail versenden Den Status von Baugruppen Applet Status der Baugruppen im Rack SPS abzufragen lesen Die Bestellnummer von Applet Bestellnummer der Baugruppen im Baugruppen abzufragen Rack lesen 2 4 4 bersicht Allgemeine Inhalte In beiden SCT Versionen werden Sie beim Anlegen eines neuen Projektes aufgefordert einen Benutzernamen und ein Passwort zu vergeben Der Benutzer den Sie hier anlegen ist vom Typ administrator Nach der Eingabe k nnen Sie die Einstellungen im Projekt vornehmen Allgemein beinhalten die Konfigurationen eines Projektes e Projektweit g ltige Einstellungen e Modulspezifische Einstellungen e Gruppenzuordnungen f r IPsec Tunnel 7777 Zus tzlich regelt eine Benutzerverwaltung die Zugriffsberechtigungen auf die Projektdaten und damit auf die Security Module Projektweit g ltige Einstellungen e Projekteigenschaften Diese umfassen neben allgemeinen Adress und Namensangaben Vorgaben f r Initialisierungswerte Globale Firewall Regels tze Globale Firewall Regeln k nnen mehreren Modulen gleichzeitig zugewiesen werden Diese M glichkeit vereinfacht in vielen F llen die Projektierung im Gegensatz zur Projektierung von lokalen Firewall Regels tzen in den modulspezifischen Einstellungen Dienst Definitionen Mit Hilfe der Definition von IP oder MAC Diensten k nnen Sie Firewall Regeln kompakt und bersichtlich definieren NTP Server NTP Server werden projektweit angelegt
23. Unterstrich Schr gstrich Blank etc Wertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs Wertebereich f r IP Adresse Die IP Adresse besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 141 80 0 16 Wertebereich f r Subnetzmaske Die Subnetzmaske besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 255 255 0 0 Die 4 Dezimalzahlen der Subnetzmaske m ssen in ihrer bin ren Darstellung von links eine Folge von l ckenlosen Werten 1 und von rechts eine Folge von l ckenlosen Werten 0 enthalten Die Werte 1 bestimmen die Netznummer innerhalb der IP Adresse Die Werte 0 die Host Adresse innerhalb der IP Adresse Beispiel richtige Werte 255 255 0 0 D 1111 1111 1111 1111 0000 0000 0000 0000 B 255 255 128 0 D 1111 1111 1111 1111 1000 0000 0000 0000 B 255 254 0 0 D 1111 1111 1111 1110 0000 0000 0000 0000 B falscher Wert 255 255 1 0 D 1111 1111 1111 1111 0000 0001 0000 0000 B Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 215 Anhang A 3 MAC Adresse Zusammenhang IP Adresse und Subnetzmaske Die erste Dezimalzahl der IP Adresse von links bestimmt den Aufbau der Subnetzmaske hinsichtlich der Anzahl der Werte 1 bin r wie folgt f r x steht die Host Adresse Erste Dezimalzahl der IP Adresse Subnetzmaske 0 b
24. che Beenden Ergebnis Der SOFTNET Security Client wird beendet und die Sicherheitsrichtlinie deaktiviert 7 2 2 SOFTNET Security Client deinstallieren Bei der Deinstallation werden die vom SOFTNET Security Client eingestellten Security Eigenschaften zur ckgesetzt 7 3 Konfigurationsdatei mit Projektierwerkzeug Security Configuration Tool erstellen SOFTNET Security Client Modul im Projekt konfigurieren Der SOFTNET Security Client wird im Projekt als Modul angelegt Im Gegensatz zu den Security Modulen m ssen Sie keine weiteren Eigenschaften projektieren Weisen Sie das SSC Modul der oder den VPN Gruppen zu in denen IPsec Tunnel zum PG PC eingerichtet werden sollen Dabei werden die Gruppeneigenschaften bernommen die Sie f r diese Gruppen projektiert haben ACHTUNG Beachten Sie die Angaben zu den Parametern im Kapitel Security Modul in konfigurierte Gruppe aufnehmen Seite 173 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 C286 01 189 SOFTNET Security Client 7 3 Konfigurationsdatei mit Projektierwerkzeug Security Configuration Tool erstellen Hinweis Wenn Sie mehrere SOFTNET Security Clients innerhalb einer Gruppe anlegen werden keine Tunnel zwischen diesen Clients aufgebaut sondern nur vom jeweiligen Client zu den Security Modulen Konfigurationsdateien f r den SOFTNET Security Client Die Schnittstelle zwischen dem Projektierwerkzeug Security Configur
25. die beschriebene Zeile ist nur f r S7 CPs relevant i Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Security Module au er den S7 CPs relevant PC CP Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r PC CPs relevant D CPI SH Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Security Module au er den PC CPs relevant CP Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 5 Vorwort Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle S7 CPs und PC CPs relevant D GE Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Security Module au er den CPs relevant d Auf besondere Tipps werden Sie in dieser Anleitung mit diesem Symbol hingewiesen v Das Symbol verweist auf besondere Literaturempfehlungen Dieses Symbol weist auf detailliertere Hilfestellung in der kontextabh ngigen Hilfe hin Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen Dialog Literaturhinweise Hinweise auf weitere Dokumentationen sind mit Hilfe von Literaturnummern in Schr gstrichen angegeben Anhand dieser Nummern k nnen Sie dem Literaturverzeichnis am Ende des Handbuchs den Titel der Dokumentation entnehmen Siehe auch http sup
26. e ber den Men befehl Optionen gt MAC Dienste oder e Aus dem Register MAC Regeln ber die Schaltfl che MAC Dienste Bedeutung Mit Hilfe der MAC Dienst Definitionen k nnen Sie Firewall Regeln die auf bestimmte Dienste angewendet werden definieren Sie vergeben einen Namen und ordnen diesem die Dienstparameter zu Zus tzlich k nnen Sie so definierte Dienste unter einem Gruppennamen zu Gruppen zusammenfassen Bei der Projektierung der globalen oder lokalen Paketfilter Regeln verwenden Sie dann diese Namen Grundlagen und Anwendung 128 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren Parameter f r MAC Dienste Tabelle 4 19 MAC Dienste Parameter 4 3 Im Erweiterten Modus Eine MAC Dienst Definition beinhaltet eine Kategorie protokoll spezifischer MAC Parameter Bezeichnung Name Bedeutung Kommentar Frei definierbarer Name f r den Dienst der zur Identifikation in der Regeldefinition oder in der Gruppenzusammenfassung verwendet wird Auswahlm glichkeiten Wertebereiche freie Eingabe Protokoll Name des Protokolltyps e ISO ISO bezeichnet Telegramme mit folgenden Eigenschaften Lengthfield lt 05DC hex DSAP userdefined SSAP userdefined CTRL userdefined e SNAP SNAP bezeichnet Telegramme mit folgenden Eigenschaften Lengthfield lt 05DC hex DSAP AA hex SSAP AA hex CTRL 03 hex OUl userdefined OUI Type userdefined e PR
27. e Gesicherte administrative Kommunikation Die bertragung der Einstellungen ist signiert und verschl sselt und darf nur von autorisierten Personen durchgef hrt werden e Zugriffsschutz im Security Configuration Tool Durch die Benutzerverwaltung des Security Configuration Tool ist ein Zugriffsschutz f r die Security Module und die Projektierdaten gew hrleistet e Wechselmedium C PLUG einsetzbar Der C PLUG ist ein steckbares Wechselmedium auf dem Konfigurationsdaten verschl sselt abgespeichert sind Er erm glicht beim Austausch eines Security Moduls die Konfiguration ohne PG PC sofern das Security Modul eine Datenhaltung auf dem C PLUG unterst tzt SS Grundlagen und Anwendung 34 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 Das Security Configuration Tool ist das zu den Security Modulen mitgelieferte Projektierwerkzeug Das vorliegende Kapitel macht Sie mit der Bedienoberfl che und der Funktionsweise des Projektierwerkzeuges vertraut Sie erfahren wie Security Projekte eingerichtet bedient und verwaltet werden Weitere Informationen Wie Sie Module und IPsec Tunnel konfigurieren wird ausf hrlich in den Folgekapiteln dieses Handbuches erl utert Detailinformationen zu den Dialogen und den einstellbaren Parametern gibt Ihnen auch die Online Hilfe Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen Dialog 2 1
28. gen F gen Sie ber die Schaltfl che einen neuen Benutzer ein Im aufgeblendeten Dialog geben Sie den Benutzernamen ein und legen das Passwort und die system oder benutzerdefinierte Rolle fest L schen L schen Sie ber die Schaltfl che den ausgew hlten Eintrag Hinweis e Im Projekt muss immer mindestens ein Benutzer mit der Rolle Administrator vorhanden sein Der Administrator der bei Projekterstellung automatisch angelegt wird kann nur gel scht werden solange mindestens ein weiterer Benutzer mit vollst ndigen Projektierungsrechten existiert 2 6 3 Rollen anlegen Welche Rollen gibt es Sie k nnen einem Benutzer eine systemdefinierte oder benutzerdefinierte Rolle zuweisen Die Rechte der Rolle legen Sie pro Security Modul fest Systemdefinierte Rollen Vordefiniert sind folgende systemdefinierten Rollen Den Rollen sind bestimmte Rechte zugewiesen die auf allen Baugruppen gleich sind und die der Administrator nicht ndern oder l schen kann e administrator Standardrolle beim Anlegen eines SCT Projekts Uneingeschr nkte Zugriffsrechte auf alle Konfigurationsdaten e standard Alle Rechte au er Benutzer Rollen verwalten Grundlagen und Anwendung 60 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 6 Benutzer verwalten e diagnostics Standardrolle beim Anlegen eines neuen Benutzers Lesender Zugriff auf Konfigurationen Lesender Z
29. int nur anzugeben wenn Routing Modus aktiviert Bedeutung Wertebereich f r Subnetzmaske Die Subnetzmaske wird entsprechend der eingegebenen IP Adresse vorgeschlagen Die Subnetzmaske besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 255 255 0 0 Auswahl speichern Aktivieren Sie diese Funktion wird Ihre derzeit eingestellte Konfiguration in die Standard Initialisierungswerte bernommen Beim Einf gen von neuen Modulen wird nicht mehr der Dialog Auswahl einer Baugruppe oder Softwarekonfiguration ge ffnet sondern gleich ein Modul entsprechend den festgelegten Einstellungen in das Projekt eingef gt Um diese Funktion wieder aufzuheben und einen anderen Modultyp auszuw hlen m ssen Sie diese Funktion unter folgendem Men pfad deaktivieren Projekt gt Eigenschaften gt Standard Initialisierungswerte Hinweis Zus tzliche Einstellungen Porteinstellungen Festlegungen zum DMZ Port Aktivierung von PPPoE usw nehmen Sie im Register Schnittstellen vor Informationen dazu finden Sie im Kapitel Schnittstellen konfigurieren SCALANCE S Seite 77 CPs in STEP 7 anlegen CPs werden nur in STEP 7 angelegt Sie erscheinen nach dem Anlegen und der Festlegung als Security Modul in deren Eigenschaften in der Liste der konfigurierten Module in SCT Die Adressdaten werden aus STEP 7 bernommen und k nnen in SCT nicht ge ndert werden
30. m glich So rufen Sie SOFTNET Security Client f r die Konfiguration auf Doppelklicken Sie auf das Symbol in der Windows Taskleiste oder w hlen Sie ber das Kontextmen den Men punkt ffne SOFTNET Security Client BL ber SOFTNET Security Client W hle Sprache Maximiere SOFTNET Security Client Beende SOFTNET Security Client RM lt SOFTNET Security Client Fee ze Datei Optionen Hilfe Verbindungsoptionen Konfiguration laden Tunnel bersicht Minimieren Hilfe Info Grundlagen und Anwendung 192 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 SOFTNET Security Client 7 4 SOFTNET Security Client bedienen ber die Schaltfl chen erreichen Sie folgende Funktionen Bearbeiten der Tunnel Importieren der Konfiguration SO TNET Security Client Datei tionen Hilfe Verbindurgsoptionen Konfiguration laden Tunnel bersicht Deaktivieren Minimieren Hilfe Info Sg Schaltfl che Bedeutung Konfigurationsdaten laden Dialog zur Auwahl einer Konfigurationsdatei f r den Import W hlen Sie eine Datei aus und klicken auf die Schaltfl che ffnen Ergebnis Die Konfiguration wird eingelesen Im Dialog wird abgefragt ob die Tunnel f r alle Security Module sofort eingerichtet werden sollen Falls in der Konfiguration IP Adressen der Security Module eingetragen sind oder der Lernmodus aktiv ist werden die Tunnel f r alle konfigurierten oder ermittelten Adressen ein
31. r e P Regels tze e MAC Regels tze Die folgende Darstellung verdeutlicht den Zusammenhang zwischen global definierten Regels tzen und lokal verwendeten Regels tzen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 107 Firewall projektieren 4 3 Im Erweiterten Modus Projekt globaler Regelsatz n Modul globaler Regelsatz 2 lokalerRegelsatz globaler Regelsatz 1 EE JE lokale Regel 11 Regel g1 globaler Regelsatz 2 Regel g2 lokale Regel I2 Regel g3 globaler Regelsatz 1 Wann sind globale IP und MAC Firewall Regeln sinnvoll Globale Firewall Regeln sind dann sinnvoll wenn Sie f r mehrere Security Module identische Filterkriterien f r die Kommunikation definieren wollen Hinweis Nur Regels tze zuweisen die vom Security Modul unterst tzt werden Eine fehlerhafte Modulzuordnung kann zu unerw nschten Ergebnissen f hren berpr fen Sie daher immer die modulspezifischen lokalen Firewall Regeln im Ergebnis Eine falsche Regelzuordnung wird bei der automatischen Konsistenzpr fung nicht erkannt Es werden nur die Regeln bernommen die das Security Modul auch unterst tzt Siehe auch Benutzerspezifische Firewall Regeln Seite 110 Grundlagen und Anwendung 108 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus 4 3 2 1 Globale Firewall
32. te in der DMZ aber nicht auf das interne Netz am gr nen Port m glich sind F r erh hten Schutz k nnen erlaubte Zugriffe ausschlie lich auf VPN Datenverkehr eingeschr nkt werden Um auch Ger ten in der DMZ eine dynamische IP Adresse zuweisen zu k nnen kann auf dem gelben Port ein DHCP Server aktiviert werden Allerdings muss in einem solchen Anwendungsfall daf r gesorgt werden dass die Ger te in der DMZ per DHCP immer die gleiche IP Adresse bekommen da diese IP Adressen bei der Firewall Konfiguration zu benutzen sind D h bei der DHCP Projektierung darf nicht die dynamische Adressvergabe sondern nur die statische Adressvergabe anhand der MAC Adresse oder anhand der Client ID verwendet werden Gelber Port als Fernwartungsport Der gelbe Port kann als VPN Endpunkt genutzt werden um als Anschlussport f r Fernwartungszwecke genutzt werden zu k nnen In Verbindung mit einem DSL Modem wird der gelbe Port dann im PPPoE Modus betrieben bzw in Verbindung mit einem vorgeschalteten DSL Router mit statischer IP Adresse Point to Point Protocol over Ethernet Zur Einwahl in das Internet WAN wird PPPoE eingesetzt PPPoE kann entweder am externen Port oder am DMZ Port konfiguriert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 77 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S Einstellungen f r den externen Port mit Adresse ber PPPoE Um ein
33. 109 4 3 2 2 Globale Firewall Regels tze einstellen und zuweisen nn 109 4 3 3 Benutzerspezifische FirewallHegeln ran 110 4 3 3 1 Benutzerspezifische Firewall Regeln einstellen und zuweisen ssssessesrissserrssesrrssrrrrssrerre 111 4 3 4 Verbindungsbezogene automatische Firewall Regeln ns nnnnnnennnnennnnnnn 112 4 3 5 Lokale IP Paketfilter Regeln einstellen nen 114 4 3 6 e Ee E TEE 116 4 3 7 IP Dienste definieren 2 2 22 22 22422 else lei ae 121 4 3 8 IEMP Dienste definieren 22 2 H hi iii 122 4 3 9 MAC Paketfilter Regeln einstellen mann 124 4 3 10 IMAC Pakette Rege encian 444 ee eek EE 125 e he RI EE ET 128 4 3 12 Dienstgruppen eichten 130 Weitere Moduleigenschaften Drolektteren Ae 133 5 1 Sec rity M d l als Router sieri as a e ia A AEEA E EA EE AEAEE TETERE EE 133 5 1 1 bersicht a ina a ee ee 133 5 1 2 ee Ee BEE 134 5 1 3 NAT NAPT RONO te ae ri green 135 5 1 4 Adressumsetzung mNATINAPT nn 137 5 1 5 Zusammenhang zwischen NAT NAPT Router und Eirewall 140 5 1 6 1 1 NAT Routing Beispiele zur Konfiguration Teil 1 141 5 1 7 NAT NAPT Routing Beispiele zur Konfiguration Teil 2 142 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Inhaltsverzeichnis 5 1 8 NAT NAPT Routing Beispiele zur Konfiguration Teil 3 144 5 2 Security Modul als DHCh Gerver nn mann 147 5 2 1 BIE E 0 A E E EE AA e EE a O 147 5 2 2 DHCP Sewer ei le Tt EE 149 5 3 ZeitSyNChron S eErUNg EE
34. 1196 07 105 Firewall projektieren 4 3 Im Erweiterten Modus 4 3 Im Erweiterten Modus Im Erweiterten Modus gibt es erweiterte Einstellm glichkeiten die eine individuelle Einstellung der Firewall Regeln und der Sicherheitsfunktionalit t zulassen In den Erweiterten Modus umschalten Schalten Sie f r alle in diesem Kapitel beschriebenen Funktionen in den Erweiterten Modus um Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen es erneut Symbolische Namen werden unterst tzt Sie k nnen in den nachfolgend beschriebenen Funktionen IP Adressen oder MAC Adressen auch als symbolische Namen eingeben 4 3 1 Firewall projektieren Im Gegensatz zur Projektierung fest vorgegebener Paketfilter Regeln im Standard Modus k nnen Sie im Erweiterten Modus von Security Configuration Tool individuelle Paketfilter Regeln projektieren Die Paketfilter Regeln stellen Sie in w hlbaren Registern f r folgende Protokolle ein e P Protokoll Schicht Layer 3 e MAC Protokoll Schicht Layer 2 Hinweis Keine MAC Regeln bei aktiviertem Routing Modus SCA Wenn Sie f r das Security Modul den Routing Modus aktiviert haben finden MAC Regeln keine Anwendung Dia
35. 153 5 3 1 BerSicht anne aaa BEE Eed eher ed dee det 153 5 3 2 Uhrzeitf hrung konfourieren nn T daa 154 5 3 3 Eintrag hinzuf gen Ed EEN NEEN 155 5 3 4 NTP Server definieren 42 22 4222 2222 een innen gan 155 5 4 GN Mee ee ee Eege ee 157 5 4 1 WE n MEN E IR TEERING E E A AE 157 5 4 2 Oe nt EE EE 158 5 5 ateta EE 159 6 Gesicherte Kommunikation im VPN ber IPeec Tunnel EE 161 6 1 VEN mit Security Modulen 2 222 122 20222 Ee dE 161 6 2 Authentifizierungsmethoden ann 164 6 3 NS E Ee e EE 165 6 3 1 Betriebsarten von VDN Gruppen 165 6 3 2 Gruppen anlegen und Module zuordnen nenn 166 6 4 Tunnelkonfiguration im Standard Modus 169 6 5 Tunnelkonfiguration im Erweiterten Modus nn 169 6 5 1 Gruppeneigenschaften prolekiteren nenne anne 170 6 5 2 Security Modul in konfigurierte Gruppe aufnehmen mann 173 6 5 3 Modulspezifische VPN Eigenschaften kontfouteren 176 6 6 Interne Netzknoten konfiourteren nn 179 6 6 1 Arbeitsweise des Lemmodus ann 180 6 6 2 Anzeige der gefundenen internen Netzknoten nn 182 7 SOFTNET Security Client 185 7 1 Einsatz des SOFTNET Security Client 185 7 2 Installation und Inbetriebnahme des SOFTNET Security Client 188 7 2 1 SOFTNET Security Client installieren und starten 188 7 2 2 SOFTNET Security Client deinstalleren nn 189 7 3 Konfigurationsdatei mit Projektierwerkzeug Security Configuration Tool erstellen 189 7 4 SOFTNET Security Client bedienen mann nnn nn 192 7 3 Tunnel
36. 64 Bit oder e Microsoft Windows 7 Professional 32 64 Bit Service Pack 1 e Microsoft Windows 7 Ultimate 32 64 Bit e Microsoft Windows 7 Ultimate 32 64 Bit Service Pack 1 e Windows Server 2008 R2 64 Bit e Windows Server 2008 R2 64 Bit Service Pack 1 e PGJ PC mit mindestens 128 MByte RAM Speicher und einer CPU mit einer Taktfrequenz von mindestens 1 GHz ACHTUNG Vor der Installation des Security Configuration Tool lesen Sie unbedingt die auf der CD mitgelieferte Datei LIESMICH In dieser Datei sind ggf wichtige Hinweise und die letzten nderungen vermerkt SCALANCE S und CP x34 1 Adv Gehen Sie so vor Sie installieren das Projektierwerkzeug Security Configuration Tool von der mitgelieferten Produkt CD e Legen Sie die Produkt CD in Ihr CD ROM Laufwerk bei eingeschalteter Autorun Funktion wird die Oberfl che automatisch gestartet von der aus Sie die Installation durchf hren k nnen oder e Starten Sie die auf der mitgelieferten Produkt CD vorhandene Anwendung start exe CP 1628 Gehen Sie so vor Sie installieren das Projektierwerkzeug Security Configuration Tool von der DVD SIMATIC NET PC Software 1 Starten Sie im Ordner sw gt Driverdisk gt CP1628 gt SCT die Anwendung setup exe 2 Klicken Sie durch das Setup und w hlen Sie im Fenster Programme gt Selektion der zu installierenden Programme das Programm Security Configuration Tool V3 0 Grundlagen und Anwendung Projektie
37. Achten Sie bei der Verwendung von gesicherter Kommunikation z B HTTPS VPN darauf dass die betroffenen Security Module ber die aktuelle Uhrzeit und das aktuelle Datum verf gen Die verwendeten Zertifikate werden sonst als nicht g ltig ausgewertet und die gesicherte Kommunikation funktioniert nicht So erreichen Sie diese Funktion Men befehl SCT Optionen gt Zertifikatsmanager In den einzelnen Registern stehen Ihnen die folgenden Schaltfl chen zur Verf gung Schaltfl che Beschreibung Importieren Exportieren Import Export von Ger tezertifikaten bzw CA Zertifikaten die nicht in SCT angelegt wurden Die Zertifikate werden auf das Security Modul bertragen Folgende Formate sind erlaubt pem nur Zertifikat crt nur Zertifikat p12 Zertifikat mit dazugeh rigem privaten Schl ssel Hinweis e Benutzer mit der Rolle Diagnose d rfen keinen Export durchf hren Anzeigen ffnet den Zertifikatsdialog von Windows in dem Sie eine bersicht aller Zertifikatsdaten angezeigt bekommen Register Zertifizierungsstellen Die hier angezeigten Zertifikate werden durch eine Zertifizierungsstelle angelegt e CA Zertifikate eines Projekts Beim Erstellen eines neuen SCT Projekts wird f r das Projekt ein CA Zertifikat erzeugt Von diesem Zertifikat werden de SSL Zertifikate f r die einzelnen Security Module abgeleitet e CA Gruppenzertifikate Beim Erstellen einer neuen VPN Grup
38. Advanced 6GK7 343 1GX31 0XE0 mit FW Stand ab V3 0 CP 443 1 Advanced 6GK7 443 1GX30 0XE0 mit FW Stand ab V3 0 CP 1628 6GK1162 8AA00 mit FW Stand ab V1 0 SIMATIC NET SOFTNET Security Client 6GK1 704 1VWO4 0AAO Ausgabestand ab 4 0 Security Configuration Tool Ausgabestand V3 0 Dieses Handbuch wendet sich an Personen welche die Industrial Ethernet Security Funktionalit ten in einem Netzwerk durchf hren Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Vorwort CP Dokumentation auf der Manual Collection Bestell Nr A5SE00069051 Jedem S7 CP liegt die SIMATIC NET Manual Collection bei Diese DVD wird in regelm igen Abst nden aktualisiert sie enth lt die zum Erstellungszeitpunkt aktuellen Ger tehandb cher und Beschreibungen Siehe auch ITI Seite 219 In dieser Anleitung verwendete Symbole S2V3 0 Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S ab V3 0 relevant SGCA Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S relevant S582 as beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle ecurity Module au er SCALANCE S 602 relevant DD S623 Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S 623 relevant S7 CP Das beschriebene Kapitel der beschriebene Abschnitt
39. Bedienoberfl che und Men berehle Symbol Bedeutung Bemerkungen Einen neuen global g ltigen oder benutzerspezifischen IP Regelsatz oder einen globalen EA MAC Regelsatz anlegen Das Symbol ist nur aktiv wenn Sie sich innerhalb des Navigationsbereiches in einem Unterordner von Globale FW Regels tze oder auf dem Ordner Benutzerspez IP Regels tze befinden a Konfiguration in die selektierten Security Module laden bzw Konfigurationsdaten f r SOFTNET Security Client SCALANCE M erstellen In den Offline Modus umschalten 2 Sal In den Online Modus umschalten Men leiste Nachfolgend eine bersicht der w hlbaren Men befehle und deren Bedeutung Men befehl Bedeutung Bemerkungen Tastenkombination Projekt gt Funktionen f r die projektspezifischen Einstellungen sowie das Laden und Speichern der Projektdatei Neu Neues Projekt anlegen F r CP Projekte werden durch STEP 7 Projektierung angelegt et ffnen Bestehendes Projekt ffnen en F r CP Bestehende Projekte k nnen nur ber STEP 7 Projekte ge ffnet werden Speichern Ge ffnetes Projekt unter aktuellem Pfad und Projektnamen speichern Speichern unter Ge ffnetes Projekt unter w hlbarem Pfad und e Projektnamen speichern F r CP Das Projekt ist Teil vom STEP 7 Projekt Der Pfad kann nicht ge ndert werden Eigenschaften Dialog f r Projekteigenschaften ffnen Zuletzt
40. Firewall pr ft wie es das Datenpaket behandeln soll Durch den Eintrag Allow gt Extern nach Intern gt 192 168 2 3 gt HTTP d rfen alle Datenpakete die vom PG ber Port 80 kommen und an 192 168 2 3 adressiert sind passieren Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 141 Weitere Moduleigenschaften projektieren 3 1 Security Modul als Router NAT Umsetzung Aktion Das Datenpaket wird in das interne Netz geleitet Durch die Stateful Inspektion Funktion der Firewall werden die Antworttelegramme automatisch weitergeleitet 5 1 7 NAT NAPT Routing Beispiele zur Konfiguration Teil 2 bersicht Sie finden in diesem Kapitel folgende Beispiele zur Konfiguration des NAT NAPT Routers e Beispiel 1 NAT Adressumsetzung Dst NAT von Extern Anwendungsfall Das interne Netz ist ein privates Subnetz Es soll auf einen internen Teilnehmer z B eine CPU 300 als i Device zugegriffen werden Von der Leitebene aus soll die Web Diagnose oder das Herunterladen von STEP 7 Daten erlaubt sein Von der S7300 Station darf nicht auf die Leitebene zugegriffen werden e Beispiel 2 NAT Adressumsetzung Scr NAT nach Extern Anwendungsfall Das interne Netz ist ein privates Subnetz Teilnehmer im internen Netz ist ein Ger t z B eine CPU 300 als i Device das seine Uhrzeit ber einen NTP Server im Internet synchronisieren m chte Von der Leitebene aus soll die W
41. Funktionsumfang und Arbeitsweise Leistungsumfang Sie verwenden das Projektierwerkzeug Security Configuration Tool f r diese Aufgaben e Projektierung der Security Module e Projektierung von SOFTNET Security Client e Erstellen von Konfigurationsdaten f r SCALANCE M e Test und Diagnosefunktionen Statusanzeigen Zwei Modi vom Security Configuration Tool Das Security Configuration Tool gibt es in folgenden Modi e Security Configuration Tool Standalone Kann unabh ngig von STEP 7 aufgerufen werden Keine Security Projektierung von CPs m glich e Security Configuration Tool in STEP 7 integriert Security Projektierung von CPs sowie der Funktionsumfang von Standard Security Configuration Tool Kann nur aus der STEP 7 Oberfl che heraus aufgerufen werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 35 Projektierung mit Security Configuration Tool 2 1 Funktionsumfang und Arbeitsweise Betriebsarten Das Security Configuration Tool verf gt ber zwei Betriebsarten e Offline Projektierungssicht In der Betriebsart Offline erfolgt die Projektierung der Konfigurationsdaten f r die Security Module und den SOFTNET Security Client Vor dem Ladevorgang muss hierbei keine Verbindung zu dem Security Modul bestehen e Online Der Online Modus dient dem Test und der Diagnose eines Security Moduls Zwei Bedienungssichten In der Betriebsart Offline stellt das Security Configuration Tool zwei Bedienung
42. Lernen kann f r SCALANCE S auch v llig abgeschaltet werden Dann m ssen Sie alle internen Netzknoten die an der Tunnelkommunikation teilnehmen sollen manuell konfigurieren Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 6 Interne Netzknoten Konfigurieren So erreichen Sie die Funktion SCA 1 Markieren Sie das Modul 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Knoten eigenschaften Modull E chnittstellen Routing Ea NAT m Firewall CH Zeitsynchronisierung Lg Log Einstellungen Sa Knoten F VPN La DHCP Server CH SNMP Proxy ARP Y Lernen interner Knoten zulassen Interne Subnetze Interne IP Knoten Interne MAC Knoten Netz ID Subnetzmaske Router IP Adresse ok IL Abbrechen Obernehmen Hilfe Wann ist es sinnvoll den automatischen Lernmodus auszuschalten Die Standardeinstellungen f r das Security Modul gehen davon aus dass interne Netze stets sicher sind das hei t auch dass im Normalfall keine Netzknoten in das interne Netz zugeschaltet werden die nicht vertrauensw rdig sind Das Ausschalten des Lernmodus kann sinnvoll sein wenn das interne Netz statisch ist d h wenn sich die Anzahl der internen Knoten und deren Adressen sich nicht ndern Mit Ausschalten des Lernmodus entf llt im interne
43. Mischbetrieb 165 Moduleigenschaften 71 Multicast 136 N NAT NAPT Adressumsetzung 142 Konfigurationsbeispiel 144 Routing 135 NAT NAPT Router symbolische Namen 53 Navigationsbereich 38 Netz ID 134 Netzknoten Nicht lernbare 183 Netzwerk Syslog 203 206 Non IP Telegramme 163 NTP gesichert 154 NTP Server 104 154 NTP Server exportieren 157 O Offline 36 On Demand Verbindung 86 Online 36 Online Diagnose 205 P Paketfilter Ereignisse 207 PAP 85 PC CP 3 Perfect Forward Secrecy 173 Port 102 S7 Protokoll TCP 122 123 NTP 136 153 20 21 FTP 122 443 HTTPS 136 177 4500 IPsec 136 500 IPsec 136 500 ISAKMP 177 514 Syslog 136 80 HTTP 122 Preshared Keys 164 Produkt von anderem Hersteller 73 Produkt CD SCALANCE S 37 PROFINET 180 225 Index PROFINET Adresse 69 Projekt Initialisierungswerte 52 Projektierungsrechte 63 Protokoll 122 Puffer 207 R Rechteabh ngigkeiten 64 Remote Access Benutzer 61 Rollen 60 benutzerdefiniert 61 systemdefiniert 60 Rollenname 61 Route anlegen 134 Router IP Adresse 134 Routing aktivieren 73 Routing Modus 79 133 aktivieren 133 R ckwirkunggsfreiheit 26 S S7 CP 3 SA Lebensdauer 173 SCALANCE M 3 Gruppen Zertifikat Konfigurationsdatei erstellen Modul Zertifikat SCALANCE M87x 3 SCALANCE S 3 Modul anlegen unterst tzte Betriebssyteme SCALANCE S602 Aufgabe 21 SCALANCE S612 Au
44. Modus werden diese Namen mit einer Port Bezeichnung wie folgt erweitert Modulname P1 Modulname P2 usw Ereignisklassen konfigurieren Tabelle 8 3 Netzwerk Syslog Funktions bersicht Funktion Register im Online Dialog Paketfilter Ereignisse Firewall Projektierung Die Aktivierung erfolgt ber das Optionsk stchen Durch die Einstellung von Facility und Severity lassen sich Syslog Meldungen entsprechend ihrer Herkunft und ihres Schweregrades klassifizieren Die Zuordnung erfolgt ber Klapplisten Jedem Ereignis wird die Severity und Facility zugewiesen die Sie hier einstellen Bemerkungen Welchen Wert Sie hier w hlen h ngt von der Auswertung im Syslog Server ab Damit k nnen Sie eine Anpassung an die Erfordernisse im Syslog Server vornehmen Lassen Sie den Standardwert default eingestellt wird durch das Security Modul festgelegt mit welcher Kombination aus Facility und Severity das Ereignis angezeigt wird Audit Ereignisse Die Aktivierung erfolgt ber das Optionsk stchen Die Zuordnung der Severity und Facility erfolgt ber Klapplisten Jedem Ereignis wird die Severity und Facility zugewiesen die Sie hier einstellen Welchen Wert Sie hier f r Severity und Facility w hlen h ngt von der Auswertung im Syslog Server ab Damit k nnen Sie eine Anpassung an die Erfordernisse im Syslog Server vornehmen Lassen Sie den Standardwert default eingestellt wird durch das Security
45. Protokoll Verschl sselung e IKE Protokoll zum Aufbau der IPsec Tunnel e NAT Traversal Protokoll zum Aufbau der IPsec Tunnel IP Kommunikation ber IPsec Tunnel ist zugelassen Telegramme vom Typ Syslog und NTP sind vom Security Modul nach extern zugelassen Grundlagen und Anwendung 100 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 2 SCALANCE S im Standard Modus interne Knoten Security Modul externe Knoten externe Security Module A N Bo on U IPsec Tunnel Firewall Bild 4 6 Standard Einstellung f r MAC Paketfilter SCALANCE S Alle Telegrammtypen von intern nach extern sind geblockt Alle Telegramme von intern an das Security Modul sind zugelassen ARP Telegramme von intern nach extern sind zugelassen Alle Telegramme von extern nach intern und an das Security Modul sind geblockt Telegramme von extern nach intern von folgendem Typ sind zugelassen e ARP mit Bandbreitenbegrenzung Telegramme von extern an Security Module vom folgenden Typ sind zugelassen e ARP mit Bandbreitenbegrenzung e PROFINET DCP mit Bandbreitenbegrenzung CG MAC Protokolle die durch IPsec Tunnel gesendet werden sind zugelassen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 101 Firewall projektieren 4 2 SCALANCE S im Standard Modus 4 2 2 Firewall projektie
46. Regels tze Vereinbarungen Globale Firewall Regeln werden lokal genutzt Folgende Vereinbarungen gelten bei der Erstellung eines globalen Firewall Regelsatzes sowie bei der Zuweisung zu einem Modul e Ansicht im Security Configuration Tool Globale Firewall Regeln k nnen nur im Erweiterten Modus angelegt werden Priorit t Globale IP und MAC Firewall Regeln Lokal definierte Regeln haben standardm ig eine h here Priorit t als globale IP und MAC Firewall Regeln neu zugewiesene globale IP und MAC Firewall Regeln werden daher in der lokalen Regelliste zun chst unten eingef gt Die Priorit t kann durch Ver ndern der Platzierung in der Regelliste ver ndert werden Granularit t Globale Firewall Regeln k nnen nur als ganzer Regelsatz einem Security Modul zugeordnet werden Regels tze eingeben ndern oder l schen Globale Firewall Regeln sind in der lokalen Regelliste der Firewall Regeln bei den Moduleigenschaften nicht editierbar Sie k nnen dort nur angezeigt und gem der gew nschten Priorit t platziert werden Eine einzelne Regel kann nicht aus einem zugeordneten Regelsatz gel scht werden Es kann nur der komplette Regelsatz aus der lokalen Regelliste genommen werden die Definition in der globalen Regelliste wird dadurch nicht ver ndert 4 3 2 2 Globale Firewall Regels tze einstellen und zuweisen So erreichen Sie diese Funktion 1 W hlen Sie im Navigationsbereich einen der folgenden Ordner Glob
47. S 612 613 Das erste in einer VPN Gruppe zugeordnete Modul bestimmt welche zus tzlichen Module hinzugef gt werden d rfen Ist das erste hinzugef gte SCALANCE S Modul im Routing Modus so k nnen zus tzlich nur SCALANCE S Module mit aktiviertem Routing hinzugef gt werden Ist das erste hinzugef gte SCALANCE S Modul im Bridge Modus so d rfen zus tzlich nur SCALANCE S Module im Bridge Modus hinzugef gt werden Soll der Modus einer VPN Gruppe ge ndert werden so m ssen alle in der Gruppe enthaltenen Module entfernt und neu hinzugef gt werden Ein CP kann in eine Gruppe mit einem SCALANCE S im Bridge oder Routing Modus hinzugef gt werden e F r CP und SCALANCE S 623 Wird ein CP oder SCALANCE S 623 als erstes Modul in eine VPN Gruppe eingef gt befindet sich die VPN Gruppe im Bridge Modus Das n chste eingef gte Security Modul bestimmt den Gruppenmodus Befindet sich das Security Modul im Routing Modus d rfen nur noch Security Module eingef gt werden die sich auch im Routing Modus befinden Ein CP oder SCALANCE S 623 kann gleichzeitig mehreren VPN Gruppen mit unterschiedlicher Betriebsart zugeordnet werden Der CP oder das SCALANCE S 623 wird dann im Mischbetrieb betrieben e Es ist nicht m glich ein SCALANCE M Modul einer VPN Gruppe hinzuzuf gen die ein Modul im Bridge Modus enth lt Entnehmen Sie der folgenden Tabelle welche Module zusammen in einer VPN Gruppe zusammengefasst werden k nnen Grundlagen und An
48. Sie diese Funktion aktivieren wird der Erreichbarkeitstest global f r alle enthaltenen Konfigurationen im SOFTNET Security Client deaktiviert Vorteil Keine zus tzlichen Pakete erzeugen Datenvolumen Nachteil Sie erhalten in der Tunnel bersicht keine R ckmeldung ob ein Tunnelpartner erreichbar ist oder nicht Erweiterte Moduldiagnose ffnen Sie im Hauptdialog des SOFTNET Security Client den Men punkt Optionen gt Erweiterte Moduldiagnose Die Ansicht dient nur der Diagnose des Systemzustandes im Zusammenhang mit den konfigurierten Security Modulen und kann bei Anfragen beim Customer Support helfen e Security Modul W hlen Sie das Modul aus f r das der aktuelle Systemstatus diagnostiziert werden soll e Routingeinstellungen Modulspezifische Parameter Zeigt die aus der Konfiguration ermittelten Einstellungen zu Schnittstellen und internen Knoten Subnetzen an Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 201 SOFTNET Security Client 7 5 Tunnel einrichten und bearbeiten 202 e Aktive Main Modes Aktive Quick Modes Sind f r das ausgew hlte Modul auf dem PG PC Main Modes bzw Quick Modes eingerichtet werden die dazugeh rigen Details hier angezeigt Dazu geh rt auch die gesamte Anzahl der Main Modes bzw Quick Modes die zu dem ausgew hlten Modul auf dem System gefunden wurden Routingeinstellungen Netzwerkeinstellungen des Rechners Zeigt die aktuelle
49. Wenn Sie noch keine Dienste definiert haben oder einen weiteren Dienst definieren m chten bet tigen Sie die Schaltfl che IP MAC Dienste Definition Auswahlm glichkeiten Wertebereiche Die Klappliste bietet die projektierten Dienste und Dienstgruppen zur Auswahl an Keine Angabe bedeutet es wird kein Dienst gepr ft die Regel gilt f r alle Dienste Hinweis Damit die vordefinierten IP Dienste in der Klappliste erscheinen aktivieren Sie diese zun chst im Standard Modus Bandbreite Mbit s Einstellm glichkeit f r eine Bandbreitenbegrenzung Kann nur eingegeben werden wenn bei Aktion Allow ausgew hlt ist Ein Paket passiert die Firewall wenn die Pass Regel zutrifft und die zul ssige Bandbreite f r diese Regel noch nicht berschritten worden ist CP x43 1 und SCALANCE S lt V3 0 0 001 100 CP 1628 und SCALANCE S 2 V3 0 0 001 1000 F r globale und benutzerspezifische Regeln 0 001 100 Regel Logging Ein bzw Ausschalten des Logging f r diese Regel Nr Automatisch vergebene Nummer der Regel Kommentar Platz f r eigene Erl uterung der Ist ein Kommentare mit AUTO gekennzeichnet wurde er f r eine automatische Verbindungsregel angelegt Tabelle 4 11 Richtungen CP Auswahlm glichkeiten Security Modul Bedeutung Wertebereiche Von Nach CP x43 1 CP 1628 Adv Intern Station x Zugriff vom internen Netz auf die Station A
50. Zertifikat das mit dem Schl ssel der Gruppen CA signiert ist S mtliche Zertifikate basieren auf dem ITU Standard X 509v3 ITU International Telecommunications Union Die Zertifikate werden von einer im Security Configuration Tool enthaltenen Zertifizierungsstelle erzeugt ACHTUNG Einschr nkung bei VLAN Betrieb Bei IP Telegrammen durch den VPN Tunnel des Security Moduls wird kein VLAN Tagging bertragen Die in den IP Telegrammen enthaltenen VLAN Tags gehen beim Passieren der Security Module verloren da f r die bertragung der IP Telegramme IPsec verwendet wird Standardm ig k nnen mit IPsec keine IP Broadcast bzw IP Multicast Telegramme durch einen Layer 3 VPN Tunnel bertragen werden Durch einen Layer 2 VPN Tunnel des Security Moduls werden IP Broadcast bzw IP Multicast Telegramme genau wie MAC Pakete inklusive Ethernet Header in UDP verpackt und bertragen Daher bleibt bei diesen Paketen das VLAN Tagging erhalten Grundlagen und Anwendung 164 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 3 VPN Gruppen 6 3 VPN Gruppen 6 3 1 Betriebsarten von VPN Gruppen VPN Betriebsarten Security Module k nnen gleichzeitig mehreren VPN Gruppen und je nach Security Modul auch unterschiedlichen Betriebsarten angeh ren Regeln f r die Gruppenbildung Beachten Sie die folgenden Regeln wenn Sie VPN Gruppen bilden wollen e F r SCALANCE
