Security-Grundlagen und -Anwendung - Services
Contents
1. Men befehl Bedeutung Bemerkungen Tastenkombination Optionen gt IP Dienste Dialog f r Dienst Definitionen f r IP Firewall Regeln ffnen Der Men befehl ist nur im Erweiterten Modus sicht bar MAC Dienste Dialog f r Dienst Definitionen f r MAC Firewall Regeln ffnen Der Men befehl ist nur im Erweiterten Modus sicht bar Netzwerkadapter ber den ausgew hlten Netzwerkadapter wird dem SCALANCE S eine IP Adresse zugewiesen Sprache Sprache ausw hlen in der die SCT Oberfl che an gezeigt wird F r SCT in STEP 7 wird die Sprache der SCT Oberfl che ber die Sprachauswahl in STEP 7 fest gelegt Log Dateien Anzeige von gespeicherten Log Dateien Symbolische Namen Symbolische Namen f r IP oder MAC Adressen vergeben Konfiguration der NTP NTP Server erstellen und bearbeiten Server Konfiguration der RADIUS Server erstellen und bearbeiten RADIUS Server Konsistenzpr fungen Konsistenz des gesamten Projektes pr fen Als Er gebnis wird eine Resultatsliste ausgegeben Benutzerverwaltung Benutzer und Rollen anlegen und bearbeiten Rechte zuweisen und Passwort Richtlinien definieren Zertifikatsmanager Zertifikate anzeigen oder importieren exportieren Hilfe gt Hilfethemen Hilfe zu den Funktionen und Parametern die Sie im F1 SCT vorfinden Info Informationen zum Versions und Ausgabestand des SCT Security Grundlagen und Anwendung 52. 0ss444424444nnannnnnnnnnnnnnnnnenennnnennnnennn 45 2 2 1 Unterst tzte Betriebssysteme ussss4nnesssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn msn nn 45 2 3 Bedienoberfl che und Men befehle uu 0000000222unennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 47 2 4 Projekte anlegen und verwalten 22444444444400nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 53 2 4 1 Security Configuration Tool Standalone Variante 44444404nnnnnnnnnnnnenennnnnnnen 53 2 4 2 Security Configuration Tool in STEP 7 ussersnseseessnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 53 2 4 3 STEP 7 D tenmigrieren 2 2 2422 2u2 2 282 alla Rahel 57 2 4 4 bersicht Ta ee ee ee EN RE een er 59 2 4 5 Standard Initialisierungswerte f r ein Projekt festlegen u44esnnnnnennnnnnnnennnnennnn 63 2 4 6 K nsistenzpr fungen 22 02 32 222 222 mai REo an EINER a E a aaae a 63 2 4 7 Symbolische Namen f r IP MAC Adressen vergeben uursnnessnsnnenennnnnnnnnnnnnnn nn 64 2 5 Benutzer verwalten EE EEEE E EEE E E S EE EAE 67 2 5 1 bersicht zur Benutzerverwaltung ueeseesesenenenesennenenennnnnnennnnnnnnennnnnnnnnnnnnnenenenennnnnnnne 67 2 5 2 Benutzer anlegen iin ci Hi el 69 2 5 3 Rellen anlegen Sana a ar A AA R A oge er ere 70 2 5 4 Rechte verwalten she ee en el Bee E ER 72 2 5 5 Passwort Richtlini
3. 44444444n4nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn en 149 4 3 6 IP P ketfilter Regeln 2 222 225 een sn an 151 4 3 7 IP Dienste d amp finieren u m23 2 2 essen ruhe kin enunn 158 4 3 8 ICMP Dienste definieren u s444424444400nennnnnnnnnnnnnnennnnnnnnnnnnnnennnnnnnnnnnnennnnnnen 159 4 3 9 MAC Paketfilter Regeln einstellen 244444444400nnennnnnnennnnennnnnnnennennnnennnnnnnennnnn 160 4 3 10 MAC Paketfilter Regeln 24044244400Rnsnnnnnnennnnennnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnennnn nn nn 161 4 3 11 MAC Dienste definieren 4 444000404444444404Hanonnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnennnnnannnnnnnn 164 Security Grundlagen und Anwendung 10 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Inhaltsverzeichnis 4 3 12 Dienstgruppen einrichten u444424444400Hnnnnnnnnnnnnnnnennnnnnnnnnnnnnannnnnnnnnnnnnnannnnnnn nn 166 4 3 13 Standardregeln f r IP Dienste anpassen usssnsunnesnnnnnnennnnnnnnnnnnnnnnnn mann nnnn nn 167 5 Weitere Baugruppeneigenschaften projektieren 00000000000000000000000000000RRRRRnRnnnnRRRRRnnnRnnnnnnnR nn 171 5 1 Security Baugruppe als Router 220424440nnnssnnnnnennnnnnnnnnnnennnnnnnnnnnnnnnennnnnnnnnnnnnnnnn nn 171 5 1 1 UDESA e RN A e a a T a RR ER HRN PTREENFHR OWNER A a 171 5 1 2 Standard Router und Routen festlegen s
4. esssssssssesnssenenssnrruennnnnrennnnrennnnnennnnnnnnnnrnnnne 201 6 1 VPN mit Security und SCALANCE M Baugruppen uusessnnnennssnnnnnnsnnnnnnnnnnnnnnnnnnnn nenne 201 6 2 Authentifizierungsverfahren 442444444440H04nHnnnnnnnnnennnnnnnnnnnnnanennnnennnnnnnnannnnnnennnnne nn 203 6 3 VPN Gr Uppenz 242 each Beth fein Shdarl 205 6 3 1 Regeln f r die Bildung von VPN Gruppen uusersnsesnnnnnnnennnnnnennnnnnnnnnnnnnennnnnnnnnn nn 205 6 3 2 Unterst tzte Tunnelkommunikationsbeziehungen uunuessssnnnennnnnnnennnnnnnnnnnnnnnnnn nn 206 6 3 3 VPN Gruppen anlegen und Baugruppen Zuordnen 444440ssrssseennnnnnnennnnnnnennen nenne 208 6 4 Tunnelkonfiguration im Standard Modus 4ss444424444400Hnennnnnnnnnnnnennnnnnnennenenen nn 209 6 5 Tunnelkonfiguration im Erweiterten Modus 4442444444424nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn ann 210 6 5 1 VPN Gruppeneigenschaften projektieren s44442444440sHnnnnnnnnnnnnnnnennnnnnnennenenen nn 210 6 5 2 Baugruppe in konfigurierte VPN Gruppe aufnehmen 444444404Hnsnnnnennnnnnnnennnnnnn nn 213 6 5 3 Baugruppenspezifische VPN Eigenschaften projektieren r42244444nn nennen 215 6 5 4 Verbindungsgranulare VPN Eigenschaften projektieren 244444444ne nn nnnnnnnnnnnnnnn en 219 6 6 Konfigurationsdaten f r SCALANCE M Baugruppen unussssssnne
5. Hinweis Externe Schnittstelle und DMZ Schnittstelle nur SCALANCE S623 S627 2M als Internetzugang Der gleichzeitige Betrieb von PPPoE an der externen Schnittstelle und an der DMZ Schnittstelle Dual ISP ist nicht m glich Bedeutung der Tunnel IP Adresse 55827 Wenn Sie die Funktion NAT NAPT im VPN Tunnel benutzen m ssen Sie eine Tunnel IP Adresse f r die Security Baugruppe vergeben Damit wird die Erreichbarkeit der Security Baugruppe ber den VPN Tunnel sichergestellt und eine Konfigurations und Diagnosem glichkeit gew hrleistet Die projektierte Tunnel IP Adresse kann mit Hilfe entsprechender NAT NAPT Regeln um Alias Tunnel IP Adressen erg nzt werden Die Subnetzmaske ist mit 32 Bit fest f r die Tunnel IP Adresse vorgegeben und kann nicht ver ndert werden Die Tunnel IP Adresse kann nur projektiert werden wenn folgende Voraussetzungen erf llt sind e Die Security Baugruppe befindet sich in einer VPN Gruppe e Das Projekt befindet sich im Erweiterten Modus Weitere Informationen zur Adressumsetzung mit NAT NAPT in VPN Tunneln finden Sie in folgendem Kapitel Adressumsetzung mit NAT NAPT in VPN Tunneln Seite 182 Point to Point Protocol over Ethernet PPPoE Um einen Internet WAN Anschluss direkt ber ein DSL Modem zu erm glichen erfolgt die Zuweisung der IP Adresse an der externen Schnittstelle bzw an der DMZ Schnittstelle ber PPPoE Bei PPPoE handelt es sich um ein Einwahlprotokoll zum Bezug von IP A
6. IP Adresse WAN IP Adresse eines Internet Gateways z B DSL Router VPN Knoten konfigurieren SA Im Dialogbereich VPN Knoten geben Sie Subnetze oder Teilnehmer f r die VPN Tunnelkommunikation frei Welche Teilnehmer bzw Subnetze freigegeben werden m ssen und wie diese f r die VPN Tunnelkommunikation freigegeben werden erfahren Sie in folgenden Kapiteln Weitere Teilnehmer und Subnetze f r den VPN Tunnel konfigurieren Seite 228 Interne Netzknoten konfigurieren Seite 227 Security Grundlagen und Anwendung 218 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus 6 5 4 Verbindungsgranulare VPN Eigenschaften projektieren Bedeutung W hrend baugruppenspezifische VPN Eigenschaften speziell f r eine Baugruppe projektiert werden beziehen sich verbindungsgranulare VPN Eigenschaften speziell auf die VPN Verbindungen einer Baugruppe Wenn eine Baugruppe mehrere Tunnelverbindungen zu anderen Baugruppen aufbaut kann mit Hilfe von verbindungsgranularen VPN Eigenschaften beispielsweise konfiguriert werden welche Verbindungen die Baugruppe initiiert und welche nicht Voraussetzungen e Die Baugruppe ist Teilnehmer einer VPN Gruppe So erreichen Sie diese Funktion 1 Selektieren Sie im Navigationsbereich die VPN Gruppe zu welcher die zu bearbeitende Baugruppe geh rt 2 Selektieren Sie im Inhaltsbereich die Baugruppe
7. Men befehl Aktiviere Verbindung zu den internen Knoten Deaktiviere Verbindung zu den internen Knoten Bedeutung Eingerichtete sichere Verbindungen schalten Sie ber den Eintrag Deaktiviere Verbindung zu den internen Knoten aus Ergebnis Auf dem PC wird die Security Policy deakti viert Um die nderung r ckg ngig zu machen und die Tun nel wieder zu aktivieren klicken Sie auf den Eintrag Aktiviere Verbindung zu den internen Knoten W hle Netzwerkverbindung F r jede Security Baugruppe k nnen Sie ber den Men be fehl W hle Netzwerkverbindung des Kontextmen s einen Netzwerkadapter ausw hlen ber welchen der Tun nel eingerichtet werden soll Teste Tunnel Testen der Tunnelverbindung Erweiterte Diagnose Ruft den Dialog Erweiterte Moduldiagnose auf IP Adresse DNS Name ndern nur f r SCALANCE M ndern der IP Adresse bzw des DNS Namens des selek tierten Eintrags L sche Eintrag Die IP Sicherheitsrichtlinie des selektierten Eintrags wird gel scht Hinweis Erweiterung der Policy bei Aktivierung interner Teilnehmer Bitte beachten Sie dass beim einzelnen Aktivieren der internen Teilnehmer die Policy im System jeweils erweitert wird Ein Deaktivieren des Gesamtsystems ber das Kontextmen des bergeordneten SCALANCE S f hrt jedoch nicht zur Anpassung der Policy sondern nur zu deren Deaktivierung Somit wird bei der Aktivierung eines internen Teiln
8. Bedeutung Kommentar Wenn dieses Kontrollk stchen f r eine IP Regel mit der Aktion Allow deaktiviert ist werden durch Pakete auf die die Allow Regel zutrifft keine Firewall States erzeugt Durch Fire wall States werden die Antworten auf zugelassene Pakete automatisch zugelassen Kann nur angepasst werden wenn bei Aktion Allow ausgew hlt ist Die Projektierung von IP Regeln ohne Firewall States ist nur f r SCALANCE S Module ab Firmware V3 m glich Sollen die Antworten auf Pakete die die Firewall gem solcher IP Regeln passiert haben ebenfalls zugelassen werden so m ssen f r diese Antwor ten zus tzliche IP Regeln projektiert werden Auswahlm glichkeiten Wertebereiche Kommentar Platz f r eigene Erl uterung der Re gel Ist ein Kommentar mit AUTO gekennzeichnet wurde er automatisch f r eine Verbindungsregel angelegt Tabelle 4 11 Richtungen CP Auswahlm glichkeiten Security Baugruppe Bedeutung Wertebereiche Von Nach CP x43 1 CP 1628 Adv Intern Station x Zugriff vom internen Netz auf die Station Any x Zugriff vom internen auf das externe Netz VPN Tunnelpartner und die Station Extern Station x x Zugriff vom externen Netz auf die Station Any x Zugriff vom externen auf das interne Netz und die Station Station Intern x Zugriff von der Station auf das interne Netz Extern x x Zugriff von der Station auf das externe Netz
9. Globale und benutzerspezifische Regels tze nutzen Globale Firewall Regels tze und benutzerspezifische IP Regels tze die Sie der Security Baugruppe zugewiesen haben werden automatisch in die lokale Regelliste aufgenommen Erscheint der zugewiesene Regelsatz am Ende der Regelliste dann wird er mit der geringsten Priorit t bearbeitet Sie k nnen die Priorit t ndern indem Sie die Position in der Regelliste ver ndern Die Online Hilfe erl utert Ihnen die Bedeutung der einzelnen Schaltfl chen Security Grundlagen und Anwendung 150 Projektierungshandbuch 12 2014 C79000 68900 C286 04 4 3 6 IP Paketfilter Regeln Die Bearbeitung von IP Paketfilter Regeln erfolgt anhand folgender Auswertungen Parameter Firewall projektieren 4 3 Firewall im Erweiterten Modus e In der Regel eingetragene Parameter e Reihenfolge und der damit verbundenen Priorit t der Regeln Die Projektierung einer IP Regel beinhaltet folgende Parameter Bezeichnung Aktion Von Nach Bedeutung Kommentar Zulassungsfestlegung Freiga be Sperre Die zugelassenen Kommunikations richtungen Auswahlm glichkeiten Wertebereiche e Allow Telegramme gem Definition zulassen e Drop Telegramme gem Definition sperren F r automatisch angelegte Verbindungsregeln e Allow e Drop W hlen Sie diese Regeln findet kein Abgleich mit STEP 7 statt Ge nderte Regeln werden in SCT also nicht ber schrieben Wird in den
10. Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 221 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 6 Konfigurationsdaten f r SCALANCE M Baugruppen Konfigurationsdateien generieren 222 1 2 3 Selektieren Sie die zu bearbeitende Baugruppe W hlen Sie den Men befehl bertragen gt An Baugruppe n Geben Sie im folgenden Speicherdialog den Pfad und Dateinamen der Konfigurationsdatei an und klicken Sie auf die Schaltfl che Speichern Geben Sie im folgenden Dialog an ob f r das VPN Gruppen Zertifikat der Baugruppe ein eigenes Passwort erstellt werden soll Wenn Sie Nein w hlen wird als Passwort der Projektname vergeben z B SCALANCE_M_Konfiguration1 nicht das Projektpasswort Wenn Sie Ja w hlen empfohlen m ssen Sie im darauf folgenden Dialog ein Passwort vergeben Ergebnis Die Dateien und Zertifikate werden in dem von Ihnen angegebenen Verzeichnis abgespeichert Hinweis Weitere Informationen zur Konfiguration finden Sie in den Betriebsanleitungen der entsprechenden SCALANCE M Baugruppen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 6 7 Bedeutung Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 7 Konfigurationsdaten f r VPN Ger te Konfigurationsdaten f r VPN Ger te Sie k nnen die VPN Informationen zur Parametrierung eines VPN Ger ts mit dem Security Configuration To
11. werden e Intern nach Tunnel e Extern nach Tunnel e DMZ nach Tunnel nur bei aktivierter DMZ Schnittstelle F r die Richtung Intern nach Extern gilt beispielsweise Die Quell IP Adresse eines vom internen Netz kommenden Telegramms wird auf bereinstimmung mit der IP Adresse gepr ft die im Eingabefeld Quell IP Adresse angegeben ist Bei bereinstimmung wird das Telegramm mit der im Eingabefeld Quell Umsetzung angegebenen externen IP Adresse als neue Quell IP Adresse in das externe Netz weitergeleitet Am externen Netz wirkt die externe IP Adresse Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 177 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Die folgende Tabelle zeigt das Eingabeschema f r die Aktion Source NAT Feld Quell IP Adresse M gliche Eingaben IP Adresse im Quell Netz Bedeutung Die Quell IP Adresse des angegebenen Teilnehmers wird durch die im Eingabefeld Quell Umsetzung an gegebene IP Adresse ersetzt IP Adressbereich IP Adressband im Quell Netz Die IP Adressen des IP Adressbereichs des IP Adressbands werden durch die im Eingabefeld Quell Umsetzung angegebene IP Adresse ersetzt Quell Umsetzung IP Adresse im Ziel Netz Eingabe der IP Adresse die als neue Quell IP Adresse verwendet werden soll Handelt es bei der hier eingegebenen IP Adresse nicht um die IP Adresse der Security Baugrupp
12. 1 ffnen Sie im Hauptdialog des SOFTNET Security Clients den Men punkt Optionen gt Einstellungen 2 Nehmen Sie globale Einstellungen vor die nach dem Beenden und ffnen des SOFTNET Security Client erhalten bleiben Die Funktionen entnehmen Sie aus der folgenden Tabelle Funktion Logfile Gr e Beschreibung Optionen Gr e der Datei welche die Meldungen enth lt die in der Log Konsole der Tunnel bersicht aus gegeben werden Da die Log Daten ber Um laufpuffer in der Datei gespeichert werden w hlen Sie ber die Gr e der Datei aus wie lange die Log Daten in der Datei gespeichert bleiben Anzahl anzuzeigender Meldungen in Log Konsole der Tunnel bersicht Anzahl der Meldungen welche aus dem Logfile extrahiert und in der Log Konsole der Tunnel bersicht angezeigt werden Folgende Log Meldungen in Log Konsole der Tunnel bersicht ausgeben e Anzeige des negativen Erreichbarkeitstest Ping e Anlegen L schen von Security Associations Quick Modes e Anlegen L schen von Main Modes e Laden von Konfigurationsdateien e Lernen interner Teilnehmer Auswahl welche Arten von Meldungen in der Log Konsole der Tunnel bersicht angezeigt wer den Logfile Gr e Debug Logfiles Logfile Gr e der Quelldateien f r Debug Meldungen des SOFTNET Security Client k n nen vom Customer Support angefordert werden um Analysen zu erleichtern Erreichbarkeitstest Wartezeit
13. Allow Tunnel Station Gruppe ist Alle IP Pakete die ber den Tunnel weitergeleitet wurden werden geloggt Aufzeichnen blockierter eingehender Pakete Alle eintreffenden IP Pakete die Drop Extern Station verworfen wurden werden geloggt MAC Log Einstellungen Aktion Von Nach Aufzeichnen blockierter eingehender Pakete Alle eintreffenden MAC Pakete die Drop Extern Station zur Station verworfen wurden werden geloggt Aufzeichnen blockierter ausgehender Pakete Alle ausgehenden MAC Pakete Drop Station Extern von Station die verworfen wurden werden geloggt Hinweis Datenverkehr ber projektierte Verbindungen wird nicht geloggt 4 1 1 3 Zugriffsliste projektieren IP Zugriffsliste ACL Eintr ge ndern Die Liste erscheint wenn in STEP 7 im Register IP Zugriffsschutz das Optionsk stchen IP Zugriffsschutz f r IP Kommunikation aktivieren aktiviert ist ber die IP Zugriffslisten stellen Sie den Zugriffsschutz f r bestimmte IP Adressen ein Bereits in STEP 7 angelegte Listeneintr ge mit den entsprechenden Rechten werden in SCT angezeigt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 121 Firewall projektieren 4 1 CPs im Standard Modus Das in STEP 7 ausw hlbare Recht ndern der Accessliste M wird nicht nach SCT bertragen Damit die zus tzliche IP Zugriffsberechtigungen bermitteln werden kann m ssen Sie dem entsprechenden Be
14. Hilfe Info Security Grundlagen und Anwendung 244 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 SOFTNET Security Client 8 4 SOFTNET Security Client bedienen ber die Schaltfl chen erreichen Sie folgende Funktionen EI SOFTNET Security Client N arms Datei Optionen Hilfe Verbindungsoptionen Konfiguration laden Tunnel bersicht Deaktivieren Hilfe Info ie Schaltfl che Bedeutung Konfiguration laden Dialog zur Auswahl einer Konfigurationsdatei f r den Import W hlen Sie eine Datei aus und klicken Sie auf die Schaltfl che ffnen Ergebnis Die Konfiguration wird eingelesen Im Dialog wird abgefragt ob die Tunnel f r alle Security Baugruppen sofort eingerichtet werden sollen F r die in der Konfiguration eingetragenen IP Adressen der Security Baugruppen werden die Tunnel zu diesen IP Adressen sofort eingerichtet Diese Vorge hensweise ist besonders bei gr eren Konfigurationen schnell und effizient Optional k nnen Sie im Dialog Tunnel bersicht alle Tunnel manuell ber das Kontextme n einrichten Anmerkung Sie k nnen nacheinander die Konfigurationsdateien aus mehreren mit SCT erstellten Projekten importieren siehe auch nachfolgende Erl uterung zur Vorgehenswei se Tunnel bersicht Dialog zum Einrichten und Bearbeiten sowie zum Diagnostizieren der Tunnel Status ber diesen Dialog nehmen Sie die eigentliche Konfiguration des SOFTNET Security Client vo
15. Keying Protocol IKEv1 Remote End choose the Remote End you created Local subnet 192 168 9 0 24 Go to Security gt IPSecVPN gt Authentication Set for your connection the following values Authentication Remote Cert Local Certificate Konfiguration 1 U47422A8D GBOF9 Baugruppel_Cert pem Local ID 147422A8D GBOF9 Remote Certificate Konfiguration 1 Gruppel Baugruppe2 cer Remote ID U6B2BC2B5 GBOF9 Zeile 1 Spalte 1 e VPN Gruppen Zertifikate der Baugruppe Dateityp des privaten Schl ssels p12 Datei Die Datei enth lt das VPN Gruppen Zertifikat der Baugruppe und das zugeh rige Schl sselmaterial Der Zugriff ist passwortgesch tzt e CA Zertifikate von VPN Gruppen Dateityp cer Datei Hinweis Konfigurationsdateien werden nicht an die Baugruppe bertragen Es wird eine ASCII Datei generiert mit der Sie die VPN relevanten Eigenschaften des SCALANCE M konfigurieren k nnen Dazu muss sich die Baugruppe in mindestens einer VPN Gruppe mit einer Security Baugruppe oder einem SOFTNET Security Client ab V3 0 befinden Hinweis Exportierte Konfigurationsdateien vor unberechtigtem Zugriff sch tzen Aus dem Security Configuration Tool exportierte Konfigurationsdateien f r SCALANCE M k nnen sicherheitsrelevante Informationen enthalten Stellen Sie deshalb sicher dass diese Dateien vor unberechtigtem Zugriff gesch tzt sind Dies ist insbesondere bei der Weitergabe der Dateien zu beachten
16. Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 173 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Adressumsetzung mit NAPT Network Address Port Translation Die Adressumsetzung bei NAPT ver ndert die Ziel IP Adresse und den Ziel Port in einer Kommunikationsbeziehung Portweiterleitung Umgesetzt werden Telegramme die vom externen Netz oder vom DMZ Netz kommen und an die IP Adresse der Security Baugruppe gerichtet sind Ist der Ziel Port des Telegramms identisch mit einem der Werte der in der Spalte Quell Port angegeben ist so ersetzt die Security Baugruppe die Ziel IP Adresse und den Ziel Port wie in der entsprechenden Zeile der NAPT Tabelle angegeben Bei der R ckantwort setzt die Security Baugruppe als Quell IP Adresse und als Quell Port die Werte ein die beim Initialtelegramm als Ziel IP Adresse bzw Ziel Port stehen Der Unterschied zu NAT liegt darin dass bei diesem Protokoll auch Ports umgesetzt werden k nnen Es gibt keine 1 1 Umsetzung der IP Adresse Vielmehr existiert nur noch eine ffentliche IP Adresse die durch den Zusatz von Portnummern an eine Reihe von privaten IP Adressen umgesetzt wird Adressumsetzung in VPN Tunneln Adressumsetzungen mit NAT NAPT k nnen auch f r Kommunikationsbeziehungen durchgef hrt werden welche ber VPN Tunnel aufgebaut werden Dies wird f r die Verbindungspartner vom Typ SCALANCE M nur 1 1 NAT und SCALA
17. 4 NTP Server zuweisen Symbolische Namen werden bei der Definition von NTP Servern unterst tzt FODNs werden bei der Definition von NTP Servern unterst tzt Von bereits in STEP 7 angelegten NTP Servern wird die IP Adresse und das Aktualisierungsintervall nach SCT migriert Bei Auswahl von Zeitsynchronisation mit NTP gesichert akzeptiert die Security Baugruppe nur die Zeit von entsprechend konfigurierten gesicherten NTP Servern gesichert Eine gemischte Konfiguration von ungesicherten und gesicherten NTP Servern gesichert auf einer Security Baugruppe ist nicht m glich Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 193 Weitere Baugruppeneigenschaften projektieren 3 3 Zeitsynchronisierung 5 3 2 Uhrzeitf hrung konfigurieren So erreichen Sie diese Funktion Men befehl SCT 1 Selektieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Zeitsynchronisierung Men befehl STEP 7 wenn die Option Uhrzeitsynchronisation im NTP Verfahren einschalten aktiviert ist Uhrzeitsynchronisation gt Erweiterte NTP Konfiguration aktivieren Schaltfl che Ausf hren Alternativen der Zeitsynchronisierung 194 Projektierbar sind folgende Alternativen Tabelle 5 5 Zeitsynchronisierung f r CP Auswahlm glichkeit Bedeutung Auswirkung Keine Zeitsynchronisation Keine Zeitsynchronisation
18. Bei der Anmeldung eines Benutzers an der Webseite der Security Baugruppe wird die Authentifizierungsanfrage an den RADIUS Server weitergeleitet Der RADIUS Server f hrt eine Passwortpr fung durch und meldet das Ergebnis an die Security Baugruppe zur ck Ist die Passwortpr fung bestanden wird der benutzerspezifische IP Regelsatz aktiviert Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 79 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten e Die Rolle ist auf der Security Baugruppe bekannt die Benutzerverwaltung erfolgt ber den RADIUS Server Auf dem RADIUS Server ist der Benutzer mit zugeh rigem Passwort konfiguriert Dem benutzerspezifischen IP Regelsatz wird eine benutzerdefinierte Rolle oder eine systemdefinierte Rolle zugewiesen Im Register RADIUS der Security Baugruppe wird das Kontrollk stchen RADIUS Authentifizierung nicht projektierter Benutzer erlauben sowie das Kontrollk stchen Filter ID wird f r die Authentifizierung ben tigt aktiviert Ergebnis Bei der Anmeldung eines Benutzers an der Webseite der Security Baugruppe wird die Authentifizierungs und Autorisierungsanfrage an den RADIUS Server weitergeleitet Der RADIUS Server f hrt eine Passwortpr fung durch und meldet das Ergebnis an die Security Baugruppe zur ck Fall a Wenn zus tzlich der Rollenname auf dem RADIUS Server projektiert ist Der RADIUS Server gibt den dem Benutze
19. Erlaube x x x x TCP Port Kommunikationsver DNS 53 bindung zu einem UDP Port DNS Server wird 53 zugelassen Erlaube x x x x TCP Port Zur berwachung SNMP 161 162 von SNMP f higen UDP Port Netzteilnehmern 161 162 Erlaube x x x x TCP Port Zum Austausch von SMTP 25 E Mails zwischen authentifizierten Benutzern ber ei nen SMTP Server Erlaube x x x x UDP Port Zur Synchronisation NTP 123 der Uhrzeit Erlaube x x x x UDP Port Kommunikation mit DHCP 67 UDP einem DHCP Server Port 68 wird zugelassen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 135 Firewall projektieren 4 2 SCALANCE S im Standard Modus Dienst Intern gt Extern gt intern gt DMZ gt Von Von Freigege Bedeutung Extern Intern Intern Extern bene Ports DMZ Intern EZ EZS Erlaube x x Der MAC Verkehr MAC von intern nach ex Ebene tern und umgekehrt Kommuni ist zugelassen kation Erlaube x x Der ISO Verkehr von ISO intern nach extern Kommuni und umgekehrt ist kation zugelassen Erlaube x x SiClock SICLOCK Uhrzeittelegramme von intern nach ex tern und umgekehrt sind zugelassen Erlaube x x DCP Verkehr zur DCP Vergabe von IP Adressen ist von intern nach extern und umgekehrt zu gelassen Tabelle 4 8 Logging f r IP und MAC Regels tze Regelsatz IP Lo
20. IP Adresse ext IP Adresse ber die das Ger t im Im Netzverbund passende Vergabe externen Netz erreichbar ist z B zum Laden der Konfiguration Subnetzmaske ext Subnetzmaske f r die externe IP Im Netzverbund passende Vergabe Adresse IP Adresse int IP Adresse ber die das Ger t im Im Netzverbund passende Vergabe internen Netz erreichbar ist wenn Das Eingabefeld ist nur dann edi es als Router konfiguriert ist tierbar wenn der Routing Modus aktiviert ist Subnetzmaske int Subnetzmaske f r die interne IP Im Netzverbund passende Vergabe Adresse Das Eingabefeld ist nur dann edi tierbar wenn der Routing Modus aktiviert ist Standard Router IP Adresse des Standard Routers Im Netzverbund passende Vergabe MAC Adresse Hardware Adresse der Baugruppe Die MAC Adresse ist auf dem Bau gruppengeh use aufgedruckt Kommentar Information zur Baugruppe und das frei w hlbar durch die Baugruppe gesch tzte Subnetz Adressparameter f r SCALANCE S M ver ndern F r SCALANCE S M Baugruppen k nnen einige Adressparameter im Inhaltsbereich eingegeben und ver ndert werden Bedeutung der Adressparameter f r CPs F r die CPs werden die folgenden Adressen aus STEP 7 angezeigt Feld in SCT CP x43 1 Adv CP 1628 IP Adresse ext IP Adresse Gigabit IP Adresse IE Industrial Ethernet Subnetzmaske ext Subnetzmaske Gigabit Subnetzmaske IE Security Grundlagen und Anwendung 92 Projektier
21. Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 103 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Tabelle 3 5 Einstellungen zur Verbindung Funktion Beschreibung Dauerhafte Verbindung St ndige Internetverbindung Nach einer Trennung durch den Provider wird die Verbindung automatisch wieder hergestellt auch wenn aktuell keine Pakete gesendet werden sollen On Demand Verbindung Die Internetverbindung wird automatisch aufgebaut wenn Pake te ins Internet gesendet werden sollen In dieser Einstellung sind Verz gerungen beim Versenden der Pakete m glich Zwangstrennung nur bei Einstel Der Provider trennt nach einem bestimmten Zeitraum die Inter lung Dauerhafte Verbindung netverbindung automatisch Tragen Sie im Feld Zwangstren nung eine Uhrzeit ein trennt die Security Baugruppe zu diesem Zeitpunkt von sich aus die Internetverbindung Damit kann eine Trennung der Internetverbindung von Seiten des Providers unter Umst nden verschoben werden Eine selbst initiierte Zwangstrennung ist nur bei einer bestehenden dauerhaften Ver bindung m glich Erlaubte Eingaben 00 00 23 59 Maximale Leerlaufzeit nur bei Werden innerhalb einer bestimmten Zeit keine Pakete gesendet Einstellung On Demand wird die Internetverbindung automatisch getrennt Geben Sie im Verbindung Feld Maximale Leerlaufzeit die Zeit in Sekunden ein nach der di
22. Tunnel x x Zugriff von der Station auf VPN Tunnelpartner Tunnel Station x x Zugriff ber VPN Tunnelpartner auf die Station Any x Zugriff von VPN Tunnelpartnern auf das interne Netz und die Station Any Extern x Zugriff vom internen Netz und der Station auf das externe Netz Tabelle 4 12 Richtungen SCALANCE S Auswahlm glichkeiten Wertebereiche Security Baugruppe Von Nach S602 S61x S623 S627 2M Intern Extern x x x Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 153 Firewall projektieren 4 3 Firewall im Erweiterten Modus Auswahlm glichkeiten Wertebereiche Security Baugruppe Tunnel x Any x DMZ Intern x x x x Extern Intern Any Tunnel DMZ Tunnel Intern x Extern x DMZ Any Intern x Extern DMZ DMZ Intern Extern Any x x X 1x X X 1x X X 1x X X 1x X X X X x Tunnel Reihenfolge bei der Regelauswertung durch die Security Baugruppe Die Paketfilter Regeln werden wie folgt ausgewertet e Die Liste wird von oben nach unten ausgewertet bei sich widersprechenden Regeln z B Eintr ge mit gleichen Richtungsangaben aber unterschiedlichen Aktionen gilt also immer der weiter oben stehende Eintrag e Bei Regeln f r die Kommunikation zwischen internem Netz externem Netz und DMZ Netz gilt alle Telegramme au er den i
23. die sich au erhalb der gesch tzten Bereiche befinden DMZ Netz gesch tzte Bereiche mit den DMZ Knoten EZ DMZ Knoten sind alle Knoten die sich in der DMZ befinden und von einem SCALANCE S abgesichert sind Hinweis Die an der internen Schnittstelle angeschlossenen Netze werden als sicher vertrauensw rdig betrachtet Verbinden Sie ein internes Netzsegment nur ber SCALANCE S mit Netzsegmenten eines anderen Sicherheitsniveaus externes Netz DMZ Netz Weitere Verbindungswege zwischen dem internen Netz und einem Netz mit anderem Sicherheitsniveau d rfen nicht vorhanden sein Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 7 Einsatz der DMZ Schnittstelle von SCALANCE S623 und SCALANCE S627 2M 1 7 Einsatz der DMZ Schnittstelle von SCALANCE S623 und SCALANCE S627 2M Einsatzszenarien der DMZ Schnittstelle Zus tzlich zu den Funktionen des SCALANCE S612 ist der SCALANCE S623 und der SCALANCE S627 2M mit einer dritten Schnittstelle DMZ ausgestattet an welcher ein zus tzliches Netzwerk angebunden werden kann Die Schnittstelle kann in Abh ngigkeit vom Einsatzszenario verschiedene Funktionen erf llen nicht gleichzeitig e Einrichtung einer DMZ e Endpunkt f r VPN Tunnelverbindung e Synchronisationsschnittstelle f r Router und Firewallredundanz Einrichtung einer DMZ Mit dem SCALANCE S623 und dem SCALANCE S627 2M l sst sich an der zus
24. e HRP Client le Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 109 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Parameter Aktiviere passive listening Bedeutung Aktivieren Sie dieses Kon trollk stchen wenn die aus gew hlte Schnittstelle an Fremdnetze gekoppelt wer den soll in denen STP RSTP Spanning Tree Protocol Rapid Spanning Tree Protocol eingesetzt wird Auswahlm glichkeiten e Passive listening aktivieren Stan dardeinstellung e Passive listening deaktivieren MRP Domain nur bei Auswahl der Medien redundanzrolle MRP Client Mit Hilfe von MRP Domains werden die Teilnehmer eines MRP Rings festgelegt F r die Schnittstellen aller Bau gruppen die an demselben MRP Ring angebunden sein sollen muss dieselbe MRP Domain ausgew hlt sein Standardm ig ist f r die externe Schnitt stelle die vordefinierte MRP Domain mrpdomain 1 ausgew hlt ber die Schalt fl chen Hinzuf gen Bearbeiten und Entfernen k nnen Sie neue MRP Domains hinzuf gen die Namen bestehender MRP Domains bearbeiten und bestehende MRP Domains l schen Ringport 1 nur bei Auswahl der Medienre dundanzrolle MRP Client oder HRP Client Bezeichnung des ersten Ringports der unter Schnitt stelle ausgew hlten Schnitt stelle wenn f r diese die Medienredundanzrolle MRP Client oder
25. nge Modus CBC e AES 128 192 256 Advanced Encryption Standard 128 192 Bit oder 256 Bit Schl ssell nge Modus CBC Phase 1 Authentifizie rung Authentisierungs Algorithmus e MD5 Message Digest Algorithm 5 e SHA1 Secure Hash Algorithm 1 DES ist ein unsicherer Verschl sselungsalgorithmus Er sollte nur aus Gr nden der Abw rtskompatibilit t verwendet werden Parameter f r erweiterte Einstellungen Phase 2 Phase 2 IKE Aushandlung der Security Association SA f r IPsec Datenaustausch Stellen Sie hier die Parameter f r die Aushandlung der Sicherheitsparameter ein die f r den IPsec Datenaustausch mit ESP Encapsulating Security Payload und AH Authentication Header verwendet werden Die Kommunikation in Phase 2 erfolgt bereits verschl sselt Parameter SA Lebensdauertyp Beschreibung Phase 2 Security Association SA e Time Zeitbegrenzung in Minuten Die Nutzdauer f r das aktuelle Schl sselmaterial wird zeitlich begrenzt Nach Ablauf der Zeit wird das Schl sselmaterial neu ausgehandelt e Limit Begrenzung des Datenvolumen in Mbyte SA Lebensdauer Numerischer Wert e Wertebereich f r Time 60 16666666 Minuten Standard 2880 e Wertebereich f r Limit 2000 500000 Mbyte Standard 4000 Phase 2 Verschl sse lung Verschl sselungs Algorithmus e DES Data Encryption Standard 56 Bit Schl ssell nge Modus CBC e 3DES 168 Dreifach DES 168 Bit Schl ssell
26. nge Modus CBC e AES 128 Advanced Encryption Standard 128 Bit Schl ssell nge Modus CBC Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Parameter Beschreibung Phase 2 Authentifizie Authentisierungs Algorithmus rung e MD5 Message Digest Algorithm 5 e SHA1 Secure Hash Algorithm 1 Perfect Forward Secre Wenn Sie dieses Kontrollk stchen aktivieren werden f r die Neuberech cy nung der Schl ssel neue Diffie Hellmann Public Key Values ausgetauscht Wenn das Kontrollk stchen deaktiviert ist werden f r die Neuberechnung der Schl ssel die bereits in Phase 1 ausgetauschten Werte verwendet DES ist ein unsicherer Verschl sselungsalgorithmus Er sollte nur aus Gr nden der Abw rtskompatibilit t verwendet werden 6 5 2 Baugruppe in konfigurierte VPN Gruppe aufnehmen Die projektierten Gruppeneigenschaften werden f r Baugruppen die in eine bestehende VPN Gruppe aufgenommen werden bernommen Aktive Teilnehmer in eine VPN Gruppe aufnehmen Wird ein aktiver Teilnehmer in eine bestehende VPN Gruppe hinzugef gt so kann dieser die Gruppenteilnehmer erreichen ohne dass Sie das Projekt erneut auf alle Teilnehmer der VPN Gruppe laden Hinweis Wenn Sie einen aktiven Teilnehmer aus einer bestehenden VPN Gruppe entfernen kann dieser immer noch eine Ve
27. oder Erweiterter Modus zu trifft Zus tzlich werden die Antwortpakete auf solche Pa kete aufgezeichnet welche die Firewall gem einer pro jektierten Allow Regel pas siert haben e Zustandserzeugende Pake te Es werden ausschlie lich die Datenpakete aufgezeich net auf die eine projektierte Firewall Regel Standard Mo dus oder Erweiterter Modus zutrifft Audit Ereignisse immer aktiviert Logging ist immer aktiviert Die Speicherung erfolgt immer im Umlaufpuffer Bemerkungen Paketfilter Logdaten sind nicht remanent Die Daten werden in einem fl chtigen Spei cher der Security Baugruppe abgelegt und stehen deshalb nach einem Ausschalten der Spannungsversorgung nicht mehr zur Verf gung Audit Logdaten sind remanent Die Daten werden in einem remanenten Speicher der Security Baugruppe abgelegt und stehen deshalb auch nach einem Aus schalten der Spannungsversorgung noch zur Verf gung Hinweis f r CPs Die Audit Logdaten sind bei CPs nicht rema nent Zur Sicherung der Daten sollte deshalb ein Syslog Server verwendet werden System Ereignisse Die Aktivierung erfolgt ber Opti onsk stchen Die Auswahl des Speicherverfah rens erfolgt ber Optionsfelder Zur Konfiguration des Ereignisfil ters und der Leitungsdiagnose ffnen Sie ber die Schaltfl che Konfigurieren einen weiteren Dialog System Logdaten sind nicht remanent Die Daten werden in einem fl chtigen Spei
28. verwirft die Security Baugruppe die Anfrage und antwortet nicht Bei SNMPv3 k nnen die Daten verschl sselt bertragen werden 5 4 2 SNMP aktivieren U Voraussetzung HW Konfig In den CP Eigenschaften ist im Register SNMP das Kontrollk stchen SNMP aktivieren aktiviert Ist es nicht aktiviert kann SNMP im Security Configuration Tool nicht konfiguriert werden SNMP konfigurieren Gehen Sie so vor 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register SNMP 3 Aktivieren Sie das Kontrollk stchen SNMP aktivieren Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 197 Weitere Baugruppeneigenschaften projektieren 5 4 SNMP 198 4 W hlen Sie eine der SNMP Protokollversionen aus Hinweis Verschl sselte Daten bertragung bei SNMPV3 Um die Sicherheit zu erh hen sollten Sie SNMPv3 verwenden da die Daten hierbei verschl sselt bertragen werden SNMPVv1 Die Security Baugruppe verwendet zur Steuerung der Zugriffsrechte im SNMP Agent folgende Standardwerte f r die Community Strings F r Lesezugriff public F r Lese und Schreibzugriff private Um den Schreibzugriff ber SNMP zu aktivieren aktivieren Sie das Optionsk stchen Erlaube schreibenden Zugriff SNMPVv3 W hlen Sie entweder ein Authentifizierungsverfahren oder ein Authentifizierungs und Verschl sselu
29. wird im Kapitel 5 2 VPN Tunnel zwischen SCALANCE S623 und SCALANCE S612 des Handbuchs SIMATIC NET Industrial Ethernet Security Security einrichten durchgef hrt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 95 Baugruppen anlegen und Netzparamelter einstellen 3 2 Schnittstellen Konfigurieren Medienmodulports der externen und internen Schnittstelle 96 Zus tzlich zu den Funktionen des SCALANCE S623 besitzt der SCALANCE S627 2M zwei Medienmodulslots in die jeweils ein elektrisches oder optisches 2 Port Medienmodul eingesetzt werden kann Dadurch wird die externe und die interne Schnittstelle um jeweils bis zu zwei Ports erweitert Wird f r eine Schnittstelle das Medienmodul MM992 2SFP verwendet k nnen in das Medienmodul dieser Schnittstelle bis zu zwei elektrische oder optische SFP Transceiver Small Form factor Pluggable Transceiver eingesetzt werden Die zus tzlichen Ports k nnen f r die Anbindung der externen und internen Schnittstelle des SCALANCE S627 2M an MRP HRP Ringe verwendet werden Die Medienmodulports sind mit dem fest eingebauten Port der jeweiligen Schnittstelle ber einen Switch Baustein verbunden Zwischen den ber einen Switch Baustein verbundenen Ports ist keine Firewall Funktionalit t Ebene 2 Ebene 3 gegeben Alle ber einen Switch Baustein verbundenen Ports sind ber dieselbe IP Adresse erreichbar Security Grundlagen und Anwendung Projektierungshand
30. 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Log Einstellungen Der folgende Dialog zeigt die Standard Einstellungen f r die Security Baugruppe zus tzlich ist der Dialog zur Konfiguration der Aufzeichnung von System Ereignissen ge ffnet en Schwitsteilen Fremal intemetwertundung DNS Routing NAT ANAPT Zetsnchronsenung Los Ersehngen VPN DHCP Sener SNMP Prag ARP RADIUS Lokalen Logang Eisiarsablangen airne Leiasosicher Lineare Sosicher Lem Fifier Aufeuzsichrende Pakete 4 Pahediher Eresgusse Frenat Pa 9 Ae Pakete Z Inn sign Sysemieg 3 System trognaste konfpuneren Far der Sten Emma Ebera IE Biarachsien der Syin ingame Lee rgasayoe Ferien ste Teieyirre kerierhafte Pab ene Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 263 Online Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Ereignisklassen konfigurieren Tabelle 9 2 Lokaler Log Funktions bersicht Funktion Register im Online Dialog Projektierung Paketfilter Ereignisse Firewall Die Aktivierung erfolgt ber Opti onsk stchen Die Auswahl des Speicherverfah rens erfolgt ber Optionsfelder Aus der Klappliste Aufgezeich nete Pakete k nnen Sie die Menge aufgezeichneter Daten pakete festlegen e Alle Pakete Es werden die Datenpakete aufgezeichnet auf die eine projektierte Fire wall Regel Standard Modus
31. 5 LLDP pnu asia na N a a A N ANE 107 3 2 6 Medienredundanz in Ringtopologien 44444444nnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn ann 108 3 2 6 1 Medienredundanz mit MRP HRP uurssssnnnsnnsnenennsnennnnnnnnennnnnnnnnnnnnennnnnnnnnne nenne 108 3 2 6 2 MRP HRP f r die Security Baugruppe projektieren uu 22240sssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 109 3 2 7 Besonderheiten des Ghost Modus 42444444400404nnnnnnnnnnnnennnnnnnennnnnnennnnnnnnnne nennen 111 4 Firewall projektieren 4 4 44 2404 44040000000 naar 115 4 1 GPs im Standard Mod s 4 22 12 2 22222 2m mas imateemas em 117 4 1 1 GP XAFTA ooa ENEETELERRRNDELTESEHHRLT BARSEELTEHEETRLEURRSSELEERESPEEFERRSSTELEHRETFEENRENSELTERRHRRLFTRERPERTN 118 4 1 1 1 Voreinstellung der Hrewall si siam arii iador aerae inania aRadio a ia E aa ia kaala a 118 4 1 1 2 Firewall projektiSreNn auienonisiari aae aan e i aaa E iaa aAA Ea A aaa 120 4 1 1 3 Zugriffsliste projektieren nouson arna e i aa A a aa TAAA SAA N Aa nn 121 4 1 1 4 Eintrag zur Zugriffsliste hinzuf gen e eseseesseeressesrreserresttrrssttrrssttrtssttnrssttnnssten nasten nneeenn 123 4 1 2 E a E P s L EIT A IAEE PTI EE SE E IAN EEPE EEEN IAN EAE 124 4 1 2 1 Voreinstellung der Firewall snsennnnnnnnnnnnnnnennnnnnnennnnnnnennnnnnennnnnnnnnnnnnnnnn nn 124 4 1 2 2 Firewall projektieren 2202 24400 444a40R 20H nnnnnsennannnsennnannsennnnnnsan a
32. 56 Start der Benutzer verwaltung Startet die SCT Benutzerwaltung in der Sie einer Rolle SNMP Rechte zuweisen k nnen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Sie rufen SCT in STEP 7 ber das Men Bearbeiten gt Security Configuration Tool auf Zus tzlich zu den Einstellungen in den Registern der Objekteigenschaften legen Sie hier z B VPN Gruppen an oder f gen SCALANCE S Baugruppen hinzu Die SCALANCE S Baugruppen k nnen Sie in SCT zwar projektieren und laden die Daten werden jedoch nicht an STEP 7 zur ckgeliefert Auch werden die Baugruppen nach Beendigung des SCT nicht in STEP 7 angezeigt Hinweis N here Angaben finden Sie in der STEP 7 Online Hilfe sowie in der SCT Online Hilfe Allgemeine Informationen zu STEP 7 finden Sie in 9 Seite 280 2 4 3 STEP 7 Daten migrieren STEP 7 Ger tebenutzer in die SCT Benutzerverwaltung migrieren W hlen Sie in dem Migrationsdialog aus wie die in STEP 7 angelegten Benutzer in die SCT Benutzerverwaltung migriert werden sollen Dabei stehen Ihnen folgende Aktionen zur Auswahl Aktion bernehmen als Beschreibung Der Benutzer wird unter einem anderen Namen in die SCT Benutzerverwaltung migriert Geben Sie den Namen in die Spalte Migrierter Benutzername ein Dem migrierten Benutzer wird in SCT eine automatisch generie
33. 7 f r diese Werte keine Pr fung erfolgt Wertebereich f r Adresse des Netz bergangs Die Adresse besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 141 80 0 1 Zusammenhang IP Adresse und Adresse des Netz bergangs Die IP Adresse und die Adresse des Netz bergangs d rfen nur an den Stellen unterschiedlich sein an denen in der Subnetzmaske 0 steht Beispiel Sie haben eingegeben f r Subnetzmaske 255 255 255 0 f r IP Adresse 141 30 0 5 und f r die Adresse des Netz bergangs 141 30 128 254 Die IP Adresse und die Adresse des Netz bergangs d rfen nur in der 4 Dezimalzahl einen unterschiedlichen Wert haben Im Beispiel ist aber die 3 Stelle schon unterschiedlich Im Beispiel m ssen Sie also alternativ ndern die Subnetzmaske auf 255 255 0 0 oder die IP Adresse auf 141 30 128 5 oder die Adresse des Netz bergangs auf 141 30 0 254 A 3 MAC Adresse Hinweis zum Aufbau der MAC Adresse MAC Adressen sind Hardware Adresse zur Identifikation von Netzwerkteilnehmern Eine MAC Adresse besteht aus sechs Bytes die durch Bindestriche getrennt hexadezimal notiert werden Security Grundlagen und Anwendung 274 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Anhang A 3 MAC Adresse Die MAC Adresse besteht aus einem festen und einem variablen Teil Der feste Teil Basis MAC Adresse kennzeichnet den Hersteller Siemens 3COM Der variable Te
34. Adressumsetzungsrichtungen f r die Aktion Source NAT Destination NAT Die Aktion Source NAT Destination NAT kann in folgenden Richtungen durchgef hrt werden e Extern nach DMZ e DMZ nach Extern Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 187 Weitere Baugruppeneigenschaften projektieren 5 2 Security Baugruppe als DHCP Server Im Feld Quell IP Adresse kann keine IP Adresse eingetragen werden Diese wird bei der Anmeldung des Teilnehmers an der Security Baugruppe automatisch eingetragen Unterst tzte Adressumsetzungsrichtungen f r NAPT Die Adressumsetzung mit NAPT kann in folgenden Richtungen durchgef hrt werden e Extern nach Intern e Extern nach DMZ e DMZ nach Intern e DMZ nach Extern e Tunnel nach Intern nur SCALANCE S612 S623 S627 2M ab V4 e Tunnel nach Extern nur SCALANCE S612 S623 S627 2M ab V4 e Tunnel nach DMZ nur SCALANCE S612 S623 S627 2M ab V4 NAT NAPT Adressumsetzung und zugeh rige benutzerspezifische IP Regels tze In den Firewall Regeln f r benutzerspezifische IP Regels tze die auf Basis von NAT NAPT Regeln erzeugt werden kann im Feld Quell IP Adresse keine IP Adresse eingetragen werden Diese wird bei der Anmeldung des Teilnehmers am Security Modul automatisch eingetragen Die restlichen Eigenschaften sind zu den Firewall Regeln die lokal f r einzelne Security Module erzeugt werden identisch Siehe Kapitel Zusammenhang zwischen NAT NAPT Router
35. Beim Laden der Baugruppenkonfiguration werden den Gruppenteilnehmern dann die WAN IP Adressen der Partner Baugruppen mitgeteilt Alternativ zu einer WAN IP Adresse k nnen Sie auch einen FQDN eintragen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 217 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Falls Sie gleichzeitig dynamisches DNS auf der Security Baugruppe konfiguriert haben muss dieser FQDN mit dem im Register DNS eingetragenen FQDN bereinstimmen der bei einem Anbieter f r dynamisches DNS registriert ist Ob die externe IP Adresse die IP Adresse der DMZ Schnittstelle nur SCALANCE S623 S627 2M oder die WAN IP Adresse der FQDN verwendet werden soll k nnen Sie in den verbindungsgranularen VPN Eigenschaften festlegen Weitere Informationen zu verbindungsgranularen VPN Eigenschaften finden Sie in folgendem Kapitel Verbindungsgranulare VPN Eigenschaften projektieren Seite 219 Tragen Sie hier keinen Zugangspunkt ein wird als VPN Endpunkt die externe IP Adresse oder die IP Adresse der DMZ Schnittstelle nur SCALANCE S623 S627 2M verwendet F r SCALANCE M 800 Baugruppen die als Responder projektiert sind muss ein Zugangspunkt angegeben werden GPRS Internet Gateway IP Adresse intern einer Security Baugruppe IP Adresse extern einer Baugruppe IP Adresse eines Internet Gateways z B GPRS Gateway
36. Experten eine Security Baugruppe projektieren Im Erweiterten Modus k nnen bei Bedarf komplexere Einstellungen vorgenommen werden e Gsesicherte administrative Kommunikation Die bertragung der Einstellungen ist signiert und verschl sselt und darf nur von autorisierten Personen durchgef hrt werden e Zugriffsschutz im Security Configuration Tool Durch die Benutzerverwaltung des Security Configuration Tool ist ein Zugriffsschutz f r die Security Baugruppen und die Projektierdaten gew hrleistet e Wechselmedium C PLUG einsetzbar DI Der C PLUG ist ein steckbares Wechselmedium auf dem Konfigurationsdaten verschl sselt abgespeichert sind Er erm glicht beim Austausch einer Security Baugruppe die Konfiguration ohne PG PC sofern die Security Baugruppe eine Datenhaltung auf dem C PLUG unterst tzt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G68900 C286 04 41 Einf hrung und Grundlagen 1 11 Projektierung und Administration 42 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 Das Security Configuration Tool ist das zu den Security Baugruppen mitgelieferte Projektierwerkzeug Das vorliegende Kapitel macht Sie mit der Bedienoberfl che und der Funktionsweise des Projektierwerkzeugs vertraut Sie erfahren wie Security Projekte eingerichtet bedient und verwaltet werden Weitere Informationen Wie S
37. F gen Sie ber die Schaltfl che einen neuen Benutzer hinzu L schen L schen Sie ber die Schaltfl che den ausgew hlten Eintrag Hinweis Im Projekt muss immer mindestens ein Benutzer mit der Rolle Admi nistrator vorhanden sein Der Administrator der bei Projekterstellung automatisch angelegt wird kann nur gel scht werden solange mindes tens ein weiterer Benutzer mit vollst ndigen Projektierungsrechten existiert 2 5 3 Rollen anlegen Welche Rollen gibt es Sie k nnen einem Benutzer eine systemdefinierte oder benutzerdefinierte Rolle zuweisen Die Baugruppenrechte einer benutzerdefinierten Rolle legen Sie pro Security Baugruppe fest Systemdefinierte Rollen Vordefiniert sind die folgenden systemdefinierten Rollen Den Rollen sind bestimmte Rechte zugewiesen die auf allen Baugruppen gleich sind und die der Administrator nicht ndern oder l schen kann Rechte verwalten Seite 72 e administrator Standardm ige Rolle beim Anlegen eines neuen SCT Projekts Uneingeschr nkte Zugriffsrechte auf alle Konfigurationsdaten e standard Rolle mit eingeschr nkten Zugriffsrechten e diagnostics Standardm ige Rolle beim Anlegen eines neuen Benutzers Nur lesender Zugriff e remote access Keine Rechte au er Anmeldung an der Webseite f r benutzerspezifische IP Regels tze Security Grundlagen und Anwendung 70 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration
38. HRP Client ausgew hlt wurde Ringport 2 nur bei Auswahl der Medienre dundanzrolle MRP Client oder HRP Client Bezeichnung des zweiten Ringports der unter Schnitt stelle ausgew hlten Schnitt stelle wenn f r diese die Medienredundanzrolle MRP Client oder HRP Client ausgew hlt wurde MRP Teilnehmer nur bei Auswahl der Me dienredundanzrolle MRP Client Ergebnis Anzeige von Informationen zu allen Security Baugruppen die derselben MRP Domain angeh ren wie die ausgew hlte Schnittstel le Sie haben die Security Baugruppe ber die ausgew hlte Schnittstelle an den MRP HRP Ring angebunden Die Medienmodulports welcher Schnittstelle n an den MRP HRP Ring angebunden sind wird zus tzlich im Register Schnittstellen der Baugruppeneigenschaften angezeigt Konsistenzpr fung diese Regel m ssen Sie beachten Ber cksichtigen Sie bei Ihrer Eingabe die nachfolgend aufgef hrte Regel e Die Namen von MRP Domains d rfen ausschlie lich aus Kleinbuchstaben Zahlen und dem Zeichen bestehen Die Namen m ssen mit einem Kleinbuchstaben oder einer Zahl beginnen und enden 110 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 Siehe auch 3 2 7 Bedeutung Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Konsistenzpr fungen Seite 63 Besonderheiten des Ghost Modus Im Ghost Modus hat die Secu
39. Kopie der zugeordneten Security Baugruppe innerhalb der Redundanzbeziehung Dies ist nur m glich wenn nur eine Security Baugruppe einer angelegten Redundanzbeziehung zugeordnet wird Alternativ k nnen Sie die Redundanzbeziehung nachtr glich ber die Eigenschaften der Redundanzbeziehung projektieren siehe Kapitel Redundanzbeziehungen konfigurieren Seite 235 Ergebnis Sie haben eine Redundanzbeziehung angelegt und dieser die gew nschten Security Baugruppen zugeordnet 7 3 Redundanzbeziehungen konfigurieren So erreichen Sie diese Funktion Selektieren Sie im Navigationsbereich die Redundanzbeziehung und w hlen Sie den Men befehl Bearbeiten gt Eigenschaften Netzparameter der Redundanzbeziehung projektieren Tabelle 7 1 Parameter im Register Grundeinstellungen Konfigurierbarer Parameter Bedeutung Prim rbaugruppe Auswahl der Security Baugruppe die im Normalbetrieb die aktive Security Baugruppe sein soll Virtuelle Router ID aktivieren nur f r SCALANCE Wenn Sie dieses Kontrollk stchen aktivieren k nnen Sie S623 S627 2M ab Firmware V4 0 1 die virtuellen Router IDs der virtuellen Schnittstellen an passen ber eine virtuelle Router ID wird die virtuelle MAC Adresse einer virtuellen Schnittstelle festgelegt M gliche Werte 01 FF IP Adresse Virtuelle IP Adresse der externen bzw internen Schnittstel le der Redundanzbeziehung Subnetzmaske Subnetzmaske der virtuellen externen bzw internen Sch
40. MAC Adressen verwendete symbolische Namen m ssen in der Tabelle enthalten sein Inkonsistenzen k nnen dadurch entstehen dass Eintr ge in der Tabelle gel scht und in den Projektierdialogen nicht entsprechend entfernt oder korrigiert werden Siehe auch Konsistenzpr fungen Seite 63 DNS Konformit t Seite 273 2 5 Benutzer verwalten 2 5 1 bersicht zur Benutzerverwaltung Wie ist die Benutzerverwaltung aufgebaut Der Zugriff auf die Security Konfiguration wird durch konfigurierbare Benutzereinstellungen verwaltet Richten Sie Benutzer mit jeweils einem Passwort zur Authentifizierung ein Dem Benutzer weisen Sie eine systemdefinierte oder benutzerdefinierte Rolle zu Den Rollen sind projektierungs und baugruppenspezifische Rechte zugewiesen Beachten Sie beim Anlegen die angegebenen Mengenpger ste Seite 20 Bereits vorhandene Benutzer aus STEP 7 nach SCT migrieren Bereits in STEP 7 angelegte Benutzer k nnen nach SCT migriert werden Dabei m ssen Sie die Passw rter neu vergeben Detailinformationen dazu finden Sie in der Online Hilfe m F1 agen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 67 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen SCT Dialog Eingabereihenfolge beim Anlegen von Benutzern und Rollen W hlen Sie eine der beiden Eingabereihenfolgen e Legen Sie zun
41. Modes bzw Quick Modes eingerichtet werden die dazugeh rigen Details hier angezeigt Dazu geh rt auch die gesamte Anzahl der Main Modes bzw Quick Modes die zu der ausgew hlten Baugruppe auf dem System gefunden wurden Routingeinstellungen Netzwerkeinstellungen des Rechners Zeigt die aktuellen Routing Einstellungen des Rechners an ber die Option Alle Routingeinstellungen anzeigen erhalten Sie zus tzliche Routing Angaben Zugewiesene IP Adressen Liste ber die dem Rechner bekannten Netzwerkschnittstellen in Verbindung mit den konfigurierten bzw zugewiesenen IP Adressen Welche Eintr ge in der Log Konsole angezeigt werden w hlen Sie im Dialog Einstellungen aus Sie erreichen diesen im Hauptdialog des SOFTNET Security Clients ber den Men befehl Optionen gt Einstellungen Folgende Informationen werden angezeigt Diagnoseinformationen zum Verbindungsaufbau mit den konfigurierten Security Baugruppen und internen Teilnehmern Subnetzen Datums und Zeitstempel zum Zeitpunkt der Ereignisse Auf und Abbau einer Security Association Negativ verlaufener Erreichbarkeitstest Test Ping zu den konfigurierten Teilnehmern Laden von Konfigurationsdateien Lernen Verlernen interner Teilnehmer Subnetze Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 253 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten Globale Einstellungen f r den SOFTNET Security Client
42. Projektierungshandbuch 12 2014 C79000 68900 C286 04 167 Firewall projektieren 4 3 Firewall im Erweiterten Modus Standardm ige Firewall Regeln f r SCALANCE S In der folgenden Tabelle sind die standardm igen Firewall Regeln f r SCALANCE S Baugruppen aufgef hrt Die Firewall Regeln sind zum Teil nur dann aktiv wenn der betreffende Dienst von der Security Baugruppe verwendet wird z B SNMP Dienst Richtung Schnittstelle Schnittstelle Schnittstelle Tunnelschnitt X1 rot X2 gr n X3 gelb stelle Schnittstellenrerouting ausgehend x HTTPS x x x x ICMP eingehend x x ICMP Pathfinder ausgehend i x i SNMP eingehend x x x x Syslog ausgehend x x x x NTP ausgehend x x x x DNS ausgehend x x x x HTTP ausgehend x x VPN IKE x x VPN NAT Traversal x x BootP Server eingehend x x BootP Client ausgehend x x RADIUS ausgehend x x x x care o ausgehend x x Pfsync ausgehend x x standardm ig aktiviert standardm ig deaktiviert nicht anpassbar Standardm ige Firewall Regeln f r S7 CPs In der folgenden Tabelle sind die standardm igen Firewall Regeln f r S7 CPs aufgef hrt Die Firewall Regeln sind nur dann eingestellt wenn der betreffende Dienst im Security Configuration Tool aktiviert ist Dienst Richtung Extern GBit Intern PN IO VPN IKE x VPN NAT Traversal x d BootP Serve
43. SOFTNET Security Client ab V3 0 befinden Konfigurationsdateien generieren 224 1 Markieren Sie das zu bearbeitende VPN Ger t 2 W hlen Sie den Men befehl bertragen gt An Baugruppe n 3 Geben Sie im folgenden Speicherdialog den Pfad und Dateinamen der Konfigurationsdatei an und klicken Sie auf die Schaltfl che Speichern 4 Geben Sie im folgenden Dialog an ob f r die beiden erstellten Zertifikatdateien ein eigenes Passwort erstellt werden soll Wenn Sie Nein w hlen wird als Passwort der Projektname vergeben z B VPN Projekt_02 nicht das Projektpasswort Wenn Sie Ja w hlen empfohlen m ssen Sie im darauf folgenden Dialog ein Passwort vergeben Ergebnis Die Dateien und Zertifikate werden in dem von Ihnen angegebenen Verzeichnis abgespeichert Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 6 8 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 8 Konfigurationsdaten f r NCP VPN Clients Android Konfigurationsdaten f r NCP VPN Clients Android NCP Secure VPN Client for Android Bedeutung Der NCP Secure Android Client erm glicht eine hochsichere VPN Verbindung zu zentralen Datennetzen von Firmen und Organisationen Der Zugriff ist auf mehrere unterschiedliche Datennetze mit jeweils eigenem VPN Profil m glich Auf Basis des IPsec Standards k nnen Tablets und Smartphones verschl sselte Datenverbindungen zu VPN Gateways aller namha
44. Security Baugruppe erzeugt werden Dazu geh ren e SSL Zertifikat einer Security Baugruppe F r jede angelegte Security Baugruppe wird ein SSL Zertifikat erzeugt das aus dem CA Zertifikat des Projekts abgeleitet ist SSL Zertifikate werden zur Authentifizierung bei der Kommunikation zwischen PG PC und Security Grundlagen und Anwendung 84 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 6 Zertifikate verwalten Security Baugruppe beim Laden der Konfiguration nicht f r CPs sowie beim Logging herangezogen e VPN Gruppen Zertifikat einer Security Baugruppe Zus tzlich wird f r jede Security Baugruppe pro VPN Gruppe in der sie sich befindet ein VPN Gruppen Zertifikat erzeugt Register Vertrauensw rdige Zertifikate und Stammzertifizierungsstellen Anzeige der in SCT importierten Fremdzertifikate Importiert werden k nnen z B Server Zertifikate von externen FTP Servern oder Projektzertifikate von anderen SCT Projekten Das importierte Fremdgzertifikat wird auf alle im SCT Projekt verwalteten CPs bertragen Mit diesem Zertifikat kann sich die Security Baugruppe dann z B beim Zugriff auf einen FTPS Server ausweisen Die SCT Projektierung selbst verwendet das importierte Zertifikat nicht Anzeige der Zertifizierungsstellen die f r die Verifizierung externer Dienste wie Anbieter von dyn DNS durch Security Baugruppen notwendig sind 2 6 2 Zertifikate erneuern Bedeu
45. Sie die Firewall Regeln die den Verbindungsaufbau freigeben in SCT konfigurieren N here Informationen hierzu finden Sie im folgenden Kapitel e Firewall im Erweiterten Modus Seite 139 Security Einstellungen in STEP 7 vornehmen Security Einstellungen nehmen Sie wie folgt vor e ber einzelne Register der Objekteigenschaften In einzelnen Registern k nnen Sie CP spezifische Security Funktionen aktivieren und ausf hren Beim Ausf hren wird der entsprechende SCT Dialog ge ffnet in dem Sie Security Einstellungen vornehmen k nnen In folgenden Registern k nnen Sie Security Einstellungen vornehmen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 55 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Register Funktion Beschreibung Security Security aktivieren e Die Security Funktionen in den einzelnen Registern werden aktiv e Das Men Bearbeiten gt Security Configu ration Tool wird aktiv ber welches Sie das Security Configuration Tool ffnen Dort k nnen Sie weitere Security Baugruppen bergreifende Einstellungen vornehmen wie z B VPN Gruppen anlegen oder Security Baugruppen hinzuf gen die nicht in STEP 7 projektierbar sind e Falls Sie f r die Security Baugruppe Benut zer in STEP 7 projektiert haben ffnet sich das Fenster Datenmigration f r securityre levante Projektdaten ber das Sie die STEP 7 Benutzer in
46. Spezifische Routen sind f r Security Baugruppen im Ghost Modus nicht projektierbar 5 1 3 NAT NAPT Routing Per Voraussetzung e Das Projekt befindet sich im Erweiterten Modus e Die Security Baugruppe befindet sich im Routing Modus oder die DMZ Schnittstelle nur SCALANCE S623 S627 2M ist aktiviert So erreichen Sie diese Funktion 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register NAT NAPT 3 Aktivieren Sie je nach Anforderung eine Adressumsetzung gem NAT Network Address Translation oder NAPT Network Address Port Translation Adressumsetzung mit NAT Network Adress Translation NAT ist ein Protokoll zur Adressumsetzung zwischen zwei Adressr umen Hauptaufgabe ist die Umsetzung von privaten IP Adressen in ffentliche d h in IP Adressen die im Internet verwendet und auch geroutet werden Dadurch wird erreicht dass die IP Adressen des internen Netzes nach au en im externen Netz nicht bekannt werden Die internen Teilnehmer sind im externen Netz nur ber die in der Adressumsetzungsliste NAT Tabelle festgelegten externen IP Adressen sichtbar Handelt es sich bei der externen IP Adresse nicht um die Adresse der Security Baugruppe und ist die interne IP Adresse eindeutig wird dies als 1 1 NAT bezeichnet Beim 1 1 NAT wird die interne Adresse ohne Portumsetzung auf diese externe Adresse umgesetzt Ansonsten handelt es sich um n 1 NAT
47. Teilnehmer ber die IP Adresse so als w rde er sich im lokalen Subnetz befinden an dem auch der PC PG mit der Applikation angeschlossen ist Hinweis ber den IPsec Tunnel kann nur eine IP basierte Kommunikation zwischen SSC und den Security Baugruppen sowie den internen Teilnehmern hinter den Security Baugruppen erfolgen Ebene2 Kommunikation ist mit dem SSC nicht m glich Bedienung ge Die PC Software SOFTNET Security Client dient zur Konfiguration der Security Eigenschaften welche zur Kommunikation mit durch Security Baugruppen gesch tzten Ger ten notwendig sind Nach der Konfiguration l uft der SOFTNET Security Client im Hintergrund ab sichtbar durch ein Symbol in der Symbolleiste auf dem PG PC Security Grundlagen und Anwendung 238 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 SOFTNET Security Client 8 1 Einsatz des SOFTNET Security Client Details in der Online Hilfe u P Detaillierte Informationen zu den Dialogen und Eingabefeldern finden Sie auch in der Online E Hilfe der Bedienoberfl che des SOFTNET Security Client F1 Sie erreichen die Online Hilfe ber die Schaltfl che Hilfe oder ber die F1 Taste Wie funktioniert der SOFTNET Security Client Der SOFTNET Security Client liest die vom Projektierwerkzeug Security Configuration Tool erstellte Konfiguration ein und ermittelt ggf aus der Datei die zu importierenden Zertifikate Das Root Certificate und die Private Keys werden importiert und im
48. Wie Sie die Netzknoten statisch konfigurieren erfahren Sie in folgendem Kapitel Weitere Teilnehmer und Subnetze f r den VPN Tunnel konfigurieren Seite 228 Informationen zum automatischen Lernen interner Netzknoten finden Sie in folgendem Kapitel Arbeitsweise des Lernmodus Seite 229 CP x43 1 Adv und CP 1628 e CP x43 1 Adv W hlen Sie aus ob die Tunnelkommunikation zum CP und oder zum internen Subnetz f r VPN Verbindungspartner im Routing Modus SCALANCE S M VPN Ger t NCP VPN Client Android erlaubt ist e CP 1628 Tragen Sie die NDIS Knoten ein die durch den Tunnel von VPN Verbindungspartnern im Routing Modus SCALANCE S M VPN Ger t NCP VPN Client Android erreichbar sein sollen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 227 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 9 Interne Netzknoten konfigurieren 6 9 1 Weitere Teilnehmer und Subnetze f r den VPN Tunnel konfigurieren Bedeutung Voraussetzung 228 Durch das Hinzuf gen einer Security Baugruppe zu einer VPN Gruppe werden die lokalen internen Netzknoten Subnetze der Security Baugruppe automatisch f r die VPN Tunnelkommunikation freigegeben Um die Kommunikation ber den VPN Tunnel mit weiteren Subnetzen oder Teilnehmern eines weiteren Subnetzes zu erm glichen m ssen diese Subnetze oder Teilnehmer f r die VPN Tunnelkommunikation ber die Konfiguration freigegeben werden Ein Subne
49. Zugriff von der Station auf VPN Tunnelpartner Tunnel Station x x Zugriff ber VPN Tunnelpartner auf die Station Tabelle 4 18 Firewall Richtungen SCALANCE S Auswahlm glichkeiten Wertebereiche Security Baugruppe Von Nach S602 S61x S623 S627 2M Intern Extern x x x Tunnel x x Any x x Extern Intern x x x Any x Tunnel x Tunnel Intern x x Extern x x Any Intern x x Extern x Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G68900 C286 04 163 Firewall projektieren 4 3 Firewall im Erweiterten Modus Regelauswertung durch die Security Baugruppe Die Paketfilter Regeln werden wie folgt ausgewertet e Die Liste wird von oben nach unten ausgewertet bei sich widersprechenden Regeln gilt der weiter oben stehende Eintrag e Bei den Regeln f r die Kommunikation in Richtung Extern oder von Richtung Extern gilt f r alle nicht explizit erfassten Telegramme alle Telegramme sind gesperrt au er den in der Liste explizit zugelassenen Telegrammen e Bei den Regeln f r die Kommunikation in Richtung Tunnel oder von Richtung Tunnel gilt f r alle nicht explizit erfassten Telegramme alle Telegramme sind zugelassen au er den in der Liste explizit gesperrten Telegrammen Hinweis IP Regeln greifen f r IP Pakete MAC Regeln greifen f r Layer 2 Pakete F r die Firewall k nnen Sie sowohl IP Regeln als auch MAC Regeln definieren Die Bearbeitung in der Firewall ist anhand des Ethertypes
50. anena ER a NA EAE E E AA EEA EAE 18 1 3 1 BTANA IET 01E ESI 0A i E E EEES EEE EEEE EAE ee else EE EE 18 1 3 2 Mengenger ste 2 2 seen a ea 20 1 3 3 Regeln f r Benutzernamen Rollen und Passw rter 24444004nsnnnnnnnnennenennnnennnnnenn 21 1 3 4 Baugruppe austauschen 44444440004nnnnnnnnnnnnennnnnnnnnnnnnnnannnnnnnnnnnnnnnannnnnnnennnnnnnannnnnn nn 22 1 4 Einsatz des SOFTNET Security Clients 4 us44440eennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 24 1 5 Eins tz von SCALANGE S602 2 2 22 202 nasse 25 1 6 Einsatz von SCALANCE S612 S623 und S627 2M 22uuuussennnnenenenensnnnnnnnnnnnnnsnsennnnnnnnenn 28 1 7 Einsatz der DMZ Schnittstelle von SCALANCE S623 und SCALANCE S627 2M 31 1 8 Einsatz der Medienmodulports von SCALANCE S627 2M nunsssssssnsnsnnnnnnnnnnnnnnnnnnnnnnnnann 35 1 9 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced u2u0s00000002eeeeneeennnnnnnnnn 36 1 10 Einsatz von GP 1628 44 2 2 28 a ne ne en 39 1 11 Projektierung und Administration 44440ssrnssennnnnnnnenennnnennnnnnnennnnnnnnnnnnnnennnnrnn nn 41 2 Projektierung mit Security Configuration Tool 44444 HRRnRnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 43 2 1 bersicht Leistungsumfang und Arbeitsweise uuueaeeesnseauennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen 43 2 2 Installation des Security Configuration Tools
51. auf R ckantwort Einstellbare Wartezeit f r den Ping welcher die Erreichbarkeit eines Tunnelpartners angeben soll Vor allem einzustellen bei Tunneln mit lang samen bertragungswegen UMTS GPRS etc bei denen die Laufzeit der Datenpakete deutlich erh ht ist Beeinflusst somit direkt die Anzeige der Erreich barkeit in der Tunnel bersicht Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten Funktion Beschreibung Optionen Erreichbarkeitstest global deaktivieren Wenn Sie diese Funktion aktivieren wird der Erreichbarkeitstest global f r alle enthaltenen Konfigurationen im SOFTNET Security Client deaktiviert Vorteil Es wird kein zus tzliches Datenvolumen erzeugt Nachteil Sie erhalten in der Tunnel bersicht keine R ckmeldung ob ein Tunnelpartner er reichbar ist oder nicht Tunnel bersicht Fenster bei nderung eines Wenn Sie diese Funktion aktivieren wird der gelernten Teilnehmers im Vordergrund zeigen Dialog Tunnel bersicht automatisch aufgeblen det wenn ein neuer interner Teilnehmer erkannt wurde Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 255 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten Security Grundlagen und Anwendung 256 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Online Funktionen Diagnose un
52. bevor Sie eine weitere Station ber den SIMATIC Manager oder NetPro ffnen Hinweis Keine STEP 7 Multiprojekte in Verbindung mit Security F r jedes STEP 7 Projekt wird beim Aktivieren von Security eine eigene eindeutige Security Konfiguration erstellt STEP 7 Multiprojekte werden daher in Verbindung mit Security nicht unterst tzt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 17 Einf hrung und Grundlagen 1 2 Einf hrung und Grundlagen 1 2 1 3 1 3 1 Einf hrung und Grundlagen Mit den SIMATIC NET Security Baugruppen und dem SIMATIC NET SOFTNET Security Client haben Sie sich f r das SIEMENS Sicherheitskonzept entschieden das den hohen Anforderungen gesch tzter Kommunikation in der industriellen Automatisierungstechnik gerecht wird Hinweis Aktuelle Antiviren Software Es wird empfohlen dass auf allen Projektierungsrechnern immer eine aktuelle Antiviren Software installiert ist Dieses Kapitel gibt Ihnen einen berblick ber die Sicherheitsfunktionen der Ger te und Komponenten e SCALANCE S e CP x43 1 Adv e CP 1628 e SOFTNET Security Client Tipp Den schnellen Einstieg mit den Security Baugruppen finden Sie im Dokument SIMATIC NET Security Getting Started Produkteigenschaften Funktions bersicht Funktions bersicht der Baugruppentypen 18 Entnehmen Sie der folgenden Tabelle welche Funktionen die einzelnen Security Baugruppen unt
53. cher der Security Baugruppe abgelegt und stehen deshalb nach einem Ausschalten der Spannungsversorgung nicht mehr zur Verf gung Security Grundlagen und Anwendung 264 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Online Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Funktion Register im Online Dialog Filterung der System Ereignisse Leitungsdiagnose se Projektierung Stellen Sie in diesem Sub Dialog f r die System Ereignisse eine Filterebene ein Standardm ig sind die folgenden Werte einge stellt e SCALANCE S Ebene 3 e CP Ebene 3 Die Leitungsdiagnose erzeugt ein spezielles System Ereignis Stel len Sie ein ab welchem Prozent satz fehlerhafter Telegramme ein System Ereignis erzeugt werden soll Weisen Sie dem System Ereignis eine Facility und eine Severity zu Bemerkungen W hlen Sie als Filterebene Error oder ei nen h heren Wert um die Aufzeichnung von allgemeinen nicht kritischen Ereignissen abzustellen Hinweis f r CP W hlen Sie f r den CP nur Ebene 3 oder Ebene 6 aus e Bei Auswahl von Ebene 3 werden die Fehlermeldungen der Ebenen 0 bis 3 ausgegeben e Bei Auswahl von Ebene 6 werden die Fehlermeldungen der Ebenen 0 bis 6 ausgegeben ber die Severity gewichten Sie die System Ereignisse der Leitungsdiagnose im Verh lt nis zur Severity der brigen System Ereignisse Hinweis Weisen Sie den System Ereignissen der Leitun
54. dem Projektierwerkzeug Security Configuration Tool und dem SOFTNET Security Client wird ber Konfigurationsdateien bedient Workstation Computer Fi Exportieren der Konfiguration f r Fl lg SOFTNET Security Client mittels lt Datentr ger i a SOFTNET gt Security Client 4 Die Konfiguration wird in folgenden Dateitypen hinterlegt e dat e p12 e cer Security Grundlagen und Anwendung 242 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 SOFTNET Security Client 8 3 Konfigurationsdatei mit Projektierwerkzeug Security Configuration Tool erstellen Vorgehensweise Um die Konfigurationsdateien zu erzeugen f hren Sie in SCT folgende Schritte aus 1 Legen Sie in SCT eine Baugruppe vom Typ SOFTNET Security Client an Security Confizuratien Tool Konfiguratson 1 CASCT Kanfiguration 1 Sto Projekt Besrbeiten finf gen bertragen Ansicht Optionen hilfe DEU Ax JAH h Ollino Asoicit Nr Name Tw IP Adresse ent Subnetmaskeed IP Adresseint Submetzmaskeint Standard p nn Wi Bougunmei 3627 2M v4 192 168 101 255 255 255 0 Baupaope2 2 Baugruppe SOFTNET Security Baugncoe WI Bougrumpe 5623 V amp 192 168 102 255 255 255 0 Praon A ro oe Fesnsanibesehrgen Screneie P Ayoreo Soret mase Borat Aktobe Benutzer admin Aktuelle Role administrator Standard Modus Offline o 2 Ordnen Sie die SSC Baugruppe den VPN Gruppen zu in denen der PG PC ber IPsec Tunnel kommunizie
55. deren Eigenschaften Sie projektieren wollen Im Detail Fenster k nnen Sie nun die verbindungsgranularen VPN Eigenschaften projektieren Die voreingestellten Werte sind den baugruppenspezifischen VPN Eigenschaften entnommen Parameter Parameter Bedeutung Initiator Responder Festlegung der Erlaubnis zur Initiierung des Verbindungs aufbaus Partner Baugruppe Anzeige des Baugruppennamens der Partner Baugruppe Art der bertragenen Pakete Anzeige des Layers auf dem die Pakete bertragen wer den Lokale Schnittstelle Festlegung der Schnittstelle die als VPN Endpunkt an der ausgew hlten Baugruppe verwendet werden soll Ist f r die Baugruppe ein WAN Zugangspunkt IP Adresse FQDN projektiert kann dieser hier ebenfalls ausgew hlt werden Partner Schnittstelle Festlegung der Schnittstelle die als VPN Endpunkt an der Partner Baugruppe verwendet werden soll Ist f r die VPN Gegenstelle ein WAN Zugangspunkt IP Adresse FQDN projektiert kann dieser hier ebenfalls ausgew hlt werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 219 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 6 Konfigurationsdaten f r SCALANCE M Baugruppen 6 6 Bedeutung 220 Konfigurationsdaten f r SCALANCE M Baugruppen Sie k nnen die VPN Informationen zur Parametrierung von SCALANCE M Baugruppen mit dem Security Configuration Tool generieren Mit den generierten Dateien
56. des Paketes geregelt IP Pakete werden abh ngig von den IP Regeln weitergeleitet bzw geblockt und Layer 2 Pakete werden abh ngig von den MAC Regeln weitergeleitet bzw geblockt Es ist nicht m glich ein IP Paket mit Hilfe einer MAC Firewall Regel beispielsweise hinsichtlich einer MAC Adresse zu filtern Beispiele Das Beispiel f r den IP Paketfilter in Kapitel 5 4 3 Seite 151 k nnen Sie sinngem auf die MAC Paketfilter Regeln anwenden 4 3 11 MAC Dienste definieren So erreichen Sie diese Funktion e ber den Men befehl Optionen gt MAC Dienste oder e Aus dem Register MAC Regeln ber die Schaltfl che MAC Dienste Bedeutung Mit Hilfe der MAC Dienst Definitionen k nnen Sie Firewall Regeln die auf bestimmte Dienste angewendet werden definieren Sie vergeben einen Namen und ordnen diesem die Dienstparameter zu Zus tzlich k nnen Sie so definierte Dienste unter einem Gruppennamen zu Gruppen zusammenfassen Bei der Projektierung der globalen oder lokalen Paketfilter Regeln verwenden Sie dann diese Namen Security Grundlagen und Anwendung 164 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Parameter f r MAC Dienste Tabelle 4 19 MAC Dienste Parameter Firewall projektieren 4 3 Firewall im Erweiterten Modus Eine MAC Dienst Definition beinhaltet eine Kategorie protokoll spezifischer MAC Parameter Bezeichnung Name Protokoll Bedeutung Kommentar Frei definierbarer Name f r den
57. des Security Configuration Tools angezeigt und global projektiert SCALANCE S V4 RADIUS Benutzerspezifischen IP Regels tzen k nnen neben einzelnen oder mehreren Benutzern auch einzelne oder mehrere Rollen zugewiesen sein e Lokale Firewall Regeln sind jeweils einer Security Baugruppe zugewiesen Sie werden im Eigenschaftsdialog der Security Baugruppen projektiert Einer Security Baugruppe k nnen mehrere lokale Firewall Regeln mehrere globale Firewall Regels tze und mehrere benutzerspezifische IP Regels tze zugewiesen werden 4 3 2 Globale Firewall Regels tze Anwendung Globale Firewall Regels tze werden baugruppenunabh ngig auf Projektebene projektiert und sind im Navigationsbereich des Security Configuration Tools sichtbar Ein globaler Firewall Regelsatz besteht aus einer oder mehreren Firewall Regeln und wird mehreren Security Baugruppen zugewiesen Unterschieden wird bei den globalen Firewall Regels tzen zwischen e P Regels tzen e MAC Regels tzen Die folgende Darstellung verdeutlicht den Zusammenhang zwischen global definierten Regels tzen und lokal verwendeten Regels tzen Security Grundlagen und Anwendung 140 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus Projekt lobaler Regelsat ee iaa Security Baugruppe globaler Regelsatz 2 lokalerRegelsatz globaler Regelsatz 1 EA J lokale Regel 11 globaler Regelsatz 2 lokale Regel I2 global
58. die von einer der beiden Zertifizierungsstellen angelegt werden haben immer einen privaten Schl ssel damit die Ger tezertifikate abgeleitet werden k nnen Zus tzlich stehen Ihnen im Zertifikatsmanager die folgenden Funktionen zur Auswahl e Importieren von neuen Zertifikaten und Zertifizierungsstellen e Importieren von FTPS Zertifikaten wenn der CP als FTP Client verwendet wird e Exportieren der im Projekt verwendeten Zertifikate und Zertifizierungsstellen e Erneuern von abgelaufenen Zertifikaten und Zertifizierungsstellen e Ersetzen bestehender Zertifizierungsstellen Hinweis Laden des Projekts Nach dem Ersetzen oder Erneuern von Zertifikaten muss das Projekt auf die entsprechende Security Baugruppe geladen werden Nach dem Ersetzen oder Erneuern von CA Zertifikaten muss das Projekt auf alle Security Baugruppen geladen werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 83 Projektierung mit Security Configuration Tool 2 6 Zertifikate verwalten Hinweis Aktuelles Datum und aktuelle Uhrzeit auf den Security Baugruppen Achten Sie bei der Verwendung von gesicherter Kommunikation z B HTTPS VPN darauf dass die betroffenen Security Baugruppen ber die aktuelle Uhrzeit und das aktuelle Datum verf gen Die verwendeten Zertifikate werden sonst als nicht g ltig ausgewertet und die gesicherte Kommunikation funktioniert nicht So erreichen Sie diese Funktion Men bef
59. e DMZ nach Intern e DMZ nach Extern Wenn sich die SCALANCE S Baugruppe in einer VPN Gruppe nicht f r SCALANCE S602 befindet kann die Aktion Destination NAT zus tzlich in folgenden Richtungen durchgef hrt werden e Tunnel nach Intern e Tunnel nach Extern e Tunnel nach DMZ nur bei aktivierter DMZ Schnittstelle F r die Richtung Extern nach Intern gilt beispielsweise Die Ziel IP Adresse eines vom externen Netz kommenden Telegramms wird auf bereinstimmung mit der IP Adresse gepr ft die im Eingabefeld Ziel IP Adresse angegeben ist Bei bereinstimmung wird das Telegramm in das interne Netz weitergeleitet indem die Ziel IP Adresse des Telegramms durch die IP Adresse ersetzt wird die im Eingabefeld Ziel Umsetzung angegeben ist Der Zugriff von Extern nach Intern ber die externe IP Adresse ist m glich Die folgende Tabelle zeigt das Eingabeschema f r die Aktion Destination NAT Feld Quell IP Adresse M gliche Eingaben Bedeutung F r diese Aktion nicht relevant Quell Umsetzung F r diese Aktion nicht relevant 176 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Feld M gliche Eingaben Ziel IP Adresse IP Adresse im Quell Netz Bedeutung Ziel IP Adresse im Quell Netz ber die auf eine IP Adresse im Ziel Netz zugegriffen werden soll Die Ziel IP Adres
60. einem SCALANCE S im Bridge oder Routing Modus hinzugef gt werden e F r CP SSC NCP VPN Client Android Befindet sich ein CP SSC NCP VPN Client Android als erstes in einer VPN Gruppe dann k nnen Baugruppen in beliebigen Modi hinzugef gt werden bis eine SCALANCE S oder SCALANCE M Baugruppe hinzugef gt wird Ab diesem Zeitpunkt gelten die Regeln f r SCALANCE S und SCALANCE M Baugruppen siehe oben e Es ist nicht m glich eine SCALANCE M Baugruppe einer VPN Gruppe hinzuzuf gen die eine SCALANCE S Baugruppe im Bridge Modus enth lt Entnehmen Sie der folgenden Tabelle welche Baugruppen in einer VPN Gruppe zusammengefasst werden k nnen Tabelle 6 1 Regeln f r die Bildung von VPN Gruppen Baugruppe Kann aufgenommen werden in VPN Gruppe mit folgender ent haltener Baugruppe SCALANCE S im SCALANCE S im CP SSC Bridge Modus Routing Modus SCALANCE M VPN Ger t NCP VPN Client An droid SCALANCE S im Bridge Modus x x SCALANCE S im Routing Modus x x CP x43 1 Adv x x x CP 1628 x x x SOFTNET Security Client 2005 x Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 205 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 3 VPN Gruppen 6 3 2 Bedeutung 206 Baugruppe Kann aufgenommen werden in VPN Gruppe mit folgender ent haltener Baugruppe SCALANCE S im SCALANCE S im CP SSC Bridge Modus Routing Modus SCALAN
61. einem SCALANCE S abgesichert sind e externes Netz ungesch tzte Bereiche mit den externen Knoten Externe Knoten sind alle Knoten die sich au erhalb der gesch tzten Bereiche befinden Hinweis Die internen Netze werden als sicher vertrauensw rdig betrachtet Verbinden Sie ein internes Netzsegment nur ber SCALANCE S mit den externen Netzsegmenten Weitere Verbindungswege zwischen dem internen und externen Netz d rfen nicht vorhanden sein Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 27 Einf hrung und Grundlagen 1 6 Einsatz von SCALANCE S612 S623 und S627 2M 1 6 Einsatz von SCALANCE S612 S623 und S627 2M Umfassender Schutz Aufgabe von SCALANCE S612 SCALANCE S623 und SCALANCE S627 2M Durch die Kombination unterschiedlicher Sicherheitsma nahmen wie Firewall NAT NAPT Router und VPN Virtual Private Network ber IPsec Tunnel sch tzen die Security Baugruppen SCALANCE S612 SCALANCE S623 und SCALANCE S627 2M einzelne Ger te oder auch ganze Automatisierungszellen vor e Datenspionage e Datenmanipulation e unerw nschten Zugriffen SCALANCE S erm glicht diesen Schutz flexibel r ckwirkungsfrei protokollunabh ngig ab Layer 2 gem IEEE 802 3 und ohne komplizierte Handhabung SCALANCE S und SOFTNET Security Client werden mit dem Projektierwerkzeug Security Configuration Tool konfiguriert Service Computer mit SOFTNET ku B E A Security Client
62. einen Listeneintrag im Register Zertifizierungsstellen 2 W hlen Sie den Eintrag Zertifikat ersetzen 3 Der Dialog Zertifizierungsstelle austauschen wird ge ffnet Alle im Feld Betroffene Zertifikate aufgelisteten Zertifikate werden neu abgeleitet Somit kann das CA Zertifikat einer bereits projektierten VPN Gruppe innerhalb des SCT Projekts durch das CA Zertifikat einer VPN Gruppe aus einem anderen SCT Projekt ersetzt werden Die VPN Gruppen Zertifikate f r die Teilnehmer der VPN Gruppe werden also in beiden Projekten von dem gleichen CA Zertifikat abgeleitet Falls beim Schlie en des Zertifikatmanagers ein Hinweisdialog erscheint laden Sie die ge nderte Konfiguration erneut auf die Security Baugruppe Welches Format darf das Zertifikat haben Von dem importierten CA Zertifikat werden weitere Zertifikate in SCT abgeleitet Deshalb k nnen Sie nur Zertifikate mit privatem Schl ssel ausw hlen e p12 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 87 Projektierung mit Security Configuration Tool 2 6 Zertifikate verwalten Security Grundlagen und Anwendung 88 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 Das vorliegende Kapitel macht Sie damit vertraut wie Baugruppen angelegt werden und welche Einstellungen f r die einzelnen Baugruppen in einem Projekt m glich sind Weitere Informationen Detailinformatione
63. folgenden Tabellen beschrieben Quell IP Adresse Quell Adresse der IP Pakete Ziel IP Adresse Ziel Adresse der IP Pakete Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 Siehe folgender Abschnitt in diesem Kapitel e P Paketfilter Regeln Seite 151 Alternativ k nnen Sie symbolische Namen eingeben Hinweis zum Ghost Modus Bei aktiviertem Ghost Modus wird die IP Adresse des internen Teilnehmers zur Laufzeit dynamisch von der Security Baugruppe ermittelt Je nach ausgew hlter Rich tung k nnen Sie keine Eingaben in der Spalte Quell IP Adresse bei Richtung Von Intern nach Extern bzw in der Spalte Ziel IP Adresse bei Richtung Von Extern nach Intern machen Stattdessen wird die IP Adresse durch den SCALANCE S selbst automatisch in die Fire wall Regel eingef gt 151 Firewall projektieren 4 3 Firewall im Erweiterten Modus Bezeichnung Dienst Bedeutung Kommentar Name des verwendeten IP ICMP Dienstes oder der Dienstgruppe Mit Hilfe der Dienst Definitionen k n nen Sie Paketfilter Regeln definieren Sie w hlen hier einen der von Ihnen im Dialog IP Dienste definierten Dienste e P Dienste e ICMP Dienste e Dienstgruppe mit enthaltenen IP und oder ICMP Diensten Wenn Sie noch keine Dienste defi niert haben oder einen weiteren Dienst definieren m chten bet tigen Sie die Schaltfl che IP Dienste im Register IP Regel
64. fung diese Regeln m ssen Sie beachten Beachten Sie unter anderem folgende Regeln um konsistente Eintr ge zu erhalten e Die IP Adresse der internen Schnittstelle darf nicht in der NAT NAPT Tabelle verwendet werden e Eine IP Adresse die in der NAT NAPT Adressumsetzungsliste verwendet wird darf keine Multicast Adresse und keine Broadcast Adresse sein e Die f r die NAPT Umsetzung vergebenen externen Ports liegen im Bereich gt 0 und lt 65535 Port 123 NTP 443 HTTPS 514 Syslog 161 SNMP 67 68 DHCP und 500 4500 IPsec sind davon ausgeschlossen sofern die jeweiligen Dienste auf der Security Baugruppe aktiviert sind e Die externe IP Adresse der Security Baugruppe bzw die IP Adresse der DMZ Schnittstelle darf in der NAT Tabelle nur f r die Aktion Source NAT verwendet werden e Duplikatspr fung in der NAT Tabelle Eine externe IP Adresse bzw eine IP Adresse im DMZ Netz die mit Richtung Destination NAT Source NAT Destination NAT oder Double NAT verwendet wird darf in jeder angegebenen Richtung nur einmal verwendet werden e Duplikatspr fung in der NAPT Tabelle Eine Quell Portnummer darf f r jede Schnittstelle nur einmal eingetragen sein Die Portnummern bzw Portbereiche der externen Ports und der DMZ Ports d rfen sich nicht berschneiden e Interne NAPT Ports k nnen im Bereich gt 0 und lt 65535 liegen F hren Sie nach Abschluss Ihrer Eingaben eine Konsistenzpr fung durch W
65. gesichert miteinander kommunizieren e Protokollunabh ngigkeit Die Tunnelung umfasst auch Ethernet Telegramme gem IEEE 802 3 Layer 2 Telegramme gilt nicht wenn der Router Betrieb genutzt wird Durch die IPsec Tunnel werden sowohl IP als auch Non IP Telegramme bertragen e PPPoE Point to Point Protocol over Ethernet RFC 2516 zum automatischen Bezug von IP Adressen vom Provider so dass der Einsatz eines separaten DSL Routers entfallen kann e Client f r dynamisches DNS DDNS Client Dynamischer Domain Name Service zur Verwendung dynamischer IP Adressen wenn ein SCALANCE S bei Fernwartungsszenarien in Verbindung mit dem SOFTNET Security Client SCALANCE M Baugruppen SCALANCE S Baugruppen oder anderen VPN Clients als VPN Server eingesetzt wird e SNMPVv3 Zur abh rsicheren bertragung von Netzwerkanalyseinformationen e Router Betrieb Indem Sie SCALANCE S als Router betreiben verbinden Sie das interne Netz mit dem externen Netz Das ber SCALANCE S verbundene interne Netz wird somit zu einem eigenen Subnetz e Schutz f r Ger te und Netzsegmente Die Schutzfunktion Firewall und VPN kann sich ber den Betrieb einzelner Ger te mehrerer Ger te wie auch ganzer Netzsegmente erstrecken Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 29 Einf hrung und Grundlagen 1 6 Einsatz von SCALANCE S612 5623 und 5627 2M Zus tzliche DMZ Schnittstelle In einer demilitari
66. ist f r folgende SIMATIC NET Baugruppen g ltig Baugruppe MLFB SCALANCE S602 6GK5 602 0BA10 2AA3 SCALANCE S612 6GK5 612 0BA10 2AA3 SCALANCE S623 6GK5 623 0BA10 2AA3 SCALANCE S627 2M 6GK5 627 2BA10 2AA3 CP 343 1 Advanced ab V3 6GK7 343 1GX31 0XE0 CP 443 1 Advanced ab V3 6GK7 443 1GX30 0XE0 CP 1628 6GK1162 8AA00 Security Grundlagen und Anwendung 4 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Vorwort Dieses Handbuch ist f r folgende SIMATIC NET Projektierungswerkzeuge g ltig Projektierungswerkzeug MLFB Ausgabestand SOFTNET Security Client 6GK1 704 1VWO4 0AAO V4 0 Hotfix 1 Security Configuration Tool SCT v4 1 Leserkreis Dieses Handbuch wendet sich an Personen welche die Industrial Ethernet Security Funktionalit ten in einem Netzwerk einrichten SIMATIC NET Manual Collection Bestell Nr ASE00069051 SCALANCE S Baugruppen den S7 CPs sowie dem PC CP 1628 liegt die SIMATIC NET Manual Collection bei Diese Manual Collection wird in regelm igen Abst nden aktualisiert sie enth lt die zum Erstellungszeitpunkt aktuellen Ger tehandb cher und Beschreibungen Marken Folgende und eventuell weitere nicht mit dem Schutzrechtsvermerk gekennzeichnete Bezeichnungen sind eingetragene Marken der Siemens AG C PLUG CP 343 1 CP 443 1 Industrial Ethernet SCALANCE SIMATIC NET SOFTNET In dieser Anleitung verwendete Symbole Das beschriebene Kapitel der be
67. k nnen Sie dann die SCALANCE M Baugruppen konfigurieren Folgende Dateitypen werden erzeugt e Exportdatei mit den Konfigurationsdaten Dateityp txt Datei im ASCII Format Enth lt die exportierten Konfigurationsinformationen f r den SCALANCE M einschlie lich einer Information ber die zus tzlich erzeugten Zertifikate Exportdatei f r SCALANCE M875 Baugruppen Datei Bearbeiten Format Ansicht SCALANCE M875 MD741 1 Informationen f r die Konfiguration des SCALANCE M875 MD741 1 Baugruppel verbindung zwischen Baugruppel und Baugruppe2 IPSec VPN gt Zertifikate Gegenstellen Zertifikat hochladen Konfiguration 1 Gruppel Baugruppe2 cer PKCS12 Datei p12 hochladen Konfiguration 1 U701515CF GEIC4 Baugruppel p12 IPSec VPN gt Verbindungen gt VPN Standard Modus Einstellungen bearbeiten Adresse des VPN Gateways der Gegenstelle 192 168 1 Authentisierungsverfahren x 509 E EEE Gegenstellen Zertifikat Konfiguration 1 Gruppel Baugruppe2 cer Remote ID UA65DSIFF GEICA Lokale ID U701515CF GE1C4 Adresse des gegen berliegenden Netzes 192 168 8 0 Netzmaske des EUSTHREL LEGEN N Be Netzes 255 255 255 0 Adresse des lokalen Netzes 192 168 9 0 Netzmaske des lokalen Netzes 255 255 255 0 IPSec VPN gt Verbindungen gt IKE Bearbeiten Phase 1 ISAKMP_SA ISAKMP SA Verschl sselung 3DES 168 ISAKMP SA Hash SHA 1 ISAKMP SA Modus Main Mode ISAKMP SA Lebensdauer 86400 Phase 2 IPSec_SA Ipsec SA ver
68. lokalen PG PC abgelegt Anschlie end werden mit den Daten aus der Konfiguration Security Einstellungen vorgenommen damit Applikationen ber IP Adressen auf Dienste auf und hinter den Security Baugruppen zugreifen k nnen Ist der Lernmodus f r die internen Teilnehmer bzw Automatisierungsger te aktiviert stellt die Konfigurationsbaugruppe zun chst eine Sicherheitsrichtlinie f r den gesicherten Zugriff auf die Security Baugruppen ein Danach ermittelt der SOFTNET Security Client die IP Adressen der jeweils internen Teilnehmer und tr gt diese in spezielle Filterlisten der Sicherheitsrichtlinie ein Ergebnis Applikationen wie z B STEP 7 kommunizieren ber VPN mit den Automatisierungsger ten Hinweis Auf einem Windows System sind die IP Sicherheitsrichtlinien benutzerspezifisch hinterlegt Unter einem Benutzer kann jeweils nur eine IP Sicherheitsrichtlinie g ltig sein Wenn eine vorhandene IP Sicherheitsrichtlinie nicht durch die Installation des SOFTNET Security Client berschrieben werden soll nehmen Sie die Installation und Nutzung des SOFTNET Security Client unter einem speziell daf r eingerichteten Benutzer vor Unterst tzte Betriebssysteme Der SOFTNET Security Client ist f r den Einsatz unter den folgenden Betriebssystemen geeignet e Microsoft Windows XP 32 Bit Service Pack 3 e Microsoft Windows 7 Professional 32 64 Bit e Microsoft Windows 7 Professional 32 64 Bit Service Pack 1 e Microsoft Windows 7
69. mit den Subnetzen erlauben 6 9 2 Arbeitsweise des Lernmodus Teilnehmer f r die Tunnelkommunikation automatisch finden nur bei SCALANCE S im Bridge Modus Ein gro er Vorteil f r die Konfiguration und den Betrieb der Tunnelkommunikation ist dass SCALANCE S Baugruppen die Teilnehmer in internen Netzen selbstt tig auffinden k nnen Auf diese Weise m ssen Sie die internen Netzknoten die an der Tunnelkommunikation teilnehmen sollen nicht manuell konfigurieren Neue Teilnehmer werden von der SCALANCE S Baugruppe im laufenden Betrieb erkannt Die erkannten Teilnehmer werden an die SCALANCE S Baugruppe gemeldet die zur selben VPN Gruppe geh ren Dadurch ist der Datenaustausch innerhalb der Tunnel einer VPN Gruppe jederzeit in beide Richtungen gew hrleistet Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 229 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 9 Interne Netzknoten konfigurieren Voraussetzungen 230 Erkannt werden folgende Teilnehmer IP f hige Netzknoten IP f hige Netzknoten werden gefunden wenn eine ICMP Antwort auf den ICMP Subnetz Broadcast gesendet wird IP Knoten hinter Routern sind auffindbar wenn die Router ICMP Broadcasts weiterleiten ISO Netzknoten Netzknoten die zwar nicht IP f hig sind jedoch ber ISO Protokolle ansprechbar sind k nnen ebenfalls gelernt werden Voraussetzung ist dass sie auf XID bzw TEST Telegramme antworten TEST un
70. oder mehrere Rollen zu Die Zuweisung von Rollen an benutzerspezifische IP Regels tze ist nur f r SCALANCE S V4 Baugruppen m glich Hinweis Zuordnung von benutzerspezifischen IP Regels tzen e Einer Security Baugruppe kann nur ein benutzerspezifischer IP Regelsatz pro Benutzer zugewiesen werden e Durch die Zuordnung wird f r alle Benutzer bzw Rollen welche dem IP Regelsatz zugeordnet sind implizit das Recht Benutzer Rolle darf sich an Baugruppe anmelden aktiviert 7 Ordnen Sie den benutzerspezifischen IP Regelsatz den Security Baugruppen zu in denen dieser verwendet werden sollen Selektieren Sie dazu im Navigationsbereich den benutzerspezifischen IP Regelsatz und ziehen Sie diesen auf die Security Baugruppen im Navigationsbereich Drag and Drop Alternativ k nnen Sie die Zuordnung in der lokalen Regelliste einer Security Baugruppe ber die Schaltfl che Regels tze hinzuf gen vornehmen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 145 Firewall projektieren 4 3 Firewall im Erweiterten Modus Ergebnis e Der benutzerspezifische IP Regelsatz wird von den Security Baugruppen als lokaler Regelsatz verwendet und erscheint automatisch in der baugruppenspezifischen Liste der Firewall Regeln e Der Benutzer kann sich an der Security Baugruppe anmelden Die Authentifizierung des Benutzers wird je nach eingestellter Authentifizierungsmethode von der Security Baugruppe oder v
71. r die angegebenen Adressen Die Adressen werden getrennt durch ein Semikolon angegeben e Adressband Die Regel gilt f r alle im Adressband erfassten IP Adressen Ein Adressband wird definiert indem die Anzahl der g ltigen Bit Stellen in der IP Adresse angegeben wird und zwar in der Form IP Adresse Anzahl der zu ber cksichtigenden Bits IP Adresse 24 bedeutet demnach dass nur die h chstwertigen 24 Bit der IP Adresse in der Filterregel ber cksichtigt werden das sind die ersten drei Stellen der IP Adresse IP Adresse 25 bedeutet dass nur die ersten drei Stellen und das h chstwertige Bit der vierten Stelle der IP Adresse in der Filterregel ber cksichtigt werden e Adressbereich F r die Quell IP Adresse kann ein Adressbereich getrennt durch einen Bindestrich angegeben werden Start IP Adresse End IP Adresse N here Informationen finden Sie in folgendem Kapitel e Nertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs Seite 273 Tabelle 4 13 Beispiele f r Adressband bei IP Adressen Quell IP Adresse bzw Adressband Anzahl Ziel IP Adresse Adressen von bis 192 168 0 0 16 192 168 0 0 192 168 255 255 65 536 192 168 10 0 24 192 168 10 0 192 168 10 255 256 192 168 10 0 25 192 168 10 0 192 168 10 127 128 192 168 10 0 26 192 168 10 0 192 168 10 63 64 192 168 10 0 27 192 168 10 0 192 168 10 31 32 192 168 10 0 28 192 168 10 0 192 168 10 15 16 192 168 10 0 29 192
72. si IP Adresse int Subnetzmaskeint Standard Ae Bauguppen ceee Baugruppe 1 Baugruppe S627 2MV4 192 168 10 1 un 192 168 10 2 PNG Bereit Aktueller Benutzer admin Aktuelle Rolle administrator Standard Modus Offline 9 Hinweis Wird der Name einer Baugruppe ge ndert dann m ssen alle Baugruppen derjenigen VPN Gruppen denen die ge nderte Baugruppe angeh rt neu konfiguriert werden Men befehl bertragen gt An alle Baugruppen Wird der Name einer VPN Gruppe ge ndert dann m ssen alle Baugruppen dieser VPN Gruppe neu konfiguriert werden Men befehl bertragen gt An alle Baugruppen Hinweis Layer 2 Telegramme werden auch getunnelt wenn sich zwischen zwei Baugruppen ein Router befindet Dazu m ssen jedoch die MAC Adressen der Kommunikationspartner statisch im Security Configuration Tool konfiguriert werden und gegebenenfalls statische ARP Eintr ge auf den Kommunikationsger ten eingetragen werden Allgemein gilt Non IP Telegramme werden nur dann durch einen Tunnel bertragen wenn die Ger te die die Telegramme senden bzw empfangen auch schon vorher d h ohne den Einsatz der Baugruppen kommunizieren konnten 6 2 Authentifizierungsverfahren Authentifizierungsverfahren Das Authentifizierungsverfahren wird innerhalb einer VPN Gruppe festgelegt und bestimmt die Art der verwendeten Authentifizierung Security Grundlagen und Anwendung Projektierungshandbuch 12 2014