51. Zertifikats ignorieren Service Typ DynDNS HTTP 2 Provider mydyndnsaccount Provider Passwort EE Hostname Domain device12282A dyndns com sehen auf DSL Router oder E _ Fehler bei berpr fung des Server Zertifikats ignorieren DynDNS HTTP no ip com Domain esswechsel auf DSL Router en Benutzerdefinierte Einstellungen Provider Aktualisierungs URL Check IP Service URL 4 Aktivieren Sie das Kontrollk stchen Service aktivieren 5 Nehmen Sie die folgenden Einstellungen vor Grundlagen und Anwendung 82 Projektierungshandbuch 03 2012 C79000 G68900 C286 01 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S Prim ren DynDNS Dienst aktivieren IP Einstellungen Provider W hlen Sie aus bei welchem DynDNS Anbieter Sie einen DynDNS Account eingerichtet haben Provider Benutzerkonto Geben Sie den Benutzernamen ein den Sie beim Anlegen des DynDNS Accounts festgelegt haben Provider Passwort Geben Sie das Benutzerpasswort ein das Sie beim Anlegen des DynDNS Accounts festgelegt haben FQDN Geben Sie den Hostnamen z B www und den Domainnamen z B abc de ein der beim DynDNS Anbieter registriert ist IP Adresswechsel auf DSL Router Ist das Security Modul ber einen DSL Router mit dem Internet berwachen verbunden wird durch Aktivieren der Funktion der Check IP Diens
52. Zertifikatsspeicher des aktuellen SCT Projekts abgelegt sind W hlen Sie einen Zeitraum aus in dem das Zertifikat g ltig ist Standardm ig wird in das Feld G ltig von die aktuelle Zeit und in das Feld G ltig ba der Wert vom aktuellen Zertifikat eingetragen Geben Sie je nach Zertifikat die folgenden Werte ein Zu erneuerndes Zertifikat CA Zertifikate des Projekts Parameter Antragssteller Name des CA Zertifikats Alternativer Antragstellername CA Gruppenzertifikat Name des CA Gruppenzertifikats SSL Zertifikat f r S7 CP Name des Security Moduls IP Adressen der Gigabit und PROFINET SChnittstelle durch ein Komma getrennt SSL Zertifikat f r PC CP Name des Security Moduls IP Adresse des Security Moduls SSL Zertifikat f r SCALANCE S SCALANCE M und SOFTNET Security Client Name des Security Moduls Gruppenzertifikat des Security Moduls Name des Gruppenzertifikats Von der CA abgeleitet Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 69 Projektierung mit Security Configuration Tool 2 7 Zertifikate verwalten Zus tzliche Parameter konfigurieren Klicken Sie auf die Schaltfl che Zus tzliche Parameter konfigurieren um Daten wie die E Mail Adresse zu hinterlegen 2 7 3 Zertifikate ersetzen Bedeutung In dem Dialog ersetzen Sie das bestehende CA Zertifikat des Projekts oder CA Gruppenzertifikat
53. Zugriffsberechtigung ist f r IP Adressen die Sie in der Verbindungsprojektierung angegeben haben nicht automatisch gesetzt Bei Bedarf muss dieses Zugriffsrecht hier explizit gesetzt werden Weitere Regeln zur Eingabe e Es wird gepr ft ob Einzeladressen mehrfach enthalten sind hierbei werden erkannt mehrfache Einzelangabe Bereichs berschneidungen e Einzeln angegebene IP Adressen k nnen auch zus tzlich innerhalb eines Bereiches vorkommen es gelten dann die insgesamt einer IP Adresse zugewiesenen Zugriffsberechtigungen e Es wird nicht gepr ft ob in einem Bereich ung ltige Adressen enthalten sind z B k nnen Subnetz Broadcast Adressen hier angegeben werden obwohl sie nicht als IP Adresse eines Absenders auftreten k nnen 4 1 2 CP 1628 4 1 2 1 Voreinstellung der Firewall Verhalten mit Voreinstellung Die folgenden Diagramme zeigen die Standard Einstellungen im Detail jeweils f r den IP Paketfilter und den MAC Paketfilter wenn das Kontrollk stchen Firewall aktivieren aktiviert ist und auch im Erweiterten Modus keine Regeln vorhanden sind Das Verhalten kann durch das Anlegen von entsprechenden Firewall Regeln im Erweiterten Modus ge ndert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 0286 01C79000 68900 C 1196 07 95 Firewall projektieren 4 1 CPs im Standard Modus Standard Einstellung f r CP 1628 CP 1628 mit NDIS und IE Schnittstelle externe Knoten e
54. anzeigen oder importieren exportieren Hilfe Inhalt Hilfe zu den Funktionen und Parametern die Sie im SCT vorfinden Strg Shift F1 Index Hilfe zu den Funktionen und Parametern die Sie im SCT vorfinden Strg Shift F2 Info Informationen zum Versions und Ausgabestand des SCT 42 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 4 2 4 1 2 4 Projekte anlegen und verwalten Projekte anlegen und verwalten Security Configuration Tool Standalone Projektierung mit dem Security Configuration Tool Standalone 2 4 2 Projektierung Das Security Configuration Tool Standalone wird f r die Erstellung von Security Projekten verwendet in welchen keine Security Module projektiert werden die in STEP 7 erstellt und konfiguriert werden m ssen ber den Men befehl Projekt gt Neu legen Sie ein neues Projekt an Dieses umfasst s mtliche Konfigurations und Verwaltungsinformationen f r ein oder mehrere SCALANCE S SOFTNET Security Clients sowie SCALANCE M Ger te F r jedes Ger t legen Sie im Projekt ein Modul an Security Configuration Tool in STEP 7 Das Security Configuration Tool in STEP 7 wird f r die Erstellung von Security Projekten verwendet in welchen Security Module projektiert werden die in STEP 7 erstellt und konfiguriert werden m ssen Zus tzlich
55. befehl Bearbeiten gt Eigenschaften Register Log Einstellungen Der folgende Dialog zeigt die Standard Einstellungen f r das Security Modul bei aktiviertem Logging f r das Netzwerk Syslog Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 211 Online Funktionen Test Diagnose und Logging 8 2 Ereignisse aufzeichnen Logging Moduleigenschaften Modulel Eee F VPN Sa Routing Modus S DHCP Server ES Netzwek D Gel D SSL Zertifikate 4 Zeitsynchronisieung Log Einstellungen Sa Knoten Lokaler Log Ereignisklassen Ereignisklasse aktivieren Umlaufspeicher Linearer Speicher Log buffer IV Paketfilter Ereignisse Firewall CG rs Paket Log K o Audit Log 7 Zeg Konfigurieren z MV Systemereignisse G System Log Netzwerk Syslog Jh Logging eingeschaltet Syslog Server Ir Symbolische Namen im Logging Modulname Mode verwenden Ereignisklassen aktivieren Priorit t zuweisen Facility zuweisen Paketfilter Ereignisse Firewall defaut sl defaut sl Audit Events default defaut H Systemereignisse OK Abbrechen Hilfe Verbindung zum Syslog Server herstellen F r SCALANCE S Das Security Modul verwendet den projektierten Modulnamen als Hostnamen gegen ber dem Syslog Server F r CPs Das Security Modul verwendet die eigene IP Adresse als Hostnamen gegen ber dem Syslog Server Geben Sie im Feld Syslog Server die IP Adresse des Syslog Server
56. die Zuordnung von IP Firewall Regeln zu einem Benutzer sinnvoll IP Firewall Regeln werden zun chst einem oder mehreren Benutzern und anschlie end einzelnen Security Modulen zugeordnet Dadurch ist es m glich benutzerspezifische Zugriffe zu erlauben Wenn z B standardm ig alle Zugriffe auf die Netze hinter einem Security Modul gesperrt sind k nnen bestimmte IP Adressen f r einen Benutzer freigeschaltet werden Somit ist f r diesen Benutzer der Zugriff erlaubt f r andere Benutzer bleiben die Zugriffe weiterhin gesperrt Anmelden des Benutzers ber das Internet 110 Der Benutzer kann sich ber eine Webseite am Security Modul anmelden Wenn die Authentifizierung erfolgreich ist wird der f r diesen Benutzer vordefinierte Firewall Regelsatz aktiviert Die Verbindung zum Security Modul erfolgt dabei ber HTTPS unter Verwendung der IP Adresse des angebundenen Ports bei Beachtung der g ltigen Routing Regeln Beispiel Externer Port 192 168 10 1 Anmeldung ber https 192 168 10 1 Anmelden k nnen sich Benutzer mit der Rolle administrator diagnostics oder remote access sofern diese einer benutzerspezifischen Firewall Regel zugeordnet ist Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus Benutzerspezifische Firewall Regeln werden lokal genutzt Vereinbarungen Es gelten die selben Vereinbarungen wie im Kapitel Globale Firewall Regels t
57. durch ein neues So erreichen Sie diese Funktion 1 Klicken Sie mit der rechten Maustaste auf einen Listeneintrag im Register Zertifizierungsstellen 2 W hlen Sie den Eintrag Zertifikat ersetzen 3 Der Dialog Zertifizierungsstelle austauschen wird ge ffnet Alle im Feld Betroffene Zertifikate aufgelisteten Zertifikate werden neu abgeleitet Somit kann das CA Gruppenzertifikat einer bereits projektierte VPN Gruppe innerhalb des SCT Projekts durch das CA Gruppenzertifikat eines anderen SCT Projekts ersetzt werden Die Gruppenzertifikate f r die VPN Gruppenteilnehmer werden also in beiden Projekten von dem gleichen CA Gruppenzertifikat abgeleitet Falls beim Schlie en des Zertifikatmanagers ein Hinweisdialog erscheint laden Sie die ge nderte Konfiguration erneut auf das Security Modul Welches Format darf das Zertifikat haben Von der importierten CA werden weitere Zertifikate in SCT abgeleitet Deshalb k nnen Sie nur Zertifikate mit privatem Schl ssel ausw hlen e p12 Grundlagen und Anwendung 70 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Module anlegen und Netzparameter einstellen 3 Das vorliegende Kapitel macht Sie damit vertraut wie Module angelegt werden und welche Einstellungen f r die einzelnen Module in einem Projekt m glich sind Hierbei spielen die Einstellungen f r die Firewall Funktion und NAT NAPT Router Funktion der Security Module die Hauptrolle Hinweis Die Firewall Einst
58. ein STEP 7 Projekt kann genau ein SCT Projekt angelegt werden Ein mit dem Security Configuration Tool in STEP 7 angelegtes SCT Projekt kann nicht mit dem Security Configuration Tool im Standalone Modus ge ffnet werden Die projektierten Security Daten des CP werden ber STEP 7 auf die Baugruppe geladen Welche Daten werden von STEP 7 nach SCT migriert und im Inhaltsbereich angezeigt 44 Folgende in STEP 7 angelegten Projektierungsdaten werden automatisch von SCT bernommen k nnen dort jedoch nicht ver ndert werden e Ger tename IP Adresse intern IP Adresse extern Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten e Subnetzmaske intern e Subnetzmaske extern e MAC Adresse e Standard Router Welche Daten k nnen nach SCT migriert und dort ver ndert werden Nach SCT migriert und dort ver ndert werden k nnen bereits in STEP 7 angelegt e Access Control Listen e Benutzer e NTP Server Detailinformationen dazu finden Sie in der Online Hilfe von SCT Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen SCT Dialog Automatische Firewall Regeln f r spezifizierte Verbindungen F r in STEP 7 projektierte spezifizierte Verbindungen werden automatisch Firewall Regeln in SCT angelegt die den Verbindungsaufbau freigeben N here Information hierzu finden Sie im Kapit
59. einem DHCP Server beziehen dynamisch Tabelle 3 2 PROFINET Schnittstelle Betriebsart in STEP 7 IP Adresse ext Subnetzmaske int IP Adresse von einem DHCP Server beziehen dynamisch IP Adresse im Anwenderprogramm einstellen dynamisch IP Adresse auf anderem Weg einstellen dynamisch Grundlagen und Anwendung 76 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S 3 2 Schnittstellen konfigurieren SCALANCE S 3 2 1 bersicht Ports SCA Unterst tzte Ports und Anschlussm glichkeiten Der SCALANCE S V3 0 unterst tzt die folgenden Ports e Roter Port eth0 Unsicheres Netzwerk e Gr ner Port eth1 Gesichertes Netzwerk e Gelber Port eth2 DMZ Demilitarisierte Zone oder als Fernwartungszugang ber PPPoE DEZE Gelber Port als DMZ Port Eine DMZ wird genutzt wenn Dienste f r ein externes Netz bereitgestellt werden sollen und das interne Netz das Daten f r diese Dienste liefert von dem externen Netz entkoppelt sein soll In der DMZ k nnen z B Terminal Server stehen auf denen Wartungs und Diagnose Programme installiert sind die definierte Zugriffe auf bestimmte Systeme im sicheren Netz erlauben Zugriff haben nur zugelassene Benutzer oder Clients aus dem unsicheren Netz oder per VPN angeschlossene Clients Die Firewall Regeln k nnen so projektiert werden dass vom Internet Zugriffe auf Ger
60. geloggt Hinweis Datenverkehr ber projektierte Verbindungen wird nicht geloggt Voreinstellung der Firewall Verhalten mit Voreinstellung SCALANCE S im Standard Modus Die folgenden Diagramme zeigen die Standard Einstellungen im Detail jeweils f r den IP Paketfilter und den MAC Paketfilter Das Verhalten kann durch das Anlegen von entsprechenden Firewall Regeln im Erweiterten Modus ge ndert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 Firewall projektieren 4 2 SCALANCE S im Standard Modus Standard Einstellung f r SCALANCE S Die Voreinstellung f r die Firewall ist so gew hlt dass kein IP Datenverkehr m glich ist Lediglich ber ggf konfigurierte IPsec Tunnel ist Kommunikation zwischen den Knoten in den internen Netzen von Security Modulen zugelassen interne Knoten Security Modul externe Knoten externe Security Module u IPsec Tunnel d Firewall Bild 4 5 Standard Einstellung f r IP Paketfilter SCALANCE S Alle Telegrammtypen von intern nach extern sind geblockt Alle Telegramme von intern an das Security Modul sind zugelassen Alle Telegramme von extern nach intern und an das Security Modul sind geblockt auch ICMP Echo Request Telegramme von extern externe Knoten und externe Security Module an Security Module vom folgenden Typ sind zugelassen e HTTPS SSL e ESP
61. neben Start der Security Konfiguration auf die Schaltfl che Ausf hren Register Firewall E Schnitstelen Routing g nat D Firewall E Zeitsynchronisierung A Log Einstellungen St Knoten ven S DACH Server E3 SNMP Proxy ARP MAC Regeln inaktiv Von Nach Quell IP Adresse Ziel IP Adresse Dienst Bandbreite Mbits Logging Nr Kommentar traffic_diag_ip Allow access to web traffic analyzers from company Allow Intern Extern subnet_a hitp_ip IP R_1 IP Pakeffilter Regeln eintragen Tragen Sie der Reihe nach die Firewall Regeln in die Liste ein beachten Sie die Parameterbeschreibung und die Beispiele im Folgekapitel oder in der Online Hilfe Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 0286 01C79000 68900 C 1196 07 115 Firewall projektieren 4 3 Im Erweiterten Modus Globale und benutzerspezifische Regels tze nutzen Parameter Globale und benutzerspezifische Regels tze die Sie dem Modul zugewiesen haben werden automatisch in den lokalen Regelsatz aufgenommen Erscheint der Regelsatz am Ende der Regelliste dann wird er mit der geringsten Priorit t bearbeitet Sie k nnen die Priorit t ndern indem Sie die Position in der Regelliste ver ndern Die Online Hilfe erl utert Ihnen die Bedeutung der einzelnen Schaltfl chen IP Paketfilter Regeln Die Bearbeitung von IP Paketfilter Regeln erfo
62. nicht eindeutig zugeordnet werden ob eine Verbindung innerhalb oder au erhalb des VPN Tunnels laufen soll wird die Verbindung dem VPN Tunnel zugeordnet und ein entsprechender Hinweis wird angezeigt Die Zuordnung kann im Erweiterten Modus z B durch ndern der Von Richtung Tunnel auf Extern angepasst werden Hinweis Soll sichergestellt werden dass ausschlie lich eine Kommunikation durch den Tunnel m glich ist m ssen Sie im Erweiterten Modus entsprechende Firewall Regeln z B f r interne Teilnehmer oder NDIS Adressen anlegen Um f r einen CP ausschlie lich getunnelte Kommunikation zuzulassen f gen Sie am Ende der Firewall Regeln eine Regel Drop gt Any gt Station ein 4 3 5 Lokale IP Paketfilter Regeln einstellen Mittels IP Paketfilter Regeln k nnen Sie auf IP Telegramme wie beispielsweise UDP TCP ICMP Telegramme filtern Grundlagen und Anwendung 114 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus Innerhalb einer IP Paketfilter Regel k nnen Sie auf Dienst Definitionen zur ckgreifen und damit die Filterkriterien weiter eingrenzen Wenn Sie keine Dienste angeben gilt die IP Paketfilter Regel f r alle Dienste Dialog f r lokale IP Paketffilter Regeln ffnen SCT Markieren Sie das zu bearbeitende Modul und w hlen den Men befehl Bearbeiten gt Eigenschaften Register Firewall STEP 7 Klicken Sie im Register Security
63. und k nnen dann in SCT mehreren Security Modulen zugewiesen werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 49 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten e Zertifikatsverwaltung In der Zertifikatsverwaltung werden s mtliche Zertifikate des Projektes verwaltet e Benutzerverwaltung In der Benutzerverwaltung k nnen Sie alle Benutzer des Projektes und deren Rechte verwalten e Symbolische Namen In einem Projekt k nnen Sie stellvertretend f r IP und MAC Adressen symbolische Namen in einer Tabelle vergeben Modulspezifische Einstellungen Die meisten Funktionen werden im Eigenschaftsdialog eines Moduls konfiguriert Hier eine bersicht der angebotenen Register und deren Funktion Funktion Register im Eigenschaftendialog wird angeboten im Modus Standard Erweiterter Schnittstellen A A bersicht der einzelnen Porteinstellungen F r CPs Die Einstellungen werden aus STEP 7 bernommen und k nnen nicht ver ndert werden F r SCALANCE S 2 V3 0 Zus tzlich k nnen Einstellungen zum DMZ Port Aktivierung von DynDNS und PPPoE usw vorgenommen werden Routing x x Geben Sie hier die Daten zum Standard Router ein und oder legen Sie eine Route fest F r CPs Die Angabe eines Standard Routers wird aus STEP 7 bernommen und kann auch nur dort ver ndert werden Die Anzeige erfolgt im Inhaltsbereich von SCT Das Register ist in den
64. werden Bei dynamisch vergebener und daher sich st ndig ndernder IP Adresse kann die Gegenstelle nicht ohne Weiteres eine Verbindung aufbauen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Modus Bedeutung Starte Verbindung zur Gegenstelle Bei dieser Option ist das Modul aktiv d h es versucht Standard mit einer festen IP Adresse eine Verbindung zur Gegenstelle herzustellen Diese Option wird empfohlen wenn Sie von dem Provider f r das Gateway des hier zu projektierenden Security Moduls eine dynamische IP Adresse zugewiesen bekommen haben Die Adressierung der Gegenstelle erfolgt ber deren projektierte WAN IP Adresse oder deren externe Modul IP Adresse Warte auf Gegenstelle Bei dieser Option ist das Modul passiv d h es wartet bis der Verbindungsaufbau von der Gegenstelle initiiert wird Diese Option wird empfohlen wenn Sie von dem Provider f r das Gateway des hier zu projektierenden Security Moduls eine statische IP Adresse zugewiesen bekommen haben Sie erreichen dadurch dass Verbindungsaufbauversuche nur durch die Gegenstelle mit dynamischer WAN IP Adresse gestartet werden ACHTUNG Stellen Sie nicht alle Module einer VPN Gruppe auf Warte auf Gegenstelle da sonst keine Verbindung aufgebaut wird WAN IP Adresse IP Adressen der Module
65. 000 G8900 C286 01 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S Bridge Modus F r den Betrieb in flachen Netzen Externer und interner Port befinden sich im selben IP Subnetz F r S623 Der DMZ Port muss sich in einem anderen Subnetz befinden oder steht im Betriebsmodus Aus Routing Modus Alle Ports befinden sich in verschiedenen IP Subnetzen Hinweis Wenn Sie f r das SCALANCE S Modul den Routing Modus aktiviert haben k nnen keine MAC Firewall Regeln definiert werden Eingabem glichkeiten f r statische Adresszuweisung e IP Adresse mit Subnetzmaske e DNS Server wenn dynamisches DNS verwendet wird Adresszuweisung ber PPPoE e IP Adresse wird vom ISP vorgegeben Aufl sen von FODN Full Qualified Domain Name in IP Adressen Um FQDNSs aufzul sen werden DNS Server ben tigt welche die entsprechende IP Adresse zum FQDN zur ck geben e Geben Sie bevorzugten und alternativen DNS Server ein e P Zuweisung ber PPPoE Die DNS Server k nnen ber PPPoE automatisch bezogen werden Kann nur f r den externen Port und den DMZ Port im Betriebsmodus Fernwartung eingestellt werden Zus tzliche MAC Adresse Die zus tzlichen MAC Adressen werden wie folgt abgeleitet e MAC Adresse intern aufgedruckte MAC Adresse 1 e MAC Adresse DMZ Port aufgedruckte MAC Adresse 2 Beim Betrieb in flachen Netzen Bridge Modus ist immer die aufgedruckte MAC Ad
66. 10 1 192 168 10 11 Aktiviere Verbindung zu den internen Knoten Deaktiviere Verbindung zu den internen Knoten W hle Netzwerkverbindung 8 10 104 192 168 10 1 192 168 10 11 8 10 105 192 168 10 1 192 168 10 11 ang 8 10 106 192 168 10 1 192 168 10 11 Erweiterte Diagnose 8 10 107 192 168 10 1 192 168 10 11 10 108 192 168 10 1 192 168 10 11 58 10 109 192 168 10 1 192 168 10 11 85 10 110 192 168 10 1 192 168 10 11 IP Adresse DNS Name ndern L sche Eintrag I Lemen der internen Knoten Ale l schen Log Konsole Juni 14 2010 09 42 28 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 1 Juni 14 2010 09 42 28 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 101 Juni 14 2010 09 42 28 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 102 4 p Liste leeren Hie ACHTUNG Wenn f r einen Netzwerkadapter mehrere IP Adressen verwendet werden weisen Sie im Dialog Tunnel bersicht jedem Eintrag die IP Adresse zu Schaltfl che Alle l schen Die IP Sicherheitsrichtlinie und alle nicht ber SSC eingerichteten Eintr ge werden gel scht Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 199 SOFTNET Security Client 7 5 Tunnel einrichten und bearbeiten Aus und Einschalten von bereits eingerichteten sicheren Verbindungen Log Konsole Eingerichtete sichere Verbind
67. 3 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Projektweite Konsistenzpr fungen Projektweite Konsistenzpr fungen geben Aufschluss ber korrekt konfigurierte Module Da w hrend der Erstellung eines Projekts oft inkonsistente Projektdaten konfiguriert werden und eine st ndige projektweite Konsistenzpr fung zu viel Zeit kostet erfolgt nur bei folgenden Aktionen eine automatische Pr fung e beim Speichern des Projekts e beim ffnen des Projekts e vor dem Laden einer Konfiguration ACHTUNG Projektierdaten k nnen Sie nur laden wenn das Projekt insgesamt konsistent ist So veranlassen Sie eine projektweite Konsistenzpr fung F hren Sie die Konsistenzpr fung f r ein ge ffnetes Projekt folgenderma en durch Men befehl Optionen gt Konsistenzpr fungen Das Pr fergebnis wird in einer Liste ausgegeben Wenn das Projekt inkonsistente Daten enth lt wird der Status in der Statuszeile des SCT Fensters angezeigt Klicken Sie auf die Statuszeile um die Pr fliste anzuzeigen 2 4 7 Symbolische Namen f r IP MAC Adressen vergeben So erreichen Sie diese Funktion Men befehl Optionen gt Symbolische Namen Bedeutung und Vorteil In einem Security Projekt k nnen Sie stellvertretend f r IP und MAC Adressen symbolische Namen in einer Tabelle vergeben Die Projektierung der einzelnen Dienste kann dadurch einfacher und sicherer
68. Adresse f r den Standard Router eintragen k nnen Sie mehrere spezifische Routen eintragen 4 Klicken Sie auf die Schaltfl che Route hinzuf gen 5 Tragen Sie die folgende Werte ein Parameter Netz ID Funktion Netz ID des Subnetzes Anhand der Netz ID erkennt der Router ob eine Ziel Adresse im oder au erhalb des Subnetzes liegt Darf nicht im gleichen Subnetz liegen wie die IP Adresse des Security Moduls Beispiel Wert 196 80 96 0 Subnetzmaske Die Subnetzmaske strukturiert das Netz und dient zur Bildung der Subnetz ID 255 255 255 0 Router IP Adresse IP Adresse des Routers Muss im gleichen Subnetz liegen wie die IP Adresse des Security Moduls 196 80 97 1 Anwendungsbeispiele e Ist im Register Schnittstellen die IP Zuweisung ber PPPoE konfiguriert muss kein Standard Router projektiert werden da die Standard Route automatisch immer ber die PPPoE Schnittstelle f hrt e Istim Register Schnittstellen die Adresszuweisung ber Statische Adresse konfiguriert und ist das Security Modul ber einen DSL NAPT Router am Internet angeschlossen muss der DSL Router als Standard Router eingetragen werden Siehe auch NAT NAPT Routing Seite 135 134 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren 5 1 Security Modul als Router 5 1 3 NAT NAPT Routing Voraussetzung Das Register NA
69. Adresswerte 0 und 255 in der IP Adresse Sonderfunktionen haben 0 steht f r eine Netzwerkadresse 255 steht f r eine Broadcast Adresse Die Anzahl der tats chlich verf gbaren Adressen verringert sich dadurch 4 3 7 IP Dienste definieren So erreichen Sie diese Funktion e ber den Men befehl Optionen gt IP Dienste oder e Aus dem Register IP Regeln ber die Schaltfl che IP Dienste Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 121 Firewall projektieren 4 3 Im Erweiterten Modus Bedeutung Mit Hilfe der IP Dienst Definitionen k nnen Sie Firewall Regeln die auf bestimmte Dienste angewendet werden kompakt und bersichtlich definieren Sie vergeben hierbei einen Namen und ordnen diesem die Dienstparameter zu Zus tzlich k nnen Sie so definierte Dienste wiederum unter einem Gruppennamen zu Gruppen zusammenfassen Bei der Projektierung der globalen oder lokalen Paketfilter Regeln verwenden Sie dann einfach diese Namen Parameter f r IP Dienste Die Definition der IP Dienste erfolgt ber folgende Parameter Tabelle 4 14 IP Dienste Parameter Bezeichnung Bedeutung Kommentar Auswahlm jglichkeiten Wertebereiche Name Frei definierbarer Name f r den Dienst der zur freie Eingabe Identifikation in der Regeldefinition oder in der Gruppenzusammenfassung verwendet wird Protokoll Name des Protokolltyps TCP UDP Any Q
70. CP 343 1 Advanced Firewall e Router e NAT NAPT Router l l 1E PB FE HMI Link gy d ET 200S BE l EEEEEE ak l ee ST OP 270 u ET 200X i intern Bedienen amp Beobachten J intern Automatisierungszelle KEE KEE KEE Bild 1 2 Netzkonfiguration mit SCALANCE S612 Service Computer mit SOFTNET Security Client VPN ber IPsec Tunnel SCALANCE S ln ga 300 S7 300 Grundlagen und Anwendung 24 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 6 Einsatz von SCALANCE 5612 und 5623 Sicherheitsfunktionen e Firewall IP Firewall mit Stateful Packet Inspection Layer 3 und 4 Firewall auch f r Ethernet Non IP Telegramme gem IEEE 802 3 Layer 2 Telegramme gilt nicht wenn der Router Betrieb genutzt wird Bandbreitenbegrenzung Globale und benutzerspezifische Firewall Regeln Alle Netzknoten die sich im internen Netzsegment eines SCALANCE S befinden werden durch dessen Firewall gesch tzt e Gsesicherte Kommunikation durch IPsec Tunnel SCALANCE S kann mit anderen Security Modulen per Projektierung zu Gruppen zusammengefasst werden Zwischen allen Security Modulen einer Gruppe werden IPsec Tunnel aufgebaut VPN Virtual Private Network Alle internen Knoten dieser SCALANCE S k nnen mittels dieser Tunnel gesichert miteinander kommunizi
71. Client Aktivieren der Konfiguration BS Alle statisch konfigurierten Teilnehmer aktivieren Wenn Sie die Aktivierung der Tunnelverbindungen gew hlt haben werden nun die Tunnelverbindungen zwischen dem SOFTNET Security Client und den Security Modulen aufgebaut Dies kann mehrere Sekunden dauern Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 195 SOFTNET Security Client 7 5 Tunnel einrichten und bearbeiten 5 ffnen Sie den Dialog Tunnel bersicht In der Tabelle werden die Module und Teilnehmer mit Statusinformationen zu den Tunnelverbindungen angezeigt 6 196 e OFTNET Security Client sl bersicht ram Tunnelliste Status Name O IP Adresse SCALANCE S P ih SCALANCE S SCALANCE G Kommentar SCALANCE 192 168 10 1 192 168 10 11 F Teilnehmer von SCALANCE S 192 168 10 101 192 168 10 1 192 168 10 11 SR Teilnehmer von SCALANCE S 192 168 10 102 192 168 10 1 192 168 10 11 ER Teilnehmer von SCALANCE S 192 168 10 103 192 168 10 1 192 168 10 11 PR Teilnehmer von SCALANCE S 192 168 10 104 192 168 10 1 192 168 10 11 PR Teilnehmer von SCALANCE S 192 168 10 105 192 168 10 1 192 168 10 11 PR Teilnehmer von SCALANCE S 192 168 10 106 192 168 10 1 192 168 10 11 En Teilnehmer von SCALANCE S 192 168 10 107 192 168 10 1 192 168 10 11 PR Teilnehmer von SCALANCE S 192 168 10 108 192 168 10 1 192 168 10 11
72. Das Verhalten kann auch nicht durch das Anlegen von entsprechenden Firewall Regeln im Erweiterten Modus ge ndert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 97 Firewall projektieren 4 1 CPs im Standard Modus 4 1 2 2 Firewall projektieren So erreichen Sie diese Funktion 1 Markieren Sie das zu bearbeitende Modul 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall Tabelle 4 5 Verf gbare Dienste und Richtungen Dienst Extern gt Station Extern Freigegebene Ports Bedeutung Station Erlaube IP x Der IP Verkehr f r die Kommunikation ausgew hlten Kommunikationsrichtungen wird zugelassen Erlaube S7 Protokoll x TCP Port 102 Kommunikation der Netzwerkteilnehmer ber das S7 Protokoll wird zugelassen Erlaube FTP FTPS x TCP Port 20 Zur Dateiverwaltung und expliziter Modus TCP Port 21 Dateizugriff zwischen Server und Client Erlaube HTTP x TCP Port 80 Zur Kommunikation mit einem Web Server Erlaube HTTPS x TCP Port 443 Zur gesicherten Kommunikation mit einem Web Server z B zur Web Diagnose Erlaube DNS x TCP Port 53 Kommunikationsverbindung zu UDP Port 53 einem DNS Server wird zugelassen Erlaube SNMP x TCP Port 161 162 Zur berwachung von SNMP UDP Port 161 162 f higen Netzteilnehmern Erlaube SMTP x TCP Port 25 Zum Austausch
73. Dynamisches DNS Das Security Modul meldet einem Provider f r Dynamisches DNS z B DynDNS org no ip com die aktuelle WAN IP ber die das Modul erreichbar ist Der Provider sorgt daf r dass DNS Anfragen auf den FQDN des Modules mit der WAN IP des Modules beantwortet werden Grundlagen und Anwendung 80 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S Dynamisches DNS ist auf folgenden Ports zugelassen e Externer Port e DMZ Port im Betriebsmodus Fernwartung Dynamisches DNS einrichten Voraussetzungen Voraussetzung e Bei einem der unterst tzten Anbieter f r Dynamisches DNS ist ein Account angelegt und ein FQDN registriert e Wenn sich das Security Modul hinter einem DSL Router befindet muss im Register Schnittstellen ein g ltiger DNS Server eingetragen sein So erreichen Sie diese Funktion 1 W hlen Sie in den Moduleigenschaften des Security Moduls das Register Schnittstellen 2 Klicken Sie auf die Schaltfl che Erweiterte Einstellungen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 81 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S 3 W hlen Sie das Register Dynamisches DNS temet Vetondung Omamisches DNS Pon Ensielungen Prim rer DynDNS Dienst Service aktivieren Y Fehler bei berpr fung des Server
74. Grundlagen und Anwendung 216 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Literaturverzeichnis B B 1 Einleitung Auffinden der Siemens Literatur Die Bestellnummern f r Siemens Dokumentationen sind in den Katalogen SIMATIC NET Industrielle Kommunikation Katalog IK PI und SIMATIC Produkte f r Totally Integrated Automation und Micro Automation Katalog ST 70 enthalten Diese Kataloge sowie zus tzliche Informationen k nnen Sie bei Ihrer Siemens Vertretung anfordern Einige der hier genannten Dokumente finden Sie auch auf der SIMATIC NET Manual Collection die jedem Ger t beiliegt Viele SIMATIC NET Handb cher finden Sie auf den Internet Seiten des Siemens Customer Support f r Automatisierung Link zum Customer Support http support automation siemens com WW view de Geben Sie dort die ID des jeweiligen Handbuchs als Suchbegriff ein Die ID ist unter einigen Literaturstellen in Klammern angegeben Handb cher die in der Online Dokumentation der STEP 7 Installation auf Ihrem PG PC vorhanden sind finden Sie ber das Startmen Start gt SIMATIC gt Dokumentation Eine bersichtsseite der SIMATIC Dokumentation finden Sie im Internet Link zur Dokumentation http www automation siemens com simatic portal html_00 techdoku htm B 2 S7 CPs Zur Projektierung Inbetriebnahme und Nutzung des CP B 2 1 IW SIMATIC NET S7 CPs f r Industrial Ethernet Projektieren und in Betrieb nehmen Han
75. MP Dienste Parameter Bezeichnung Bedeutung Kommentar Auswahlm glichkeiten Wertebereiche Name Frei definierbarer Name f r den Dienst der zur Freie Eingabe Identifikation in der Regeldefinition oder in der Gruppenzusammenfassung verwendet wird Typ Typ der ICMP Message Siehe Dialog Darstellung Code Codes des ICMP Types Werte sind abh ngig vom gew hlten Typ 4 3 9 MAC Paketfilter Regeln einstellen Mittels MAC Paketfilter Regeln k nnen Sie auf MAC Telegramme filtern Hinweis Keine MAC Regeln bei aktiviertem Routing Modus SCA Wenn Sie f r das SCALANCE S Modul den Routing Modus aktiviert haben finden MAC Regeln keine Anwendung Dialog Register Markieren Sie das zu bearbeitende Modul W hlen Sie zum Einrichten der Firewall den Men befehl Bearbeiten gt Eigenschaften Register Firewall gt MAC Regeln 124 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus EA schnitstellen E Routing a NAT Cl BS Zeitsynchronisierung es Log Einstellungen Sei Knoten S VPN SS DHCP Server CH SNMP Proxy ARP IP Regeln MAC Regeln Aktion Von Nach Quell MAC Adresse Ziel MAC Adresse Dienst Drop Intern Extern SRCMAC3 DSTMAC3 alle MAC R_1 Allow Extern Intern 00 0E 8C 00 32 06 00 0E 8C 47 BA 08 alle MAC R_2 Bandbreite Mbit s Logging Nr Kommentar Bild 4 7 Dialog MAC Reg
76. Moduleigenschaften daher nicht vorhanden Firewall x x Im Standard Modus aktivieren Sie hier die Firewall mit einfachen Standard Regeln Zus tzlich k nnen Sie Log Einstellungen aktivieren Im Erweiterten Modus k nnen Sie detaillierte Paketfilter Regeln definieren Au erdem k nnen Sie f r jede Paketfilter Regel explizite Log Einstellungen definieren F r CPs Falls eine Access Control Liste migriert wurde wird diese hier angezeigt und kann bearbeiten werden Zeitsynchronisierung x x Legen Sie hier die Synchronisationsart f r Datum und Uhrzeit fest Log Einstellungen x Sie k nnen hier genauere Angaben zum Aufzeichnungs und Speichermodus von Log Ereignissen treffen und die bertragung zu einem Syslog Server projektieren Grundlagen und Anwendung 50 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Funktion Register im Eigenschaftendialog wird angeboten im Modus Standard Erweiterter Knoten x Nehmen Sie je nach Security Modul Einstellungen zu Subnetzen IP MAC Knoten und NDIS Knoten vor welche zus tzlich ber die VPN Tunnel erreicht werden sollen F r SCALANCE S Das Lernen von internen Knoten kann aktiviert oder deaktiviert werden VPN x A Befindet sich das Modul in einer Gruppe k nnen Sie hier de Dead Peer Detection die Art des Verbindungsaufbaus und ggf eine WAN IP A
77. Modus aktivieren Register Schnittstellen D gt EE Wenn sie den Routing Modus aktiviert haben werden die Telegramme weitergeleitet die an eine im jeweiligen Subnetz intern oder extern vorhandene IP Adresse gerichtet sind Dar ber hinaus gelten die f r die jeweilige Ubertragungsrichtung getroffenen Firewall Regeln F r diese Betriebsart m ssen Sie im Register eine interne IP Adresse und eine interne Subnetzmaske f r die Adressierung des Routers am internen Subnetz projektieren Alle nicht zu einem Subnetz geh renden Netzwerkanfragen werden durch den Standard Router in ein anderes Subnetz weitergeleitet Hinweis Im Gegensatz zum Bridge Betrieb des Security Moduls gehen im Routing Modus VLAN Tags verloren 1 W hlen Sie im Register Schnittstelle den Routing Modus als Schnittstellenrouting 2 Tragen Sie eine interne IP Adresse und eine interne Subnetzmaske f r die Adressierung des Routers am internen Subnetz in die nun aktiven Eingabefelder ein Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 133 Weitere Moduleigenschaften projektieren 5 1 Security Modul als Router 5 1 2 Standard Router So erreichen Sie diese Funktion 1 Markieren Sie das zu bearbeitende Modul 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Routing 3 Wenn Sie die Adresse f r den Standard Router eintragen werden alle Routen ber diesen Router geleitet Wenn Sie keine
78. OFINET IO e ISO e SNAP e PROFINET IO e 0x Code Eingabe DSAP Destination Service Access Point LLC Empf nger Adresse SSAP Source Service Access Point LLC Sender Adresse CTRL LLC Control Field OUI Organizationally Unique Identifier die ersten 3 Bytes der MAC Adresse Hersteller Identifizierung OUI Typ Protokoll Typ ldentifizierung gelten Die Protokolleingaben 0800 hex und 0806 hex werden nicht akzeptiert da diese Werte f r IP bzw ARP Telegramme Hinweis Verarbeitung f r S7 CPs Es werden nur Einstellungen zu ISO Frames mit DSAP SSAP FE hex verarbeitet Andere Frame Typen sind f r S7 CPs nicht relevant und werden daher schon vor der Bearbeitung durch die Firewall verworfen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 129 Firewall projektieren 4 3 Im Erweiterten Modus Spezielle Einstellungen f r SIMATIC NET Dienste Verwenden Sie f r die Filterung spezieller SIMATIC NET Dienste bitte die folgenden SNAP Einstellungen e DCP Primary Setup Tool PROFINET e SiClock OUI 08 00 06 hex OUI Type 01 00 hex 4 3 12 Dienstgruppen einrichten Bildung von Dienstgruppen Sie k nnen mehrere Dienste durch die Bildung von Dienstgruppen zusammenzufassen Auf diese Weise k nnen Sie komplexere Dienste aufbauen die in den Pakeffilter Regeln dann durch einfache Namensauswahl verwe
79. Router der sie dann an PC2 weiterleitet So erreichen Sie diese Funktion Nur f r internen Port und im Bridge Modus Markieren Sie das zu bearbeitende Modul Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 159 Weitere Moduleigenschaften projektieren 3 5 Proxy ARP 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register ARP Proxy 3 Wenn das Security Modul eine ARP Anfrage aus dem eigenen LAN stellvertretend f r den spezifischen Verbindungspartner beantworten soll tragen Sie die entsprechende IP Adresse ein Grundlagen und Anwendung 160 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Gesicherte Kommunikation im VPN ber IPsec 6 Tunnel Ka In diesem Kapitel erfahren Sie wie Sie de vom Security Modul gesch tzten IP Subnetze per Drag and Drop zu einem VPN Virtual Private Network verbinden Wie bereits im Kapitel zu den Moduleigenschaften beschrieben k nnen Sie es auch hier bei Standard Einstellungen belassen um eine sichere Kommunikation innerhalb Ihrer internen Netze zu betreiben Weitere Informationen Detailinformationen zu den Dialogen und den einstellbaren Parametern gibt Ihnen auch die Online Hilfe Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen Dialog Siehe auch Online Funktionen Test Diagnose und Logging Seite 203 6 1 VPN mit Security Modulen Sichere Verbindung durch ungesch t