73. und Firewall Seite 184 5 2 Security Baugruppe als DHCP Server 5 2 1 bersicht bersicht Sie k nnen die Security Baugruppe am internen Netz und am DMZ Netz als DHCP Server DHCP Dynamic Host Configuration Protokoll betreiben Damit ist es m glich den angeschlossenen Ger ten automatisch IP Adressen zuzuweisen Der gleichzeitige DHCP Server Betrieb an beiden Schnittstellen ist m glich Die IP Adressen werden entweder dynamisch aus einem von Ihnen vergebenen Adressband verteilt oder es wird gem Ihrer Vorgabe eine bestimmte IP Adresse einem bestimmten Ger t zugewiesen Sollen Ger te an der internen Schnittstelle bzw an der DMZ Schnittstelle f r die Firewall Konfiguration immer die gleiche IP Adresse bekommen darf die Adresszuordnung nur statisch anhand der MAC Adresse oder anhand der Client ID erfolgen Security Grundlagen und Anwendung 188 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Voraussetzung Siehe auch Weitere Baugruppeneigenschaften projektieren 5 2 Security Baugruppe als DHCP Server Sie m ssen die Ger te im internen Netz bzw im DMZ Netz so konfigurieren dass diese die IP Adresse von einem DHCP Server beziehen Je nach Betriebsart bermittelt die Security Baugruppe den Teilnehmern im jeweiligen Subnetz eine IP Adresse des Standard Routers oder Sie m ssen den Teilnehmern im Subnetz eine Router IP Adresse bekannt machen e Router IP Adresse wird bermittelt In folgenden F llen wird d
74. und Inbetriebnahme des SOFTNET Security Client een 240 8 2 1 SOFTNET Security Client installieren und starten ssseseeeeeeeeeeereserreserrssrerresrrrrssrerreset 240 8 2 2 SOFTNET Security Client deinstallieren 4444snnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 241 8 3 Konfigurationsdatei mit Projektierwerkzeug Security Configuration Tool erstellen 242 8 4 SOFTNET Security Client bedienen 4444444444snnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 244 8 5 Tunnel einrichten und bearbeiten 224444442242024000H0RnnnB0nHnnnnnnnannannannnnnnnnnnnnnnnnn nenn 246 9 Online Funktionen Diagnose und Logging unzsersennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnannnnnnrnnnnnnnnnarnnnnnn 257 9 1 Funktions bersicht Online Dialog 4444444ssnnnnnnnnnnnnnnnnnnnnnnnnnnnnn ann nnnnnnnnnnn nn 259 9 2 Ereignisse aufzeichnen Logging 4444444440Hnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 261 9 2 1 Lokales Logging Einstellungen in der Konfiguration u s444ssssnnnennnnnnnnnnnnnnennnnnnn 263 9 2 2 Netzwerk Syslog Einstellungen in der Konfiguration ussrsnnneensnnnnnnnnnnnnnn nn 265 9 2 3 Projektierung des Paket Logging 22 4 4222000 4n2400HHnnnnnnennnnnnnennnnnnnannnnnnnennnnnnnennnen 269 A aa ot 11 0 ERRSCRERFHERESFEFEFFFEFEFEEEFESSPRFEFSTHEREBERETTEEST
75. unsicheren Netz oder per VPN angeschlossene Clients Die Firewall Regeln k nnen so projektiert werden dass vom Internet Zugriffe auf Ger te in der DMZ aber nicht auf das interne Netz m glich sind F r erh hten Schutz k nnen erlaubte Zugriffe ausschlie lich auf VPN Datenverkehr eingeschr nkt werden Eine exemplarische Konfiguration in welcher die DMZ Schnittstelle zur Einrichtung einer DMZ genutzt wird wird im Kapitel 4 2 SCALANCE S als Firewall zwischen externem Netz und DMZ des Handbuchs SIMATIC NET Industrial Ethernet Security Security einrichten durchgef hrt Um auch Ger ten in der DMZ eine dynamische IP Adresse zuweisen zu k nnen kann auf der DMZ Schnittstelle ein DHCP Server aktiviert werden Allerdings muss in einem solchen Anwendungsfall daf r gesorgt werden dass die Ger te in der DMZ per DHCP immer die gleiche IP Adresse bekommen da diese IP Adressen bei der Firewall Konfiguration zu benutzen sind D h bei der DHCP Projektierung darf nicht die dynamische Adressvergabe sondern nur die statische Adressvergabe anhand der MAC Adresse oder anhand der Client ID verwendet werden Die DMZ Schnittstelle kann als VPN Endpunkt genutzt werden In Verbindung mit einem DSL Modem wird die DMZ Schnittstelle dann im PPPoE Modus betrieben bzw in Verbindung mit einem vorgeschalteten DSL Router mit statischer IP Adresse Eine exemplarische Konfiguration in welcher die DMZ Schnittstelle zum Fernzugriff ber einen VPN Tunnel genutzt wird
76. wie Sie die von der Security bzw SCALANCE M Baugruppe gesch tzten IP Subnetze zu einem VPN Virtual Private Network verbinden Wie bereits im Kapitel zu den Baugruppeneigenschaften beschrieben k nnen Sie es auch hier bei Standard Einstellungen belassen um eine sichere Kommunikation Ihrer internen Netze zu gew hrleisten Weitere Informationen Detailinformationen zu den Dialogen und den einstellbaren Parametern gibt Ihnen auch die ur Online Hilfe E fi Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen Dialog Siehe auch Online Funktionen Diagnose und Logging Seite 257 6 1 VPN mit Security und SCALANCE M Baugruppen Sichere Verbindung durch ungesch tztes Netz F r Security und SCALANCE M Baugruppen die das interne Netz sch tzen stellen IPsec Tunnel eine gesicherte Datenverbindung durch das unsichere externe Netz zur Verf gung Durch den Datenaustausch ber IPsec werden f r die Kommunikation die folgenden Sicherheitsaspekte realisiert e Vertraulichkeit Stellt sicher dass die Daten verschl sselt bertragen werden e Integrit t Stellt sicher dass die Daten nicht ver ndert worden sind e Authentizit t Stellt sicher dass die VPN Endpunkte auch vertrauensw rdig sind Die Baugruppe verwendet f r die Tunnelung das IPsec Protokoll Tunnelmodus von IPsec Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 201 Gesicherte Kommunika
77. zur Zeitsyn chronisierung genutzt werden werden NTP Anfragen ber UDP Port 123 bertragen Diese Portbelegung ist nicht nderbar Erkennbare IP Adressen und Subnetzmasken Die Security Baugruppe erkennt ausschlie lich interne Teilnehmer die IP Adressen im Bereich der Netzklassen A B oder C aufweisen Die Subnetzmaske wird entsprechend der zugeh rigen Netzklasse von der Security Baugruppe ermittelt siehe Tabelle Netzklassen und zugeh rige Subnetzmasken Damit die Subnetzmaske korrekt ermittelt werden kann muss f r den internen Teilnehmer ein Standard Router eingetragen sein Teilnehmer mit IP Adressen der Netzklassen D und E werden von der Security Baugruppe abgelehnt Tabelle 3 8 Netzklassen und zugeh rige Subnetzmasken Security Grundlagen und Anwendung Netzklasse IP Adressen Subnetzmaske Untergrenze Obergrenze A 0 0 0 0 127 255 255 255 255 0 0 0 B 128 0 0 0 191 255 255 255 255 255 0 0 C 192 0 0 0 223 255 255 255 255 255 255 0 D 224 0 0 0 239 255 255 255 Wird von Security Baugruppe abge lehnt E 240 0 0 0 255 255 255 255 Wird von Security Baugruppe abge lehnt Projektierungshandbuch 12 2014 C79000 G8900 C286 04 113 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Mengenger st Es wird maximal ein interner Teilnehmer von der Security Baugruppe erkannt Die Security Baugruppe verh lt sich bei mehreren internen Teilnehmern wie folg
78. 00 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 3 VPN Gruppen Tabelle 6 2 Tunnelkommunikation zwischen CPs SCALANCE M Baugruppen SOFTNET Security Clients und SCALANCE S Baugruppen im Routing Modus x wird unterst tzt wird nicht unterst tzt Responder Schnittstelle Initiator Extern SCALANCE Extern SCALANCE M GBit IE Extern DMZ SCALANCE Schnittstelle M875 800 CP SCALANCE S623 S627 2M S PC PG x x x SSC Extern x x SCALANCE M875 Extern x x SCALANCE M 800 GBit IE x x CP Extern x x SCALANCE S DMZ x x SCALANCE S623 S627 2M Tabelle 6 3 Tunnelkommunikation zwischen CPs SOFTNET Security Clients und SCALANCE S Baugruppen im Bridge Modus Initiator Schnittstelle PC PG SSC GBit IE CP Responder Schnittstelle Extern SCALANCE S DMZ SCALANCE 623 S627 2M GBit IE CP Extern SCALANCE S x x x x x x DMZ SCALANCE S623 S627 2M x wird unterst tzt wird nicht unterst tzt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 207 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 3 VPN Gruppen 6 3 3 VPN Gruppen anlegen und Baugruppen zuordnen Voraussetzung Hinweis Aktuelles Datum und aktuelle Uhrzeit auf den Baugruppen Achten Sie bei der Verwendung von gesicherter Kommunikation z B HTTPS VP
79. 168 10 0 192 168 10 7 8 192 168 10 0 30 192 168 10 0 192 168 10 3 4 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 157 Firewall projektieren 4 3 Firewall im Erweiterten Modus 4 3 7 IP Dienste definieren So erreichen Sie diese Funktion e ber den Men befehl Optionen gt IP Dienste oder e Aus dem Register IP Regeln ber die Schaltfl che IP Dienste Bedeutung Mit Hilfe der IP Dienst Definitionen k nnen Sie Firewall Regeln die auf bestimmte Dienste angewendet werden kompakt und bersichtlich definieren Sie vergeben hierbei einen Namen und ordnen diesem die Dienstparameter zu Zus tzlich k nnen Sie so definierte Dienste wiederum unter einem Gruppennamen zu Gruppen zusammenfassen Bei der Projektierung der globalen oder lokalen Paketfilter Regeln verwenden Sie dann diese Namen Parameter f r IP Dienste Die Definition der IP Dienste erfolgt ber folgende Parameter Tabelle 4 14 IP Dienste Parameter Bezeichnung Bedeutung Kommentar Auswahlm glichkeiten Wer tebereiche Name Frei definierbarer Name f r den Dienst der zur freie Eingabe Identifikation in der Regeldefinition oder in der Gruppenzusammenfassung verwendet wird Protokoll Name des Protokolltyps TCP UDP Alle Quell Port Es erfolgt eine Filterung anhand der hier angegebe Bei der Protokollauswahl Al nen Portnummer diese definiert den Dienstzugang le ist k
80. 2 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 2 4 2 4 1 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Projekte anlegen und verwalten Security Configuration Tool Standalone Variante Dr Projektierung mit dem Security Configuration Tool Standalone 2 4 2 Projektierung Das Security Configuration Tool Standalone wird f r die Erstellung von Security Projekten verwendet in welchen keine Security Baugruppen projektiert werden die in STEP 7 erstellt und konfiguriert werden m ssen ber den Men befehl Projekt gt Neu legen Sie ein neues Projekt an Dieses umfasst s mtliche Konfigurations und Verwaltungsinformationen f r ein oder mehrere SCALANCE S SOFTNET Security Clients SCALANCE M Ger te VPN Ger te sowie NCP VPN Clients Android F r jedes Ger t bzw f r jede Konfiguration legen Sie im Projekt eine Baugruppe an Security Configuration Tool in STEP 7 Das Security Configuration Tool in STEP 7 wird f r die Erstellung von Security Projekten verwendet in welchen Security Baugruppen projektiert werden die in STEP 7 erstellt und konfiguriert werden m ssen Zus tzlich werden alle Security Baugruppen der Standalone Variante unterst tzt Sobald Sie in STEP 7 f r eine Security Baugruppe die Security Funktion aktivieren wird automatisch ein SCT Projekt angelegt in welchem die Daten der Security Konfiguration abgelegt und verwaltet werden S mtliche Daten zu
81. 27 2M V4 Security Baugruppe befindet sich im Routing Modus Alle Schnittstellen der Security Baugruppe sind aktiv IP Zuweisungsmethode Statische Adresse ist f r alle Schnittstellen projektiert Security Baugruppe ist nicht Teilnehmer einer VPN Gruppe Security Baugruppe ist keiner anderen Redundanzbeziehung zugeordnet W hlen Sie im Navigationsbereich das Objekt Redundanzbeziehungen W hlen Sie im Kontextmen rechte Maustaste des Objekts den Men befehl Redundanzbeziehung einf gen Ergebnis Die angelegte Redundanzbeziehung wird im Navigationsbereich angezeigt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Router und Firewallredundanz 7 3 Redundanzbeziehungen konfigurieren 3 Ordnen Sie der Redundanzbeziehung die Security Baugruppen zu indem Sie diese im Inhaltsbereich selektieren und auf die angelegte Redundanzbeziehung im Navigationsbereich ziehen Drag and Drop 4 Im Dialog Konfiguration der Redundanzbeziehung haben Sie die folgenden M glichkeiten zur Projektierung der Redundanzbeziehung bernahme der Projektierung aus den Registern Firewall Routing sowie NAT NAPT einer Security Baugruppe f r die Redundanzbeziehung Aus der Klappliste k nnen Sie die Security Baugruppe ausw hlen deren Projektierung Sie f r die Redundanzbeziehung verwenden m chten Eine bestehende Projektierung der Redundanzbeziehung wird dadurch berschrieben Erzeugen einer
82. 280 Zu Aufbau und Betrieb eines Industrial Ethernet Netzes SIMATIC NET Handbuch Twisted Pair und Fiber Optic Netze Siemens AG SIMATIC NET Manual Collection SIMATIC und STEP 7 Grundlagen SIMATIC Kommunikation mit SIMATIC Systemhandbuch Siemens AG Beitrags ID 25074283 http support automation siemens com W W view de 25074283 Dokumentationspaket STEP 7 Grundwissen e Erste Schritte und bungen mit STEP 7 ID 18652511 http support automation siemens com W W view de 18652511 e Programmieren mit STEP 7 ID 18652056 http support automation siemens com W W view de 18652056 e Hardware konfigurieren und Verbindungen projektieren mit STEP 7 ID 18652631 http support automation siemens com W W view de 18652631 e Von S5 nach S7 Umsteigerhandbuch ID 1118413 http support automation siemens com W W view de 1118413 Siemens AG Bestellnummer 6ES7 810 4CA08 8AWO Bestandteil der Online Dokumentation in STEP 7 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Literaturverzeichnis B 7 Industrielle Kommunikation Band 2 B 7 10 B 8 n1 B 9 12 Industrielle Kommunikation Band 2 SIMATIC NET Industrial Ethernet Netzhandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 27069465 http support automation siemens com W W view de 27069465 Zur Konfiguration von PC Stationen PGs SI
83. 3 1 Advanced Interne und Externe Netzknoten CP x43 1 Adv teilt Netzwerke in zwei Bereiche auf e internes Netz gesch tzte Bereiche mit den internen Knoten Interne Knoten sind alle diejenigen Knoten die von einem CP x43 1 Adv abgesichert sind e externes Netz ungesch tzte Bereiche mit den externen Knoten Externe Knoten sind alle Knoten die sich au erhalb der gesch tzten Bereiche befinden Hinweis Die internen Netze werden als sicher vertrauensw rdig betrachtet Verbinden Sie ein internes Netzsegment nur ber CP x43 1 Adv mit den externen Netzsegmenten Weitere Verbindungswege zwischen dem internen und externen Netz d rfen nicht vorhanden sein Informationen zu allgemeinen Funktionen des CP x43 1 Adv In dem vorliegenden Handbuch erhalten Sie Informationen zu den Security Funktionen des CP x43 1 Adv F r Beschreibungen zu allgemeinen Funktionen siehe e 1 Seite 278 e 2 Seite 278 Security Grundlagen und Anwendung 38 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 1 10 Einf hrung und Grundlagen 1 10 Einsatz von CP 1628 Einsatz von CP 1628 Zellenschutzkonzept Aufgabe von CP 1628 e Firewall Router NAT NAPT Router Bild 1 7 Fertigungsleitrechner mit CP 1628 Die integrierten Sicherheitsmechanismen des CP 1628 erm glichen die Absicherung von Rechnersystemen einschlie lich der dazugeh rigen Datenkommunikation innerhalb eines Automatisi
84. 3 und 4 Firewall auch f r Ethernet Non IP Telegramme gem IEEE 802 3 Layer 2 Bandbreitenbegrenzung Globale Firewall Regels tze Alle Netzknoten die sich im internen Netzsegment eines CP x43 1 Adv befinden werden durch dessen Firewall gesch tzt e Gesicherte Kommunikation durch IPsec Tunnel Der CP x43 1 Adv kann mit anderen Security Baugruppen per Projektierung zu Gruppen zusammengefasst werden Zwischen allen Security Baugruppen einer VPN Gruppe werden IPsec Tunnel aufgebaut VPN Alle internen Knoten dieser Security Baugruppen k nnen mittels dieser Tunnel gesichert miteinander kommunizieren e Logging Zur berwachung lassen sich Ereignisse in Log Dateien speichern die mit Hilfe des Projektierwerkzeugs ausgelesen werden oder automatisch an einen Syslog Server gesendet werden k nnen e HTTPS Zur verschl sselten bertragung von Webseiten z B bei der Prozesskontrolle e FTPS Zur verschl sselten bertragung von Dateien e NTP gesichert Zur sicheren Uhrzeitsynchronisierung und bertragung e SNMPv3 Zur abh rsicheren bertragung von Netzwerkanalyseinformationen e Schutz f r Ger te und Netzsegmente Die Schutzfunktion Firewall und VPN kann sich ber den Betrieb einzelner Ger te mehrerer Ger te wie auch ganzer Netzsegmente erstrecken Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 37 Einf hrung und Grundlagen 1 9 Einsatz von CP 343 1 Advanced und CP 44
85. 4 QuickModel 15 3954 QuickModel 15 3954 QuickModel 15 41 15 QuickMode 15 41 15 QuickMode 15 41 15 QuickModel 15 41 35 QuickModel 15 41 35 QuickModel 15 41 35 OickModel Loaded Conligueation C Users TlA PortaDesktop PH PH Moduld dat Added Secunty Astociation From 192 168 10 222 To 192 16810 1732 Added Secuny Association From 192 168 10 222 To 192 168 10 2 32 Added Secuty Association From 192 168 10 222 To 192 16810 3732 Deleted Secuny Association From 192 168 110 222 To 192 16810 1732 Deleted Secasiy Astocision From 192 168 10 222 To 192 16810 2732 Deleted Secuiy Association From 192 168 10 222 To 192 168 10 3732 Added Secunty Association From 192 168 10 222 To 192 168 10 1 32 Added Secunty Association From 192 168 10 222 To 192 16810 2732 Added Security Association From 192 168 10 222 To 192 168 10 3 32 3333333 Soaouuuw Aug 22 Aug 22 Aug 22 Aug 22 Aug 22 Aug 22 Aug 22 Aug 22 Aug 22 88 Security Grundlagen und Anwendung 246 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten So richten Sie die Tunnelverbindungen ein 1 ffnen Sie den Dialog zum Import der Konfigurationsdatei ber die Schaltfl che Konfiguration laden 2 W hlen Sie die mit SCT erstellte Konfigurationsdatei aus Dateiformat dat Sie k nnen Konfigurationsdaten aus mehreren Projekten gleichzeitig einlesen Fal
86. 5 Baugruppenrechte CP x43 1 Adv Recht innerhalb des Dienstes Web CP Dateisystem formatieren administrator x standard diagnostics FTP Dateien vom CP Dateisystem lesen x FTP Dateien auf das CP Dateisystem schreiben FTP Dateien DBs von der S7 CPU lesen FTP Dateien DBs in die S7 CPU schreiben Applet Variablen ber projektierte Symbole lesen Applet Variablen ber projektierte Symbole schreiben x x x 1x x X X X x Applet Variablen ber absolute Adressen lesen x Applet Variablen ber absolute Adressen schrei ben Applet Status der Baugruppen im Rack lesen Applet Bestellnummer der Baugruppen im Rack lesen x Dienst Dateisystem SPS SNMP MIB Il lesen SNMP MIB II schreiben SNMP Automation MIB lesen SNMP LLDP MIB lesen SNMP SNMPv2 MIB lesen SNMP MRP MIB lesen SNMP MRP MIB schreiben SNMP SCT Diagnose der Security Baugruppe durchf h ren kkkk xX Xx x x 1x x x x x x x X X X X X Web IP Access Control Liste erweitern x Sicherheit Web Auf Web Diagnose und CP Dateisystem zugreifen Web Testmail versenden Web Web Firmware aktualisieren Web Nachladen von Diagnosetexten Wartung x Recht ist aktiviert Recht ist deaktiviert und CP Dateisystem zugreifen ebenfalls aktiviert sein k k Dateisystem lese
87. 7 1 bersicht Bedeutung Durch Router und Firewall Redundanz k nnen Ausf lle der Security Baugruppen SCALANCE S623 ab V4 und SCALANCE S627 2M ab V4 w hrend des Betriebs automatisiert kompensiert werden Hierzu fassen Sie zwei Security Baugruppen des Typs SCALANCE S623 oder SCALANCE S627 2M in einer Redundanzbeziehung zusammen und bestimmen dann welches die im Normalbetrieb aktive Security Baugruppe der Redundanzbeziehung sein soll F llt die aktive Security Baugruppe aus bernimmt die passive Security Baugruppe automatisch deren Funktion als Firewall und NAT NAPT Router Um eine identische Konfiguration beider Security Baugruppen zu gew hrleisten werden diese ber deren DMZ Schnittstellen miteinander verbunden und w hrend des Betriebs in ihrer Konfiguration synchronisiert Die DMZ Schnittstellen der beteiligten Security Baugruppen sind in diesem Fall nicht f r andere Zwecke nutzbar Adressredundanz Zus tzlich zu ihren jeweiligen Baugruppen IP Adressen teilen sich die beiden Security Baugruppen an der externen und an der internen Schnittstelle jeweils eine gemeinsame IP Adresse damit bei Ausfall einer Security Baugruppe keine nderungen an den IP Adressen notwendig sind Deshalb m ssen Sie f r die externe und f r die interne Schnittstelle der Redundanzbeziehung eine IP Adresse projektieren Projektierung von Redundanzbeziehungen und eingebundenen Security Baugruppen Nachdem die Security Baugruppen in eine Redundanzbezieh
88. 86 04 115 Firewall projektieren Projektierung Zu unterscheiden sind die beiden Bedienungssichten e Im Standard Modus greifen Sie auf einfache vordefinierte Firewall Regeln zur ck Sie k nnen nur dienstspezifische Regeln freischalten Die freigegebenen Dienste sind f r alle Teilnehmer zul ssig und es wird f r die angegebene Richtung der volle Zugriff erlaubt e Im Erweiterten Modus k nnen Sie detaillierte Firewall Einstellungen vornehmen Sie k nnen f r einen einzelnen Teilnehmer einzelne Dienste freischalten oder f r den Teilnehmer alle Dienste f r den Zugriff auf die Station bzw das Netz freigeben Zu unterscheiden sind im Erweiterten Modus die folgenden Firewall Regeln bzw Regels tze Lokale Firewall Regeln sind jeweils einer Security Baugruppe zugewiesen Sie werden im Eigenschaftsdialog der Security Baugruppen projektiert Globale Firewall Regels tze k nnen einzelnen oder mehreren Security Baugruppen gleichzeitig zugewiesen werden Sie werden im Erweiterten Modus im Navigationsbereich des Security Configuration Tools angezeigt und global projektiert Benutzerspezifische IP Regels tze k nnen einzelnen oder mehreren Security Baugruppen gleichzeitig zugewiesen werden Sie werden im Erweiterten Modus im Navigationsbereich des Security Configuration Tools angezeigt und global projektiert SCALANCE S V4 RADIUS Benutzerspezifischen IP Regels tzen k nnen neben einzelnen oder mehreren Benutzern auch einzelne o
89. 8900 C286 04 45 Projektierung mit Security Configuration Tool 2 2 Installation des Security Configuration Tools SCALANCE S Gehen Sie so vor Sie installieren das Projektierwerkzeug Security Configuration Tool von der mitgelieferten Produkt DVD e Legen Sie die Produkt DVD in Ihr DVD ROM Laufwerk Bei eingeschalteter Autorun Funktion wird die Oberfl che automatisch gestartet von der aus Sie die Installation durchf hren k nnen oder e Starten Sie die auf der mitgelieferten Produkt DVD vorhandene Anwendung start exe CP x43 1 Adv Gehen Sie so vor Sie installieren das Projektierwerkzeug Security Configuration Tool von dem STEP 7 Datentr ger Sie finden die Installationsdatei auf dem STEP 7 Datentr ger im Verzeichnis f r optionale Softwarekomponenten CP 1628 Gehen Sie so vor Sie installieren das Projektierwerkzeug Security Configuration Tool von dem mitgelieferten Datentr ger der die Treiberdaten des CP 1628 enth lt e Legen Sie den Datentr ger in Ihr DVD ROM Laufwerk Bei eingeschalteter Autorun Funktion wird die Oberfl che automatisch gestartet von der aus Sie die Installation durchf hren k nnen oder e Starten Sie die auf dem mitgelieferten Datentr ger vorhandene Anwendung setup exe Security Grundlagen und Anwendung 46 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle 2 3 Bedienoberfl che und Men bef
90. 900 C286 04
91. AC Adresse an der externen und an der internen Schnittstelle g ltig Die MAC Adressen der Schnittstellen werden f r alle Dienste au er LLDP verwendet Security Grundlagen und Anwendung 94 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Die MAC Adressen der Ports werden zur Topologieerkennung mit LLDP nur f r Baugruppen im Routing Modus verwendet Hinweis Die Ethernet Schnittstellen d rfen beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden e Schnittstelle X1 Extern Rote Markierung ungesch tzter Netzwerkbereich e Schnittstelle X2 Intern Gr ne Markierung durch SCALANCE S gesch tztes Netzwerk e Schnittstelle X3 DMZ universelle Netzwerkschnittstelle Gelbe Markierung ungesch tzter Netzwerkbereich oder durch SCALANCE S gesch tzter Netzwerkbereich Beim Vertauschen der Schnittstellen verliert das Ger t seine Schutzfunktion Funktionen der DMZ Schnittstelle Eine Demilitarisierte Zone DMZ wird genutzt wenn Dienste f r ein externes Netz bereitgestellt werden sollen und das interne Netz das Daten f r diese Dienste liefert von dem externen Netz entkoppelt sein soll In der DMZ k nnen z B Terminal Server stehen auf denen Wartungs und Diagnose Programme installiert sind die definierte Zugriffe auf bestimmte Systeme im sicheren Netz erlauben Zugriff haben nur zugelassene Benutzer oder Clients aus dem
92. AT Aktion Angelegte Firewall Regel Aktion Von Nach Quell IP Adresse Ziel IP Adresse Destination Allow Quell Netz Ziel Netz IP Adresse die im NAT Eingabefeld Ziel IP Adresse ange geben wurde Source NAT Allow Quell Netz Ziel Netz IP Adresse des Teilnehmers die im Eingabefeld Quell IP Adresse ange geben wurde Source NAT Allow Quell Netz Ziel Netz IP Adresse des Destination Teilnehmers die im NAT Eingabefeld Quell IP Adresse ange geben wurde Allow Ziel Netz Quell Netz IP Adresse die von SCT in das Einga befeld Ziel IP Adresse eingef gt wurde Security Grundlagen und Anwendung 184 Projektierungshandbuch 12 2014 C79000 G68900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router NAT Aktion Double NAT Angelegte Firewall Regel Aktion Von Nach Quell IP Adresse Ziel IP Adresse Allow Quell Netz Ziel Netz IP Adresse des IP Adresse die im Teilnehmers die im Eingabefeld Ziel Eingabefeld Quell IP Adresse ange IP Adresse ange geben wurde geben wurde Allow Quell Netz Ziel Netz IP Adresse des IP Adresse des Teilnehmers die im Eingabefeld Quell IP Adresse ange geben wurde Teilnehmers die im Eingabefeld Ziel Umsetzung ange geben wurde In der folgenden Tabelle werden die Schemata der Firewall Regeln dargestellt die f r CP x43 1 Adv f r NAT Regeln erzeugt werden Ta
93. Beenden Ergebnis Der SOFTNET Security Client wird beendet und die Sicherheitsrichtlinie deaktiviert 8 2 2 SOFTNET Security Client deinstallieren Bei der Deinstallation werden die vom SOFTNET Security Client eingestellten Security Eigenschaften zur ckgesetzt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 241 SOFTNET Security Client 8 3 Konfigurationsdatei mit Projektierwerkzeug Security Configuration Tool erstellen 8 3 Konfigurationsdatei mit Projektierwerkzeug Security Configuration Tool erstellen SOFTNET Security Client im SCT Projekt konfigurieren Der SOFTNET Security Client wird im SCT Projekt als Baugruppe angelegt Im Gegensatz zu den anderen Security Baugruppen m ssen Sie keine weiteren Eigenschaften projektieren Weisen Sie den angelegten SOFTNET Security Client der oder den VPN Gruppen zu in denen IPsec Tunnel zum PG PC eingerichtet werden sollen Dabei werden die Gruppeneigenschaften bernommen die Sie f r diese VPN Gruppen projektiert haben Hinweis Beachten Sie die Angaben zu den Parametern in folgendem Kapitel e Baugruppe in konfigurierte VPN Gruppe aufnehmen Seite 213 Hinweis Wenn Sie mehrere SOFTNET Security Clients innerhalb einer VPN Gruppe anlegen werden keine Tunnel zwischen diesen Clients aufgebaut sondern nur vom jeweiligen Client zu den Security Baugruppen Konfigurationsdateien f r den SOFTNET Security Client Die Schnittstelle zwischen
94. C79000 68900 C286 04 203 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 2 Authentifizierungsverfahren 204 Es werden schl sselbasierende oder zertifikatsbasierende Authentifizierungsverfahren unterst tzt e Preshared Keys Die Authentifizierung erfolgt ber eine zuvor verabredete Zeichenfolge die an alle in der VPN Gruppe befindlichen Baugruppen verteilt wird Geben Sie daf r im Dialog VPN Gruppeneigenschaften im Feld Schl ssel ein Passwort ein oder erzeugen Sie ein Passwort ber die Schaltfl che Neu Zertifikat Die zertifikatbasierte Authentifizierung Zertifikat ist die Standardeinstellung die auch im Standard Modus eingeschaltet ist Das Verhalten ist wie folgt Beim Anlegen einer VPN Gruppe wird automatisch ein CA Zertifikat f r die VPN Gruppe erzeugt Jede Baugruppe die in der VPN Gruppe ist erh lt ein VPN Gruppen Zertifikat das mit dem Schl ssel der Zertifizierungsstelle der VPN Gruppe signiert ist S mtliche Zertifikate basieren auf dem ITU Standard X 509v3 ITU International Telecommunications Union Die Zertifikate werden von einer im Security Configuration Tool enthaltenen Zertifizierungsstelle erzeugt Hinweis Einschr nkung bei VLAN Betrieb Bei IP Telegrammen durch den VPN Tunnel der Baugruppe wird kein VLAN Tagging bertragen Die in den IP Telegrammen enthaltenen VLAN Tags gehen beim Passieren der Baugruppen verloren da f r die bertragung der IP Telegramme IPsec ve
95. CE 5602 1 5 Einsatz von SCALANCE S602 Firewall und Router Aufgabe von SCALANCE S602 Durch die Kombination unterschiedlicher Sicherheitsma nahmen wie Firewall und NAT NAPT Router sch tzt die Security Baugruppe SCALANCE S602 einzelne Ger te oder auch ganze Automatisierungszellen vor e Datenspionage e unerw nschten Zugriffen SCALANCE S602 erm glicht diesen Schutz flexibel und ohne komplizierte Handhabung SCALANCE S602 wird mit dem Projektierwerkzeug Security Configuration Tool konfiguriert externes Netz SCALANCE SCALANCE S SCALANCE S Firewall Router NAT NAPT 1 Router Il I o l IE PB Il co 1 I 1 ET 200X mM E BHS S AETA O green Il pe I 1 BT IT EE Ft o n 0 BL mE OP 270 u S7 400 S7 300 intern Bedienen amp Beobachten intern Automatisierungszelle intern Automatisierungszelle D b a n a SOSS Bild 1 1 Netzkonfiguration mit SCALANCE S602 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 25 Einf hrung und Grundlagen 1 5 Einsatz von SCALANCE 5602 Sicherheitsfunktionen 26 Firewall IP Firewall mit Stateful Packet Inspection Layer 3 und 4 Firewall auch f r Ethernet Non IP Telegramme gem IEEE 802 3 Layer 2 Telegramme gilt nicht f r S602 wenn der Router Betrieb genutzt wird Bandbreitenbegrenz
96. CE M VPN Ger t NCP VPN Client An droid SOFTNET Security Client 2008 x x x SOFTNET Security Client V3 0 x x x SOFTNET Security Client V4 0 x x x SCALANCE M VPN Ger t x x NCP VPN Client Android x x Unterst tzte Tunnelkommunikationsbeziehungen Die folgenden Tabellen geben an welche Tunnel Schnittstellen miteinander einen Tunnel aufbauen k nnen Dabei wird unterschieden ob sich die SCALANCE S Baugruppe im Routing oder im Bridge Modus befindet Unabh ngig davon ber welche Schnittstelle der VPN Tunnel aufgebaut wird k nnen standardm ig immer die Teilnehmer der internen Subnetze der Security Baugruppen miteinander kommunizieren Soll die Kommunikation ber den VPN Tunnel zus tzlich noch in andere Subnetze erfolgen so k nnen diese ber das Register VPN in den erweiterten Baugruppeneigenschaften f r die Tunnelkommunikation freigegeben werden siehe folgendes Kapitel e Weitere Teilnehmer und Subnetze f r den VPN Tunnel konfigurieren Seite 228 Subnetze die f r die Tunnelkommunikation freigegeben werden m ssen sind e Subnetz an der externen Schnittstelle wenn externe Schnittstelle nicht VPN Endpunkt ist e Subnetz an DMZ Schnittstelle wenn DMZ Schnittstelle nicht VPN Endpunkt ist e Weitere durch Router erreichbare Subnetze an den verschiedenen Schnittstellen wenn diese nicht VPN Endpunkte sind Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C790
97. Diagnose und Logging 9 1 Funktions bersicht Online Dialog Funktions bersicht Online Dialog Die Security Baugruppe bietet im Security Configuration Tool folgende Funktionen im Online Dialog Tabelle 9 1 Funktionen und Logging in der Online Diagnose Funktion Register im Online Dialog System und Statusfunktionen Bedeutung Zustand Anzeige des Ger te Status der im Projekt angew hlten Security Baugruppe SCA S S2V3 0 Datum und Uhrzeit Schnittstellen Einstellungen Einstellung von Datum und Uhrzeit bersicht zu den Einstellungen der einzelnen Schnittstel len S2V3 0 Dynamisches DNS bersicht zu den Einstellungen f r dynamisches DNS SAVKA ARP Tabelle Anzeige der ARP Tabelle der Security Baugruppe S2V3 0 Angemeldete Benutzer Anzeige der Benutzer die an der Internetseite f r benutzer spezifische IP Regels tze angemeldet sind JUBEL Kommunikationszustand Interne Knoten Anzeige des Kommunikationszustands und der internen Netzknoten von Security Baugruppen die sich in derselben VPN Gruppe befinden wie die ausgew hlte Security Baugruppe Anzeige der internen Netzknoten der Security Baugruppe Dynamisch aktualisierte Firewall Regeln Anzeige der IP Adressen die ber HTTP oder HTTPS dynamisch freigeschaltet oder von einem Benutzer nachge laden wurden Eine Aktualisierung der IP Adressen in die sem Register kann durch folgende Ereignisse erfol
98. Dienst der zur Identifika tion in der Regeldefinition oder in der Gruppenzusam menfassung verwendet wird Name des Protokolltyps ISO ISO bezeichnet Telegramme mit folgenden Eigen schaften Lengthfield lt 05DC hex DSAP userdefined SSAP userdefined CTRL userdefined SNAP SNAP bezeichnet Telegramme mit folgenden Eigen schaften Lengthfield lt 05DC hex DSAP AA hex SSAP AA hex CTRL 03 hex OUl userdefined OUI Type userdefined PROFINET IO Auswahlm glichkeiten Wertebereiche freie Eingabe e ISO e SNAP e PROFINET IO e 0x Code Eingabe DSAP Destination Service Access Point LLC Empf nger Adresse SSAP Source Service Access Point LLC Sender Adresse CTRL OUI LLC Control Field Organizationally Unique Identifier die ersten 3 Bytes der MAC Adresse Hersteller Identifizierung OUI Typ Protokoll Typ ldentifizierung gelten Die Protokolleingaben 0800 hex und 0806 hex werden nicht akzeptiert da diese Werte f r IP bzw ARP Telegramme Hinweis Verarbeitung f r S7 CPs Es werden nur Einstellungen zu ISO Frames mit DSAP SSAP FE hex verarbeitet Andere Frame Typen sind f r S7 CPs nicht relevant und werden daher schon vor der Bearbeitung durch die Firewall verworfen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 165 Firewall projektieren 4 3 Firewall im Erweiterten Modus
99. E S im Standard Modus Telegramme von der Security Baugruppe nach extern vom folgenden Typ sind zugelas sen e PROFINET e Im Routing Modus LLDP Telegramme Ethertype 0x88CC Multicast und Broadcast Telegramme von extern an die Security Baugruppe vom fol genden Typ sind zugelassen e PROFINET mit Bandbreitenbegrenzung Hinweis Automatische Freischaltung von Ethertypes Wenn PPPOE aktiv ist werden die Ethertypes 0x8863 und 0x8864 automatisch freigeschaltet PPPoE Discovery und Session Stage Security Grundlagen und Anwendung 130 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 2 SCALANCE S im Standard Modus Standardeinstellung f r SCALANCE S623 ab V3 und S627 2M V4 Die standardm igen Firewall Regeln f r die externe und interne Schnittstelle entsprechen denen die f r SCALANCE S Baugruppen vom Typ S602 und S612 gelten In den folgenden beiden Grafiken sind lediglich diejenigen IP Paketfilter Regeln dargestellt die die DMZ Schnittstelle betreffen MAC Pakeffilter Regeln k nnen f r die DMZ Schnittstelle nicht definiert werden weil die Telegramme hierbei zwischen externem bzw internem Netz und DMZ Schnittstelle geroutet werden interne Knoten Security Baugruppe m Firewall Firewall Knoten im DMZ Netz IPsec Tunnel Security Baugruppen im DMZ Netz Bild 4 7 Standardeinstellung f r IP Paketfilter SCALANCE S623 S627 2M Verkehr zwischen DMZ Netz und i
100. ETEFERSFICEFBEEFSERERETOFETFFFRETTESSFEPEFREFEBERESFEBESFEFEFETSLESFFEPEFRFTERFEFIEFTIFF 273 A 1 DNS KONfOrmit tz n eek EAR 273 A2 Wertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs 273 A 3 MAG AdresSse 2 2 20 2 arena Rs Henn aa a 274 B Eiter t rverzeichnis4 4 2 22 EEE EEE SEEE FREE SENSE BEREIT 277 B 1 Einleitung onne CD DVD 2 4 422400404nan000HnnnHnnHannnnndannnannnnnnnnnnnnennannnnannnanenennnnnnnennnnen 277 B 2 S7 CPs Zur Projektierung Inbetriebnahme und Nutzung des CP nenn 278 B 3 Zur Projektierung mit STEP 7 NCM S7 sssrinin aienea ni andia ea aiiai ian 278 B 4 S7 CPs Zur Montage und Inbetriebnahme des CP sssssssesrrssesrrssesrrssrirrssrirresrenrssrernesnt 279 B 5 Zu Aufbau und Betrieb eines Industrial Ethernet Netzes uusesnessnnnnnnennnnnnnnnnn en 280 B 6 SIMATIC und STEP 7 Grundlagen 22 0us44440000nna400nnnnnnannnnannannnnannannnnnnnannnnnnnannnnnn 280 B 7 Industrielle Kommunikation Band 2 244u42224400nssnnnnnnennnnennnnnnnnnnnnnnnnnnnnnnnnn nn nn nn 281 B 8 Zur Konfiguration von PC Stationen PGS u 242sunnnnnennnnnnennnnnnnnnnnnnnnennnnnnnnnn nn 281 B 9 Zur Konfiguration von PC CP8 uuursnnesennnnnnnnnnnnnnennnnnnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnn nn 281 B 10 SIMATIC NET Industrial Ethernet Security 2404s4nnneennnnnnnennnnnnnnnnnnnnnnnnnnnnn namen nn 282 Index ee
101. Erweiterter Modus Der Erweiterte Modus bietet Ihnen Einstellungsm glichkeiten zur spezifischen Konfiguration der Tunnelkommunikation Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 4 Tunnelkonfiguration im Standard Modus Alle projektierten VPN Gruppen mit ihren Eigenschaften anzeigen e Selektieren Sie im Navigationsbereich das Objekt VPN Gruppen Folgende Eigenschaften der Gruppen werden spaltenweise angezeigt Eigenschaft Spalte Bedeutung Kommentar Auswahl Name Gruppenname Frei w hlbar Authentifizierung Authentifizierungstyp e Preshared Key e Zertifikat Gruppenzugeh rigkeit bis Lebensdauer von Zertifikaten Siehe Abschnitt Lebensdauer von Zertifikaten einstellen Kommentar Kommentar Frei w hlbar Lebensdauer von Zertifikaten einstellen ffnen Sie den Dialog in dem Sie das Ablaufdatum des Zertifikats eingeben k nnen wie folgt 1 Selektieren Sie im Navigationsbereich die zugeh rige VPN Gruppe f r die Sie ein Zertifikat konfigurieren m chten 2 Klicken Sie mit der rechten Maustaste auf die Baugruppe im Inhaltsbereich und w hlen Sie im Kontextmen den Befehl Neues Zertifikat Hinweis Ablauf eines Zertifikats Die Kommunikation durch den VPN Tunnel l uft nach Ablauf des Zertifikats weiter bis der Tunnel abgebaut wird oder die SA Lebensdauer abl uft Weitere Informationen zu Zertifikate
102. Gruppe anlegen Das Symbol ist nur aktiv wenn Sie sich innerhalb des Navigationsbereichs im Ordner VPN Gruppen befinden E Einen neuen globalen IP Regelsatz MAC Regelsatz oder benutzerspezifischen IP Regelsatz anlegen Das Symbol ist nur aktiv wenn Sie sich innerhalb des Navigationsbereichs in einem Un terordner von Globale Firewall Regels tze oder auf dem Ordner Benutzerspezifische IP Regels tze befinden Neue Redundanzbeziehung anlegen Das Symbol ist nur aktiv wenn Sie sich innerhalb des Navigationsbereichs im Ordner Redundanzbeziehungen befinden 48 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle Symbol Bedeutung Bemerkungen A 0 Konfiguration in die selektierten Security Baugruppen laden bzw Konfigurationsdaten f r SOFTNET Security Client SCALANCE M VPN Ger t NCP VPN Client Android er stellen o In den Offline Modus umschalten 2al In den Online Modus umschalten Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 49 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle Men leiste Nachfolgend eine bersicht der w hlbaren Men befehle und deren Bedeutung Men befehl Bedeutung Bemerkungen Tastenkombination Projekt gt Funktionen f r d
103. IP Adressen im internen Subnetz nur gegen die virtuelle externe IP Adresse der Redundanzbeziehung ausgetauscht werden Es k nnen keine Alias IP Adressen an der externen Schnittstelle der Redundanzbeziehung registriert werden Bei NAPT ist lediglich die Adressumsetzungsrichtung Extern nach Intern projektierbar F r generelle Informationen zur Projektierung von Adressumsetzungen mit NAT NAPT siehe folgendes Kapitel Adressumsetzung mit NAT NAPT Seite 175 Routing projektieren Siehe auch 236 Die Projektierung von Routen f r die Redundanzbeziehung erfolgt nach dem gleichen Schema wie die Projektierung von Routen f r einzelne Security Baugruppen F r generelle Informationen zur Projektierung von Routing siehe folgendes Kapitel Standard Router und Routen festlegen Seite 172 MAC Paketfilter Regeln Seite 161 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 SOFTNET Security Client 8 Mit der PC Software SOFTNET Security Client sind gesicherte Fernzugriffe vom PC PG auf Automatisierungsger te die durch Security Baugruppen gesch tzt sind ber ffentliche Netze hinweg m glich In diesem Kapitel wird beschrieben wie Sie den SOFTNET Security Client im Security Configuration Tool projektieren und anschlie end auf dem PC PG in Betrieb nehmen Weitere Informationen Detailinformationen zu den Dialogen und den einstellbaren Parametern gibt Ihnen auch die eg E Online Hilfe des
104. Im Ghost Modus sind die Baugruppeneigenschaften aus folgenden Registern projektierbar e Schnittstellen e Firewall e Zeitsynchronisierung e Log Einstellungen e SNMP Da im Ghost Modus keine DNS Server projektiert werden k nnen ist keine FQDN Aufl sung m glich Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 111 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Voraussetzung zur Erkennung eines internen Teilnehmers Die Security Baugruppe kann nur dann die IP Adresse des internen Teilnehmers ermitteln wenn der interne Teilnehmer von sich aus eine Datenkommunikation mit einem Kommunikationspartner des externen Netzes initiiert Die Security Baugruppe bietet zudem w hrend der Ermittlung der IP Adresse keine Serverdienste an Erst nachdem vom internen Teilnehmer Datenpakete an die Security Baugruppe versendet wurden kann die Security Baugruppe Anfragen von extern beantworten Portbelegung f r ein und ausgehende Datenverbindungen Da die externe Schnittstelle der Security Baugruppe und der interne Teilnehmer die gleiche IP Adresse besitzen muss eine gezielte Adressierung der Netzkomponenten ber die TCP UDP Ports erfolgen Die Ports sind deshalb entweder der Security Baugruppe oder dem internen Teilnehmer zugeordnet In den folgenden Tabellen sind die Zuordnungen der Ports zu den jeweiligen Ger ten f r eingehende und ausgehende Datenverbindungen darges
105. LANCE S623 S627 2M freigegeben werden sollen folgen Sie der Beschreibung f r den Routing Modus 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register VPN Die Freigabe von Teilnehmern und Subnetzen konfigurieren Sie im Dialogbereich VPN Knoten 3 Wenn Sie komplette Subnetze f r die Tunnelkommunikation freigeben wollen tragen Sie diese im Register Interne Subnetze ein Wenn Sie einzelne Teilnehmer f r die Tunnelkommunikation freigeben wollen tragen Sie die Teilnehmer im Register Interne IP Knoten bzw Interne MAC Knoten ein Anmerkung Damit hier angegebene Subnetze erreicht werden k nnen muss f r diese auch ein Router im Register Routing eingetragen sein Zudem muss die Firewall die Kommunikation mit den Teilnehmern erlauben So erreichen Sie diese Funktion Routing Modus 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register VPN Die Freigabe von Subnetzen konfigurieren Sie im Dialogbereich VPN Knoten 3 Tragen Sie im Register Durch Tunnel erreichbare Subnetze die Netz ID und die Subnetzmaske des Subnetzes ein das in die Tunnelkommunikation mit einbezogen werden soll Anmerkung Damit hier angegebene Subnetze erreicht werden k nnen muss f r diese auch ein Router im Register Routing eingetragen sein Zudem muss die Firewall die Kommunikation
106. MATIC NET PC Stationen in Betrieb nehmen Anleitung und Schnelleinstieg Projektierungshandbuch Siemens AG Beitrags ID 13542666 http support automation siemens com W W view de 13542666 Zur Konfiguration von PC CPs SIMATIC NET Industrial Ethernet CP 1628 Kompaktbetriebsanleitung Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 56714413 http support automation siemens com W W view de 567 14413 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 281 Literaturverzeichnis B 10 SIMATIC NET Industrial Ethernet Security B 10 113 114 Siehe auch 15 282 SIMATIC NET Industrial Ethernet Security SIMATIC NET Industrial Ethernet Security SCALANCE S ab V3 0 Inbetriebnahme und Montagehandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 56576669 http support automation siemens com W W view de 56576669 SIMATIC NET Industrial Remote Communication SCALANCE M 800 Projektierungshandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 78389151 78389151 http support automation siemens com W W view de 78389151 SIMATIC NET Telecontrol SCALANCE M875 Betriebsanleitung Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 58122394 http support automation siemens com WW view de 58122394 Security Gru
107. N darauf dass die betroffenen Baugruppen ber die aktuelle Uhrzeit und das aktuelle Datum verf gen Die verwendeten Zertifikate werden sonst als nicht g ltig ausgewertet und die gesicherte Kommunikation funktioniert nicht So erreichen Sie diese Funktion 1 Legen Sie ber den Men befehl Einf gen gt Gruppe eine VPN Gruppe an 2 Ordnen Sie der VPN Gruppe die Baugruppen SOFTNET Security Clients VPN Ger te und NCP VPN Clients Android zu die zu einer VPN Gruppe geh ren sollen Ziehen Sie hierzu mit der Maus die Baugruppen im Inhaltsbereich auf die gew nschte VPN Gruppe im Navigationsbereich Drag and Drop 3 Security Configuration Tool Konfiguration 1 er Projekt Bearbeiten Einf gen bertragen Ansicht Optionen Hilfe Deu 8 Eu Ofline Ansscht Ae Bauguppen IP Adresse ext IP Adresse int Subnetzmaske int Standard 192 168 10 1 255 255 255 0 192 168 10 2 255 255 255 0 Subnetzmaske ext Bereit Aktueller Benutzer admin Aktuelle Rolle administrator Standard Modus Offline 3 Eigenschaften projektieren 208 Wie bei der Konfiguration von Baugruppen wirken sich auch bei der Konfiguration von VPN Gruppen die beiden w hlbaren Bedienungssichten im Security Configuration Tool aus e Standard Modus Im Standard Modus belassen Sie es bei den vom System vergebenen Voreinstellungen Auch ohne Expertenwissen k nnen Sie so IPsec Tunnel konfigurieren und sichere Datenkommunikation betreiben
108. N IP Adresse FODN rd hier kein Zugangsp ckt angegeben dann wird die externe IP Adresse bzw die IP Adresse des DMZ Ports verwendet Interne Subnetze 0 Interne IP Knoten 0 Interne MAC Knoten 0 Netz ID Subnetzmaske Rowter IP Adresse Wann ist es sinnvoll den automatischen Lernmodus auszuschalten Die Standardeinstellungen f r die Security Baugruppe gehen davon aus dass interne Netze stets sicher sind das hei t auch dass im Normalfall keine Netzknoten in das interne Netz zugeschaltet werden die nicht vertrauensw rdig sind Das Ausschalten des Lernmodus ist sinnvoll wenn das interne Netz statisch ist d h wenn sich die Anzahl der internen Knoten und deren Adressen nicht ndern Mit Ausschalten des Lernmodus entf llt im internen Netz die Belastung des Mediums und der Netzknoten durch die Lerntelegramme Auch die SCALANCE S Baugruppe wird leistungsf higer da sie nicht durch die Bearbeitung der Lerntelegramme belastet wird Anmerkung Im Lernmodus werden alle Netzknoten im internen Netz erfasst Die Angaben zum VPN Mengenger st beziehen sich nur auf die Netzknoten die im internen Netz ber VPN kommunizieren Hinweis Werden im internen Netz mehr als 128 interne Knoten betrieben wird damit das zul ssige Mengenger st berschritten und ein nicht erlaubter Betriebszustand erzeugt Aufgrund der Dynamik im Netzwerkverkehr kommt es dann dazu dass interne Knoten die bereits gelernt wurden wieder durch neu
109. NCE M81x SHDSL Router SCALANCE M82x Mobilfunk Router SCALANCE M874 2 sowie SCALANCE M874 3 Allgemeine Benennung Security Baugruppe In der vorliegenden Dokumentation werden die folgenden Produkte unter der Benennung Security Baugruppe zusammengefasst SCALANCE S602 SCALANCE S612 SCALANCE S623 SCALANCE S627 2M CP 343 1 Advanced CP 443 1 Advanced CP 1628 Funktionsunterschiede werden durch Symbole gekennzeichnet siehe Abschnitt Symbolerkl rungen Hardwarebeschreibungen und Hinweise zur Installation finden Sie in den Dokumenten der einzelnen Baugruppen Verwendung der Benennungen Schnittstelle und Port In der vorliegenden Dokumentation werden die folgenden Benennungen f r die Ports von SCALANCE S Baugruppen verwendet Externe Schnittstelle Der externe Port beim SCALANCE S602 S612 S623 bzw ein externer Port beim SCALANCE S627 2M rote Markierung Interne Schnittstelle Der interne Port beim SCALANCE S602 S612 S623 bzw ein interner Port beim SCALANCE S627 2M gr ne Markierung DMZ Schnittstelle Der DMZ Port beim SCALANCE S623 S627 2M gelbe Markierung Die Benennung Port selbst wird dann verwendet wenn ein spezieller Port einer Schnittstelle im Vordergrund steht Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 Vorwort Allgemeine Benennung STEP 7 Die Projektierung der Security Funktionen von CPs ist ab STEP 7 V5 5 SP2 HF1 m glich D
110. NCE S612 S623 S627 2M V4 unterst tzt Weitere Informationen zu Adressumsetzungen in VPN Tunneln finden Sie in folgenden Kapiteln e Adressumsetzung mit NAT NAPT Seite 175 e Adressumsetzung mit NAT NAPT in VPN Tunneln Seite 182 Konvertierung von NAT NAPT Regeln aus Altprojekten Mit SCT V4 0 wurde der Projektierungsmodus von NAT NAPT Regeln und der zugeh rigen Firewall Regeln ge ndert Wenn Sie die NAT NAPT Regeln aus einem Projekt das mit SCT V3 0 V3 1 erstellt wurde in SCT V4 0 anpassen oder erweitern wollen m ssen Sie zun chst die NAT NAPT Regeln nach SCT V4 0 konvertieren W hlen Sie hierzu im Kontextmen einer NAT NAPT Regel den Men befehl Alle NAT NAPT Regeln nach SCT V4 konvertieren bzw Gew hlte NAT NAPT Regel nach SCT V4 konvertieren F r die konvertierten NAT NAPT Regeln werden daraufhin von SCT automatisch Firewall Regeln erzeugt die die Kommunikation in der projektierten Adressumsetzungsrichtung freigeben ndern bzw Entfernen Sie im Anschluss die Firewall Regeln die Sie manuell f r die NAT NAPT Regeln erzeugt haben sofern diese im Widerspruch zu den automatisch erzeugten Firewall Regeln stehen F hren Sie dann die gew nschten Anpassungen und oder Erweiterungen an den NAT NAPT und Firewall Regeln durch Security Grundlagen und Anwendung 174 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Konsistenzpr
111. S Server und Aktivierung des benutzerspezifischen IP Regelsatzes 3 Zugriff auf Automatisierungszelle Der oben dargestellte Netzaufbau ist exemplarisch Der RADIUS Server kann sich auch im internen Netz oder im DMZ Netz der Security Baugruppe befinden F r die im Folgenden beschriebenen Projektierungsm glichkeiten wird jeweils vorausgesetzt dass ein RADIUS Server in SCT projektiert und der jeweiligen Security Baugruppe zugeordnet wurde Zudem muss ein Benutzer bzw eine Rolle mit der Authentifizierungsmethode RADIUS projektiert sein Informationen hierzu finden Sie in folgenden Kapiteln e RADIUS Server definieren Seite 80 e RADIUS Server einer Security Baugruppe zuweisen Seite 82 e Benutzer anlegen Seite 69 e Rollen anlegen Seite 70 Generelle Informationen zu benutzerspezifischen IP Regels tzen finden Sie in folgendem Kapitel e Benutzerspezifische IP Regels tze Seite 143 Projektierungsm glichkeiten F r die Authentifizierung des Benutzers durch einen RADIUS Server stehen zwei Projektierungsm glichkeiten zur Verf gung e Der Benutzer ist mit seiner Rolle auf der Security Baugruppe bekannt lediglich die Passwortverwaltung f r den Benutzer erfolgt ber den RADIUS Server Auf dem RADIUS Server ist der Benutzer mit zugeh rigem Passwort konfiguriert Es wird ein Benutzer mit der Authentifizierungsmethode RADIUS projektiert Dem benutzerspezifischen IP Regelsatz wird der Benutzer zugewiesen Ergebnis
112. SIEMENS SIMATIC NET Industrial Ethernet Security Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Vorwort Einf hrung und Grundlagen Projektierung mit Security Configuration Tool Baugruppen anlegen und Netzparameter einstellen Firewall projektieren A IN Weitere Baugruppeneigenschaften projektieren O1 Gesicherte Kommunikation im VPN ber IPsec Tunnel Router und Firewallredundanz SOFTNET Security Client Online Funktionen Diagnose und Logging Anhang Literaturverzeichnis U gt O N OO Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enth lt Hinweise die Sie zu Ihrer pers nlichen Sicherheit sowie zur Vermeidung von Sachsch den beachten m ssen Die Hinweise zu Ihrer pers nlichen Sicherheit sind durch ein Warndreieck hervorgehoben Hinweise zu alleinigen Sachsch den stehen ohne Warndreieck Je nach Gef hrdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt NGEFAHR bedeutet dass Tod oder schwere K rperverletzung eintreten wird wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden INWARNUNG bedeutet dass Tod oder schwere K rperverletzung eintreten kann wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden NVORSICHT bedeutet dass eine leichte K rperverletzung eintreten kann wenn die entsprechend
113. SOFTNET Security Client E Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen Dialog Siehe auch Gesicherte Kommunikation im VPN ber IPsec Tunnel Seite 201 8 1 Einsatz des SOFTNET Security Client Einsatzbereich Zugriff ber VPN Mit dem SOFTNET Security Client konfigurieren Sie einen PC PG so dass er automatisch eine gesicherte IPsec Tunnelverbindung im VPN Virtual Private Network zu einer oder mehreren Security Baugruppen aufbauen kann PG PC Applikationen wie NCM Diagnose oder STEP 7 k nnen ber eine gesicherte Tunnelverbindung auf Ger te oder Netzwerke zugreifen die sich in einem durch die Security Baugruppe gesch tzten internen Netz befinden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 237 SOFTNET Security Client 8 1 Einsatz des SOFTNET Security Client Fertigungsleitrechner Workstation Computer Ga SOFTNET Security Client mittels Datentr ger m z a a SOFTNET Security Client W A Fe i Exportieren der Konfiguration f r A V 1 2 l l IE PB Link l l l l l l l l l l l l l ET200X ei l l l Automatisierungszelle A Automatisierungszelle Automatische Kommunikation ber VPN Wichtig f r Ihre Anwendung ist dass der SOFTNET Security Client erkennt wenn ein Zugriff auf die IP Adresse eines VPN Teilnehmers erfolgt Adressieren Sie den
114. Security Baugruppe durch eine andere Br austauschen Eigenschaften Eigenschaftsdialog des angew hlten Objektes ffnen F4 Online Diagnose Auf die Test und Diagnosefunktionen zugreifen Einf gen gt Men befehle nur im Offline Modus Baugruppe Neue Security Baugruppe anlegen Strg M Der Men befehl ist nur aktiv wenn eine Security Baugruppe oder eine VPN Gruppe im Navigationsbe reich angew hlt ist Security Grundlagen und Anwendung 50 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle Men befehl Gruppe Bedeutung Bemerkungen Neue VPN Gruppe anlegen Der Men befehl ist nur aktiv wenn ein Gruppen Objekt im Navigationsbereich angew hlt ist Tastenkombination Strg G Firewall Regelsatz Einen neuen globalen Firewall IP Regelsatz MAC Regelsatz oder benutzerspezifischen IP Regelsatz anlegen Der Men befehl ist nur aktiv wenn ein Firewall Objekt im Navigationsbereich angew hlt ist Der Men befehl ist nur im Erweiterten Modus sicht bar Strg F Redundanzbeziehung Neue Redundanzbeziehung anlegen Der Men befehl ist nur aktiv wenn Sie sich innerhalb des Navigationsbereichs im Ordner Redundanzbe ziehungen befinden Strg R bertragen gt An Baugruppe n Konfiguration auf die selektierte n Security Baugruppe n laden bzw Konfigurationsdaten f r SOFTNET
115. Security Client SCALANCE M VPN Ger te NCP VPN Clients Android erstellen Anmerkung Es k nnen nur konsistente Projektdaten geladen werden F r CPs Projektdaten k nnen nur ber STEP 7 ge laden werden An alle Baugruppen Konfiguration auf alle Security Baugruppen laden Anmerkung Es k nnen nur konsistente Projektdaten geladen werden Konfigurationszustand Konfigurationszustand der projektierten Security Baugruppen wird in einer Liste anzeigt Firmware bertragen Neue Firmware in selektierte Security Baugruppe laden F r S7 CPs Die Firmware wird ber das Aktualisie rungs Zentrum der Web Diagnose auf den CP gela den Ansicht Erweiterter Modus Detail Fenster einblenden Vom Standard Modus Voreinstellung in den Erwei terten Modus umschalten Achtung Sie k nnen eine einmal vorgenommene Umschaltung in den Erweiterten Modus f r das aktuelle Projekt nicht mehr r ckg ngig machen Zus tzliche Details zum ausgew hlten Objekt ein und ausblenden Strg E Strg Alt D Offline Voreinstellung Umschaltung in die Offline Strg Shift D Projektierungssicht Online Umschaltung in die Online Diagnosesicht Strg D Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 51 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle
116. Sie einen Eintrag in der Tabelle l schen bleiben die in den Diensten verwendeten symbolischen Namen dort bestehen Die Konsistenzpr fung erkennt in diesem Falle nicht definierte symbolische Namen Dies gilt unabh ngig davon ob Sie den symbolischen Namen nachtr glich definiert haben oder nicht Tipp F r die hier beschriebene Tabelle ist die Anwendung der projektweiten Konsistenzpr fung besonders sinnvoll Sie k nnen anhand der Liste Unstimmigkeiten erkennen und korrigieren Starten Sie die Konsistenzpr fung f r ein ge ffnetes Projekt ber den Men befehl Optionen gt Konsistenzpr fungen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten Konsistenzpr fung diese Regeln m ssen Sie beachten Ber cksichtigen Sie bei Ihrer Eingabe die nachfolgend aufgef hrten Regeln Symbolische Namen muss ein Raute Zeichen vorangestellt werden Die Zuordnung eines symbolischen Namens zu einer IP oder MAC Adresse muss eindeutig sein Der Symbolname und die Adresse d rfen nur einmal vergeben und nicht in einem anderen Listeneintrag verwendet werden Die symbolischen Namen m ssen DNS konform sein Einem symbolischen Namen muss entweder eine IP Adresse oder eine MAC Adresse oder beides zugeordnet sein Den IP Adressen der Security Baugruppen d rfen keine symbolischen Namen zugewiesen sein Im Projekt f r IP oder
117. Sie im folgenden Speicherdialog den Pfad und Dateinamen der Konfigurationsdatei an und klicken Sie auf die Schaltfl che Speichern 4 Geben Sie im folgenden Dialog an ob f r die beiden erstellten Zertifikatdateien ein eigenes Passwort erstellt werden soll Wenn Sie Nein w hlen wird als Passwort der Projektname vergeben z B NCP Projekt_02 nicht das Projektpasswort Wenn Sie Ja w hlen empfohlen m ssen Sie im darauf folgenden Dialog ein Passwort vergeben Ergebnis Die Dateien werden in dem von Ihnen angegebenen Verzeichnis abgespeichert Security Grundlagen und Anwendung 226 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 9 Interne Netzknoten konfigurieren 6 9 Interne Netzknoten konfigurieren Interne Netzknoten konfigurieren Jeder Security Baugruppe m ssen die Netzknoten im gesamten internen Netz bekannt sein um die Authentizit t eines Telegramms feststellen zu k nnen Die Security Baugruppe muss sowohl seine eigenen internen Knoten kennen als auch die internen Knoten der Security Baugruppen mit denen sie zusammen in einer VPN Gruppe ist Diese Information wird auf einer Security Baugruppe dazu verwendet um zu bestimmen welches Datenpaket in welchem Tunnel bertragen werden soll SCALANCE S Eine SCALANCE S Baugruppe im Bridge Modus bietet neben der statischen Konfiguration der Netzknoten auch die M glichkeit diese automatisch zu erlernen
118. Sie in Kapitel e Schnittstellen konfigurieren Seite 94 CPs in STEP 7 anlegen CPs werden nur in STEP 7 angelegt Sie erscheinen nach dem Anlegen und der Festlegung als Security Baugruppe in den STEP 7 Baugruppeneigenschaften in der Liste der konfigurierten Baugruppen in SCT Die Adressdaten werden aus STEP 7 bernommen und k nnen in SCT nicht ge ndert werden Siehe auch Parameter im Inhaltsbereich Seite 91 Wertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs Seite 273 MAC Adresse Seite 274 3 1 Parameter im Inhaltsbereich So erreichen Sie die Ansicht Selektieren Sie im Navigationsbereich das Objekt Alle Baugruppen F r CPs k nnen ausschlie lich die Inhalte der Spalte Kommentar bearbeitet werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 91 Baugruppen anlegen und Netzparameter einstellen 3 1 Parameter im Inhaltsbereich Folgende Eigenschaften der Baugruppen werden spaltenweise angezeigt Eigenschaft Spalte Bedeutung Kommentar Auswahl Nr Fortlaufende Baugruppennummer wird automatisch vergeben Name Eindeutige Baugruppenbenennung frei w hlbar Typ Ger tetyp Hinweis F r Ger te vom Typ SOFTNET Security Client sowie NCP VPN Client f r Android existiert kein Eigenschaftsdialog F r VPN Ger te k nnen Sie in den Baugruppeneigenschaften aus schlie lich die Dateitypen der zu exportierenden Konfigurationsdatei en anpassen
119. Sie in folgendem Kapitel Authentifizierungsverfahren Seite 203 Parameter f r erweiterte Einstellungen Phase 1 Phase 1 IKE Aushandlung der Security Association SA f r Phase 2 Stellen Sie hier die Parameter f r die Aushandlung der Sicherheitsparameter ein die in Phase 2 verwendet werden Parameter Beschreibung IKE Modus e Main Mode e Aggressive Mode Der Unterschied zwischen Main und Aggressive Mode ist die Identity Protection die im Main Mode verwendet wird Die Identit t wird im Main Mode verschl sselt bertragen im Aggressive Mode nicht Phase 1 DH Gruppe W hlbare Gruppen f r den Diffie Hellman Schl sselaustausch e Group 1 e Group2 e Group 5 e Group 14 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 211 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Parameter SA Lebensdauertyp Beschreibung Phase 1 Security Association SA e Time Zeitbegrenzung in Minuten Die Nutzdauer f r das aktuelle Schl sselmaterial wird zeitlich begrenzt Nach Ablauf der Zeit wird das Schl sselmaterial neu ausgehandelt SA Lebensdauer Numerischer Wert Wertebereich f r Time 1440 2500000 Minuten Standard 2500000 Phase 1 Verschl sse lung Verschl sselungs Algorithmus e DES Data Encryption Standard 56 Bit Schl ssell nge Modus CBC e 3DES 168 Dreifach DES 168 Bit Schl ssell
120. Sie keine Einstellungen vornehmen bzw ver ndern gelten die Standardeinstellungen des Standard Modus Im Erweiterten Modus sind folgende VPN Gruppeneigenschaften projektierbar e Authentifizierungsverfahren e IKE Einstellungen Dialogbereich Erweiterte Einstellungen Phase 1 e Psec Einstellungen Dialogbereich Erweiterte Einstellungen Phase 2 Security Grundlagen und Anwendung 210 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus So erreichen Sie diese Funktion 1 Markieren Sie im Navigationsbereich die zu bearbeitende VPN Gruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften SP VPN Gruppeneigenschaften Gruppel fe eo Es Authentizierungsveriahren PresharedKey Zertifikat Schl ssel x5 N Name PBBSF G7244 Ausstellungsdatum 30 07 2013 1602 Neu Anzeigen Erweiterte Einstellungen Phase 1 IKE Modus Main X Phase 1 DH Gruppe DHGnppe 2 1024 Bt v SA Lebensdauertyp E SA Lebensdauer 2500000 Min Phase 1 Verschl sselung 30ES 168 v Phase 1 Authentifizierung SHAI r Erweiterte Einstellungen Phase 2 Si Lebensdauertyp Time X SA Lebensdaver 2880 Min Phase 2 Verschl sselung 30ES 168 z Phase 2 Authentifizierung SHAI X Perfect Forward Secrecy Kommentar 3 W hlen Sie aus ob f r die Authentifizierung ein Preshared Key oder Zertifikat verwendet werden soll Weitere Informationen hierzu finden
121. Spezielle Einstellungen f r SIMATIC NET Dienste Verwenden Sie f r die Filterung spezieller SIMATIC NET Dienste bitte die folgenden SNAP Einstellungen e DCP Primary Setup Tool PROFINET IO e SICLOCK OUI 08 00 06 hex OUI Type 01 00 hex 4 3 12 Dienstgruppen einrichten Bildung von Dienstgruppen Sie k nnen mehrere Dienste durch die Bildung von Dienstgruppen zusammenzufassen Auf diese Weise k nnen Sie komplexere Dienste aufbauen die in den Paketfilter Regeln dann durch einfache Namensauswahl verwendet werden k nnen Dialoge Register Sie ffnen den Dialog ber folgenden Men befehl Optionen gt IP Dienste bzw MAC Dienste Register Dienstgruppen I Definitionen der IP Dienste u IP Dienste CMP Dienstguppen Guppenmanagement Gruppen Name Gnepe Gruppe Gruppe Beschreibung 3 Definitionen der IP Dienste Foo IP Dierste CMP Dienstguppen Guppenmanagerment Grusgen G 1 Derste saepe Sece M rs Security Grundlagen und Anwendung 166 Projektierungshandbuch 12 2014 C79000 68900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus 4 3 13 Standardregeln f r IP Dienste anpassen So erreichen Sie diese Funktion 1 Selektieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften gt Register Firewall gt Register Standardregeln f r IP Dienste Bedeutung der erweiterten Einstellungen P
122. TPS TCP Port 21 Server und Client expliziter Modus Erlaube x x x TCP Port 80 Zur Kommunikation mit einem Webserver HTTP Erlaube x x x TCP Port Zur gesicherten Kommunikation mit einem HTTPS 443 Webserver z B zur Web Diagnose Erlaube x x TCP Port 53 Kommunikationsverbindung zu einem DNS DNS UDP Port 53 Server wird zugelassen Erlaube x x x TCP Port Zur berwachung von SNMP f higen Netz SNMP 161 162 teilnehmern UDP Port 161 162 Erlaube x x TCP Port 25 Zum Austausch von E Mails zwischen authen SMTP tifizierten Benutzern ber einen SMTP Server Erlaube x x UDP Port Zur Synchronisation der Uhrzeit NTP 123 Security Grundlagen und Anwendung 120 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 1 CPs im Standard Modus Dienst Station gt Extern Extern gt Extern Freigegebe Bedeutung Extern gt Intern Station Station ne Ports Intern gt Extern Erlaube x Der MAC Verkehr von extern zur Station und MAC umgekehrt ist zugelassen Ebene Kommuni kation Erlaube x Der ISO Verkehr von extern zur Station und ISO umgekehrt ist zugelassen Kommuni kation Tabelle 4 2 Logging f r IP und MAC Regels tze Regelsatz Aktion bei Aktivierung Angelegte Regel IP Log Einstellungen Aktion Von Nach Aufzeichnen getunnelter Pakete Nur aktiv wenn die Security Allow Station Tunnel Baugruppe Teilnehmer einer VPN
123. Tool 2 5 Benutzer verwalten e radius Rolle die zur Aktivierung benutzerspezifischer IP Regels tze mit Authentifizierung ber RADIUS Server verwendet werden kann Nur lesender Zugriff e administrator radius Rolle die zur Aktivierung benutzerspezifischer IP Regels tze mit Authentifizierung ber RADIUS Server verwendet werden kann Zugriffsrechte auf alle Konfigurationsdaten au er auf SNMP MIBs Hinweis Weitere Informationen zu benutzerspezifischen IP Regels tzen finden Sie in folgendem Kapitel Benutzerspezifische IP Regels tze Seite 143 Hinweis Weitere Informationen zur Authentifizierung ber RADIUS Server finden Sie in folgendem Kapitel Authentifizierung durch RADIUS Server Seite 78 Benutzerdefinierte Rolle Zus tzlich zu den systemdefinierten Rollen k nnen Sie benutzerdefinierte Rollen anlegen F r eine benutzerdefinierte Rolle w hlen Sie die Projektierungs bzw Baugruppenrechte und legen f r jede im Projekt verwendete Security Baugruppe die entsprechenden Rechte fest Die benutzerdefinierten Rollen weisen Sie dem entsprechenden Benutzer manuell zu So erreichen Sie diese Funktion Men befehl SCT Optionen gt Benutzerverwaltung Register Rollen Men befehl STEP 7 Benutzer gt Start der Benutzerverwaltung Schaltfl che Ausf hren Zus tzlich kann die Benutzerverwaltung aus einzelnen Registern aufgerufen werden Security Grundlagen und Anwendung Projektierungsh
124. Tunnel bersicht u Tunnelliste Status Name gt ubnetz von Baugruppel N Log Konsole int Teilnehmer IP Subnetz o CETA A Rr s E 192 168 9 0 255 255 255 0 E Alle l schen Tunnelendpunkt IP Tunnel ber Aktiviere Verbindung zu den internen Knoten Deaktiviere Verbindung zu den internen Knoten W hle Netzwerkverbindung Teste Tunnel Erweiterte Diagnose L sche Eintrag Oct 28 2014 13 48 15 icmp Oct 28 2014 13 48 17 icmp Oct 28 2014 13 48 19 icmp Oct 28 2014 13 48 22 icmp Oct 28 2014 13 48 24 icmp Oct 28 2014 13 48 26 icmp Oct 28 2014 13 48 28 icmp 192 168 10 192 168 10 1 Request timed out Request timed out 192 168 10 1 Request timed out 192 168 10 1 Request timed out 192 168 10 1 Request timed out 192 168 10 1 Request timed out 192 168 10 1 Request timed out Okt 29 2014 Okt 29 2014 Okt 29 2014 11 42 48 config 11 42 53 QuickMode 11 42 53 QuickMode Loaded Configuration E 55C Konfiguration 1 Baugruppe2 dat Added Security Association From 192 168 10 100 To 192 168 9 0 24 Added Security Association From 192 168 10 100 To 192 168 10 1732 Liste leeren Hilfe Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 251 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten
125. Ultimate 32 64 Bit e Microsoft Windows 7 Ultimate 32 64 Bit Service Pack 1 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 239 SOFTNET Security Client 8 2 Installation und Inbetriebnahme des SOFTNET Security Client Verhalten bei St rungen 8 2 8 2 1 240 Bei auftretenden St rungen auf Ihrem PG PC verh lt sich SOFTNET Security Client wie folgt e Eingerichtete Sicherheitsrichtlinien bleiben ber das Aus und Einschalten Ihres PG PC erhalten e Bei fehlerhafter Konfiguration werden Meldungen ausgegeben Installation und Inbetriebnahme des SOFTNET Security Client SOFTNET Security Client installieren und starten Sie installieren die PC Software SOFTNET Security Client von der Produkt DVD 1 Lesen Sie zun chst die Angaben in der LIESMICH Datei Ihrer SCALANCE S DVD und beachten Sie ggf zus tzliche Installationshinweise 2 F hren Sie das Setup Programm aus ffnen Sie hierzu am einfachsten die Inhalts bersicht Ihrer SCALANCE S DVD gt wird beim DVD Einlegen automatisch gestartet oder kann ber die Datei start exe ge ffnet werden W hlen Sie dann direkt den Eintrag Installation SOFTNET Security Client Nach der Installation und dem Start des SOFTNET Security Client erscheint das Symbol f r den SOFTNET Security Client in der Windows Taskleiste gt y gt Alle Programme l Siemens Automation BE SMmAac i Security EN Security Configura
126. VPN ber IPsec Tunnel b li Fertigungsleitrechner mit CP 1628 externes Netz 57 400 mit 7 300 mit CP 343 1 Adv LANCE S612 SCALANCE 5623 SCALANCE S627 2M ET 200 v8 erzoox 1 intern Automatisierungszelle ji intem Automatisierungszeile J intern Automatisierungszelle ee s nn So as a u a u l E Link E l i Ve Bild 1 2 Netzkonfiguration mit SCALANCE S612 SCALANCE S623 und SCALANCE S627 2M Security Grundlagen und Anwendung 28 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 6 Einsatz von SCALANCE S612 5623 und 5S627 2M Sicherheitsfunktionen e Firewall IP Firewall mit Stateful Packet Inspection Layer 3 und 4 Firewall auch f r Ethernet Non IP Telegramme gem IEEE 802 3 Layer 2 Telegramme steht nicht zur Verf gung wenn der Router Betrieb genutzt wird Bandbreitenbegrenzung Globale Firewall Regels tze Benutzerspezifische IP Regels tze Alle Netzknoten die sich im internen Netzsegment eines SCALANCE S befinden werden durch dessen Firewall gesch tzt e Gesicherte Kommunikation durch IPsec Tunnel SCALANCE S kann mit anderen Security Baugruppen per Projektierung zu Gruppen zusammengefasst werden Zwischen allen Security Baugruppen einer VPN Gruppe werden IPsec Tunnel aufgebaut VPN Virtual Private Network Alle internen Knoten dieser Security Baugruppen k nnen mittels dieser Tunnel
127. abzustellen Hinweis f r CP W hlen Sie f r den CP nur Ebene 3 oder Ebene 6 aus e Bei Auswahl von Ebene 3 werden die Fehlermeldungen der Ebenen 0 bis 3 ausgegeben e Bei Auswahl von Ebene 6 werden die Fehlermeldungen der Ebenen 0 bis 6 ausgegeben ber die Severity gewichten Sie die System Ereignisse der Leitungsdiagnose im Verh ltnis zur Severity der brigen System Ereignisse Hinweis Weisen Sie den System Ereignissen der Leitungsdiagnose keine geringere Se verity als der Filterung der System Ereignisse zu Ansonsten passieren diese Ereignisse den Filter nicht und werden vom Syslog Server nicht aufge zeichnet 9 2 3 Projektierung des Paket Logging Projektierung des Logging im Standard Modus Informationen zum Logging von IP und MAC Regels tzen finden Sie in folgenden Kapiteln e SCALANCE S im Standard Modus Seite 128 e CPs im Standard Modus Seite 117 Hinweis Zusammenhang zwischen Log Einstellungen im Standard Modus und Firewall Regeln Log Einstellungen im Standard Modus wirken nicht f r Firewall Regeln die durch eine Verbindungsprojektierung automatisch erzeugt wurden So k nnen beispielsweise getunnelte Telegramme einer projektierten Verbindung nicht geloggt werden Im Erweiterten Modus kann das Logging auf die automatisch erzeugten Firewall Regeln von Verbindungen ausgeweitet werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 269 O
128. agen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 19 Einf hrung und Grundlagen 1 3 Produkteigenschaften Teilnehmers zur Laufzeit und ber nahme der IP Adresse f r den exter nen Port der Security Baugruppe Funktion CP x43 1 Adv CP 1628 SCALANCE S gt V4 0 Aufzeichnung von Paketfilter x x x Ereignissen Audit Meldungen in den Diagnosepuf x x fern der Security Baugruppe Zugriff ber Security Configuration x x x Tool auf Log Puffer der Security Baugruppe Diagnose ber Security Configuration x x x Tool Senden der Meldungen an Syslog x x x Server Web Diagnose x Ghost Modus Ermittlung der IP Adresse des internen x Demilitarisierte Zone DMZ Einrichtung einer DMZ zur Entkopp lung des sicheren Netzes vom unsi cheren Netz x Router und Firewallredundanz Redundante Ausf hrung von Security Baugruppen zur Erhaltung der Router und Firewallfunktionalit t bei Ausfall einer Security Baugruppe x S62x 2 V4 0 x Funktion wird unterst tzt Funktion wird nicht unterst tzt 1 3 2 Mengenger ste Hinweis Eine komplette bersicht der zul ssigen Mengenger ste finden Sie im Internet unter folgender Adresse http support automation siemens com W W view de 58217657 20 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 3 Produk
129. all Regeln im Erweiterten Modus ge ndert werden Standard Einstellung f r CP 1628 CP 1628 mit NDIS und IE Schnittstelle externe Knoten externe Security Baugruppe Firewall Bild 4 3 Standard Einstellung f r IP Paketfilter CP 1628 Alle Telegramme von NDIS und IE Industrial Ethernet Schnittstelle nach extern sind zugelassen Alle Telegramme von extern sind geblockt Alle Telegramme von extern an die Security Baugruppe und umgekehrt vom folgenden Typ sind zugelassen e ESP Protokoll Verschl sselung e IKE Protokoll zum Aufbau der IPsec Tunnel e NAT Traversal Protokoll zum Aufbau der IPsec Tunnel Security Grundlagen und Anwendung 124 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 1 CPs im Standard Modus IP Kommunikation ber IPsec Tunnel ist zugelassen Telegramme vom Typ Syslog sind von der Security Baugruppe nach extern zugelassen CP 1628 mit NDIS und IE Schnittstelle externe Knoten externe Security Baugruppe Firewall Bild 4 4 Standard Einstellung f r MAC Paketfilter CP 1628 Alle Telegramme von extern sind geblockt Alle Telegramme von extern vom folgenden Typ sind zugelassen e ARP mit Bandbreitenbegrenzung e PROFINET DCP mit Bandbreitenbegrenzung Telegramme von der Security Baugruppe nach extern vom folgenden Typ sind zugelas sen e PROFINET DCP mit Bandbreitenbegrenzung MAC Protokolle die durch IPsec Tunnel gesendet werden si
130. anager konfiguriert Die anderen Teilnehmer sind Redundanz Clients SCALANCE S627 2M Baugruppen k nnen ausschlie lich die Rolle eines MRP bzw HRP Clients einnehmen Mit Testtelegrammen berpr ft der Redundanz Manager den Ring auf Unterbrechunggfreiheit Die Redundanz Clients leiten die Testtelegramme weiter Wenn die Testtelegramme des Redundanz Managers bei einer Unterbrechung des Rings nicht mehr am anderen Ringport des Redundanz Managers ankommen schaltet der Redundanz Manager seine beiden Ringports durch und informiert die Redundanz Clients umgehend ber den Wechsel Die beiden Medienredundanzverfahren MRP und HRP arbeiten nach demselben Funktionsprinzip Sie unterscheiden sich in der Zeitdauer die SCALANCE X Switche als Redundanz Manager zum Durchschalten ihrer Ringports ben tigen e MRP 200 ms e HRP 300 ms Hinweis zum Einsatz von MRP und HRP 108 e MRP und HRP wird in Ringtopologien mit bis zu 100 Ger ten unterst tzt Eine berschreitung der Ger teanzahl kann zum Ausfall des Datenverkehrs f hren e Es wird empfohlen die beteiligten Ringports auf Full Duplex und 100 Mbit s einzustellen Andernfalls kann es zum Ausfall des Datenverkehrs kommen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren Einsatzm glichkeiten von MRP HRP auf Medienmodulports MRP HRP wird ausschlie lich auf den Medienmo
131. andbuch 12 2014 C79000 68900 C286 04 71 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten 2 5 4 Tabelle 2 2 Angaben im Register Rollen Parameter Bedeutung Rollenname Frei w hlbarer Rollenname Kommentar Zus tzliche Kommentareingabe Maximale Sitzungsdauer Eingabe der Zeitdauer nach welcher ein Benutzer mit der zugeordne ten Rolle von der Webseite f r benutzerspezifische IP Regels tze von SCALANCE S Baugruppen automatisch abgemeldet wird Die hier angegebene Zeitdauer beginnt nach der Anmeldung sowie nach dem Erneuern der Sitzung auf der Webseite der Security Baugruppe e Standardeinstellung 30 Minuten e Mindestwert 5 Minuten e Maximalwert 480 Minuten Tabelle 2 3 Schaltfl chen im Register Rollen Bezeichnung Eigenschaften Bearbei ten Hinzuf gen L schen Bedeutung Auswirkung Markieren Sie in der Liste eine benutzerdefinierte Rolle und klicken Sie auf die Schaltfl che Im aufgeblendeten Dialog ndern Sie die Eigen schaften der Rolle wie den Rollennamen die der Rolle zugewiesenen Rechte sowie die maximale Sitzungsdauer Systemdefinierte Rollen k nnen nicht bearbeitet werden F gen Sie ber die Schaltfl che eine neue benutzerdefinierte Rolle hinzu Im aufgeblendeten Dialog geben Sie den Rollennamen ein und weisen der Rolle aus der Rechteliste die entsprechenden Rechte zu Angezeigt werden die Rechte der in der Rechtevorlage au
132. arameter Bedeutung bei Aktivierung Erweiterte Zustandsoptionen verwenden Wenn Sie dieses Kontrollk stchen aktivieren werden Ver bindungen und Firewall Zust nde f r Netzwerkteilnehmer begrenzt Die Begrenzungen lauten e Max 200 Verbindungen in 5 Sekunden e Max 2000 Firewall Zust nde berschreitet ein Netzwerkteilnehmer eine dieser Begren zungen wird dessen IP Adresse in die IP Blacklist der Security Baugruppe aufgenommen Der Teilnehmer kann dann nicht mehr ber die Security Baugruppe kommunizie ren Die IP Blacklist der Security Baugruppe kann im Onli ne Modus eingesehen werden Alle aktivierten Regeln loggen Pakete die gem den Standardregeln f r IP Dienste zuge lassen werden werden geloggt ICMP Test f r Schnittstellen freischalten Ping Anfragen die an einer Schnittstelle der Security Baugruppe eingehen k nnen an andere Schnittstellen wei tergeleitet werden Aus dem externen Netz k nnen somit beispielsweise Ping Anfragen auf die interne Schnittstelle der Security Baugruppe durchgef hrt werden Bedeutung der standardm igen Firewall Regeln In diesem Dialog haben Sie die M glichkeit die dienstspezifischen Firewall Regeln die f r die Schnittstellen der Security Baugruppen standardm ig eingestellt sind anzupassen Die standardm igen Einstellungen des Dialogs entsprechen den standardm igen Firewall Regeln der jeweiligen Security Baugruppe Security Grundlagen und Anwendung
133. ard Router und Routen festlegen Seite 172 Routing Modus oder DMZ Schnittstelle aktivieren Register Schnittstellen Wenn sie den Routing Modus oder die DMZ Schnittstelle aktiviert haben werden die Telegramme weitergeleitet die an eine im jeweiligen Subnetz intern extern DMZ vorhandene IP Adresse gerichtet sind Dar ber hinaus gelten die f r die jeweilige bertragungsrichtung projektierten Firewall Regeln F r diese Betriebsart m ssen Sie im Register Schnittstellen f r die interne Schnittstelle und oder f r die DMZ Schnittstelle eine IP Adresse und eine Subnetzmaske f r die Adressierung des Routers am internen Subnetz und oder am DMZ Subnetz projektieren Alle nicht zu einem Subnetz geh renden Netzwerkanfragen werden durch den Standard Router in ein anderes Subnetz weitergeleitet Hinweis Im Gegensatz zum Bridge Betrieb der Security Baugruppe gehen im Routing Modus VLAN Tags verloren Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 171 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Bridge und Routing Modus bei SCALANCE S623 S627 2M Bei dem DMZ Netz handelt es sich stets um ein separates Subnetz Der Unterschied zwischen dem Bridge Modus und dem Routing Modus liegt in der Unterteilung des externen 5 1 2 und internen Netzes e Betriebsart Bridge Internes und externes Netz befinden sich im gleichen Subnetz DMZ Netz befindet sic
134. arerelease der gew hlten Baugruppe k nnen Sie in dem Dialog den Baugruppentyp und oder das Firmwarerelease anpassen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 3 Produkteigenschaften Entnehmen Sie der nachfolgenden Tabelle welche Baugruppen Sie ohne und mit eventuellen Datenverlusten austauschen k nnen Hinweis Ersetzen von CPs Informationen zum Ersetzen von CPs finden Sie im jeweiligen Ger tehandbuch Ausgangs M glicher Baugruppentausch baugruppe S602 V2 S602 S602 S602 V4 S612 S612 V2 S612 V3 S612 V4 S613 V1 S613 S623 V3 S623 S627 2M V4 S602 V3 S602 V4 S612 V1 S612 V2 S612 V3 S612 V4 S613 V1 S613 V2 S623 V3 S623 V4 x x X X X X X x S627 2M V4 x Ohne Verluste Mit eventuellen Verlusten Der Baugruppentyp und die Firmwareversion werden nicht ge ndert Ausgangskonfigura tion SOFTNET Security Client 2005 M glicher Tausch SOFTNET Security Cli ent 2005 SOFTNET Security Cli ent 2008 SOFTNET Security Client V3 0 x SOFTNET Security Client V4 0 x SOFTNET Security Client 2008 SOFTNET Security Client V3 0 k kk x SOFTNET Security Client V4 0 k kk x Wenn sich der SOFTNET Security Client nicht in eine
135. as Startmen Start gt Alle Programme gt Siemens Automation gt Dokumentation Siehe auch Link zur Dokumentation http www automation siemens com simatic portal html_00 techdoku htm Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 277 Literaturverzeichnis B 2 S7 CPs Zur Projektierung Inbetriebnahme und Nutzung des CP B 2 nI 12 1 B 3 RBI 278 S7 CPs Zur Projektierung Inbetriebnahme und Nutzung des CP SIMATIC NET S7 CPs f r Industrial Ethernet Projektieren und in Betrieb nehmen Handbuch Teil A Allgemeine Anwendungen Projektierungshandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 30374198 http support automation siemens com WW view de 30374198 SIMATIC NET S7 CPs f r Industrial Ethernet Handbuch Teil B Ger tehandbuch Siemens AG SIMATIC NET Manual Collection Im Internet finden Sie die Ger tehandb cher f r die einzelnen CPs jeweils unter folgender Beitrags ID CP 343 1 Advanced GX31 28017299 http support automation siemens com W W view de 28017299 CP 443 1 Advanced GX30 59187252 http support automation siemens com W W view de 59187252 Zur Projektierung mit STEP 7 NCM S7 SIMATIC NET NCM S7 f r Industrial Ethernet Erste Schritte Siemens AG Bestandteil der Online Dokumentation in STEP 7 Security Grundlagen und Anwendung Projektierungshandb
136. ation Inbetriebnahme Bedienung und Instandhaltung voraus Die zul ssigen Umgebungsbedingungen m ssen eingehalten werden Hinweise in den zugeh rigen Dokumentationen m ssen beachtet werden Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG Die brigen Bezeichnungen in dieser Schrift k nnen Marken sein deren Benutzung durch Dritte f r deren Zwecke die Rechte der Inhaber verletzen kann Haftungsausschluss Wir haben den Inhalt der Druckschrift auf bereinstimmung mit der beschriebenen Hard und Software gepr ft Dennoch k nnen Abweichungen nicht ausgeschlossen werden so dass wir f r die vollst ndige bereinstimmung keine Gew hr bernehmen Die Angaben in dieser Druckschrift werden regelm ig berpr ft notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten Siemens AG Dokumentbestellnummer C79000 68900 C286 04 Copyright Siemens AG 2012 2014 Division Process Industries and Drives 12 2014 nderungen vorbehalten Alle Rechte vorbehalten Postfach 48 48 90026 N RNBERG DEUTSCHLAND Vorwort Vorwort Dieses Handbuch unterst tzt Sie bei der Projektierung der Security Funktionalit ten folgender Security Integrated Produkte SCALANCE S S602 S612 S623 S627 2M SOFTNET Security Client S7 CPs CP 343 1 Advanced CP 443 1 Advanced PC CP CP 1628 Mobilfunk Router SCALANCE M875 SCALANCE M 800 ADSL Router SCALA
137. auf die Baugruppe ge laden Welche Daten werden von STEP 7 nach SCT migriert und im Inhaltsbereich angezeigt 54 Folgende in STEP 7 angelegte Projektierungsdaten werden automatisch von SCT bernommen k nnen dort jedoch nicht ver ndert werden e Ger tename e IP Adresse PROFINET IO EZ Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten e IP Adresse GBit e Subnetzmaske PROFINET IO EZ e Subnetzmaske GBit e MAC Adresse der GBit Schnittstelle e Standard Router e MAC Adresse PROFINET IO DE Welche Daten k nnen nach SCT migriert und dort ver ndert werden y F1 Folgende in STEP 7 genutzte Funktionen k nnen nach SCT migriert und dort bearbeitet werden Or e Access Control Listen Seite 121 p gt 7 e Benutzer Seite 67 5 e NTP Server Seite 193 Detailinformationen dazu finden Sie in der Online Hilfe von SCT Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen SCT Dialog Automatische Firewall Regeln f r projektierte Verbindungen F r in STEP 7 projektierte spezifizierte Verbindungen werden automatisch Firewall Regeln in SCT angelegt die den Verbindungsaufbau freigeben N here Informationen hierzu finden Sie im folgenden Kapitel e Verbindungsbezogene automatische Firewall Regeln Seite 146 F r unspezifizierte Verbindungen m ssen
138. baut werden muss Besteht keine Verbindung mehr werden die Security Associations SA von Phase 2 vorzeitig beendet Bei deaktivierter DPD wird die SA erst nach Ablauf der SA Lebensdauer beendet Zur Einstellung der SA Lebensdauer siehe folgendes Kapitel VPN Gruppeneigenschaften projektieren Seite 210 Erlaubnis zur Initiierung des Verbindungsaufbaus Sie k nnen die Erlaubnis zur Initiierung des VPN Verbindungsaufbaus auf bestimmte Baugruppen im VPN beschr nken Security Grundlagen und Anwendung 216 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Ma gebend f r die Einstellung des beschriebenen Parameters ist die Vergabe der Adresse f r das Gateway der zu projektierenden Baugruppe Bei einer statisch vergebenen IP Adresse kann die Baugruppe von der Gegenstelle gefunden werden Bei dynamisch vergebener und daher sich st ndig ndernder IP Adresse kann die Gegenstelle nicht ohne Weiteres eine Verbindung aufbauen Modus Bedeutung Starte Verbindung zur Gegenstelle Initi Bei dieser Option ist die Baugruppe aktiv d h es wird ator Responder Standard versucht zu einer Gegenstelle eine Verbindung herzustel len Die Annahme von Anfragen zum VPN Verbindungsaufbau ist ebenfalls m glich Diese Option wird empfohlen wenn die zu projektierende Baugruppe vom ISP eine dynamische IP Adresse zuge wiesen bekommt Die A
139. beiten gt Eigenschaften 3 W hlen Sie das Register RADIUS 4 Aktivieren Sie das Kontrollk stchen RADIUS Authentifizierung aktivieren Hinweis nderung der Methode zur Authentifizierung mit Webserver auf Security Baugruppe Wenn die RADIUS Authentifizierung auf der Security Baugruppe aktiviert wird wird die Methode zur Authentifizierung mit dem Webserver von Digest Access Authentication auf Basic Access Authentication umgestellt 5 Geben Sie in das Eingabefeld RADIUS Timeout die Zeit in Sekunden ein die die Security Baugruppe maximal auf eine Antwort des RADIUS Servers warten soll 6 Geben Sie in das Eingabefeld RADIUS Wiederholungen die Anzahl der Verbindungsversuche mit dem RADIUS Server ein 7 Aktivieren Sie das Kontrollk stchen RADIUS Authentifizierung nicht projektierter Benutzer erlauben wenn dem zu aktivierenden benutzerspezifischen IP Regelsatz anstelle eines Benutzers eine Rolle zugewiesen wurde 8 Aktivieren Sie das Kontrollk stchen Filter ID wird f r die Authentifizierung ben tigt wenn es sich bei der zugewiesenen Rolle um eine benutzerdefinierte Rolle handelt 9 Klicken Sie auf die Schaltfl che Hinzuf gen Ergebnis Der RADIUS Server der als erstes projektiert wurde wird der Security Baugruppe zugewiesen 10 W hlen Sie ggf aus der Klappliste Name den RADIUS Server den Sie der Security Baugruppe zuweisen m chten Generelle Informationen zur Authentifizierung dur
140. belle 5 2 NAT Adressumsetzung und zugeh rige Firewall Regeln f r CP x43 1 Adv Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 NAT Aktion Angelegte Firewall Regel Aktion Von Nach Quell IP Adresse Ziel IP Adresse Destination Drop Extern Station NAT Allow Extern Any IP Adresse des Teilnehmers die im Eingabefeld Ziel Umsetzung ange geben wurde Source NAT Allow Any Extern IP Adresse die im Eingabefeld Quell Umsetzung ange geben wurde Source NAT Allow Any Extern IP Adresse die im Destination Eingabefeld Quell NAT Umsetzung ange geben wurde Drop Extern Station Allow Extern Any IP Adresse des Teilnehmers die im Eingabefeld Ziel Umsetzung ange geben wurde 185 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router In der folgenden Tabelle wird das Schema f r Firewall Regeln dargestellt die f r SCALANCE S Baugruppen f r NAPT Regeln erzeugt werden Tabelle 5 3 NAPT Umsetzungen und angelegte Firewall Regeln f r SCALANCE S Baugruppen Angelegte Firewall Regel Aktion Von Nach Quell IP Adresse Ziel IP Adresse Allow Quell Netz Ziel Netz IP Adresse der Security Baugruppe im Quell Netz Dienst Dienst NAPT Regel In der folgenden Tabelle wird das Schema f r Firewall Regeln dargestellt die f r CP x43 1 Adv f r NAPT Regeln erzeugt werden Tabell
141. ber den PC oder einen NTP Server Zeitsynchronisation mit NTP Automatisches Stellen und periodischer Abgleich der Uhrzeit mittels eines NTP Servers Zeitsynchronisation mit NTP gesichert Automatisches Stellen und periodischer Abgleich der Uhrzeit mittels eines NTP Servers gesichert Tabelle 5 6 Zeitsynchronisierung f r SCALANCE S 2 V3 0 Auswahlm glichkeit Bedeutung Auswirkung Keine Zeitsynchronisation Keine Zeitsynchronisation Zeit bei jedem Laden setzen Automatisches Stellen der Baugruppen Uhrzeit mit der PC Uhrzeit beim Laden einer Konfiguration Zeitsynchronisation mit NTP Automatisches Stellen der Uhrzeit mittels eines NTP Servers af Automatisches Stellen und periodischer Abgleich der Zeit h t t NTP hert SAE gesichert Uhrzeit mittels eines NTP Servers gesichert Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 3 3 Zeitsynchronisierung Modus zur Zeitsynchronisierung ausw hlen Gehen Sie folgenderma en vor 1 W hlen Sie den Synchronisierungsmodus aus 2 F r SCALANCE S lt V3 0 Bei der Synchronisierung durch einen NTP Server geben Sie das Aktualisierungsintervall in Sekunden ein F r SCALANCE S 2 V3 0 wird das Zeitintervall f r die Abfrage des NTP Servers automatisch festgelegt Hinweis In STEP 7 angelegte NTP Server werden automatisch mit dem Aktualisierungsintervall nach SCT migrie
142. buch 12 2014 C79000 G8900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Funktionen der einzelnen Schnittstellen Folgende Funktionen k nnen auf den einzelnen Schnittstellen genutzt werden Funktion Gr n internal Rot external Gelb DMZ Statische IP Adresse x WAN Zugang mit DSL Router WAN Zugang mit DSL x x Modem PPPoE dy Wenn nicht auf gelber Wenn nicht auf roter namische IP Adresse Schnittstelle Schnittstelle vom ISP Bridge Modus x Routing Modus x x x Ghost Modus x DHCP Server x Endpunkt einer VPN x Tunnelverbindung mit DSL Modem und DSL Router MRP HRP Client im x x Routing Modus Ring ports auf den Medien modulen LLDP im Routing x x X Modus PA A Passive Listening im x x 3 Routing Modus wenn Medienmodule ge steckt x wird unterst tzt wird nicht unterst tzt Duplex Verfahren F r einen Port kann eines von zwei Duplex Verfahren ausgew hlt werden e Halbduplex Die Security Baugruppe kann zu einem Zeitpunkt entweder Daten empfangen oder senden e Vollduplex Die Security Baugruppe kann zu einem Zeitpunkt gleichzeitig Daten empfangen und senden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 97 Baugruppen anlegen und Netzparamelter einstellen 3 2 Schnittstellen Konfigurieren Hinweis Duplex Verfahren und bertrag
143. ch RADIUS Server finden Sie in folgendem Kapitel Authentifizierung durch RADIUS Server Seite 78 Siehe auch Benutzer anlegen Seite 69 Security Grundlagen und Anwendung 82 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 6 Zertifikate verwalten 2 6 Zertifikate verwalten 2 6 1 bersicht Wie verwalten Sie Zertifikate Im Zertifikatsmanager erhalten Sie eine bersicht aller im Projekt verwendeten Zertifikate CA Zertifikate mit Angaben zu Antragssteller Aussteller G ltigkeit Verwendung in SCT und Vorhandensein eines privaten Schl ssels Das CA Zertifikat ist ein durch eine Zertifizierungsstelle die so genannte Certificate Authority ausgestelltes Zertifikat von denen die Ger tezertifikate abgeleitet werden Zu den Ger tezertifikaten geh ren die SSL Zertifikate die zur Authentifizierung bei der Online Kommunikation zwischen einer Security Baugruppe und einem weiteren Netzwerkteilnehmer ben tigt werden Weitere Ger tezertifikate sind die VPN Gruppen Zertifikate von Security Baugruppen die sich in VPN Gruppen befinden Zertifizierungsstellen k nnen sein e SCT selbst Sind Antragsteller und Aussteller gleich dann handelt es sich um ein selbst signiertes also durch SCT ausgestelltes Zertifikat e Eine bergeordnete Zertifizierungsstelle Diese projektexternen Fremdzertifikate werden importiert und im Zertifikatsspeicher von SCT abgelegt Zertifikate
144. chen werden die Eintr ge in folgende Firewall Regeln umgewandelt Tabelle 4 4 Schaltfl chen Bezeichnung Bedeutung Auswirkung Neu Legen Sie eine neue IP Adresse oder einen neuen IP Adressbereich mit den dazugeh rigen Rechten an ndern Markieren Sie einen Eintrag und klicken Sie auf diese Schaltfl che um einen bestehenden Eintrag zu bearbeiten L schen L schen Sie ber diese Schaltfl che den ausgew hlten Eintrag Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 4 1 1 4 Eintrag zur Zugriffsliste hinzuf gen Nehmen Sie folgende Einstellungen vor Firewall projektieren 4 1 CPs im Standard Modus Feld IP Adresse oder Start des IP Bereichs Beschreibung Geben Sie die IP Adresse oder den Anfangswert eines IP Adressbereichs ein Ende des IP Bereichs optional Geben Sie den Endwert eines IP Adressbereichs ein Kommentar Zus tzliche Kommentareingabe beispielsweise zur Beschreibung des Kommunikationspartners oder des Adressbereiches autorisiert Diese IP Adresse ist f r folgende Zugriffe Zugriff auf Station A Access Kommunikationspartner mit Adressen im angegebenen Bereich haben Zugriff auf die dem CP zugeh rende Station CP CPU Diese Zugriffsberechtigung ist f r IP Adressen die Sie in der Verbindungsprojektierung angegeben haben implizit gesetzt gilt nur f r spezifizierte Verbindungen IP Routin
145. chst einen neuen Benutzer an legen Sie anschlie end eine Rolle fest und weisen Sie im letzten Schritt dem Benutzer die Rolle zu e Definieren Sie zun chst eine neue Rolle legen Sie anschlie end einen Benutzer an und weisen Sie im letzten Schritt dem Benutzer die Rolle zu Hinweis Verwahren Sie Ihre Benutzer Passw rter sicher Vergessen Sie Ihre Benutzer Passw rter haben Sie keinen Zugriff mehr auf das betreffende Projekt bzw die betreffende Security Baugruppe Sie m ssen in diesem Fall ein neues Projekt erstellen und ein R cksetzen auf Werkseinstellungen durchf hren Dabei verlieren Sie aber die Konfiguration Hinweis Werden die Authentifizierungseinstellungen ge ndert so m ssen die Security Baugruppen neu geladen werden damit diese Einstellungen z B neue Benutzer Passwort nderungen auf den Security Baugruppen aktiv werden Benutzerauthentifizierung beim Aktivieren benutzerspezifischer IP Regels tze Die Authentifizierung von Benutzern die sich auf der Webseite der Security Baugruppe anmelden um einen benutzerspezifischen IP Regelsatz zu aktivieren kann entweder von der Security Baugruppe oder von einem RADIUS Server durchgef hrt werden Wie Sie f r einen Benutzer die Authentifizierungsmethode RADIUS festlegen erfahren Sie in folgendem Kapitel e Benutzer anlegen Seite 69 Detaillierte Informationen zur Benutzerauthentifizierung durch RADIUS Server finden Sie in folgendem Kapitel e Authe
146. d Logging Zu Test und berwachungszwecken verf gt die Security Baugruppe ber Diagnose und Logging Funktionen e Diagnosefunktionen Hierunter sind verschiedene System und Statusfunktionen zu verstehen die Sie im Online Modus anwenden k nnen e Logging Funktionen Hierbei geht es um die Aufzeichnung von System und Sicherheitsereignissen Die Aufzeichnung der Ereignisse erfolgt in Pufferbereiche der Security Baugruppe oder auf einem Syslog Server Die Parametrierung und Auswertung dieser Funktionen setzt eine Netzwerkverbindung auf die ausgew hlte Security Baugruppe voraus Ereignisse mit Logging Funktionen aufzeichnen Welche Ereignisse aufgezeichnet werden sollen legen Sie mit den Log Einstellungen zur jeweiligen Security Baugruppe fest Dabei k nnen Sie f r die Aufzeichnung folgende Varianten konfigurieren e Lokales Logging Bei dieser Variante zeichnen Sie die Ereignisse in lokalen Puffern der Security Baugruppe auf Im Online Dialog des Security Configuration Tool k nnen Sie dann auf diese Aufzeichnungen zugreifen diese sichtbar machen und in der Service Station archivieren e Netzwerk Syslog Beim Netzwerk Syslog nutzen Sie einen im Netz vorhandenen Syslog Server an den die Ereignisse gesendet werden Welche Ereignisse gesendet werden geben Sie in den Log Einstellungen der jeweiligen Security Baugruppe an Log Daten archivieren und aus Datei einlesen Sie k nnen die aufgezeichneten Ereignisse zur Archivieru