80. S7 CPs CP 343 1 Advanced CP 443 1 Advanced e PC CP CP 1628 e SCALANCE M SCALANCE M87x und MD74x Allgemeine Benennung Security Modul In der vorliegenden Dokumentation werden die folgenden Produkte unter der Benennung Security Modul zusammengefasst CP 343 1 Advanced CP 443 1 Advanced CP 1628 SCALANCE S 602 V3 SCALANCE S 612 V3 SCALANCE S 623 V3 Funktionsunterschiede werden durch Symbole gekennzeichnet siehe Abschnitt Symbolerkl rungen Hardwarebeschreibungen und Hinweise zur Installation finden Sie in den Dokumenten der einzelnen Baugruppen Neu in dieser Ausgabe In dieser Ausgabe sind unter anderem folgende neuen Funktionen ber cksichtigt e Neues Dokumentationskonzept Die bisherige Betriebsanleitung SCALANCE S und SOFTNET Security Client wird durch ein bergreifendes SIMATIC NET Security Handbuch abgel st das f r alle Security Module g ltig ist e Security Projektierung f r SCALANCE S V3 0 Die Projektierung von SCALANCE S V3 0 Security Modulen mit neuen Funktionen wird ber cksichtigt Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 3 Vorwort Security Projektierung f r CP 343 Advanced CP 443 1 Advanced Zus tzlich zu den SCALANCE S Modulen kann Security nun auch f r die S7 CPs 343 1 Advanced und CP 443 1 Advanced projektiert werden die in dem vorliegenden Handbuch unter CP x43 1 Adv zusammengefasst werden SCT ist in STEP 7 integriert Bisher in STEP 7 verwal
81. SIEMENS SIMATIC NET Industrial Ethernet Security Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 G68900 C286 01 Vorwort Einf hrung und Grundlagen Projektierung mit Security Configuration Tool Module anlegen und Netzparameter einstellen Firewall projektieren Weitere Moduleigenschaften projektieren Gesicherte Kommunikation im VPN ber IPsec Tunnel SOFTNET Security Client Online Funktionen Test Diagnose und Logging Anhang Literaturverzeichnis D gt IN O o IA O IN Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enth lt Hinweise die Sie zu Ihrer pers nlichen Sicherheit sowie zur Vermeidung von Sachsch den beachten m ssen Die Hinweise zu Ihrer pers nlichen Sicherheit sind durch ein Warndreieck hervorgehoben Hinweise zu alleinigen Sachsch den stehen ohne Warndreieck Je nach Gef hrdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt INGEFAHR bedeutet dass Tod oder schwere K rperverletzung eintreten wird wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden Z N WARNUNG bedeutet dass Tod oder schwere K rperverletzung eintreten kann wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden INVORSICHT mit Warndreieck bedeutet dass eine leichte K rperverletzung eintreten kann wenn die entsprechenden Vorsichtsma nahme
82. Subnetzmaske int Kurzbeschreibung SCALANCE 612 Modul 6GK5 612 0BA10 2AA3 zum Schutz von Ger ten und Netzen in der D Automatisierungstechnik und zur Sicherung der industriellen Kommunikation Funktionen VPN 128 Tunnel parallel Stateful Inspection Firewall Adressumsetzung NAT NAPT Syslog symbolische Namen PPPoE DynDNS SNMP benutzerspezifische Firewall Regeln Auswahl speichern OK Abbrechen mp 3 Nehmen Sie die folgenden Einstellungen vor Die Adressparameter im Feld Konfiguration k nnen Sie auch im Inhaltsbereich eintragen bzw ver ndern Information dazu finden Sie im Kapitel Parameter im Inhaltsbereich Seite 75 Grundlagen und Anwendung 72 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Module anlegen und Netzparameter einstellen Parameter Bedeutung Produkttyp Produkttyp der beim Anlegen eines neuen Moduls verwendet wird SCALANCE S SOFTNET Configuration SOFTNET Security Client SCALANCE M87x MD74x Baugruppe Je nach Auswahl des Produkttyps k nnen Sie hier den Baugruppentyp angeben der beim Anlegen eines neuen Moduls verwendet wird W hlen Sie die Auswahl VPN Client um ein VPN f higes Produkt von einem anderen Hersteller einzuf gen Hinweis Ob die ausgeleitete Konfigurationsdatei funktioniert h ngt vom jeweiligen Partnerprodukt ab Firmwarerelease F r die SCALANCE S Module und den SOFTNET Security Client k nnen hier die F
83. T wird nur angezeigt wenn Sie sich im Erweiterten Modus befinden Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen es erneut So erreichen Sie diese Funktion 1 2 3 Markieren Sie das zu bearbeitende Modul W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register NAT Aktivieren Sie je nach Anforderung eine Adressumsetzung gem NAT Network Address Translation oder NAPT Network Address Port Translation Projektieren Sie die Adressumsetzung gem den Angaben in den folgenden Kapiteln Adressumsetzung mit NAT Network Adress Translation NAT ist ein Protokoll zur Adressumsetzung zwischen zwei Adressr umen Hauptaufgabe ist die Umsetzung von privaten Adressen in ffentliche d h in IP Adressen die im Internet verwendet und auch geroutet werden Dadurch wird erreicht dass die Adressen des internen Netzes nach au en im externen Netz nicht bekannt werden Die internen Teilnehmer sind im externen Netz nur ber die in der Adressumsetzungsliste NAT Tabelle festgelegten externen IP Adresse sichtbar Handelt es sich bei der externen IP Adresse nicht die um Adresse des Security Moduls und ist die interne IP Adresse eindeut
84. Tunnel im VPN k nnen Sie folgende modulspezifische Eigenschaften konfigurieren e Dead Peer Detection e Erlaubnis zur Initiierung des Verbindungsaufbaus e ffentliche IP Adresse zur Kommunikation ber Internet Gateways Im Register VPN k nnen Sie nur Einstellungen vornehmen wenn sich das zu konfigurierende Security Modul in einer VPN Gruppe befindet So erreichen Sie diese Funktion 1 Markieren Sie das zu bearbeitende Modul 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register VPN Dead Peer Detection DPD Standardm ig ist DPD aktiviert Bei aktivierter DPD tauschen die Module in einstellbaren Zeitintervallen zus tzliche Nachrichten aus Hierdurch kann erkannt werden ob die IPsec Verbindung noch g ltig ist oder eventuell neu aufgebaut werden muss Besteht keine Verbindung mehr werden die Security Associations SA von Phase 2 vorzeitig beendet Bei deaktivierter DPD wird die SA erst nach Ablauf der SA Lebensdauer beendet Zur Einstellung der SA Lebensdauer siehe Konfiguration der Gruppeneigenschaften Erlaubnis zur Initiierung des Verbindungsaufbaus 176 Sie k nnen die Erlaubnis zur Initiierung des VPN Verbindungsaufbaus auf bestimmte Module im VPN beschr nken Ma gebend f r die Einstellung des beschriebenen Parameters ist die Vergabe der IP Adresse f r das Gateway des zu projektierenden Moduls Bei einer statisch vergebenen IP Adresse kann das Modul von der Gegenstelle gefunden
85. Verfahren e Umlaufspeicher Bei Erreichen des Pufferendes wird die Aufzeichnung am Pufferanfang mit dem berschreiben der ltesten Eintr ge fortgesetzt e Linearer Speicher Die Aufzeichnung stoppt wenn der Puffer voll ist Ein bzw Ausschalten des Logging In der Betriebsart Offline k nnen Sie ber die Log Einstellungen das lokale Logging f r die Ereignisklassen aktivieren und das Speicherverfahren festlegen Diese Log Einstellungen werden mit der Konfiguration in das Modul geladen und werden mit dem Start des Security Moduls wirksam Sie k nnen das lokale Logging f r Paketfilter Ereignisse und System Ereignisse in den Online Funktionen bei Bedarf ebenfalls aktivieren oder deaktivieren Die Einstellungen in der Projektkonfiguration werden dadurch nicht ver ndert 8 2 1 Lokales Logging Einstellungen in der Konfiguration In der Betriebsart Offline k nnen Sie ber die Log Einstellungen die Ereignisklassen aktivieren und das Speicherverfahren festlegen Diese Log Einstellungen werden mit der Konfiguration in das Modul geladen und werden mit dem Start des Security Moduls wirksam Sie k nnen diese projektierten Log Einstellungen in den Online Funktionen bei Bedarf ndern Die Einstellungen in der Projektkonfiguration werden dadurch nicht ver ndert Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 207 Online Funktionen Test Diagnose und Logging 8 2 Ereignisse aufzeichnen Logging
86. Verschl sselung 3DES 168 x Phase 1 Authentifizierung SHA1 v Erweiterte Einstellungen Phase 2 SA Lebensdauertyp Time v SA Lebensdauer 2880 Min Phase 2 Verschl sselung 3DES 168 v Phase 2 Authentifizierung SHA1 Perfect Forward Secrecy 3 W hlen Sie aus ob f r die Authentifizierung ein Preshared Key oder Zertifikat verwendet werden soll Weitere Informationen hierzu finden Sie im Kapitel Authentifizierungsmethoden Seite 164 Parameter f r erweiterte Einstellungen Phase 1 IKE Einstellungen Phase 1 Schl sselaustausch IKE Internet Key Exchange Stellen Sie hier die Parameter f r das Protokoll des IPsec Schl sselmanagements ein Der Schl sselaustausch erfolgt ber das standardisierte Verfahren IKE f r das Sie folgende Protokollparameter einstellen k nnen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 C286 01 171 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Parameter IKE Modus Beschreibung Schl sselaustauschverfahren e Main Mode e Aggressive Mode Der Unterschied zwischen Main und Aggressive Mode ist die Identity Protection die im Main Mode verwendet wird Die Identit t wird im Main Mode verschl sselt bertragen im Aggressive Mode nicht Phase 1 DH Gruppe Diffie Hellman Schl sselvereinbarung e Group 1 e Group2 e Group 5 Diffie Hellman Gruppen w hlbare kryptographisc
87. agen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren Einstellungen f r NTP gesichert 5 4 SNMP 1 Klicken Sie auf die Schaltfl che Hinzuf gen 2 Geben Sie die folgenden Daten ein Eigenschaft Bedeutung Schl ssel ID Numerischer Wert zwischen 1 65534 Authentifizierung W hlen Sie den Authentifizierungsalgorithmus aus Hex ASCIl W hlen Sie das Format f r den NTP Schl ssel aus Schl ssel Geben Sie den NTP Schl ssel mit folgenden L ngen ein Hex 22 40 Zeichen ASCII 11 20 Zeichen L schen L schen Sie ber die Schaltfl che den ausgew hlten Eintrag Import Export von NTP Servern ber die Schaltfl chen Import bzw Export k nnen Sie die Schl sselliste des aktuell angezeigten NTP Servers exportieren und die Datei in einen NTP Server importieren bzw umgekehrt 5 4 SNMP 5 4 1 bersicht Was ist SNMP Das Security Modul unterst tzt die bertragung von Managementinformationen ber das Simple Network Management Protocol SNMP Daf r ist auf dem Security Modul ein SNMP Agent installiert der die SNMP Anfragen entgegennimmt und beantwortet Informationen ber die Eigenschaften von SNMP f higen Ger ten sind in sogenannten MIB Dateien Management Information Base hinterlegt f r die der Benutzer die notwendigen Rechte haben muss Beim SNMPV1 wird der Community String mitgesendet Der Community S
88. agen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 17 Einf hrung und Grundlagen 1 3 Produkteigenschaften 1 3 2 Mengenger ste Hinweis Eine komplette bersicht der zul ssigen Mengenger ste finden Sie im Internet unter folgender Adresse http support automation siemens com W W view de 58217657 http support automation siemens com W W view de 582 17657 Mengenger ste Funktion CP x43 1 Adv CP 1628 SCALANCE S 2 V3 0 VPN Tunnel pro Security Modul Max 16 Max 128 Firewall Regeln pro Security Modul Max 256 Projektweit anlegbare NTP Server 32 4 Modul zuweisbare NTP Server pro Security Ab SCT V3 1 geplant e Max 32 f r CP x43 1 Adv e Max 64 f r CP 1628 Welche Regeln gelten f r Benutzernamen Rollennamen und Passw rter 18 Beachten Sie beim Anlegen oder ndern eines Benutzers einer Rolle oder eines Passworts die folgenden Regeln Projekt Erlaubte Zeichen 0123456789 A Za z 5 amp 1 lt gt D ID L nge des Benutzernamens 1 32 Zeichen L nge des Passworts 8 32 Zeichen L nge des Rollennamens 1 32 Zeichen Maximale Benutzeranzahl pro 128 Maximale Benutzeranzahl auf einem Security Modul 32 1 Administrator beim Anlegen des Projekts Maximale Rollenanzahl pro Projekt 121 benutzerdefinierte 4 systemdefinierte Maximale Rollenanzahl auf einem Security Modul 37 Grund
89. ale FW Regels tze gt FW IP Regels tze Globale FW Regels tze gt FW MAC Regels tze W hlen Sie den Men befehl Einf gen gt Firewall Regelsatz Geben Sie die folgenden Daten ein Name Projektweit eindeutige Bezeichnung des Regelsatzes der Name erscheint nach der Zuweisung des Regelsatzes in der lokalen Regelliste des Security Moduls Beschreibung Geben Sie eine Beschreibung f r den globalen Regelsatz ein Klicken Sie auf die Schaltfl che Regel hinzuf gen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 109 Firewall projektieren 4 3 Im Erweiterten Modus Ergebnis Siehe auch 4 3 3 5 Tragen Sie der Reihe nach die Firewall Regeln in die Liste ein Beachten Sie die Parameterbeschreibung in folgenden Kapiteln F r IP Regels tze IP Paketfilter Regeln Seite 116 F r MAC Regels tze MAC Paketfilter Regeln Seite 125 6 Ordnen Sie die globale Firewall Regel den Modulen zu in denen diese verwendet werden soll Markieren Sie dazu im Navigationsbereich ein Modul und ziehen Sie dieses auf den passenden globalen Regelsatz im Navigationsbereich Drag and Drop Der globale Regelsatz wird vom zugewiesenen Security Modul als lokaler Regelsatz verwendet und erscheint automatisch in der modulspezifischen Liste der Firewall Regeln Globale Firewall Regels tze Vereinbarungen Seite 109 Benutzerspezifische Firewall Regeln Wann ist
90. altung in den Erweiterten Modus nicht mehr r ckg ngig machen Das Umschalten in den erweiterten Modus ist eine projektweite Einstellung und gilt daher f r alle Baugruppen des Projektes Abhilfe f r SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen es erneut Grundlagen und Anwendung 14 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 2 Einf hrung und Grundlagen CP x43 1 Advanced STEP 7 1 2 ACHTUNG Zus tzliche Sicherheitseinstellungen Um zu vermeiden dass unautorisierte Projektierungsdaten in den CP geladen werden m ssen Sie zus tzliche Sicherheitseinstellungen an der Firewall des CPs Blocken der S7 Kommunikation oder nur getunnelte Kommunikation vornehmen bzw externe Sicherheitsma nahmen ergreifen Hinweis Speichern und bersetzen nach nderungen Damit die Security Einstellungen in die entsprechenden Offline Systemdatenbausteine bernommen werden w hlen Sie nach vorgenommenen nderungen das Men Station gt Speichern und Ubersetzen in HW Konfig bzw Netz gt Speichern und Ubersetzen in NetPro Hinweis ffnen einer Station bei ge ffnetem Security Configuration Tool Schlie en Sie das Security Configuration Tool bevor Sie eine weitere Station ber den SIMATIC Manager oder Net Pro ffnen Einf hrung und Grundlagen Mit den SIMATIC NET Security Modulen und dem SIMATIC NET SOFTNET Security Cl
91. anzuzeigen Der Teilnehmer ist nicht aktiviert wi wi Der Teilnehmer ist aktiviert ila Deaktiviertes Secuirty Modul Eh Aktiviertes Secuirty Modul Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 197 SOFTNET Security Client 7 5 Tunnel einrichten und bearbeiten Symbol Bedeutung Kl Deaktiviertes SCALANCE M Modul ial Aktiviertes SCALANCE M Modul da Internes Subnetz deaktiviert da Internes Subnetz aktiviert a Modul Teilnehmer ist nicht erreichbar e Modul Teilnehmer ist erreichbar O Erreichbarkeitstest deaktiviert Optionsk stchen Lernen der internen Knoten 198 Ist in der Konfiguration der Security Module der Lernmodus aktiviert kann dieser auch f r den SOFTNET Security Client aktiviert werden Dadurch erhalten Sie automatisch die Informationen ber die internen Teilnehmer der Security Module Ansonsten ist das Auswahlfeld Lernen der internen Knoten inaktiv Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 SOFTNET Security Client 7 5 Tunnel einrichten und bearbeiten Tunnel Eintrag selektieren und bedienen W hlen Sie im Dialog Tunnel bersicht einen Eintrag aus und ffnen Sie ber das Kontextmen weitere Optionen Tunnelliste SCALANCE 5 Kommentar 192 168 10 1 i 192 168 10 1 192 168 10 11 10 102 192 168 10 1 192 168 10 11 58 10 103 192 168
92. ardware konfigurieren und Verbindungen projektieren mit STEP 7 Siemens AG Teil des Dokumentationspakets STEP 7 Grundwissen Bestandteil der Online Dokumentation in STEP 7 B 4 S7 CPs Zur Montage und Inbetriebnahme des CP B 4 1 6 SIMATIC S7 Automatisierungssystem S7 300 e CPU 31xC und 31x Aufbauen Betriebsanleitung Beitrags ID 13008499 http support automation siemens com WW view de 13008499 e Baugruppendaten Referenzhandbuch Beitrags ID 8859629 http support automation siemens com WW view de 8859629 Siemens AG sowie SIMATIC S7 Automatisierungssystem S7 400 M7 400 e Aufbauen Installationshandbuch Beitrags ID 1117849 http support automation siemens com WW view de 1117849 e Baugruppendaten Referenzhandbuch Beitrags ID 1117740 http support automation siemens com WW view de 1117740 Siemens AG B 5 Zu Aufbau und Betrieb eines Industrial Ethernet Netzes B 5 1 ITI SIMATIC NET Handbuch Twisted Pair und Fiber Optic Netze Siemens AG SIMATIC NET Manual Collection Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 219 Literaturverzeichnis B 6 SIMATIC und STEP 7 Grundlagen B 6 SIMATIC und STEP 7 Grundlagen B 6 1 8 SIMATIC Kommunikation mit SIMATIC Systemhandbuch Siemens AG Beitrags ID 25074283 http support automation siemens com W W view de 25074283 B 6 2 19I Dokumentationspaket STEP 7 Grundwissen e Erste Schritte un
93. ation Hinweis Parametrierung von SCALANCE M bzw anderer VPN Clients Zur Parametrierung vom SCALANCE M bzw anderer VPN Clients m ssen sie modulspezifische VPN Eigenschaften im Erweiterten Modus konfigurieren Alle projektierten Gruppen mit ihren Eigenschaften anzeigen e Selektieren Sie im Navigationsbereich das Objekt VPN Gruppen Folgende Eigenschaften der Gruppen werden spaltenweise angezeigt Eigenschaft Spalte Bedeutung Kommentar Auswahl Gruppenname Gruppenname frei w hlbar Authentifizierung Authentifizierungstyp e Preshared Key e Zertifikat Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 167 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 3 VPN Gruppen Eigenschaft Spalte Bedeutung Kommentar Auswahl Gruppenzugeh rigkeit bis Lebensdauer von Zertifikaten siehe Abschnitt Lebensdauer von Zertifikaten einstellen Kommentar Kommentar frei w hlbar VPN Verbindungsdetails anzeigen und konfigurieren 1 Markieren Sie im Navigationsbereich die zu bearbeitende VPN Gruppe 2 Klicken Sie im Inhaltsbereich auf ein Modul Ergebnis Im Vorschaubereich werden die anderen VPN Gruppenteilnehmer zu denen das selektierte Modul je eine VPN Verbindung aufbaut angezeigt 3 W hlen Sie aus ber welche Schnittstelle die VPN Gruppenteilnehmer kommunizieren sollen d Security Configuration Tool 508 C Users build Documents Projekt B
94. ation Tool in STEP 7 integriert x x Kompatibilit t zu Anderen Security Modulen x x x IP Access Control Listen ACL x SOFTNET Security Client x x x s62 Allgemein NAT NAPT Router x E DHCP Server Firewall Grundlagen und Anwendung 16 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 3 Produkteigenschaften Funktion CP x43 1 Adv CP 1628 SCALANCE S gt V3 0 Lokale Firewall Regeln x x x Globale Firewall Regeln D x x Benutzerspezifische Firewall Regeln D IPsec Aufbau von IPsec Tunneln x x x Benutzerverwaltung Projektierung der Benutzerverwaltung x x x Migration der aktuellen Benutzerverwaltung x Gesicherte Protokolle SNMPV3 x x x HTTPS x x FTPS Server x FTPS Client x NTP x x Gesichertes NTP x Sonstige Protokolle PPPOoE Client DynDNS x Logging Aufzeichnung von System Ereignissen x x x Aufzeichnung von Audit Ereignissen x x x Aufzeichnung von Paketfilter Ereignissen x x x Audit Meldungen in den Diagnosepuffern des x x Security Moduls Zugriff ber Security Configuration Tool auf x x x Log Puffer des Security Moduls Web Diagnose x S VPN Diagnose ber Security Configuration Tool x x x VPN Virtual Private Network Senden der Meldungen an Syslog Server x x x x Funktion wird unterst tzt Funktion wird nicht unterst tzt Grundl
95. ation Tool und dem SOFTNET Security Client wird ber Konfigurationsdateien bedient Workstation Computer Fr Exportieren der Konfiguration f r SOFTNET Security Client mittels Datentr ger Die Konfiguration wird in folgenden Dateitypen hinterlegt e dat Vorgehensweise Um die Konfigurationsdateien zu erzeugen f hren Sie in SCT folgende Schritte aus 1 Legen Sie in SCT ein Modul vom Typ SOFTNET Security Client an Grundlagen und Anwendung 190 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 SOFTNET Security Client 7 3 Konfigurationsdatei mit Projektierwerkzeug Security Configuration Tool erstellen Projekt Bearbeiten Einf gen bertragen Ansicht Optionen Hilfe Bleiw 2 e ies SS S612V3 192 168 10 1 255 255 255 0 00 DE 8C 00 00 00 S612V3 192 168 10 2 255 255 255 0 00 0E 8C 00 00 01 SOFTNE S612V3 192 168 10 3 255 255 255 0 00 0E 8C 00 00 02 S612V3 192 168 10 4 255 255 255 0 00 0E 8C 00 00 03 s612v3 192 163 10 5 255 255 255 0 00 0E 8C 00 00 04 Aktueller Nutzer Admin Rolle Admin Standard Modus Offline 9 2 Ordnen Sie das Modul den VPN Gruppen zu in denen der PG PC ber IPsec Tunnel kommunizieren soll Ken i en Einf gen Ansicht Optionen Hilfe Deg sel gaz da gt Sa Num Name Module 1 Shorteut Zertifikat 12 06 2037 8612 V3 Module2 Shortcut Zertifikat 12 06 2037 8612 V3 w 3 Module3 Shorteut Zertifikat 12 06 2037 SOFTNET Security Cli Aktueller Nutzer Admin Rol
96. barungen f r automatisch angelegte Firewall Regeln e Priorit t Die Regeln haben die h chste Priorit t und werden daher in der lokalen Regelliste oben eingef gt e Regeln ndern oder l schen Die Regels tze k nnen nicht gel scht werden Das Logging kann aktiviert und Dienste k nnen zugewiesen werden Au erdem kann die Bandbreite und ein Kommentar eingef gt werden e Aktion umstellen Stellen Sie in SCT die Aktion von Allow auf Drop oder umgekehrt um werden diese beim erneuten Systemabgleich wieder berschrieben Soll die vorgenommene nderungen bestehen bleiben w hlen Sie als Aktion Allow oder Drop In diesem Fall wird nur die IP Adresse mit STEP 7 abgeglichen und Aktion und Richtung bleiben wie eingestellt bestehen Ist die IP Adresse in STEP 7 nicht vorhanden wird die Regel aus der Liste entfernt Einstellungen zu Logging Dienst Bandbreite und Kommentar in SCT bleiben auch bei einem erneuten Systemabgleich mit STEP 7 bestehen Security Modul in VPN Gruppe Standardm ig wird das Kontrollk stchen Ausschlie lich getunnelte Kommunikation aktiviert Deaktivieren Sie das Kontrollk stchen kann die Kommunikation durch oder am Tunnel vorbei laufen e Die Kommunikation l uft au erhalb des Tunnels wenn die Partneradresse zu einer im SCT bekannten Station geh rt zu der kein VPN Tunnel projektiert ist e Die Kommunikation l uft durch den VPN Tunnel wenn die Partneradresse ein VPN Endpunkt ist e Kann
97. baut wird oder die SA Lebensdauer abl uft Weitere Informationen zu Zertifikaten finden Sie im Kapitel Zertifikate verwalten Seite 66 Grundlagen und Anwendung 168 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 4 Tunnelkonfiguration im Standard Modus 6 4 Tunnelkonfiguration im Standard Modus Gruppeneigenschaften Im Standard Modus gelten folgende Eigenschaften e Alle Parameter der IPsec Tunnel und die Authentifizierungsmethode sind fest vorgegeben Im Eigenschaftendialog f r die Gruppe k nnen Sie die eingestellten Standardwerte anzeigen e Der Lernmodus ist f r alle Module aktiviert Dialog zur Anzeige der Standardwerte ffnen 1 Markieren Sie die Gruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Die Anzeige ist identisch zum Dialog im Erweiterten Modus jedoch k nnen Sie die Werte nicht ver ndern 6 5 Tunnelkonfiguration im Erweiterten Modus Der Erweiterte Modus bietet Ihnen Einstellm glichkeiten zur spezifischen Konfiguration der Tunnelkommunikation In den Erweiterten Modus umschalten Schalten Sie f r alle in diesem Kapitel beschriebenen Funktionen den Erweiterten Modus ein Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig mach
98. belle 6 2 Verschl sselungsparameter 1 Parameter Einstellung Phase 1 Verschl sselung AES 256 Phase 1 DH Gruppe Group2 Phase 1 Authentifizierung SHA1 Authentifizierungsmethode Zertifikat SA Lebensdauer 1 2500000 Minuten Tabelle 6 3 Verschl sselungsparameter 2 Parameter Einstellung Phase 1 Verschl sselung 3DES 168 Phase 1 DH Gruppe Group2 Phase 1 Authentifizierung SHA1 Authentifizierungsmethode Zertifikat SA Lebensdauer 1 2500000 Minuten Tabelle 6 4 Verschl sselungsparameter 3 Parameter Einstellung Phase 1 Verschl sselung DES Phase 1 DH Gruppe Group2 Phase 1 Authentifizierung MD5 Authentifizierungsmethode Zertifikat SA Lebensdauer 1 2500000 Minuten Grundlagen und Anwendung 174 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel Tabelle 6 5 Verschl sselungsparameter 4 6 5 Tunnelkonfiguration im Erweiterten Modus Parameter Einstellung Phase 1 Verschl sselung 3DES 168 Phase 1 DH Gruppe Group2 Phase 1 Authentifizierung SHA1 Authentifizierungsmethode Preshared Key SA Lebensdauer 1 2500000 Minuten Zus tzliche Einschr nkungen f r den SOFTNET Security Client F r den SOFTNET Security Client gelten zus tzlich die folgenden Einschr nkungen Parameter Phase 1 Verschl sselung Einstellung Besonderheit AES 256 nur bei W
99. d bungen mit STEP 7 ID 18652511 http support automation siemens com WW view de 18652511 e Programmieren mit STEP 7 ID 18652056 http support automation siemens com W W view de 18652056 e Hardware konfigurieren und Verbindungen projektieren mit STEP 7 ID 18652631 http support automation siemens com W W view de 18652631 e Von S5 nach S7 Umsteigerhandbuch ID 1118413 http support automation siemens com W W view de 1118413 Siemens AG Bestellnummer 6ES7 810 4CA08 8AWO Bestandteil der Online Dokumentation in STEP 7 B 7 Industrielle Kommunikation Band 2 B 7 1 110 SIMATIC NET Industrial Ethernet Netzhandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 27069465 http support automation siemens com W W view de 27069465 Grundlagen und Anwendung 220 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Literaturverzeichnis B 8 Zur Konfiguration von PC Stationen PGs B 8 Zur Konfiguration von PC Stationen PGs B 8 1 11 SIMATIC NET PC Stationen in Betrieb nehmen Anleitung und Schnelleinstieg Projektierungshandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 13542666 http support automation siemens com W W view de 13542666 B 9 Zur Konfiguration von PC CPs B 9 1 12 SIMATIC NET Industrial Ethernet CP 1628 Kompaktbetriebsanleitung Siemens AG SIMATIC NET Manual Collection
100. d Dateizugriff FTP FTPS TCP Port 21 zwischen Server und Client expliziter Modus Erlaube HTTP x x x TCP Port 80 Zur Kommunikation mit einem Web Server Erlaube HTTPS x x x TCP Port 443 Zur gesicherten Kommunikation mit einem Web Server z B zur Web Diagnose Erlaube DNS x x TCP Port 53 Kommunikationsverbindung zu einem UDP Port 53 DNS Server wird zugelassen Erlaube SNMP x x x TCP Port Zur berwachung von SNMP f higen 161 162 Netzteilnehmern UDP Port 161 162 Erlaube SMTP x x TCP Port 25 Zum Austausch von E Mails zwischen authentifizierten Benutzern ber einen SMTP Server Erlaube NTP x x UDP Port 123 Zur Synchronisation der Uhrzeit Erlaube MAC x Der MAC Verkehr von extern zur Ebene Station und umgekehrt ist zugelassen Kommunikation Erlaube ISO x Der ISO Verkehr von extern zur Kommunikation Station und umgekehrt ist zugelassen 92 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren Tabelle 4 2 Logging f r IP und MAC Regels tze 4 1 CPs im Standard Modus zur Station verworfen wurden werden geloggt Regelsatz Aktion bei Aktivierung Angelegte Regel IP Log Einstellungen Aktion Von Nach Aufzeichnen getunnelter Pakete Nur aktiv wenn Security Modul Allow Station Tunnel Teilnehmer einer VPN Gruppe ist Allow Tunnel Station Alle IP Pakete die ber den Tunn
101. d SCALANCE S 613 V2 g ltig Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus Reihenfolge bei der Regelauswertung durch das Security Modul Die Paketfilter Regeln werden wie folgt ausgewertet e Die Liste wird von oben nach unten ausgewertet bei sich widersprechenden Regeln gilt also immer der weiter oben stehende Eintrag e Bei Regeln f r die Kommunikation zwischen internem externen und DMZ Netz gilt die Abschlussregel alle Telegramme au er den in der Liste explizit zugelassenen Telegrammen sind gesperrt e Bei Regeln f r die Kommunikation zwischen internem Netz und IPsec Tunnel gilt die Abschlussregel alle Telegramme au er den in der Liste explizit gesperrten Telegrammen sind zugelassen Beispiel Si nat D Firewall E Zeitsynchronisierung A Log Einstellungen ES Knoten vPN 8 DHCP Server SNMP Sea APP MAC Regeln inaktiv Allow Extern Intern 196 65 254 2 197 54 199 4 ServiceX2 IP R_2 Drop Tunnel Intern SeniceX1 IP R_3 Die dargestellten Pakeffilter Regeln bewirken folgendes Verhalten Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 0286 01C79000 68900 C 1196 07 119 Firewall projektieren 4 3 Im Erweiterten Modus interne Knoten externe Knoten externe Security Module GI OOO 00 Eaa e a
102. dbuch 03 2012 C79000 G8900 C286 01 Index System Ereignisse 207 T TCP 114 122 144 Teilnehmer mit unbekannter IP Adresse 174 Tunnel 161 Tunnel Funktionalit t 161 U UDP 114 122 144 153 Uhrzeitf hrung konfigurieren 154 Umlaufspeicher 207 Unknown Peers 174 Unspezifizierte Verbindungen 45 47 Unterst tzte Betriebssysteme SCALANCE S 37 SOFTNET Security Client 187 V Verbindngsdetails 168 Verbindungsregeln 113 Verschl sselung 36 52 VLAN Betrieb 164 VLAN Tagging 164 Vordefinierte Firewall Regeln CP x43 1 Adv 88 SCALANCE S lt V3 0 104 SCALANCE S V3 102 Vorschaubereich 39 VPN 20 161 modulspezifische Eigenschaften 176 SOFTNET Security Client 185 VPN Client 73 VPN Gruppe 166 W WAN IP Adresse ausw hlen 168 WAN IP Adresse festlegen 177 Wertebereich f r IP Adresse 215 Z Zeitsynchronisierung 154 Zertifikat 67 164 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 austauschen 70 durch Zertifizierungsstelle signiert 69 erneuern 68 ersetzen 70 exportieren 66 importieren 66 selbst signiert 69 Zertifikatsmanager 67 Zertifizierungsstelle 67 Zugriffsschutz 34 227 Index Grundlagen und Anwendung 228 Projektierungshandbuch 03 2012 C79000 G8900 C286 01
103. dbuch Teil A Allgemeine Anwendungen Projektierungshandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 30374198 http support automation siemens com W W view de 30374198 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 217 Literaturverzeichnis B 3 Zur Projektierung mit STEP 7 NCM S7 B 2 2 2 SIMATIC NET S7 CPs f r Industrial Ethernet Handbuch Teil B Ger tehandbuch Siemens AG SIMATIC NET Manual Collection Im Internet finden Sie die Ger tehandb cher f r die einzelnen CPs jeweils unter folgender Beitrags ID CP 343 1 Advanced GX31 28017299 http support automation siemens com W W view de 28017299 CP 443 1 Advanced GX30 59187252 http support automation siemens com W W view de 59187252 B 3 Zur Projektierung mit STEP 7 NCM S7 B 3 1 BI SIMATIC NET NCM S7 f r Industrial Ethernet Erste Schritte Siemens AG Bestandteil der Online Dokumentation in STEP 7 B 3 2 14I SIMATIC NET PC Stationen In Betrieb nehmen Anleitung und Schnelleinstieg Projektierungshandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 13542666 http support automation siemens com WW view de 13542666 Grundlagen und Anwendung 218 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Literaturverzeichnis B 4 S7 CPs Zur Montage und Inbetriebnahme des CP B 3 3 JD SIMATIC H
104. der Sie das SCALANCE M konfigurieren k nnen Dazu muss sich das Modul in mindestens einer VPN Gruppe mit einem Security Modul oder einem SOFTNET Security Client ab V3 0 befinden Gehen Sie so vor 1 Markieren Sie im Inhaltbereich das Modul SCALANCE M 2 W hlen Sie den Men befehl bertragen gt An Modul e Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 68900 C286 01 57 Projektierung mit Security Configuration Tool 2 6 Benutzer verwalten 3 Geben Sie im folgenden Speicherdialog den Pfad und Dateinamen der Konfigurationsdatei an und klicken Sie auf die Schaltfl che Speichern 4 Geben Sie im folgenden Dialog an ob f r die beiden erstellten Zertifikatdateien ein eigenes Passwort erstellt werden soll Wenn Sie Nein w hlen wird als Passwort der Name der Projektierung vergeben z B DHCP_ohne_Routing_02 nicht das Projektpasswort Wenn Sie Ja w hlen empfohlen m ssen Sie im darauf folgenden Dialog ein Passwort vergeben Ergebnis Die Dateien und Zertifikate werden in dem von Ihnen angegebenen Verzeichnis abgespeichert Hinweis Weitere Informationen zur Konfiguration finden Sie in den Betriebsanleitungen zum SCALANCE M87x und MD74x 2 6 Benutzer verwalten 2 6 1 bersicht zur Benutzerverwaltung Wie ist die Benutzerverwaltung aufgebaut Der Zugriff auf die Security Konfiguration wird durch konfigurierbare Benutzereinstellungen verwaltet Richten Sie Benutzer mit j
105. die Datei start exe ge ffnet werden W hlen Sie dann direkt den Eintrag Installation SOFTNET Security Client Nach der Installation und dem Start des SOFTNET Security Client erscheint das Symbol f r den SOFTNET Security Client in der Windows Taskleiste Ee d Alle Programme Siemens Automation sm Ar SCALANCE AN Security E Security Configuration Tool s SOFTNET Security Client sc SOFTNET Security Client einrichten Einmal aktiviert laufen die wichtigsten Funktionen im Hintergrund auf Ihrem PG PC ab Die Projektierung des SOFTNET Security Client erfolgt folgenderma en Grundlagen und Anwendung 188 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 SOFTNET Security Client 7 3 Konfigurationsdatei mit Projektierwerkzeug Security Configuration Tool erstellen e Exportieren einer Security Konfiguration aus dem Projektierwerkzeug Security Configuration Tool e Import der Security Konfiguration in der eigenen Oberfl che wie im n chsten Unterkapitel beschrieben Anlaufverhalten Das Laden der Sicherheitsregeln kann bis zu 15 Minuten dauern Die CPU des PG PC wird in dieser Zeitspanne bis zu 100 ausgelastet SOFTNET Security Client beenden So beenden Sie den SOFTNET Security Client e Klicken Sie mit der rechten Maustaste auf das SOFTNET Security Client Symbol und w hlen Sie die Option Beende SOFTNET Security Client e Klicken Sie in der ge ffneten Oberfl che auf die Schaltfl
106. dresse bermitteln wie F r die Teilnehmer im dauernden Betrieb ist die statische Adresszuweisung ber die Angabe einer Client ID empfohlen f r S7 CPs wegen des einfacheren Baugruppentauschs oder der MAC Adresse vorzuziehen Symbolische Namen werden unterst tzt Sie k nnen in der hier beschriebenen Funktion die IP oder MAC Adressen auch als symbolische Namen eingeben Konsistenzpr fung diese Regeln m ssen Sie beachten Ber cksichtigen Sie bei Ihrer Eingabe die nachfolgend aufgef hrten Regeln Pr fung Regel Pr fung erfolgt lokal Projekt Modulweit Die in der Adressliste im Eingabebereich Statische x Adresszuordnung zugewiesenen IP Adressen d rfen nicht im Bereich der dynamischen IP Adressen liegen Symbolische Namen m ssen eine numerische Adresszuordnung x besitzen Wenn Sie symbolische Namen hier neu vergeben m ssen Sie noch die Adresszuordnung im Dialog Symbolische Namen vornehmen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 151 Weitere Moduleigenschaften projektieren 3 2 Security Modul als DHCP Server Pr fung Regel Pr fung erfolgt 1 lokal Projekt Modulweit IP Adressen MAC Adressen und Client IDs d rfen in der Tabelle x statische IP Adressen nur einmal vorkommen bezogen auf das Security Modul Sie m ssen bei den statisch zugewiesenen IP Adressen entweder x die MAC Adresse oder die Client ID Rech
107. dresse konfigurieren NAT z x Aktivieren Sie NAT NAPT Router und legen Sie in einer Liste die Adressumsetzung fest DHOP Server x F r das interne Netz k nnen Sie das Modul als DHCP Server aktivieren F r SCALANCE S 623 Befindet sich der DMZ Port im Betriebsmodus DMZ kann f r diesen Port auch ein DHCP Server eingerichtet werden SNMP x Stellen Sie in diesem Register die SNMP Protokollversion und das Authentifizierungs Verschl sselungsverfahren ein Proxy ARP x Statische Eintr ge f r Proxy ARP auf externer Schnittstelle vornehmen Die ausf hrliche Beschreibung dieser Funktionen finden Sie im Kapitel Weitere Moduleigenschaften projektieren Seite 133 Gruppenzuordnungen f r IPsec Tunnel S682 ten VPN Gruppen legen fest welche Security Module SOFTNET Security Clients und SCALANCE M Module miteinander ber IPsec Tunnel kommunizieren sollen Indem Sie Security Module SOFTNET Security Clients und SCALANCE M Module einer Gruppe zuordnen k nnen diese Module ber ein VPN Virtual Private Network Kommunikationstunnel aufbauen Nur Module der gleichen Gruppe k nnen untereinander gesichert ber Tunnel kommunizieren wobei Security Module SOFTNET Security Clients und SCALANCE M Module mehreren Gruppen gleichzeitig angeh ren k nnen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 51 Projektierung mit Security Configuration Tool 2 4 Proje
108. dresse verwendet werden soll k nnen Sie ausw hlen indem Sie innerhalb einer VPN Gruppe auf das entsprechende Security Modul klicken und im Inhaltsbereich die Adresse ausw hlen Weitere Informationen hierzu finden Sie in Kapitel Gruppen anlegen und Module zuordnen Seite 166 Tragen Sie keine WAN IP Adresse ein wird die externe IP Adresse des Moduls verwendet SCALANGE U IP Adresse intern eines Moduls IP Adresse extern eines Moduls IP Adresse intern eines Internet Gateways z B GPRS Gateway IP Adresse extern WAN IP Adresse eines Internet Gateways z B DSL Router Grundlagen und Anwendung 178 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 6 Interne Netzknoten konfigurieren 6 6 Interne Netzknoten konfigurieren Interne Netzknoten konfigurieren Jedem Security Modul m ssen die Netzknoten im gesamten internen Netz bekannt sein um die Authentizit t eines Telegramms feststellen zu k nnen Das Security Modul muss sowohl seine eigenen internen Knoten kennen als auch die internen Knoten der Security Module mit denen es zusammen in einer VPN Gruppe ist Diese Information wird auf einem Security Modul dazu verwendet zu bestimmen welches Datenpaket in welchem Tunnel bertragen werden soll SCA Das Security Modul bietet die M glichkeit die Netzknoten automatisch zu erlernen oder statisch zu konfigurieren Knoten bei Security Mo
109. dulen im Bridge Modus e SCALANCES F r ein SCALANCE S im Bridge Modus k nnen Sie hier die statischen internen Subnetze sowie die internen IP MAC Knoten konfigurieren und das automatisch Lernen interner Knoten zulassen oder sperren e CP 1628 Sie k nnen die statischen NDIS Knoten konfigurieren indem Sie die durch den VPN Tunnel erreichbaren NDIS Knoten eintragen Das automatische Lernen interner Knoten ist immer aktiviert Security Modul im Routing Modus und Teilnehmer einer VPN Gruppe e SCALANCES Tragen Sie die internen Teilnehmer komplette Subnetze ein die durch den VPN Tunnel erreicht werden sollen Im Routing Modus werden komplette Subnetze getunnelt dort ist das Lernen der Netzknoten nicht notwendig e CP x43 1 Adv W hlen Sie aus zu welchen Subnetzen des CP die VPN Verbindungspartner welche sich in Routing Beziehung zu dem CP befinden SCALANCE S im Routing Modus und SCALANCE M Zugriff haben d rfen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 179 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 6 Interne Netzknoten konfigurieren 6 6 1 Arbeitsweise des Lernmodus Teilnehmer f r die Tunnelkommunikation automatisch finden bei SCALANCE S nur Bridge Modus Ein gro er Vorteil f r die Konfiguration und den Betrieb der Tunnelkommunikation ist dass Security Module die Teilnehmer im internen Netzen selbstt tig auffinden k nnen Neue Teilnehmer werden vom Securi
110. dynamischer Adressevergabe funktioniert diese Umsetzungsart nicht Bedeutung Ziel IP Adresse im externen Netz ber die auf eine IP Adresse im internen Subnetz zugegriffen werden soll Stimmt in einem Telegramm die Zieladresse mit der eingegebenen Adresse berein wird die Adresse durch die entsprechende interne IP Adresse ausgetauscht Handelt es bei der hier eingegebenen Adresse nicht um die IP Adresse des Security Moduls wird diese zur Alias Adresse Dies bedeutet dass die angegebene Adresse zus tzlich als Adresse am ausgew hlten Port registriert wird Stellen Sie sicher dass mit dieser Adresse keine IP Adresskonflikt besteht Interne IP Adresse e IP Adresse im internen Subnetz Umsetzungsart Src NAT nach Extern Die Ziel IP Adresse wird durch interne IP Adresse ersetzt Die Adressumsetzung erfolgt von extern nach intern Feld Externe IP Adresse M gliche Eingaben e IP Adresse im externen Subnetz e IP Adresse vom Security Modul falls die Option Freigabe f r alle internen Teilnehmer zulassen nicht aktiviert ist Bei dynamischer Adressevergabe ist keine Eingabe m glich Bedeutung Eingabe der IP Adresse die als neue Quell IP Adresse verwendet werden soll Handelt es bei der hier eingegebenen Adresse nicht um die IP Adresse des Security Moduls wird diese zur Alias Adresse Dies bedeutet dass die angegebene Adresse zus tzlich als Adresse am ausgew hlten Port registriert
111. earbeiten Einf gen bertragen Ansicht Optionen Hilfe x SA Pe Oasen Nr Name Authentifizierung Gruppenzugeh rigkeit bis Typ Kommentar GEI FW IP Regelsa kg gen IP 2 _ss12 v2 Zertifikat 30 03 2037 S612 V2 traffic_diag 7 30 03 2037 CP443 1 Adv GX30 GE FW MAC Rege it traffic_diag Benutzerspez IP R it traffic_compan Ale Module S seo2v2 S S612V2 S EI E s602v3 E s612 v3 3 5623 V3 CP 443 wird sich mit den unten stehenden Baugruppen ber diese IPSec Einstellungen verbinden S CP 443 Phase 1 Main Modus SHA1 3DES und Phase 2 SHA1 3DES C CP 343 EN CP 1628 Initiator Responder Partner Baugruppe Art der bertragenen Pakete Lokale Schnittstelle Partner Schnittstelle a oe Initistor Responder S612 V2 Layer 2 Extern 185 2 5 2 Extern 80 90 144 12 S SSCV4 E I amp VPN Gruppen d VpnGroup1 Bit _ Asetzen m 2 Be Zertifikat m D m D Bereit Aktueller Benutzer NUnit Rolle administrator Erweiterter Modus Offline Lebensdauer von Zertifikaten einstellen ffnen Sie den Dialog in dem Sie das Ablaufdatum des Zertifikats eingeben k nnen wie folgt 1 Markieren Sie im Navigationsbereich die zu bearbeitende VPN Gruppe 2 W hlen Sie ber die rechte Maustaste den Men befehl Eigenschaften Hinweis Ablauf eines Zertifikats Die Kommunikation durch den VPN Tunnel l uft nach Ablauf des Zertifikats weiter bis der Tunnel abge
112. eb Diagnose oder das Herunterladen von STEP 7 Daten erlaubt sein e Beispiel 3 NAT Adressumsetzung Src NAT Dst NAT Extern Anwendungsfall Das interne Netz ist ein privates Subnetz Von der Leitebene aus soll der Zugriff auf ausgew hlte Teilnehmer zugelassen werden Die ausgew hlten Teilnehmer sollen ebenfalls auf die Leitebene zugreifen k nnen e Beispiel 4 NAPT Adressumsetzung Grundlagen und Anwendung 142 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren 5 1 Security Modul als Router Projektierung In der folgenden Routing Projektierung finden Sie Adresszuweisungen gem NAT und NAPT Adressumsetzung B schtistelen E Routing 3 NAT HR Frewal 4 Zetsynchronisierung A Log Enstelungen 5 Knoten ven EB DHCP Sever SNMP Proy ARP NAPT NAT 7 NAT aktiv 7 NAPT aktiv 7 Freigabe f r alle internen Teilnehmer nach au en zulassen Etem P1 192 168 10 2 Intem P2 192 168 10 23 externe IP Adresse interne IP Adresse Richtung externer Port interne IP Adresse interner Port Schnittstelle r 192 168 10 123 192 168 12 3 Dst NAT von Extern 8000 192 168 12 5 345 Extern 4 2 r 192 168 10 124 192 168 12 3 Sre NAT nach Extern 3 192 168 10 101 192 168 12 4 Sre NAT Dst NAT Extern Hinzuf gen Entfernen Hinzuf gen Entfernen ok Abbrechen _ Obemehmen 1 Hilfe E Sc
113. ecurity Client Details Liste aller f r die Funktion des SOFTNET Security Client ben tigten Dateien mit R ckmeldung ob diese auf dem System gefunden werden konnten Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 193 SOFTNET Security Client 7 5 Tunnel einrichten und bearbeiten 7 5 Tunnel einrichten und bearbeiten Einrichten von sicheren Verbindungen zu allen Security Modulen Im Dialog f r den Konfigurationsimport w hlen Sie ob die Tunnel f r alle Security Module sofort eingerichtet werden sollen Dadurch ergeben sich die folgenden M glichkeiten e Tunnel automatisch aktivieren Falls in der Konfiguration die IP Adressen der Security Module eingetragen sind oder der Lernmodus aktiv ist werden die Tunnel f r alle konfigurierten oder ermittelten Adressen eingerichtet e Tunnelkonfiguration nur einlesen Optional k nnen Sie die konfigurierten Tunnel nur einlesen und anschlie end im Dialog f r das Einrichten der Tunnel einzeln aktivieren Sc urity Client T bersicht hb Modulet SCALANCE 5 192 168 10 1 192 168 10 11 ify Module2 SCALANCE 5 192 168 10 2 192 168 10 11 e HETE SCALANCE 5 190 16810 kl Aktiviere Verbindung zu den internen Knoten 5 80 96 20 192 168 10 3 192 168 10 11 Deaktiviere Verbindung zu den internen Knoten W hle Netzwerkverbindung Teste Tunnel Erweiterte Diagnose IP Adresse DNS Name ndern L sche Eintrag IV Leme
114. ehr Kommunikationsrichtungen wird zugelassen Erlaube S7 x x TCP Port 102 Kommunikation der Netzwerkteilnehmer ber Protokoll das S7 Protokoll wird zugelassen Erlaube x x TCP Port 20 Zur Dateiverwaltung und Dateizugriff zwischen FTP FTPS TCP Port 21 Server und Client expliziter Modus Erlaube x x TCP Port 80 Zur Kommunikation mit einem Web Server HTTP Erlaube x x TCP Port 443 Zur gesicherten Kommunikation mit einem Web HTTPS Server z B zur Web Diagnose Erlaube mit x x TCP Port 53 Kommunikationsverbindung zu einem DNS DNS UDP Port 53 Server wird zugelassen Grundlagen und Anwendung 102 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 2 SCALANCE S im Standard Modus Dienst Intern gt Extern Von Von Freigegebene Bedeutung Extern gt Intern Intern Extern Ports Erlaube mit x x TCP Port Zur berwachung von SNMP f higen SNMP 161 162 Netzteilnehmern UDP Port 161 162 Erlaube mit x x TCP Port 25 Zum Austausch von E Mails zwischen SMTP authentifizierten Benutzern ber einen SMTP Server Erlaube NTP UDP Port 123 Zur Synchronisation der Uhrzeit Erlaube DHCP Erlaube x x Der MAC Verkehr von extern zur Station und MAC Ebene umgekehrt ist zugelassen Kommunikati on Erlaube ISO x x Der ISO Verkehr von extern zur Station und Protokoll umgekehrt ist zugelassen Erlaube x x SiClock Uhrzeittelegramme von extern z
115. eingestellt ist nehmen Sie Einstellungen zum ISP vor Gehen Sie folgenderma en vor 1 W hlen Sie in den Moduleigenschaften des Security Moduls das Register Schnittstellen 2 W hlen Sie f r den DMZ Port den Betriebsmodus Fernwartung 3 Klicken Sie auf die Schaltfl che Erweiterte Einstellungen 4 W hlen Sie das Register Internet Verbindung 5 Nehmen Sie die folgenden Einstellungen vor Funktion Beschreibung Benutzername Geben Sie den Namen zur Anmeldung beim ISP Account ein Passwort Geben Sie das Passwort zur Anmeldung beim ISP Account ein Passwortbest tigung Geben Sie das Passwort zur Anmeldung beim ISP Account erneut ein Authentifizierung W hlen Sie keines oder eines der folgenden Authentifizierungsprotokolle e PAP Password Authentication Protocol e CHAP Challenge Handshake Authentication Protocol Hinweis Beide Kommunikationspartner m ssen das selbe Authentifizierungsverfahren verwenden ansonsten wird keine Verbindung aufgebaut Einstellungen zum ISP Account Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 85 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S 86 Funktion Beschreibung Dauerhafte Verbindung St ndige Internetverbindung Nach einer Trennung durch den Provider wird die Verbindung automatisch wieder hergestellt auch wenn keine Pakete gesendet werden sollen On D
116. einrichten und bearbeiten nn 194 8 Online Funktionen Test Diagnose und Logging EEN 203 8 1 Funktions bersicht Omlme Dialog 204 8 2 Ereignisse aufzeichnen Logging nn 206 8 2 1 Lokales Logging Einstellungen in der konfouraton namen 207 8 2 2 Netzwerk Syslog Einstellungen in der Konfiguration sssesssssersseereseserresrerrssrirrsstrrssernresees 211 8 2 3 Projektierung des PDaketl ogogoimg nenn 214 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 11 Inhaltsverzeichnis A ANHANG MEET 215 A RIVE Ee LU 215 A2 Wertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs ss n11e11s1s 215 A3 Mk ee ee E 216 B Literat rverzeichnis 2404er isn EES de ege 217 B 1 Emet TTT 217 B 2 S7 CPs Zur Projektierung Inbetriebnahme und Nutzung des CH 217 B 2 1 I anal deed Rei g et e Een Ae Ze 217 B 2 2 1P Re PER EA NEON RL ER Ee e Ee eg EEN 218 B 3 Zur Projektierung mit STEP 7 NCM Bi 218 B 3 1 SL E tee EE e Eeer rees 218 B 3 2 Ee eeneg 218 B 3 3 Jegen Aere BEE Eed Edge de ees 219 DA S7 CPs Zur Montage und Inbetriebnahme des CH 219 B 4 1 EEN 219 B 5 Zu Aufbau und Betrieb eines Industrial Ethemei Netzes AA 219 B 5 1 eege EEE EEE TELLER TE 219 B 6 SIMATIC und STEP d Grundlagen nenn 220 B 6 1 EE 220 B 6 2 E RSS PERS E EHE ERESUTERRTER E E ET ESEEREECHTEIEEDURLSERRTRRT 220 B 7 Industrielle Kommunikation Band 7 220 B 7 1 deeg ee EE EE EE 220 B 8 Zur Konfiguration
117. ektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 111 Firewall projektieren 4 3 Im Erweiterten Modus Ergebnis e Der benutzerspezifische Regelsatz wird vom zugewiesenen Security Modul als lokaler Regelsatz verwendet und erscheint automatisch in der modulspezifischen Liste der Firewall Regeln e Der Benutzer kann sich am Security Modul anmelden J9 ele Htos 1192 168 174 102 Pertaliportal mmlMainsclertionaUISFWATabSelection NONESCIent Arsa Portallusiw logn mme al fie NONE amp Template Fle NCNE i Favoriten Kl eiis Stes E Kostenlose Hotmail E Wed SiceKatalog SCALANCE S Willkommen zur SCALANCE S anwenderspezifischen Firewall Bitte melden Sie sich an Name Remote Passwort Jee sssse Wertebereiche f r Timeout Die Timeout Zeit nach deren Ablauf der Benutzer automatisch abgemeldet wird betr gt 30 Minuten 4 3 4 Verbindungsbezogene automatische Firewall Regeln Automatisch angelegte Firewall Regeln in SCT F r folgenden Anwendungsfall werden automatisch Firewall Regeln angelegt e In STEP 7 projektierte Verbindungen Grundlagen und Anwendung 112 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus Firewall Regeln f r projektierte Verbindungen Sind in STEP 7 Verbindungen angelegt werden f r diese in SCT automatisch Firewall Regeln erstellt Dazu findet ein Systemabgleich zwischen STEP 7 und SCT statt bei dem alle proje
118. el weitergeleitet wurden werden geloggt Aufzeichnen blockierter eingehender Pakete Alle eintreffenden IP Pakete die Drop Extern Station verworfen wurden werden geloggt MAC Log Einstellungen Aktion Von Nach Aufzeichnen blockierter eingehender Pakete Alle eintreffenden MAC Pakete die Drop Extern Station zur Station verworfen wurden werden geloggt Aufzeichnen blockierter ausgehender Pakete Alle ausgehenden MAC Pakete die Drop Station Extern Hinweis Datenverkehr ber projektierte Verbindungen wird nicht geloggt 4 1 1 3 Zugriffsliste projektieren IP Zugriffsliste ACL Eintr ge ndern Die Liste erscheint wenn in STEP 7 im Register IP Zugriffsschutz das Optionsk stchen IP Zugriffsschutz f r IP Kommunikation aktivieren aktiviert ist ber die IP Zugriffslisten stellen Sie den Zugriffsschutz f r bestimmte IP Adressen ein Bereits in STEP 7 angelegte Listeneintr ge mit den entsprechenden Rechten werden in SCT angezeigt Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 0286 01C79000 68900 C 1196 07 93 Firewall projektieren 4 1 CPs im Standard Modus Das in STEP 7 ausw hlbare Recht ndern der Accessliste M wird nicht nach SCT bertragen Damit die zus tzliche IP Zugriffsberechtigungen bermitteln werden kann m ssen Sie dem entsprechenden Benutzer in SCT das Benutzerecht Web IP Access Control Liste erweitern zuweisen ACHTUNG Adressen Layer 2
119. el Verbindungsbezogene automatische Firewall Regeln Seite 112 F r unspezifizierte Verbindungen m ssen Sie die Firewall Regeln die den Veerbindungsaufbau freigeben in SCT konfigurieren N here Information hierzu finden Sie im Kapitel Im Erweiterten Modus Seite 106 Security Einstellungen in STEP 7 vornehmen Security Einstellungen nehmen Sie alternativ wie folgt vor e ber einzelne Register der Objekteigenschaften In einzelnen Registern k nnen Sie CP spezifische Security Funktionen aktivieren und ausf hren Beim Ausf hren wird der entsprechende SCT Dialog ge ffnet in dem Sie Security Einstellungen vornehmen k nnen In folgenden Register k nnen Sie Security Einstellungen vornehmen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 45 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Benutzerverwaltung Register Funktion Beschreibung Security Security aktivieren e Die Security Funktionen in den einzelnen Registern werden aktiv e Das Men Bearbeiten gt Security Configuration Tool wird aktiv ber welches Sie das Security Configuration Tool ffnen Dort k nnen Sie weitere Security Modul bergreifende Einstellungen vornehmen wie z B VPN Gruppen anlegen oder Security Module hinzuf gen die nicht in STEP 7 projektierbar sind e Falls Sie f r das Security Modul Benutzer in STEP 7 projektiert haben ffnet sich das Fenster Da
120. ellungen die Sie f r die einzelnen Module vornehmen k nnen k nnen auch die Kommunikation beeinflussen die ber IPsec Tunnelverbindungen im internen Netz VPN abgewickelt wird Weitere Informationen Wie Sie IPsec Tunnel konfigurieren wird ausf hrlich im n chsten Kapitel dieses Handbuches erl utert Detailinformationen zu den Dialogen und den einstellbaren Parametern gibt Ihnen auch die Online Hilfe Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen SCT Dialog ACHTUNG Leistungsmerkmale und Ger tetypen Beachten Sie bei dem von Ihnen verwendeten Ger tetyp welche Funktionen jeweils unterst tzt werden Siehe auch Online Funktionen Test Diagnose und Logging Seite 203 Module in SCT anlegen So erreichen Sie diese Funktion 1 Selektieren Sie im Navigationsbereich das Objekt Alle Module Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 0286 01C79000 68900 C 1196 07 71 Module anlegen und Netzparameter einstellen 2 W hlen Sie den Men befehl Einf gen gt Modul SCALANCES SOFTNET Configuration SOFTNET Security Client SCALANCE M87x MD74x Baugruppe 5 5602 5612 5 5613 Firmwarerelease amp v3 5 v2 5 vi Konfiguration Name des Moduls MAC Adresse 00 0E 8C 00 00 00 IP Adresse ext 192 168 10 1 Subnetzmaske ext 255 255 255 0 Routing aktivieren IP Adresse int
121. eln am Beispiel f r SCALANCE S602 Paketffilter Regeln eintragen Tragen Sie der Reihe nach die Firewall Regeln in die Liste ein beachten Sie die Parameterbeschreibung und die Beispiele im Folgekapitel oder in der Online Hilfe Globale Regels tze nutzen Globale Regels tze die Sie dem Modul zugewiesen haben werden automatisch in den lokalen Regelsatz aufgenommen Erscheint der Regelsatz am Ende der Regelliste dann wird er mit der geringsten Priorit t bearbeitet Sie k nnen die Priorit t ndern indem Sie die Position in der Regelliste ver ndern p Die Online Hilfe erl utert Ihnen die Bedeutung der einzelnen Schaltfl chen F1 4 3 10 MAC Paketfilter Regeln Die Bearbeitung von MAC Paketfilter Regeln erfolgt anhand folgender Auswertungen e In der Regel eingetragene Parameter e Priorit t der Regel innerhalb des Regelsatzes Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 G8900 C196 07 125 Firewall projektieren 4 3 Im Erweiterten Modus MAC Paketfilter Regeln Die Projektierung einer MAC Regel beinhaltet folgende Parameter Tabelle 4 16 MAC Regeln Parameter Bezeichnung Bedeutung Kommentar Auswahlm glichkeiten Wertebereiche Aktion Zulassungsfestlegung e Allow Freigabe Sperre Telegramme gem Definition zulassen e Drop Telegramme gem Definition sperren F r automatisch angelegte Verbindungsregeln e Allow e Drop W hlen Sie diese Regeln find
122. emand Verbindung Die Internetverbindung wird automatisch aufgebaut wenn Pakete ins Internet gesendet werden sollen Werden innerhalb einer bestimmten Zeit keine Pakete gesendet wird die Internetverbindung automatisch getrennt Geben Sie im Feld Maximale Leerlaufzeit die Minuten ein nach denen die Verbindung getrennt werden soll Erlaubte Werte 10 3600 Verz gerungen beim Versenden der Pakete m glich wenn Internetverbindung erst aufgebaut werden muss Zwangstrennung Der Provider trennt nach einem bestimmten Zeitraum die Internetverbindung automatisch Tragen Sie im Feld Zwangstrennung eine Uhrzeit ein trennt das Security Modul zu diesem Zeitpunkt von sich aus die Internetverbindung Eine Zwangtrennung in einem ung nstigen Zeitraum wird somit verhindert Erlaubte Eingaben 00 00 23 59 Danach erfolgt der Verbindungsaufbau je nach gew hlter Verbindungsart e Dauerhaft Die Internetverbindung wird sofort wieder aufgebaut e On Demand Die Internetverbindung wird bei Bedarf wieder aufgebaut z B wenn Pakete ins Internet gesendet werden soll Einstellungen zur Verbindung Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 Bedeutung Die Firewall Funktionalit t der Security Module hat die Aufgabe Netze und Stationen vor Fremdbeeinflussungen und St rungen zu sch tzen Das bedeutet dass nur bestimmte vorher festgelegte Kommunikationsbezieh
123. en Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen es erneut Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 169 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus 6 5 1 Gruppeneigenschaften projektieren Gruppeneigenschaften ACHTUNG IPsec Kenntnisse erforderlich Um diese Parameter einstellen zu k nnen ben tigen Sie IPsec Kenntnisse Wenn Sie keine Einstellungen vornehmen bzw ver ndern gelten die Standardeinstellungen des Standard Modus Im Erweiterten Modus sind folgende Gruppeneigenschaften einstellbar e Authentifizierungsmethode e IKE Einstellungen Dialogbereich Erweiterte Einstellungen Phase 1 e Psec Einstellungen Dialogbereich Erweiterte Einstellungen Phase 2 So erreichen Sie diese Funktion 1 Markieren Sie im Navigationsbereich die zu bearbeitende VPN Gruppe Grundlagen und Anwendung 170 Projektierungshandbuch 03 2012 C79000 G8900 C0286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften D Preshared Key Zertifikat Schl ssel CKiWoJGC1Gx6yAUQ Name P5DB1 G103A Erweiterte Einstellungen Phase 1 IKE Modus Main D Phase 1 DH Gruppe Group2 G SA Lebensdauertyp Time SA Lebensdauer 2500000 Min Phase 1
124. en Internet WAN Anschluss direkt ber ein DSL Modem zu erm glichen erfolgt die Zuweisung der IP Adresse am externen Port ber PPPoE Bei PPPoE handelt es sich um ein Einwahlprotokoll zum Bezug von IP Adressen von einem Internet Service Provider ISP SCALANCE S wird dabei im Routing Modus betrieben Hinweis Ein projektierter Standard Router wird bei Verwendung von PPPOE nicht ber cksichtigt Funktionen der einzelnen Ports 3 2 2 Folgende Funktionen k nnen auf den einzelnen Ports genutzt werden Funktion Gr n intern Rot extern Gelb Betriebsmodus Betriebsmodus Fernwartung DMZ Statische IP x x x Adresse Dynamische IP x x gt Adresse ber PPPoE WAN Zugang D x ber DSL Modem wenn nicht auf wenn nicht auf oder DSL Router gelbem Port rotem Port Bridge Modus Routing Modus x DHCP Server x Fernwartung mit Mit DSL Router Mit DSL Modem Mit DSL Router VPN Schnittstellen SCA Schnittstellenrouting Auswahlm glichkeiten 78 Wenn sich das Security Modul in keiner VPN Gruppe befindet ist der Modus f r das Schnittstellenrouting automatisch eingestellt und kann in diesem Feld ver ndert werden Die Auswahl ist f r Port 1 und Port 2 g ltig Wenn sich das Security Modul in einer VPN Gruppe befindet kann der Modus f r das Schnittstellenrouting nicht ver ndert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79
125. en Projektierdialogen nicht entsprechend entfernt oder korrigiert werden 1 Beachten Sie die Erl uterungen im Kapitel Konsistenzpr fungen Seite 52 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 55 Projektierung mit Security Configuration Tool 2 5 Konfigurationsdaten f r SCALANCE M 2 5 Konfigurationsdaten f r SCALANCE M bertragung an ein Modul Sie k nnen die VPN Informationen zur Parametrierung eines SCALANCE M mit dem Security Configuration Tool generieren Mit den generierten Dateien k nnen Sie dann das SCALANCE M konfigurieren Folgende Dateitypen werden erzeugt e Exportdatei mit den Konfigurationsdaten Dateityp txt Datei im ASCIl Format Enth lt die exportierten Konfigurationsinformationen f r das SCALANCE M einschlie lich einer Information ber die zus tzlich erzeugten Zertifikate e Modul Zertifikat Dateityp p12 Datei Die Datei enth lt das Modulzertifikat und das Schl sselmaterial Der Zugriff ist passwortgesch tzt e Gruppen Zertifikat Dateityp cer Datei Die Konfigurationsdateien f r das SCALANCE M k nnen auch genutzt werden um weitere VPN Clienttypen die nicht in der Modulauswahl enthalten sind zu konfigurieren Voraussetzung f r die Verwendung dieser VPN Clients ist die Unterst tzung von IPsec VPNs im Tunnelmodus Grundlagen und Anwendung 56 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Securit
126. en und die Subnetzmasken projektieren Durch Doppelklick auf die Objekte werden Eigenschaftsdialoge zur Eingabe weiterer Parameter ge ffnet nicht f r SOFTNET Security Client und SCALANCE M Detail Fenster Zus tzliche Details zum ausgew hlten Objekt werden im Detail Fenster angezeigt Das Detail Fenster kann aus und eingeblendet werden Statuszeile Die Statuszeile zeigt Bedienzust nde und aktuelle Statusmeldungen an Hierzu geh ren e Der aktuelle Benutzer und der Benutzertyp e Die Bedienungssicht Standard Modus Erweiterter Modus e Die Betriebsart Online Offline Symbolleiste Nachfolgend eine bersicht der w hlbaren Symbole in der Symbolleiste und deren Bedeutung Symbol Bedeutung Bemerkungen Neues Projekt anlegen Bestehendes Projekt ffnen Ge ffnetes Projekt unter aktuellem Pfad und Projektnamen speichern Angew hltes Objekt kopieren Objekt aus der Zwischenablage einf gen Angew hltes Objekt l schen Xe e A Mel Neues Modul anlegen Das Symbol ist nur aktiv wenn Sie sich innerhalb des Navigationsbereiches im Ordner Alle Module oder auf einer VPN Gruppe befinden KE Neue Gruppe anlegen Das Symbol ist nur aktiv wenn Sie sich innerhalb des Navigationsbereiches im Ordner VPN Gruppen befinden b Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 39 Projektierung mit Security Configuration Tool 2 3
127. en zwischen SNMPv1 oder SNMPV3 w hlen Start der Startet die SCT Benutzerwaltung in der Sie einer Rolle SNMP Rechte zuweisen k nnen 46 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C0286 01 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten e Direkt in SCT Sie rufen SCT in STEP 7 ber das Men Bearbeiten gt Security Configuration Tool auf Zus tzlich zu den Einstellungen in den Registern der Objekteigenschaften legen Sie hier z B VPN Gruppen an oder f gen SCALANCE S Module hinzu Die SCALANCE S Module k nnen Sie in SCT zwar projektieren und laden die Daten werden jedoch nicht an STEP 7 zur ckgeliefert Auch werden die Module nach Beendigung vom SCT nicht in STEP 7 angezeigt Hinweis N here Angaben finden Sie in der STEP 7 und in der SCT Online Hilfe Allgemeine Informationen zu STEP 7 finden Sie in 9 Seite 220 2 4 3 STEP 7 Daten migrieren Sicherheitsrelevante Projektdaten migrieren Bei der Aktivierung von Security werden die folgenden in STEP 7 vorgenommenen Einstellungen automatisch in einen sicheren Anwendungsbereich migriert e NTP Server siehe Kapitel Zeitsynchronisierung Seite 153 e P Access Control Listen siehe Kapitel Zugriffsliste projektieren Seite 93 Nicht automatisch migriert werden Benutzer und deren Passw rter Firewall Regeln f r spezifizierte Verbindungen F r in STEP 7 projektierte spezifizierte V
128. enden Regeln NTP Server k nnen ber das SCT Men Optionen gt Definition der NTP Server projektweit angelegt werden Weisen Sie einen NTP Server ber das Eigenschaften Register Zeitsynchronisation einem Security Modul zu Verwenden verschiedene Security Module im SCT Projekt den selben NTP Server so m ssen dessen Daten nur einmal eingegeben werden Sie k nnen projektweit 32 NTP Server anlegen Sie k nnen einem Security Modul max 4 NTP Server zuweisen Symbolische Namen f r die IP Adresse des NTP Servers werden nicht unterst tzt Von bereits in STEP 7 angelegten NTP Servern wird die IP Adresse und das Aktualisierungsintervall nach SCT migriert Bei Auswahl von NTP gesichert akzeptiert das Security Modul nur die Zeit von entsprechend konfigurierten gesicherten NTP Servern Eine gemischte Konfiguration von ungesicherten und gesicherten NTP Servern auf einem Security Modul ist nicht m glich Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 153 Weitere Moduleigenschaften projektieren 3 3 Zeitsynchronisierung 5 3 2 Uhrzeitf hrung konfigurieren So erreichen Sie diese Funktion Men befehl SCT Optionen gt Definition der NTP Server Men befehl STEP 7 wenn die Option Uhrzeitsynchronisation im NTP Verfahren einschalten aktiviert ist Uhrzeitsynchronisation gt Erweiterte NTP Konfiguration aktivieren Schaltfl che Ausf hren Alternativen der Zeitsynchronisa
129. er haben Sie keinen Zugriff mehr auf das betreffende Projekt und seine Konfigurationen sowie die Security Module Zugriff auf Security Module k nnen Sie sich dann nur verschaffen indem Sie ein R cksetzen auf Werkseinstellungen durchf hren Dabei verlieren Sie aber die Konfigurationen ACHTUNG Werden die Authentisierungseinstellungen ge ndert so m ssen die Security Module erst neu geladen werden damit diese Einstellungen z B neue Benutzer Passwort nderungen auf den Modulen aktiv werden 2 6 2 Benutzer anlegen So erreichen Sie diese Funktion Men befehl SCT Optionen gt Benutzerverwaltung Register Benutzer Men befehl STEP 7 Benutzer gt Start der Benutzerverwaltung Schaltfl che Ausf hren Zus tzlich wird die Benutzerverwaltung aus einzelnen Registern aufgerufen Tabelle 2 1 Angaben im Register Benutzer Parameter Bedeutung Benutzername Frei w hlbarer Benutzername Rolle Je nach getroffener Zuordnung Kommentar Zus tzliche Kommentareingabe Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 59 Projektierung mit Security Configuration Tool 2 6 Benutzer verwalten Tabelle 2 2 Schaltfl chen im Register Benutzer Bezeichnung Bedeutung Auswirkung Bearbeiten Markieren Sie einen Eintrag und klicken Sie auf die Schaltfl che Im aufgeblendeten Dialog ndern Sie Benutzernamen Passwort und Rolle Hinzuf
130. er statisch im Security Configuration Tool konfiguriert werden und gegebenenfalls statische ARP Eintr ge auf den Kommunikationsger ten eingetragen werden Allgemein gilt Non IP Telegramme werden nur dann durch einen Tunnel bertragen wenn die Ger te die die Telegramme senden bzw empfangen auch schon vorher d h ohne den Einsatz der Security Module kommunizieren konnten Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 163 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 2 Authentifizierungsmethoden 6 2 Authentifizierungsmethoden Authentifizierungsmethoden Die Authentifizierungsmethode wird innerhalb einer Gruppe eines VPNs festgelegt und bestimmt die Art der verwendeten Authentifizierung Es werden schl sselbasierende oder zertifikatsbasierende Authentifizierungsmethoden unterst tzt e Preshared Keys Die Authentisierung erfolgt ber eine zuvor verabredete Zeichenfolge die an alle in der Gruppe befindlichen Module verteilt wird Geben Sie daf r im Dialog Gruppeneigenschaften im Feld Preshared Key ein Passwort ein e Zertifikat Die zertifikatbasierte Authentifizierung Zertifikat ist die Standardeinstellung die auch im Standard Modus eingeschaltet ist Das Verhalten ist wie folgt Beim Anlegen einer Gruppe wird automatisch ein Gruppenzertifikat erzeugt Gruppenzertifikat CA Zertifikat Jedes Security Modul das in der Gruppe ist erh lt ein
131. er Log Konsole der Tunnel bersicht ausgegeben werden Anzahl anzuzeigender Meldungen in Log Konsole der Tunnel bersicht Anzahl der Meldungen welche aus dem Log File der Quelldatei extrahiert und in der Log Konsole der Tunnel bersicht angezeigt werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C0286 01 SOFTNET Security Client 7 5 Tunnel einrichten und bearbeiten Funktion Beschreibung Optionen Folgende Log Meldungen in Log Konsole der Meldungen welche in der Log Konsole der Tunnel bersicht ausgeben Tunnel bersicht optional angezeigt werden e Anzeige des negativen Erreichbarkeitstest Ping e Anlegen L schen von Security Associations Quick Modes e Anlegen L schen von Main Modes e Laden von Konfigurationsdateien e Lernen interner Teilnehmer Logfile Gr e Debug Logfiles Logfile Gr e der Quelldateien f r Debug Meldungen des SOFTNET Security Client k nnen vom Customer Support angefordert werden um Analysen zu erleichtern Erreichbarkeitstest Wartezeit auf R ckantwort Einstellbare Wartezeit f r den Ping welcher die Erreichbarkeit eines Tunnelpartners angeben soll Vor allem einzustellen bei Tunneln mit langsamen bertragungswegen UMTS GPRS etc bei denen die Laufzeit der Datenpakete deutlich h her ist Beeinflusst somit direkt die Anzeige der Erreichbarkeit in der Tunnel bersicht Erreichbarkeitstest global deaktivieren Wenn
132. erbindungen werden automatisch Firewall Regeln in SCT angelegt die den Verbindungsaufbau freigeben F r unspezifizierte Verbindungen m ssen Sie die Firewall Regeln die den Verbindungsaufbau freigeben in SCT konfigurieren Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 47 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten STEP 7 Ger tebenutzer in die SCT Benutzerverwaltung migrieren W hlen Sie in dem Migrationsdialog aus wie die in STEP 7 angelegten Benutzer in die SCT Benutzerverwaltung migriert werden sollen Dabei stehen Ihnen folgende Aktionen zur Auswahl Aktion bernehmen als Zusammenf hren Beschreibung Der Benutzer wird unter einem anderen Namen in die SCT Benutzerverwaltung migriert Geben Sie den Namen in die Spalte Migrierter Benutzername ein Dem migrierten Benutzer wird in SCT eine automatisch generierte Rolle zugewiesen Ist im SCT Projekt bereits ein Benutzer mit dem gleichen Namen angelegt werden die beiden Benutzer zusammengelegt Die Rolle dieses Benutzers wird um die ausgew hlten Rechte des migrierten Benutzers erweitert Nicht bernehmen Der Benutzer des Security Moduls wird nicht in die SCT Benutzerverwaltung migriert Eine nachtr gliche Migration ist nicht m glich Hinweis Folgende Daten werden nicht migriert e Passw rter bereits angelegter Benutzer in STEP 7 W hlen Sie deshalb f r
133. erden als sicher vertrauensw rdig betrachtet Verbinden Sie ein internes Netzsegment nur ber CP x43 1 Adv mit den externen Netzsegmenten Weitere Verbindungswege zwischen dem internen und externen Netz d rfen nicht vorhanden sein Informationen zu allgemeinen Funktionen des CP x43 1 Adv In dem vorliegenden Handbuch erhalten Sie Informationen zu den Security Funktionen des CP x43 1 Adv F r Beschreibungen zu allgemeinen Funktionen siehe 1 Seite 217 bzw 2 Seite 218 Grundlagen und Anwendung 30 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 9 Einsatz von CP 1628 1 9 Einsatz von CP 1628 Zellenschutzkonzept Aufgabe von CP 1628 Die integrierten Sicherheitsmechanismen des CP 1628 erm glichen die Absicherung von Rechnersystemen einschlie lich der dazugeh rigen Datenkommunikation innerhalb eines Automatisierungsnetzes oder den sicheren Fernzugriff ber das Internet Der CP 1628 erlaubt den Zugriff auf einzelne Ger te oder auch ganze Automatisierungszellen die durch Security Module gesch tzt sind und erm glicht gesicherte Verbindungen ber unsichere Netzwerkstrukturen Durch die Kombination unterschiedlicher Sicherheitsma nahmen wie Firewall und VPN Virtual Private Network ber IPsec Tunnel sch tzt der CP 1628 vor e Datenspionage e Datenmanipulation e unberechtigten Zugriffen Die Security Funktionen vom CP 1628 werden mit dem Projektierwerkzeug Securit
134. eren e Protokollunabh ngigkeit Die Tunnelung umfasst auch Ethernet Telegramme gem IEEE 802 3 Layer 2 Telegramme gilt nicht wenn der Router Betrieb genutzt wird Durch die IPsec Tunnel werden sowohl IP als auch Non IP Telegramme bertragen e PPPoE Point to Point Protocol over Ethernet RFC 2516 zum automatischen Bezug von IP Adressen vom Provider so dass der Einsatz eines separaten DSL Routers entfallen kann e DynDNS Dynamischer Domain Name Service zur Verwendung dynamischer IP Adressen wenn ein SCALANCE S bei Fernwartungsszenarien als VPN Server eingesetzt wird e SNMPV3 Zur abh rsicheren bertragung von Netzwerkanalyseinformationen e Router Betrieb Indem Sie SCALANCE S als Router betreiben verbinden Sie das interne Netz mit dem externen Netz Das ber SCALANCE S verbundene interne Netz wird somit zu einem eigenen Subnetz e Schutz f r Ger te und Netzsegmente Die Schutzfunktion Firewall und VPN kann sich ber den Betrieb einzelner Ger te mehrerer Ger te wie auch ganzer Netzsegmente erstrecken Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 25 Einf hrung und Grundlagen 1 7 Einsatz von SCALANCE 5623 DMZ Port e Zus tzlicher DMZ Port e R ckwirkungsfreiheit beim Einbau in flache Netze Bridge Betrieb Interne Netzknoten k nnen ohne Projektierung gefunden werden Beim Einbau eines SCALANCE S in eine bestehende Netzinfrastruktur m ssen daher die Endger
135. eren Nur die Antworttelegramme des DNS Servers werden ins interne Netz weitergeleitet Vom externen Netz aus kann keine Kommunikationsverbindung zu Knoten im internen Netz initiiert werden Erlaube die Konfiguration von internen Netzknoten mittels DCP vom externen ins interne Netz vorzunehmen Das DCP Protokoll wird vom PST Tool verwendet um bei SIMATIC Net Netzkomponenten die Knotentaufe Einstellen der IP Parameter Mit dieser Regel wird Knoten im externen Netz erlaubt per DCP Protokoll auf Knoten im internen Netz zuzugreifen Tabelle 4 10 Logging f r IP und MAC Regels tze IP Log Einstellungen Regelsatz Aktion bei Aktivierung geloggt Aufzeichnen getunnelter Pakete Nur wenn Security Modul Teilnehmer einer VPN Gruppe Alle IP Pakete die ber den Tunnel weitergeleitet wurden werden Aufzeichnen blockierter eingehender Pakete geloggt Alle eintreffenden IP Pakete die verworfen wurden werden Aufzeichnen blockierter ausgehender Pakete geloggt Alle ausgehenden IP Pakete die verworfen wurden werden MAC Log Einstellungen Aufzeichnen blockierter eingehender Pakete geloggt Alle eintreffenden MAC Pakete die verworfen wurden werden Aufzeichnen blockierter ausgehender Pakete geloggt Alle ausgehenden MAC Pakete die verworfen wurden werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C
136. erfolgen Bei den folgenden Funktionen und deren Projektierung werden symbolische Namen innerhalb des Projekts ber cksichtigt e Firewall e NAT NAPT Router e Syslog e DHCP Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 53 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten G ltigkeit und Eindeutigkeit Die G ltigkeit der in der Tabelle angegebenen symbolischen Namen ist auf die Projektierung innerhalb eines Security Projekts beschr nkt Innerhalb des Projekts muss jeder symbolische Name eindeutig einer einzigen IP Adresse oder MAC Adresse zugeordnet werden Automatische bernahme symbolischer Namen in die Symboltabelle von SCT Sie k nnen symbolische Namen in den genannten Funktionen anstelle von IP Adressen verwenden z B beim Anlegen von Firewall Regeln ohne dass diese in der hier beschriebenen Tabelle bereits vergeben sind So vergebene symbolische Namen werden automatisch in die Tabelle bernommen und k nnen zu einem sp teren Zeitpunkt noch zugeordnet werden Im Rahmen der Konsistenzpr fung werden Sie auf fehlende Zuordnungen hingewiesen Dialog zum Vergeben symbolischer Namen Um Inkonsistenzen zwischen einer Zuordnung IP Adresse symbolischer Name sowie MAC Adresse symbolischer Name zu vermeiden werden die symbolischen Namen in einer einzigen Tabelle verwaltet Gehen Sie so vor um neue Eintr ge in die Symboltabelle von SCT aufzuneh
137. ern Die Adressumsetzung erfolgt am externen Port Die IP Adressumsetzung kann in folgende Richtungen erfolgen e Destination NAT Dst NAT Die IP Adressumsetzung erfolgt von extern nach intern Vom externen Subnetz kommende Telegramme werden auf die angegebene externe IP Adresse gepr ft und mit der angegebenen internen IP Adresse in das interne Netz weitergeleitet Der Zugriff von extern nach intern ber die externe Adresse ist m glich Source NAT Src NAT Die IP Adressumsetzung erfolgt von intern nach extern Vom internen Subnetz kommende Telegramme werden auf die angegebene interne IP Adresse gepr ft und mit der angegebenen externen IP Adresse in das externe Netz weitergeleitet Der Zugriff von intern nach extern ist m glich Am externen Netz wirkt die externe Adresse Source und Destination NAT Src NAT Dst NAT Die IP Adressumsetzung kann von intern oder extern erfolgen Der Zugriff von intern und extern ist m glich Am externen Netz wirkt die externe Adresse Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 137 Weitere Moduleigenschaften projektieren 3 1 Security Modul als Router Eingabem glichkeiten f r Adressumsetzung am externen Port Umsetzungsart Dst NAT von Extern Soll die Adressumsetzung am externen Port erfolgen stehen Ihnen die folgenden Eingabem jglichkeiten zur Verf gung Feld Externe IP Adresse M gliche Eingaben e IP Adresse im externen Subnetz Bei
138. ernet Key Exchange IKE 171 Internet Verbindung 85 IP Access Control Liste 64 IP Adresse 120 215 IP Dienste 122 IP Paketfilter lokal 115 IP Paketfilter Regeln 116 CP 1628 117 CP x43 1 Adv 117 SCALANCE S 2 V3 0 118 IP Protokoll 106 IP Regels tze 107 benutzerspezifische 110 IPsec Einstellungen 170 IPsec Tunnel 161 IP Verkehr Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Index mit S7 Protokoll 104 vom internen ins externe Netz 104 IP Zugriffsschutz 46 ISAKMP 177 ISO Protokoll 180 ISP Account 85 K Konsistenzpr fung 55 151 lokal 52 projektweit 53 L Layer 2 87 106 163 Layer 3 87 106 Layer 4 87 Lebensdauer von Zertifikaten 168 Leitungsdiagnose 207 210 214 Lernfunktionalit t 179 Lernmodus 180 Linearer Speicher 207 LLDP 64 Logging 88 203 CP x43 1 Adv 89 Ereignisklassen 213 SCALANCE S lt V3 0 104 SCALANCE S V3 102 Lokale Firewall Regeln 88 Lokales Logging 203 206 209 Audit Ereignisse 209 Paketfilter Ereignisse 209 System Ereignisse 210 M MAC Adresse 79 216 aufgedruckte 79 DMZ 79 im Routing Modus 79 intern 79 MAC Dienste 128 MAC Paketfilter Regeln 124 126 MAC Protokoll 106 MAC Regels tze 107 Main Mode 172 MD5 159 173 MD74x 3 58 Mengenger ste 18 Men befehle 40 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Men leiste 40 MIB 64