147. d XID Exchange Identification sind Hilfsprotokolle zum Informationsaustausch auf der Layer 2 Ebene Durch das Versenden dieser Telegramme mit einer Broadcast Adresse k nnen diese Netzknoten ausfindig gemacht werden PROFINET Knoten Mit Hilfe von DCP Discovery and basic Configuration Protocol werden PROFINET Knoten gefunden Netzknoten die diese Bedingungen nicht erf llen m ssen Sie statisch konfigurieren Hinweis Kein Lernmodus bei VPN Tunnel auf DMZ Schnittstelle s62x Das Lernen von internen Knoten wird nur auf Schnittstellen unterst tzt die im Bridge Modus angebunden werden Die DMZ Schnittstelle wird stets im Routing Modus angebunden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 9 Interne Netzknoten konfigurieren So erreichen Sie die Funktion 1 Markieren Sie die zu bearbeitende SCALANCE S Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register VPN 3 Baugruppeneigenschaften Baugruppel Eae Schitstelen Frewall Intemetwertindung DNS Routing NAT NAPT Zetayncheorisienng Log Einstelungen VPN _DHCP Server SNMP Prow ARP MRP HRP RADIUS Daad Foar Detecton 7 Elate Desd Poer Detechon Zeitintervall in Sekunden 120 Algemene Einstellungen f r VPN Werbindungen Ertaubeis zur Inmdierung des Verbindungssufbsus Starte Verbindung zur Gegenstele Intiater Rasponder WA
148. das Security Configura tion Tool migrieren k nnen Start der Security SCT ffnet sich in einem bersichtmodus in Konfiguration dem Sie die f r diese Security Baugruppe spezi fischen Eigenschaften konfigurieren k nnen Firewall Regeln online Angepasste Firewall Einstellungen werden ge nachladen neriert und auf den CP geladen ohne ein Stop pen des CP zu verursachen Firewall Regeln online Angepasste Firewall Einstellungen werden ge nachladen CP 1628 neriert und auf den CP geladen Benutzer Start der Benutzer Startet die SCT Benutzerverwaltung in der verwaltung Benutzer und Rollen angelegt sowie Rechte zugewiesen werden IP Zugriffsschutz Start der Firewall Beim Aktivieren von Security wird eine vorhan S Konfiguration dene IP Zugriffsliste ber eine Umsetzung in Firewall Regeln in das Security Configuration Tool migriert FTP Zugriff nur ber FTPS Startet die SCT Benutzerwaltung in der Sie zulassen einer Rolle FTP Rechte zuweisen k nnen Start der Benutzer verwaltung Web Zugriff nur ber Startet die SCT Benutzerwaltung in der Sie HTTPS zulassen Start der Benutzer einer Rolle Web Rechte zuweisen k nnen verwaltung Uhrzeitsynchronisation Erweiterte NTP Startet das SCT im NTP Konfigurationsmodus Konfiguration SNMP Start der SNMP Startet SCT im SNMP Konfigurationmodus Sie Konfiguration k nnen zwischen SNMPv1 oder SNMPV3 w h len e Direkt in SCT
149. de Security Baugruppe die Rechte die der benutzerdefinierten Rolle zugewiesen werden sollen 4 Geben Sie ggf einen Kommentar sowie eine maximale Sitzungsdauer f r die zu erstellende Rolle ein 5 Klicken Sie auf die Schaltfl che bernehmen um die Auswahl zu speichern bzw OK um zu speichern und das Fenster zu schlie en 6 Weisen Sie die Rolle einem Benutzer zu Rollenrecht einer Security Baugruppe kopieren W hlen Sie im Kontextmen einer Security Baugruppe aus der Objektliste den Befehl Rechte kopieren und weisen Sie diese ber den Befehl Rechte einf gen einer anderen Security Baugruppe zu Projektierungsrechte Je nach Rollentyp stehen Ihnen pro Security Projekt die folgenden Projektierungsrechte zur Auswahl Tabelle 2 4 Projektierungsrechte f r Zugriffe auf das Security Projekt Projektierungsrecht administrator standard diagnostics Security diagnostizieren x x x Security konfigurieren x x E Benutzer und Rollen verwalten x x Recht ist aktiviert Recht ist deaktiviert Baugruppenrechte In der Spalte Dienst wird das System angezeigt auf welches das jeweilige Recht Auswirkungen hat Je nach Rollentyp stehen Ihnen pro Security Projekt die folgenden Baugruppenrechte zur Auswahl Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten Tabelle 2
150. den sind w hlt SSC den Netzwerkadapter zum Aufbau eines Tunnels automatisch aus Dies kann unter Umst nden nicht der gew nschte Netzwerkadapter sein Falls kein zum Projekt passender Netzwerkadapter vorhanden ist tr gt SSC automatisch einen ein Passen Sie in diesem Fall die Einstellung zum Netzwerkadapter ber das Kontextmen der Teilnehmer und Security Baugruppen im Dialog Tunnel bersicht an Bedeutung der Parameter Tabelle 8 1 Parameter im Dialogfeld Tunnel bersicht Parameter Bedeutung Wertebereich Status Die Bedeutung der Statusanzeigen finden Sie in der nachfolgen den Tabelle Name Aus der SCT Konfiguration bernommener Name der Baugruppe oder des Teilnehmers Int Teilnehmer IP Subnetz Wenn interne Teilnehmer Subnetze vorhanden sind wird die IP Adresse des internen Knotens bzw die Netz ID des internen Sub netzes anzeigt Tunnelendpunkt IP IP Adresse der zugeordneten Security Baugruppe Tunnel ber Falls der PC mit mehreren Netzwerkkarten betrieben wird wird die zugeordnete IP Adresse angezeigt ber welche der VPN Tunnel aufgebaut wird Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 249 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten Tabelle 8 2 Statusanzeigen Symbol x b Bedeutung Es besteht keine Verbindung zur Security Baugruppe oder zum Teilnehmer Es sind weitere Teilnehmer v
151. der mehrere Rollen zugewiesen sein Zus tzlich haben Sie die M glichkeit mit Hilfe von Dienst Definitionen Firewall Regeln kompakt und bersichtlich zu definieren Dienst Definitionen k nnen in allen oben aufgef hrten Regeltypen eingesetzt werden Firewall aktivieren Die Firewall wird im Standard Modus durch Aktivieren des Optionsk stchens Firewall aktivieren gesteuert Deaktivieren Sie das Kontrollk stchen werden die Firewall Einstellungen die Sie eingetragen haben weiterhin in der Liste angezeigt k nnen jedoch nicht ver ndert werden Befindet sich die Security Baugruppe in einer VPN Gruppe ist das Kontrollk stchen standardm ig aktiviert und kann nicht deaktiviert werden Logging Einstellungen aktivieren 116 Im Standard Modus k nnen Sie das Logging global im Register Firewall aktivieren Damit werden Ihnen jedoch nicht alle Pakete angezeigt welche die Firewall passieren Im Erweiterten Modus k nnen Sie das Logging f r jede einzelne Firewall Regel aktivieren Damit entf llt die Einschr nkung bez glich angezeigter Pakete aus dem Standard Modus Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 1 CPs im Standard Modus Hinweis Firewall von SCALANCE S627 2M Die Medienmodulports des SCALANCE S627 2M sind mit dem fest eingebauten Port der jeweiligen Schnittstelle ber einen Switch Baustein verbunden Zwischen den Ports der externen Schnittste
152. diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen Dialog Literaturhinweise Hinweise auf weitere Dokumentationen sind mit Hilfe von Literaturnummern in Schr gstrichen angegeben Anhand dieser Nummern k nnen Sie dem Literaturverzeichnis am Ende des Handbuchs den Titel der Dokumentation entnehmen Siehe auch Customer Support Seiten http support automation siemens com WW view de 18701555 130000 SIMATIC NET Glossar Erkl rungen zu vielen Fachbegriffen die in dieser Dokumentation vorkommen sind im SIMATIC NET Glossar enthalten Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 7 Vorwort Sie finden das SIMATIC NET Glossar hier e SIMATIC NET Manual Collection oder Produkt DVD Die DVD liegt einigen SIMATIC NET Produkten bei e Im Internet unter folgender Beitrags ID 50305045 http support automation siemens com WW view de 50305045 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Inhaltsverzeichnis AV 01 2 1 0 n CARRREFRFERIHETFFETERECPPFTRREEFFRERREFEIEREREFFTERETEFFTETTEEEFSHERTEFRRERETESTTTERTEFTTERTTEFSLERELFFETEEEEFTITETTFETTETTFTFFEERTRTEREFFTELEETRR 3 1 Einf hrung nd Grundlagen 4 sssenseesskesns te age a a E ee 15 1 1 Wichtige Hinweisea 24 34 22 ae EA lic kenliedehielken teile eigen 15 1 2 Einf hrung und Grundlage esanen naon a a a A E 18 1 3 Pr d kteigenschaften reirse
153. dnung IP Adresse symbolischer Name sowie MAC Adresse symbolischer Name zu vermeiden werden die symbolischen Namen in einer einzigen Tabelle verwaltet Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 65 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Symbolische Namen definieren 1 Bet tigen Sie die Schaltfl che Hinzuf gen um einen neuen symbolischen Namen in der n chsten freien Tabellenzeile hinzuzuf gen 2 Geben Sie ein Raute Zeichen gefolgt von dem gew nschten symbolischen Namen DNS konform ein 3 Erg nzen Sie den Eintrag mit der IP Adresse und oder der MAC Adresse en Symbolische Namen o mi Geben Sie in jeder Zeile einen Namen sowie eine IP Adresse und oder eine MAC Adresse ein Name IP Adresse MAC Adresse SPS1 192 168 56 2 SPS2 00 0E 8C 01 23 45 Hinzuf gen OK Abbrechen Hilfe Nicht definierte symbolische Namen verwenden 66 Im Rahmen der Projektierung von Security Baugruppen k nnen Sie auch symbolische Namen verwenden die noch nicht definiert sind Nach dem Eintragen eines noch nicht definierten symbolischen Namens und dem Best tigen des zugeh rigen Dialogs wird der gew hlte symbolische Name in die Tabelle der symbolischen Namen aufgenommen In diesem Dialog k nnen Sie dann die zugeh rige IP Adresse und oder MAC Adresse f r den symbolischen Namen festlegen Falls
154. dressen von einem Internet Service Provider ISP SCALANCE S wird dabei im Routing Modus betrieben Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 99 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Zur Verwendung dieser IP Adresszuweisungsmethode geben Sie Angaben zum ISP im Register Internetverbindung an Die IP Adresse die Subnetzmaske der Standard Router sowie der DNS Server der Schnittstelle werden dann vom ISP vorgegeben Hinweis Ein projektierter Standard Router wird bei Verwendung von PPPoE nicht ber cksichtigt Dieser wird der Baugruppe dynamisch vom ISP vorgegeben Hinweis Keine Netzwerkkomponenten zwischen SCALANCE S und DSL Modem Wenn die Schnittstelle einer SCALANCE S Baugruppe ber PPPoE betrieben wird d rfen sich zwischen dieser Schnittstelle und dem angeschlossenen DSL Modem keine weiteren Netzwerkkomponenten befinden da die Einwahldaten des Internet Service Providers auf dieser Strecke ggf unverschl sselt bertragen werden Bei Verwendung des Authentifizierungsprotokolls CHAP werden die Daten verschl sselt bertragen Security Grundlagen und Anwendung 100 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Porteinstellungen Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Spalte Bedeutung Port ID Automatisch vergebene ID f r den Port der Schnittstelle Port Typ Ph
155. dressierung der Gegenstelle erfolgt ber deren pro jektierte WAN IP Adresse deren projektierte externe Baugruppen IP Adresse oder den projektierten FQDN Warte auf Gegenstelle Responder Bei dieser Option ist die Baugruppe passiv d h es wird gewartet bis der Verbindungsaufbau von der Gegenstelle initiiert wird Diese Option wird empfohlen wenn die zu projektierende Baugruppe vom ISP eine statische IP Adresse zugewie sen bekommen hat Hinweis Stellen Sie nicht alle Baugruppen einer VPN Gruppe auf Warte auf Gegenstelle da sonst keine Verbindung aufgebaut wird WAN IP Adresse FQDN Adressen der Baugruppen und Gateways bei einem VPN ber Internet Beim Betrieb eines VPN mit IPsec Tunnel ber das Internet sind in der Regel zus tzliche IP Adressen f r die Internet Gateways z B DSL Router erforderlich Den einzelnen Security oder SCALANCE M Baugruppen m ssen die ffentlichen IP Adressen der Partner Baugruppen welche ber das Internet erreicht werden sollen im VPN bekannt sein Hinweis Wenn Sie einen DSL Router als Internet Gateway nutzen m ssen an diesem mindestens die folgenden Ports gem der Angaben in der zugeh rigen Dokumentation freigeschaltet und die Datenpakete an die Baugruppe weitergeleitet werden e Port 500 ISAKMP e Port 4500 NAT T Hierzu besteht die M glichkeit in der Konfiguration von Security oder SCALANCE M Baugruppen eine WAN IP Adresse festzulegen
156. dulports des SCALANCE S627 2M unterst tzt Die folgende Tabelle zeigt die Einsatzm glichkeiten von MRP HRP auf den Medienmodulports eines SCALANCE S627 2M Ringports Medienmodul 1 Medienmodul 2 P4 P5 P6 P7 MRP Cient oder HRP Client Ring 1 Ring 1 R Ring 2 Ring 2 Ring 1 Ring 1 Ring 2 Ring 2 Die gleichzeitige Anbindung der Security Baugruppe an einen internen und an einen externen Ring ist nur m glich wenn mindestens eine der Schnittstellen als MRP Client angebunden wird Bei zwei unterlagerten Ringen pro SCALANCE S Baugruppe ist Ebene 3 Kommunikation zwischen den Ringen m glich 3 2 6 2 MRP HRP f r die Security Baugruppe projektieren Voraussetzungen e Die Security Baugruppe befindet sich im Routing Modus e F r die Schnittstellen die an Ringe angebunden werden sollen sind Medienmodule projektiert So erreichen Sie diese Funktion 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register MRP HRP Konfigurierbare Parameter Parameter Bedeutung Auswahlm glichkeiten MRP HRP Schnittstellen Auswahl der Schnittstelle e Extern die an den MRP HRP Ring e Intern angebunden werden soll Medienredundanzrolle Auswahl des Medienredun e Nicht Teilnehmer des Rings danzproiokolls bzw Deakti MRP Client Standard Einstellung vieren von Medienredundanz f r die selektierte Schnittstel
157. dus von Security Configuration Tool individuelle Pakettfilter Regeln projektieren Die Paketfilter Regeln stellen Sie in w hlbaren Registern f r folgende Protokolle ein e Layer 3 4 IP Protokoll IP Dienste e Layer 2 MAC Protokoll MAC Dienste Hinweis Keine MAC Regeln bei aktiviertem Routing Modus Wenn Sie f r die Security Baugruppe den Routing Modus aktiviert haben finden MAC Regeln keine Anwendung Dialoge sind inaktiv Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 139 Firewall projektieren 4 3 Firewall im Erweiterten Modus Wenn Sie in den nachfolgend beschriebenen Dialogen keine Regel eintragen gelten die Standardeinstellungen der Firewall Details hierzu finden Sie in folgendem Kapitel e Standardeinstellungen von CP x43 1 Adv Voreinstellung der Firewall Seite 118 e Standardeinstellungen von CP 1628 Voreinstellung der Firewall Seite 124 e Standardeinstellungen von SCALANCE S Voreinstellung der Firewall Seite 128 Globale benutzerspezifische und lokale Definition m glich e Globale Firewall Regels tze k nnen mehreren Security Baugruppen gleichzeitig zugewiesen werden Sie werden im Erweiterten Modus im Navigationsbereich des Security Configuration Tools angezeigt und global projektiert e Benutzerspezifische IP Regels tze k nnen einzelnen oder mehreren Security Baugruppen gleichzeitig zugewiesen werden Sie werden im Erweiterten Modus im Navigationsbereich
158. e bis jetzt noch nicht bekannte interne Knoten ersetzt werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 231 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 9 Interne Netzknoten konfigurieren Nicht lernbare Netzknoten 6 9 3 232 Es gibt Teilnehmer im internen Netz die nicht gelernt werden k nnen Hierbei handelt es sich um Teilnehmer von Subnetzen die sich am lokalen internen Netz der SCALANCE S Baugruppe z B hinter Routern befinden Diese Subnetze k nnen ebenfalls nicht gelernt werden Nicht lernbare Teilnehmer und Subnetze m ssen Sie im Erweiterten Modus statisch konfigurieren Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen Sie es erneut Anzeige der gefundenen internen Netzknoten Alle gefundenen Netzknoten werden im Security Configuration Tool angezeigt 1 Wechseln Sie in die Betriebsart Online 2 W hlen Sie den Men befehl Bearbeiten gt Online Diagnose Register Interne Knoten Ergebnis Die gefundenen internen Netzknoten werden angezeigt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Router und Firewallredundanz r
159. e die Aktion und die Schnittstelle Pro Kommunikationspartner entstehen unabh ngig von der Anzahl der Verbindungen 2 Regeln Hinweis UDP Multicast und UDP Broadcast Verbindungen manuell freigeben F r UDP Multicast und UDP Broadcast Verbindungen werden keine automatischen Firewall Regeln angelegt Um die Verbindungen freizugeben f gen Sie die entsprechenden Firewall Regeln im Erweiterten Modus manuell hinzu Je nachdem wie in STEP 7 der Verbindungsaufbau projektiert ist werden in SCT die folgenden Ebene 3 Firewall Regeln angelegt Befindet sich die Security Baugruppe in einer VPN Gruppe wechselt die Richtung Extern in Tunnel In die Spalte Quell IP Adresse bzw Ziel IP Adresse dieser Firewall Regeln wird jeweils die IP Adresse des Verbindungspartners eingetragen CP gt extern Aktion Von Nach aktiv Allow Station Extern Drop Extern Station passiv Drop Station Extern Allow Extern Station aktiv und passiv Allow Extern Station Allow Station Extern CP gt intern Aktion Von Nach aktiv Allow Station Intern Drop Intern Station passiv Drop Station Intern Allow Intern Station aktiv und passiv Allow Intern Station Allow Station Intern F r Ebene 2 Verbindungen werden Allow Regeln f r beide Richtungen angelegt Befindet sich die Security Baugruppe in einer VPN Gruppe wechselt die Richtung Extern in Tunnel Security Grundlagen und Anwendung Proj
160. e ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen Sie es erneut 2 Markieren Sie die zu bearbeitende Security Baugruppe 3 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Log Einstellungen Der folgende Dialog zeigt die Standard Einstellungen f r die Security Baugruppe bei aktiviertem Logging f r das Netzwerk Syslog I Baugrugpeneigernchaften Baugruppe olo E Schritistelen Firewall ktenstvebn ng DNS Ratno NAT NAPT Zetamcionseng os Ertelhngen VPN DHCP Sorver SNMP Pan ARP RADIUS Lokalen Logang Ermarenhlansen ahtngren Jeieisseicher lirema Speicher so Pier Auleuzeitrernce Pakete 4 Pakaciiner Erenprusse Frenni gt Paketlog Me Pakete 4 Syre Erezrusse tortga erer gt Synen Log tamet wos Y Logprg engeschahet Syslog Server Symbchsche Namee Logpng Motinsme ernenser Ergeanakiaggen akineren Snee zungen Ercat nanesen Paheikiter Ergresse Frens ust Erenprusse Sysern Erasrusse Verbindung zum Syslog Server herstellen 266 F r SCALANCE S Die Security Baugruppe verwendet den projektierten Baugruppennamen als Hostnamen gegen ber dem Syslog Server F r CPs Die Security Baugruppe verwendet die eigene IP Adresse als Hostnamen gegen ber dem Syslog Server Security Grundlagen und Anwendung Projek
161. e wird diese zur Alias Adresse Dies bedeutet dass die angegebene Adresse zus tzlich als IP Adresse an der ausgew hlten Schnittstelle registriert wird Alias Adressen werden zus tzlich im Register Schnittstellen der Security Baugruppe angezeigt Stellen Sie sicher dass mit der Alias Adresse kein IP Adresskonflikt im Netzwerk be steht Ziel IP Adresse Ziel Umsetzung F r diese Aktion nicht relevant F r diese Aktion nicht relevant F r diese Aktion nicht relevant F r diese Aktion nicht relevant Nr Von SCT vergebene fortlaufende Nummer die zur Bezugnahme auf die Firewall Regel verwendet wird welche von SCT f r die NAT Regel erzeugt wird Aktion Source NAT Destination NAT 178 Hinweis Sie k nnen f r alle von einem Quell Netz in ein Ziel Netz gehenden Telegramme eine Adressumsetzung auf die Baugruppen IP Adresse im Ziel Netz projektieren Zus tzlich wird von der Security Baugruppe an jedes Telegramm eine Port Nummer vergeben Es handelt sich hierbei um eine n 1 NAT Adressumsetzung bei welcher mehrere IP Adressen des Quell Netzes auf eine IP Adresse des Ziel Netzes umgesetzt werden Geben Sie beispielsweise f r die Richtung Intern nach Extern die folgenden Parameter ein Aktion Source NAT Von Intern Nach Extern Quell IP Adresse Quell Umsetzung Externe IP Adresse der Security Baugruppe 1 1 NAT Die Aktion Source NAT Destination NAT kann in folg
162. e 5 4 NAPT Umsetzungen und angelegte Firewall Regeln f r CP x43 1 Adv Angelegte Firewall Regeln Adresse ange geben wurde Aktion Von Nach Quell IP Adresse Ziel IP Adresse Dienst Drop Extern Station Dienst NAPT Regel Allow Extern Any IP Adresse des Dienst NAPT Teilnehmers Regel die im Eingabe feld Ziel IP Stateful Packet Inspection Firewall und NAT NAPT Router unterst tzen den Mechanismus Stateful Packet Inspection Daher k nnen Antworttelegramme den NAT NAPT Router und die Firewall passieren ohne dass deren Adressen in der Firewall Regel und der NAT NAPT Adressumsetzung zus tzlich aufgenommen werden m ssen 5 1 7 Firewall Bedeutung Zusammenhang zwischen NAT NAPT Router und benutzerspezifischer Von SCT wird nach dem Anlegen von NAT NAPT Regeln in der benutzerspezifischen Firewall automatisch ein benutzerspezifischer IP Regelsatz erzeugt der die Kommunikation in der projektierten Adressumsetzungsrichtung freigibt Diesen benutzerspezifischen IP Regelsatz k nnen Sie dann einzelnen oder mehreren Benutzern und oder einzelnen oder mehreren Rollen nur f r SCALANCE S Baugruppen ab V4 zuweisen Security Grundlagen und Anwendung 186 Projektierungshandbuch 12 2014 C79000 68900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Die erzeugten Firewall Regeln k nnen ggf verschoben und erweitert werden zus tzl
163. e Kommunikation zuzulassen f gen Sie eine Regel mit den folgenden Einstellungen ein e Aktion Drop e Von Any e Nach Extern F r CP 1628 f gen Sie eine Regel mit den folgenden Einstellungen ein e Aktion Drop e Von Station e Nach Extern Zus tzlich m ssen Sie bereits bestehende Firewall Regeln die ungetunnelte Kommunikation erlauben entfernen 4 3 5 Lokale IP Pakeffilter Regeln einstellen Mittels IP Paketfilter Regeln k nnen Sie auf IP Telegramme wie beispielsweise UDP TCP ICMP Telegramme filtern Innerhalb einer IP Paketfilter Regel k nnen Sie auf Dienst Definitionen zur ckgreifen und damit die Filterkriterien weiter eingrenzen Wenn Sie keine Dienste angeben gilt die IP Paketfilter Regel f r alle Dienste Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 149 Firewall projektieren 4 3 Firewall im Erweiterten Modus Dialog f r lokale IP Paketfilter Regeln ffnen SCT Markieren Sie die zu bearbeitende Security Baugruppe und w hlen den Men befehl Bearbeiten gt Eigenschaften Register Firewall STEP 7 Klicken Sie im Register Security neben Start der Security Konfiguration auf die Schaltfl che Ausf hren Register Firewall IP Paketfilter Regeln eintragen Tragen Sie der Reihe nach die Firewall Regeln in die Liste ein beachten Sie die Parameterbeschreibung und die Beispiele im Folgekapitel oder in der Online Hilfe
164. e M glichkeit Security Funktionen f r CPs zu projektieren erweitert Offline Projektierungssicht und Online Diagnosesicht Das Security Configuration Tool verf gt ber eine Offline Projektierungssicht und eine Online Diagnosesicht e Offline Projektierungssicht In der Betriebsart Offline erfolgt die Projektierung der Konfigurationsdaten f r die entsprechende Baugruppe Vor dem Ladevorgang muss hierbei keine Verbindung zu dieser Baugruppe bestehen e Online Der Online Modus dient dem Test und der Diagnose einer Security Baugruppe Zwei Bedienungsmodi In der Offline Projektierungssicht stellt das Security Configuration Tool zwei Bedienungsmodi zur Verf gung e Standard Modus Der Standard Modus ist im Security Configuration Tool voreingestellt Dieser Modus erm glicht eine z gige unkomplizierte Projektierung f r den Betrieb der Security Baugruppen e Erweiterter Modus Im Erweiterten Modus gibt es erweiterte Einstellm glichkeiten die u a eine individuelle Einstellung der Firewall Regeln Log Einstellungen NAT NAPT Regeln VPN Knoten sowie erweiterter Sicherheitsfunktionalit ten zulassen Security Grundlagen und Anwendung 44 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 2 Installation des Security Configuration Tools Arbeitsweise Sicherheit und Konsistenz e Zugriff nur f r autorisierte Benutzer Jedes Projekt ist durch Benutzernamen und Passwor
165. e Verbindung getrennt werden soll Erlaubte Werte 10 3600 Adressumsetzung in das PPPoE Netz projektieren Das Kontrollk stchen Erlaube NAT von intern in das PPPoE Netz ist nur verf gbar wenn sich das Projekt nicht im erweiterten Modus befindet Wenn Sie das Kontrollk stchen aktivieren wird durch SCT eine NAT Regel angelegt mit welcher die Quell IP Adressen aller Teilnehmer im internen Netz auf die Baugruppen IP Adresse im PPPoE Netz umgesetzt werden Diese NAT Regel sowie die zugeh rige Firewall Regel ist nach dem Aktivieren des Kontrollk stchens im erweiterten Modus sichtbar Security Grundlagen und Anwendung 104 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren 3 2 4 Dynamisches DNS DDNS Bedeutung Mit dynamischem DNS k nnen Sie mit einem fest definierten Namen FQDN auf eine sich st ndig ndernde IP Adresse zugreifen Dies ist notwendig wenn Sie z B auf einen Server zugreifen m chten der ber eine ffentliche sich ndernde IP Adresse erreichbar ist Funktionsweise Die Security Baugruppe meldet einem Anbieter f r dynamisches DNS z B DynDNS org no ip com die aktuelle WAN IP Adresse ber die die Security Baugruppe erreichbar ist Der Provider sorgt daf r dass DNS Anfragen auf den FQDN der Security Baugruppe mit der aktuellen WAN IP Adresse der Security Baugruppe beantwortet werden Dynamisches DNS ist a
166. e hier f r Severity und Facility w hlen h ngt von der Auswer tung im Syslog Server ab Damit k nnen Sie eine Anpassung an die Erfordernisse im Syslog Server vornehmen Lassen Sie den Standardwert default eingestellt wird durch die Security Baugruppe festgelegt mit welcher Kom bination aus Facility und Severity das Ereignis angezeigt wird System Ereignisse Die Aktivierung erfolgt ber das Opti onsk stchen Zur Konfiguration des Ereignisfilters und der Leitungsdiagnose ffnen Sie ber die Schaltfl che Konfigurieren einen weiteren Dialog 268 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 Online Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Funktion Register im Online Dialog Filterung der System Ereignisse Leitungsdiagnose se Projektierung Stellen Sie in diesem Sub Dialog f r die Systemereignisse eine Filterebe ne ein Standardm ig sind die fol genden Werte eingestellt e SCALANCE S Ebene 3 e CP Ebene 3 Die Leitungsdiagnose erzeugt ein spezielles System Ereignis Stellen Sie ein ab welchem Prozentsatz fehlerhafter Telegramme ein System Ereignis erzeugt werden soll Weisen Sie dem System Ereignis eine Facili ty und eine Severity zu Bemerkungen W hlen Sie als Filterebene Error oder einen h heren Wert um die Aufzeich nung von allgemeinen nicht kritischen Ereignissen
167. e nachdem welche Authentifizierungsmethode beim Anlegen des Benutzers gew hlt wurde der sich an der Security Baugruppe anmeldet wird die Authentifizierung von verschiedenen Instanzen durchgef hrt e Authentifizierungsmethode Passwort Die Authentifizierung wird von der Security Baugruppe bernommen e Authentifizierungsmethode RADIUS Die Authentifizierung wird von einem RADIUS Server bernommen BEE Zuweisung von Rollen zu benutzerspezifischen IP Regels tzen 727 An SCALANCE S Baugruppen ab V4 ist auch die Zuweisung von benutzerspezifischen IP Regels tzen m glich welchen Rollen zugeordnet sind Damit ist es m glich eine Gruppe von Benutzern f r den Zugriff auf bestimmte IP Adressen freizuschalten Wenn ein RADIUS Server zur Benutzerauthentifizierung verwendet wird und dem benutzerspezifischen IP Regelsatz eine Rolle zugewiesen wird k nnen auch solche Benutzer vom RADIUS Server authentifiziert werden die nicht auf der Security Baugruppe projektiert sind Diese Benutzer m ssen auf dem RADIUS Server oder einer separaten Datenbank hinterlegt und dort derjenigen Rolle zugeordnet sein welche in SCT dem benutzerspezifischen IP Regelsatz zugeordnet ist Dieses Vorgehen hat den Vorteil dass alle Benutzerdaten ausschlie lich auf dem RADIUS Server abgelegt werden Weitere Informationen zur Authentifizierung durch RADIUS Server finden Sie in folgendem Kapitel Authentifizierung durch RADIUS Server Seite 78 Benutzerspezifi
168. e oder Client ID werden jeweils vorgegebene IP Adressen zugeordnet Tragen Sie hierzu diese Ger te in die Adressliste im Eingabebereich Statische Adresszuordnung ein Diese Option ist im Hinblick auf Firewall Regeln mit expliziter Angabe von Quell bzw Ziel IP Adresse sinnvoll e Dynamische Adresszuordnungen Ger te deren MAC Adresse oder deren Client ID nicht explizit angegeben wurde erhalten eine beliebige IP Adresse aus dem vorgegebenen Adressband Dieses Adressband stellen Sie im Eingabebereich Dynamische Adresszuordnungen ein Hinweis Dynamische Adressvergabe Verhalten nach Unterbrechung der Spannungsversorgung Beachten Sie dass die dynamisch vergebenen IP Adressen nicht gespeichert werden wenn die Spannungsversorgung unterbrochen wird Nach Wiederkehr der Spannungsversorgung m ssen Sie daher daf r sorgen dass die Teilnehmer erneut eine IP Adresse anfordern Sie sollten daher die dynamische Adressvergabe nur f r folgende Teilnehmer vorsehen e Teilnehmer die im Subnetz tempor r genutzt werden wie beispielsweise Service Ger te e Teilnehmer die eine einmal zugewiesene IP Adresse bei einer erneuten Anforderung an den DHCP Server als Vorzugsadresse bermitteln wie beispielsweise PC Stationen F r die Teilnehmer im dauernden Betrieb ist die statische Adresszuweisung ber die Angabe einer Client ID empfohlen f r S7 CPs wegen des einfacheren Baugruppentauschs oder der MAC Adresse vorzuziehen Symb
169. eblockt au er den explizit zugelassenen Alle Telegrammtypen von extern nach intern sind standardm ig geblockt au er den explizit zugelassenen Die IP Paketfilter Regel 1 l sst Telegramme mit der Dienstdefinition Service X1 von intern nach extern zu Die IP Paketfilter Regel 2 l sst Telegramme von extern nach intern zu wenn erf llt ist e IP Adresse des Absenders 196 65 254 2 e IP Adresse des Empf ngers 197 54 199 4 e Dienstdefinition Service X2 Die IP Paketfilter Regel 3 blockt Telegramme mit der Dienstdefinition Service X1 die vom VPN Tunnel ins interne Netz gesendet werden IPsec Tunnelkommunikation ist standardm ig zugelassen au er den explizit geblockten Telegrammtypen Siehe auch MAC Paketfilter Regeln Seite 161 Wertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs Seite 273 IP Adressen in IP Paketfilter Regeln 156 Die IP Adresse besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind Beispiel 141 80 0 16 In der Paketfilter Regel haben Sie folgende M glichkeiten IP Adressen anzugeben e keine Angabe Es erfolgt keine Pr fung die Regel gilt f r alle IP Adressen e eine IP Adresse Die Regel gilt genau f r die angegebene Adresse Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus e mehrere IP Adressen Die Regel gilt f
170. edeutung Anzahl der zuletzt verwendeten Passw rter die bei einer Passwort nderung als neues Passwort nicht zur Verf gung stehen e Mindestwert 1 Passwort e Maximalwert 10 Passw rter Mindestens ein Gro und Kleinbuchstabe Wenn Sie dieses Kontrollk stchen aktivieren m ssen Passw rter mindestens einen Gro buchstaben und einen Kleinbuchstaben enthalten Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 77 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten 2 5 6 Authentifizierung durch RADIUS Server 2 5 6 1 bersicht Bedeutung RADIUS Remote Authentication Dial In User Service ist ein Protokoll zur Authentifizierung von Benutzern durch Server auf denen Benutzerdaten zentral abgelegt werden k nnen Durch den Einsatz von RADIUS Servern kann der Schutz von Benutzernamen zugeordneten Rollen und Passw rtern erh ht werden Einsatzszenario von RADIUS Servern Die Authentifizierung durch RADIUS Server kann im Rahmen der Aktivierung benutzerspezifischer IP Regels tze durchgef hrt werden RADIUS Server PG f r Zugriff auf Automatisierungszelle Ethernet Industrial Security Grundlagen und Anwendung 78 Projektierungshandbuch 12 2014 C79000 G68900 C286 04 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten 1 Eingabe der Benutzerdaten auf der Webseite der Security Baugruppe 2 Authentifizierung durch RADIU
171. ee 283 Security Grundlagen und Anwendung 12 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Inhaltsverzeichnis Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 13 Einf hrung und Grundlagen 1 Security Hinweise 1 1 Allgemein Siemens bietet Produkte und L sungen mit Industrial Security Funktionen an die den sicheren Betrieb von Anlagen L sungen Maschinen Ger ten und oder Netzwerken unterst tzen Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security Konzept Die Produkte und L sungen von Siemens werden unter diesem Gesichtspunkt st ndig weiterentwickelt Siemens empfiehlt sich unbedingt regelm ig ber Produkt Updates zu informieren F r den sicheren Betrieb von Produkten und L sungen von Siemens ist es erforderlich geeignete Schutzma nahmen z B Zellenschutzkonzept zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security Konzept zu integrieren das dem aktuellen Stand der Technik entspricht Dabei sind auch eingesetzte Produkte von anderen Herstellern zu ber cksichtigen Weitergehende Informationen ber Industrial Security finden Sie unter http www siemens com industrialsecurity Um stets ber Produkt Updates informiert zu sein melden Sie sich f r unseren produktspezifischen Newsletter an Weitere Informationen hierzu finden Sie unter http support automation siemens com Wichtige Hinweise Hinweis Schutz
172. egramme gem IEEE 802 3 Layer 2 Bandbreitenbegrenzung Globale Firewall Regeln e Gesicherte Kommunikation durch IPsec Tunnel Der CP 1628 kann mit anderen Security Baugruppen per Projektierung zu Gruppen zusammengefasst werden Zwischen allen Security Baugruppen einer VPN Gruppe werden IPsec Tunnel aufgebaut VPN Virtual Private Network e Logging Zur berwachung lassen sich Ereignisse in Log Dateien speichern die mit Hilfe des Projektierwerkzeugs ausgelesen werden oder automatisch an einen Syslog Server gesendet werden k nnen e NTP gesichert Zur sicheren Uhrzeitsynchronisierung und bertragung e SNMPVv3 Zur abh rsicheren bertragung von Netzwerkanalyseinformationen Informationen zu allgemeinen Funktionen des CP 1628 In dem vorliegenden Handbuch erhalten Sie Informationen zu den Security Funktionen des CP 1628 erkl rt F r Beschreibungen zu allgemeinen Funktionen siehe e 11 Seite 281 Security Grundlagen und Anwendung 40 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 11 Projektierung und Administration 1 11 Projektierung und Administration Das Wichtigste zusammengefasst Im Zusammenspiel mit dem Projektierwerkzeug Security Configuration Tool werden Sie zu einer einfachen und sicheren Anwendung der Security Baugruppen gef hrt e Projektierung ohne IT Experten Wissen mit dem Security Configuration Tool Mit dem Security Configuration Tool k nnen auch Nicht IT
173. ehl SCT Optionen gt Zertifikatsmanager In den einzelnen Registern stehen Ihnen die folgenden Schaltfl chen zur Verf gung Schaltfl che Beschreibung Importieren Exportieren Import Export von Ger tezertifikaten bzw CA Zertifikaten die nicht in SCT angelegt wurden Die Zertifikate werden auf die Security Baugruppe bertragen Folgende Formate sind erlaubt pem nur Zertifikat crt nur Zertifikat p12 Zertifikat mit dazugeh rigem privaten Schl ssel Hinweis e Benutzer mit der systemdefinierten Rolle diagnostics d rfen keinen Export durchf hren Anzeigen ffnet den Zertifikatsdialog von Windows in dem Sie eine ber sicht aller Zertifikatsdaten angezeigt bekommen Register Zertifizierungsstellen Die hier angezeigten Zertifikate werden durch eine Zertifizierungsstelle angelegt e Zertifizierungsstelle eines Projekts Beim Erstellen eines neuen SCT Projekts wird f r das Projekt ein CA Zertifikat erzeugt Von diesem Zertifikat werden die SSL Zertifikate f r die einzelnen Security Baugruppen abgeleitet e Zertifizierungsstelle einer VPN Gruppe Beim Erstellen einer neuen VPN Gruppe wird f r die VPN Gruppe ein CA Zertifikat erzeugt Von diesem Zertifikat werden die VPN Gruppen Zertifikate von Security Baugruppen abgeleitet die sich in der zugeh rigen VPN Gruppe befinden Register Ger tezertifikate Anzeige der ger tespezifischen Zertifikate die von SCT f r eine
174. ehle Aufbau der Bedienoberfl che im Erweiterten Modus 15 Security Cont jurstion Tool Konfigurstion 1 CASCT Konfigurstion 1 Projekt Beartliten Einf gen bertragen Ansicht Optionen Hilfe D amp Offline Ansscht Dale Frewal Flegeisat ee 192 168 10 1 255 255 2550 IP Rdeset SOFTNET Security Client V4 G Frewall MAC Regels tze 5623 v4 192 168 10 2 255 255 255 0 P MaCueset1 4 255 255 255 0 S O Beruszerspezfische IP Reg M UeedetiPreset1 Ae Esuguppen Module Tp IP Adresse ext Subnetzmaske ext IP Adresse int Subnetzmaske int Standard Aktueller Benutzer admin Aktuelle Rolle administrator Erweiterter Modus Offline Navigationsbereich e Globale Firewall Regels tze Das Objekt enth lt die projektierten globalen Firewall Regels tze Weitere Ordner unter scheiden nach Firewall IP Regels tzen Firewall MAC Regels tzen e Benutzerspezifische IP Regels tze e Alle Baugruppen Das Objekt enth lt alle projektierten Baugruppen und SOFTNET Konfigurationen des Pro jekts e VPN Gruppen Das Objekt enth lt alle erzeugten VPN Gruppen e Redundanzbeziehungen LIU Das Objekt enth lt alle erzeugten Redundanzbeziehungen des Projekts Inhaltsbereich Indem Sie ein Objekt im Navigationsbereich anw hlen erhalten Sie im Inhaltsbereich Detailin formationen zu diesem Objekt F r einige Security Baugruppen k nnen Sie in diesem Bereich Ausz ge der Schnittstellen Konfigurationen einsehen und anpassen Durch Doppe
175. ehmers immer die deaktivierte Gesamtpolicy plus dem zus tzlichen internen Teilnehmer aktiviert Wenn Sie sicher sein wollen dass die eingerichtete Policy sich vollst ndig auf die von Ihnen aktivierten Teilnehmer bezieht schlie en Sie den SOFTNET Security Client und ffnen Sie ihn erneut Erweiterte Moduldiagnose Um die erweiterte Moduldiagnose aufzurufen w hlen Sie den Men befehl Erweiterte Diagnose im Kontextmen eines Eintrags Alternativ k nnen Sie den Dialog ber den Men befehl Optionen gt Erweiterte Moduldiagnose im Hauptfenster des SOFTNET Security Clients aufrufen 252 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten Die Ansicht dient nur der Diagnose des Systemzustandes im Zusammenhang mit den konfigurierten Security Baugruppen und kann bei Anfragen beim Customer Support helfen Log Konsole SCALANCE S MD74x Modul CP Hier w hlen Sie die Security Baugruppe aus f r die der aktuelle Systemstatus diagnostiziert werden soll Anmerkung S mtliche Security Baugruppen die ber die Konfiguration eingelesen wurden sind ausw hlbar Routingeinstellungen Modulspezifische Parameter Zeigt die aus der Konfiguration ermittelten Einstellungen zu Schnittstellen und internen Knoten Subnetzen an Aktive Main Modes Aktive Quick Modes Sind f r die ausgew hlte Baugruppe auf dem PG PC Main
176. eine Portangabe m g beim Telegrammabsender lich Beispiele Port wird nicht gepr ft 20 bzw 21 FTP Service Ziel Port Es erfolgt eine Filterung anhand der hier angegebe Bei der Protokollauswahl Al nen Portnummer diese definiert den Dienstzugang le ist keine Portangabe m g beim Telegrammempf nger lich Beispiele Port wird nicht gepr ft 80 Web HTTP Service 102 S7 Protokoll TCP Port 158 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 4 3 8 ICMP Dienste definieren Firewall projektieren 4 3 Firewall im Erweiterten Modus Mit Hilfe der ICMP Dienst Definitionen k nnen Sie Firewall Regeln definieren die auf bestimmte ICMP Dienste angewendet werden Sie vergeben hierbei einen Namen und ordnen diesem die Dienstparameter zu Die definierten Dienste k nnen Sie unter einem Gruppennamen zu Gruppen zusammenfassen Bei der Projektierung der Pakeffilter Regeln verwenden Sie dann diese Gruppennamen So erreichen Sie diese Funktion e ber den Men befehl Optionen gt IP Dienste Register ICMP oder e Aus dem Register IP Regeln ber die Schaltfl che IP Dienste Register ICMP 3 Definitionen der IP Dienste IP Dienste ICMP Dienstgruppen Gruppenmanagement Name Typ Code IcmpO Echo Reply No Code icmp1 Echo Reply B No Code Address Mask Request Alternate Host Address Conversion Error Destination Unreschable Echo Reply Echo Request In
177. ektierung von HRP f r die Security Baugruppe finden Sie in folgen dem Kapitel MRP HRP f r die Security Baugruppe projektieren Seite 109 Kommentar Frei w hlbarer Kommentar Konfiguration von Medienmodulen E77 Klicken Sie auf die Schaltfl che Medienmodul konfigurieren um den Dialog zur Konfiguration des Medienmoduls f r die zugeh rige Schnittstelle aufzurufen Zur Auswahl stehen die beiden folgenden Konfigurationsmodi e Automatisch Standardeinstellung Das verwendete Medienmodul wird im Betrieb automatisch erkannt Der Port Modus wird f r beide Ports auf Auto Negotiation eingestellt e Manuell W hlen Sie den verwendeten Medienmodultyp aus der Klappliste Modultyp aus Wenn Sie den Medienmodultyp MM992 2SFP ausw hlen k nnen Sie ber die beiden Klapplisten SFP Typ die gew nschten Stecktransceiver SFPs ausw hlen F r Ports mit dem Port Typ Kupfer k nnen Sie die bertragungsgeschwindigkeit sowie das Duplex Verfahren ber den Port Modus manuell festlegen F r Ports mit dem Port Typ Optisch ist der Port Modus durch das verwendete Medienmodul bzw den verwendeten SFP fest vorgegeben und kann nicht angepasst werden Siehe auch Besonderheiten des Ghost Modus Seite 111 bersicht Anschlussm glichkeiten Seite 94 Konfigurationsdaten f r SCALANCE M Baugruppen Seite 220 102 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 3 2 3 I
178. ektierungshandbuch 12 2014 C79000 68900 C286 04 147 Firewall projektieren 4 3 Firewall im Erweiterten Modus In die Spalte Quell MAC Adresse bzw Ziel MAC Adresse dieser Firewall Regeln wird jeweils die MAC Adresse des Verbindungspartners eingetragen CP gt extern Aktion Von Nach aktiv passiv aktiv und passiv Allow Station Extern Allow Extern Station Vereinbarungen f r automatisch angelegte Firewall Regeln 148 Priorit t Die Regeln haben die h chste Priorit t und werden daher in der lokalen Regelliste oben eingef gt Regeln l schen Die Regels tze k nnen nicht gel scht werden Das Logging kann aktiviert und Dienste k nnen zugewiesen werden Au erdem kann eine Bandbreite und ein Kommentar eingef gt werden Aktion umstellen Stellen Sie in SCT die Aktion von Allow auf Drop oder umgekehrt um werden diese beim erneuten Systemabgleich wieder berschrieben Sollen die vorgenommenen nderungen bestehen bleiben w hlen Sie als Aktion Allow oder Drop In diesem Fall wird nur die IP Adresse MAC Adresse mit STEP 7 abgeglichen und Aktion und Richtung bleiben wie eingestellt bestehen Einstellungen zu Logging Dienst Bandbreite und Kommentar bleiben bei einem erneuten Systemabgleich auch ohne das Umstellen der Aktion auf Allow bzw Drop bestehen Ist die zugeh rige Verbindung in STEP 7 nicht vorhanden wird die Regel aus der Liste entfernt Security Grundlagen und Anwendung Proj
179. ektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus Security Baugruppe in VPN Gruppe Standardm ig wird das Kontrollk stchen Ausschlie lich getunnelte Kommunikation aktiviert Deaktivieren Sie das Kontrollk stchen kann zus tzlich zur Tunnelkommunikation zwischen Tunnelpartnern Kommunikation mit weiteren Netzwerkteilnehmern aufgebaut werden zu welchen keine Tunnel bestehen e Die Kommunikation l uft au erhalb des Tunnels wenn die Partneradresse zu einer im SCT bekannten Station geh rt zu der kein VPN Tunnel projektiert ist e Die Kommunikation l uft durch den VPN Tunnel wenn die Partneradresse ein VPN Endpunkt ist e Kann nicht eindeutig zugeordnet werden ob eine Verbindung innerhalb oder au erhalb des VPN Tunnels laufen soll wird die Verbindung dem VPN Tunnel zugeordnet und ein entsprechender Hinweis wird angezeigt Die Zuordnung kann im Erweiterten Modus z B durch ndern der Von Richtung Tunnel auf Extern angepasst werden Damit diese Anpassung bei einem erneuten Systemabjgleich nicht wieder berschrieben wird muss die Aktion Allow bzw Drop ausgew hlt werden Hinweis Soll sichergestellt werden dass ausschlie lich eine Kommunikation durch den Tunnel m glich ist m ssen Sie im erweiterten Firewall Modus entsprechende Firewall Regeln z B f r interne Teilnehmer oder NDIS Adressen anlegen Um f r einen CP ausschlie lich getunnelt
180. elassen e HTTPS SSL e ESP Protokoll Verschl sselung e IKE Protokoll zum Aufbau der IPsec Tunnel e NAT Traversal Protokoll zum Aufbau der IPsec Tunnel Security Grundlagen und Anwendung 128 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 2 SCALANCE S im Standard Modus IP Kommunikation ber IPsec Tunnel ist zugelassen Er Telegramme von intern nach intern sind zugelassen Telegramme von extern auf Tunnel an der externen Schnittstelle und umgekehrt sind geblockt e interne Knoten Security Baugruppe externe Knoten externe Security Baugruppen Firewall Bild 4 6 Standardeinstellung f r MAC Paketfilter SCALANCE S602 612 ab V3 Alle Telegrammtypen von intern nach extern au er den folgenden Telegrammtypen sind geblockt e ARP Telegramme Alle Telegramme von intern an die Security Baugruppe sind zugelassen Alle Telegramme von extern nach intern au er den folgenden Telegrammtypen sind geblockt e ARP Telegramme mit Bandbreitenbegrenzung Telegramme von extern an die Security Baugruppe vom folgenden Typ sind zugelassen e ARP mit Bandbreitenbegrenzung e PROFINET DCP mit Bandbreitenbegrenzung e Im Routing Modus LLDP Telegramme Ethertype 0x88CC Im Bridge Modus MAC Protokolle die durch IPsec Tunnel gesendet werden sind zuge lassen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 129 Firewall projektieren 4 2 SCALANC
181. elsatzes Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G68900 C286 04 161 Firewall projektieren 4 3 Firewall im Erweiterten Modus MAC Paketfilter Regeln Die Projektierung einer MAC Regel beinhaltet folgende Parameter Tabelle 4 16 MAC Regeln Parameter Bezeichnung Aktion Bedeutung Kommentar Zulassungsfestlegung Freiga be Sperre Auswahlm glichkeiten Wertebereiche e Allow Telegramme gem Definition zulassen e Drop Telegramme gem Definition sperren F r automatisch angelegte Verbindungsregeln e Allow e Drop W hlen Sie diese Regeln findet kein Abgleich mit STEP 7 statt Ge nderte Regeln werden in SCT also nicht ber schrieben Von Nach Die zugelassenen Kommunikations richtungen Werden in den folgenden Tabellen beschrieben Quell MAC Adresse Quell Adresse der MAC Pakete Ziel MAC Adresse Ziel Adresse der MAC Pakete Alternativ k nnen Sie symbolische Namen eingeben Name des verwendeten MAC Dienstes oder der Dienstgruppe Dienst Any fasst die f r den einzelnen Eintrag zugelassenen Richtungen zusammen Bandbreite Mbit s Einstellm glichkeit f r eine Bandbrei ten Begrenzung Kann nur eingege ben werden wenn bei Aktion Allow ausgew hlt ist Ein Paket passiert die Firewall wenn die Pass Regel zutrifft und die zul s sige Bandbreite f r diese Regel noch nicht berschritten worden ist Ein bzw Ausschal
182. en Anbieter einrichten Gehen Sie so vor W hlen Sie aus der Klappliste Anbieter den Eintrag Benutzerdefiniert aus und nehmen Sie zus tzlich folgende Eingaben vor Einstellung Anbieter Aktualisierungs URL Bedeutung Geben Sie die jeweilige URL ein die Sie von Ihrem Anbieter erhalten haben Die Platzhaltertexte lt FQDN gt und lt Current WanlP gt m ssen hierbei an den zugeh rigen Stellen der URL platziert werden Pr f IP Service URL Geben Sie die jeweilige URL ein die Sie von Ihrem Anbieter erhalten haben Fehler bei berpr fung des Ser ver Zertifikats ignorieren 3 2 5 LLDP Bedeutung Damit die Authentifizierungsdaten gesch tzt sind wird das Zerti fikat des Update Servers standardm ig berpr ft Schl gt die Pr fung des Zertifikates fehl so wird die HTTPS Verbindung beendet und die Account Daten werden nicht bertragen Wenn Sie das Kontrollk stchen aktivieren wird die Funktion deakti viert z B wenn das Server Zertifikat des dyn DNS Dienstes ung ltig ist z B abgelaufen Es wird empfohlen die berpr fung nicht zu ignorieren und das Kontrollk stchen nicht zu akti vieren LLDP Link Layer Discovery Protocol ist ein Protokoll das zur Erkennung von Netzwerktopologien verwendet wird Ein LLDP f higes Ger t ist dazu in der Lage in regelm igen Intervallen Informationen ber sich selbst an Nachbarger te zu senden und gleichzeitig Informationen von Nachbarger
183. en Vorsichtsma nahmen nicht getroffen werden ACHTUNG bedeutet dass Sachschaden eintreten kann wenn die entsprechenden Vorsichtsma nahmen nicht getroffen werden Beim Auftreten mehrerer Gef hrdungsstufen wird immer der Warnhinweis zur jeweils h chsten Stufe verwendet Wenn in einem Warnhinweis mit dem Warndreieck vor Personensch den gewarnt wird dann kann im selben Warnhinweis zus tzlich eine Warnung vor Sachsch den angef gt sein Qualifiziertes Personal Das zu dieser Dokumentation zugeh rige Produkt System darf nur von f r die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der f r die jeweilige Aufgabenstellung zugeh rigen Dokumentation insbesondere der darin enthaltenen Sicherheits und Warnhinweise Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung bef higt im Umgang mit diesen Produkten Systemen Risiken zu erkennen und m gliche Gef hrdungen zu vermeiden Bestimmungsgem er Gebrauch von Siemens Produkten Marken Beachten Sie Folgendes INWARNUNG Siemens Produkte d rfen nur f r die im Katalog und in der zugeh rigen technischen Dokumentation vorgesehenen Einsatzf lle verwendet werden Falls Fremdprodukte und komponenten zum Einsatz kommen m ssen diese von Siemens empfohlen bzw zugelassen sein Der einwandfreie und sichere Betrieb der Produkte setzt sachgem en Transport sachgem e Lagerung Aufstellung Montage Install