139. ers e Beispiel 1 Alle internen Teilnehmer f r externe Kommunikation zulassen e Beispiel 2 Zus tzlich Telegramme zulassen die von extern nach intern gerichtet sind Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren 3 7 Security Modul als Router Projektierung In der folgenden Routing Projektierung finden Sie Adresszuweisungen gem NAT Adressumsetzung Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 145 Weitere Moduleigenschaften projektieren 5 1 Security Modul als Router 146 E schnitstelen E Routing B NAT HR Firewall L Zetsynchronisierung A Log Einstellungen a Knoten ven DHCP Server E SNMP Proxy ARP NAT NAPT V NAT aktiv E NAPT aktiv V Freigabe f r alle internen Teilnehmer nach au en zulassen Etem P1 192 168 10 1 Intem P2 192 168 10 23 externe IP Adresse interne IP Adresse Richtung externer Port interne IP Adresse interner Port Schnittstelle 192 168 10 102 192 168 12 3 Dst NAT von Extern 192 168 10 1 bk Sre NAT nach Etem Hinzuf gen Entfernen Hinzuf gen Entfernen OK Abbrechen l bernehmen Hilfe B schnitsteien E Routing 3 nat RB Frewal 4E Zetsynchronisieung Log Einstellungen Knoten vPN DHCP Server E SNMP P
140. erten Modus Parameter SA Lebensdauertyp Beschreibung Phase 2 Security Association SA e Time Zeitbegrenzung in Minuten Die Nutzdauer f r das aktuelle Schl sselmaterial wird zeitlich begrenzt Nach Ablauf der Zeit wird das Schl sselmaterial neu ausgehandelt e Limit Begrenzung des Datenvolumen in Mbyte SA Lebensdauer Numerischer Wert e Nertebereich f r Time 60 16666666 Minuten Standard 2880 e Wertebereich f r Limit 2000 500000 Mbyte Standard 4000 Phase 2 Verschl sselung Verschl sselungs Algorithmus es DES Data Encryption Standard 56 Bit Schl ssell nge Modus CBC e 3DES 168 Dreifach DES 168 Bit Schl ssell nge Modus CBC e AES 128 Advanced Encryption Standard 128 Bit Schl ssell nge Modus CBC Phase 2 Authentifizierung Authentisierungs Algorithmus e MIDD Message Digest Algorithm 5 e SHA1 Secure Hash Algorithm 1 Perfect Forward W hlen Sie aus ob vor jedem neuen Aushandeln einer IPsec SA ein Secrecy erneutes Aushandeln der Schl ssel mit Hilfe des Diffie Hellman Verfahrens erfolgen soll Durch das Perfect Forward Secrecy wird sicher gestellt dass von den zuvor generierten Schl sseln nicht auf die neuen Schl ssel geschlossen werden kann 6 5 2 Security Modul in konfigurierte Gruppe aufnehmen Die projektierten Gruppeneigenschaften werden f r Security Module die in eine bestehende Gruppe aufgenommen werden bernommen So gehen Sie vor
141. eshalb nach einem Ausschalten der Spannungsversorgung nicht mehr zur Verf gung Filterung der System Ereignisse Stellen Sie in diesem Sub Dialog f r die System Ereignisse eine Filterebene ein Standardm ig sind die folgenden Werte eingestellt e SCALANCE S Ebene 0 e CP Ebene 3 W hlen Sie als Filterebene Error oder einen h heren Wert um die Aufzeichnung von allgemeinen nicht kritischen Ereignissen abzustellen Hinweis f r CP W hlen Sie f r den CP nur Ebene 3 oder Ebene 6 aus e Bei Auswahl von Ebene 3 werden die Fehlermeldungen der Ebenen 0 bis 3 ausgegeben e Bei Auswahl von Ebene 6 werden die Fehlermeldungen der Ebenen 0 bis 6 ausgegeben ber die Severity gewichten Sie die System P Die Leitungsdiagnose erzeugt ein Leitungsdiagnose EB K SE e N u spezielles System Ereignis Ereignisse der Leitungsdiagnose im Stellen Sie ein ab welchem Verh ltnis zur Severity der brigen System Prozentsatz fehlerhafter Ereignisse Telegramme ein System Ereignis Hinweis erzeugt werden soll Weisen SS Weisen Sie den System Ereignissen der dem System Ereignis eine x e e 2 g Leitungsdiagnose keine geringere Severity Facility und eine Severity zu Sen als der Filterung der System Ereignisse zu Ansonsten passieren diese Ereignisse den Filter nicht und werden nicht aufgezeichnet Grundlagen und Anwendung 210 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Online Funktionen
142. et kein Abgleich mit STEP 7 statt Ge nderte Regeln werden in SCT also nicht berschrieben Von Nach Die zugelassenen Werden in den folgenden Tabellen beschrieben Kommunikationsrichtungen Quell MAC Adresse Quell Adresse der MAC Pakete Alternativ k nnen Sie symbolische Namen eingeben Ziel MAC Adresse Ziel Adresse der MAC Pakete Dienst Name des verwendeten MAC Die Klappliste bietet die projektierten Dienste und Dienstes oder der Dienstgruppe Dienstgruppen zur Auswahl an Any fasst die f r den einzelnen Keine Angabe bedeutet es wird kein Dienst gepr ft die Eintrag zugelassenen Richtungen Regel gilt f r alle Dienste zusammen Hinweis Damit die vordefinierten MAC Dienste in der Klappliste erscheinen aktivieren Sie diese zun chst im Standard Modus Bandbreite Mbit s Einstellm glichkeit f r eine CP x43 1 und SCALANCE S lt V3 0 0 001 100 Bandbreiten Begrenzung Kann nur CP 1628 und SCALANCE S gt V3 0 0 001 1000 eingegeben werden wenn bei Aktion Allow ausgew hlt ist F r globale und benutzerspezifische Regeln 0 001 100 Ein Paket passiert die Firewall wenn die Pass Regel zutrifft und die zul ssige Bandbreite f r diese Regel noch nicht berschritten worden ist Logging Ein bzw Ausschalten des Logging f r diese Regel Nr Automatisch vergebene Nummer der Regel Kommentar Platz f r eigene Erl uterung der Ist ein Kommentare mit AUTO gekennzeichnet wurde er
143. eweils einem Passwort zur Authentifizierung ein Dem Benutzer weisen Sie eine systemdefinierte oder benutzerdefinierte Rolle zu Den Rollen sind projektierungs und baugruppenspezifische Rechte zugewiesen Beachten Sie beim Anlegen die angegebenen Mengenger ste Seite 18 Bereits vorhandene Benutzer aus STEP 7 nach SCT migrieren Bereits in STEP 7 angelegte Benutzer k nnen nach SCT migriert werden Dabei m ssen Sie die Passw rter neu vergeben Detailinformationen dazu finden Sie in der Online Hilfe Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen SCT Dialog Grundlagen und Anwendung 58 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 6 Benutzer verwalten Eingabereihenfolge beim Anlegen Benutzern und Rollen W hlen Sie eine der beiden Eingabereihenfolgen e Legen Sie zun chst einen neuen Benutzer an legen Sie anschlie end eine Rolle fest und weisen Sie im letzten Schritt dem Benutzer die Rolle zu e Definieren Sie zun chst eine neue Rolle legen Sie anschlie end einen Benutzer an und weisen Sie im letzten Schritt dem Benutzer die Rolle zu Benutzer Authentifizierung Die Benutzer des Projektes m ssen sich beim Zugriff authentifizieren F r jeden Benutzer m ssen Sie deshalb eine Passwort Authentifizierung festlegen ACHTUNG Verwahren Sie Ihre Benutzer Passw rter sicher Vergessen Sie Ihre Benutzer Passw rt
144. f Ger te oder Netzwerke zugreifen die sich in einem durch Security Module gesch tzten internen Netz befinden Die PC Software SOFTNET Security Client wird ebenfalls mit dem Projektierwerkzeug Security Configuration Tool konfiguriert damit ist eine durchg ngige Projektierung gew hrleistet Grundlagen und Anwendung 20 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 5 Einsatz von SCALANCE S602 1 5 Einsatz von SCALANCE S602 Firewall und Router Aufgabe von SCALANCE S602 Durch die Kombination unterschiedlicher Sicherheitsma nahmen wie Firewall und NAT NAPT Router sch tzt das Ger t SCALANCE S602 einzelne Ger te oder auch ganze Automatisierungszellen vor e Datenspionage e unberechtigten Zugriffen SCALANCE S602 erm glicht diesen Schutz flexibel und ohne komplizierte Handhabung SCALANCE S602 wird mit dem Projektierwerkzeug Security Configuration Tool konfiguriert externes Netz N SCALANCE S SCALANCE S db Firewall Router NAT NAPT I Router l o l o o Ge Il Il m ET Il wi WA WA OP 270 S7 400 S7 300 I wi EES Bedienen amp Beobachten Intern Automatisierungszelle intern Automatisierungszelle NH Zar Hr NE ER RZ EEE Bild 1 1 Netzkonfiguration mit SCALANCE S602 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 21 Einf hrung und Grundla
145. fgabe 23 SCALANCE S623 Aufgabe 23 Schnittstellen 133 Schnittstellen Routing 78 Security Configuration Tool 34 35 35 Bedienungssichten 36 Betriebsarten 36 in STEP 7 35 43 Installation CP 1628 37 Installation CP x34 1 Adv 37 Installation SCALANCE S 37 Men leiste 40 Standalone 35 43 226 Security Einstellungen 187 Security Modul 3 Severity 213 SHA1 173 SHA 1 159 SiClock 130 SiClock Uhrzeittelegramme 105 SIMATIC NET DVD 37 SIMATIC NET Glossar 6 SNMP 64 SNMPVv1 159 SNMPv3 159 SOFTNET Security Client 3 Anlaufverhalten 189 Aufgabe 20 Datenbasis 190 deinstallieren 189 im Projekt konfigurieren 189 Konfigurationsdatei erstellen 189 Lernen der internen Knoten 198 unterst tzte Betriebssyteme 187 Spezifizierte Verbindungen 45 47 87 SSL Zertifikat 69 Stammzertifizierungsstellen 68 Standard Modus 36 Firewall 88 Logging 214 Lokales Logging 206 Standard Benutzer 60 Standard Initialisierungswerte 52 Standard Router 75 134 Stateful Packet Inspection 87 Statuszeile 39 STEP 7 43 Benutzermigration migrierte Daten 44 Objekteigenschaften Subnetzmaske 75 215 Symbole 5 Symbolische Namen 53 212 Symboltabelle 54 Syslog Audit Ereignisse 213 Paketfilter Ereignisse 213 symbolische Namen 53 System Ereignisse 213 Syslog Server 50 203 211 Systemdefinierte Rolle administrator 60 diagnostics 61 remote access 61 standard 60 Grundlagen und Anwendung Projektierungshan
146. figurieren Tabelle 8 2 Lokaler Log Funktions bersicht Funktion Register im Online Dialog Projektierung Bemerkungen Paketfilter Ereignisse Firewall Die Aktivierung erfolgt ber Paketfilter Logdaten sind nicht remanent Optionsk stchen Die Daten werden in einem fl chtigen Die Auswahl des Speicher des Security Moduls abgelegt und Speicherverfahrens erfolgt ber stehen deshalb nach einem Ausschalten der Optionsfelder Spannungsversorgung nicht mehr zur Verf gung Audit Ereignisse immer aktiviert Logging ist immer aktiviert Audit Logdaten sind remanent Die Speicherung erfolgt immer im Die Daten werden in einem remanenten Umlaufpuffer Speicher des Security Moduls abgelegt und stehen deshalb auch nach einem Ausschalten der Spannungsversorgung noch zur Verf gung Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 209 Online Funktionen Test Diagnose und Logging 8 2 Ereignisse aufzeichnen Logging Funktion Register im Online Dialog System Ereignisse Projektierung Die Aktivierung erfolgt ber Optionsk stchen Die Auswahl des Speicherverfahrens erfolgt ber Optionsfelder Zur Konfiguration des Ereignisfilters und der Leitungsdiagnose ffnen Sie ber die Schaltfl che Konfigurieren einen weiteren Dialog Bemerkungen System Logdaten sind nicht remanent Die Daten werden in einem fl chtigen Speicher des Security Moduls abgelegt und stehen d
147. ge ffnete Projekte Direkte Auswahlm glichkeit der bisher bearbeiteten Projekte F r CP Bestehende Projekte k nnen nur ber STEP 7 Projekte ge ffnet werden Beenden Projekt schlie en Bearbeiten gt Men befehle nur im Offline Modus Hinweis Die Funktionen k nnen Sie bei angew hltem Objekt teilweise auch ber das Kontextmen ausw hlen I Kopieren Angew hltes Objekt kopieren Strg C Grundlagen und Anwendung 40 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle Men befehl Bedeutung Bemerkungen Tastenkombination Einf gen Objekt aus der Zwischenablage holen und einf gen Strg V L schen Angew hltes Objekt l schen Entf Umbenennen Angew hltes Objekt umbenennen F2 Modul austauschen Angew hltes Security Modul durch ein anderes austauschen Eigenschaften Eigenschaftsdialog des angew hlten Objektes ffnen F4 Online Diagnose Auf die Test und Diagnosefunktionen zugreifen Der Men befehl ist nur in der Online Ansicht sichtbar Einf gen gt Men befehle nur im Offline Modus Modul Neues Modul anlegen Strg M Der Men befehl ist nur aktiv wenn ein Modul oder eine Gruppe im Navigationsbereich angew hlt ist Gruppe Neue Gruppe anlegen Strg G Der Men befehl ist nur aktiv wenn ein Gruppen Objekt im Navigationsbereich angew h
148. gen 1 5 Einsatz von SCALANCE 5602 Sicherheitsfunktionen e Firewall IP Firewall mit Stateful Packet Inspection Layer 3 und 4 Firewall auch f r Ethernet Non IP Telegramme gem IEEE 802 3 Layer 2 Telegramme gilt nicht f r S602 wenn der Router Betrieb genutzt wird Bandbreitenbegrenzung Alle Netzknoten die sich im internen Netzsegment eines SCALANCE S befinden werden durch dessen Firewall gesch tzt e Router Betrieb Indem Sie SCALANCE S als Router betreiben entkoppeln Sie das interne Netz vom externen Netz Das von SCALANCE S verbundene interne Netz wird somit zu einem eigenen Subnetz SCALANCE S muss als Router explizit ber seine IP Adresse adressiert werden e Schutz f r Ger te und Netzsegmente Die Schutzfunktion Firewall kann sich ber den Betrieb einzelner Ger te mehrerer Ger te wie auch ganzer Netzsegmente erstrecken e R ckwirkungsfreiheit beim Einbau in flache Netze Bridge Betrieb Beim Einbau eines SCALANCE S602 in eine bestehende Netzinfrastruktur m ssen die Endger te nicht neu eingestellt werden Interne und Externe Netzknoten SCALANCE S602 teilt Netzwerke in zwei Bereiche auf e internes Netz gesch tzte Bereiche mit den internen Knoten Interne Knoten sind alle diejenigen Knoten die von einem SCALANCE S abgesichert sind e externes Netz ungesch tzte Bereiche mit den externen Knoten Externe Knoten sind alle Knoten die sich au erhalb der gesch tzten Bereiche befinden
149. gen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 205 Online Funktionen Test Diagnose und Logging 8 2 Ereignisse aufzeichnen Logging 8 2 Ereignisse aufzeichnen Logging bersicht Ereignisse auf dem Security Modul k nnen aufgezeichnet werden Die Aufzeichnung erfolgt je nach Ereignistyp in fl chtige oder dauerhafte lokale Pufferbereiche Alternativ kann auch eine Aufzeichnung in einem Netzwerk Server erfolgen Konfiguration im Standard Modus und im Erweiterten Modus Die Auswahlm glichkeiten im Security Configuration Tool h ngen von der gew hlten Ansicht ab e Standard Modus Lokales Logging ist im Standard Modus standardm ig aktiviert Paketfilter Ereignisse k nnen global im Register Firewall aktiviert werden Netzwerk Syslog ist in dieser Ansicht nicht m glich e Erweiterter Modus S mtliche Logging Funktionen k nnen aktiviert oder deaktiviert werden Paketfilter Ereignisse m ssen selektiv im Register Firewall lokale oder globale Regeln aktiviert werden Aufzeichnungsverfahren und Ereignisklassen Sie k nnen in der Konfiguration festlegen welche Daten aufgezeichnet werden sollen Dadurch aktivieren Sie die Aufzeichnung bereits mit dem Laden der Konfiguration in das Security Modul Au erdem w hlen Sie in der Konfiguration eine oder beide der m glichen Aufzeichnungsverfahren e Lokales Logging e Netzwerk Syslog Das Security Modul kennt f r beide Aufzeichnungsve
150. gerichtet Diese Vorgehensweise ist besonders bei kleinen Konfigurationen schnell und effizient Optional k nnen Sie im Dialog f r Tunnel bersicht alle Tunnel einrichten Anmerkung Sie k nnen nacheinander die Konfigurationsdateien aus mehreren im SCT erstellten Projekten importieren siehe auch nachfolgende Erl uterung zur Vorgehensweise Tunnel bersicht Dialog zum Einrichten und Bearbeiten der Tunnel ber diesen Dialog nehmen Sie die eigentliche Konfiguration des SOFTNET Security Client vor Es wird eine Liste der gesicherten Tunnel mit den IP Adressen der Security Module angezeigt Falls auf Ihrem PG PC mehrere Netzwerkadapter vorhanden sind w hlt der SOFTNET Security Client automatisch einen aus ber den ein Tunnelaufbau versucht wird Gegebenenfalls konnte der SOFTNET Security Client jedoch keinen zu ihrem Teilnehmer passenden finden und hat einen beliebigen eingetragen In diesem Fall m ssen Sie die Netzwerkadaptereinstellung ber den Dialog Netzwerkadapter im Kontextmen der Teilnehmer und Security Module manuell anpassen Deaktivieren Alle gesicherten Tunnel deaktivieren Minimieren Die Bedienoberfl che des SOFTNET Security Client wird geschlossen Das Symbol f r den SOFTNET Security Client wird weiterhin in der Windows Taskleiste angezeigt Beenden Der SOFTNET Security Client wird beendet und alle Tunnel deaktiviert Hilfe Online Hilfe aufrufen Info Informationen zum Ausgabestand des SOFTNET S
151. griffe vom PC PG auf Automatisierungsger te die durch Security Module gesch tzt sind ber ffentliche Netze hinweg m glich In diesem Kapitel wird beschrieben wie Sie den SOFTNET Security Client im Security Configuration Tool projektieren und anschlie end auf dem PC PG in Betrieb nehmen Weitere Informationen Detailinformationen zu den Dialogen und den einstellbaren Parametern gibt Ihnen auch die Online Hilfe des SOFTNET Security Client Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen Dialog Siehe auch Gesicherte Kommunikation im VPN ber IPsec Tunnel Seite 161 7 1 Einsatz des SOFTNET Security Client Einsatzbereich Zugriff ber VPN Mit dem SOFTNET Security Client konfigurieren Sie einen PC PG so dass er automatisch eine gesicherte IPsec Tunnelverbindung im VPN Virtual Private Network zu einem oder mehreren Security Modulen aufbauen kann PG PC Applikationen wie NCM Diagnose oder STEP 7 k nnen ber eine gesicherte Tunnelverbindung auf Ger te oder Netzwerke zugreifen die sich in einem durch das Security Modul gesch tzten internen Netz befinden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 185 SOFTNET Security Client 7 1 Einsatz des SOFTNET Security Client Ferigungs Leitrechner HMI Automatisierungszelle Workstation k k Computer 5 Gm WW Exportieren der Konfiguration f r LA gt SOFTNET Security Cl
152. he Algorithmen im Oakley Schl sselaustausch Protokoll SA Lebensdauertyp SA Lebensdauer Phase 1 Security Association SA e Time Zeitbegrenzung in Minuten Die Nutzdauer f r das aktuelle Schl sselmaterial wird zeitlich begrenzt Nach Ablauf der Zeit wird das Schl sselmaterial neu ausgehandelt Numerischer Wert Wertebereich f r Time 1440 2500000 Minuten Standard 2500000 Phase 1 Verschl sselung Verschl sselungs Algorithmus e DES Data Encryption Standard 56 Bit Schl ssell nge Modus CBC e S3DES 168 Dreifach DES 168 Bit Schl ssell nge Modus CBC e AES 128 192 256 Advanced Encryption Standard 128 192 Bit oder 256 Bit Schl ssell nge Modus CBC Phase 1 Authentifizierung Authentisierungs Algorithmus e MIDD Message Digest Algorithm 5 e SHA1 Secure Hash Algorithm 1 Parameter f r erweiterte Einstellungen Phase 2 IPsec Einstellungen Phase 2 Datenaustausch ESP Encapsulating Security Payload Stellen Sie hier die Parameter f r das Protokoll des IPsec Datenaustauschs ein Der Datenaustausch erfolgt im Quick Mode Die gesamte Kommunikation in dieser Phase erfolgt verschl sselt ber das standardisierte Sicherheitsprotokoll ESP f r das Sie folgende Protokollparameter einstellen k nnen 172 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweit
153. hem Verbindungsaufbau starten Sie die Applikation die eine Kommunikationsverbindung zu einem der Teilnehmer aufbauen soll z B STEP 7 ACHTUNG Wenn auf dem PG PC mehrere Netzwerkadapter vorhanden sind w hlt SSC den Netzwerkadapter zum Aufbau eines Tunnels automatisch aus Falls kein zum Projekt passender Netzwerkadapter vorhanden ist tr gt SSC automatisch einen ein Passen Sie in diesem Fall die Einstellung zum Netzwerkadapter ber das Kontextmen der Teilnehmer und Security Module an Bedeutung der Parameter Tabelle 7 1 Parameter im Dialogfeld Tunnel bersicht Parameter Bedeutung Wertebereich Status M gliche Statusanzeigen finden Sie in der nachfolgenden Tabelle Name Aus der SCT Konfiguration bernommener Name des Moduls oder des Teilnehmers Int Teilnehmer IP Subnetz Wenn interne Teilnehmer Subnetze vorhanden sind wird die IP Adresse des internen Knotens bzw die Netz ID des internen Subnetzes anzeigt Tunnelendpunkt IP IP Adresse des zugeordneten Security Moduls Tunnel ber Falls der PC mit mehreren Netzwerkkarten betrieben wird wird die zugeordnete IP Adresse angezeigt ber welche der VPN Tunnel aufgebaut wird Tabelle 7 2 Statusanzeigen Symbol Bedeutung x Es besteht keine Verbindung zum Modul oder Teilnehmer eh Es sind weitere Teilnehmer vorhanden die nicht angezeigt werden Doppelklicken Sie auf das Symbol um weitere Teilnehmer
154. hen wenn Sie keine nderungen vorgenommen haben Tastenkombination Strg E Detail Fenster ausblenden Zus tzliche Details zum ausgew hlten Objekt aus und einblenden Strg Alt D Offline Ist Voreinstellung Umschaltung in die Projektierungsbetriebsart Strg Shift D Online Umschaltung in die Test und Diagnosebetriebsart Strg D Optionen gt IP Dienste Dialog f r Dienst Definitionen f r IP Firewall Regeln ffnen Der Men befehl ist nur im Erweiterten Modus sichtbar MAC Dienste Dialog f r Dienst Definitionen f r MAC Firewall Regeln ffnen Der Men befehl ist nur im Erweiterten Modus sichtbar Netzwerkadapter ber den ausgew hlten Netzwerkadapter wird dem SCALANCE S eine IP Adresse zugewiesen Sprachen Sprache ausw hlen in der die SCT Oberfl che angezeigt wird F r SCT in STEP 7 wird die Sprache der SCT Oberfl che ber die Sprachauswahl in STEP 7 festgelegt Log Dateien Anzeige von gespeicherten Log Dateien Symbolische Namen Symbolische Namen f r IP oder MAC Adressen vergeben NTP Server NTP Server erstellen und bearbeiten Konsistenzpr fungen Konsistenz des gesamten Projektes pr fen Als Ergebnis wird eine Resultatsliste ausgegeben Benutzerverwaltung Benutzer und Rollen anlegen und bearbeiten sowie Rechte zuweisen Zertifikatsmanager Zertifikate
155. hnttstelen E Routing a nat W Frenel d Zetsynchonisieung A Log Enstelungen 3 Knoten z ven EB DHCP Server snm Frow ARP IP Regeln MAC Regeln inaktiv Aktion Von Nach Quell IP Adresse Ziel IP Adresse Dienst Bandbreite Mbits Logging Nr Kommentar 1 Ion Extem Intern 192 168 12 3 alle IP R_1 2 Allow Intern Extern 192 168 10 124 192 168 10 11 alle IP R_2 3 Allow Extern Intern 192 168 12 4 alle IP R_3 m Allow Intern Extern 192 168 10 101 alle IP R_4 4 Allow Extern Intern 192 168 12 5 OpenP345 IP R_5 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 143 Weitere Moduleigenschaften projektieren 3 1 Security Modul als Router Beschreibung 5 1 8 bersicht 144 Beispiel 1 NAT Adressumsetzung Dst NAT von Extern Ein Teilnehmer im externen Netz kann mit dem Teilnehmer mit der internen IP Adresse 192 168 12 3 im internen Subnetz kommunizieren indem er die externe IP Adresse 192 168 10 123 als Zieladresse verwendet Beispiel 2 NAT Adressumsetzung Scr NAT nach Extern Telegramme eines internen Teilnehmers mit der internen IP Adresse 192 168 12 3 werden in das externe Netz mit der externen IP Adresse 192 168 10 124 als Quelladresse weitergeleitet Die Firewall ist im Beispiel so eingestellt dass die Kommunikation mit der Quell IP Adresse 192 168 10 124 von intern nach exter
156. iel besagt dass Telegramme an den Teilnehmer mit der IP Adresse 192 168 10 102 auf die interne IP Adresse 192 168 12 3 umgesetzt werden Entsprechend muss die Firewall eingestellt werden Da immer zun chst die NAT NAPT Umsetzung erfolgt und erst im zweiten Schritt die umgesetzte Adresse in der Firewall gepr ft wird ist im Beispiel die interne IP Adresse als Ziel IP Adresse in der Firewall eingetragen Security Modul als DHCP Server bersicht Sie k nnen das Security Modul am internen Netz als DHCP Server DHCP Dynamic Host Configuration Protokoll betreiben Damit ist es m glich den am internen Netz angeschlossenen Ger ten automatisch IP Adressen zuzuweisen Die IP Adressen werden hierbei entweder dynamisch aus einem von Ihnen vergebenen Adressband verteilt oder es wird gem Ihrer Vorgabe eine bestimmte IP Adresse einem bestimmten Ger t zugewiesen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 147 Weitere Moduleigenschaften projektieren 5 2 Security Modul als DHCP Server DHCP Server f r DMZ Um auch Ger ten in der DMZ eine dynamische IP Adresse zuweisen zu k nnen kann auf dem DMZ Port ein DHCP Server aktiviert werden Damit die Ger te in der DMZ f r die Firewall Konfiguration immer die gleiche IP Adresse bekommen darf die Adresszuordnung nur statisch anhand der MAC Adresse oder anhand der Client ID erfolgen Voraussetzung Sie m ssen die Ger te am internen Netz so konfiguriere
157. ient haben Sie sich f r das SIEMENS Sicherheitskonzept entschieden das den hohen Anforderungen gesch tzter Kommunikation in der industriellen Automatisierungstechnik gerecht wird Hinweis Aktuelle Antiviren Software Es wird empfohlen dass auf allen Projektierungsrechnern immer eine aktuelle Antiviren Software installiert ist Dieses Kapitel gibt Ihnen einen berblick ber die Sicherheitsfunktionen der Ger te und Komponenten Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 15 Einf hrung und Grundlagen 1 3 Produkteigenschaften e SCALANCES e CP x43 1 Advanced e CP 1628 e SOFTNET Security Client Tipp A Den schnellen Einstieg mit den Security Modulen finden Sie im Dokument SIMATIC NET Security Getting Started 1 3 Produkteigenschaften 1 3 1 Funktions bersicht Funktions bersicht der Ger tetypen Entnehmen Sie der folgenden Tabelle welche Funktionen die einzelnen Security Module unterst tzen Hinweis In diesem Handbuch werden alle Funktionen beschrieben Ber cksichtigen Sie anhand der nachfolgenden Tabelle welche Funktionen auf das von Ihnen genutzte Security Modul zutreffen Achten Sie auch auf die zus tzlichen Angaben in den Kapitel berschriften Tabelle 1 1 Funktions bersicht Funktion CP x43 1 Adv CP 1628 SCALANCE S 2 V3 0 Projektierung ber Security Configuration Tool Security Configur
158. ient mittels lt Datentr ger A eme SOFTNET Security Client Security Modul Security Modul Ga S7 400 IE PB Link l l l l l l ET 200X l l l l L Automatisierungszelle Automatische Kommunikation ber VPN Bedienung SOFT 186 Wichtig f r Ihre Anwendung ist dass der SOFTNET Security Client erkennt wenn ein Zugriff auf die IP Adresse eines VPN Teilnehmers erfolgt Adressieren Sie den Teilnehmer ber die IP Adresse so als w rde er sich im lokalen Subnetz befinden an dem auch der PC PG mit der Applikation angeschlossen ist ACHTUNG ber den IPsec Tunnel kann nur eine IP basierte Kommunikation zwischen SSC und den Security Modulen sowie den internen Teilnehmern hinter den Security Modulen erfolgen Ebene2 Kommunikation ist mit dem SSC nicht m glich Die PC Software SOFTNET Security Client dient zur Konfiguration der Security Eigenschaften welche zur Kommunikation mit durch Security Module gesch tzten Ger ten notwendig sind Nach der Konfiguration l uft der SOFTNET Security Client im Hintergrund ab sichtbar durch ein Symbol in der Symbolleiste auf dem PG PC Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 SOFTNET Security Client 7 1 Einsatz des SOFTNET Security Client Details in der Online Hilfe Detaillierte Informationen zu den Dialogen und Eingabefeldern finden Sie auch in der Online Hilfe der Bedienoberf
159. ieren 5 5 bersicht 5 5 Proxy ARP e SNMPv1 Das Security Modul verwendet zur Steuerung der Zugriffsrechte im SNMP Agent folgende Standardwerte f r die Community Strings F r Lesezugriff public F r Lese und Schreibzugriff private Hinweis Standardwerte f r Community Strings berschreiben Um die Sicherheit zu erh hen berschreiben Sie die Standardwerte der Community Strings mit neuen Namen Um den Schreibzugriff ber SNMP zu aktivieren w hlen Sie die Option Erlaube schreibenden Zugriff ber Community String private SNMPv3 W hlen Sie entweder ein Authentifizierungsverfahren oder ein Authentifizierungs und Verschl sselungsverfahren aus Authentifizierungs Algorithmus keine MD5 SHA 1 Verschl sselungs Algorithmus keine AES 128 DES Weisen Sie dem Benutzer eine Rolle zu bei der die entsprechenden SNMP Rechte aktiviert sind Eine bersicht der SNMP Rechte finden Sie in Kapitel Rechte verwalten Seite 62 Proxy ARP Proxy ARP erm glicht Routern ARP Anfragen f r Hosts zu beantworten Die Hosts befinden sich dabei in durch Router getrennten Netzen verwenden jedoch den gleichen IP Adressenbereich Sendet PC1 eine ARP Anforderung an PC2 bekommt er von dem dazwischen liegenden Router und nicht von PC2 eine ARP Antwort und die Hardwareadresse der Schnittstelle MAC des Ports am Router auf der die Anfrage empfangen wurde Der anfragende PC1 sendet dann seine Daten an den
160. ig wird dies als 1 1 NAT bezeichnet Beim 1 1 NAT wird die interne Adresse ohne Portumsetzung auf diese externe Adresse umgesetzt Ansonsten handelt es sich um n 1 NAT Adressumsetzung mit NAPT Network Address Port Translation Die Adressumsetzung bei NAPT ver ndert die Zieladresse und den Zielport in einer Kommunikationsbeziehung Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 135 Weitere Moduleigenschaften projektieren 3 1 Security Modul als Router Umgesetzt werden Telegramme die vom externen Netz kommen und an die IP Adresse des Security Moduls gerichtet sind Ist der Zielport des Telegramms identisch einem der Werte der in der Spalte externer Port angegeben ist so ersetzt das Security Modul die Zieladresse und den Zielport wie in der entsprechenden Zeile der NAPT Tabelle angegeben Bei der R ckantwort setzt das Security Modul als Quell IP Adresse und als Quellport die Werte ein die beim Initialtelegramm als Zieladresse bzw Zielport stehen Der Unterschied zu NAT liegt darin dass bei diesem Protokoll auch Ports umgesetzt werden k nnen Es gibt keine 1 1 Umsetzung der IP Adresse Vielmehr existiert nur noch eine ffentliche IP Adresse die durch den Zusatz von Portnummern an eine Reihe von privaten IP Adressen umgesetzt wird Konsistenzpr fung diese Regeln m ssen Sie beachten Beachten Sie f r die Adresszuweisung folgende Regeln um konsistente Eintr ge zu erhalten
161. indows 7 m glich Phase 1 SA Lebensdauer 1440 2879 Minuten SA Lebensdauertyp Muss f r beide Phasen identisch gew hlt werden Phase 2 Verschl sselung Phase 2 SA Lebensdauer Kein AES 128 m glich 1440 2879 Minuten Phase 2 Authentifizierung Kein MD5 m glich Aktive Teilnehmer in eine VPN Gruppe aufnehmen Wird ein aktiver Teilnehmer in eine bestehende VPN Gruppe hinzugef gt so kann dieser die Gruppenteilnehmer erreichen ohne dass Sie das Projekt erneut auf alle Teilnehmer der VPN Gruppe laden ACHTUNG VPN Gruppe Wenn Sie einen aktiven Teilnehmer aus einer bestehenden VPN Gruppe entfernen kann dieser immer noch eine Verbindung zu den Gruppenteilnehmern aufbauen auch wenn Sie das Projekt erneut auf alle Teilnehmer der VPN Gruppe geladen haben Soll der entfernte aktive Teilnehmer keine Verbindung mehr aufbauen k nnen erneuern Sie das CA Gruppenzertifikat und laden Sie das Projekt erneut auf die Teilnehmer der Erneuert werden kann das Zertifikat in den Gruppeneigenschaften der VPN Gruppe oder im Zertifikatsmanager Register Zertifizierungsstellen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 C286 01 175 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus 6 5 3 Modulspezifische VPN Eigenschaften konfigurieren Bedeutung Voraussetzung F r den Datenaustausch ber die IPsec
162. irmware Softwarest nde angegeben werden Name des Moduls Frei w hlbarer Name des Moduls MAC Adresse Hinweis zum Aufbau der MAC Adresse Die MAC Adresse besteht aus einem festen und einem variablen Teil Der feste Teil Basis MAC Adresse kennzeichnet den Hersteller Siemens 3COM Der variable Teil der MAC Adresse unterscheidet die verschiedenen Ethernet Teilnehmer IP Adresse ext IP Startadresse f r das externe Interface Format Wertebereich f r IP Adresse Die IP Adresse besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 141 80 0 16 Subnetzmaske ext Wertebereich f r Subnetzmaske Wird entsprechend der eingegebenen IP Adresse vorgeschlagen Die Subnetzmaske besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 255 255 0 0 Routing aktivieren Wenn Sie diese Option aktivieren befindet sich das Security Modul im Routing Modus IP Adresse int nur anzugeben wenn Routing Modus aktiviert IP Startadresse f r die interne Schnittstelle Die IP Adresse besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 141 80 0 17 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 73 Module anlegen und Netzparameter einstellen Parameter Subnetzmaske
163. irtual Private Network Hinweis Beachten Sie die Reihenfolge beim Laden auf die Baugruppen wenn Sie die Firewall konfigurieren oder VPN Einstellungen vornehmen Laden Sie zun chst alle VPN Partner und zuletzt den CP 1628 Logging Zur berwachung lassen sich Ereignisse in Log Datein speichern die mit Hilfe des Projektierwerkzeugs ausgelesen werden oder automatisch an einen Syslog Server gesendet werden k nnen Gesichertes NTP Zur sicheren Uhrzeitsynchronisierung und bertragung SNMPV3 Zur abh rsicheren bertragung von Netzwerkanalyseinformationen Informationen zu allgemeinen Funktionen des CP 1628 In dem vorliegenden Handbuch erhalten Sie Informationen zu den Security Funktionen des CP 1628 erkl rt F r Beschreibungen zu allgemeinen Funktionen siehe 11 Seite 221 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 33 Einf hrung und Grundlagen 1 10 Projektierung und Administration 1 10 Projektierung und Administration Das Wichtigste zusammengefasst Im Zusammenspiel mit dem Projektierwerkzeug Security Configuration Tool werden Sie zu einer einfachen und sicheren Anwendung der Security Module gef hrt e Projektierung ohne IT Experten Wissen mit dem Security Configuration Tool Mit dem Security Configuration Tool k nnen auch Nicht IT Experten ein Security Modul projektieren In einem erweiterten Modus k nnen bei Bedarf komplexere Einstellungen vorgenommen werden
164. is 126 255 x X X 128 bis 191 255 255 x X 192 bis 223 255 255 255 x Hinweis F r die erste Dezimalzahl der IP Adresse k nnen Sie auch einen Wert zwischen 224 und 255 eintragen Dies ist jedoch nicht empfehlenswert da f r diese Werte keine Adresspr fung durch STEP 7 erfolgt Wertebereich f r Adresse des Netz bergangs Die Adresse besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 141 80 0 1 Zusammenhang IP Adresse und Adresse des Netz bergangs Die IP Adresse und die Adresse des Netz bergangs d rfen nur an den Stellen unterschiedlich sein an denen in der Subnetzmaske 0 steht Beispiel Sie haben eingegeben f r Subnetzmaske 255 255 255 0 f r IP Adresse 141 30 0 5 und f r die Adresse des Netz bergangs 141 30 128 0 Die IP Adresse und die Adresse des Netz bergangs d rfen nur in der 4 Dezimalzahl einen unterschiedlichen Wert haben Im Beispiel ist aber die 3 Stelle schon unterschiedlich Im Beispiel m ssen Sie also alternativ ndern die Subnetzmaske auf 255 255 0 0 oder die IP Adresse auf 141 30 128 5 oder die Adresse des Netz bergangs auf 141 30 0 0 A3 MAC Adresse Hinweis zum Aufbau der MAC Adresse Die MAC Adresse besteht aus einem festen und einem variablen Teil Der feste Teil Basis MAC Adresse kennzeichnet den Hersteller Siemens 3COM Der variable Teil der MAC Adresse unterscheidet die verschiedenen Ethernet Teilnehmer
165. jeden Benutzer aus wie er migriert werden soll und vergeben Sie ber die Schaltfl che Passwort vergeben ein neues Passwort e Derin STEP 7 verf gbare systemdefinierte Benutzer everybody Auch werden dessen Rechte f r migrierte Benutzer nicht bernommen STEP 7 Ger terechte in die SCT Benutzerverwaltung migrieren Folgende Rechte werden migriert Recht in STEP 7 Auf die projektierten Symbole zuzugreifen Recht nach der Migration in SCT Service Applet Variablen ber projektierte Symbole SPS lesen Applet Variablen ber projektierte Symbole schreiben zu lesen Variablen ber absolute Adressen Applet Variablen ber absolute Adressen lesen Variablen ber absolute Adresse zu schreiben Applet Variablen ber absolute Adressen schreiben Mit FTP auf Dateien in der S7 Station zugreifen FTP Dateien DBs von der S7 CPU lesen FTP Dateien DBs in die S7 CPU schreiben FTP Dateien vom CP Dateisystem lesen Dateisystem FTP Dateien auf das CP Dateisystem schreiben 48 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Recht in STEP 7 Recht nach der Migration in SCT Service Web CP Dateisystem formatieren Eine Testmail ber die Web Auf Web Diagnose und CP Web Systemseite zu versenden Dateisystem zugreifen Web
166. kte anlegen und verwalten 2 4 5 Initialisierungswerte f r ein Projekt festlegen D gt Initialisierungswerte f r ein Projekt festlegen Mit den Initialisierungswerten legen Sie Eigenschaften fest die beim Anlegen neuer Module automatisch bernommen werden Au erdem legen Sie fest ob beim Anlegen eines neuen Security Moduls ein Fenster zum Einstellen der Eigenschaften ge ffnet werden soll oder ob das Security Modul direkt eingef gt wird W hlen Sie den Men befehl Projekt gt Eigenschaften Register Standard Initialisierungswerte Schutz der Projektdaten durch Verschl sselung 2 4 6 bersicht Die abgespeicherten Projekt und Konfigurationsdaten sind sowohl in der Projektdatei als auch auf dem C PLUG nicht f r CP 1628 durch Verschl sselung gesch tzt Konsistenzpr fungen Security Configuration Tool unterscheidet e Lokale Konsistenzpr fungen e Projektweite Konsistenzpr fungen Auf welche gepr ften Regeln Sie bei der Eingabe achten m ssen finden Sie in den jeweiligen Dialogbeschreibungen unter dem Stichwort Konsistenzpr fung Lokale Konsistenzpr fungen 52 Eine Konsistenzpr fung hei t lokal wenn sie direkt innerhalb eines Dialogs durchgef hrt werden kann Bei folgenden Aktionen k nnen Pr fungen ablaufen e nach dem Verlassen eines Feldes e nach dem Verlassen einer Zeile in einer Tabelle e beim Verlassen des Dialogs mit OK Grundlagen und Anwendung Projektierungshandbuch 0
167. ktierten Verbindungen im Projekt berpr ft werden Automatisch abgeglichen werden f r jeden Kommunikationspartner die IP Adresse die Aktion und die Schnittstelle Pro Kommunikationspartner entstehen unabh ngig von der Anzahl der Verbindungen 2 Regeln Hinweis UDP Multicast und UDP Broadcast Verbindungen manuell freigeben F r UDP Multicast und UDP Broadcast Verbindungen werden keine automatischen Firewall Regeln angelegt Um die Verbindungen freizugeben f gen Sie die entsprechenden Firewall Regeln im Erweiterten Modus manuell hinzu Je nachdem wie in STEP 7 der Verbindungsaufbau projektiert ist werden in SCT die folgenden Ebene 3 Firewall Regeln angelegt CP gt extern Aktion Von Nach aktiv Allow Station Extern Drop Extern Station passiv Drop Station Extern Allow Extern Station aktiv und passiv Allow Extern Station Allow Station Extern Befindet sich das Security Modul in einer VPN Gruppe wechselt die Richtung Extern in Tunnel CP gt intern Aktion Von Nach aktiv Allow Station Intern Drop Intern Station passiv Drop Station Intern Allow Intern Station aktiv und passiv Allow Intern Station Allow Station Intern F r Ebene 2 Verbindungen werden nur Allow Regeln angelegt Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 113 Firewall projektieren 4 3 Im Erweiterten Modus Verein
168. ktierungshandbuch 03 2012 C79000 G8900 C286 01 139 Weitere Moduleigenschaften projektieren 5 1 Security Modul als Router 5 1 5 Zusammenhang zwischen NAT NAPT Router und Firewall Zusammenhang zwischen NAT NAPT Router und Firewall Network Address Translation NAT ver ndert die IP Adressen und eventuell die Portnummern in IP Telegrammen Die Adressen werden ge ndert bevor die Firewall die IP Telegramme filtert d h die IP Adressen und eventuell die Portnummern werden ge ndert bevor die Filterung erfolgt externes Netz Ws Security Modul internes Netz NAT NAPT Router IP Telegramm IP Telegramm intern gt extern extern gt intern Adressumsetzung Firewall vergleicht Firewall Regel mit umgesetzter IP Adresse ACHTUNG Abtimmen von NAT NAPT Einstellungen und Firewall Regeln Stimmen Sie die Einstellungen f r den NAT NAPT Router und die Firewall Regeln so aufeinander ab dass Telegramme mit umgesetzter Adresse die Firewall passieren k nnen Stateful Packet Inspection Firewall und NAT NAPT Router unterst tzen den Mechanismus Stateful Packet Inspection Daher k nnen Antworttelegramme den NAT NAPT Router und die Firewall passieren ohne dass deren Adressen in der Firewall Regel und der NAT NAPT Adressumsetzung zus tzlich aufgenommen werden m ssen Grundlagen und Anwendung 140 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Wei
169. l e Router e NAT NAPT Router HMI intern Bedienen amp Beobachten Bild 1 3 28 DES OP 270 CP 443 1 Advanced Netzkonfiguration mit CP x43 1 Adv Lu externes Netz S7 300 mit I Service Computer mit SOFTNET Security Client VPN ber IPsec Tunnel SCALANCE S I u a 8 l as 38 EE B eran S7 300 intern Automatisierungszelle KE Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 8 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced Sicherheitsfunktionen e Firewall IP Firewall mit Stateful Packet Inspection Layer 3 und 4 Firewall auch f r Ethernet Non IP Telegramme gem IEEE 802 3 Layer 2 Bandbreitenbegrenzung Globale Firewall Regeln Alle Netzknoten die sich im internen Netzsegment eines CP x43 1 Adv befinden werden durch dessen Firewall gesch tzt e Gesicherte Kommunikation durch IPsec Tunnel Der CP x43 1 Adv kann mit anderen Security Modulen per Projektierung zu Gruppen zusammengefasst werden Zwischen allen Security Modulen einer Gruppe werden IPsec Tunnel aufgebaut VPN Alle internen Knoten dieser Security Module k nnen mittels dieser Tunnel gesichert miteinander kommunizieren e Logging Zur berwachung lassen sich Ereignisse in Log Datein speichern die mit Hilfe des Projektierwerkzeug
170. l che des SOFTNET Security Client Sie erreichen die Online Hilfe ber die Schaltfl che Hilfe oder ber die F1 Taste Wie funktioniert der SOFTNET Security Client Der SOFTNET Security Client liest die vom Projektierwerkzeug Security Configuration Tool erstellte Konfiguration ein und ermittelt aus der Datei die zu importierenden Zertifikate Das Root Certificate und die Private Keys werden importiert und im lokalen PG PC abgelegt Anschlie end werden mit den Daten aus der Konfiguration Security Einstellungen vorgenommen damit Applikationen auf IP Adressen auf und hinter den Security Modulen zugreifen k nnen Ist der Lernmodus f r die internen Teilnehmer bzw Automatisierungsger te aktiviert stellt das Konfigurationsmodul zun chst eine Sicherheitsrichtlinie f r den gesicherten Zugriff auf die Security Module ein Danach ermittelt der SOFTNET Security Client die IP Adressen der jeweils internen Teilnehmer und tr gt diese in spezielle Filterlisten der Sicherheitsrichtlinie ein Ergebnis Applikationen wie z B STEP 7 kommunizieren ber VPN mit den Automatisierungsger ten ACHTUNG Auf einem Windows System sind die IP Sicherheitsrichtlinien benutzerspezifisch hinterlegt Unter einem Benutzer kann jeweils nur eine IP Sicherheitsrichtlinie g ltig sein Wenn eine vorhandene IP Sicherheitsrichtlinie nicht durch die Installation des SOFTNET Security Client berschrieben werden soll nehmen Sie die Installation und N
171. lagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 3 3 Baugruppe austauschen So erreichen Sie diese Funktion 1 Markieren Sie das zu bearbeitende Modul 1 3 Produkteigenschaften 2 W hlen Sie den Men befehl Bearbeiten gt Modul austauschen 3 Abh ngig vom Produkttyp des gew hlten Moduls k nnen Sie in dem Dialog den Baugruppentyp und oder das Firmwarerelease anpassen Entnehmen Sie der nachfolgenden Tabelle welche Module Sie ohne und mit eventuellen Datenverlusten austauschen k nnen Hinweis Ersetzen von Baugruppen unterschiedlichen Typs e Um eine Baugruppe durch einen anderen Baugruppentyp zu ersetzen m ssen Sie ein neues Modul anlegen und dieses entsprechend konfigurieren e Informationen zum Ersetzen von CPs finden Sie im jeweiligen Ger tehandbuch Tabelle 1 2 Kompatible Baugruppen Ausgangsmodul M glicher Baugruppentausch ohne Verluste mit eventuellen Verlusten S602 V2 und V3 S612 V2 S612 V1 S613 V2 S613 V1 S612 V1 S612 V2 S602 V2 und V3 S613 V1 S613 V2 S612 V2 S613 V2 S602 V2 und V3 S612 V3 S612 V1 S623 V3 S613 V1 S613 V1 S613 V2 S602 V2 und V3 S612 V3 S612 V1 S623 V3 S612 V2 S613 V2 S612 V3 S602 V2 und V3 S623 V3 S612 V1 S612 V2 S613 V1 SOFTNET Security Client 2005 SOFTNET Security Client 2008 SOFTNET Security Client V3 0 SOFTNET Security Client V4 0 Grundlagen und Anwendung
172. le Admin Standard Modus Offline 3 W hlen Sie im Kontextmen des SOFTNET Security Client den Men befehl bertragen gt An Modul 4 W hlen Sie den Speicherort f r die Konfigurationsdateien 5 Wenn Sie als Authentifizierungsmethode Zertifikat gew hlt haben geben Sie ein Passwort f r das Zertifikat der VPN Konfiguration an Vergeben Sie kein Passwort wird der Projektname nicht das Projektpasswort als Passwort bernommen Ergebnis Der Export der Konfigurationsdateien ist abgeschlossen 6 bernehmen Sie die Dateien vom Typ dat p12 cer auf den PG PC auf dem Sie den SOFTNET Security Client betreiben m chten Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 68900 C286 01 191 SOFTNET Security Client 7 4 SOFTNET Security Client bedienen 7 4 SOFTNET Security Client bedienen Konfigurierbare Eigenschaften Im Einzelnen k nnen Sie folgende Dienste nutzen e Einrichten von sicherer IPsec Tunnelkommunikation VPN zwischen dem PC PG und allen Security Modulen oder einzelnen Security Modulen eines Projektes ber diese IPsec Tunnel kann der PC PG auf das Security Modul und die internen Knoten des VPN zugreifen e Aus und Einschalten von bereits eingerichteten sicheren Verbindungen e Verbindungen bei nachtr glich hinzugef gten Endger ten einrichten Dazu muss der Lernmodus aktiviert sein e berpr fen einer Konfiguration d h welche Verbindungen sind eingerichtet oder
173. len k nnen sein e SCT selbst Sind Antragsteller und Aussteller gleich dann handelt es sich um ein selbst signiertes also durch SCT ausgestelltes Zertifikat e Eine bergeordnete Zertifizierungsstelle Diese projektexternen Fremdzertifikate werden importiert und im Zertifikatsspeicher von SCT abgelegt Zertifikate die von einer der beiden Zertifizierungsstellen angelegt werden haben immer einen privaten Schl ssel damit die Ger tezertifikate abgeleitet werden k nnen Zus tzlich stehen Ihnen im Zertifikatsmanager die folgenden Funktionen zur Auswahl e ndern von bestehenden Zertifikaten z B G ltigkeitsdauer e Importieren von neuen Zertifikaten und Zertifizierungsstellen e Importieren von FTPS Zertifikaten e Exportieren der im Projekt verwendeten Zertifikate und Zertifizierungsstellen e Erneuern von abgelaufenen Zertifikaten und Zertifizierungsstellen e Ersetzen bestehender Zertifizierungsstellen durch andere Hinweis Laden der Projekte Nach dem Ersetzen oder Erneuern von Zertifikaten muss das Projekt auf das entsprechende Security Modul geladen werden Nach dem Ersetzen oder Erneuern von CA Zertifikaten muss das Projekt auf alle Security Modul geladen werden Grundlagen und Anwendung 66 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 7 Zertifikate verwalten ACHTUNG Aktuelles Datum und aktuelle Uhrzeit auf den Security Modulen
174. lgt anhand folgender Auswertungen e Inder Regel eingetragene Parameter e Reihenfolge und der damit verbundenen Priorit t der Regel innerhalb des Regelsatzes Die Projektierung einer IP Regel beinhaltet folgende Parameter Bezeichnung Aktion Bedeutung Kommentar Zulassungsfestlegung Freigabe Sperre Auswahlm glichkeiten Wertebereiche e Allow Telegramme gem Definition zulassen e Drop Telegramme gem Definition sperren F r automatisch angelegte Verbindungsregeln e Allow e Drop W hlen Sie diese Regeln findet kein Abgleich mit STEP 7 statt Ge nderte Regeln werden in SCT also nicht berschrieben Von Nach Die zugelassenen Kommunikationsrichtungen Wird in den folgenden Tabellen beschrieben Quell IP Adresse Quell Adresse der IP Pakete Ziel IP Adresse Ziel Adresse der IP Pakete Siehe unter Abschnitt IP Adressen in IP Pakeffilter Regeln in diesem Kapitel Alternativ k nnen Sie symbolische Namen eingeben 116 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus Bezeichnung Bedeutung Kommentar Name des verwendeten IP ICMP Dienstes oder der Dienstgruppe Dienst Mit Hilfe der Dienst Definitionen k nnen Sie Pakeffilter Regeln definieren Sie w hlen hier einen der von Ihnen im Dialog IP Dienste definierten Dienste e P Dienste oder e CMP Dienste
175. lnehmer 175 Applet 64 ARP 163 ARP Proxy 159 Audit Ereignisse 207 Authentifizierung 59 Authentifizierungsmethode 170 Authentifizierungsmethoden 164 Autocrossing 84 Automatische Firewall Regeln 112 Autonegotiation 84 B Bandbreite 117 126 Bedeutung der Symbole 5 Benutzer einrichten 59 Rollen anlegen 60 Rollen zuweisen 62 Benutzerdefinierte Rollen 61 Benutzername 59 Benutzerrechte 63 Benutzerspezifische Firewall Regeln 110 125 Remote Access Benutzer 61 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Timeout Parameter 112 Benutzerspezifische IP Regels tze 111 Benutzerverwaltung 49 58 Bridge Modus 79 Broadcast 121 136 C CA Gruppenzertifikat 70 CA Gruppenzertifikat erneuern 175 CA Zertifikat 66 69 70 Certificate Authority 66 CHAP 85 CP 1628 Aufgabe 31 CP x43 1 Adv Aufgabe 27 C PLUG 34 52 CPs anlegen 74 D Data Encryption Standard DES 173 Datenspionage 23 Dauerhafte Verbindung 86 DCP 105 DCP Primary Setup Tool 130 Dead Peer Detection DPD 176 DES 159 173 DHCP Server 104 Server Konfiguration 147 symbolische Namen 53 DHCP Server 149 Diagnose 203 Diagnose Benutzer 61 Dienstgruppe 130 Diffie Hellman Schl sselvereinbarung 172 DNS Server 105 DNS Konformit t 54 215 Dynamisches DNS DynDNS 80 E Eigenschaften der VPN Gruppe 170 Einstellungen 223 Index projektweite 49 Erweiterter Modu
176. loge sind inaktiv Wenn Sie in den nachfolgend beschriebenen Dialogen keine Regel eintragen gelten die Standardeinstellungen entsprechend der Beschreibung in den jeweiligen Unterkapiteln des Kapitels CPs im Standard Modus Seite 88 Grundlagen und Anwendung 106 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus Globale benutzerspezifische und lokale Definition m glich 4 3 2 Anwendung e Globale Firewall Regeln Eine globale Firewall Regel kann mehreren Modulen gleichzeitig zugewiesen werden Diese M glichkeit vereinfacht in vielen F llen die Projektierung e Benutzerspezifische Firewall Regeln SF Eine benutzerspezifische Firewall Regel kann einem oder mehreren Benutzern und anschlie end einzelnen Security Modulen zugewiesen werden e Lokale Firewall Regeln Eine lokale Firewall Regel ist jeweils einem Modul zugewiesen Sie wird im Eigenschaftendialog eines Moduls projektiert Einem Modul k nnen mehrere lokale Firewall Regeln mehrere globale Firewall Regeln und mehrere benutzerdefinierte Firewall Regeln zugewiesen werden Globale Firewall Regeln Globale Firewall Regeln werden au erhalb der Module auf Projektebene projektiert Sie sind im Navigationsbereich des Security Configuration Tool sichtbar Unterschieden wird bei den globalen Firewall Regeln zwischen e P Firewall Regeln e MAC Firewall Regeln Globale Firewall Regeln k nnen definiert werden f
177. lt ist Firewall Regelsatz Einen neuen global g ltigen Firewall IP Regelsatz Strg F oder MAC Regelsatz anlegen Der Men befehl ist nur aktiv wenn ein Firewall Objekt im Navigationsbereich angew hlt ist bertragen An Modul e Konfiguration in das selektierte Security Modul laden bzw Konfigurationsdaten f r SOFTNET Security Client SCALANCE M erstellen Anmerkung Es k nnen nur konsistente Projektdaten geladen werden F r CPs Projektdaten k nnen nur ber STEP 7 geladen werden An alle Module Konfiguration in alle Security Module laden Anmerkung Es k nnen nur konsistente Projektdaten geladen werden Konfigurationszustand Konfigurationszustand der projektierten Security Module wird in einer Liste anzeigt Firmware bertragen Neue Firmware in selektiertes Security Modul laden F r S7 CPs Die Firmware wird ber das Aktualisierungs Zentrum der Web Diagnose auf den CP geladen Ansicht Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 41 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle Men befehl Erweiterter Modus Bedeutung Bemerkungen Vom Standard Modus Voreinstellung in den Erweiterten Modus umschalten Achtung Sie k nnen eine einmal vorgenommene Umschaltung in den Erweiterten Modus f r das aktuelle Projekt nur r ckg ngig mac
178. matisch fetsgelegt Hinweis In STEP 7 angelegte NTP Server werden automatisch mit dem Aktualisierungsintervall nach SCT migriert Das Aktualisierungsintervall kann nur in STEP 7 ge ndert werden 3 Weisen Sie dem Security Modul ber die Schaltfl che Hinzuf gen einen bereits angelegten NTP Server vom selben Typ zu wie im Feld Synchronisierungsmodus ausgew hlt Sind noch keine NTP Server vorhanden legen Sie ber die Schaltfl che NTP Server einen NTP Server an 5 3 3 Eintrag hinzuf gen NTP Server zur NTP Liste hinzuf gen Klicken Sie auf die Schaltfl che Hinzuf gen um einen neuen Server anzulegen NTP Server aus NTP Liste bearbeiten Klicken Sie auf die Schaltfl che Eigenschaften um einen bestehenden Server zu bearbeiten Ergebnis Der Dialog Definition NTP Server wird ge ffnet 5 3 4 NTP Server definieren So definieren Sie einen neuen NTP Server 1 Geben Sie einen Namen f r den NTP Server ein Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 155 Weitere Moduleigenschaften projektieren 3 3 Zeitsynchronisierung 156 IP Adresse 192 168 200 5 Typ Schl sselliste nur bei NTP gesichert Schl ssel ID Authentifizierung Hex ASCli SHA 1 ASCII SHA 1 ASCII MD5 ASCII Schl ssel thisismykey1 thisismykey2 thisismykey3 2 Geben Sie die IP Adresse des NTP Servers ein 3 W hlen Sie den Typ aus Grundl
179. men 1 Bet tigen Sie die Schaltfl che Hinzuf gen um einen neuen symbolischen Namen in der n chsten freien Tabellenzeile hinzuzuf gen 2 Geben Sie den symbolischen Namen DNS konform ein Siehe Abschnitt DNS Konformit t Seite 215 3 Erg nzen Sie den Eintrag mit der IP Adresse oder der MAC Adresse Sie k nnen auch beide Adressen angeben E Symbolische Namen Col E fE Bitte geben Sie in jeder Zeile einen Namen f r das Ger t sowie mindestens eine IP Adresse oder MAC Adresse ein Es k nnen auch IP Adresse und MAC Adresse eingegeben werden MAC Adresse SPS1 192 168 56 2 SPS2 00 0E 8C 01 23 45 SPS3 192 168 56 3 00 0E 8C 66 77 88 Test 192 168 10 1 SPS4 192 168 56 4 ZIP 192 168 56 5 GlobIPquelle 192 168 56 6 GlobIPziel 192 168 56 7 QIP 192 168 56 8 Enten OK Abbrechen Hilfe E Grundlagen und Anwendung 54 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Gehen Sie so vor um automatische Eintr ge in die Tabelle aufzunehmen Wenn der symbolische Name im Rahmen der Definition eines Dienstes bereits angegeben wurde finden Sie einen entsprechenden Eintrag in der Tabelle 1 Klicken Sie in der entsprechenden Tabellenzeile in die Spalte f r die IP Adresse oder f r die MAC Adresse 2 Erg nzen Sie den Eintrag mit der IP Adresse oder der MAC Adresse Sie k nnen auch beide Adressen angeben Falls Sie eine
180. men Sie die Adresszuordnung vor Sie haben die beiden folgenden M glichkeiten zur Konfiguration Grundlagen und Anwendung 150 Projektierungshandbuch 03 2012 C79000 G68900 C286 01 Weitere Moduleigenschaften projektieren 3 2 Security Modul als DHCP Server e Statische Adresszuordnung Ger ten mit einer bestimmten MAC Adresse oder Client ID werden jeweils vorgegebene IP Adressen zugeordnet Tragen Sie hierzu diese Ger te in die Adressliste im Eingabebereich Statische Adresszuordnung ein e Dynamische Adresszuordnung Ger te deren MAC Adresse oder deren Client ID nicht explizit angegeben wurde erhalten eine beliebige IP Adresse aus einem vorgegebenen Adressband Dieses Adressband stellen Sie im Eingabebereich Dynamische Adresszuordnungen ein ACHTUNG Spannungsversorgung eine IP Adresse anfordern Ger te beispielsweise PC Stationen Dynamische Adressvergabe Verhalten nach Unterbrechung der Beachten Sie dass die dynamisch vergebenen IP Adressen nicht gespeichert werden wenn die Spannungsversorgung unterbrochen wird Nach Wiederkehr der Spannungsversorgung m ssen Sie daher daf r sorgen dass die Teilnehmer erneut Sie sollten daher die dynamische Adressvergabe nur f r folgende Teilnehmer vorsehen e Teilnehmer die im Subnetz tempor r genutzt werden wie beispielsweise Service e Teilnehmer die eine einmal zugewiesene IP Adresse bei einer erneuten Anforderung an den DHCP Server als Vorzugsa
181. muss gr er als die Start IP Adresse sein Die IP Adressen die Sie in die Adressliste im Eingabebereich x Statische Adresszuordnung eingeben m ssen im Adressbereich des internen Subnetzes des Security Moduls liegen Legende 1 Beachten Sie die Erl uterungen im Kapitel Konsistenzpr fungen Seite 52 Grundlagen und Anwendung 152 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren 3 3 Zeitsynchronisierung 5 3 Zeitsynchronisierung 5 3 1 bersicht Bedeutung Zur berpr fung der zeitlichen G ltigkeit eines Zertifikates und f r die Zeitstempel von Log Eintr gen wird auf dem Security Modul Datum und Uhrzeit gef hrt Projektierbar sind folgende Alternativen e Automatisches Stellen der Modul Uhrzeit mit der PC Uhrzeit beim Laden einer Konfiguration e Automatisches Stellen und periodischer Abgleich der Uhrzeit ber einen Network Time Protocol Server NTP Server Hinweis Die Zeitsynchronisation bezieht sich lediglich auf das Security Modul und kann nicht zur Synchronisation von Ger ten im internen Netz des Security Moduls verwendet werden Synchronisierung durch einen NTP Server ACHTUNG Telegramme explizit freigeben Wenn der NTP Server vom Security Modul nicht erreichbar ist m ssen Sie die Telegramme des NTP Servers in der Firewall explizit freigeben UDP Port 123 Beim Anlegen des NTP Servers gelten die folg
182. n dass diese die IP Adresse von einem DHCP Server beziehen Je nach Betriebsart bermittelt das Security Modul den Teilnehmern im Subnetz eine IP Adresse des Standard Router oder Sie m ssen den Teilnehmern im Subnetz eine Router IP Adresse bekannt machen e Router IP Adresse wird bermittelt In folgenden F llen wird durch das DHCP Protokoll vom Security Modul eine Router IP Adresse an den Teilnehmer bermittelt Das Security Modul ist f r den Router Betrieb konfiguriert Das Security Modul bermittelt in diesem Fall die eigene IP Adresse als Router IP Adresse Das Security Modul ist nicht f r den Router Betrieb konfiguriert es ist aber in der Konfiguration vom Security Modul ein Standard Router angegeben Das Security Modul bermittelt in diesem Fall die IP Adresse des Standard Routers als Router IP e Router IP Adresse wird nicht bermittelt Tragen Sie in folgenden F llen die Router IP Adresse beim Teilnehmer manuell ein Das Security Modul ist nicht f r den Router Betrieb konfiguriert In der Konfiguration vom Security Modul ist kein Standard Router angegeben Siehe auch Konsistenzpr fungen Seite 52 Grundlagen und Anwendung 148 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren 3 2 Security Modul als DHCP Server 5 2 2 DHCP Server konfigurieren Voraussetzung Das Register DHCP Server wird nur angezeigt wenn Sie den Erweiterten Modus eingeschaltet haben
183. n zugelassen ist und mit dem Teilnehmer mit der IP Adresse 192 168 10 11 kommunizieren werden kann Beispiel 3 NAT Adressumsetzung Src NAT Dst NAT Extern In diesem Beispiel wird die Adressumsetzung sowohl bei intern als auch extern eingehenden Telegrammen wie folgt vorgenommen Ein Teilnehmer im externen Netz kann dem Teilnehmer mit der internen IP Adresse 192 168 12 4 im internen Subnetz kommunizieren indem er die externe IP Adresse 192 168 10 101 als Zieladresse verwendet Telegramme eines internen Teilnehmers mit der internen IP Adresse 192 168 12 4 werden am externen Netz mit der externen IP Adresse 192 168 10 101 als Quelladresse weitergeleitet Die Firewall ist so eingestellt dass Telegramme mit der Quell IP Adresse 192 168 10 101 von intern nach extern zugelassen sind Beispiel 4 NAPT Adressumsetzung Adressumsetzungen erfolgen gem NAPT so dass es jeweils zus tzlich Portnummern zugewiesen werden Alle auf dem externen Netz eingehenden TCP und UDP Telegramme werden auf ihre Ziel IP Adresse und Ziel Portnummer berpr ft Ein Teilnehmer im externen Netz kann dem Teilnehmer mit der IP Adresse 192 168 12 5 und Portnummer 345 im internen Subnetz ein Telegramm senden indem er als Ziel Adresse die externe Modul IP Adresse 192 168 10 1 und die externe Portnummer 8000 verwendet NAT NAPT Routing Beispiele zur Konfiguration Teil 3 Sie finden in diesem Kapitel folgende Beispiele zur Konfiguration des NAT NAPT Rout
184. n Eintrag in der Tabelle l schen bleiben die in den Diensten verwendeten symbolischen Namen dort bestehen Die Konsistenzpr fung erkennt in diesem Falle nicht definierte symbolische Namen Dies gilt sowohl f r manuell als auch f r automatisch erzeugte Eintr ge A Tipp A F r die hier beschriebene Tabelle ist die Anwendung der projektweiten Konsistenzpr fung besonders sinnvoll Sie k nnen anhand der Liste Unstimmigkeiten erkennen und korrigieren Starten Sie die Konsistenzpr fung f r ein ge ffnetes Projekt ber den Men befehl Optionen gt Konsistenzpr fungen Konsistenzpr fung diese Regeln m ssen Sie beachten Ber cksichtigen Sie bei Ihrer Eingabe die nachfolgend aufgef hrten Regeln Pr fung Regel Pr fung erfolgt lokal projektweit Die Zuordnung eines symbolischen Namens zu einer IP oder MAC Adresse muss x eindeutig sein Der Symbolname und die Adresse d rfen nur einmal vergeben werden und nicht in einem anderen Listeneintrag verwendet werden Die symbolischen Namen m ssen DNS konform sein Einem symbolischen Namen muss entweder eine IP Adresse oder eine MAC Adresse oder beides zugeordnet sein Den IP Adressen der Security Module d rfen keine symbolischen Namen zugewiesen x sein Im Projekt f r IP oder MAC Adressen verwendete symbolische Namen m ssen in der x Tabelle enthalten sein Inkonsistenzen k nnen dadurch entstehen dass Eintr ge in der Tabelle gel scht und in d
185. n Netz die Belastung des Mediums und der Knoten durch die Lerntelegramme Auch das Security Modul wird etwas leistungsf higer da es nicht durch die Bearbeitung der Lerntelegramme belastet wird Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 181 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 6 Interne Netzknoten konfigurieren Anmerkung Im Lernmodus werden alle Knoten im internen Netz erfasst Die Angaben zum VPN Mengenger st beziehen sich nur auf die Knoten die im internen Netz ber VPN kommunizieren ACHTUNG Werden im internen Netz mehr als 128 interne Knoten betrieben wird damit das zul ssige Mengenger st berschritten und ein nicht erlaubter Betriebszustand erzeugt Aufgrund der Dynamik im Netzwerkverkehr kommt es dann dazu dass interne Knoten die bereits gelernt wurden wieder durch neue bis jetzt noch nicht bekannte interne Knoten ersetzt werden 6 6 2 Anzeige der gefundenen internen Netzknoten Alle gefundenen Netzknoten werden im Security Configuration Tool angezeigt 1 Wechseln Sie in die Betriebsart Online Grundlagen und Anwendung 182 Projektierungshandbuch 03 2012 C79000 G8900 C0286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 6 Interne Netzknoten Konfigurieren 2 W hlen Sie den Men befehl Bearbeiten gt Online Diagnose Register Interne Knoten 3 Online Ansicht Modulel koha Zustand Datum und Uhrzei
186. n Routing Einstellungen des Rechners an ber die Option Alle Routingeinstellungen anzeigen erhalten Sie zus tzliche Routing Angaben Zugewiesene IP Adressen Liste ber die dem Rechner bekannten Netzwerkschnittstellen in Verbindung mit den konfigurierten bzw zugewiesenen IP Adressen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Online Funktionen Test Diagnose und Logging 8 Zu Test und berwachungszwecken verf gt das Security Modul ber Diagnose und Logging Funktionen Diagnosefunktionen Hierunter sind verschiedene System und Statusfunktionen zu verstehen die Sie im Online Modus anwenden k nnen Logging Funktionen Hierbei geht es um die Aufzeichnung von System und Sicherheitsereignissen Die Aufzeichnung der Ereignisse erfolgt in Pufferbereiche des Security Moduls oder eines Servers Die Parametrierung und Auswertung dieser Funktionen setzt eine Netzwerkverbindung auf das ausgew hlte Security Modul voraus Ereignisse mit Logging Funktionen aufzeichnen Welche Ereignisse aufgezeichnet werden sollen legen Sie mit den Log Einstellungen zum jeweiligen Security Modul fest Dabei k nnen Sie f r die Aufzeichnung folgende Varianten konfigurieren Lokales Logging Bei dieser Variante zeichnen Sie die Ereignisse in lokalen Puffern des Security Moduls auf Im Online Dialog des Security Configuration Tool k nnen Sie dann auf diese Aufzeichnungen zugreifen diese sichtbar mache
187. n automatisch zwischen allen Security Modulen und SOFTNET Security Client Modulen aufgebaut die einer Gruppe angeh ren Dabei kann ein Security Modul in einem Projekt parallel mehreren verschiedenen Gruppen angeh ren Grundlagen und Anwendung 162 Projektierungshandbuch 03 2012 C79000 G68900 C286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 1 VPN mit Security Modulen r 3 Security Configuration Tool Konfiguration 1 bo la 75 Projekt Bearbeiten Einf gen bertragen Ansicht Optionen Hilfe De ex 3 ul 2a Offline nsicht e gaske e IP Adresse int _ Subnetzmaske i Default Router MAC Adresse Module1 S612V Module2 S612V 192 192 168 10 2 3 Ae Mode 00 DE 8C 00 00 00 Module 1 00 0E 8C 00 00 01 Module WW Ready Aktueller Nutzer Admin Rolle Admin Standard Modus Offline 8 ACHTUNG Wird der Name eines Security Moduls ge ndert dann m ssen alle Security Module derjenigen Gruppen denen das ge nderte Security Modul angeh rt neu konfiguriert werden Men befehl bertragen gt An alle Module 1 Wird der Name einer Gruppe ge ndert dann m ssen alle Security Module dieser Gruppe neu konfiguriert werden Men befehl bertragen gt An alle Module ACHTUNG Layer 2 Telegramme werden auch getunnelt wenn sich zwischen zwei Security Modulen ein Router befindet Dazu m ssen jedoch die MAC Adressen der Kommunikationspartn
188. n der internen Knoten Ale l schen i r Log Konsole 09 06 04 MainMode Added Security Association From 192 168 10 11 To 192 168 10 3 Juni 14 2010 09 06 10 QuickMode Deleted Security Association From 192 168 10 11 To 192 168 10 3 Juni 14 2010 09 06 11 QuickMode Deleted Security Association From 192 168 10 11 To 196 80 96 20 Juni 14 2010 09 06 12 MainMode Deleted Security Association From 192 168 10 11 To 192 168 10 1 Juni 14 2010 09 06 12 MainMode Deleted Security Association From 192 168 10 11 To 192 168 10 2 Juni 14 2010 09 06 12 MainMode Deleted Security Association From 192 168 10 11 To 192 168 10 3 Juni 14 2010 09 06 12 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 3 d Juni 14 2010 09 06 15 MainMode Added Security Association From 192 168 10 11 To 192 168 10 1 Juni 14 2010 09 06 16 MainMode Added Security Association From 192 168 10 11 To 192 168 10 2 8 Juni 14 2010 09 06 18 MainMode Added Security Association From 192 168 10 11 To 192 168 10 3 X r Liste leeren Hie So richten Sie die Tunnelverbindungen ein Grundlagen und Anwendung 194 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 SOFTNET Security Client 7 5 Tunnel einrichten und bearbeiten 1 ffnen Sie den Dialog zum Import der Konfigurationsdatei ber die Schaltfl che Konfigurationsdaten einlesen 2 W hlen Sie die mit SCT erstellte Konfigura
189. n nicht getroffen werden VORSICHT ohne Warndreieck bedeutet dass Sachschaden eintreten kann wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden ACHTUNG bedeutet dass ein unerw nschtes Ergebnis oder Zustand eintreten kann wenn der entsprechende Hinweis nicht beachtet wird Beim Auftreten mehrerer Gef hrdungsstufen wird immer der Warnhinweis zur jeweils h chsten Stufe verwendet Wenn in einem Warnhinweis mit dem Warndreieck vor Personensch den gewarnt wird dann kann im selben Warnhinweis zus tzlich eine Warnung vor Sachsch den angef gt sein Qualifiziertes Personal Das zu dieser Dokumentation zugeh rige Produkt System darf nur von f r die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der f r die jeweilige Aufgabenstellung zugeh rigen Dokumentation insbesondere der darin enthaltenen Sicherheits und Warnhinweise Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung bef higt im Umgang mit diesen Produkten Systemen Risiken zu erkennen und m gliche Gef hrdungen zu vermeiden Bestimmungsgem er Gebrauch von Siemens Produkten Marken Beachten Sie Folgendes INWARNUNG Siemens Produkte d rfen nur f r die im Katalog und in der zugeh rigen technischen Dokumentation vorgesehenen Einsatzf lle verwendet werden Falls Fremdprodukte und komponenten zum Einsatz kommen m ssen diese von Siemens empfohlen bzw zugelas
190. n und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 61 Projektierung mit Security Configuration Tool 2 6 Benutzer verwalten 2 6 4 Tabelle 2 4 Schaltfl chen im Register Rollen Bezeichnung Bedeutung Auswirkung Bearbeiten Markieren Sie in der Liste eine benutzerdefinierte Rolle und klicken Sie auf die Schaltfl che Im aufgeblendeten Dialog ndern Sie den Rollennamen und die der Rolle zugewiesenen Rechte Systemdefinierte Rollen k nnen nicht bearbeitet werden Hinzuf gen F gen Sie ber die Schaltfl che eine neue benutzerdefinierte Rolle hinzu Im aufgeblendeten Dialog geben Sie den Rollennamen ein und weisen der Rolle aus der Rechteliste die entsprechenden Rechte zu Angezeigt werden die Rechte der in der Rechtevorlage ausgew hlten systemdefinierten Rolle L schen L schen Sie ber die Schaltfl che den ausgew hlten Eintrag Hinweis e Eine bereits erzeugte benutzerdefinierte Rolle kann nur gel scht werden wenn sie keinem Benutzer mehr zugewiesen ist Weisen Sie dem Benutzer gegebenenfalls eine andere Rolle zu e Systemdefinierte Rollen k nnen nicht gel scht werden Rechte verwalten So erreichen Sie diese Funktion Men befehl SCT Optionen gt Benutzerverwaltung Register Rollen Schaltfl che Bearbeiten bzw Hinzuf gen Men befehl STEP 7 Benutzer gt Start der Benutzerverwaltung Schaltfl che Ausf hren Zus tzlich wird die Benut
191. n und in der Service Station archivieren Netzwerk Syslog Beim Netzwerk Syslog nutzen Sie einen im Netz vorhandenen Syslog Server Dieser zeichnet die Ereignisse entsprechend der Konfiguration in den Log Einstellungen des jeweiligen Security Moduls auf Log Daten archivieren und aus Datei einlesen Sie k nnen die aufgezeichneten Ereignisse zur Archivierung in einer Log Datei speichern und diese auch im Offline Modus ffnen Weitere Informationen finden Sie im Kapitel Funktions bersicht Online Dialog Seite 204 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 203 Online Funktionen Test Diagnose und Logging 8 1 Funktions bersicht Online Dialog 8 1 Funktions bersicht Online Dialog Das Security Modul bietet im Security Configuration Tool folgende Funktionen im Online Dialog Tabelle 8 1 Funktionen und Logging in der Online Diagnose Funktion Register im Online Dialog Bedeutung System und Statusfunktionen Zustand Anzeige des Ger te Status des im Projekt angew hlten Security Moduls SCA Datum und Uhrzeit Einstellung von Datum und Uhrzeit SSV3 0 Schnittstellen bersicht zu den Einstellungen der einzelnen e Einstellungen Schnittstellen S gt V3 0 Cache Tabellen Anzeige der ARP Tabelle des Security Moduls S gt V3 0 Benutzer Kontrolle Anzeige der Benutzer die an der Internetseite f r benutzerspezifische IP Regels tze angemeldet sind K
192. n x x x SNMP MRP MIB schreiben x x SCT Diagnose der Security Baugruppe x x x Sicherheit durchf hren Web IP Access Control Liste erweitern x Web Auf Web Diagnose und CP Dateisystem x x x Web zugreifen Web Testmail versenden x x x Web Firmware aktualisieren x x Wartung Web Nachladen von Diagnosetexten x x Um die Funktion anzuwenden muss das Ger terecht Web Auf Web Diagnose und CP Dateisystem zugreifen ebenfalls aktiviert sein Um die Funktion anzuwenden muss das Ger terecht FTP Dateien vom CP Dateisystem lesen ebenfalls aktiviert sein kk Um die Funktion anzuwenden muss das Ger terecht FTP Dateien auf das CP Dateisystem schreiben ebenfalls aktiviert sein kkkk Um die Funktion anzuwenden muss das Projektierungsrecht Security diagnostizieren ebenfalls aktiviert sein Grundlagen und Anwendung 64 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 6 Benutzer verwalten Tabelle 2 7 Baugruppenrechte CP 1628 Recht innerhalb des Service administrator standard diagnostics Service SNMP MIDI lesen x x x SNMP SNMP MIB Il schreiben x x S SNMP Automation MIB lesen x x SNMP SNMPV2 MIB lesen x x SCT Diagnose der Security Baugruppe durchf hren x x Sicherheit Tabelle 2 8 Baugruppenrechte SCALANCE S 2 V3 0 Recht in
193. nDNS notwendig sind 2 7 2 Zertifikate erneuern Bedeutung In diesem Dialog erneuern Sie Zertifikate und CA Zertifikate Sie k nnen bei Bedarf z B bei kompromittierten Zertifikaten ein Zertifikat importieren oder ein neues Zertifikat vom Security Configuration Tool erzeugen lassen So erreichen Sie diese Funktion 1 Klicken Sie mit der rechten Maustaste auf einen Listeneintrag im Zertifikatsmanager Grundlagen und Anwendung 68 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 W hlen Sie den Eintrag Zertifikat erneuern 2 7 Zertifikate verwalten e Zertifizierungsstelle Selbst signiert Zertifikatsparameter ES Neues Zertifikat erstellen W hlen Sie wie das neue Zertifikat signiert werden soll Signiert von einer Zertifizierungsstelle Name der Zertifizierungsstelle Geben Sie die Parameter f r das neue Zertifikat ein Antragsteller NUnit Project G ltig von 29 03 2012 21 49 35 gr G ltig bis 30 03 2037 01 59 59 Or Alternativer Antragstellername Ok Abbrechen Hilfe W hlen Sie aus ob das neue Zertifikat selbst signiert oder durch eine Zertifizierungsstelle signiert werden soll Wenn das Zertifikat durch eine Zertifizierungsstelle signiert werden soll w hlen Sie ber die Schaltfl che Ausw hlen die zu verwendende Zertifizierungsstelle aus Zur Auswahl stehen dabei nur Zertifizierungsstellen die im
194. ndet werden k nnen Grundlagen und Anwendung 130 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus Dialoge Register Sie ffnen den Dialog wie folgt e ber folgenden Men befehl Optionen gt IP MAC Dienst Definition oder e Aus dem Register Firewall IP Regeln bzw Firewall MAC Regeln ber die Schaltfl che IP MAC Dienste Definition IP Dienste CHE Dienstgruppen Gruppenverwaltung Name I e Cen IP Dienste ICMP Dienstgruppen Gruppenverwaltung ng LS Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 68900 C286 01C79000 G68900 C 1196 07 131 Firewall projektieren 4 3 Im Erweiterten Modus Grundlagen und Anwendung 132 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren 5 5 1 Security Modul als Router 5 1 1 bersicht Bedeutung Indem Sie das Security Modul als Router betreiben verbinden Sie das interne Netz mit dem externen Netz Das ber das Security Modul verbundene interne Netz wird somit zu einem eigenen Subnetz Sie haben folgende M glichkeiten e Routing einstellbar im Standard Modus und im Erweiterten Modus e NAT NAPT Routing einstellbar im Erweiterten Modus Alle nicht zu einem Subnetz geh renden Netzwerkanfragen werden durch einen Standard Router in ein anderes Subnetz weitergeleitet Siehe Kapitel Standard Router Seite 134 Routing
195. ne Schnittstelle keine Kommunikation am Tunnel vorbei gehen darf und nur verschl sselter IPsec Datentransfer zugelassen ist Es wird automatisch die Firewall Regel Drop gt Any gt Extern angelegt Deaktivieren Sie das Kontrollk stchen dann sind die getunnelte Kommunikation und zus tzlich die in den anderen Auswahlboxen angew hlte Kommunikationsarten zugelassen 4 1 1 CP x43 1 Advanced 4 1 1 1 Voreinstellung der Firewall Verhalten mit Voreinstellung Die folgenden Diagramme zeigen die Standard Einstellungen im Detail jeweils f r den IP Paketfilter und den MAC Paketfilter wenn das Kontrollk stchen Firewall aktivieren aktiviert ist und auch im Erweiterten Modus keine Regeln vorhanden sind Das Verhalten kann durch das Anlegen von entsprechenden Firewall Regeln im Erweiterten Modus ge ndert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01C79000 68900 C 1196 07 89 Firewall projektieren 4 1 CPs im Standard Modus Standard Einstellung f r CP x43 Adv interne Knoten Ki Bild 4 1 90 N M A CP x43 Adv externe Knoten externes Security Modul d W UU A 2 IPsec Tunnel E 5 5 gt gt E M A IN W ISSN HUDD Firewall Standard Einstellung f r IP Paketfilter CP x43 1 Adv Alle Telegrammtypen von intern nach extern sind geblockt Alle Telegramme von intern an das Security Modul
196. nerhalb des Service administrator standard diagnostics Service SNMP MIDI lesen x x x SNMP SNMP MIB Il schreiben x x S SNMP Automation MIB lesen x x SNMP SNMPV2 MIB lesen x x SNMP MRP MIB lesen x x SNMP MRP MIB schreiben x x SCT Diagnose der Security Baugruppe durchf hren x x x Sicherheit Laden der Konfigurationsdateien x x Web Firmware aktualisieren x x Wartung Tabelle 2 9 Baugruppenrechte SCALANCE S lt V3 0 Recht innerhalb des Service administrator standard diagnostics Service Laden der Konfigurationsdateien x x Sicherheit SCT Diagnose der Security Baugruppe durchf hren x x x Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 65 Projektierung mit Security Configuration Tool 2 7 Zertifikate verwalten 2 7 Zertifikate verwalten 2 7 4 bersicht Wie verwalten Sie Zertifikate Im Zertifikatsmanager erhalten Sie eine bersicht aller im Projekt verwendeten Zertifikate CA Zertifiakte mit Angaben zu Antragssteller Aussteller G ltigkeit Verwendung in SCT und Vorhandensein eines privaten Schl ssels Das CA Zertifikat ist ein durch eine Zertifizierungsstelle die so genannte Certificate Authority ausgestelltes Zertifikat von denen die Ger tezertifikate abgeleitet werden Dazu geh ren die SSL Zertifikate die zur Authentifizierung bei der Online Kommunikation zwischen einem Ger t und einem Security Modul ben tigt werden Zertifizierungsstel