184. en Zertifikate von Partnerbaugruppen Private Schl ssel CA Zertifikate von VPN Gruppen Dateitypen konfigurieren F r VPN Ger te k nnen Sie die Dateitypen bestimmen unter welchen die generierten Daten abgespeichert werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 223 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 7 Konfigurationsdaten f r VPN Ger te Selektieren Sie hierzu das zu bearbeitende VPN Ger t und w hlen Sie den Men befehl Bearbeiten gt Eigenschaften e VPN Gruppen Zertifikate des VPN Ger ts crt Datei Base64 kodiertes Zertifikat pem Datei Base64 kodiertes Zertifikat pem Datei Bin rkodiertes Zertifikat e VPN Gruppen Zertifikate von Partnerbaugruppen crt Datei Base64 kodiertes Zertifikat pem Base64 kodiertes Zertifikat pem Bin rkodiertes Zertifikat e Private Schl ssel p12 Datei Passwortgesch tztes PKCS12 Archiv mit privatem Schl ssel key Ungesch tzter Base64 kodierter privater Schl ssel e CA Zertifikate von VPN Gruppen crt Datei Base64 kodiertes Zertifikat pem Datei Base64 kodiertes Zertifikat pem Datei Bin rkodiertes Zertifikat Hinweis Konfigurationsdateien werden nicht an das VPN Ger t bertragen Es wird eine ASCII Datei generiert mit der Sie das VPN Ger t konfigurieren k nnen Dazu muss sich das VPN Ger t in mindestens einer VPN Gruppe mit einer Security Baugruppe oder einem
185. en der Firewall den Men befehl Bearbeiten gt Eigenschaften Register Firewall gt MAC Regeln N Baugrugpeneigennchaften Baugruppe Strese Froni Intemetwertindung DNS Routing NAT NAPT Zetsynchronserung Log Erstelungen VEN DHCP Server SNMP Progr ARP MRP HRP RADIUS Kandarsregein is Daraa P Regein ij WAC Ragein 2 Adon Von Logging Nie Korean Drop Intern Alm Extern MACRI MOR_2 begel neatgor Paketfilter Regeln eintragen Tragen Sie der Reihe nach die Firewall Regeln in die Liste ein beachten Sie die Parameterbeschreibung und die Beispiele im Folgekapitel oder in der Online Hilfe Security Grundlagen und Anwendung 160 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus Globale Firewall Regels tze nutzen Globale Firewall Regels tze die Sie der Security Baugruppe zugewiesen haben werden automatisch in die lokale Regelliste aufgenommen Erscheint der zugewiesene Regelsatz am Ende der Regelliste dann wird er mit der geringsten Priorit t bearbeitet Sie k nnen die Priorit t ndern indem Sie die Position in der Regelliste ver ndern p Die Online Hilfe erl utert Ihnen die Bedeutung der einzelnen Schaltfl chen F1 4 3 10 MAC Paketfilter Regeln Die Bearbeitung von MAC Paketfilter Regeln erfolgt anhand folgender Auswertungen e In der Regel eingetragene Parameter e Priorit t der Regel innerhalb des Reg
186. en eine Kommunikationsverbindung zu einem DNS DNS Server vom UDP Port 53 Server im externen Netz initiieren Nur die Antworttelegramme des DNS internen ins externe Netz Erlaube die Konfigu ration von Netzknoten Servers werden ins interne Netz weitergeleitet Vom externen Netz aus kann keine Kommunikationsverbindung zu Knoten im internen Netz initiiert werden Das DCP Protokoll wird vom PST Tool verwendet um bei SIMATIC NET Netzkomponenten die Knotentaufe Einstellen der IP Parameter vorzu mittels DCP nehmen Mit dieser Regel wird Knoten im externen Netz erlaubt per DCP Protokoll auf Knoten im internen Netz zuzugreifen Tabelle 4 10 Logging f r IP und MAC Regels tze Regelsatz Aktion bei Aktivierung IP Log Einstellungen Aufzeichnen getunnelter Pakete Nur wenn die Security Baugruppe Teilnehmer einer VPN Gruppe ist Alle IP Pakete die ber den Tunnel weitergeleitet wurden werden geloggt Aufzeichnen blockierter einge Alle eintreffenden IP Pakete die verworfen wurden werden ge hender Pakete loggt Aufzeichnen blockierter ausge Alle ausgehenden IP Pakete die verworfen wurden werden ge hender Pakete loggt MAC Log Einstellungen Aufzeichnen getunnelter Pakete Nur wenn die Security Baugruppe Teilnehmer einer VPN Gruppe ist Alle MAC Pakete die ber den Tunnel weitergeleitet wurden werden geloggt Aufzeichnen blockierter einge Alle eintreffenden MAC Pakete die verworfen wurde
187. en im Kommunikation mit externen Netz initiieren Nur Antworttelegramme aus dem externen Netz S7 Protokoll vom werden ins interne Netz weitergeleitet internen ins externe Vom externen Netz aus kann keine Kommunikationsverbindung zu Knoten Netz im internen Netz initiiert werden Erlaube Zugriff auf UDP Port 67 Interne Knoten k nnen eine Kommunikationsverbindung zu einem DHCP DHCP Server vom UDP Port 68 Server im externen Netz initiieren Nur die Antworttelegramme des DHCP Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 Servers werden ins interne Netz weitergeleitet Vom externen Netz aus kann keine Kommunikationsverbindung zu Knoten im internen Netz initiiert werden 137 Firewall projektieren 4 2 SCALANCE S im Standard Modus Regel Option Freigegebene Ports Funktion Erlaube Zugriff auf UDP Port 123 Interne Knoten k nnen eine Kommunikationsverbindung zu einem NTP NTP Server vom Server Network Time Protocol im externen Netz initiieren Nur die Ant internen ins externe worttelegramme des NTP Servers werden ins interne Netz weitergeleitet Netz Vom externen Netz aus kann keine Kommunikationsverbindung zu Knoten im internen Netz initiiert werden Erlaube SiClock Mit dieser Option werden SiClock Uhrzeittelegramme vom externen ins Uhrzeittelegramme interne Netz freigegeben vom externen ins interne Netz Erlaube Zugriff auf TCP Port 53 Interne Knoten k nn
188. en projektieren 44444444n4nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 76 2 5 6 Authentifizierung durch RADIUS Server 2440s244400nssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 78 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 9 Inhaltsverzeichnis 2 5 6 1 bersicht use a A O A N N 78 2 5 6 2 RADIUS Server definieren 4440040444424444400nannnnnnnnnnnnennnnnnnnnennnnnnnnnnnnnnnnnnnnennn nn 80 2 5 6 3 RADIUS Server einer Security Baugruppe zuweisen uunssnseesssnnnnnnennnnnnennnnnnnnnnnnnnn nn 82 2 6 Zertifikate verwalten emn a als ne a aaa aa 83 2 6 1 ate SICHER ee E 83 2 6 2 Z rmifika te eN O e a raa aa keiten a enana aa aag iie aala 85 2 6 3 Zertifikate ersetzen 02 242444440asnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnannn 87 3 Baugruppen anlegen und Netzparameter einstellen 22222400000000002000000nnnnn nn nn nnnnnnnnnnnnn nn 89 3 1 Parameter im INhats beree e a elek aaa a a e E a ie aaa a naaa 91 3 2 Schnittstellen konfigurieren u 2444444ssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 94 3 2 1 bersicht Anschlussm glichkeiten an ehr 94 3 2 2 Schnittstellen 2er erraten DR ann a a a aaah 98 3 2 3 Internetverbindung 2 2222 82222 ern en na 103 3 2 4 Dynamisches DNS DDNS o ratoni a a AEEA rA A n A aAA 105 3 2
189. ender Alle eintreffenden MAC Drop Extern Station Pakete Pakete die verworfen wur den werden geloggt Aufzeichnen blockierter ausgehender Alle ausgehenden MAC Drop Station Extern Pakete Pakete die verworfen wur den werden geloggt Hinweis Datenverkehr ber projektierte Verbindungen wird nicht geloggt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 127 Firewall projektieren 4 2 SCALANCE S im Standard Modus 4 2 SCALANCE S im Standard Modus 4 2 1 Voreinstellung der Firewall Verhalten mit Voreinstellung Die folgenden Diagramme zeigen die Standardeinstellungen im Detail jeweils f r den IP Paketfilter und den MAC Paketfilter Das Verhalten kann durch das Anlegen von entsprechenden Firewall Regeln im Erweiterten Modus ge ndert werden Standardeinstellung f r SCALANCE S602 S612 ab V3 interne Knoten Security Baugruppe externe Knoten externe Security Baugruppe l u IPsec Tunnel O Firewall Bild 4 5 Standardeinstellung f r IP Paketfilter SCALANCE S602 S612 ab V3 Alle Telegrammtypen von intern nach extern sind geblockt Alle Telegramme von intern an die Security Baugruppe sind zugelassen Alle Telegramme von extern nach intern und an die Security Baugruppe sind geblockt Telegramme von extern externe Knoten und externe Security Baugruppen an die Security Baugruppe sind vom folgenden Typ sind zug
190. ender Richtung durchgef hrt werden Intern nach Extern Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Wenn die DMZ Schnittstelle der Security Baugruppe nur SCALANCE S623 S627 2M aktiviert ist kann die Aktion Source NAT Destination NAT zus tzlich in folgenden Richtungen durchgef hrt werden e Intern nach DMZ e Extern nach DMZ e DMZ nach Extern Wenn sich die SCALANCE S Baugruppe in einer VPN Gruppe nicht f r SCALANCE S602 befindet kann die Aktion Source NAT Destination NAT zus tzlich in folgenden Richtungen durchgef hrt werden e Extern nach Tunnel e Intern nach Tunnel e DMZ nach Tunnel nur bei aktivierter DMZ Schnittstelle F r die Richtung Intern nach Extern gilt beispielsweise Beim Zugriff von Intern nach Extern wird die Aktion Source NAT durchgef hrt Beim Zugriff von Extern nach Intern wird die Aktion Destination NAT durchgef hrt Die folgende Tabelle zeigt das Eingabeschema f r die Aktion Source NAT Destination NAT Feld Quell IP Adresse M gliche Eingaben Bedeutung IP Adresse im Quell Netz Die Projektierung wird immer in Source NAT Richtung angegeben Die IP Adressen der Destinati IP Adressbereich im Quell Netz Quell Umsetzung Ziel IP Adresse on NAT Richtung werden daraufhin automatisch von IP Adresse im Ziel Netz SCT eingef gt F r die
191. er Regelsatz 1 Wann sind globale Firewall Regels tze sinnvoll Globale Firewall Regels tze sind dann sinnvoll wenn Sie f r mehrere Security Baugruppen identische Filterkriterien f r die Kommunikation definieren wollen Hinweis Nur Firewall Regels tze zuweisen die von der Security Baugruppe unterst tzt werden Eine fehlerhafte Zuordnung von Firewall Regels tzen kann zu unerw nschten Ergebnissen f hren berpr fen Sie daher immer die baugruppenspezifischen lokalen Firewall Regeln im Ergebnis Eine falsche Zuordnung wird bei der automatischen Konsistenzpr fung nicht erkannt Es werden nur die Regeln bernommen die die Security Baugruppe auch unterst tzt Siehe auch Benutzerspezifische IP Regels tze Seite 143 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 141 Firewall projektieren 4 3 Firewall im Erweiterten Modus 4 3 2 1 Globale Firewall Regels tze Vereinbarungen Globale Firewall Regels tze werden lokal genutzt Folgende Vereinbarungen gelten bei der Erstellung eines globalen Firewall Regelsatzes sowie bei der Zuweisung zu einer Security Baugruppe e Projektierungsansicht Globale Firewall Regels tze k nnen nur im Erweiterten Modus angelegt werden e Priorit t Lokal definierte Firewall Regeln haben standardm ig eine h here Priorit t als globale Firewall Regels tze die lokal zugewiesen wurden Globale Firewall Regels tze werden daher in der lokale
192. er Wert zwischen 1 65534 Authentifizierung W hlen Sie den Authentifizierungsalgorithmus aus Hex ASCII W hlen Sie das Format f r den NTP Schl ssel aus Schl ssel Geben Sie den NTP Schl ssel mit folgenden L ngen ein Hex 22 40 Zeichen ASCII 11 20 Zeichen Security Grundlagen und Anwendung 196 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 4 SNMP Import Export von NTP Servern ber die Schaltfl chen Importieren bzw Exportieren k nnen Sie die Schl sselliste des aktuell angezeigten NTP Servers exportieren und die Datei in einen NTP Server importieren bzw umgekehrt 5 4 SNMP 5 4 1 bersicht Was ist SNMP Die Security Baugruppe unterst tzt die bertragung von Managementinformationen ber das Simple Network Management Protocol SNMP Daf r ist auf der Security Baugruppe ein SNMP Agent installiert der die SNMP Anfragen entgegennimmt und beantwortet Informationen ber die Eigenschaften von SNMP f higen Ger ten sind in sogenannten MIB Dateien Management Information Base hinterlegt f r die der Benutzer die notwendigen Rechte SNMPv3 haben muss Bei SNMPVv1 wird der Community String mitgesendet Der Community String ist wie ein Passwort welches zusammen mit der SNMP Anfrage verschickt wird Ist der Community String korrekt antwortet die Security Baugruppe mit der angeforderten Information Ist der String falsch
193. erst tzen Hinweis In diesem Handbuch werden alle Funktionen beschrieben Ber cksichtigen Sie anhand der nachfolgenden Tabelle welche Funktionen auf die von Ihnen genutzte Security Baugruppe zutreffen Achten Sie auch auf die zus tzlichen Angaben in den Kapitel berschriften Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Tabelle 1 1 Funktions bersicht Einf hrung und Grundlagen 1 3 Produkteigenschaften Funktion Projektierung ber CP x43 1 Adv CP 1628 SCALANCE S 2 V4 0 Security Configuration Tool Security Configuration Tool in STEP 7 integriert Kompatibilit t zu IP Access Control Listen ACL Allgemein NAT NAPT Router NAT NAPT Routing in VPN Verbindungen DHCP Server Firewall Lokale Firewall Regeln Globale Firewall Regels tze Benutzerspezifische IP Regels tze IPsec Aufbau von IPsec Tunneln Benutzerverwaltung Benutzerverwaltung Migration der aktuellen Benutzerver waltung Benutzerauthentifizierung durch RADIUS Server Unterst tzte Protokolle SNMPV3 HTTPS Server FTPS Server FTPS Client NTP Client NTP Client gesichert PPPOoE Client DDNS Client DNS Client LLDP x X X X X MRP HRP Client x Logging Aufzeichnung von System Ereignissen Aufzeichnung von Audit Ereignissen Security Grundl
194. ertifikat 221 Konfigurationsdatei erstellen 220 Zertifizierungsstelle 221 SCALANCE M875 3 222 SCALANCE S 3 Baugruppe anlegen 89 unterst tzte Betriebssyteme 45 SCALANCE S602 Aufgabe 25 SCALANCE S612 Aufgabe 28 SCALANCE S623 Aufgabe 28 SCALANCE S627 2M Aufgabe 28 Schnittstellen 171 Schnittstellenrouting 90 Schnittstellen Routing 98 Security Configuration Tool 41 43 44 Bedienungsmodi 44 in STEP 7 44 53 Installation 46 Installation CP 1628 46 Installation CP x34 1 Adv 46 Standalone 44 53 Security Baugruppe 3 Security Einstellungen 239 Severity 268 SHA1 198 213 SiClock 166 SiClock Uhrzeittelegramme 138 SIMATIC NET Glossar 7 SNMP 74 SNMPv1 198 SNMPv3 198 SOFTNET Security Client 3 Anlaufverhalten 241 Aufgabe 24 Datenbasis 242 deinstallieren 241 286 im Projekt konfigurieren 242 Konfigurationsdatei erstellen 242 Lernen der internen Knoten 251 unterst tzte Betriebssyteme 239 Spezifizierte Verbindungen 55 115 SSL Zertifikat 86 Stammzertifizierungsstellen 85 Standard Modus 44 Firewall 116 Logging 269 Lokales Logging 261 Standard Benutzer 70 Standard Initialisierungswerte 63 Standard Router 92 172 Stateful Packet Inspection 115 STEP 7 53 Benutzermigration 67 migrierte Daten 54 Objekteigenschaften 54 Subnetzmaske 92 273 Symbole 5 Symbolische Namen 64 267 Syslog Audit Ereignisse 268 Pakettfilter Ereignisse 268 symbolische Namen 65 Sysl
195. erungsnetzes oder den sicheren Fernzugriff ber das Internet Der CP 1628 erlaubt den Zugriff auf einzelne Ger te oder auch ganze Automatisierungszellen die durch Security Baugruppen gesch tzt sind und erm glicht gesicherte Verbindungen ber unsichere Netzwerkstrukturen Durch die Kombination unterschiedlicher Sicherheitsma nahmen wie Firewall und VPN Virtual Private Network ber IPsec Tunnel sch tzt der CP 1628 vor e Datenspionage e Datenmanipulation e unerw nschten Zugriffen Die Security Funktionen vom CP 1628 werden mit dem Projektierwerkzeug Security Configuration Tool konfiguriert das in STEP 7 integriert ist i Service Computer mit E sortner I Security Client G VPN ber IPsec Tunnel externes Netz S7 400 mit CP 443 1 Advanced S7 300 mit CP 343 1 Advanced SCALANCE S LI 4 l 1E PB HMI ii Link kl I I l OP 270 l ET 200X i l intern Bedienen amp Beobachten J intern Automatisierungszelle J intern Automatisierungszelle J TESS o a E a N E S Netzkonfiguration mit CP 1628 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 39 Einf hrung und Grundlagen 1 10 Einsatz von CP 1628 Sicherheitsfunktionen e Firewall IP Firewall mit Stateful Packet Inspection Layer 3 und 4 Firewall auch f r Ethernet Non IP Tel
196. es DNS eingerich tet haben Benutzerkonto beim Anbieter Passwort beim Anbieter Geben Sie den Benutzernamen ein den Sie beim Anlegen des Accounts festgelegt haben Geben Sie das Passwort ein das Sie beim Anlegen des Accounts festgelegt haben FQDN Geben Sie den Hostnamen z B mysecurity device und den Domainnamen z B dyn dns org der beim Anbieter registriert ist durch einen Punkt getrennt ein Ist im Register VPN ebenfalls ein FQDN eingetragen m ssen beide bereinstimmen IP Adresswechsel auf DSL Router berwachen Periode Ist die Security Baugruppe ber einen DSL Router mit dem Internet verbunden wird durch Aktivieren der Funktion der Pr f IP Dienst akti viert Die Security Baugruppe sendet periodisch Anfragen zur Bestimmung der aktuellen IP Adresse des DSL Routers sowie zur Detektion eines IP Adresswechsels auf dem DSL Router Die so bestimmte IP Adresse wird bei jeder nderungserkennung an den Anbieter gesen det Geben Sie an in welchem Zyklus der Pr f IP Dienst aufgerufen wird Erlaubte Werte 10 1440 Minuten 4 Legen Sie f r den Fall dass der prim re Anbieter ausf llt einen weiteren Anbieter im Register Sekund rer dyn DNS Dienst fest optionale Einstellung Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Benutzerdefiniert
197. eshalb wird in der vorliegenden Dokumentation die Benennung STEP 7 stellvertretend f r alle Versionsst nde von STEP 7 ab V5 5 SP2 HF1 bis kleiner als STEP 7 V10 verwendet Wie Sie die Projektierung der Security Funktionen von allen Security Baugruppen in STEP 7 ab V12 vornehmen entnehmen sie in STEP 7 ab V12 dem Informationssystem Abschnitt Industrial Ethernet Security Allgemeine Benennung CP x43 1 Adv In der vorliegenden Dokumentation werden die folgenden Produkte unter der Benennung CP x43 1 Adv zusammengefasst CP 343 1 Advanced CP 443 1 Advanced Security Configuration Tool V4 1 Neue Funktionen Mit dem Security Configuration Tool V4 1 sind die folgenden neuen Funktionen ber cksichtigt e Erweiterung der VPN Funktionalit t f r SCALANCE M Baugruppen Der aktive VPN Verbindungsaufbau von einer SCALANCE M Baugruppe zu einer SCALANCE M 800 Baugruppe wird unterst tzt e Erweiterung der Funktionalit t Router und Firewallredundanz f r SCALANCE S623 S627 2M Baugruppen ab Firmware V4 0 1 Die Projektierung von virtuellen Router IDs f r die virtuellen Schnittstellen von Redundanzbeziehungen wird f r SCALANCE S623 S627 2M Baugruppen ab Firmware V4 0 1 unterst tzt e Erweiterung der Firewall Funktionalit t f r SCALANCE S Baugruppen ab Firmware V3 Die Projektierung von IP Regeln ohne Firewall States wird f r SCALANCE S Baugruppen ab Firmware V3 unterst tzt G ltigkeitsbereich dieses Handbuchs Dieses Handbuch
198. esseseeesssireserresrirrssttrrssttrrssttrnsstinrnstennssttnnssten nnt 172 5 1 3 NAT NAPT Routing 2 222 amade ein kenn plante ne 173 5 1 4 Adressumsetzung mit NAT NAPT ussnseesessnnnennnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnn nn 175 5 1 5 Adressumsetzung mit NAT NAPT in VPN Tunneln uusrsnseesssnnnnnennnnnnnnnnnnnnnnnnnnnnn nn 182 5 1 6 Zusammenhang zwischen NAT NAPT Router und Firewall 2240424440 nennen 184 5 1 7 Zusammenhang zwischen NAT NAPT Router und benutzerspezifischer Firewall 186 5 2 Security Baugruppe als DHCP Server 220us22440nnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 188 5 2 1 TETE n A EE E AEA EAT IE RE TE E AAEE AAE 188 5 2 2 DHCP Server konfigurieren 22 400044444444444000nnnnnnnnnnnnnnnennnnnnnnnnnnnnnannnnnnnnnnnnnnnannnnnnn nn 190 5 3 Zeitsynehroisier ng nonse iminononai unaa a a a a a apa i a aa aa 193 5 3 1 BER ETE ni AEEA E ee ee 193 5 3 2 Uhrzeitf hrung konfigurieren sssesssseernnnssestrttenssrttttrtnnsettttt rnnr nnet tttt nnne nentrn nE nnne nenene nenn 194 5 3 3 NTP Server definieren 24440000444444444400Rnnnnnnnnnnnnnnnennnnnnnennnnnnannnnnnn nn nenene ennn 196 5 4 SNMP ar aa E ee rear nee een ren 197 5 4 1 OE n EE EEE EET A EE ETEA A EEA 197 5 4 2 SNMPaktiviereni EEEE E E EE E E N EEES 197 5 5 Proxy ARP 22 282 aia a A a aaa a a A EAR 199 6 Gesicherte Kommunikation im VPN ber IPsec Tunne
199. etrieb genommene Baugruppen m ssen nicht neu projektiert und geladen werden Die laufende Kommunikation wird nicht beeinflusst oder unterbrochen Teilnehmer bei denen zum Projektierungszeitpunkt die IP Adresse unbekannt ist Unknown Peers k nnen in eine bestehende VPN Gruppe eingef gt werden Da sich die Teilnehmer meist im mobilen Einsatz befinden und die IP Adresse dynamisch beziehen z B ein SOFTNET Security Client oder SCALANCE M kann der VPN Tunnel nur aufgebaut werden wenn Sie die Parametereinstellungen f r Phase 1 entsprechend einer der folgenden Tabellen vornehmen Verwenden Sie andere Einstellungen k nnen Sie keinen VPN Tunnel zum Endger t aufbauen Tabelle 6 4 Verschl sselungsparameter 1 Parameter Einstellung Phase 1 Verschl sselung AES 256 Phase 1 DH Gruppe Group2 Phase 1 Authentifizierung SHA1 Authentifizierungsmethode Zertifikat SA Lebensdauer 1440 2500000 Minuten Tabelle 6 5 Verschl sselungsparameter 2 Parameter Einstellung Phase 1 Verschl sselung 3DES 168 Phase 1 DH Gruppe Group2 Phase 1 Authentifizierung SHA1 Authentifizierungsmethode Zertifikat SA Lebensdauer 1440 2500000 Minuten Tabelle 6 6 Verschl sselungsparameter 3 Parameter Einstellung Phase 1 Verschl sselung DES Phase 1 DH Gruppe Group2 Phase 1 Authentifizierung MD5 Authentifizierungsmethode Zertifikat SA Lebensdauer 1440 2500000 Minuten Securi
200. etzt Nr Von SCT vergebene fortlaufende Nummer die zur Bezugnahme auf die Firewall Regel verwendet wird welche von SCT f r die NAT Regel erzeugt wird 180 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 NAPT aktivieren Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Der Eingabebereich f r NAPT wird aktiviert NAPT Umsetzungen werden erst durch die nachfolgend beschriebenen Eintr ge in der Liste wirksam Nach dem Anlegen von NAPT Regeln werden die zugeh rigen Firewall Regeln erzeugt und im Erweiterten Modus angezeigt siehe Kapitel Zusammenhang zwischen NAT NAPT Router und Firewall Seite 184 Die IP Adressumsetzung mit NAPT kann in folgender Richtung durchgef hrt werden e Extern nach Intern Wenn die DMZ Schnittstelle der Security Baugruppe nur SCALANCE S623 S627 2M aktiviert ist kann die IP Adressumsetzung mit NAPT zus tzlich in folgenden Richtungen durchgef hrt werden e Extern nach DMZ e DMZ nach Intern e DMZ nach Extern Wenn sich die SCALANCE S Baugruppe in einer VPN Gruppe nicht f r SCALANCE S602 befindet kann die IP Adressumsetzung mit NAPT zus tzlich in folgenden Richtungen durchgef hrt werden e Extern nach Tunnel e Tunnel nach Intern e Tunnel nach Extern e DMZ nach Tunnel nur bei aktivierter DMZ Schnittstelle e Tunnel nach DMZ nur bei aktivierter DMZ Schnittstelle F r die Richtung Extern
201. eutung Die Firewall Funktionalit t der Security Baugruppen hat die Aufgabe Netze und Stationen vor Fremdbeeinflussungen und St rungen zu sch tzen Das bedeutet dass nur bestimmte vorher festgelegte Kommunikationsbeziehungen erlaubt werden Nicht zugelassene Telegramme werden ohne dass eine Antwort gesendet wird von der Firewall verworfen Zur Filterung des Datenverkehrs k nnen u a IP Adressen IP Subnetze Portnummern oder MAC Adressen verwendet werden Die Firewall Funktionalit t kann f r folgende Protokollebenen konfiguriert werden e P Firewall mit Stateful Packet Inspection Layer 3 und 4 e Firewall auch f r Ethernet Non IP Telegramme gem IEEE 802 3 Layer 2 Str Die Firewall kann f r den verschl sselten IPsec Tunnel und den unverschl sselten Datenverkehr eingesetzt werden Firewall Regeln Firewall Regeln beschreiben welche Pakete in welche Richtung erlaubt bzw verboten werden IP Regeln wirken auf alle IP Pakete ab Ebene 3 MAC Regeln wirken nur auf Frames unterhalb Ebene 3 Automatische Firewall Regeln f r STEP 7 Verbindungen F r in STEP 7 projektierte Verbindungen werden automatisch Firewall Regeln in SCT angelegt die den Kommunikationspartner freigeben Dabei werden die Aufbaurichtungen der Verbindungen beachtet Die Regeln sind nur im Erweiterten Modus sichtbar und k nnen auch nur dort ver ndert werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C2
202. fehl Rechte kopieren bzw Rechte einf gen 2 5 5 Passwort Richtlinien projektieren Bedeutung Mit Hilfe der Passwort Richtlinien lassen sich Vorgaben definieren die bei der Vergabe von Passw rtern an neue Benutzer beachtet werden m ssen So erreichen Sie diese Funktion W hlen Sie den Men befehl Optionen gt Benutzerverwaltung Register Passwort Richtlinien Nach dem Aktivieren eines Kontrollk stchens ist die zugeh rige Richtlinie aktiv und kann ggf ber das jeweilige Eingabefeld angepasst werden Parameter Bedeutung Minimale Passwortl nge Anzahl an Zeichen die Passw rter mindestens enthalten m ssen Das zugeh rige Kontrollk stchen ist standardm Big aktiviert und kann nicht deaktiviert werden e Mindestwert 8 Zeichen e Maximalwert 32 Zeichen Minimale Anzahl an Zahlen Anzahl an Zahlen die Passw rter mindestens enthalten m ssen e Mindestwert 1 Zahl e Maximalwert 32 Zahlen Minimale Anzahl an Sonderzeichen Anzahl an Sonderzeichen die Passw rter mindestens ent halten m ssen Ein Sonderzeichen ist jedes Zeichen wel ches weder ein Buchstabe noch eine Zahl ist e Mindestwert 1 Sonderzeichen e Maximalwert 32 Sonderzeichen Security Grundlagen und Anwendung 76 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten Parameter Anzahl der zur Wiederverwendung gesperrten Passw rter B
203. festlegen Diese Log Einstellungen werden mit der Konfiguration in die Baugruppe geladen und werden mit dem Start der Security Baugruppe wirksam Sie k nnen das lokale Logging f r Pakeffilter Ereignisse und System Ereignisse in den Online Funktionen bei Bedarf ebenfalls aktivieren oder deaktivieren Die Einstellungen in der Projektkonfiguration werden dadurch nicht ver ndert Security Grundlagen und Anwendung 262 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Online Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Anzeige des Aufzeichnungszustands Online Einstellungen werden nicht in der Konfiguration gespeichert 9 2 1 Lokales Logging Einstellungen in der Konfiguration In der Betriebsart Offline k nnen Sie ber die Log Einstellungen die Ereignisklassen aktivieren und das Speicherverfahren festlegen Diese Log Einstellungen werden mit der Konfiguration auf die Baugruppe geladen und werden mit dem Start der Security Baugruppe wirksam Sie k nnen diese projektierten Log Einstellungen in den Online Funktionen bei Bedarf ndern Die Einstellungen in der Projektkonfiguration werden dadurch nicht ver ndert Log Einstellungen im Standard Modus Die Log Einstellungen im Standard Modus entsprechen den Voreinstellungen im Erweiterten Modus Im Standard Modus k nnen Sie die Einstellungen jedoch nicht ver ndern Log Einstellungen im Erweiterten Modus 1 Markieren Sie die zu bearbeitende Baugruppe
204. formation Reply Information Request IPv6 H Am Here IPv6 ihere Are You Mobile Host Redirect Mobile Registration Reply Motile Registration Request Parameter Problem Photuris Redirect Router Advertisement Router Solcita on Sup Source Quench Time Exceeded T mestamp Reply Timestamp Request Traceroute igen OK Parameter f r ICMP Dienste Br ICMP Dienst entiernen Abbrechen Hilfe Die Definition der ICMP Dienste erfolgt ber folgende Parameter Tabelle 4 15 ICMP Dienste Parameter Bezeichnung Bedeutung Kommentar Name Typ Typ der ICMP Message Frei definierbarer Name f r den Dienst der zur Identifikation in der Regeldefinition oder in der Gruppenzusammenfassung verwendet wird Auswahlm glichkeiten Wer tebereiche Freie Eingabe Siehe Dialog Darstellung Code Codes des ICMP Types Werte sind abh ngig vom ge w hlten Typ Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 159 Firewall projektieren 4 3 Firewall im Erweiterten Modus 4 3 9 MAC Paketfilter Regeln einstellen Mittels MAC Paketfilter Regeln k nnen Sie auf MAC Telegramme filtern Hinweis Keine MAC Regeln bei aktiviertem Routing Modus Wenn Sie f r die SCALANCE S Baugruppe den Routing Modus aktiviert haben finden MAC Regeln keine Anwendung Dialog Register Markieren Sie die zu bearbeitende Security Baugruppe W hlen Sie zum Einricht
205. ften Anbieter herstellen Der Client ist in zwei Varianten ber den Google Play Store beziehbar e NCP Secure VPN Client for Android Authentifizierung mit Preshared Key e NCP Secure VPN Client Premium for Android Authentifizierung mit Preshared Key oder Zertifikat Weitere Informationen zu den NCP Secure Android Clients finden Sie hier NCP Secure VPN Client for Android http www ncp e com de produkte ipsec vpn client fuer android html Sie k nnen die VPN Informationen zur Parametrierung eines NCP VPN Clients Android mit dem Security Configuration Tool generieren Mit den generierten Dateien k nnen Sie dann die NCP VPN Client Software konfigurieren Folgende Dateitypen werden erzeugt e Exportdatei mit den Konfigurationsdaten Dateityp ini Datei im UTF 8 Format Enth lt die exportierten Konfigurationsinformationen f r den NCP VPN Client Android einschlie lich einer Information ber die zus tzlich erzeugten Zertifikate e VPN Gruppen Zertifikate der Baugruppe Dateityp des privaten Schl ssels p12 Datei Die Datei enth lt das VPN Gruppen Zertifikat der Baugruppe und das Schl sselmaterial Der Zugriff ist passwortgesch tzt e CA Zertifikate von VPN Gruppen Dateityp crt Datei Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 225 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 8 Konfigurationsdaten f r NCP VPN Clients Android I K
206. g Einstellungen Aktion bei Aktivierung Aufzeichnen getunnelter Pake te Nur aktiv wenn die Security Baugruppe Teilnehmer einer VPN Gruppe ist Alle IP Pakete die ber den Tunnel weitergeleitet wurden werden geloggt Aufzeichnen blockierter einge hender Pakete Aufzeichnen blockierter aus gehender Pakete Alle eintreffenden IP Pakete die verworfen wurden werden geloggt Alle ausgehenden IP Pakete die verworfen wurden werden geloggt MAC Log Einstellungen Aufzeichnen getunnelter Pake te Nur aktiv wenn die Security Baugruppe Teilnehmer einer VPN Gruppe ist Alle MAC Pakete die ber den Tunnel weitergeleitet wurden werden geloggt Aufzeichnen blockierter einge hender Pakete Alle eintreffenden MAC Pakete die verworfen wurden werden geloggt Aufzeichnen blockierter aus gehender Pakete Alle ausgehenden MAC Pakete die verworfen wurden werden geloggt 136 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 4 2 3 So erreichen Sie diese Funktion 1 Markieren Sie die zu bearbeitende Security Baugruppe Firewall projektieren 4 2 SCALANCE S im Standard Modus Firewall projektieren f r SCALANCE S lt V3 0 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall Hinweis Detaillierte Firewall Einstellungen im Erweiterten Modus Im Erweiterten Modus k nnen Sie Firewall Regeln auf ei
207. g zu anderem Subnetz R Routing Kom munikationspartner mit Adressen im angegebenen Bereich haben Zugriff auf weitere am CP angeschlos sene Subnetze Diese Zugriffsberechtigung ist f r IP Adressen die Sie in der Verbindungsprojektierung angegeben haben nicht automatisch gesetzt Bei Bedarf muss dieses Zugriffsrecht hier explizit gesetzt werden Weitere Regeln zur Eingabe e Es wird gepr ft ob Einzeladressen mehrfach enthalten sind hierbei werden erkannt mehrfache Einzelangabe Bereichs berschneidungen e Einzeln angegebene IP Adressen k nnen auch zus tzlich innerhalb eines Bereiches vorkommen es gelten dann die insgesamt einer IP Adresse zugewiesenen Zugriffsberechtigungen e Es wird nicht gepr ft ob in einem Bereich ung ltige Adressen enthalten sind z B k nnen Subnetz Broadcast Adressen hier angegeben werden obwohl sie nicht als IP Adresse eines Absenders auftreten k nnen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 123 Firewall projektieren 4 1 CPs im Standard Modus 4 1 2 CP 1628 4 1 2 1 Voreinstellung der Firewall Verhalten mit Voreinstellung Die folgenden Diagramme zeigen die Standard Einstellungen im Detail jeweils f r den IP Paketfilter und den MAC Paketfilter wenn das Kontrollk stchen Firewall aktivieren aktiviert ist und auch im Erweiterten Modus keine Regeln vorhanden sind Das Verhalten kann durch das Anlegen von entsprechenden Firew
208. gel erzeugt wird Siehe auch IP Paketfilter Regeln Seite 151 5 1 5 Adressumsetzung mit NAT NAPT in VPN Tunneln StHa7 Bedeutung Adressumsetzungen mit NAT NAPT k nnen auch f r Kommunikationsbeziehungen durchgef hrt werden die ber VPN Tunnel aufgebaut sind Voraussetzungen F r eine SCALANCE S Baugruppe die eine Adressumsetzung mit NAT NAPT in einem VPN Tunnel durchf hren soll gelten allgemein die folgenden Voraussetzungen e Die SCALANCE S Baugruppe befindet sich in einer VPN Gruppe e Die SCALANCE S Baugruppe befindet sich im Routing Modus und oder die DMZ Schnittstelle der SCALANCE S Baugruppe ist aktiviert e Die Tunnel Schnittstelle ist aktiviert Unterst tzte Adressumsetzungsrichtungen Es werden die Adressumsetzungsrichtungen unterst tzt die in folgendem Kapitel beschrieben sind Adressumsetzung mit NAT NAPT Seite 175 Security Grundlagen und Anwendung 182 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Unterst tzte Adressumsetzungsaktionen Bei getunnelten Kommunikationsbeziehungen werden die folgenden Adressumsetzungsaktionen unterst tzt e Destination NAT Redirect e Source NAT Masquerading e Source und Destination NAT 1 1 NAT e NAPT Portforwarding Grundlegende Informationen zu diesen Adressumsetzungsaktionen finden Sie in folgendem Kapitel Adressumsetzung mit NAT NAPT Seite 175 Unter
209. gelegt sind 5 W hlen Sie einen Zeitraum aus in dem das Zertifikat g ltig ist Standardm ig wird in die Felder G ltig von und G ltig bis der Wert des aktuellen Zertifikats eingetragen 6 Geben Sie je nach Zertifikat die folgenden Werte ein Zu erneuerndes Zertifikat CA Zertifikat des Projekts Parameter Antragssteller Name des CA Zertifikats Alternativer Antragstellername CA Zertifikat von VPN Gruppe SSL Zertifikat f r S7 CP Name des CA Zertifikats Name der Security Baugruppe IP Adressen der Gigabit und PROFINET Schnittstelle durch ein Komma getrennt SSL Zertifikat f r PC CP Name der Security Baugruppe IP Adresse der Security Baugruppe Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 6 Zertifikate verwalten Zu erneuerndes Zertifikat Parameter Antragssteller Alternativer Antragstellername SSL Zertifikat f r Name der Security Baugruppe SCALANCE S SCALANCE M und SOFTNET Security Client VPN Gruppen Zertifikat Name des VPN Gruppen Von der CA abgeleitet einer Security Baugruppe Zertifikats 2 6 3 Zertifikate ersetzen Bedeutung In dem Dialog ersetzen Sie das bestehende CA Zertifikat des Projekts oder das CA Zertifikat einer VPN Gruppe durch ein neues So erreichen Sie diese Funktion 1 Klicken Sie mit der rechten Maustaste auf
210. gen e Erweiterung Ver nderung der IP Access Control Liste e Aktualisierung der Firewall Regeln e Dynamische Erweiterungen die vom CP zur Laufzeit eingetragen werden z B PROFINET IO Devices Da in diesem Register nur die dynamisch aktualisierten Firewall Regeln angezeigt werden m ssen in eine voll st ndige Betrachtung des aktuellen Firewall Zustands der Baugruppe auch diejenigen Firewall Regeln einbezogen werden die offline projektiert wurden S602 2V3 1 Ghost Modus Dialog f r den Ghost Modus des SCALANCE S602 mit Informationen zur IP Adresse des internen Teilnehmers identisch zur externen IP Adresse der Security Baugruppe und zu IP Adresswechseln am internen Teilnehmer IP Blacklist Logging Funktionen Anzeige der IP Adressen die in die Blacklist der Firewall eingetragen wurden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 259 Online Funktionen Diagnose und Logging 9 1 Funktions bersicht Online Dialog Funktion Register im Online Dialog Bedeutung System Log Anzeige von geloggten System Ereignissen sowie Starten und Stoppen der Anzeige Audit Log Anzeige von geloggten Sicherheits Ereignissen sowie Star ten und Stoppen der Anzeige Paketfilter Log Anzeige von geloggten Daten Paketen sowie Starten und Stoppen der Anzeige E F1 N here Informationen zu den Einstellm glichkeiten in den einzelnen Registern erha
211. gsdiagnose keine geringere Severity als der Filterung der System Ereignisse zu Ansonsten passieren diese Ereignisse den Filter nicht und werden nicht aufgezeichnet 9 2 2 Netzwerk Syslog Einstellungen in der Konfiguration Sie k nnen die Security Baugruppe als Client konfigurieren der Logging Informationen an einen Syslog Server sendet Der Syslog Server kann sich im lokalen internen oder im externen Subnetz befinden Die Implementierung entspricht RFC 3164 Hinweis Firewall Syslog Server im externen Netz nicht aktiv Wenn der Syslog Server auf dem adressierten Rechner nicht aktiv ist sendet dieser Rechner in der Regel ICMP Antworttelegramme port not reachable zur ck Wenn aufgrund der Firewall Konfiguration diese Antworttelegramme als Systemereignisse aufgezeichnet und an den Syslog Server gesendet werden kann sich dieser Vorgang endlos fortsetzen Ereignis Lawine Abhilfen e Syslog Server starten e Firewall Regeln ndern e Rechner mit deaktiviertem Syslog Server vom Netz nehmen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 265 Online Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Log Einstellungen vornehmen 1 Schalten Sie ber den Men befehl Ansicht gt Erweiterter Modus die Betriebsart um Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt g
212. h in separatem Subnetz e Betriebsart Routing Internes und externes Netz befinden sich jeweils in einem eigenen Subnetz DMZ Netz befindet sich in einem weiteren separaten Subnetz So erreichen Sie diese Funktion 172 Standard Router und Routen festlegen 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Routing 3 Wenn Sie die IP Adresse den FQDN f r den Standard Router eintragen werden alle Routen ber diesen Router geleitet sofern keine spezifischen Routen zutreffen Spezifische Routen k nnen Sie im Eingabebereich Routen eintragen 4 Klicken Sie auf die Schaltfl che Route hinzuf gen 5 Tragen Sie die folgende Werte ein Parameter Netz ID Funktion Anfragen an Teilnehmer des Subnetzes mit der hier angegebenen Netz ID und der angegebenen Sub netzmaske werden ber die angegebene Router IP Adresse in das Subnetz geleitet Anhand der Netz ID erkennt der Router ob eine Ziel Adresse im oder au erhalb des Subnetzes liegt Die angegebene Netz ID darf nicht im gleichen Sub netz liegen wie die IP Adresse der Security Baugruppe Beispiel Wert 192 168 11 0 Subnetzmaske Die Subnetzmaske strukturiert das Netz Anhand der Netz ID und der Subnetzmaske erkennt der Router ob eine Ziel Adresse innerhalb oder au erhalb des Sub netzes liegt Die anzugebende Subnetzmaske kann nicht auf einen einzelnen Netzwerkteil
213. h zu den Funktionen des SCALANCE S623 besitzt der SCALANCE S627 2M zwei Medienmodulslots in die jeweils ein elektrisches oder optisches Medienmodul mit zwei Ports eingesetzt werden kann Dadurch wird die externe und die interne Schnittstelle um jeweils bis zu zwei Ports erweitert Im Routing Modus k nnen die zus tzlichen Ports der Security Baugruppe f r die Anbindung der externen und internen Schnittstelle an Ringtopologien verwendet werden Ringredundanz mit MRP oder HRP Der SCALANCE S627 2M unterst tzt die Protokolle MRP und HRP auf den Medienmodulports der externen und internen Schnittstelle als Client Als Teilnehmer eines MRP HRP Rings kann ein SCALANCE S627 2M eine unterlagerte Automatisierungszelle oder einen unterlagerten Ring sch tzen Diese Sicherung kann auch redundant erfolgen Leitungsausf lle werden von einem separaten Ringmanager beispielsweise einem SCALANCE X308 erkannt und durch Umleitung des Kommunikationswegs kompensiert SCALANCE X308 Ringmanager SCALANCE S627 2M PN Sp Sn alll Intern Automatisierungszeile 1 Em 1 l l l I l j I Intern Automatisierungszebe 2 Ann n n ann an Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 35 Einf hrung und Grundlagen 1 9 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced 1 9 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced Zellenschutzkonzept Aufgabe von CP x43 1 Adv Mit Industrial Ethernet Secu
214. hkeiten Unterst tzte Anschlussm glichkeiten Jede Security Baugruppe besitzt eine bestimmte Anzahl an Ports an die die Netzwerkteilnehmer angeschlossen werden k nnen Abh ngig von der zugeh rigen Schnittstelle werden die Netzwerkteilnehmer unterschiedlich behandelt Security Schnitt MAC Adresse der Port der Port Typ MAC Adresse des Ports Baugruppe stelle Schnittstelle Schnitt stelle SCALANCE Extern MAC Adresse P1 Fest eingebaute RJ 45 MAC Adresse 2 S602 S612 siehe Aufdruck Buchse Kupfer S613 Intern MAC Adresse 1 P2 Fest eingebaute RJ 45 MAC Adresse 3 Buchse Kupfer SCALANCE Extern MAC Adresse P1 Fest eingebaute RJ 45 MAC Adresse 3 S623 siehe Aufdruck Buchse Kupfer Intern MAC Adresse 1 P2 Fest eingebaute RJ 45 MAC Adresse 4 Buchse Kupfer DMZ MAC Adresse 2 P3 Fest eingebaute RJ 45 MAC Adresse 5 Buchse Kupfer SCALANCE Extern MAC Adresse P1 Fest eingebaute RJ 45 MAC Adresse 3 S627 2M siehe Aufdruck Buchse Kupfer P4 Medienmodulport MAC Adresse 4 Kupfer LWL P5 Medienmodulport MAC Adresse 5 Kupfer LWL Intern MAC Adresse 1 P2 Fest eingebaute RJ 45 MAC Adresse 6 Buchse Kupfer P6 Medienmodulport MAC Adresse 7 Kupfer LWL P7 Medienmodulport MAC Adresse 8 Kupfer LWL DMZ MAC Adresse 2 P3 Fest eingebaute RJ 45 MAC Adresse 9 Buchse Kupfer Beim Betrieb im Bridge Modus ist immer die aufgedruckte M
215. hlen Sie hierzu den Men befehl Optionen gt Konsistenzpr fungen 5 1 4 Adressumsetzung mit NAT NAPT NAT aktivieren Der Eingabebereich f r NAT wird aktiviert NAT Adressumsetzungen werden erst durch die nachfolgend beschriebenen Eintr ge in die Adressumsetzungsliste wirksam Nach dem Anlegen von NAT Regeln werden die zugeh rigen Firewall Regeln erzeugt und im Erweiterten Modus angezeigt siehe Kapitel Zusammenhang zwischen NAT NAPT Router und Firewall Seite 184 Wenn f r die externe Schnittstelle oder die DMZ Schnittstelle PPPoE aktiviert ist kann die Aktion Destination NAT nicht projektiert werden Bei der Projektierung der Aktion Source NAT kann die IP Adresse im Eingabefeld Quell Umsetzung nicht eingegeben werden da diese dynamisch zur Laufzeit ermittelt wird Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 175 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router M gliche Adressumsetzungsaktionen f r NAT In den folgenden Tabellen sind die Eingabem glichkeiten zur Adressumsetzung mit NAT dargestellt Aktion Destination NAT Redirect Die Aktion Destination NAT kann in folgender Richtung durchgef hrt werden e Extern nach Intern Wenn die DMZ Schnittstelle der Security Baugruppe nur SCALANCE S623 S627 2M aktiviert ist kann die Aktion Destination NAT zus tzlich in folgenden Richtungen durchgef hrt werden e Extern nach DMZ
216. hmer einer VPN Gruppe zuordnen k nnen sie ber ein VPN Virtual Private Network Kommunikationstunnel aufbauen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Siehe auch 2 4 5 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Nur Baugruppen der gleichen VPN Gruppe k nnen untereinander gesichert ber Tunnel kommunizieren wobei die Baugruppen mehreren VPN Gruppen gleichzeitig angeh ren k nnen Weitere Baugruppeneigenschaften projektieren Seite 171 Standard Initialisierungswerte f r ein Projekt festlegen Buch Standard Initialisierungswerte f r ein Projekt festlegen Mit den Standard Initialisierungswerten legen Sie Eigenschaften fest die beim Anlegen neuer Baugruppen automatisch bernommen werden ber das Kontrollk stchen Auswahl speichern legen Sie au erdem fest ob beim Anlegen einer neuen Baugruppe ein Fenster zum Einstellen der Eigenschaften ge ffnet werden soll oder ob die Baugruppe direkt eingef gt wird W hlen Sie den Men befehl Projekt gt Eigenschaften Register Standard Initialisierungswerte Schutz der Projektdaten durch Verschl sselung 2 4 6 bersicht Die abgespeicherten Projekt und Konfigurationsdaten sind sowohl in der Projektdatei als auch auf dem C PLUG nicht f r CP 1628 durch Verschl sselung gesch tzt Konsistenzpr fungen Security Configuration Tool unterscheidet e Lokale Konsisten
217. hten Sie stets darauf dass Benutzernamen und Passw rter m glichst lang sind und Sonderzeichen Gro Kleinschreibung sowie Zahlen enthalten Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 21 Einf hrung und Grundlagen 1 3 Produkteigenschaften Passwortst rke Mit Hilfe von Passwort Richtlinien k nnen Sie die oben aufgef hrten Restriktionen f r Passw rter weiter einschr nken Wie Sie Passwort Richtlinien definieren erfahren Sie im Kapitel Passwort Richtlinien projektieren Seite 76 Bei der Eingabe eines neuen Passworts wird dessen Passwortst rke berpr ft Folgende Stufen werden bei der Passwortst rke unterschieden e Sehr schwach e Schwach e Mittel e Gut e Stark e Sehr stark Hinweis Passwortst rke von bereits bestehenden Benutzern berpr fen berpr fen Sie die Passwortst rke e von bereits im Projekt vorhandenen Benutzern e des ersten in STEP 7 angelegten Benutzers e von migrierten Benutzern indem Sie in der Benutzerverwaltung im Register Benutzer den jeweiligen Benutzer selektieren und auf die Schaltfl che Bearbeiten klicken 1 3 4 Baugruppe austauschen D Tr So erreichen Sie diese Funktion 22 1 Markieren Sie die zu bearbeitende Security Baugruppe bzw den zu bearbeitenden SOFTNET Security Client 2 W hlen Sie den Men befehl Bearbeiten gt Baugruppe austauschen 3 Abh ngig vom Produkttyp und dem Firmw
218. iche IP Adresse Dienste Bandbreite Von SCT erzeugte Firewall Parameter k nnen nicht angepasst werden Wird der benutzerspezifische IP Regelsatz auf eine Security Baugruppe mit deaktiviertem NAT NAPT per Drag and Drop gezogen dann kommen die NAT NAPT Regeln aus der benutzerspezifischen Firewall ebenso auf dieser Security Baugruppe nicht zur Anwendung Hinweis Die Adressumsetzungsaktion Double NAT wird in Zusammenhang mit der benutzerspezifischen Firewall nicht unterst tzt So erreichen Sie diese Funktion Register NAT bzw NAPT im Konfigurationsdialog f r benutzerspezifische IP Regels tze siehe folgendes Kapitel Benutzerspezifische IP Regels tze Seite 143 Unterst tzte Adressumsetzungsrichtungen f r die Aktion Source NAT Die Aktion Source NAT kann in folgenden Richtungen durchgef hrt werden e Extern nach DMZ e DMZ nach Extern Im Feld Quell IP Adresse kann keine IP Adresse eingetragen werden Diese wird bei der Anmeldung des Teilnehmers an der Security Baugruppe automatisch eingetragen Unterst tzte Adressumsetzungsrichtungen f r die Aktion Destination NAT Die Aktion Destination NAT kann in folgenden Richtungen durchgef hrt werden e Extern nach Intern e Extern nach DMZ e DMZ nach Intern e DMZ nach Extern e Tunnel nach Intern nur SCALANCE S612 S623 S627 2M ab V4 e Tunnel nach Extern nur SCALANCE S612 S623 S627 2M ab V4 e Tunnel nach DMZ nur SCALANCE S612 S623 S627 2M ab V4 Unterst tzte
219. ie Security Baugruppen und IPsec Tunnel konfigurieren wird ausf hrlich in den Folgekapiteln dieses Handbuchs erl utert Detailinformationen zu den Dialogen und den einstellbaren Parametern gibt Ihnen auch die P Online Hilfe Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen Dialog F1 2 1 bersicht Leistungsumfang und Arbeitsweise Leistungsumfang Sie verwenden das Projektierwerkzeug Security Configuration Tool f r diese Aufgaben e Projektierung der Security Baugruppen e Projektierung von SOFTNET Security Client e Erstellen von VPN Konfigurationsdaten f r SCALANCE M e Erstellen von VPN Konfigurationsdateien f r VPN Ger te von Fremdherstellern e Test und Diagnosefunktionen Statusanzeigen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 43 Projektierung mit Security Configuration Tool 2 1 bersicht Leistungsumfang und Arbeitsweise Zwei Betriebsmodi des Security Configuration Tool Das Security Configuration Tool kann in folgenden Betriebsmodi aufgerufen werden e Security Configuration Tool Standalone Kann unabh ngig von STEP 7 aufgerufen werden Keine Security Projektierung von CPs m glich e Security Configuration Tool in STEP 7 integriert Kann nur aus STEP 7 heraus aufgerufen werden Mindestens ein CP mit aktivierter Security Funktion muss sich im Projekt befinden Der Umfang von Security Configuration Tool Standalone wird um di