197. nername angeben Die Client ID ist eine Zeichenfolge mit maximal 63 Zeichen Es x d rfen nur die folgenden Zeichen verwendet werden a z A Z 0 9 und Bindestrich Hinweis Bei SIMATIC S7 kann den Ger ten an der Ethernet Schnittstelle f r den Bezug einer IP Adresse ber DHCP eine Client ID zugewiesen werden Bei PCs ist die Vorgehensweise abh ngig vom verwendeten Betriebssystem empfohlen wird hier die MAC Adresse f r die Zuordnung zu verwenden Sie m ssen bei den statisch zugewiesenen IP Adressen die IP x Adresse angeben Folgende IP Adressen d rfen nicht im Bereich des freien IP x Adressbereichs dynamische IP Adressen liegen e alle Router Adressen im Register Routing e NTP Server e Syslog Server e Standard Router e Security Modul Adresse n DHCP wird vom Security Modul an der Schnittstelle zum internen x Subnetz unterst tzt Aus diesem Betriebsverhalten des Security Moduls ergeben sich weiterhin f r IP Adressen im Bereich des freien IP Adressbereichs dynamische IP Adressen folgende Anforderungen e Bridge Modus Der Bereich des freien IP Adressbereichs muss in dem durch das Security Modul definierten Netz liegen e Routing Modus Der Bereich des freien IP Adressbereichs muss in dem durch das Security Modul definierten internen Subnetz liegen Der freie IP Adressbereich muss durch die Angabe der Start IP x Adresse und der End IP Adresse vollst ndig angegeben sein Die End IP Adresse
198. ny x Zugriff vom internen auf das externe Netz VPN Tunnelpartner und die Station Extern Station x x Zugriff vom externen Netz auf die Station Any x Zugriff vom externen auf das interne Netz und die Station Station Intern x Zugriff von der Station auf das interne Netz Extern x Zugriff von der Station auf das externe Netz Tunnel x Zugriff von der Station auf VPN Tunnelpartner Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 0286 01C79000 68900 C 1196 07 117 Firewall projektieren 4 3 Im Erweiterten Modus Auswahlm glichkeiten Security Modul Bedeutung Wertebereiche Tunnel Station x Zugriff ber VPN Tunnelpartner auf die Station Any Zugriff von VPN Tunnelpartnern auf das interne Netz und die Station Any Extern x Zugriff vom internen Netz und der Station auf das externe Netz Tabelle 4 12 Richtungen SCALANCE S 2 V3 0 Von Auswahlm glichkeiten Wertebereiche Nach S602 V3 Security Modul S612 V3 S623 V3 Intern Extern x x x Tunnel x Any x DMZ Extern Intern Any Tunnel DMZ Tunnel Intern Extern DMZ Any Intern Extern DMZ DMZ Intern Extern Any Tunnel x X X X X X X X X X x X X X x x X 118 Auch f r SCALANCE S 602 V2 g ltig Auch f r SCALANCE S 612 V2 un
199. o verschiedene Funktionen erf llen nicht gleichzeitig e DMZ Port e Fernwartungsport Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 8 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced In typischen DMZ Anwendungsf llen sollte der Anwender die Firewall Regeln so projektieren dass vom Internet extern Zugriffe auf die Server in der DMZ m glich sind ggf noch extra abgesichert durch einen VPN Tunnel nicht aber auf Ger te im gesicherten Bereich intern 1 8 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced Zellenschutzkonzept Aufgabe von CP x43 1 Adv Mit Industrial Ethernet Security k nnen einzelne Ger te Automatisierungszellen oder Netzsegmente eines Ethernet Netzwerks abgesichert werden Zus tzlich kann die Daten bertragung durch die Kombination unterschiedlicher Sicherheitsma nahmen wie Firewall NAT NAPT Router und VPN Virtual Private Network ber IPsec Tunnel gesch tzt werden vor e Datenspionage e Datenmanipulation e unberechtigten Zugriffen Die Security Funktionen vom CP x43 1 Adv werden mit dem Projektierwerkzeug Security Configuration Tool konfiguriert das in STEP 7 integriert ist Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 27 Einf hrung und Grundlagen 1 8 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced ku Fertigungsleitrechner mit CP 1628 Industrial e Firewal
200. odule und SOFTNET Security Client Module zu die zu einer VPN Gruppe geh ren sollen Ziehen Sie hierzu mit der Maus das Modul auf die gew nschte Gruppe Drag and Drop Gi Serum Configuraion Tool Konfiguration 1 LS bel Projekt Bearbeiten Einf gen bertragen Ansicht Optionen Hilfe Dell ek gl Offline Ansicht IP Adresse ext Subnetzmaske e IP Adresse int Subnetzmaske i Default Router MAC Adresse Ae Module Module 5612 197488 10 1 255 255 255 0 00 DE 8C 00 00 00 M i 5 Module 2 Module2 S612V 8 10 2 255 255 255 0 00 0E 8C 00 00 01 Module Module3 Module4 Module5 S612 Module6G S612V Mode 192 168 10 3 255 255 255 0 00 0E 8C 00 00 02 192 168 10 4 255 255 255 0 00 0E 8C 00 00 03 192 168 10 5 255 255 255 0 00 0E 8C 00 00 04 N U NiO U Ready Aktueller Nutzer Admin Rolle Admin Standard Modus Offline Eigenschaften projektieren Wie bei der Konfiguration von Modulen wirken sich auch bei der Konfiguration von Gruppen die beiden w hlbaren Bedienungssichten im Security Configuration Tool aus e Standard Modus Im Standard Modus belassen Sie es bei den vom System vergebenen Voreinstellungen Auch als Nicht IT Experten k nnen Sie so IPsec Tunnel konfigurieren und eine sichere Datenkommunikation in Ihren internen Netzen betreiben e Erweiterter Modus Der Erweiterte Modus bietet Ihnen Einstellm glichkeiten zur spezifischen Konfiguration der Tunnelkommunik
201. ommunikationszustand Anzeige des Kommunikations Status und der internen Netzknoten zu weiteren der VPN Gruppe zugeh renden Security Modulen See Interne Knoten Anzeige der internen Netzknoten des Security Moduls Ge S7 CP Dynamisch aktualisierte Anzeige der IP Adressen die bei der Verwendung von IP Firewall Regeln Access Control Listen dynamisch ber FTP oder HTTP freigeschaltet oder von einem Benutzer nachgeladen wurden Logging Funktionen System Log Anzeige von geloggten System Ereignissen Audit Log Anzeige von geloggten Sicherheits Ereignissen Paketfilter Log Anzeige von geloggten Daten Paketen sowie Starten und Stoppen des Paket Logging SI F1 N here Informationen zu den Einstellm glichkeiten in den einzelnen Registern erhalten Sie in der Online Hilfe Grundlagen und Anwendung 204 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Online Funktionen Test Diagnose und Logging 8 1 Funktions bersicht Online Dialog Zugriffsvoraussetzungen Damit Sie an einem Security Modul die Online Funktionen nutzen k nnen m ssen folgende Voraussetzungen erf llt sein e eine Netzwerkverbindung zum ausgew hlten Modul besteht e das Projekt mit dem das Modul konfiguriert wurde ist ge ffnet e die Online Betriebsart im Security Configuration Tool ist eingeschaltet Hinweis Auswirkung der Betriebsart vom Security Configuration Tool Sie k nnen Diagnosefunktionen die nur im Erweiterten Modus zur Verf gung stehen auch dann
202. ool 35 2 1 Funktionsumfang und Arbeitsweise sssseseneneeeseeent tr tstetttrtrntnttttttrnn nents rtnn nnns annr tenn nn nner eenn 35 2 2 Astala OT ee e de ee 37 2 2 1 Unterst tzte Betriebssysteme ta eating ns 37 2 3 Bedienoberfl che und Men befehle snssnnnsnseesseenrrtnnsresttnrtnrsrsttttrntnnnntsttnnntnnsnnretnnn nn nnn nene nn 38 2 4 Projekte anlegen und verwalten essseersriessiresstrrrenrirrssnnindnnransettanenttnaestnnaennaaseknanatanas sanaaa na aane 43 2 4 1 Security Configuration Tool Standalone saessssesssrrssrrrresiieresrnnneriinnesirannntninssnnnestann sata nnna tananan 43 2 4 2 Security Configuration Tool in STEP T nn 43 2 4 3 STEP Daen monero in aia Ce ini E EOR 47 244 VEER 49 2 4 5 Initialisierungswerte f r ein Projekt festlegen assssesssrressrrrererrnesnrnresrsnnestnrnestinnesnnnnertannestnnnnnt 52 2 4 6 K nsistenzpr fungen 2 04 42 9 Een a a arena aTna Hnlera EE 52 2 4 7 Symbolische Namen f r IP MAC Adressen vergeben ssssssesssesrieseerrsserrrsstrrssttrrssternsstenssens 53 2 5 Konfigurationsdaten f r SCALANCE M A 56 2 6 Benutzer verw lteni geleed ee 58 2 6 1 bersicht zur Benutzerverwaltung usa EE 58 2 6 2 Ben tzer nlegen eenegen dE Ee 59 2 6 3 Rolenanega ET 60 2 6 4 Rechte verW lten nesre aa aa a a a a BEER eh 62 2 7 Zertifikate verwalten etsineen aaa aa eaa e ata a a aata NEES aineta 66 2 7 1 bersicht nran e ee 66 2 7 2 Zertifikate erneuern es
203. pe wird f r die Gruppe ein CA Zertifikat erzeugt Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 67 Projektierung mit Security Configuration Tool 2 7 Zertifikate verwalten Register Ger tezertifikate Anzeige der ger tespezifischen Zertifikate die von SCT f r ein Security Modul erzeugt werden Dazu geh ren e SSL Zertifikate F r jedes angelegte Security Modul wird ein SSL Zertifikat erzeugt das aus einem CA Zertifikat des Projekts abgeleitet ist SSL Zertifikate werden zur Authentifizierung bei der Kommunikation zwischen PG PC und Security Modul beim Laden der Konfiguration nicht f r CPs sowie beim Logging herangezogen e Gruppenzertifikate Zus tzlich wird f r jedes Security Modul pro VPN Gruppe in der es sich befindet ein Gruppenzertifikat erzeugt Register Vertrauensw rdige Zertifikate und Stammzertifizierungsstellen Anzeige der in SCT importierten Fremdzertifikate Importiert werden k nnen z B Server Zertifikate von externen FTP Servern oder Projektzertifikate von anderen SCT Projekten Das importierte Fremdzertifikat wird auf alle im SCT Projekt verwalteten CPs bertragen Mit diesem Zertifikat kann sich das Security Modul dann z B beim Zugriff auf einen FTPS Server ausweisen Die SCT Projektierung selbst verwendet das importierte Zertifikat nicht SCA Anzeige der Zertifizierungsstellen die f r die Verifizierung der Security Module durch externe Dienste wie Dy
204. port automation siemens com WW view de Support SIMATIC NET Glossar Erkl rungen zu den Fachbegriffen die in dieser Dokumentation vorkommen sind im SIMATIC NET Glossar enthalten Sie finden das SIMATIC NET Glossar hier Grundlagen und Anwendung 6 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Vorwort e SIMATIC NET Manual Collection Die DVD liegt einigen SIMATIC NET Produkten bei e Im Internet unter folgender Beitrags ID 50305045 http support automation siemens com W W view de 50305045 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 7 Vorwort Grundlagen und Anwendung 8 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Inhaltsverzeichnis Kiel 3 1 Einf hrung und Gr ndlagen 4 52232 Besnelnte Re IHR Dee 13 1 1 let Ee Ha EE EE 13 1 2 Einf hr ng und Gr ndl agen 22 20222 re ara 15 1 3 reet Ee E WEE 16 1 3 1 Funktions bersicht 2 22 ae ei a e Bees 16 1 3 2 Mengenger sten 22 ee e 18 1 3 3 Baugruppe ustauschenz kiuuHsleiin eating eenaed 19 1 4 Einsatz vom SOFTNET Security Cent 20 1 5 Einsatz von SCALANGE S602 2 24 22 Hs nenn In A A aa a ander aai 21 1 6 Einsatz von SCALANCE S612 und 67 23 1 7 Einsatz von SCALANCE S623 DMZ Pont 26 1 8 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced 27 1 9 Einsatz von CP 1628 EE 31 1 10 Projektierung und Administration en 34 2 Projektierung mit Security Configuration T
205. rd f r die angegebene Richtung der volle Zugriff erlaubt e Im Erweiterten Modus k nnen Sie detaillierte Firewall Einstellungen vornehmen Sie k nnen f r einen einzelnen Teilnehmer einzelne Dienste freischalten oder f r den Teilnehmer alle Dienste f r den Zugriff auf die Station bzw das Netz freigeben Zu unterscheiden sind im Erweiterten Modus die folgenden Firewall Regels tze Lokale Firewall Regeln sind jeweils einem Modul zugewiesen Sie werden im Eigenschaftsdialog der Module projektiert Globale Firewall Regeln k nnen mehreren Modulen gleichzeitig zugewiesen werden Benutzerspezifische Firewall Regeln k nnen mehreren Benutzer und einzelnen Security Modulen zugewiesen werden Zus tzlich haben Sie die M glichkeit mit Hilfe von Dienst Definitionen Firewall Regeln kompakt und bersichtlich zu definieren Dienst Definitionen k nnen sowohl in den lokalen als auch in den globalen Firewall Regeln eingesetzt werden Au erdem k nnen Sie eine Bandbreitenbegrenzung einstellen Firewall aktivieren Die Firewall wird im Standard und im Erweiterten Modus durch Aktivieren des Optionsk stchen Firewall aktivieren gesteuert Deaktivieren Sie das Kontrollk stchen werden die Firewall Regeln die Sie eingetragen haben weiterhin in der Liste angezeigt k nnen jedoch nicht ver ndert werden Befindet sich das Security Modul in einer VPN Gruppe ist das Kontrollk stchen standardm ig aktiviert und kann nicht deaktiviert werden
206. ren 2 V3 0 So erreichen Sie diese Funktion 1 Markieren Sie das zu bearbeitende Modul 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall Firewall standardm ig aktiviert Das Kontrollk stchen Firewall aktivieren ist standardm ig aktiviert Die Firewall ist also automatisch aktiviert und alle Zugriffe von extern auf das Security Modul sind gesperrt Schalten Sie durch Anklicken der entsprechenden Kontrollk stchen die Firewall Regeln f r die jeweiligen Richtungen frei Detaillierte Firewall Einstellungen im Erweiterten Modus Im Erweiterten Modus k nnen Sie Firewall Regeln auf einzelne Teilnehmer beschr nken Firewall Projektierung mit VPN Befindet sich das Security Modul in einer VPN Gruppe ist standardm ig das Kontrollk stchen Ausschlie lich getunnelte Kommunikation aktiviert Dies bedeutet dass ber die externe Schnittstelle keine Kommunikation am Tunnel vorbei gehen darf und nur verschl sselter IPsec Datentransfer zugelassen ist Deaktivieren Sie das Kontrollk stchen dann sind die getunnelte Kommunikation und zus tzlich die in den anderen Auswahlboxen angew hlten Kommunikationsarten zugelassen Tabelle 4 7 Verf gbare Firewall Regeln und Richtungen Dienst Intern gt Extern Von Von Freigegebene Bedeutung Extern gt Intern Intern Extern Ports Erlaube IP x x Der IP Verkehr f r die ausgew hlten Verk
207. ressband Die Regel gilt f r alle im Adressband erfassten IP Adressen Ein Adressband wird definiert indem die Anzahl der g ltigen Bit Stellen in der IP Adresse angegeben wird und zwar in der Form IP Adresse Anzahl der zu ber cksichtigenden Bits IP Adresse 24 bedeutet demnach dass nur die h chstwertigen 24 Bit der IP Adresse in der Filterregel ber cksichtigt werden das sind die ersten drei Stellen der IP Adresse IP Adresse 25 bedeutet dass nur die ersten drei Stellen und das h chstwertige Bit der vierten Stelle der IP Adresse in der Filterregel ber cksichtigt werden e Adressbreich F r die Quell IP Adresse kann ein Adressbereich getrennt durch einen Bindestrich angegeben werden Start IP Adresse End IP Adresse N here Informationen finden Sie im Kapitel Wertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs Seite 215 Tabelle 4 13 Beispiele f r Adressband bei IP Adressen Quell IP Adresse bzw Adressband Anzahl Ziel IP Adresse Adressen von bis 192 168 0 0 16 192 168 0 0 192 168 255 255 65 536 192 168 10 0 24 192 168 10 0 192 168 10 255 256 192 168 10 0 25 192 168 10 0 192 168 10 127 128 192 168 10 0 26 192 168 10 0 192 168 10 63 64 192 168 10 0 27 192 168 10 0 192 168 10 31 32 192 168 10 0 28 192 168 10 0 192 168 10 15 16 192 168 10 0 29 192 168 10 0 192 168 10 7 8 192 168 10 0 30 192 168 10 0 192 168 10 3 4 Hinweis Beachten Sie dass die
208. resse sowohl an der internen wie an der externen Schnittstelle g ltig Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 79 Module anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren SCALANCE S Zus tzliche Einstellungen f r den DMZ Port Der DMZ Port routet immer zum externen und internen Port auch wenn im Schnittstellenrouting Bridge Modus ausgew hlt ist Hinweis Externer und DMZ Port als Internetzugang Der gleichzeitige Betrieb von PPPoE am externen Port und im Betriebsmodus Fernwartung am DMZ Port Dual ISP ist nicht m glich Feld Beschreibung Betriebsmodus Legen Sie fest wie der DMZ Port genutzt werden soll W hlen Sie abh ngig vom gew nschten Einsatz zwischen den folgenden Funktionen e DMZ Keine IP Zuweisung ber PPPoE m glich e Fernwartung Port ist ber PPPOE direkt mit dem Internet ISP verbunden IP Zuweisung Beim Betriebsmodus DMZ erfolgt die IP Zuweisung statisch Im Betriebsmodus Fernwartung erfolgt die IP Adresszuweisung durch den ISP Siehe auch Dynamisches DNS Seite 80 3 2 3 Dynamisches DNS Was ist Dynamisches DNS Mit Dynamischem DNS k nnen Sie mit einem fest definierten Namen FQDN auf eine sich st ndig ndernde IP Adresse zugreifen Dies ist notwendig wenn Sie z B auf einen Server zugreifen m chten der ber eine ffentliche sich ndernde IP Adresse erreichbar ist Wie funktioniert
209. rfahren die folgenden Ereignisse Grundlagen und Anwendung 206 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Online Funktionen Test Diagnose und Logging 8 2 Ereignisse aufzeichnen Logging Funktion Register im Online Dialog Paketfilter Ereignisse Firewall Funktionsweise Der Paketfilter Log zeichnet bestimmte Pakete des Datenverkehrs auf Es werden nur Datenpakete geloggt auf die eine projektierte Paketffilter Regel Firewall zutrifft oder auf die der Basisschutz reagiert korrupte bzw ung ltige Pakete Voraussetzung ist dass die Aufzeichnung f r die Paketfilter Regel aktiviert ist Audit Ereignisse Der Audit Log zeichnet automatisch fortlaufend sicherheitsrelevante Ereignisse auf wie z B Benutzeraktionen wie das Ein oder Ausschalten des Paket Logging oder Aktionen bei denen sich ein Benutzer nicht korrekt ber Passwort authentisiert hat System Ereignisse Das System Log zeichnet automatisch fortlaufend Systemereignisse wie z B den Start eines Prozesses auf Anhand von Ereignisklassen ist die Aufzeichnung skalierbar Leitungsdiagnose Zus tzlich ist eine Leitungsdiagnose projektierbar Die Leitungsdiagnose liefert Meldungen sobald die Anzahl fehlerhafter Telegrammpakete einen einstellbaren Grenzwert berschritten hat BE ck Speicherverfahren f r die Datenaufzeichnung beim lokalen Logging Die Speicherung bei der Datenaufzeichnung erfolgt nach zwei w hlbaren
210. ri e ne a rn reichten 68 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 9 Inhaltsverzeichnis 10 2 7 3 Zertifikate ersetzen sonst naeh lan 70 Module anlegen und Netzparameter einstellen Au 71 3 1 Parameter im Inhaltsbereich a a ae ea 75 3 2 Schnittstellen konfigurieren SCALANCE ZG 77 3 2 1 bersicht Borlsas ae ee te a 77 3 2 2 age lee Aessen ees Ee ee e 78 3 2 3 Dynamisches DNS 4 ae kind deed deeglech 80 3 2 4 P rteinstell ngen 244222 mann del A 84 3 2 5 Internetverbindung 2 43 12 ai ee Ee ee 85 el UR re DEE 87 4 1 GPs im Standard ModUs 4 1 22 ea EE ue deed 88 4 1 1 GP x43 gt 1 Advanced E 89 4 1 1 1 Voreinstellung der Firewalle erreina eaaa NEE EAEE EAEE EE EAT E aeai 89 41 1 2 Firewall projektieren 4 44 2 de R EE ER R 92 4 1 1 3 Zugriffsliste projektieren sennae a Aue E 93 4 1 1 4 Eintrag zur Zugriffsliste bnzuttgen nn 95 4 1 2 Ee EE 95 4 1 2 1 Voreinstellung der Firewall nu lee kennt lie 95 4 1 2 2 Firewallprojektieren sl herein 98 4 2 SCALANCE S im Standard Modus seeeeeeeeeeeeeeeserissennssttrnssttnnssttnnssttnnnsttntsstennnsten nn mann 99 4 2 1 Voreinstellung der Firewall dees ed 99 4 2 2 Firewall projektieren V30 nn nanen 102 4 2 3 Firewall projektieren lt VD 104 4 3 Im Erweiterten le UE 106 4 3 1 Firewall projektere cninn E EEE ER 106 4 3 2 Globale WIER Ee EE 107 4 3 2 1 Globale Firewall Regels tze Vereinbarungen nn
211. row ARP IP Regeln MAC Regeln inaktiv 192 168 12 3 IP R_2 alle Re hinzuf Regels tze IP Dienste OK Abbrechen bernehmen Hilfe Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren Beschreibung 3 2 Security Modul als DHCP Server Beispiel 1 Alle internen Teilnehmer f r externe Kommunikation zulassen Im Dialogbereich NAT ist das Optionsk stchen Freigabe f r alle internen Teilnehmer nach au en zulassen aktiviert Damit ist die Kommunikation von intern nach extern m glich Die Adressumsetzung erfolgt hierbei so dass alle internen Adressen auf die externe IP Adresse des Security Moduls und jeweils einer dynamisch vergebenen Portnummer umgesetzt werden Eine Richtungsangabe in der NAT Adressumsetzungsliste ist nun nicht mehr relevant S mtliche weiteren Angaben beziehen sich auf die Kommunikationsrichtung extern nach intern Zus tzlich ist die Firewall so eingestellt dass die Telegramme von intern nach extern passieren k nnen Beispiel 2 Zus tzlich Telegramme zulassen die von extern nach intern gerichtet sind 5 2 5 2 1 bersicht Um zus tzlich zum Beispiel 1 die Kommunikation von extern nach intern zuzulassen sind Angaben in der NAT oder in der NAPT Adressumsetzungsliste einzutragen Der Eintrag im Beisp
212. rungshandbuch 03 2012 C79000 G8900 C286 01 37 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle 2 3 Bedienoberfl che und Men befehle Aufbau der Bedienoberfl che im Erweiterten Modus 192 168 10 2 255 255 255 0 192 168 10 3 255 255 255 0 192 168 10 1 255 255 255 0 123 45 78 89 192 168 10 4 255 255 255 0 192 168 10 5 255 255 255 0 192 168 10 6 255 255 255 0 192 168 10 7 255 255 255 0 122 43 65 89 255 0 0 0 192 168 10 8 255 255 255 0 212 133 143 43 255 255 255 0 192 168 1 1 _ 192 168 0 1 Der Navigationsbereich fungiert als Projekt Explorer mit den folgenden Hauptordnern Globale FW Regels tze Das Objekt enth lt die projektierten globalen Firewall Regels tze Weitere Ordner unterscheiden nach IP Regels tze MAC Regels tze Benutzerspezifische IP Regels tze Alle Module Das Objekt enth lt alle projektierten Security Module bzw SOFTNET Security Clients des Projekts VPN Gruppen Das Objekt enth lt alle erzeugten VPNs Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 68900 0286 01 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle Inhaltsbereich Indem Sie ein Objekt im Navigationsbereich anw hlen erhalten Sie im Inhaltsbereich Detailinformationen zu diesem Objekt F r SCALANCE S k nnen die Adressdetails projektiert werden F r SCALANCE M k nnen Sie nur die IP Adress
213. s 36 Benutzerspezifische Firewall Regeln 110 DHCP Server 149 Firewall Regeln 106 Globale Firewall Regeln 107 Logging 214 Lokales Logging 206 208 NAT NAPT 135 Netzwerk Syslog 206 ESP Protokoll 90 96 172 eth0 77 eth1 77 eth2 77 Ethernet Non IP Telegramme 87 Externe Netzknoten CP x43 1 Adv 30 SCALANCE 602 22 SCALANCE S612 S 623 26 F Facility 213 Firewall 25 Erweiterter Modus 106 Firewall Regeln 87 symbolische Namen 53 Firewall aktivieren CP 1628 88 CP x43 1 Adv 88 SCALANCE S lt V3 0 104 SCALANCE S V3 102 Firewall Regels tze benutzerdefinierte 110 globale 49 Firewall Voreinstellung CP 1628 95 CP x43 Adv 89 SCALANCE S lt V3 0 99 Firmware aktualisieren 65 Firmware Ausgabestand 4 Flaches Netz 79 FTP 64 FTP FTPS 46 FTPS Zertifikate 66 Funktions bersicht Ger tetypen 16 G Ger terechte 63 224 Getunnelte Kommunikation aktivieren CP x43 1 Adv 89 SCALANCE S lt V3 0 104 SCALANCE S V3 102 Gigabit Adresse 69 Globale Firewall Regeln 107 125 zuweisen 109 Globale Paketfilter Regeln 109 Glossar 6 Gruppeneigenschaften 170 Gruppennamen 122 128 Gruppenzuordnungen 49 H Halbduplex 84 HTTP 122 HTTPS 177 ICMP 114 ICMP Dienste 124 IEEE 802 3 25 87 IKE 90 96 IKE Einstellungen 170 Inhaltsbereich 39 75 Installation SCALANCE S 37 Interne Netzknoten CP x43 1 Adv 30 konfigurieren 179 SCALANCE 602 22 SCALANCE S612 S 623 26 Int
214. s Security diagnostizieren x x x Security konfigurieren x x Benutzer und Rollen verwalten x Baugruppenrechte In der Spalte Service wird das System angezeigt auf welches das jeweilige Recht Auswirkungen hat Je nach Benutzertyp stehen Ihnen pro Security Projekt die folgenden Baugruppenrechte zur Auswahl Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 63 Projektierung mit Security Configuration Tool 2 6 Benutzer verwalten Tabelle 2 6 Baugruppenrechte CP x43 1 Adv Recht innerhalb des Service administrator standard diagnostics Service Web CP Dateisystem formatieren x Dateisystem FTP Dateien vom CP Dateisystem lesen x x x FTP Dateien auf das CP Dateisystem schreiben x x FTP Dateien DBs von der S7 CPU lesen x x x SPS FTP Dateien DBs in die S7 CPU schreiben x x Applet Variablen ber projektierte Symbole lesen x x x Applet Variablen ber projektierte Symbole schreiben Applet Variablen ber absolute Adressen lesen x x x Applet Variablen ber absolute Adressen x X schreiben Applet Status der Baugruppen im Rack lesen x x Applet Bestellnummer der Baugruppen im Rack x lesen SNMP MIB Il lesen x x x SNMP SNMP MIB II schreiben x x SNMP Automation MIB lesen x x x SNMP LLDP MIB lesen x x x SNMP SNMPv2 MIB lesen x x x SNMP MRP MIB lese
215. s ausgelesen werden oder automatisch an einen Syslog Server gesendet werden k nnen e HTTPS Zur verschl sselten bertragung von Webseiten z B bei der Prozesskontrolle Handy Intranet Internet Prozesskontrolle mit HTTPS VPN ber IPsec Tunnel SFr Prozesskontrolle mit HTTPS Firewall mmmn T n S7 300 mit CP x43 1 Advanced u ttc cl l l l Bild 1 4 Prozesskontrolle mit HTTPS Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 29 Einf hrung und Grundlagen 1 8 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced e FTPS expliziter Modus Zur verschl sselten bertragung von Dateien e Gesichertes NTP Zur sicheren Uhrzeitsynchronisierung und bertragung e SNMPv3 Zur abh rsicheren bertragung von Netzwerkanalyseinformationen e Schutz f r Ger te und Netzsegmente Die Schutzfunktion Firewall und VPN kann sich ber den Betrieb einzelner Ger te mehrerer Ger te wie auch ganzer Netzsegmente erstrecken Interne und Externe Netzknoten CP x43 1 Adv teilt Netzwerke in zwei Bereiche auf e internes Netz gesch tzte Bereiche mit den internen Knoten Interne Knoten sind alle diejenigen Knoten die von einem CP x43 1 Adv abgesichert sind e externes Netz ungesch tzte Bereiche mit den externen Knoten Externe Knoten sind alle Knoten die sich au erhalb der gesch tzten Bereiche befinden ACHTUNG Die internen Netze w
216. s ein Sie k nnen die IP Adresse alternativ als symbolischen Namen oder numerisch eingeben Der Syslog Server muss vom Security Modul aus ber die angegebene IP Adresse erreichbar sein ggf ber die Router Projektierung im Register Routing Wenn der Syslog Server nicht erreichbar ist wird das Versenden der Syslog Informationen abgeschaltet Sie k nnen diesen Betriebszustand anhand entsprechender Systemmeldungen erkennen Um das Versenden der Syslog Informationen erneut zu aktivieren m ssen Sie ggf die Routing Informationen aktualisieren und einen Neustart des Security Moduls veranlassen Symbolische Namen im Logging verwenden D gt ee Grundlagen und Anwendung 212 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Online Funktionen Test Diagnose und Logging 8 2 Ereignisse aufzeichnen Logging Aktivieren Sie das Optionsk stchen Symbolische Namen im Logging verwenden werden die an den Syslog Server bermittelten Adressangaben der Log Telegramme durch symbolische Namen ersetzen Das Security Modul pr ft ob entsprechende symbolische Namen projektiert sind und tr gt diese in das Log Telegramm ein Hinweis H here Bearbeitungszeit bei symbolischen Namen Ist das Optionsk stchen Symbolische Namen im Logging verwenden aktiviert wird die Bearbeitungszeit im Security Modul erh ht F r die IP Adressen der Security Module werden automatisch die Modulnamen als symbolische Namen verwendet Im Routing
217. sen sein Der einwandfreie und sichere Betrieb der Produkte setzt sachgem en Transport sachgem e Lagerung Aufstellung Montage Installation Inbetriebnahme Bedienung und Instandhaltung voraus Die zul ssigen Umgebungsbedingungen m ssen eingehalten werden Hinweise in den zugeh rigen Dokumentationen m ssen beachtet werden Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG Die brigen Bezeichnungen in dieser Schrift k nnen Marken sein deren Benutzung durch Dritte f r deren Zwecke die Rechte der Inhaber verletzen kann Haftungsausschluss Wir haben den Inhalt der Druckschrift auf bereinstimmung mit der beschriebenen Hard und Software gepr ft Dennoch k nnen Abweichungen nicht ausgeschlossen werden so dass wir f r die vollst ndige bereinstimmung keine Gew hr bernehmen Die Angaben in dieser Druckschrift werden regelm ig berpr ft notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten Siemens AG Dokumentbestellnummer C79000 G8900 C286 01 Copyright Siemens AG 2012 Industry Sector 04 2012 nderungen vorbehalten Alle Rechte vorbehalten Postfach 48 48 90026 N RNBERG DEUTSCHLAND Vorwort Vorwort Dieses Handbuch unterst tzt Sie bei der Projektierung der Security Funktionalit ten folgender Produkte Security Appliances e SCALANCE S S602 S612 S623 e SOFTNET Security Client Security Integrated Produkte e
218. sind zugelassen Alle Telegramme von extern nach intern und an das Security Modul sind geblockt auch ICMP Echo Request Telegramme von extern externe Knoten und externe Security Module an Security Modul vom folgenden Typ sind zugelassen e ESP Protokoll Verschl sselung e IKE Protokoll zum Aufbau der IPsec Tunnel e NAT Traversal Protokoll zum Aufbau der IPsec Tunnel IP Kommunikation ber IPsec Tunnel ist zugelassen Telegramme vom Typ Syslog sind vom Security Modul nach extern zugelassen und werden nicht durch die Firewall beeinflusst Hinweis Da Syslog ein ungesichertes Protokoll ist kann nicht garantiert werden dass die Log Daten gesichert bertragen werden CG Telegramme vom Security Modul nach intern und extern sind zugelassen Antworten auf Anfragen aus dem internen Netz oder vom Security Modul sind zugelassen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 1 CPs im Standard Modus interne Knoten CP x43 Adv externe Knoten externes Security Modul E Ek kee Firewall Bild 4 2 Standard Einstellung f r MAC Paketfilter CP x43 1 Adv Alle Telegramme von intern an das Security Modul sind zugelassen Alle Telegramme von extern an das Security Modul sind geblockt Alle Telegramme von extern an das Security Modul vom folgenden Typ sind zugelassen e ARP mit Bandbreitenbegrenzung e PROFINET DCP mit Bandbreitenbegrenzung e LLDP
219. ssichten zur Verf gung e Standard Modus Der Standard Modus ist im Security Configuration Tool voreingestellt Dieser Modus erm glicht eine z gige unkomplizierte Projektierung f r den Betrieb der Security Module e Erweiterter Modus Im Erweiterten Modus gibt es erweiterte Einstellm glichkeiten die eine individuelle Einstellung der Firewall Regeln und der Sicherheitsfunktionalit t zulassen Arbeitsweise Sicherheit und Konsistenz e Zugriff nur f r autorisierte Benutzer Jedes Projekt ist durch Benutzername und Passwortvergabe vor unberechtigtem Zugriff gesch tzt e Konsistente Projektdaten Schon w hrend der Eingabe in den einzelnen Dialogen erfolgen Konsistenzpr fungen Zus tzlich k nnen Sie jederzeit eine dialog bergreifende projektweite Konsistenzpr fung durchf hren Auf die Security Module k nnen nur konsistente Projektdaten geladen werden e Schutz der Projektdaten durch Verschl sselung Die Projekt und Konfigurationsdaten sind sowohl in der Projektdatei als auch auf dem C PLUG nicht f r CP 1628 durch Verschl sselung gesch tzt Grundlagen und Anwendung 36 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool 2 2 Installation 2 2 Installation 2 2 1 Unterst tzte Betriebssysteme Unterst tzt Betriebssysteme Unterst tzt werden die folgenden Betriebssysteme e Microsoft Windows XP 32 Bit Service Pack 3 DZ e Microsoft Windows 7 Professional 32
220. st NAT von Extern oder Src NAT Dst NAT Extern verwendet wird darf nur einmal in der NAT Tabelle erscheinen Grundlagen und Anwendung 136 Projektierungshandbuch 03 2012 C79000 G8900 C0286 01 Weitere Moduleigenschaften projektieren 5 1 Security Modul als Router Duplikatspr fung in der NAPT Tabelle x e Eine externe Portnummer darf nur einmal eingetragen sein Da immer die IP Adresse des Security Moduls als externe IP Adresse verwendet wird w re bei mehrfacher Verwendung keine Eindeutigkeit gegeben e Die Portnummern bzw Portbereiche der externen Ports d rfen sich nicht berschneiden Pr fung Regel Pr fung erfolgt lokal projektweit Sobald der Routing Modus aktiviert wurde m ssen dem Security Modul die x internen Adressen IP Subnetz zugeordnet werden Interne NAPT Ports k nnen im Bereich gt 0 und lt 65535 liegen x F hren Sie nach Abschluss Ihrer Eingaben eine Konsistenzpr fung durch W hlen Sie hierzu den Men befehl Optionen gt Konsistenzpr fungen Siehe auch Standard Router Seite 134 5 1 4 Adressumsetzung mit NAT NAPT NAT aktivieren Der Eingabebereich f r NAT wird aktiviert NAT Adressumsetzungen werden erst durch die nachfolgend beschriebene Option und Eintr ge in die Adressumsetzungsliste wirksam Zus tzlich m ssen Sie die Firewall passend konfigurieren Die IP Adressumsetzung kann ber die folgenden Schnittstellen erfolgen e Ext
221. t System Log Audit Log Paketfiter Log Kommunikationszustand Inteme Knoten Im MAC Subnetz ID Subnetzmaske 192 168 1 82 00 0E 8C74 1C 68 Zustand Lernen erlaubt Aktualisiere Nicht lernbare Netzknoten Es gibt Teilnehmer im internen Netz die nicht gelernt werden k nnen Diese Teilnehmer m ssen Sie im Erweiterten Modus konfigurieren Sie m ssen auch Subnetze konfigurieren die sich im internen Netz des Security Moduls befinden So erreichen Sie dieses Register 1 Markieren Sie das Modul 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Knoten 3 Geben Sie in den einzelnen Registern die erforderlichen Adressparameter zu allen Netzknoten an die vom gew hlten Security Modul gesch tzt werden sollen Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 183 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 6 Interne Netzknoten konfigurieren Auswirkung beim Einsatz des SOFTNET Security Client Wenn Sie Teilnehmer statisch konfigurieren m ssen Sie auch die Konfiguration f r einen in der VPN Gruppe genutzten SOFTNET Security Client neu laden Je nach Security Modul und Modus stehen Ihnen verschiedene Register zur Auswahl die in der Online Hilfe beschrieben werden Grundlagen und Anwendung 184 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 SOFTNET Security Client D Mit der PC Software SOFTNET Security Client sind gesicherte Fernzu
222. t aktiviert Das Security Modul sendet periodisch Anfragen zur Bestimmung der aktuellen IP Adresse des DSL Routers sowie zur Detektion eines IP Adresswechsels auf dem DSL Router Geben Sie an in welchem Zyklus der Check IP Dienst aufgerufen wird Periode 10 1440 Minuten Ergebnis Nach der Eingabe steht in der Online Ansicht statt dem eingegebenen Hostnamen immer die aktuelle ffentliche IP Adresse Sekund ren DynDNS Dienst aktivieren Legen Sie f r den Fall dass der prim re Provider ausf llt einen weiteren DynDNS Update Anbieter an Nehmen Sie zus tzlich zu den Angaben im Feld Prim rer DynDNS Service die folgenden Eingaben vor IP Einstellungen Provider Aktualisierungs URL Bei den vordefinierten Providern DynDNS org und No IP com wird die URL vorausgef llt Check IP Service URL Bei den vordefinierten Providern DynDNS org und No IP com wird die URL vorausgef llt Fehler bei berpr fung des Damit die Authentifizierungsdaten gesch tzt sind wird das Server Zertifikats ignorieren Zertifikat des DynDNS Update Servers standardm ig berpr ft Schl gt die Pr fung des Zertifikates fehl so wird die https Verbindung beendet und die Account Daten werden nicht bertragen Wenn Sie das Kontrollk stchen aktivieren wird die Funktion deaktiviert z B wenn das Server Zertifikat des DynDNS Dienstes ung ltig ist z B abgelaufen Grundlagen und Anwendung Projektierungshandbuch
223. te nicht neu konfiguriert werden Das Modul versucht interne Teilnehmer zu finden interne Teilnehmer die auf diesem Weg nicht gefunden werden k nnen m ssen dennoch projektiert werden Interne und Externe Netzknoten 1 7 SCALANCE S teilt Netzwerke in zwei Bereiche auf e internes Netz gesch tzte Bereiche mit den internen Knoten Interne Knoten sind alle diejenigen Knoten die von einem SCALANCE S abgesichert sind e externes Netz ungesch tzte Bereiche mit den externen Knoten Externe Knoten sind alle Knoten die sich au erhalb der gesch tzten Bereiche befinden ACHTUNG Die internen Netze werden als sicher vertrauensw rdig betrachtet Verbinden Sie ein internes Netzsegment nur ber SCALANCE S mit den externen Netzsegmenten Weitere Verbindungswege zwischen dem internen und externen Netz d rfen nicht vorhanden sein Einsatz von SCALANCE S623 DMZ Port Zus tzliche Aufgabe von SCALANCE S623 26 Zus tzlich zu den Funktionen des SCALANCE S612 bietet der SCALANCE S623 mit einem zus tzlichen Port DMZ die M glichkeit ein zus tzliches Netzwerk anzubinden Mit dem SCALANCE S623 l sst sich am zus tzlichen Port eine DMZ Demiilitarisierte Zone einrichten in der Server platziert werden k nnen die sowohl aus dem unsicheren Netz z B Internet oder externes Netz als auch aus dem sicheren Netzwerk internes Netz erreicht werden m ssen Der Port kann in Abh ngigkeit vom Einsatzszenari
224. tenmigration f r securityrelevante Projektdaten ber das Sie die Benutzer in das Security Configuration Tool migrieren k nnen Start der Security SCT ffnet sich in einem bersichtmodus in Konfiguration dem Sie die f r dieses Security Modul spezifischen Eigenschaften konfigurieren k nnen Firewall Regeln Angepasste Firewall Einstellungen werden nachladen generiert und auf den CP geladen ohne ein Stoppen des CP zu verursachen Firewall Regeln online Angepasste Firewall Einstellungen werden nachladen CP 1628 generiert und online auf den CP geladen Benutzer Start der Startet die SCT Benutzerverwaltung in der Benutzer und Rollen angelegt sowie Rechte zugewiesen werden IP Zugriffsschutz Start der Firewall Beim Aktivieren von Security wird eine HTTPS zulassen Start der Benutzerverwaltung Konfiguration vorhandene IP Zugriffsliste ber eine Umsetzung in Firewall Regeln in das Security Configuration Tool migriert FTP Zugriff nur ber FTPS Startet die SCT Benutzerwaltung in der Sie zulassen einer Rolle FTP Rechte zuweisen k nnen Start der Benutzerverwaltung Web Zugriff nur ber Startet die SCT Benutzerwaltung in der Sie einer Rolle Web Rechte zuweisen k nnen Uhrzeitsynchronisation Erweiterte NTP Startet das SCT im NTP Konfigurationsmodus Benutzerverwaltung Konfiguration SNMP Start der SNMP Startet SCT im SNMP Konfigurationmodus Sie Konfiguration k nn