220. ie projektspezifischen Einstellungen sowie das Laden und Speichern der Projektdatei Neu Neues Projekt anlegen F r CP Projekte werden durch STEP 7 Projektierung angelegt ig ffnen Bestehendes Projekt ffnen F r CP Bestehende Projekte k nnen nur ber STEP 7 Projekte ge ffnet werden Speichern Ge ffnetes Projekt unter aktuellem Pfad und Projekt Strg S namen speichern SD Speichern unter Ge ffnetes Projekt unter w hlbarem Pfad und Pro jektnamen speichern F r CP Das Projekt ist Teil des STEP 7 Projekts Der Pfad kann nicht ge ndert werden Eigenschaften Dialog f r Projekteigenschaften ffnen RL Zuletzt ge ffnete Projekte Direkte Auswahlm glichkeit der bisher bearbeiteten z Projekte F r CP Bestehende Projekte k nnen nur ber STEP 7 ge ffnet werden Beenden Projekt schlie en Bearbeiten Men befehle nur im Offline Modus Hinweis Die Funktionen k nnen Sie bei angew hltem Objekt teilweise auch ber das Kontextmen ausw hlen Kopieren Angew hltes Objekt kopieren Strg C Einf gen Objekt aus der Zwischenablage holen und einf gen Strg V L schen Angew hltes Objekt l schen Entf Umbenennen Angew hltes Objekt umbenennen F2 Neues Zertifikat Neues Gruppenzertifikat f r Baugruppe erzeugen die nach Auswahl der zugeh rigen VPN Gruppe im In haltsbereich selektiert wurde Baugruppe austauschen Angew hlte
221. il der MAC Adresse unterscheidet die verschiedenen Ethernet Teilnehmer Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 275 Anhang A 3 MAC Adresse Security Grundlagen und Anwendung 276 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Literaturverzeichnis B B 1 Einleitung ohne CD DVD Auffinden der SIMATIC NET Dokumentation e Kataloge Die Bestellnummern f r die hier relevanten Siemens Produkte finden Sie in den folgenden Katalogen SIMATIC NET Industrielle Kommunikation Industrielle Identifikation Katalog IK PI SIMATIC Produkte f r Totally Integrated Automation und Micro Automation Katalog ST 70 Die Kataloge sowie zus tzliche Informationen k nnen Sie bei Ihrer Siemens Vertretung anfordern Die Industry Mall finden Sie unter folgender Adresse im Internet Link zur Siemens Industry Mall http www siemens com industrymall e Dokumentation im Internet Die SIMATIC NET Handb cher finden Sie auf den Internet Seiten des Siemens Automation Customer Support Link zum Customer Support http support automation siemens com W W view de Navigieren Sie zur gew nschten Produktgruppe und nehmen Sie folgende Einstellungen vor Register Beitragsliste Beitragstyp Handb cher Betriebsanleitungen e Dokumentation in der STEP 7 Installation Handb cher die in der Online Dokumentation der STEP 7 Installation auf Ihrem PG PC vorhanden sind finden Sie ber d
222. ktion als Firewall und NAT NAPT Router e MRP Domains Mit Hilfe von MRP Domains werden die Teilnehmer eines MRP Rings festgelegt F r die Schnittstellen aller Baugruppen die an einen MRP Ring angebunden sein sollen muss dieselbe MRP Domain ausgew hlt sein Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 59 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten e Dienst Definitionen Mithilfe der Definition von IP oder MAC Diensten k nnen Sie Firewall Regeln kompakt und bersichtlich definieren e NTP Server NTP Server werden projektweit angelegt und k nnen dann in SCT mehreren Security Baugruppen zugewiesen werden e RADIUS Server RADIUS Server werden projektweit angelegt und k nnen dann in SCT mehreren Security Baugruppen zugewiesen werden e Zertifikatsmanager Im Zertifikatsmanager werden s mtliche Zertifikate des Projektes und der darin enthaltenen Security Baugruppen verwaltet e Benutzerverwaltung In der Benutzerverwaltung k nnen Sie alle Benutzer des Projektes und deren Rechte verwalten sowie Passwortrichtlinien definieren e Symbolische Namen In einem Projekt k nnen Sie stellvertretend f r IP und MAC Adressen symbolische Namen in einer Tabelle vergeben Security Grundlagen und Anwendung 60 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalte
223. l 139 MAC Regels tze 140 Main Mode 211 Maximale Sitzungsdauer 69 72 MD35 198 213 Mengenger ste 21 MIB 74 Multicast 175 N NAT NAPT Routing 173 NAT NAPT Router Symbolische Namen 65 NCP VPN Client 90 CA Gruppenzertifikat 225 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 Index Gruppenzertifikat 225 Konfigurationsdatei erstellen 223 225 Netz ID 172 Netzwerk Syslog 257 262 Non IP Telegramme 203 NTP symbolische Namen 65 65 NTP secure 194 NTP Server 138 194 NTP Server exportieren 197 O Offline Projektierungssicht 44 Online Diagnose 261 Online Diagnosesicht 44 P Paketfilter Ereignisse 262 PAP 103 PC CP 3 Perfect Forward Secrecy 213 Port 102 S7 Protokoll TCP 158 123 NTP 175 20 21 FTP 158 443 HTTPS 175 175 4500 IPsec 175 500 IPsec 175 500 ISAKMP 217 514 Syslog 175 80 HTTP 158 Preshared Keys 204 Produkt von anderem Hersteller 90 Produkt DVD SCALANCE S 46 PROFINET 230 PROFINET Adresse 86 Projekt Initialisierungswerte 63 Projektierungsrechte 73 Protokoll 158 Puffer 262 R Rechteabh ngigkeiten 74 Remote Access Benutzer 70 Rollen 70 benutzerdefiniert 71 systemdefiniert 70 285 Index Rollenname 72 Route anlegen 172 Router IP Adresse 172 Routing Modus 98 171 aktivieren 171 R ckwirkungsfreiheit 30 S S7 CP 3 SA Lebensdauer 212 SCALANCE M 3 Gruppenz
224. l sselter IPsec Datentransfer zugelassen ist Es wird automatisch die Firewall Regel Drop gt Any gt Extern angelegt Deaktivieren Sie das Kontrollk stchen dann sind die getunnelte Kommunikation und zus tzlich die in den anderen Auswahlboxen angew hlten Kommunikationsarten zugelassen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 117 Firewall projektieren 4 1 CPs im Standard Modus 4 1 1 CP x43 1 Adv 4 1 1 1 Voreinstellung der Firewall Verhalten mit Voreinstellung Die folgenden Diagramme zeigen die Standard Einstellungen im Detail jeweils f r den IP Paketfilter und den MAC Paketfilter wenn das Kontrollk stchen Firewall aktivieren aktiviert ist und auch im Erweiterten Modus keine Regeln vorhanden sind Das Verhalten kann durch das Anlegen von entsprechenden Firewall Regeln im Erweiterten Modus ge ndert werden Standard Einstellung f r CP x43 1 Adv interne Knoten CP x43 1 Adv externe Knoten externe Security Baugruppe O l AHE HHEH M IPsec Tunnei lt iN W EN P EEEH EEFE HHHH Del AN A Firewall Bild 4 1 Standard Einstellung f r IP Paketfilter CP x43 1 Adv Alle Telegrammtypen von intern nach extern sind geblockt Alle Telegramme von intern an die Security Baugruppe sind zugelassen Alle Telegramme von extern nach intern und an die Security Baugruppe sind geblockt a
225. l auf DMZ Schnittstelle und umgekehrt sind ge blockt Alle Telegramme vom DMZ Netz nach Tunnel auf externer Schnittstelle und umgekehrt sind geblockt Alle Telegramme vom DMZ Netz nach extern sind geblockt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 133 Firewall projektieren 4 2 SCALANCE S im Standard Modus Hinweis Automatische Freischaltung von Ethertypes Wenn PPPOE aktiv ist werden die Ethertypes 0x8863 und 0x8864 automatisch freigeschaltet PPPoE Discovery und Session Stage 4 2 2 Firewall projektieren f r SCALANCE S gt V3 0 So erreichen Sie diese Funktion 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall Firewall standardm ig aktiviert Das Kontrollk stchen Firewall aktivieren ist standardm ig aktiviert Die Firewall ist also automatisch aktiv und alle Zugriffe von extern auf die Security Baugruppe sind gesperrt Im Standard Modus schalten Sie durch Anklicken der entsprechenden Kontrollk stchen die Firewall f r die jeweiligen Richtungen frei Detaillierte Firewall Einstellungen im Erweiterten Modus Im Erweiterten Modus k nnen Sie Firewall Regeln auf einzelne Teilnehmer beschr nken siehe folgendes Kapitel e Firewall im Erweiterten Modus Seite 139 Firewall Projektierung mit VPN Befindet sich die Security Baugruppe in einer VPN Gruppe und ist im Sta
226. lauben Wenn z B standardm ig alle Zugriffe auf die Netze hinter einer Security Baugruppe gesperrt sind k nnen bestimmte Teilnehmer ber ihre IP Adressen f r einen Benutzer tempor r freigeschaltet werden Somit ist f r diesen Benutzer der Zugriff erlaubt f r andere Benutzer bleiben die Zugriffe weiterhin gesperrt Die Antworten auf benutzerspezifische Zugriffe werden stets automatisch zugelassen Es m ssen also lediglich IP Regeln f r die initiative Richtung projektiert werden Anmelden des Benutzers ber das Internet Der Benutzer kann sich ber die Webseite der Security Baugruppe an der externen Schnittstelle oder an der DMZ Schnittstelle anmelden Wenn die Authentifizierung erfolgreich ist wird der f r den Benutzer definierte IP Regelsatz f r die IP Adresse des Ger ts von dem die Anmeldung erfolgt ist aktiviert Die Verbindung zur Webseite der Security Baugruppe erfolgt ber HTTPS unter Verwendung der IP Adresse des angebundenen Ports bei Beachtung der g ltigen Routing Regeln Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 143 Firewall projektieren 4 3 Firewall im Erweiterten Modus Beispiel Externe Schnittstelle 192 168 10 1 Aufruf der Login Seite ber https 192 168 10 1 Anmelden k nnen sich Benutzer mit jeder Rolle sofern der Benutzer oder die Rolle einem benutzerspezifischen IP Regelsatz zugeordnet ist M glichkeiten zur Authentifizierung des Benutzers J
227. le an Parameter Bedeutung Name Frei w hlbarer Name f r den RADIUS Server IP Adresse FQDN IP Adresse oder FQDN des RADIUS Servers Port UDP Port unter welchem der RADIUS Server erreichbar ist Standardm ig werden Authenti fizierungsdaten an Port 1812 empfangen Shared Secret Eingabe des Passworts das bei der bertra gung der Anmeldedaten zwischen RADIUS Server und Security Baugruppen zur Ver schl sselung verwendet wird Erlaubt sind folgende Zeichen des Zeichensat zes ANSI X 3 4 1986 0123456789 A Z a z EEK lt gt 2 N L nge des Shared Secrets 1 31 Zeichen Shared Secret wiederholen Best tigung des Passworts Authentifizierungsmethode Anzeige des Verfahrens das zur berpr fung der Benutzerdaten verwendet wird Es wird ausschlie lich das Verfahren PAP Password Authentication Protocol unterst tzt Kommentar Frei w hlbare optionale Kommentareingabe Ergebnis Sie haben einen RADIUS Server definiert und k nnen diesen nun den gew nschten Security Baugruppen zuweisen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 81 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten 2 5 6 3 RADIUS Server einer Security Baugruppe zuweisen Voraussetzung Sie haben einen RADIUS Server definiert Vorgehensweise 1 Selektieren Sie die Security Baugruppe der Sie einen RADIUS Server zuweisen m chten 2 W hlen Sie den Men befehl Bear
228. legramme von diesem Ger t werden dann nicht an den eingetragenen Standard Router sondern an die zugeh rige Schnittstelle der Security Baugruppe gesendet Die folgende Tabelle zeigt das Eingabeschema f r die Aktion Double NAT Feld Quell IP Adresse M gliche Eingaben Bedeutung IP Adresse im Quell Netz IP Adresse des Teilnehmers im Quell Netz Quell Umsetzung Die Source NAT Adressumsetzung erfolgt immer auf die IP Adresse der Security Baugruppe im Ziel Netz Das Eingabefeld Quell Umsetzung ist deshalb nicht projektierbar Ziel IP Adresse IP Adresse im Quell Netz Ziel IP Adresse im Quell Netz ber die auf eine IP Adresse im Ziel Netz zuge griffen werden soll Stimmt in einem Telegramm die Ziel IP Adresse mit der eingegebenen IP Adresse berein wird die IP Adresse durch die im Eingabefeld Ziel Umsetzung angegebene IP Adresse ausgetauscht Handelt es sich bei der hier eingege benen IP Adresse nicht um die IP Adresse der Security Baugruppe wird diese zur Alias Adresse Dies bedeutet dass die angegebene Adresse zus tz lich als IP Adresse an der ausgew hl ten Schnittstelle registriert wird Alias Adressen werden zus tzlich im Regis ter Schnittstellen der Security Baugruppe angezeigt Stellen Sie si cher dass mit der Alias Adresse kein IP Adresskonflikt im Netzwerk besteht Ziel Umsetzung IP Adresse im Ziel Netz Die Ziel IP Adresse wird durch die hier angegebene IP Adresse ers
229. lklick auf die Security Baugruppen werden sofern diese die entsprechenden Konfigurationsm glichkeiten bieten Eigenschaftsdialoge zur Eingabe weiterer Parameter ge ffnet Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 47 Projektierung mit Security Configuration Tool 2 3 Bedienoberfl che und Men befehle _ Detail Fenster Das Detail Fenster enth lt zus tzliche Informationen zum ausgew hlten Objekt und erm glicht im jeweiligen Kontext einer VPN Gruppe die Projektierung verbindungsgranularer VPN Eigenschaften Das Detail Fenster kann ber das Men Ansicht aus und eingeblendet werden _ Statuszeile Die Statuszeile zeigt Bedienzust nde und aktuelle Statusmeldungen an Hierzu geh ren Symbolleiste Der aktuelle Benutzer und der Benutzertyp Die Bedienungssicht Standard Modus Erweiterter Modus Die Betriebsart Online Offline Nachfolgend eine bersicht der w hlbaren Symbole in der Symbolleiste und deren Bedeutung Symbol Bedeutung Bemerkungen Neues Projekt anlegen Bestehendes Projekt ffnen Ge ffnetes Projekt unter aktuellem Pfad und Projektnamen speichern Angew hltes Objekt kopieren Objekt aus der Zwischenablage einf gen Angew hltes Objekt l schen Ekel bBleaelo Neue Baugruppe anlegen Das Symbol ist nur aktiv wenn Sie sich innerhalb des Navigationsbereichs im Ordner Alle Baugruppen befinden De Neue VPN
230. lle untereinander sowie zwischen den Ports der internen Schnittstelle untereinander ist deshalb keine Firewall Funktionalit t Layer 2 Layer 3 gegeben 4 1 CPs im Standard Modus Paketfilter Regeln aktivieren Wenn Sie in STEP 7 f r die CPs die Security Funktion aktivieren sind zun chst alle Zugriffe auf und ber den CP zugelassen Um einzelne Pakeffilter Regeln zu aktivieren klicken Sie das Kontrollk stchen Firewall aktivieren Schalten Sie anschlie end die gew nschten Dienste frei Firewall Regeln die aufgrund einer Verbindungsprojektierung automatisch angelegt werden haben Vorrang vor den hier eingestellten Diensten Alle Teilnehmer haben ber die von Ihnen freigegebenen Dienste Zugriff Detaillierte Firewall Einstellungen im Erweiterten Modus Im Erweiterten Modus k nnen Sie Firewall Regeln auf einzelne Teilnehmer beschr nken Um in den Erweiterten Modus zu wechseln klicken Sie auf das Optionsk stchen Erweiterter Modus Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sie k nnen eine einmal vorgenommene Umschaltung in den Erweiterten Modus f r das aktuelle Projekt nicht mehr r ckg ngig machen Firewall Projektierung mit VPN Befindet sich die Security Baugruppe in einer VPN Gruppe ist standardm ig das Kontrollk stchen Ausschlie lich getunnelte Kommunikation aktiviert Dies bedeutet dass ber die externe Schnittstelle keine Kommunikation am Tunnel vorbei gehen darf und nur versch
231. ls im SOFTNET Security Client bereits Konfigurationsdaten vorliegen w hlen Sie eine der folgenden Optionen aus entfernen Nur die zuletzt geladenen Konfigurationsdaten sind verf gbar importieren und ersetzen Ist bei ge nderten Konfigurationsdaten sinnvoll beispielsweise nur die Konfiguration im Projekt a ist ge ndert die Konfigurationsdaten von Projekt b und c bleiben unver ndert erhalten und die ge nderten Konfigurationsdaten werden in Projekt a ersetzt nicht importieren ist sinnvoll wenn in einem Projekt eine Security Baugruppe hinzugef gt wurde Die bestehende SSC Konfiguration mit bereits importierten Security Baugruppen wird nicht ver ndert gelernte interne Knoten dieser Baugruppen w rden bei einer anderen Option verloren gehen BE SOFTNET Security Client Konfigurationsdaten vorhanden kol Es wurde festgestellt dass bereits Konfigurationsdaten fiir den SOFTNET Security Client vorhanden sind wollen Sie die vorhandenen Konfigurationsdaten entfernen behalten und die neuen hinzuf gen und dabei die Baugruppen mit gleicher IP Adresse importieren und ersetzen nicht importieren Abbrechen A 3 Wenn Sie in SCT als Authentifizierungsmethode Zertifikat gew hlt haben geben Sie ein Passwort f r das Zertifikat der VPN Konfiguration an Haben Sie kein Passwort im SCT vergeben wurde der Projektname nicht das Projektpasswort des eingeloggten Benutzers als Passwort bernom
232. lten Sie in der Online Hilfe Zugriffsvoraussetzungen Damit Sie an einer Security Baugruppe die Online Funktionen nutzen k nnen m ssen folgende Voraussetzungen erf llt sein e eine Netzwerkverbindung zur ausgew hlten Baugruppe besteht e das Projekt mit dem die Baugruppe konfiguriert wurde ist ge ffnet e die Online Betriebsart im Security Configuration Tool ist aktiv oder die baugruppenspezifische Online Diagnose wurde ber das Kontextmen ge ffnet e F r CPs muss der Diagnosezugang in der Firewall freigegeben sein TCP 443 Hinweis Voraussetzung f r die Online Diagnose im Ghost Modus Die Online Diagnose ist im Ghost Modus erst dann verf gbar wenn die Security Baugruppe die IP Adresse des internen Teilnehmers gelernt und f r ihre externe Schnittstelle bernommen hat Danach ist die Security Baugruppe ber die IP Adresse der externen Schnittstelle erreichbar Warnmeldung bei nicht aktueller Konfiguration oder Fremdprojekt Wenn Sie den Online Dialog aufrufen wird gepr ft ob die aktuelle Konfiguration auf der Security Baugruppe und die Konfiguration des geladenen Projekts bereinstimmen Unterscheiden sich die beiden Konfigurationen so wird eine Warnmeldung ausgegeben Dadurch wird signalisiert dass Sie entweder die Konfiguration noch nicht aktualisiert haben oder das falsche Projekt verwenden Security Grundlagen und Anwendung 260 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Online Funkti
233. men 4 Falls Sie bei der Konfiguration im Security Configuration Tool eine SCALANCE M875 Baugruppe SCALANCE M 800 Baugruppe oder einen S7 CP mit aktiviertem DHCP an der GBit Schnittstelle projektiert haben erscheint der Dialog IP DNS Einstellungen Gehen Sie abh ngig vom projektierten Baugruppentyp folgenderma en vor F r SCALANCE M875 Baugruppen und SCALANCE M 800 Baugruppen W hlen Sie ob Sie den Tunnel zur Baugruppe ber die vom ISP zur Laufzeit bezogene IP Adresse oder alternativ ber einen DNS Namen aufbauen wollen F r S7 CPs mit aktiviertem DHCP an der GBit Schnittstelle Geben Sie die ber DHCP zugewiesene IP Adresse ein Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 247 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten 5 W hlen Sie aus ob f r die internen Teilnehmer der Security Baugruppe die Tunnelverbindungen aktiviert werden sollen Pey SOFTNET Security Client Aktivieren der Konfiguration EEA Tunnelverbindung f r alle internen Teilnehmer aktivieren Ja Nein Falls Sie die Aktivierung hier noch nicht ansto en k nnen Sie dies jederzeit im nachfolgend beschriebenen Dialog Tunnel bersicht durchf hren Wenn Sie die Aktivierung der Tunnelverbindungen gew hlt haben werden nun die Tunnelverbindungen zwischen dem SOFTNET Security Client und den Security Baugruppen aufgebaut Dies kann einige Zeit in Anspruch nehmen 6 ffne
234. men als symbolische Namen verwendet Im Routing Modus werden diese Namen mit einer Port Bezeichnung wie folgt erweitert Baugruppenname P1 Baugruppenname P2 usw Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 267 Online Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Ereignisklassen konfigurieren Tabelle 9 3 Netzwerk Syslog Funktions bersicht Funktion Register im Online Dialog Paketfilter Ereignisse Firewall Projektierung Die Aktivierung erfolgt ber das Opti onsk stchen Durch die Einstellung von Facility und Severity lassen sich Syslog Meldungen entsprechend ihrer Her kunft und ihres Schweregrades klas sifizieren Die Zuordnung erfolgt ber Klapplisten Jedem Ereignis wird die Severity und Facility zugewiesen die Sie hier einstellen Bemerkungen Welchen Wert Sie hier w hlen h ngt von der Auswertung im Syslog Server ab Damit k nnen Sie eine Anpassung an die Erfordernisse im Syslog Server vornehmen Lassen Sie den Standardwert default eingestellt wird durch die Security Baugruppe festgelegt mit welcher Kom bination aus Facility und Severity das Ereignis angezeigt wird Audit Ereignisse Die Aktivierung erfolgt ber das Opti onsk stchen Die Zuordnung der Severity und Facility erfolgt ber Klapplisten Je dem Ereignis wird die Severity und Facility zugewiesen die Sie hier einstellen Welchen Wert Si
235. ministrator Nach der Eingabe k nnen Sie die Konfigurationen im Projekt vornehmen Allgemein beinhalten die Konfigurationen eines Projektes e Projektweit g ltige Einstellungen e Baugruppenspezifische Einstellungen e Gruppenzuordnungen f r IPsec Tunnel gt 5682T Zus tzlich regelt eine Benutzerverwaltung die Zugriffsberechtigungen auf die Projektdaten und auf die Security Baugruppen Projektweit g ltige Einstellungen e Projekteigenschaften Diese umfassen neben allgemeinen Adress und Namensangaben Vorgaben f r Initialisierungswerte e Globale Firewall Regels tze Ein globaler Firewall Regelsatz kann mehreren Security Baugruppen gleichzeitig zugewiesen werden Diese M glichkeit vereinfacht in vielen F llen die Projektierung im Gegensatz zur Projektierung von lokalen Firewall Regeln in den baugruppenspezifischen Einstellungen e Benutzerspezifische IP Regels tze 277 Ein benutzerspezifischer IP Regelsatz wird einem Benutzer und einer Security Baugruppe zugewiesen Einer SCALANCE S V4 Baugruppe kann auch ein benutzerspezifischer IP Regelsatz zugewiesen werden welchem eine Rolle zugeordnet ist Benutzerspezifische IP Regels tze erm glichen die Definition von feingranularen benutzerspezifischen Zugriffsrechten e Redundanzbeziehungen Eine Redundanzbeziehung wird f r zwei Security Baugruppen angelegt Wenn eine der beiden Security Baugruppen im Betrieb ausf llt bernimmt die andere Security Baugruppe deren Fun
236. n Baugruppenspezifische Einstellungen Die meisten Funktionen werden in den Registern des Eigenschaftsdialogs konfiguriert welcher f r eine selektierte Security Baugruppe ber den Men befehl Bearbeiten gt Eigenschaften aufgerufen werden kann Im Eigenschaftsdialog k nnen die einzelnen Register per Drag amp Drop beliebig angeordnet werden In der folgenden Tabelle sind die Funktionsbeschreibungen der einzelnen Register dargestellt Funktion Register im Eigenschaftendialog Schnittstellen bersicht der einzelnen Schnittstellen und Porteinstellungen F r CPs Die Einstellungen werden aus STEP 7 bernommen und k nnen nicht ver ndert werden wird angeboten im Modus Standard x Erweiterter x Firewall Im Standard Modus aktivieren Sie hier die Firewall mit einfachen Standard Regeln Zus tzlich k nnen Sie Log Einstellungen aktivieren Im Erweiterten Modus k nnen Sie detaillierte Paketfilter Regeln definieren Au erdem k nnen Sie f r jede Paketfilter Regel explizite Log Einstellungen definieren F r CPs Falls eine Access Control Liste migriert wurde wird diese hier angezeigt und kann bearbeitet werden Internetverbindung Wenn eine Verbindung ber PPPoE eingestellt ist nehmen Sie hier Einstellungen zum Internet Service Provider vor DNS Einstellungen zu dynamischem DNS die den Zugriff auf sich st ndig ndernde IP Adressen ber fest definierte Namen FODN erlauben Dynami
237. n bzw MAC Dienste im Register MAC Regeln Auswahlm glichkeiten Wertebereiche Die Klappliste bietet die projektierten Dienste und Dienst gruppen zur Auswahl an Keine Angabe bedeutet es wird kein Dienst gepr ft die Regel gilt f r alle Dienste Hinweis Damit die vordefinierten IP Dienste in der Klappliste er scheinen aktivieren Sie diese zun chst im Standard Mo dus Bandbreite Mbit s Einstellm glichkeit f r eine Bandbrei tenbegrenzung Kann nur eingegeben werden wenn bei Aktion Allow ausgew hlt ist Ein Paket passiert die Firewall wenn die Pass Regel zutrifft und die zul s sige Bandbreite f r diese Regel noch nicht berschritten worden ist CP x43 1 Adv und SCALANCE S lt V3 0 0 001 100 CP 1628 und SCALANCE S 2 V3 0 0 001 1000 F r Regeln in globalen und benutzerspezifischen Regels tzen 0 001 100 Logging Nr Ein bzw Ausschalten des Loggings f r diese Regel Informationen zu Logging Einstellungen finden Sie in folgendem Kapitel Ereignisse aufzeichnen Logging Seite 261 Automatisch vergebene Nummer der Regel zur Zuordnung der geloggten Pakete zu einer projektierten Firewall Regel Die Nummern werden beim Verschieben von Regeln neu ermit telt 152 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus Bezeichnung Stateful
238. n 65 DHCP Server 190 Diagnose 257 Diagnose Benutzer 70 Dienstgruppe 166 Diffie Hellman Schl sselvereinbarung 211 DNS Server 138 DNS Konformit t 273 E Eigenschaften der VPN Gruppe 210 Einstellungen projektweite 59 Erweiterter Modus 44 Benutzerspezifische Firewall Regeln 143 DHCP Server 190 283 Index Firewall Regeln 139 Globale Firewall Regeln 140 Logging 270 Lokales Logging 261 263 Netzwerk Syslog 261 ESP Protokoll 118 124 212 Ethernet Non IP Telegramme 115 Externe Netzknoten CP x43 1 Adv 38 SCALANCE 602 27 SCALANCE S612 S623 S627 2M 30 F Facility 268 Firewall 29 Erweiterter Modus 139 Firewall Regeln 115 symbolische Namen 65 Firewall aktivieren CP 1628 117 CP x43 1 Adv 117 SCALANCE S lt V3 0 137 SCALANCE S V3 134 Firewall Regels tze benutzerdefinierte 143 globale 59 Firewall Voreinstellung CP 1628 124 CP x43 Adv 118 SCALANCE S lt V3 0 128 Firmware aktualisieren 75 Firmware Ausgabestand 4 Flaches Netz 98 FTP 74 FTP FTPS 56 FTPS Zertifikate 83 Funktions bersicht Baugruppentypen 18 G Ger terechte 73 Getunnelte Kommunikation aktivieren CP x43 1 Adv 117 SCALANCE S lt V3 0 137 SCALANCE S V3 134 Ghost Modus 98 Gigabit Adresse 86 Globale Firewall Regeln 140 zuweisen 142 284 Globale Firewall Regels tze 161 Globale Paketfilter Regeln 142 Glossar 7 Gruppeneigenschaften 210 Gruppennamen 158 164 Gruppenzuord
239. n ebenfalls aktiviert sein Dateisystem schreiben ebenfalls aktiviert sein kkkk 74 Um die Funktion anzuwenden muss das Baugruppenrecht Web Auf Web Diagnose Um die Funktion anzuwenden muss das Baugruppenrecht FTP Dateien vom CP Um die Funktion anzuwenden muss das Baugruppenrecht FTP Dateien auf das CP Um die Funktion anzuwenden muss das Projektierungsrecht Security diagnostizieren ebenfalls aktiviert sein Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten Tabelle 2 6 Baugruppenrechte CP 1628 Recht innerhalb des Dienstes administrator standard diagnostics Dienst SNMP MIB Il lesen x x x SNMP SNMP MIB Il schreiben x SNMP Automation MIB lesen x x x SNMP SNMPv2 MIB lesen x x x SCT Diagnose der Security Baugruppe durchf hren x x x Sicherheit x Recht ist aktiviert Recht ist deaktiviert Tabelle 2 7 Baugruppenrechte SCALANCE S 2 V3 0 Recht innerhalb des Dienstes administrator standard diagnostics Dienst SNMP MIB II lesen x x x SNMP SNMP MIB Il schreiben x x SNMP Automation MIB lesen x x SNMP SNMPVv2 MIB lesen x x SNMP MRP MIB lesen x x SNMP MRP MIB schreiben LIE 2 x SCT Diagnose der Security Baugruppe durchf hren x x x Sicherheit Laden der Konfigurationsdateien x x Web Firmware aktualisieren x x Wart
240. n werden hender Pakete geloggt Aufzeichnen blockierter ausge Alle ausgehenden MAC Pakete die verworfen wurden werden hender Pakete geloggt Security Grundlagen und Anwendung 138 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 4 3 Firewall projektieren 4 3 Firewall im Erweiterten Modus Firewall im Erweiterten Modus Im Erweiterten Modus gibt es erweiterte Einstellm glichkeiten die eine individuelle Einstellung der Firewall Regeln und der Sicherheitsfunktionalit t zulassen In den Erweiterten Modus umschalten Schalten Sie f r alle in diesem Kapitel beschriebenen Funktionen in den Erweiterten Modus um Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Schlie en Sie das Projekt ohne zu speichern und ffnen Sie es erneut Symbolische Namen werden unterst tzt 4 3 1 Bedeutung Sie k nnen in den nachfolgend beschriebenen Funktionen IP Adressen oder MAC Adressen auch als symbolische Namen eingeben F r weitere Informationen zu symbolischen Namen siehe Kapitel e Symbolische Namen f r IP MAC Adressen vergeben Seite 64 Firewall im Erweiterten Modus projektieren Im Gegensatz zur Projektierung fest vorgegebener Pakeffilter Regeln im Standard Modus k nnen Sie im Erweiterten Mo
241. n Hersteller steht Hinweis Die ausgeleitete Konfigurationsdatei stellt lediglich eine Hilfe zur Konfiguration der VPN Verbindung dar ist aber keine Garantie f r eine Kompatibilit t mit Produkten anderer Hersteller Firmwarerelease F r die SCALANCE S Baugruppen sowie f r den SOFTNET Security Client k nnen hier die Firmware Softwarest nde angegeben werden Name der Baugruppe Frei w hlbarer Name der Baugruppe MAC Adresse Eingabe der MAC Adresse der Baugruppe IP Adresse ext IP Adresse f r die externe Schnittstelle Die IP Adresse besteht aus 4 Dezimalzahlen aus dem Wertebe reich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 141 80 0 16 Subnetzmaske ext Wertebereich f r Subnetzmaske Wird entsprechend der einge gebenen IP Adresse vorgeschlagen Die Subnetzmaske besteht aus 4 Dezimalzahlen aus dem Wer tebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 255 255 0 0 Schnittstellenrouting Extern Intern IP Adresse int nur anzugeben wenn Routing Modus aktiviert Auswahl der Betriebsart f r die Security Baugruppe F r SCALANCE S stehen folgende Betriebsarten zur Verf gung e Bridge Modus e Routing Modus Wenn Sie den Routing Modus ausw hlen m ssen Sie eine IP Adresse und eine Subnetzmaske f r die interne Schnittstelle der Security Baugruppe projektieren IP Adresse f r die interne Schnittstelle Die IP Adre
242. n Regelliste zun chst unten eingef gt Die Priorit t kann durch Ver ndern der Platzierung in der Regelliste ver ndert werden e Regels tze eingeben ndern oder l schen Globale Firewall Regels tze sind in der lokalen Regelliste der Firewall Regeln bei den Baugruppeneigenschaften nicht editierbar Sie k nnen dort nur angezeigt und gem der gew nschten Priorit t platziert werden In der lokalen Regelliste kann eine einzelne Firewall Regel eines zugeordneten globalen Firewall Regelsatzes nicht gel scht werden Es kann nur der komplette Firewall Regelsatz aus der lokalen Regelliste entfernt werden Eine Anpassung des globalen Regelsatzes ist ber den Eigenschaftsdialog des globalen Regelsatzes jederzeit m glich Alle betroffenen Ger te dieser nderung m ssen danach neu geladen werden 4 3 2 2 Globale Firewall Regels tze anlegen und zuweisen So erreichen Sie diese Funktion 1 W hlen Sie im Navigationsbereich einen der folgenden Ordner Globale Firewall Regels tze gt Firewall IP Regels tze Globale Firewall Regels tze gt Firewall MAC Regels tze 2 W hlen Sie den Men befehl Einf gen gt Firewall Regelsatz 3 Geben Sie die folgenden Daten ein Name Projektweit eindeutige Bezeichnung des Regelsatzes Der Name erscheint nach der Zuweisung des Regelsatzes in der lokalen Regelliste der Security Baugruppe Beschreibung Geben Sie eine Beschreibung f r den globalen Regelsatz ein 4 Klicken Sie a
243. n Sie den Dialog Tunnel bersicht In der Tabelle werden die Security Baugruppen und internen Teilnehmer mit Statusinformationen zu den Tunnelverbindungen angezeigt Security Grundlagen und Anwendung 248 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten 7 Falls Knoten bzw Teilnehmer in der Tabelle nicht angezeigt werden setzen Sie ber die Kommandozeile ein Ping Kommando an den fehlenden Knoten ab Ergebnis Der Knoten wird von der Security Baugruppe gelernt und an den SOFTNET Security Client weitergegeben Wird er dennoch nicht gelernt sollten Sie den Knoten bzw Teilnehmer statisch im VPN Register konfigurieren Anmerkung Falls der Dialog nicht ge ffnet ist w hrend ein Teilnehmer erfasst wird wird der Dialog automatisch aufgeblendet Diese Funktion kann unter Optionen gt Einstellungen deaktiviert werden Hinweis Statisch konfigurierte Teilnehmer und Subnetze Wenn Sie Teilnehmer oder Subnetze nachtr glich statisch konfigurieren m ssen Sie auch die Konfiguration f r einen in der VPN Gruppe genutzten SOFTNET Security Client neu laden 8 Aktivieren Sie die Teilnehmer bei denen noch keine Tunnelverbindung aufgebaut ist Nach erfolgreichem Verbindungsaufbau starten Sie die Applikation die eine Kommunikationsverbindung zu einem der Teilnehmer aufbauen soll z B STEP 7 Hinweis Wenn auf dem PG PC mehrere Netzwerkadapter vorhan
244. n der Liste explizit zugelassenen Telegrammen sind gesperrt e Bei Regeln f r die Kommunikation in und aus Richtung IPsec Tunnel gilt alle Telegramme au er den in der Liste explizit gesperrten Telegrammen sind zugelassen Security Grundlagen und Anwendung 154 Projektierungshandbuch 12 2014 C79000 G68900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus Beispiel 3 Baugruppeneigenschaften Baugruppe4 b LEJ S Schnitstellen Frewall Intemetverbindung DNS Routing NAT NAPT Zetsynchronisierung Log Einstellungen VPN DHCP Server SNMP Proxy ARP MRP HRP RADIUS IP Regeln 3 MAC Regeln inaktiv 0 Standardregeln f r IP Dienste Aktion Von Nach Quell IP Adresse Ziel IP Adresse Dienst Bandbreite Mbits Logging Nr Stateful Kommentar Allow Intern Extern ServiceX1 IP R_1 N Allow Extern Intern 196 65 254 2 197 54 199 4 ServiceX2 IP R_2 E Drop Tunnel Intern ServiceX1 IP R_3 m 06 Abbrechen Obernehmen Hilfe Die dargestellten Pakeffilter Regeln bewirken folgendes Verhalten Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 155 Firewall projektieren 4 3 Firewall im Erweiterten Modus interne Knoten externe Knoten externe Security Baugruppen OOO Firewall Alle Telegrammtypen von intern nach extern sind standardm ig g
245. n externem Netz und DMZ des Handbuchs SIMATIC NET Industrial Ethernet Security Security einrichten Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 7 Einsatz der DMZ Schnittstelle von SCALANCE S623 und SCALANCE S627 2M Endpunkt f r VPN Tunnelverbindung Die DMZ Schnittstelle kann als Endpunkt eines VPN Tunnels genutzt werden In diesem Szenario ist die DMZ Schnittstelle ber ein angeschlossenes DSL Modem mit dem Internet verbunden und wird ber PPPoE betrieben Der VPN Tunnel erm glicht die sichere Kommunikation mit beispielsweise einer Automatisierungseinheit die an der internen Schnittstelle einer weiteren Security Baugruppe angeschlossen ist Industrial DSL Router Internet DSL Modem VPN Tunnel u m nn a re S7 300 Intern SCALANCE S612 SCALANCE S623 Intern PC Automatisierungszelle Bild 1 4 Endpunkt f r VPN Tunnelverbindung Eine exemplarische Konfiguration in welcher die DMZ Schnittstelle als Endpunkt eines VPN Tunnels genutzt wird wird im Kapitel 5 2 VPN Tunnel zwischen SCALANCE S623 und SCALANCE S612 des Handbuchs SIMATIC NET Industrial Ethernet Security Security einrichten durchgef hrt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 33 Einf hrung und Grundlagen 1 7 Einsatz der DMZ Schnittstelle von SCALANCE S623 und SCALANCE S627 2M Synchronisation
246. n finden Sie in folgendem Kapitel e Zertifikate verwalten Seite 83 6 4 Tunnelkonfiguration im Standard Modus Dialog zur Anzeige der Standardwerte ffnen 1 Markieren Sie die VPN Gruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Die Anzeige der VPN Gruppeneigenschaften ist identisch zur Anzeige im Erweiterten Modus jedoch k nnen Sie die Werte im Standard Modus nicht ver ndern Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 209 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus 6 5 Tunnelkonfiguration im Erweiterten Modus Der Erweiterte Modus bietet Ihnen Einstellm glichkeiten zur spezifischen Konfiguration der Tunnelkommunikation In den Erweiterten Modus umschalten Schalten Sie das Projekt f r alle in diesem Kapitel beschriebenen Funktionen in den Erweiterten Modus ein Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen Sie es erneut 6 5 1 VPN Gruppeneigenschaften projektieren VPN Gruppeneigenschaften Hinweis IPsec Kenntnisse erforderlich Um diese Parameter einstellen zu k nnen ben tigen Sie IPsec Kenntnisse Wenn
247. n zu den Dialogen und den einstellbaren Parametern gibt Ihnen auch die ei Online Hilfe Sie erreichen diese ber die F1 Taste oder ber die Schaltfl che Hilfe im jeweiligen SCT F1 Dialog Hinweis Leistungsmerkmale und Ger tetypen Beachten Sie bei dem von Ihnen verwendeten Ger tetyp welche Funktionen jeweils unterst tzt werden Siehe auch Online Funktionen Diagnose und Logging Seite 257 So erreichen Sie diese Funktion 1 Selektieren Sie im Navigationsbereich das Objekt Alle Baugruppen 2 W hlen Sie den Men befehl Einf gen gt Baugruppe 3 Nehmen Sie die folgenden Einstellungen vor Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 89 Baugruppen anlegen und Netzparameter einstellen Parameter Produkttyp Bedeutung Produkttyp der beim Anlegen einer neuen Baugruppe verwen det wird SCALANCE S SCALANCE M SOFTNET Konfiguration SOFTNET Security Client VPN Ger t NCP VPN Client Baugruppe Je nach Auswahl des Produkttyps k nnen Sie hier den Bau gruppentyp angeben der beim Anlegen einer neuen Baugruppe verwendet wird W hlen Sie die Option NCP VPN Client f r Android um ein VPN Client Ger t einzuf gen das stellvertretend f r ein Ger t mit installierter Software NCP Secure VPN Client for Android steht W hlen Sie die Option VPN Ger t um ein VPN Client Ger t einzuf gen welches stellvertretend f r ein Ger t von einem andere
248. nach Intern gilt beispielsweise Telegramme die an die externe IP Adresse der Security Baugruppe und an den Port gerichtet sind der in der Spalte Quell Port eingetragen ist werden an die angegebene Ziel IP Adresse im internen Netz sowie an den angegebenen Ziel Port weitergeleitet Die folgende Tabelle zeigt das Eingabeschema f r die Adressumsetzung mit NAPT Feld M gliche Eingaben Bedeutung Quell Port TCP UDP Port oder Portbereich Ein Teilnehmer im Quell Netz kann einem Teilnehmer im Ziel Beispiel f r die Eingabe eines Portberei Netz ein Telegramm senden indem er diese Portnummer ches 78 99 verwendet Ziel IP IP Adresse im Ziel Netz Telegramme die an die IP Adresse der Security Baugruppe im Adresse Quell Netz sowie an den im Feld Quell Port angegebenen Ziel Port TCP UDP Port Portnummer an die die vom Quell Netz kommenden Tele TCP UDP Port gerichtet sind werden an die hier angegebene IP Adresse weitergeleitet gramme weitergeleitet werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 181 Weitere Baugruppeneigenschaften projektieren 3 7 Security Baugruppe als Router Feld M gliche Eingaben Bedeutung Protokoll e TCP UDP Auswahl der Protokollfamilie f r die angegebenen Portnum e TCP mern e UDP Nr Von SCT vergebene fortlaufende Nummer die zur Bezug nahme auf die Firewall Regel verwendet wird welche von SCT f r die NAPT Re
249. nd zugelassen Hinweis Keine Kommunikation am VPN Tunnel vorbei Zus tzlich wird f r alle im Projekt bekannten VPN Partnern verhindert dass eine Kommunikation zwischen den VPN Endpunkten am Tunnel vorbei m glich ist Das Verhalten kann auch nicht durch das Anlegen von entsprechenden Firewall Regeln im Erweiterten Modus ge ndert werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 125 Firewall projektieren 4 1 CPs im Standard Modus 4 1 2 2 Firewall projektieren So erreichen Sie diese Funktion 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall Tabelle 4 5 Verf gbare Dienste und Richtungen Dienst Extern gt Station Extern gt Station Freigegebene Ports Bedeutung Erlaube IP x Der IP Verkehr f r die ausge Kommunikation w hlten Kommunikationsrich tungen wird zugelassen Erlaube S7 Protokoll x TCP Port 102 Kommunikation der Netzwerk teilnehmer ber das S7 Protokoll wird zugelassen Erlaube FTP FTPS expli x TCP Port 20 Zur Dateiverwaltung und Datei ziter Modus TCP Port 21 zugriff zwischen Server und Client Erlaube HTTP x TCP Port 80 Zur Kommunikation mit einem Webserver Erlaube HTTPS x TCP Port 443 Zur gesicherten Kommunikation mit einem Webserver z B zur Web Diagnose Erlaube DNS x TCP Port 53 Kommunikationsve
250. ndard Modus das Kontrollk stchen Ausschlie lich getunnelte Kommunikation aktiviert so ist ber die externe Schnittstelle oder ber die DMZ Schnittstelle nur verschl sselter IPsec Datentransfer zugelassen Lediglich der HTTPS Zugriff auf das Modul TCP Port 443 ist weiterhin ungetunnelt zugelassen Deaktivieren Sie das Kontrollk stchen dann sind die getunnelte Kommunikation und zus tzlich die in den anderen Auswahlboxen angew hlten Kommunikationsarten zugelassen Security Grundlagen und Anwendung 134 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Tabelle 4 7 Verf gbare Firewall Regeln und Richtungen IP Verkehr Firewall projektieren 4 2 SCALANCE S im Standard Modus Dienst Intern gt Extern gt Intern gt DMZ gt Von Von Freigege Bedeutung Extern Intern Intern Extern bene Ports i DMZ Intern ki Ane Erlaube IP x x x x IP Kommunikation Kommuni f r die ausgew hlten kation Kommunikationsrich tungen wird zugelas sen Erlaube S7 x x x x TCP Port Kommunikation der Protokoll 102 Netzwerkteilnehmer ber das S7 Protokoll wird zuge lassen Erlaube x x x x TCP Port Zur Dateiverwaltung FTP FTPS 20 und Dateizugriff expliziter TCP Port zwischen Server und Modus 21 Client Erlaube x x x x TCP Port Zur Kommunikation HTTP 80 mit einem Webser ver Erlaube x x x x TCP Port Zur gesicherten HTTPS 443 Kommunikation mit einem Webserver z B zur Web Diagnose
251. ndlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Index cer 221 242 dat 242 p12 87 221 242 3 3DES 212 A Administrator 70 Adressband 157 Adresse des Netz bergangs 274 Adressparameter 92 Advanced Encryption Standard AES 212 AES 198 212 Aggressive Mode 211 Aktive Teilnehmer 213 Applet 74 ARP 203 ARP Proxy 199 Audit Ereignisse 262 Authentifizierung 68 Authentifizierungsverfahren 203 210 Autocrossing 101 Automatische Firewall Regeln 146 Autonegotiation 101 B Bandbreite 152 162 Baugruppeneigenschaften 89 Bedeutung der Symbole 5 Benutzer einrichten 69 Rollen anlegen 70 Rollen zuweisen 73 Benutzerdefinierte Rollen 71 Benutzername 69 Benutzerrechte 73 Benutzerspezifische Firewall Regeln 143 Remote Access Benutzer 70 Timeout Parameter 146 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 Benutzerspezifische IP Regels tze 144 Benutzerverwaltung 59 67 Bridge Modus 98 Broadcast 175 C CA Gruppenzertifikat 87 CA Gruppenzertifikat erneuern 213 CA Zertifikat 83 86 87 Certificate Authority 83 CHAP 103 CP 1628 Aufgabe 39 CP x43 1 Adv Aufgabe 36 C PLUG 41 63 D Data Encryption Standard DES 212 Datenspionage 28 DCP 138 DCP Primary Setup Tool 166 Dead Peer Detection DPD 216 DES 198 212 DHCP Server 137 Server Konfiguration 188 symbolische Name
252. nehmer be schr nkt werden 255 255 255 255 255 259 255 0 Router IP Adresse IP Adresse FODN des Routers ber den das Sub netz erreicht wird Die IP Adresse des Routers muss im gleichen Subnetz liegen wie die IP Adresse der Security Baugruppe 192 168 10 2 my router dyndns org Rerouting aktivieren nur f r SCALANCE S V3 V4 Baugrup pen Aktivieren Sie dieses Kontrollk stchen wenn die Tele gramme der eingegebenen Route an derselben Schnittstelle der Security Baugruppe ein und ausge hen sollen Rerouting Rerouting wird nur an der inter nen Schnittstelle der Security Baugruppe unterst tzt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router Besonderheiten beim Standard Router e Ist im Register Schnittstellen die IP Zuweisung ber PPPoE konfiguriert wird ein projektierter Standard Router ignoriert da die Standard Route automatisch immer ber die PPPoE Schnittstelle f hrt e Ist im Register Schnittstellen die Adresszuweisung ber Statische Adresse konfiguriert und ist die Security Baugruppe ber einen DSL NAPT Router am Internet angeschlossen muss der DSL Router als Standard Router eingetragen werden e F r Security Baugruppen im Ghost Modus nur SCALANCE S602 gt V3 1 sind keine Standard Router projektierbar da diese zur Laufzeit ermittelt werden
253. nfragen f r Hosts zu beantworten Die Hosts befinden sich dabei in durch Router getrennten Netzen verwenden jedoch den gleichen IP Adressenbereich Sendet PC1 eine ARP Anforderung an PC2 bekommt er von der dazwischen liegenden Security Baugruppe und nicht von PC2 eine ARP Antwort und die Hardwareadresse der Schnittstelle MAC Adresse des Ports der Security Baugruppe auf der die Anfrage empfangen wurde Der anfragende PC1 sendet dann seine Daten an die Security Baugruppe die sie dann an PC2 weiterleitet So erreichen Sie diese Funktion Diese Funktion ist nur f r die interne Schnittstelle einer Security Baugruppe verf gbar die Teilnehmer einer VPN Gruppe ist und sich im Bridge Modus befindet Zus tzlich muss sich das Projekt im Erweiterten Modus befinden 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Proxy ARP 3 Wenn die Security Baugruppe eine ARP Anfrage aus dem eigenen LAN stellvertretend f r den spezifischen Verbindungspartner beantworten soll tragen Sie die entsprechende IP Adresse ein Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G68900 C286 04 199 Weitere Baugruppeneigenschaften projektieren 5 5 Proxy ARP Security Grundlagen und Anwendung 200 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec 6 Tunnel Der In diesem Kapitel erfahren Sie
254. ng Das Register DHCP Server wird nur angezeigt wenn sich das Projekt im Erweiterten Modus befindet Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen Sie es erneut So erreichen Sie diese Funktion 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register DHCP Server u Y DHCP aktmieren Eratelurgen ts Schnistehe re Autache Adrensmuordnunger MaC Airesse Cered y YO 13 09 0406 Schritstellen Firewall Intemetwertindung DNS Routing NAT NAPT Zetsynchronsierung Log Einstellungen VPN DHCP Server SNMP PragnARP MRP HRP RADIUS 3 Aktivieren Sie das Kontrollk stchen DHCP aktivieren 190 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 2 Security Baugruppe als DHCP Server 4 W hlen Sie aus f r welche Schnittstelle die DHCP Einstellungen vorgenommen werden sollen 5 Nehmen Sie die Adresszuordnung vor Sie haben die beiden folgenden M glichkeiten zur Konfiguration e Statische Adresszuordnungen Ger ten mit einer bestimmten MAC Adress
255. ng in einer Log Datei speichern und diese im Offline Modus ffnen W hlen Sie hierzu den Men befehl Optionen gt Log Dateien und selektieren Sie ber die Schaltfl che ffnen die zu ffnende Log Datei Weitere Informationen finden Sie in folgendem Kapitel e Funktions bersicht Online Dialog Seite 259 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 257 Online Funktionen Diagnose und Logging Diagnose im Ghost Modus Nach dem Bezug einer IP Adresse vom internen Teilnehmer besitzt die Security Baugruppe an der externen Schnittstelle eine IP Adresse die von derjenigen IP Adresse abweichen kann mit welcher die Security Baugruppe initial projektiert wurde Bevor Sie eine Diagnose ber die externe Schnittstelle durchf hren k nnen m ssen Sie im Security Configuration Tool f r die externe Schnittstelle die initial projektierte IP Adresse durch diejenige ersetzen die die Security Baugruppe zur Laufzeit vom internen Teilnehmer bezogen hat Exportierte Log Dateien vor unberechtigtem Zugriff sch tzen Aus dem Security Configuration Tool exportierte Log Dateien k nnen sicherheitsrelevante Informationen enthalten Stellen Sie deshalb sicher dass diese Dateien vor unberechtigtem Zugriff gesch tzt sind Dies ist insbesondere bei der Weitergabe der Dateien zu beachten Security Grundlagen und Anwendung 258 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Online Funktionen
256. ngsverfahren aus Authentifizierungsalgorithmus keine MD5 SHA 1 Verschl sselungsalgorithmus keine AES 128 DES Hinweis Verwendung von DES vermeiden Bei DES handelt es sich um einen unsicheren Verschl sselungsalgorithmus Er sollte deshalb nur aus Gr nden der Abw rtskompatibilit t verwendet werden Hinweis Bei der Verwendung von SNMPV3 ist keine RADIUS Authentifizierung m glich 5 Konfigurieren Sie im Bereich Erweiterte Einstellungen baugruppenspezifische Angaben zu Autor Ort und E Mail Adresse welche die Angaben aus den Projekteigenschaften berschreiben Wenn Sie das Kontrollk stchen Durch SNMP Set geschriebene Werte beibehalten aktivieren werden Werte die durch ein SNMP Werkzeug ber einen SNMP SET Befehl auf die Security Baugruppe geschrieben wurden durch das erneute Laden einer SCT Konfiguration auf die Security Baugruppe nicht berschrieben Wenn SNMPVv3 verwendet werden soll weisen Sie einem Benutzer eine Rolle zu bei der die entsprechenden SNMP Rechte aktiviert sind damit er die Security Baugruppe ber SNMP erreichen kann F r n here Informationen zur Konfiguration von Benutzern Rechten und Rollen siehe folgendes Kapitel Benutzer verwalten Seite 67 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 5 5 bersicht Weitere Baugruppeneigenschaften projektieren 5 5 Proxy ARP Proxy ARP Proxy ARP erm glicht Routern ARP A