225. tere Moduleigenschaften projektieren 5 1 6 5 1 Security Modul als Router 1 1 NAT Routing Beispiele zur Konfiguration Teil 1 Was soll in dem Beispiel gezeigt werden Von dem PC mit der Adresse 172 158 2 1 soll auf die Steuerung mit der Adresse 192 168 2 3 im internen Netz zugegriffen werden Da die Adresse 192 168 2 3 keine ffentliche Adresse ist muss diese vom NAT Router auf eine zus tzliche ffentliche Adresse Alias Adresse hier 172 158 2 3 umgesetzt werden Mit der Firewall wird sichergestellt dass der PC nur auf die Dienste FTP HTTP und S7 der Steuerung zugreifen kann Schematischer Ablauf NAT Router NAT d NAT aktiv d Freigabe f r alle internen Teilnehmer nach au en zulassen externe IP Adresse interne IP Adresse F uchtung 172 158 23 192 168 2 3 sen 172 158 25 192 168 2 5 Det MAT von Extern 172 1582 2 z Sec MAT Fach Bitem Hinzufugen Externes Netz E a Aktion Von Nach Quell IP Adresse Ziel IP Adresse Dienst Allow Extern Intern 172 158 2 1 192 168 2 3 FTP Allow Extern Intern 172 158 2 1 192 168 2 3 HTTP 192168 2 3 4 Allow Extern Intern 172 158 2 1 192 168 2 3 57 Allow Extern Intern 172 158 2 1 192 168 2 5 57 Internes Netz NAT Umsetzung Aktion Ein Ger t aus dem externen Netz will ein Datenpaket an die 172 158 2 3 schicken HTTP Anwendung Der NAT Router bersetzt die Adresse anhand der NAT Tabelle in die private IP Adresse 192 168 2 3 Die
226. terten Modus Regelauswertung durch das Security Modul Die Paketfilter Regeln werden wie folgt ausgewertet e Die Liste wird von oben nach unten ausgewertet bei sich widersprechenden Regeln gilt der weiter oben stehende Eintrag e Bei den Regeln f r die Kommunikation in Richtung Intern gt Extern und Extern gt Intern gilt f r alle nicht explizit erfassten Telegramme alle Telegramme sind gesperrt au er den in der Liste explizit zugelassenen Telegrammen e Bei den Regeln f r die Kommunikation in Richtung Intern gt Tunnel und Tunnel gt Intern gilt f r alle nicht explizit erfassten Telegramme alle Telegramme sind zugelassen au er den in der Liste explizit gesperrten Telegrammen ACHTUNG IP Regeln greifen f r IP Pakete MAC Regeln greifen f r Layer 2 Pakete F r die Firewall k nnen Sie sowohl IP Regeln als auch MAC Regeln definieren Die Bearbeitung in der Firewall ist anhand des Ethertypes des Paketes geregelt IP Pakete werden abh ngig von den IP Regeln weitergeleitet bzw geblockt und Layer 2 Pakete werden abh ngig von den MAC Regeln weitergeleitet bzw geblockt Es ist nicht m glich ein IP Paket mit Hilfe einer MAC Firewall Regel beispielsweise hinsichtlich einer MAC Adresse zu filtern Beispiele Das Beispiel f r den IP Paketfilter in Kapitel 5 4 3 Seite 116 k nnen Sie sinngem auf die MAC Paketfilter Regeln anwenden 4 3 11 MAC Dienste definieren So erreichen Sie diese Funktion
227. tete Benutzer NTP Server oder Eintr ge der IP Access Control Listen k nnen nach SCT migriert werden Security Projektierung f r CP 1628 Zus tzlich zu den SCALANCE S Modulen kann Security nun auch f r den PC CP 1623 konfiguriert werden SCT ist in STEP 7 integriert Security Configuration Tool 3 0 Neue Funktionen Neues Konzept zur Benutzerverwaltung Neben Benutzern k nnen nun auch Rollen und Rechte angelegt werden Dabei gibt es systemdefinierte Rollen die nicht ver ndert werden k nnen oder Sie legen neue benutzerdefinierte Rollen an und weisen ihnen Rechte zu Projektweiter Zertifikatsmanager Zertifikate werden projekt bergreifend im Zertifikatsmanager verwaltet Projektweiter NTP Server NTP Server k nnen projektweit angelegt und den einzelnen Modulen zugewiesen F r CPs wird die gesicherte Uhrzeit bertragung ber gesicherte NTP Server unterst tzt Die Konfiguration von SNMPv3 wird unterst tzt SOFTNET Security Client V4 0 Sie k nnen einen SOFTNET Security Client V4 0 zusammen mit den Security Modulen konfigurieren und die entsprechenden Konfigurationsdateien erzeugen G ltigkeitsbereich dieses Handbuchs Leserkreis Dieses Handbuch ist f r folgende Ger te und Komponenten g ltig SIMATIC NET SCALANCE S602 6GK5 602 0BA 10 2AA3 mit FW Stand ab V3 0 SIMATIC NET SCALANCE S612 6GK5 612 0BA10 2AA3 mit FW Stand ab V3 0 SIMATIC NET SCALANCE S623 6GK5 623 0BA10 2AA3 mit FW Stand ab V3 0 CP 343 1
228. tion Projektierbar sind folgende Alternativen Tabelle 5 1 Zeitsynchronisation f r CP Auswahlm glichkeit Keine Zeitsynchronisation Zeitsynchronisation mit NTP Bedeutung Auswirkung Keine Zeitsynchronisation ber den PC oder einen NTP Server Automatisches Stellen und periodischer Abgleich der Uhrzeit mittels eines NTP Servers Zeitsynchronisation mit NTP gesichert Automatisches Stellen und periodischer Abgleich der Uhrzeit mittels eines entsprechend konfigurierten NTP Servers Tabelle 5 2 Zeitsynchronisation f r SCALANCE S gt V3 0 Auswahlm glichkeit Keine Zeitsynchronisation Bedeutung Auswirkung Keine Zeitsynchronisation ber den PC oder einen NTP Server Zeit bei jedem Laden setzen Automatisches Stellen der Modul Uhrzeit mit der PC Uhrzeit beim Laden einer Konfiguration Zeitsynchronisation mit NTP Automatisches Stellen der Uhrzeit mittels eines NTP Servers Modus zur Zeitsynchronisation ausw hlen Gehen Sie folgenderma en vor 1 W hlen Sie den Synchronisierungsmodus aus 154 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren 3 3 Zeitsynchronisierung 2 F r SCALANCE S lt V3 0 Bei der Synchronisierung durch einen NTP Server geben Sie das Aktualisierungsintervall in Sekunden ein F r SCALANCE S 2 V3 0 wird das Zeitintervall f r die Abfrage des NTP Servers auto
229. tionsdatei aus Sie k nnen Konfigurationsdaten aus mehreren Projekten gleichzeitig einlesen Falls im SOFTNET Security Client bereits Konfigurationsdaten vorliegen w hlen Sie eine der folgenden Optionen aus entfernen Nur die zuletzt geladenen Konfigurationsdaten sind verf gbar importieren und ersetzen Ist bei ge nderten Konfigurationsdaten sinnvoll beispielsweise nur die Konfiguration im Projekt a ist ge ndert Projekt b und c bleiben erhalten nicht importieren ist sinnvoll wenn in einem Projekt ein Security Modul hinzugef gt wurde ohne dass bereits gelernte interne Knoten verloren gehen sc SOFTNET Security Client Konfigurationsdaten vorhanden EN Es wurde festgestellt dass bereits Konfiqurationsdaten f r den SOFTNET Security Client vorhanden sind Wollen Sie die vorhandenen Konfigurationsdaten e entfernen behalten und die neuen hinzuf gen und dabei die Baugruppen mit gleicher IP Adresse importieren und ersetzen nicht importieren Abbrechen 3 Wenn Sie in SCT als Authentifizierungsmethode Zertifikat gew hlt haben geben Sie das Passwort ein 4 W hlen Sie aus ob f r die in der Konfiguration projektierten Teilnehmer statisch konfigurierte Teilnehmer die Tunnelverbindungen aktiviert werden sollen Falls Sie die Aktivierung hier noch nicht ansto en k nnen Sie dies jederzeit im nachfolgend beschriebenen Tunnel Dialog durchf hren sc SOFTNET Security
230. tiviert ist Standard Router IP Adresse des Standard Routers Im Netzverbund passende Vergabe MAC Adresse Hardware Adresse des Moduls Die MAC Adresse ist auf dem Modulgeh use aufgedruckt Kommentar Technologisch sinnvolle Information frei w hlbar zum Modul und das durch das Modul gesch tzte Subnetz Adressparameter f r SCALANCE S ver ndern F r SCALANCE S k nnen die Adressparameter im Inhaltsbereich eingegeben und ver ndert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 75 Module anlegen und Netzparameter einstellen 3 1 Parameter im Inhaltsbereich Bedeutung der Adressparameter f r CPs F r die CPs werden die folgenden Adressen aus STEP 7 angezeigt Feld in SCT CP x43 1 CP 1628 IP Adresse ext IP Adresse Gigabit IP Adresse IE Industrial Ethernet IP Adresse int IP Adresse PROFINET Wird nicht angezeigt Subnetzmaske ext Subnetzmaske Gigabit Subnetzmaske IE Subnetzmaske int Subnetzmaske PROFINET Wird nicht angezeigt MAC Adresse MAC Adresse Gigabit MAC Adresse IE Ebenfalls angezeigt werden die Adressdaten im Register Schnittstellen Dynamisch vergebene IP Adresse Ist in STEP 7 projektiert dass die IP Adresse dynamisch vergeben werden soll wird dies in SCT je nach Einstellungen folgenderma en dargestellt Tabelle 3 1 Gigabit Schnittstelle Betriebsart in STEP 7 IP Adresse ext Subnetzmaske ext IP Adresse von
231. tring ist wie ein Passwort welches zusammen mit der SNMP Anfrage verschickt wird Ist der Community String korrekt antwortet das Security Modul mit der angeforderten Information Ist der String falsch verwirft das Security Modul die Anfrage und antwortet nicht Bei SNMPv3 k nnen die Daten verschl sselt bertragen werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 157 Weitere Moduleigenschaften projektieren 5 4 SNMP 5 4 2 SNMP aktivieren Voraussetzung Das Register SNMP wird nur angezeigt wenn Sie den Erweiterten Modus eingeschaltet haben Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen es erneut STEP 7 Im Register SNMP ist das Kontrollk stchen SNMP aktiveren aktiviert So erreichen Sie diese Funktion 158 1 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register SNMP 3 4 W hlen Sie eine der folgenden SNMP Protokollversionen aus Markieren Sie das zu bearbeitende Modul F r SCALANCE S Aktiveren Sie das Kontrollk stchen SNMP aktivieren Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projekt
232. ty Dabei sind auch eingesetzte Produkte von anderen Herstellern zu ber cksichtigen Wichtige Hinweise ACHTUNG Schutz vor unberechtigtem Zugriff Achten Sie darauf dass der Projektierungsrechner und PC PG bzw das Projekt vor unberechtigtem Zugriff gesch tzt ist ACHTUNG Gastkonto deaktivieren Stellen Sie sicher dass das Gastkonto auf dem Projektierungsrechner deaktiviert ist Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 13 Einf hrung und Grundlagen 1 1 Wichtige Hinweise ACHTUNG Aktuelles Datum und aktuelle Uhrzeit auf den Security Modulen Achten Sie bei der Verwendung von gesicherter Kommunikation z B HTTPS VPN darauf dass die betroffenen Security Module ber die aktuelle Uhrzeit und das aktuelle Datum verf gen Die verwendeten Zertifikate werden sonst als nicht g ltig ausgewertet und die gesicherte Kommunikation funktioniert nicht Hinweis Aktuelle Antiviren Software Es wird empfohlen dass auf allen Projektierungsrechnern immer eine aktuelle Antiviren Software installiert ist Hinweis FTPS Wird in der vorliegenden Dokumentation die Benennung FTPS verwendet ist damit FTPS im expliziten Modus gemeint FTPES Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umsch
233. ty Modul im laufenden Betrieb erkannt Die erkannten Teilnehmer werden an die Security Module gemeldet die zur selben Gruppe geh ren Dadurch ist der Datenaustausch innerhalb der Tunnel einer Gruppe jederzeit in beide Richtungen gew hrleistet Voraussetzungen Subnetze Erkannt werden folgende Teilnehmer e P f hige Netzknoten IP f hige Netzknoten werden gefunden wenn Sie eine ICMP Antwort auf den ICMP Subnetz Broadcast senden IP Knoten hinter Routern sind auffindbar wenn die Router ICMP Broadcasts weiterleiten e SO Netzknoten Netzknoten die zwar nicht IP f hig sind jedoch ber ISO Protokolle ansprechbar sind k nnen ebenfalls gelernt werden Voraussetzung ist dass sie auf XID bzw TEST Telegramme antworten TEST und XID Exchange Identification sind Hilfsprotokolle zum Informationsaustausch auf der Layer 2 Ebene Durch das Versenden dieser Telegramme mit einer Broadcast Adresse k nnen diese Netzknoten ausfindig gemacht werden e PROFINET Knoten Mit Hilfe von DCP Discovery and basic Configuration Protocol werden PROFINET Knoten gefunden Netzknoten die diese Bedingungen nicht erf llen m ssen Sie manuell konfigurieren Konfiguriert werden m ssen auch Subnetze die sich hinter internen Routern befinden Lernmodus ein ausschalten 180 Die Lernfunktion ist in der Konfiguration durch die Projektierungssoftware Security Configuration Tool standardm ig f r jedes Security Modul eingeschaltet Das
234. uell Port Es erfolgt Filterung anhand der hier angegebenen Beispiele Portnummer diese definiert den Dienstzugang beim Port wird nicht gepr ft TER 20 bzw 21 FTP Service Ziel Port Es erfolgt Filterung anhand der hier angegebenen Beispiele Portnummer diese definiert den Dienstzugang beim Port wird nicht gepr ft Telegramm Emptanger 80 Web HTTP Service 102 S7 Protokoll TCP Port 4 3 8 ICMP Dienste definieren Mit Hilfe der ICMP Dienst Definitionen k nnen Sie Firewall Regeln definieren die auf bestimmte ICMP Dienste angewendet werden Sie vergeben hierbei einen Namen und ordnen diesem die Dienstparameter zu Die definierten Dienste k nnen Sie unter einem Gruppennamen zu Gruppen zusammenfassen Bei der Projektierung der Paketfilter Regeln verwenden Sie dann diese Gruppennamen 122 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 3 Im Erweiterten Modus So erreichen Sie diese Funktion e ber den Men befehl Optionen gt IP Dienste bzw MAC Dienste Register ICMP oder e ber die Schaltfl che IP Dienste bzw MAC Dienste Register ICMP a EE ee Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 68900 C286 01C79000 G68900 C 1196 07 123 Firewall projektieren 4 3 Im Erweiterten Modus Parameter f r ICMP Dienste Die Definition der ICMP Dienste erfolgt ber folgende Parameter Tabelle 4 15 IC
235. ugriff auf das Security Modul in der Betriebsart Online f r Test und Diagnose e remote access Keine Rechte au er Anmeldung an der Internetseite f r benutzerspezifische Firewall Regeln Weitere Informationen finden Sie im Kapitel Benutzerspezifische Firewall Regeln Seite 110 Bestehende SCT Benutzer migrieren Bei der Migration werden bestehende SCT Benutzer den folgenden systemdefinierten Rollen zugeordnet e Bestehende Benutzer der Rolle Admin werden der systemdefinierten Rolle administrator zugeordnet e Bestehende Benutzer der Rolle User werden der systemdefinierten Rolle diagnostics zugeordnet Benutzerdefinierte Rolle Zus tzlich zu den systemdefinierten Rollen k nnen Sie benutzerdefinierte Rollen anlegen F r eine benutzerdefinierte Rolle w hlen Sie die Projektierungs bzw Baugruppenrechte und legen f r jedes im Projekt verwendete Security Modul die entsprechenden Rechte fest Die benutzerdefinierten Rollen weisen Sie dem entsprechenden Benutzer manuell zu So erreichen Sie diese Funktion Men befehl SCT Optionen gt Benutzerverwaltung Register Rollen Men befehl STEP 7 Benutzer gt Start der Benutzerverwaltung Schaltfl che Ausf hren Zus tzlich wird die Benutzerverwaltung aus einzelnen Registern aufgerufen Tabelle 2 3 Angaben im Register Rollen Parameter Bedeutung Rollenname Frei w hlbarer Rollenname Kommentar Zus tzliche Kommentareingabe Grundlage
236. und Gateways bei einem VPN ber Internet Beim Betrieb eines VPN mit IPsec Tunnel ber das Internet sind in der Regel zus tzliche IP Adressen f r die Internet Gateways z B DSL Router erforderlich Den einzelnen Security oder SCALANCE M Modulen m ssen die externen IP Adressen der Partner Module im VPN bekannt sein Hinweis F r die Nutzung eines WAN als externes ffentliches Netzwerk geben Sie als IP Adresse ext Ihre vom Provider erhaltene IP Adresse an ber welche das Security Modul dann im WAN Internet erreichbar ist Damit das Security Modul Pakete ber das WAN Internet versenden kann m ssen Sie als Standard Router Ihren DSL Router eintragen Wenn Sie einen DSL Router als Internet Gateway nutzen m ssen an diesem mindestens die folgenden Ports freigeschaltet werden e Port 500 ISAKMP e Port 4500 NAT T F r SCALANCE S muss bei Konfigurations Downloads ber das WAN ohne aktiven Tunnel zus tzlich der Port 443 HTTPS freigeschaltet werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 177 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Hierzu besteht die M glichkeit in der Konfiguration des Moduls eine externe IP Adresse als WAN IP Adresse zuzuordnen Beim Laden der Modulkonfiguration werden den Gruppenteilnehmern dann die WAN IP Adressen der Partner Module mitgeteilt Ob die externe IP Adresse oder WAN IP A
237. ungen erlaubt werden Nicht zugelassene Telegramme werden ohne dass sie eine Antwort senden von der Firewall verworfen Zur Filterung des Datenverkehrs k nnen u a IP Adressen IP Subnetze Portnummern oder MAC Adressen verwendet werden Die Firewall Funktionalit t kann f r folgende Protokollebenen konfiguriert werden e P Firewall mit Stateful Packet Inspection Layer 3 und 4 e Firewall auch f r Ethernet Non IP Telegramme gem IEEE 802 3 Layer 2 Die Firewall kann f r den verschl sselten IPsec Tunnel und den unverschl sselten Datenverkehr eingesetzt werden Firewall Regeln Firewall Regeln beschreiben welche Pakete in welche Richtung erlaubt bzw verboten werden Automatische Firewall Regeln f r STEP 7 Verbindungen F r in STEP 7 projektierte Verbindungen werden automatisch Firewall Regeln in SCT angelegt die den Kommunikationspartner freigeben Dabei werden die Aufbaurichtungen der Verbindungen beachtet Die Regeln sind nur im Erweiterten Modus sichtbar und k nne auch nur dort ver ndert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 87 Firewall projektieren 4 1 CPs im Standard Modus Projektierung Zu unterscheiden sind die beiden Bedienungssichten e Im Standard Modus greifen Sie auf einfache vordefinierte Firewall Regeln zur ck Sie k nnen nur dienstspezifische Regeln freischalten Die freigegeben Dienste sind f r alle Teilnehmer zul ssig und es wi
238. ungen schalten Sie ber die Schaltfl che Deaktivieren aus Nach Klicken der Schaltfl che ndert sich der Text in der Schaltfl che auf Aktivieren und das Symbol in der Statusleiste wird ersetzt Ergebnis Auf dem PC ist die Security Policy deaktiviert Um die nderung r ckg ngig zu machen und die eingerichteten Tunnel wieder zu aktivieren klicken Sie auf die Schaltfl che Aktivieren Welche Eintr ge in der Log Konsole angezeigt werden w hlen Sie im Dialog Einstellungen aus e Diagnoseinformationen zum Verbindungsaufbau mit den konfigurierten Security Modulen SCALANCE M Modulen und internen Teilnehmern Subnetzen e Datums und Zeitstempel zum Zeitpunkt der Ereignisse e Auf und Abbau einer Security Association e Negativ verlaufener Erreichbarkeitstest Test Ping zu den konfigurierten Teilnehmern Schaltfl che Liste leeren L scht alle Eintr ge in der Log Konsole Globale Einstellungen f r den SOFTNET Security Client 1 ffnen Sie im Hauptdialog des SOFTNET Security Client den Men punkt Optionen gt 200 Einstellungen 2 Nehmen Sie globale Einstellungen vor die nach dem Beenden und ffnen des SOFTNET Security Client erhalten bleiben Die Funktionen entnehmen Sie aus der folgenden Tabelle Funktion Log File Gr e Log Konsole Beschreibung Optionen Log File Gr e der Quelldatei welche die Meldungen enth lt die gefiltert und auf eine bestimmte Anzahl begrenzt in d
239. ur SiClock Station und umgekehrt sind zugelassen Erlaube DCP x x Tabelle 4 8 Logging f r IP und MAC Regels tze IP Log Einstellungen Regelsatz Aktion bei Aktivierung Aufzeichnen getunnelter Pakete Nur aktiv wenn Security Modul Teilnehmer einer VPN Gruppe ist Alle IP Pakete die ber den Tunnel weitergeleitet wurden werden geloggt Aufzeichnen blockierter eingehender Pakete Alle eintreffenden IP Pakete die verworfen wurden werden geloggt Aufzeichnen blockierter ausgehender Pakete Alle ausgehenden IP Pakete die verworfen wurden werden geloggt MAC Log Einstellungen Aufzeichnen getunnelter Pakete Nur aktiv wenn Security Modul Teilnehmer einer VPN Gruppe ist Alle MAC Pakete die ber den Tunnel weitergeleitet wurden werden geloggt Aufzeichnen blockierter eingehender Pakete Alle eintreffenden MAC Pakete die verworfen wurden werden geloggt Aufzeichnen blockierter ausgehender Pakete Alle ausgehenden MAC Pakete die verworfen wurden werden geloggt Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G68900 0286 01C79000 68900 C 1196 07 103 Firewall projektieren 4 2 SCALANCE S im Standard Modus 4 2 3 So erreichen Sie diese Funktion 1 Firewall projektieren lt V3 0 Markieren Sie das zu bearbeitende Modul 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall
240. utzung des SOFTNET Security Client unter einem speziell daf r eingerichteten Benutzer vor Unterst tzte Betriebssysteme Der SOFTNET Security Client ist f r den Einsatz unter den folgenden Betriebssystemen geeignet e Microsoft Windows XP 32 Bit Service Pack 3 e Microsoft Windows 7 Professional 32 64 Bit e Microsoft Windows 7 Professional 32 64 Bit Service Pack 1 e Microsoft Windows 7 Ultimate 32 64 Bit e Microsoft Windows 7 Ultimate 32 64 Bit Service Pack 1 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 187 SOFTNET Security Client 7 2 Installation und Inbetriebnahme des SOFTNET Security Client Verhalten bei St rungen Bei auftretenden St rungen auf Ihrem PG PC verh lt sich SOFTNET Security Client wie folgt e Eingerichtete Sicherheitsrichtlinien bleiben ber das Aus und Einschalten Ihres PG PC erhalten e Bei fehlerhafter Konfiguration werden Meldungen ausgegeben 7 2 Installation und Inbetriebnahme des SOFTNET Security Client 7 2 1 SOFTNET Security Client installieren und starten Sie installieren die PC Software SOFTNET Security Client von der Produkt CD 1 Lesen Sie zun chst die Angaben in der LIESMICH Datei Ihrer SCALANCE S CD und beachten Sie ggf zus tzliche Installationshinweise 2 F hren Sie das Setup Programm aus ffnen Sie hierzu am einfachsten die Inhalts bersicht Ihrer SCALANCE S CD wird beim CD Einlegen automatisch gestartet oder kann ber
241. verwenden wenn Sie das Projekt im Standard Modus erstellt haben So erreichen Sie diese Funktion 1 Wechseln Sie ber den Men befehl Ansicht gt Online die Betriebsart 2 Markieren Sie das zu bearbeitende Modul 3 W hlen Sie den Men befehl Bearbeiten gt Online Diagnose Sobald Sie eines der Register f r Log Funktionen ffnen sehen Sie im unteren Bereich des Registers den aktuellen Zustand der Aufzeichnungsfunktion des gew hlten Security Moduls e Puffer Einstellungen Umlaufspeicher Linearer Speicher Der aktuelle Aufzeichnungszustand kommt aus der geladenen Konfiguration oder aus der zuvor schon einmal durchgef hrten Online Funktion Warnmeldung bei nicht aktueller Konfiguration oder Fremdprojekt Wenn Sie den Online Dialog aufrufen wird gepr ft ob die aktuelle Konfiguration auf dem Security Modul und die Konfiguration des geladenen Projekts bereinstimmen Unterscheiden sich die beiden Konfigurationen so wird eine Warnmeldung ausgegeben Dadurch wird signalisiert dass Sie entweder die Konfiguration noch nicht aktualisiert haben oder das falsche Projekt verwenden Online Einstellungen werden nicht in der Konfiguration gespeichert Einstellungen die Sie in der Online Betriebsart vornehmen z B Einstellungen zum Log Speicher werden nicht in der Konfiguration auf dem Security Modul gespeichert Nach einem Modul Neuanlauf sind deshalb immer die Einstellungen aus der Konfiguration wirksam Grundla
242. von E Mails zwischen authentifizierten Benutzern ber einen SMTP Server Erlaube NTP x UDP Port 123 Zur Synchronisation der Uhrzeit Erlaube MAC Ebene x Der MAC Verkehr von extern Kommunikation zur Station und umgekehrt ist zugelassen Erlaube ISO x Der ISO Verkehr von extern zur Kommunikation Station und umgekehrt ist zugelassen Erlaube SiClock x SiClock Uhrzeittelegramme von extern zur Station und umgekehrt sind zugelassen 98 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 2 4 2 1 4 2 SCALANCE S im Standard Modus Tabelle 4 6 Logging f r IP und MAC Regels tze Regelsatz Aktion bei Aktivierung Angelegte Regel IP Log Einstellungen Aktion Von Nach Aufzeichnen getunnelter Pakete Nur aktiv wenn Security Allow Station Tunnel Modul Teilnehmer einer Allow Tunnel Station VPN Gruppe ist Alle IP Pakete die ber den Tunnel weitergeleitet wurden werden geloggt Aufzeichnen blockierter eingehender Alle eintreffenden IP Pakete Drop Extern Station Pakete die verworfen wurden werden geloggt MAC Log Einstellungen Aktion Von Nach Aufzeichnen blockierter eingehender Alle eintreffenden MAC Drop Extern Station Pakete Pakete die verworfen wurden werden geloggt Aufzeichnen blockierter ausgehender Alle ausgehenden MAC Drop Station Extern Pakete Pakete die verworfen wurden werden
243. von PC Stationen PG 221 B 8 1 E TEE 221 B 9 Zur Konfiguration von PDC Che eraa E 221 B 9 1 Eet de eeneg Aide deed aA os 221 B 10 SIMATIC NET Industrial Ethernet Security nenn 221 Sura NEE A TEE 221 lee EE 222 SSC SE EE 222 I gleg seh eegeeeb gier gueder edit deeg gg EREPESSTERTEERTETHESEELETTEENEELTTERERLETTELLUEETEEFERSTDRRTLEITEERENTELDETFFFLUEEFELFTELFER 223 Grundlagen und Anwendung 12 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 Security Hinweise 1 1 Allgemein ACHTUNG Siemens bietet f r sein Automatisierungs und Antriebsproduktportfolio IT Security Mechanismen um einen sicheren Betrieb der Anlage Maschine zu unterst tzen Unsere Produkte werden auch unter dem Gesichtspunkt IT Security st ndig weiterentwickelt Wir empfehlen Ihnen daher dass Sie sich regelm ig ber Aktualisierungen und Updates unserer Produkte informieren und nur die jeweils aktuellen Versionen bei sich einsetzen Informationen dazu finden Sie unter http support automation siemens com Hier k nnen Sie sich f r einen produktspezifischen Newsletter registrieren F r den sicheren Betrieb einer Anlage Maschine ist es dar ber hinaus jedoch notwendig die Automatisierungskomponenten in ein ganzheitliches IT Security Konzept der gesamten Anlage Maschine zu integrieren das dem aktuellen Stand der IT Technik entspricht Hinweise hierzu finden Sie unter http www siemens com industrialsecuri
244. wendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 165 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 3 VPN Gruppen Tabelle 6 1 Security Module und VPN Betriebsarten Modul Kann aufgenommen werden in VPN Gruppe im Bridge Modus Routing Modus Mischbetrieb SCALANCE S 612 613 im Bridge x Modus SCALANCE S 612 613 im Routing x Modus SCALANCE S 623 im Bridge x D x Modus SCALANCE S 623 im Routing x D D Modus CP x43 Adv x x x CP 1628 x x x SOFTNET Security Client 2005 x SOFTNET Security Client 2008 x D SOFTNET Security Client V3 0 x x SOFTNET Security Client V4 0 x x x SCALANCE M D 6 3 2 Gruppen anlegen und Module zuordnen Voraussetzung ACHTUNG Aktuelles Datum und aktuelle Uhrzeit auf den Security Modulen Achten Sie bei der Verwendung von gesicherter Kommunikation z B HTTPS VPN darauf dass die betroffenen Security Module ber die aktuelle Uhrzeit und das aktuelle Datum verf gen Die verwendeten Zertifikate werden sonst als nicht g ltig ausgewertet und die gesicherte Kommunikation funktioniert nicht So erreichen Sie diese Funktion 1 Legen Sie ber den Men befehl Einf gen gt Gruppe eine Gruppe an Grundlagen und Anwendung 166 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 3 VPN Gruppen 2 Ordnen Sie der Gruppe die Security M
245. werden alle Security Module der Standalone Variante unterst tzt Sobald Sie in STEP 7 f r ein Security Modul die Security Funktion aktivieren wird automatisch ein SCT Projekt angelegt in welchem die Daten der Security Konfiguration abgelegt und verwaltet werden S mtliche Daten zur Security Konfiguration werden intern von SCT bearbeitet und das Ergebnis an STEP 7 zur ckgeliefert Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 43 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Zusammenspiel von STEP 7 und SCT Das Zusammenspiel von STEP 7 und SCT wird anhand der folgenden Darstellung erl utert STEP 7 dassic STEP 7 Projekt SCT Projekt Nehmen Sie ber STEP 7 Security Einstellungen vor wird SCT aufgerufen da dort die Daten f r Security gepflegt und verwaltet werden Sind in NetPro spezifizierte Verbindungen projektiert werden f r diese nach dem Speichern und bersetzen automatisch Firewall Regeln in SCT angelegt In SCT nehmen Sie weitere Security Einstellungen vor SCT bearbeitet die Daten intern und gibt das Ergebnis an STEP 7 zur ck Aktionen wie Speichern Unter und bersetzen finden innerhalb von STEP 7 statt Die Security Daten werden als SCT Projekt unter einem automatisch vergebenen Namen in einem Unterordner des STEP 7 Projektes gespeichert Name und Speicherort d rfen nicht ver ndert werden F r
246. wird Stellen Sie sicher dass mit dieser Adresse keine IP Adresskonflikt besteht Interne IP Adresse e IP Adresse im internen Subnetz Die Quell IP Adresse des angegebenen internen Teilnehmers wird durch die angegebene externe Adresse ersetzt Die IP Adressumsetzung erfolgt also von intern nach extern e Subnetz bzw IP Adressbereich Die Quell IP Adressen aus dem angegebenen Subnetz oder IP Adressbereich werden durch die externe IP Adresse ersetzt Der Quellport wird ersetzt Der Bereich wird durch einen Bindestrich getrennt eingegeben 138 Zus tzlich kann die folgende Funktion aktiviert werden Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Weitere Moduleigenschaften projektieren 5 1 Security Modul als Router e Freigabe f r alle internen Teilnehmer zulassen Indem Sie diese Option w hlen erfolgt f r alle von intern nach extern gehenden Telegramme eine Umsetzung der internen IP Adresse auf die externe Modul IP Adresse und einer zus tzlich vom Modul vergebenen Port Nummer Die Verwendung der IP Adresse der externen Schnittstelle in der Spalte externe IP Adresse ist dann nicht mehr zul ssig Dieses Verhalten wird an der in der NAT Tabelle unten zus tzlich eingeblendeten Zeile sichtbar Dort wird mit einem Symbol in der Spalte interne IP Adresse angezeigt dass alle von intern nach extern gerichteten Telegramme umgesetzt werden
247. xternen Netz aus kann keine Kommunikationsverbindung zu Knoten im internen Netz initiiert werden Erlaube Zugriff auf DHCP Server vom internen ins externe Netz UDP Port 67 UDP Port 68 Interne Knoten k nnen eine Kommunikationsverbindung zu einem DHCP Server im externen Netz initiieren Nur die Antworttelegramme des DHCP Servers werden ins interne Netz weitergeleitet Vom externen Netz aus kann keine Kommunikationsverbindung zu Knoten im internen Netz initiiert werden Erlaube Zugriff auf NTP Server vom internen ins externe Netz UDP Port 123 Interne Knoten k nnen eine Kommunikationsverbindung zu einem NTP Server Network Time Protocol im externen Netz initiieren Nur die Antworttelegramme des NTP Servers werden ins interne Netz weitergeleitet Vom externen Netz aus kann keine Kommunikationsverbindung zu Knoten im internen Netz initiiert werden 104 Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 2 SCALANCE S im Standard Modus Regel Option Erlaube SiClock Uhrzeittelegramme vom externen ins interne Netz Freigegebene Ports Funktion Mit dieser Option werden SiClock Uhrzeittelegramme vom externen ins interne Netz freigegeben Erlaube Zugriff auf DNS Server vom internen ins externe Netz TCP Port 53 UDP Port 53 Interne Knoten k nnen eine Kommunikationsverbindung zu einem DNS Server im externen Netz initii
248. xternes Security Modul Q Firewall Bild 4 3 Standard Einstellung f r IP Paketfilter CP 1628 Alle Telegramme von NDIS und IE Industrial Ethernet Schnittstelle nach extern sind zugelassen Alle Telegramme von extern sind geblockt G Alle Telegramme von extern an das Security Modul und umgekehrt vom folgenden Typ sind zugelassen e ESP Protokoll Verschl sselung e IKE Protokoll zum Aufbau der IPsec Tunnel IP Kommunikation ber IPsec Tunnel ist zugelassen Telegramme vom Typ Syslog sind vom Security Modul nach extern zugelassen Grundlagen und Anwendung 96 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Firewall projektieren 4 1 CPs im Standard Modus CP 1628 mit NDIS und IE Schnittstelle externe Knoten externes Security Modul Firewall Bild 4 4 Standard Einstellung f r MAC Paketfilter CP 1628 Alle Telegramme von extern sind geblockt Alle Telegramme von extern vom folgenden Typ sind zugelassen e ARP mit Bandbreitenbegrenzung e PROFINET DCP mit Bandbreitenbegrenzung Telegramme vom Security Modul nach extern vom folgenden Typ sind zugelassen e PROFINET DCP mit Bandbreitenbegrenzung MAC Protokolle die durch IPsec Tunnel gesendet werden sind zugelassen Hinweis Keine Kommunikation am VPN Tunnel vorbei Zus tzlich wird f r alle im Projekt bekannten VPN Partnern verhindert dass eine Kommunikation zwischen den VPN Endpunkten am Tunnel vorbei m glich ist
249. y Configuration Tool 2 5 Konfigurationsdaten f r SCALANCE M T Konfiguration 1 Module Editor anme Datei Bearbeiten Format Ansicht MD741 1 A Informationen f r die Konfiguration des MD741 1 Module2 verbindung zwischen Module2 und Modulel IPSec VPN gt Zertifikate Gegenstellen Zertifikat hochladen Konfiguration 1 Modulel cer PKCS12 Datei p12 hochladen Konfiguration 1 MC1E2 G7244 Module2 p12 m IPSec VPN gt Verbindungen Einstellungen bearbeiten Authentisierungsverfahren x 509 Gegenstellenzertifikat Gegenstellen Zertifikat Konfiguration 1 Modulel cer Remote ID MF181 G7244 IPSec VPN gt Verbindungen gt IKE Bearbeiten Adresse des lokalen Netzes 192 168 9 0 Netzmaske des lokalen Netzes 255 255 255 0 Adresse des gegen berliegenden Netzes 192 168 8 0 Netzmaske des gegen berliegenden Netzes 255 255 255 0 Adresse des VPN Gateways der Gegenstelle 192 168 10 1 Phase 1 ISAKMP SA ISAKMP SA Verschl sselung 3DES 168 ISAKMP SA Hash SHAl ISAKMP SA Modus Main Mode ISAKMP SA Lebensdauer 86400 Phase 2 IPSec SA Ipsec SA Verschl sselung 3DES 168 IPpSsec SA Hash SHAL IPpSsec SA Lebensdauer 86400 DH PFS Gruppe DH 2 1024 NAT T An DPD verz gerung Sekunden 150 DPD Timeout Sekunden 60 DPD Maximale Fehlversuche 5 Bild 2 1 Export Datei f r SCALANCE M Hinweis Konfigurationsdateien werden nicht an das Modul bertragen Es wird eine ASCIl Datei generiert mit
250. y Configuration Tool konfiguriert das in STEP 7 integriert ist Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 31 Einf hrung und Grundlagen 1 9 Einsatz von CP 1628 Service Computer mit SOFTNET Security Client E Fertigungsleitrechner VG VPN ber IPsec Tunnel mit CP 1628 externes Netz g S7 400 mit S7 300 mit Industrial E CP 443 1 Advanced CP 343 1 Advanced NE e Firewall T EE Se GH e Router ES SES 8 e NATINAPT TZ N Router 1E PB S n l pa e Ke ET 200S UI EN e ST 300 sam OP 270 L ET 200X j l intern Bedienen amp Beobachten intern Automatisierungszelle J l intern Automatisierungszelle J De re a KE Tre N Bild 1 5 Netzkonfiguration mit CP 1628 Grundlagen und Anwendung 32 Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Einf hrung und Grundlagen 1 9 Einsatz von CP 1628 Sicherheitsfunktionen Firewall IP Firewall mit Stateful Packet Inspection Layer 3 und 4 Firewall auch f r Ethernet Non IP Telegramme gem IEEE 802 3 Layer 2 Bandbreitenbegrenzung Globale Firewall Regeln Gesicherte Kommunikation durch IPsec Tunnel Der CP 1628 kann mit anderen Security Modulen per Projektierung zu Gruppen zusammengefasst werden Zwischen allen Security Modulen einer Gruppe werden IPsec Tunnel aufgebaut VPN V
251. ze Vereinbarungen Seite 109 4 3 3 1 Benutzerspezifische Firewall Regeln einstellen und zuweisen So erreichen Sie diese Funktion 1 2 3 W hlen Sie im Navigationsbereich den Ordner Benutzerspez IP Regels tze W hlen Sie den Men befehl Einf gen gt Firewall Regelsatz Geben Sie die folgenden Daten ein Name Projektweit eindeutige Bezeichnung des Regelsatzes der Name erscheint nach der Zuweisung des Regelsatzes in der lokalen Regelliste des Security Moduls Beschreibung Geben Sie eine Beschreibung f r den benutzerdefinierten Regelsatz ein Klicken Sie auf die Schaltfl che Regel hinzuf gen Tragen Sie der Reihe nach die Firewall Regeln in die Liste ein Beachten Sie die Parameterbeschreibung im Kapitel IP Paketfilter Regeln Seite 116 Weisen Sie die Regel einem oder mehreren Benutzern zu Hinweis Zuordnung von benutzerspezifischen Regels tzen e Einer Baugruppe kann nur ein benutzerspezifischer Regelsatz pro Benutzer zugewiesen werden e Durch die Zuordnung wird f r alle Rollen der im Regelsatz festgelegten Benutzer das Recht Benutzer darf sich an Baugruppe anmelden aktiviert Ordnen Sie die benutzerspezifische Firewall Regel den Security Modulen zu in denen sie verwendet werden soll W hlen Sie dazu im Navigationsbereich ein Modul und ziehen Sie dieses auf den passenden benutzerspezifischen Regelsatz im Navigationsbereich Drag and Drop Grundlagen und Anwendung Proj
252. zerverwaltung aus einzelnen Registern aufgerufen Benutzerdefinierte Rolle erstellen und zuweisen 62 1 2 Geben Sie einen Rollennamen ein W hlen Sie aus der Rechtevorlage eine systemdefinierte Rolle aus Benutzerdefinierte Rollen werden in der Auswahl nicht angezeigt Ergebnis Entsprechend der ausgew hlten Rolle werden f r jedes im Projekt verwendeten Security Modul in der Rechteliste die dazugeh renden Rechte angezeigt Die Rechte der nicht im Projekt verwendeten Security Module sind ausgegraut Aktivieren bzw deaktivieren Sie f r jedes Security Modul die Rechte die der benutzerdefinierten Rolle zugewiesen werden sollen Klicken Sie auf die Schaltfl che bernehmen um die Auswahl zu speichern bzw OK um zu speichern und das Fenster zu schlie en Weisen Sie die Rolle einem Benutzer zu Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 Projektierung mit Security Configuration Tool Rollenrecht einer Baugruppe kopieren 2 6 Benutzer verwalten W hlen Sie im Kontextmen eines Security Moduls aus der Objektliste den Befehl Rechte kopieren und weisen Sie diese ber den Befehl Rechte einf gen einer anderen Baugruppe zu Projektierungsrechte Je nach Benutzertyp stehen Ihnen pro Security Projekt die folgenden Projektierungsrechte zur Auswahl Tabelle 2 5 Projektierungsrechte f r alle Security Module Projektierungsrecht administrator standard diagnostic
253. ztes Netz F r Security Module die das interne Netz sch tzen stellen IPsec Tunnel eine gesicherte Datenverbindung durch das unsichere externe Netz zur Verf gung Durch den Datenaustausch ber IPsec werden f r die Kommunikation die folgenden Sicherheitsaspekte realisiert e Vertraulichkeit Stellt sicher dass die Daten verschl sselt bertragen werden e Integrit t Stellt sicher dass die Daten nicht ver ndert worden sind e Authentizit t Stellt sicher dass die VPN Endpunkte auch vertrauensw rdig sind Das Security Modul verwendet f r die Tunnelung das IPsec Protokoll Tunnelmodus von IPsec Grundlagen und Anwendung Projektierungshandbuch 03 2012 C79000 G8900 C286 01 161 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 1 VPN mit Security Modulen Service Computer mit b WER sortmer A Security Client A VPN ber IPsec Tunnel e Fertigungsleitrechner TA mit CP 1628 externes Netz S7 400 mit 0 S7 300 mit dvanced CP 343 1 Advanced Industrial SCALANCE S e Firewall e Router e NAT NAPT Router SI eil l ST 300 s730 TSN intern Bedienen amp Beobachten a a a a a aO Tunnelverbindungen bestehen zwischen Modulen der gleichen Gruppe VPN Die Eigenschaften eines VPN werden bei den Security Modulen innerhalb einer Modul Gruppe f r alle IPsec Tunnel zusammengefasst IPsec Tunnel werde
Download Pdf Manuals
Related Search