257. nittstelle der Redundanzbeziehung Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 235 Router und Firewallredundanz 7 3 Redundanzbeziehungen konfigurieren Kommentar Konfigurierbarer Parameter Bedeutung Optionaler Kommentar Virtuelle Router ID nur f r SCALANCE S623 S627 2M ab ber eine virtuelle Router ID wird die virtuelle MAC Firmware V4 0 1 Adresse einer virtuellen Schnittstelle festgelegt F r generelle Informationen zur Projektierung von Netzparametern siehe folgendes Kapitel Baugruppen anlegen und Netzparameter einstellen Seite 89 Firewall projektieren Die Projektierung von IP Paketfilterregeln f r Redundanzbeziehungen erfolgt nach dem gleichen Schema wie die Projektierung von IP Paketfilterregeln f r einzelne Security Baugruppen Zur Verf gung stehen die Kommunikationsrichtungen Von Extern nach Intern und Von Intern nach Extern F r generelle Informationen zur Projektierung von IP Paketfilterregeln im Erweiterten Modus siehe folgende Kapitel IP Paketfilter Regeln Seite 151 Adressumsetzung mit NAT NAPT projektieren Die Projektierung von Adressumsetzung mit NAT NAPT f r die Redundanzbeziehung erfolgt nach dem gleichen Schema wie die Projektierung von Adressumsetzung mit NAT NAPT f r einzelne Security Baugruppen F r Redundanzbeziehungen kann ausschlie lich Source NAT und NAPT projektiert werden Bei Source NAT k nnen Quell
258. nline Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Projektierung des Logging im Erweiterten Modus Die Aktivierung des Logging ist f r beide Regeltypen IP oder MAC und alle Regeln identisch Um Datenpakete bestimmter Paketfilter Regeln aufzuzeichnen setzen Sie im Register Firewall in der Spalte Logging einen Auswahlhaken Security Grundlagen und Anwendung 270 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Online Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 271 Anhang A 1 A DNS Konformit t DNS Konformit t gem RFC1035 beinhaltet folgende Regeln A 2 e Beschr nkung auf 255 Zeichen insgesamt Buchstaben Ziffern Bindestrich oder Punkt e der Name muss mit einem Buchstaben beginnen e der Name darf nur mit einem Buchstaben oder einer Ziffer enden e ein Namensbestandteil innerhalb des Namens d h eine Zeichenkette zwischen zwei Punkten darf max 63 Zeichen lang sein e keine Sonderzeichen wie Umlaute Klammern Unterstrich Schr gstrich Blank etc Wertebereiche IP Adresse Subnetzmaske und Adresse des Netz bergangs Wertebereich f r IP Adresse Die IP Adresse besteht aus 4 Dezimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 141 80 0 16 Wertebereich f r Subnetzmaske Die Subnetzmaske besteht aus 4 De
259. nne nren anne nenne aa nnd 126 4 2 SCALANCE S im Standard Modus u424424444444000nnnnennnnnnnenennnnennnnnnnanennnne nennen 128 4 2 1 Voreinstellung der Firewall ies aissi eee erae Ta E ler ein 128 4 2 2 Firewall projektieren f r SCALANCE S 2 V3 0 nueessnseensssnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 134 4 2 3 Firewall projektieren f r SCALANCE S lt V3 0 uuusssnsennnssnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn nn 137 4 3 Firewall im Erweiterten ModuS ssnnsensenossnnnnensseensnnnnrrssrertttnntnssterttnnnnnestentnnnnnnesennn nenene 139 4 3 1 Firewall im Erweiterten Modus projektieren sssssseninenssessrtnrrenssettttnnnnnrsrttnnnnnnesennn nennen 139 4 3 2 Globale Firewall Regels tze 444400ssssnnnnennnnnnennnnennnnnnnenennnnnnnnnnnnnennnnnnn nenne 140 4 3 2 1 Globale Firewall Regels tze Vereinbarungen 242444444400n0nnnnennnnnnnenennnnennnnne nn 142 4 3 2 2 Globale Firewall Regels tze anlegen und zuweisen 4444s0nennnnennnnnnnenennnnennnnnen 142 4 3 3 Benutzerspezifische IP Regels tze 444000nsnnsnnnnnnnnnnennnnnnnnnnnnnnennnnnnnnnnennen nn 143 4 3 3 1 Benutzerspezifische IP Regels tze anlegen und zuweisen 44440sennneennennennenennn 144 4 3 4 Verbindungsbezogene automatische Firewall Regeln usrsnsnsnnnnnnnnnnnnnnnnnnnnnnnnen 146 4 3 5 Lokale IP Paketfilter Regeln einstellen
260. nnnnennnnnnnnnnennnnennnnnnn nn 220 6 7 Konfigurationsdaten f r VPN Ger te uussnnnsnnnnnnnnnnnnnennnnnnennnnnnnnnnnnnnennnnnnnnnn nn 223 6 8 Konfigurationsdaten f r NCP VPN Clients Android 44 serss se ennennnnenennenn nn 225 6 9 Interne Netzknoten konfigurieren 24444444444Hnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nen nn nenn 227 6 9 1 Weitere Teilnehmer und Subnetze f r den VPN Tunnel konfigurieren 228 6 9 2 Arbeitsweise des Lernmodus 42444444440404044Hnnnnnnnennannnnnnnnnnsnennnnnnnennnnnnannnnnnnnn nenn 229 6 9 3 Anzeige der gefundenen internen Netzknoten 2444nnnennnnnnnnennnnnnnnnnnnnnnennnnnnn nn 232 7 Router und Firewallredundanz uuursz444444444000RRnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnn 233 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 11 Inhaltsverzeichnis 7 1 bersicht ans anime 233 72 Redundanzbeziehungen anlegen und Security Baugruppen zuordnen s 234 7 3 Redundanzbeziehungen konfigurieren use2s444unssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 235 8 SOFTNET Security Client 2 22 2 22320202 sarah akuten eher kan eana aE EAO NEE Eea eaea Ea ENEE O SEAE EERSTE ren 237 8 1 Einsatz des SOFTNET Security Client u 44400sssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 237 8 2 Installation
261. nternem Netz bzw DMZ Netz und Security Baugruppe Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 131 Firewall projektieren 4 2 SCALANCE S im Standard Modus Alle Telegramme von intern ins DMZ Netz sind geblockt Alle Telegramme von intern nach Tunnel auf DMZ Schnittstelle und umgekehrt sind zuge lassen Alle Telegramme vom DMZ Netz nach intern sind geblockt Alle Telegramme vom DMZ Netz nach Tunnel auf DMZ Schnittstelle und umgekehrt sind geblockt amp Telegramme vom DMZ Netz Knoten im DMZ Netz und Security Baugruppen im DMZ Netz an die Security Baugruppe sind vom folgenden Typ zugelassen e HTTPS SSL e ESP Protokoll Verschl sselung e IKE Protokoll zum Aufbau der IPSec Tunnel e NAT Traversal Protokoll zum Aufbau der IPsec Tunnel Security Grundlagen und Anwendung 132 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 2 SCALANCE S im Standard Modus Security Baugruppe i intern y JIPE externe Knoten externe Security Baugruppen IPsec Tunnei Y Firewall Firewall Firewall 1 Knoten im DMZ Netz IPsec Tunnel J Security Baugruppen im DMZ Netz Bild 4 8 Standardeinstellung f r IP Paketfilter SCALANCE S623 S627 2M Verkehr zwischen DMZ Netz und externem Netz Alle Telegramme von extern ins DMZ Netz sind geblockt Alle Telegramme von extern nach Tunne
262. nternetverbindung So erreichen Sie diese Funktion Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Internetverbindung Bedeutung Wenn f r eine der Schnittstellen der Security Baugruppe eine Verbindung ber PPPoE eingestellt ist nehmen Sie in diesem Register Einstellungen zum Internet Service Provider ISP vor Tabelle 3 3 Einstellungen zum ISP Account Funktion Beschreibung Benutzername Geben Sie den Namen zur Anmeldung beim ISP Account ein Passwort Geben Sie das Passwort zur Anmeldung beim ISP Account ein Passwort wiederholen Geben Sie das Passwort zur Anmeldung beim ISP Account erneut ein Authentifizierung W hlen Sie keines oder eines der folgenden Authentifizierungs protokolle e PAP Password Authentication Protocol e CHAP Challenge Handshake Authentication Protocol Hinweis Beide Kommunikationspartner m ssen dasselbe Authentifizie rungsverfahren verwenden ansonsten kann keine Verbindung aufgebaut werden Tabelle 3 4 Regeln f r Benutzernamen und Passw rter Erlaubte Zeichen Erlaubt sind folgende Zeichen des Zeichensatzes ANSI X 3 4 1986 0123456789 A Z a Z EA E 5 lt gt N h L nge des Benutzernamens L nge des Passworts 1 255 Zeichen 1 31 Zeichen
263. nth lt wird der Status in der Statuszeile des SCT Fensters angezeigt Klicken Sie auf die Statuszeile um die Pr fliste anzuzeigen 2 4 7 Symbolische Namen f r IP MAC Adressen vergeben So erreichen Sie diese Funktion Men befehl Optionen gt Symbolische Namen Bedeutung und Vorteil In einem Security Projekt k nnen Sie stellvertretend f r IP und MAC Adressen symbolische Namen in einer Tabelle vergeben Die Projektierung der einzelnen Dienste kann dadurch einfacher und sicherer erfolgen Security Grundlagen und Anwendung 64 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Bei den folgenden Funktionen und deren Projektierung werden symbolische Namen innerhalb des Projekts ber cksichtigt e Firewall e NAT NAPT Router e Syslog e DHCP e NTP Bildung symbolischer Namen Symbolischen Namen muss sowohl bei der Definition als auch bei der Verwendung ein Raute Zeichen vorangestellt werden Die symbolischen Namen selbst m ssen DNS konform sein G ltigkeit und Eindeutigkeit Die G ltigkeit der in der Tabelle angegebenen symbolischen Namen ist auf die Projektierung innerhalb eines Security Projekts beschr nkt Innerhalb des Projekts muss jeder symbolische Name eindeutig einer einzigen IP Adresse und oder MAC Adresse zugeordnet werden Dialog zur Definition symbolischer Namen Um Inkonsistenzen zwischen einer Zuor
264. ntifizierung durch RADIUS Server Seite 78 Security Grundlagen und Anwendung 68 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten 2 5 2 Benutzer anlegen So erreichen Sie diese Funktion Men befehl SCT Optionen gt Benutzerverwaltung Register Benutzer Schaltfl che Hinzuf gen Men befehl STEP 7 Benutzer gt Start der Benutzerverwaltung Schaltfl che Ausf hren Zus tzlich kann die Benutzerverwaltung aus einzelnen Registern aufgerufen werden Parameter Bedeutung Benutzername Frei w hlbarer Benutzername Authentifizierungsmethode e Passwort Verwenden Sie diese Authentifizierungsmethode f r Be nutzer die das SCT Projekt bearbeiten und laden sowie die Securi ty Baugruppe diagnostizieren sollen Die Authentifizierung des Benutzers wird bei der Aktivierung benutzerspezifischer IP Regels tze durch die Security Baugruppe durchgef hrt e RADIUS Die Authentifizierung des Benutzers wird bei der Aktivierung benutzerspezifischer IP Regels tze durch einen RADIUS Server durchgef hrt Das Passwort des Benutzers wird bei dieser Authentifizierungsme thode nicht in SCT projektiert sondern Sie m ssen dieses auf dem RADIUS Server hinterlegen Verwenden Sie diese Authentifizie rungsmethode ausschlie lich f r Benutzer die sich lediglich auf der Webseite einer Security Baugruppe anmelden sollen Ein Benutzer mit der Authe
265. ntifizierungsmethode RADIUS kann sich nicht an SCT Projekten anmelden Passwort nur bei der Au Eingabe des Passworts f r den Benutzer Bei der Eingabe wird die thentifizierungsmethode Passwortst rke berpr ft N here Informationen zur Passwortst rke Passwort finden Sie in folgendem Kapitel Regeln f r Benutzernamen Rollen und Passw rter Seite 21 Passwort wiederholen nur Wiederholung des eingegebenen Passworts bei der Authentifizierungs methode Passwort Kommentar Zus tzliche Kommentareingabe Maximale Sitzungsdauer Eingabe der Zeitdauer nach welcher ein Benutzer der auf der Websei te f r benutzerspezifische IP Regels tze von SCALANCE S Baugrup S2V3 0 pen angemeldet ist automatisch abgemeldet wird Die hier angegebene Zeitdauer beginnt nach der Anmeldung sowie nach dem Erneuern der Sitzung auf der Webseite der Security Baugruppe e Standardeinstellung 30 Minuten e Mindestwert 5 Minuten e Maximalwert 480 Minuten Zugewiesene Rolle Je nach getroffener Zuordnung Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 69 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten Tabelle 2 1 Schaltfl chen im Register Benutzer Bezeichnung Bedeutung Auswirkung Bearbeiten Markieren Sie einen Eintrag und klicken Sie auf die Schaltfl che Im aufgeblendeten Dialog ndern Sie die oben aufgef hrten Einstellungen Hinzuf gen
266. nungen 59 H Halbduplex 97 HTTP 158 ICMP 149 ICMP Dienste 159 IEEE 802 3 29 115 IKE 118 124 IKE Einstellungen 210 Inhaltsbereich 92 Installation SCALANCE S 45 Interne Netzknoten CP x43 1 Adv 38 konfigurieren 227 SCALANCE 602 27 SCALANCE S612 S623 S627 2M 30 Internet Key Exchange IKE 211 IP Access Control Liste 74 IP Adresse 156 273 IP Blacklist 259 IP Dienste 158 IP Kommunikation mit S7 Protokoll 137 vom internen ins externe Netz 137 IP Pakeffilter lokal 150 IP Paketfilter Regeln 151 CP 1628 153 CP x43 1 Adv 153 SCALANCE S 153 IP Protokoll 139 IP Regels tze 140 benutzerspezifische 143 IPsec Einstellungen 210 IPsec Tunnel 201 IP Zugriffsschutz 56 ISAKMP 217 ISO Protokoll 230 ISP Account 103 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 K Konsistenzpr fung 67 110 191 lokal 64 projektweit 64 L Layer 2 115 139 203 Layer 3 115 139 Layer 4 115 Lebensdauer von Zertifikaten 209 Leitungsdiagnose 262 265 269 Lernmodus 229 Linearer Speicher 262 LLDP 74 Logging 116 257 CP x43 1 Adv 117 Ereignisklassen 268 SCALANCE S lt V3 0 137 SCALANCE S V3 134 Lokale Firewall Regeln 116 140 Lokales Logging 257 262 264 Audit Ereignisse 264 Paketfilter Ereignisse 264 System Ereignisse 264 M M 800 3 222 MAC Adresse 274 MAC Dienste 164 MAC Paketfilter Regeln 160 162 MAC Protokol
267. nutzer in SCT das Benutzerecht Web IP Access Control Liste erweitern zuweisen Hinweis Ge ndertes Verhalten nach Migration e Nach der Migration wirkt der Zugriffsschutz nur noch an der externen Schnittstelle Damit der Zugriffsschutz auch an der internen Schnittstelle wirkt konfigurieren Sie im Erweiterten Modus von SCT die entsprechenden Firewall Regeln e Die Security Baugruppe antwortet auch auf ARP Anfragen von nicht freigegebenen IP Adressen Layer 2 e Wenn Sie eine IP Access Control Liste ohne Eintr ge migrieren wird die Firewall aktiviert und auf den CP kann von extern nicht mehr zugegriffen werden Damit der CP erreichbar ist konfigurieren Sie in SCT die entsprechenden Firewall Regeln So erreichen Sie diese Funktion 122 Men befehl SCT Markieren Sie die zu bearbeitende Security Baugruppe und w hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall Men befehl STEP 7 IP Zugriffsschutz gt Start der Firewall Konfiguration Schaltfl che Ausf hren Tabelle 4 3 Angaben Erweiterten Modus aktivie ren Parameter Bedeutung IP Adresse Zugelassene IP Adresse oder IP Adressbereich Rechte Je nach getroffener Zuordnung Rechte die f r die IP Adresse freige schaltet sind Kommentar Zus tzliche Kommentareingabe Logging Aktivieren Sie das Kontrollk stchen werden die Regeln im Pakettfilter Log aufgezeichnet Aktivieren Sie das Kontrollk st
268. nzelne Teilnehmer beschr nken Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sie k nnen eine einmal vorgenommene Umschaltung in den Erweiterten Modus f r das aktuelle Projekt nicht mehr r ckg ngig machen Abhilfe f r SCT Standalone Schlie en Sie das Projekt ohne zu speichern und ffnen Sie es erneut Tabelle 4 9 Verf gbare Dienste und Richtungen Regel Option Ausschlie lich getun nelte Kommunikation Freigegebene Ports Funktion Das ist die Standardeinstellung Die Option ist nur dann w hlbar wenn sich die Security Baugruppe in einer VPN Gruppe befindet Mit dieser Einstellung wird nur verschl sselter IPsec Datentransfer zuge lassen nur Knoten welche durch Security Baugruppen mit VPN Mechanismen gesch tzt werden k nnen miteinander kommunizieren Wenn diese Option abgew hlt ist dann ist die getunnelte Kommunikation und zus tzlich die in den anderen Auswahlboxen angew hlte Kommunika tionsart zugelassen Erlaube IP Kommunikation vom internen ins externe Netz Interne Knoten k nnen eine Kommunikationsverbindung zu Knoten im externen Netz initiieren Nur Antworttelegramme aus dem externen Netz werden ins interne Netz weitergeleitet Vom externen Netz aus kann keine Kommunikationsverbindung zu Knoten im internen Netz initiiert werden internen ins externe Netz Erlaube IP TCP Port 102 Interne Knoten k nnen eine S7 Kommunikationsverbindung zu Knot
269. og Server 62 257 265 System Ereignisse 268 Systemdefinierte Rolle administrator 70 diagnostics 70 remote access 70 standard 70 System Ereignisse 262 T TCP 149 158 Teilnehmer mit unbekannter IP Adresse 214 Tunnel 201 Tunnel Funktionalit t 201 U UDP 149 158 Uhrzeitf hrung konfigurieren 194 Umlaufspeicher 262 Unknown Peers 214 Unspezifizierte Verbindungen 55 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Unterst tzte Betriebssysteme SCALANCE S 45 SOFTNET Security Client 239 V Verbindungsregeln 147 Verschl sselung 45 63 VLAN Betrieb 204 VLAN Tagging 204 Vollduplex 97 Vordefinierte Firewall Regeln CP x43 1 Adv 117 117 SCALANCE S lt V3 0 137 SCALANCE S V3 134 VPN 24 201 baugruppenspezifische Eigenschaften 216 SOFTNET Security Client 237 VPN Ger t 90 Baugruppenzertifikat 224 VPN Gruppe 208 W WAN IP Adresse festlegen 217 Wertebereich f r IP Adresse 273 Z Zeitsynchronisierung 194 Zertifikat 84 204 austauschen 87 durch Zertifizierungsstelle signiert 86 erneuern 85 ersetzen 87 exportieren 83 importieren 83 selbst signiert 86 Zertifikatsmanager 84 Zertifizierungsstelle 84 Zugriffsschutz 41 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Index 287 Index Security Grundlagen und Anwendung 288 Projektierungshandbuch 12 2014 C79000 G8
270. ojektierte Symbole schreiben Variablen ber absolute Adressen zu lesen Applet Variablen ber absolute Adressen lesen Variablen ber absolute Adresse zu schreiben Applet Variablen ber absolute Adressen schreiben Mit FTP auf Dateien in der S7 Station zugreifen FTP Dateien DBs von der S7 CPU lesen FTP Dateien DBs in die S7 CPU schrei ben Service SPS FTP Dateien vom CP Dateisystem lesen FTP Dateien auf das CP Dateisystem schreiben Web CP Dateisystem formatieren Dateisystem zufragen Die Bestellnummer von Baugrup pen abzufragen lesen Applet Bestellnummer der Baugruppen im Rack lesen Eine Testmail ber die Systemsei Web Auf Web Diagnose und CP Web te zu versenden Dateisystem zugreifen Web Testmail versenden Den Status von Baugruppen ab Applet Status der Baugruppen im Rack SPS Zeitsynchronisierung Seite 193 Zugriffsliste projektieren Seite 121 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten 2 4 4 bersicht Allgemeine Inhalte Sowohl in der Standalone Version des Security Configuration Tools als auch in der in STEP 7 integrierten Version werden Sie beim Anlegen eines neuen Projektes aufgefordert einen Benutzernamen und ein Passwort zu vergeben Der Benutzer den Sie hier anlegen ist vom Typ ad
271. ol generieren Mit den generierten Dateien k nnen Sie dann das VPN Ger t konfigurieren Folgende Dateien werden erzeugt e Exportdatei mit den Konfigurationsdaten Dateityp txt Datei im ASCII Format Enth lt die exportierten Konfigurationsinformationen f r das VPN Ger t einschlie lich einer Information ber die zus tzlich erzeugten Zertifikate I VPN Gerset deu Editor keko Datei Bearbeiten Formet Ansicht Informationen f r die Konfiguration eines anderen VPN f higen Produktes Modul verbindung zwischen Modul und modul Phase gt IP A gt Partners 192 168 10 1 gt Dies iguriert als Initiator und Responder das VPN Ger t muss sowohl die verbindung initiieren als auch auf die verbindung warten gt Authent isie ihren Certificate gt Faen ir Ai j gt gt DH G Group gt Lebensdauer 150000000 gt NAT T on off gt Zertifikat des VPN Partners Konf iguration 1 Gruppel Modul1 crt gt Zertifikate des moduls gt PEM Format Konf iguration 1 UBBE8I9CIAGA9B3 Modul gt PKCSI2 Format mit privatem schl ssel Konfiguratien A U6BES29C90Ga963 Mmodu12 p12 Phase 2 gt Freigegebene lokale Netzadresse 2 168 9 0 gt Freigegebene Netzadresse der el gt Fr Geirr s Subnetz der Geg engcelle 253 255 255 ung 3DES 168 ard secr ey PFS nein dauer Typ Time 172800 Bild 6 1 Exportdatei f r ein VPN Ger t VPN Gruppen Zertifikate des VPN Ger ts VPN Grupp
272. olische Namen werden unterst tzt Sie k nnen in der hier beschriebenen Funktion die IP oder MAC Adressen auch als symbolische Namen eingeben Konsistenzpr fung diese Regeln m ssen Sie beachten Ber cksichtigen Sie bei Ihrer Eingabe die nachfolgend aufgef hrten Regeln e Die in der Adressliste im Eingabebereich Statische Adresszuordnungen zugewiesenen IP Adressen d rfen nicht im Bereich der dynamischen IP Adressen liegen e Symbolische Namen m ssen eine numerische Adresszuordnung besitzen Wenn Sie symbolische Namen hier neu vergeben m ssen Sie noch die Adresszuordnung im Dialog Symbolische Namen vornehmen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 191 Weitere Baugruppeneigenschaften projektieren 5 2 Security Baugruppe als DHCP Server e IP Adressen MAC Adressen und Client IDs d rfen im Eingabebereich Statische Adresszuordnungen nur einmal vorkommen bezogen auf die Security Baugruppe e Sie m ssen bei den statisch zugewiesenen IP Adressen entweder die MAC Adresse oder die Client ID Rechnername angeben e Die Client ID ist eine Zeichenfolge mit maximal 63 Zeichen Es d rfen nur die folgenden Zeichen verwendet werden a z A Z 0 9 und Bindestrich Hinweis Bei SIMATIC S7 kann den Ger ten an der Ethernet Schnittstelle f r den Bezug einer IP Adresse ber DHCP eine Client ID zugewiesen werden Bei PCs ist die Vorgehensweise abh ngig vom verwendeten Betriebs
273. ommunizieren verschl sselt und damit sicher zu diesem CP fa fa Tunnel zu CP443 1 Advanced ist deaktiviert Es ist keine IP Sicherheitsrichtlinie im Sys tem eingerichtet Sie kommunizieren unverschl sselt zu diesem CP Tunnel zu CP443 1 Advanced ist aktiviert Es ist eine IP Sicherheitsrichtlinie im System eingerichtet Sie kommunizieren verschl sselt und damit sicher zu diesem CP Tunnel zu CP1628 ist deaktiviert Es ist keine IP Sicherheitsrichtlinie im System eingerich tet Sie kommunizieren unverschl sselt zu diesem CP da rig Tunnel zu CP1628 ist aktiviert Es ist eine IP Sicherheitsrichtlinie im System eingerichtet Sie kommunizieren verschl sselt und damit sicher zu diesem CP Tunnel zu internem Subnetz ist deaktiviert Es ist keine IP Sicherheitsrichtlinie im System eingerichtet Sie kommunizieren unverschl sselt zu diesem Subnetz Tunnel zu internem Subnetz ist aktiviert Es ist eine IP Sicherheitsrichtlinie im System eingerichtet Sie kommunizieren verschl sselt und damit sicher zu diesem Subnetz Baugruppe Teilnehmer ist nicht erreichbar Baugruppe Teilnehmer ist erreichbar Tunnel zu Baugruppe Teilnehmer ist jedoch deak tiviert Es ist keine IP Sicherheitsrichtlinie im System eingerichtet Sie kommunizieren unverschl sselt zu dieser Baugruppe zu diesem Teilnehmer Baugruppe Teilnehmer ist erreichbar Tunnel zu Baugruppe Teilnehmer ist aktiviert O Erreichbarkeitstes
274. on einem RADIUS Server durchgef hrt 1216811 https 192 168 1 1 Portal Portal mwsi MainSelection USFW amp C k e SCALANCE Willkommen zur SCALANCE S benutzerspezifischen Firewall Bitte melden Sie sich an Name Passwort Login Wertebereiche f r maximale Sitzungsdauer Die Zeitdauer nach deren Ablauf der Benutzer automatisch abgemeldet wird kann beim Anlegen oder Bearbeiten eines Benutzers festgelegt werden und betr gt standardm ig 30 Minuten Die Sitzungsdauer kann auf der Webseite der Security Baugruppe auf den dem Benutzer zugewiesenen Wert verl ngert werden Weitere Informationen zum Anlegen von Benutzern erhalten Sie in folgendem Kapitel Benutzer verwalten Seite 67 4 3 4 Verbindungsbezogene automatische Firewall Regeln Automatisch angelegte Firewall Regeln in SCT F r folgenden Anwendungsfall werden automatisch Firewall Regeln angelegt e In STEP 7 projektierte Verbindungen Security Grundlagen und Anwendung 146 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus Firewall Regeln f r projektierte Verbindungen Sind in STEP 7 Verbindungen angelegt werden f r diese in SCT automatisch Firewall Regeln erstellt Dazu findet ein Systemabgleich zwischen STEP 7 und SCT statt bei dem alle projektierten Verbindungen im Projekt berpr ft werden Automatisch abgeglichen werden f r jeden Kommunikationspartner die IP Adresse MAC Adress
275. onen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Anzeige des Aufzeichnungszustands Der aktuelle Aufzeichnungszustand ergibt sich aus der geladenen Konfiguration oder aus der Umkonfiguration im Online Dialog M gliche Puffer Einstellungen sind Umlaufspeicher oder Linearer Speicher Welche Einstellung gerade aktiv ist k nnen Sie folgenderma en ermitteln 1 Wechseln Sie ber den Men befehl Ansicht gt Online die Betriebsart 2 Markieren Sie die zu bearbeitende Security Baugruppe 3 W hlen Sie den Men befehl Bearbeiten gt Online Diagnose Sobald Sie eines der Register f r Log Funktionen ffnen sehen Sie im unteren Bereich des Registers den aktuellen Zustand der Puffer Einstellung der gew hlten Security Baugruppe Online Einstellungen werden nicht in der Konfiguration gespeichert Einstellungen die Sie in der Online Betriebsart vornehmen z B Puffer Einstellungen bei Log Funktionen werden nicht in der Konfiguration auf der Security Baugruppe gespeichert Nach einem Baugruppen Neuanlauf sind deshalb immer die Einstellungen aus der Offline Konfiguration wirksam 9 2 Ereignisse aufzeichnen Logging bersicht Ereignisse auf der Security Baugruppe k nnen aufgezeichnet werden Die Aufzeichnung erfolgt je nach Ereignistyp in fl chtige oder dauerhafte lokale Pufferbereiche Alternativ kann auch eine Aufzeichnung in einem Netzwerk Server erfolgen Konfiguration im Standard Modus und im Erweiter
276. onfiguration BaugruppeS ini Editor lalak Datei Bearbeiten Format Ansicht PROFILE1 Name Prof le 1 Gruppel Baugruppe3 Connmedia 8 Gateway 192 168 10 3 usepreShkey 0 Pkiconfig Certificate Gruppel Baugruppes IkeIdType 9 IkeIdstr UBEFIEF79 GI195 IkeLTSec 999 23 59 00 IPpsecLTType 1 IpsecLTSec 002 00 00 00 IKE Policy IKEPolicy Gruppel Baugruppe5 Baugruppe3 Ipsec Policy IPSECPolicy Gruppel Baugruppe5 Baugruppe3 USEXAUTH 0 Exchmode 2 Network1 192 168 9 0 subMask1 255 255 255 0 IKEPOLICY1 IkeName IKEP0licy Gruppel Baugruppe5 Baugruppe3 Ikeauth 3 een IkeHash 2 Ikeohsroup 2 IPSECPOLICY1 Ipsechame IPSECPolicy Gruppel Baugruppe5 Baugruppe3 TERETI 2 IPsecauth 2 CONFLOCKS1 CERTIFICATEL Certname Certificate Gruppel Baugruppe5 CertType 2 certp12Fi le C SCT Konfiguration Konfiguration UBEFIEF79 G9195 Baugruppe p12 Certpinquest 1 Bild 6 2 Export Datei f r einen NCP VPN Client Android Hinweis Konfigurationsdateien werden nicht an den NCP VPN Client Android bertragen Es wird eine ASCII Datei generiert mit der Sie den NCP VPN Client Android konfigurieren k nnen Dazu muss sich der NCP VPN Client Android in mindestens einer VPN Gruppe mit einer Security Baugruppe befinden Konfigurationsdateien generieren 1 Markieren Sie im Inhaltbereich den zu bearbeitenden NCP VPN Client Android 2 W hlen Sie den Men befehl bertragen gt An Baugruppe n 3 Geben
277. orhanden die nicht angezeigt werden Doppelklicken Sie auf das Symbol um weitere Teilnehmer anzuzeigen Tunnel zu Teilnehmer ist deaktiviert Es ist keine IP Sicherheitsrichtlinie im System einge richtet Sie kommunizieren unverschl sselt zu diesem Teilnehmer Tunnel zu Teilnehmer ist aktiviert Es ist eine IP Sicherheitsrichtlinie im System eingerich tet Sie kommunizieren verschl sselt und damit sicher zu diesem Teilnehmer Tunnel zu SCALANCE S Baugruppe ist deaktiviert Es ist keine IP Sicherheitsrichtlinie im System eingerichtet Sie kommunizieren unverschl sselt zu dieser Security Baugruppe Tunnel zu SCALANCE S Baugruppe ist aktiviert Es ist eine IP Sicherheitsrichtlinie im System eingerichtet Sie kommunizieren verschl sselt und damit sicher zu dieser Securi ty Baugruppe Tunnel zu SCALANCE M Baugruppe ist deaktiviert Es ist keine IP Sicherheitsrichtlinie im System eingerichtet Sie kommunizieren unverschl sselt zu dieser Security Baugruppe fal Tunnel zu SCALANCE M Baugruppe ist aktiviert Es ist eine IP Sicherheitsrichtlinie im System eingerichtet Sie kommunizieren verschl sselt und damit sicher zu dieser Securi ty Baugruppe Ta Tunnel zu CP343 1 Advanced ist deaktiviert Es ist keine IP Sicherheitsrichtlinie im Sys tem eingerichtet Sie kommunizieren unverschl sselt zu diesem CP Ha Tunnel zu CP343 1 Advanced ist aktiviert Es ist eine IP Sicherheitsrichtlinie im System eingerichtet Sie k
278. pe liegen Beachten Sie die Erl uterungen im Kapitel Konsistenzpr fungen Seite 63 Security Grundlagen und Anwendung 192 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 3 3 Zeitsynchronisierung 5 3 Zeitsynchronisierung 5 3 1 bersicht Bedeutung Zur berpr fung der zeitlichen G ltigkeit eines Zertifikates und f r die Zeitstempel von Log Eintr gen wird auf der Security Baugruppe Datum und Uhrzeit gef hrt Projektierbar sind folgende Alternativen Automatisches Stellen der Baugruppen Uhrzeit mit der PC Uhrzeit beim Laden einer Konfiguration DIS Automatisches Stellen und periodischer Abgleich der Uhrzeit ber einen Network Time Protocol Server NTP Server Hinweis Bevor die Security Funktionen eines CPs zur Anwendung kommen muss dieser ein g ltiges Uhrzeitsynchronisationstelegramm vom Uhrzeit Master erhalten Synchronisierung durch einen NTP Server Beim Anlegen des NTP Servers gelten die folgenden Regeln NTP Server k nnen ber das SCT Men Optionen gt Konfiguration der NTP Server projektweit angelegt werden Weisen Sie einen NTP Server ber das Eigenschaften Register Zeitsynchronisierung einer Security Baugruppe zu Verwenden verschiedene Security Baugruppen im SCT Projekt denselben NTP Server so m ssen dessen Daten nur einmal eingegeben werden Sie k nnen projektweit 32 NTP Server anlegen Sie k nnen einer Security Baugruppe max
279. r Es wird eine Liste der gesicherten Tunnel mit den IP Adressen der Security Baugruppen angezeigt ber die Icons jedes Listeneintrags k nnen Sie die Tunnel Status der jeweiligen Security Baugruppen ermitteln ber das Kontextmen k nnen Sie die Tunnel aktivieren deaktivieren testen sowie den Eintrag aus der Liste l schen Falls auf Ihrem PG PC mehrere Netzwerkadapter vorhanden sind w hlt der SOFTNET Security Client automatisch einen Netzwerkadapter aus ber den ein Tunnelaufbau ver sucht wird Gegebenenfalls konnte der SOFTNET Security Client jedoch keinen zu Ihrem Teilnehmer passenden finden und hat einen beliebigen eingetragen In diesem Fall m ssen Sie die Netzwerkadaptereinstellung ber den Dialog Netzwerkadapter manuell anpassen Sie rufen diesen Dialog im Kontextmen der Teilnehmer und Security Baugruppen ber den Eintrag W hle Netzwerkverbindung auf Deaktivieren Alle gesicherten Tunnel werden deaktiviert Minimieren Die Bedienoberfl che des SOFTNET Security Client wird geschlossen Das Symbol f r den SOFTNET Security Client wird weiterhin in der Windows Taskleiste angezeigt Beenden Der SOFTNET Security Client wird beendet und alle Tunnel deaktiviert Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 245 SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten Schaltfl che Bedeutung Hilfe Online Hilfe aufrufen Info Informationen
280. r FQDN konfigurieren Im Dialogbereich VPN Knoten nehmen Sie zus tzlich je nach Security Baugruppe Einstellungen zu Subnetzen IP MAC Knoten und NDIS Knoten vor welche zus tzlich ber die VPN Tunnel erreicht werden sollen F r SCALANCE S Das Lernen von internen Knoten kann akti viert oder deaktiviert werden Der Dialogbereich VPN Knoten wird nur angezeigt wenn sich das Projekt im Erweiterten Modus befindet DHCP Server F r das interne Netz sowie f r das DMZ Netz nur SCALANCE S623 S627 2M k nnen Sie die Security Baugruppe als DHCP Server verwenden SNMP Stellen Sie in diesem Register die SNMP Protokollversion und das Authentifizierungs Verschl sselungsverfahren ein Proxy ARP Stellen Sie in diesem Register statische Eintr ge f r Proxy ARP auf der externen Schnittstelle ein MRP HRP Stellen Sie in diesem Register die Parameter zur Anbindung der Security Baugruppe an MRP HRP Ringe ein RADIUS Weisen Sie der Security Baugruppe in diesem Register einen RADIUS Server zu der Benutzer bei der Aktivierung benutzer spezifischer IP Regels tze anstelle der Security Baugruppe authentifiziert Gruppenzuordnungen f r VPN Tunnel 62 5682 FE VPN Gruppen legen fest welche Security Baugruppen SOFTNET Security Clients SCALANCE M Baugruppen VPN Ger te und NCP VPN Clients Android miteinander ber IPsec Tunnel kommunizieren sollen Indem Sie diese Netzwerkteilne
281. r Routing Gruppe befindet Wenn sich der SOFTNET Security Client nicht mit einer SCALANCE M Baugruppe in einer VPN Gruppe befindet Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 23 Einf hrung und Grundlagen 1 4 Einsatz des SOFTNET Security Clients Siehe auch 1 4 Bedienoberfl che und Men befehle Seite 47 21 Seite 278 Einsatz des SOFTNET Security Clients PG PC Kommunikation im VPN Aufgabe des SOFTNET Security Client 24 Mit der PC Software SOFTNET Security Client sind gesicherte Fernzugriffe vom PG PC auf Automatisierungsger te die durch Security Baugruppen gesch tzt sind ber ffentliche Netze hinweg m glich Mittels des SOFTNET Security Client wird ein PG PC automatisch so konfiguriert dass er eine gesicherte IPsec Tunnelkommunikation im VPN Virtual Private Network zu einer oder mehreren Security Baugruppen aufbauen kann PG PC Applikationen wie NCM Diagnose oder STEP 7 k nnen so ber eine gesicherte Tunnelverbindung auf Ger te oder Netzwerke zugreifen die sich in einem durch Security Baugruppen gesch tzten internen Netz befinden Die PC Software SOFTNET Security Client wird ebenfalls mit dem Projektierwerkzeug Security Configuration Tool konfiguriert damit ist eine durchg ngige Projektierung gew hrleistet Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 5 Einsatz von SCALAN
282. r Security Konfiguration werden intern von SCT bearbeitet und das Ergebnis an STEP 7 zur ckgeliefert Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 53 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Zusammenspiel von STEP 7 und SCT Das Zusammenspiel von STEP 7 und SCT wird anhand der folgenden Darstellung erl utert STEP 7 classic STEP 7 Projekt SCT Projekt Nehmen Sie ber STEP 7 Security Einstellungen vor wird SCT aufgerufen da dort die Daten f r Security gepflegt und verwaltet werden Sind in NetPro spezifizierte Verbindungen projektiert werden f r diese nach dem Speichern und bersetzen automatisch Firewall Regeln in SCT angelegt In SCT nehmen Sie weitere Security Einstellungen vor SCT bearbeitet die Daten intern und gibt das Ergebnis an STEP 7 zur ck Aktionen wie Speichern Unter und bersetzen finden innerhalb von STEP 7 statt Die Security Daten werden als SCT Projekt unter einem automatisch vergebenen Namen in einem Unterordner des STEP 7 Projektes gespeichert Name und Spei cherort d rfen nicht ver ndert werden F r ein STEP 7 Projekt kann genau ein SCT Projekt angelegt werden Ein mit dem Security Configuration Tool in STEP 7 angeleg tes SCT Projekt kann nicht mit dem Security Configuration Tool im Standalone Modus ge ffnet werden Die projektierten Security Daten des CP werden ber STEP 7
283. r ausgehend x BootP Client eingehend x x standardm ig aktiviert Security Grundlagen und Anwendung 168 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus standardm ig deaktiviert nicht anpassbar Die beiden Dienste BootP Server und BootP Client sind jeweils entweder an der externen Schnittstelle oder an der internen Schnittstelle gemeinsam aktiv Entsprechend sind entweder beide Firewall Regeln an der externen Schnittstelle oder beide Firewall Regeln an der internen Schnittstelle aktiv Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 169 Firewall projektieren 4 3 Firewall im Erweiterten Modus Security Grundlagen und Anwendung 170 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Weitere Baugruppeneigenschaften projektieren 5 5 1 5 1 1 Bedeutung Security Baugruppe als Router bersicht Indem Sie die Security Baugruppe als Router betreiben werden die Netze an interner externer und DMZ Schnittstelle nur SCALANCE S623 S627 2M siehe Abschnitt unten zu separaten Subnetzen Sie haben folgende M glichkeiten e Routing einstellbar im Standard Modus und im Erweiterten Modus e NAT NAPT Routing einstellbar im Erweiterten Modus Alle nicht zu einem Subnetz geh renden Netzwerkanfragen werden durch einen Router in ein anderes Subnetz weitergeleitet siehe folgendes Kapitel e Stand
284. r zugeordneten Rollennamen an die Security Baugruppe zur ck Fall b Wenn der Rollenname auf dem RADIUS Server nicht projektiert ist Die Security Baugruppe vergibt dem Benutzer die systemdefinierte Rolle radius Ist die Passwortpr fung bestanden wird der benutzerspezifische IP Regelsatz aktiviert Vereinbarungen f r RADIUS Server 2 5 6 2 Bedeutung 80 e Die RADIUS Server k nnen sich in jedem mit der Security Baugruppe verbundenen Netzwerk befinden e Es k nnen maximal zwei RADIUS Server pro Security Baugruppe projektiert werden Im Betrieb ist dann jeweils nur einer der RADIUS Server aktiv e Bei der Definition eines RADIUS Servers kann anstelle einer IP Adresse auch ein FQDN verwendet werden RADIUS Server definieren Bevor die Authentifizierung durch einen RADIUS Server erfolgen kann m ssen Sie diesen zun chst im SCT Projekt hinterlegen Im Anschluss m ssen Sie den definierten RADIUS Server der Security Baugruppe zuweisen f r welche der RADIUS Server die Benutzerauthentifizierung bernehmen soll Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten Vorgehensweise 1 W hlen Sie den Men befehl Optionen gt Konfiguration der RADIUS Server 2 Klicken Sie auf die Schaltfl che Hinzuf gen 3 Geben Sie die erforderlichen Parameter gem der folgenden Tabel
285. rbindung zu UDP Port 53 einem DNS Server wird zuge lassen Erlaube SNMP x TCP Port 161 162 Zur berwachung von SNMP UDP Port 161 162 f higen Netzteilnehmern Erlaube SMTP x TCP Port 25 Zum Austausch von E Mails zwischen authentifizierten Be nutzern ber einen SMTP Server Erlaube NTP x UDP Port 123 Zur Synchronisation der Uhr zeit Erlaube MAC Ebene x Der MAC Verkehr von extern Kommunikation zur Station und umgekehrt ist zugelassen Erlaube ISO x Der ISO Verkehr von extern zur Kommunikation Station und umgekehrt ist zuge lassen Erlaube SICLOCK x SICLOCK Uhrzeittelegramme von extern zur Station und um gekehrt sind zugelassen 126 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 Firewall projektieren 4 1 CPs im Standard Modus Tabelle 4 6 Logging f r IP und MAC Regels tze Regelsatz Aktion bei Aktivierung Angelegte Regel IP Log Einstellungen Aktion Von Nach Aufzeichnen getunnelter Pakete Nur aktiv wenn die Security Allow Station Tunnel Baugruppe Teilnehmer einer VPN Gruppe ist Alle IP Pakete die ber den Tunnel weitergeleitet wurden wer Allow Tunnel Station den geloggt Aufzeichnen blockierter eingehender Alle eintreffenden IP Pakete Drop Extern Station Pakete die verworfen wurden wer den geloggt MAC Log Einstellungen Aktion Von Nach Aufzeichnen blockierter eingeh
286. rbindung zu den Gruppenteilnehmern aufbauen auch wenn Sie das Projekt erneut auf alle Teilnehmer der VPN Gruppe geladen haben Soll der entfernte aktive Teilnehmer keine Verbindung mehr aufbauen k nnen erneuern Sie das CA Zertifikat der VPN Gruppe und laden Sie das Projekt erneut auf die Teilnehmer der VPN Gruppe Erneuert werden kann das CA Zertifikat der VPN Gruppe in den Gruppeneigenschaften der VPN Gruppe oder im Zertifikatsmanager Register Zertifizierungsstellen So gehen Sie vor Beim Vorgehen m ssen Sie folgenderma en unterscheiden e Fall a Wenn Sie die Gruppeneigenschaften nicht ge ndert haben und die hinzuzuf gende Baugruppe die Verbindung zu den bereits konfigurierten Baugruppen aktiv aufbaut 1 F gen Sie die neue Baugruppe der VPN Gruppe hinzu 2 Laden Sie die Konfiguration auf die neue Baugruppe e Fall b Wenn Sie die Gruppeneigenschaften ge ndert haben oder die hinzuzuf gende Baugruppe die Verbindung zu den bereits konfigurierten Security Baugruppen nicht aktiv aufbaut Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 213 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Vorteil in Fall a Einstellungen f r Teilnehmer mit unbekannter IP Adresse 214 1 F gen Sie die neue Baugruppe der VPN Gruppe hinzu 2 Laden Sie die Konfiguration auf alle Baugruppen die zur VPN Gruppe geh ren Bereits vorhandene in B
287. ren soll I Security Ceafiguratiea Tool Konfiguratien 1 CASCTKonfiguration 1 olowa Projekt Bearbeiten finf gen bertragen Ansicht Optionen Hite DSE Ax JAH a u Ofere raucht Nr Name Auther izierung Gruppenzugeh rigkeibis Typ Kommentar He Baus Feuer Fi Baugruppe Zertiikat 23 08 2097 5527 2M V basy aor Bagr Jersbat 2 3 20 FTNET kay coe rasen Grass Baugruppe mrd sach mut den unten stehenden Baugrupgen uber bese IPSec Einstellungen vertunden Phase 1 Main Modus SHANSOES und Phase 2 SHANGDES Intistorfflesponder PartnerBaugruppe Art der bertragenen Pakete Lokale Schnitsielle Panner Scheutistelle Intator Baugruppe Layer Zlayer 3 Extern Extern 192 168 10 1 Baron Aktueller Benutzer admin Aktuelle Rolle administrator Standard Modus Oting s 08 W hlen Sie den Men befehl Projekt gt Speichern gt Selektieren Sie die Baugruppe vom Typ SOFTNET Security Client und w hlen Sie den Men befehl bertragen gt An Baugruppe n 6z W hlen Sie den Speicherort f r die Konfigurationsdateien 6 Geben Sie im folgenden Dialog an ob f r das VPN Gruppen Zertifikat der Baugruppe ein eigenes Passwort erstellt werden soll Wenn Sie Nein w hlen wird als Passwort der Projektname vergeben z B SCALANCE_SSC_Konfiguration1 nicht das Projektpasswort Wenn Sie Ja w hlen empfohlen m ssen Sie im darauf folgenden Dialog ein Passwort vergeben N be
288. riebene Zeile ist nur f r SCALANCE S627 2M relevant S62x Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S623 und SCALANCE S627 2M relevant S62x 2 V4 0 Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S623 ab V4 0 und SCALANCE S627 2M ab V4 0 relevant S7 CP Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r S7 CPs relevant D S F Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Security Baugruppen au er den S7 CPs relevant PC CP Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r PC CPs relevant Security Grundlagen und Anwendung 6 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Vorwort Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Security Baugruppen au er den PC CPs relevant Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle S7 CPs und PC CPs relevant D D aan E in Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Security Baugruppen au er den CPs relevant v Das Symbol verweist auf besondere Literaturempfehlungen Dieses Symbol weist auf detailliertere Hilfestellung in der kontextabh ngigen Hilfe hin Sie erreichen
289. rity Baugruppe weder an der internen noch an der externen Schnittstelle eine eigene IP Adresse Stattdessen bezieht die Security Baugruppe zur Laufzeit die IP Adresse f r ihre externe Schnittstelle von einem Teilnehmer der an der internen Schnittstelle der Security Baugruppe angeschlossen ist und dessen IP Adressparameter zum Projektierungszeitpunkt unbekannt sein k nnen Eine IP Adress nderung des internen Teilnehmers und eine damit verbundene IP Adress nderung an der externen Schnittstelle ist m glich Da der interne Teilnehmer anhand seiner MAC Adresse identifiziert wird werden IP Adress nderungen nur f r die gelernte MAC Adresse vorgenommen An der internen Schnittstelle der Security Baugruppe wird keine IP Adresse projektiert bzw bezogen Hinsichtlich der MAC Adressen tauscht die Security Baugruppe in allen an der externen Schnittstelle ausgehenden Datenpaketen Antworten des internen Teilnehmers die MAC Adresse des internen Teilnehmers gegen die MAC Adresse der Security Baugruppe aus Ghost Modus aktivieren Gehen Sie so vor Voraussetzung Der Ghost Modus ist nur ausw hlbar wenn sich das Projekt im Erweiterten Modus befindet 1 Selektieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften 3 W hlen Sie im Register Schnittstellen aus der Klappliste Schnittstellenrouting Extern Intern den Eintrag Ghost Modus Projektierbare Baugruppeneigenschaften
290. rity Ma nahmen bei der Verwendung des SOFTNET Security Clients Der SOFTNET Security Client bietet eine L sung f r die sichere Kommunikation mit Automatisierungszellen ber VPN F r den Eigenschutz des PCs PGs sowie der damit verbundenen Automatisierungszelle wird empfohlen zus tzliche Ma nahmen wie z B Virenscanner sowie die Windows Firewall einzusetzen Unter Windows 7 muss die Firewall des Betriebssystems aktiviert sein damit der VPN Tunnelaufbau funktioniert Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 CP x43 1 Adv STEP 7 Einf hrung und Grundlagen 1 1 Wichtige Hinweise Hinweis Zus tzliche Sicherheitseinstellungen Um zu vermeiden dass unautorisierte Projektierungsdaten in den CP geladen werden m ssen Sie zus tzliche Sicherheitseinstellungen an der Firewall des CPs vornehmen z B Blocken der S7 Kommunikation oder Zulassen von ausschlie lich getunnelter Kommunikation bzw externe Sicherheitsma nahmen ergreifen Hinweis Speichern und bersetzen nach nderungen Damit die Security Einstellungen in die entsprechenden Offline Systemdatenbausteine bernommen werden w hlen Sie nach vorgenommenen nderungen das Men Station gt Speichern und bersetzen in HW Konfig bzw Netz gt Speichern und bersetzen in NetPro Hinweis ffnen einer Station bei ge ffnetem Security Configuration Tool Schlie en Sie das Security Configuration Tool
291. rity k nnen einzelne Ger te Automatisierungszellen oder Netzsegmente eines Ethernet Netzwerks abgesichert werden Zus tzlich kann die Daten bertragung durch die Kombination unterschiedlicher Sicherheitsma nahmen wie Firewall NAT NAPT Router und VPN Virtual Private Network ber IPsec Tunnel gesch tzt werden vor e Datenspionage e Datenmanipulation e unerw nschten Zugriffen Die Security Funktionen vom CP x43 1 Adv werden mit dem Projektierwerkzeug Security Configuration Tool konfiguriert das in STEP 7 integriert ist Service Computer mit SOFTNET Security Client VPN ber IPsec Tunnel Fertigungsleitrechner mit CP 1628 externes Netz Ethernet S7 400 mit S7 300 mit CP 343 1 Advanced Industrial SCALANCE S Firewall Fam Router i T i NAT NAPT N Router i l l l l En T F pii ET 2008 J JI i EE E E S7 300 ve ST 300 ET 200X a y intern Bedienen amp Beobachten intem Automatisierungszelle J intern Automatisierungszelle J TS CSN T Bild 1 6 Netzkonfiguration mit CP x43 1 Adv Security Grundlagen und Anwendung 36 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 9 Einsatz von CP 343 1 Advanced und CP 443 1 Advanced Sicherheitsfunktionen e Firewall IP Firewall mit Stateful Packet Inspection Layer
292. rt Das Aktualisierungsintervall kann nur in STEP 7 ge ndert werden 3 Wenn Sie den Synchronisierungsmodus Zeitsynchronisation mit NTP bzw Zeitsynchronisation mit NTP gesichert ausgew hlt haben weisen Sie der Security Baugruppe ber die Schaltfl che Hinzuf gen einen bereits angelegten NTP Server vom selben Typ zu wie im Feld Synchronisierungsmodus ausgew hlt Sind noch keine NTP Server vorhanden legen Sie ber die Schaltfl che Server konfigurieren einen NTP Server an Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 195 Weitere Baugruppeneigenschaften projektieren 3 3 Zeitsynchronisierung 5 3 3 NTP Server definieren So definieren Sie einen neuen NTP Server 1 Geben Sie einen Namen f r den NTP Server ein 3 Definition eines NTP Servers Allgemeine Einstellungen Name NTP Sarver Server Adresse 192 163 200 5 Typ NTP gesichert X Schl sseliste nur bei NTP gesichert Schl ssel ID Authentifizierung Hex ASCH Schl ssel 1 SHA 1 ASCII thisismykey1 2 SHA 1 ASCII thisssemykey2 3 MD5 ASCH thisismykey3 Hinzutugen importieren Exportieren Abbrechen Hilfe 2 Geben Sie die IP Adresse den FQDN des NTP Servers ein 3 W hlen Sie den Typ aus Einstellungen f r NTP gesichert 1 Klicken Sie auf die Schaltfl che Hinzuf gen 2 Geben Sie die folgenden Daten ein Parameter Bedeutung Schl ssel ID Numerisch
293. rte Rolle zugewiesen Zusammenf hren Ist im SCT Projekt bereits ein Benutzer mit dem gleichen Namen angelegt werden die beiden Benutzer zusammengelegt Die Rolle des SCT Benutzers wird um die ausgew hlten Rechte des migrier ten Benutzers erweitert Nicht bernehmen Der Benutzer der Security Baugruppe wird nicht in die SCT Benutzerverwaltung migriert Eine nachtr gliche Migration ist nicht m glich Hinweis Folgende Daten werden nicht migriert e Passw rter bereits angelegter Benutzer in STEP 7 W hlen Sie deshalb f r jeden Benutzer aus wie er migriert werden soll und vergeben Sie ber die Schaltfl che Passwort vergeben ein neues Passwort e Derin STEP 7 verf gbare systemdefinierte Benutzer everybody Auch werden dessen Rechte f r migrierte Benutzer nicht bernommen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 57 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Hinweis Die Benutzer und deren Rollen k nnen nach der Migration in der Benutzerverwaltung des Security Configuration Tools angepasst werden STEP 7 Ger terechte in die SCT Benutzerverwaltung migrieren Siehe auch 58 Folgende Rechte werden migriert Recht in STEP 7 Auf die projektierten Symbole zuzugreifen Recht nach der Migration in SCT Applet Variablen ber projektierte Symbole lesen Applet Variablen ber pr
294. rtragen Sie die Dateien vom Typ dat p12 cer auf den PG PC auf dem Sie den SOFTNET Security Client betreiben m chten Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 243 SOFTNET Security Client 8 4 SOFTNET Security Client bedienen 8 4 SOFTNET Security Client bedienen Konfigurierbare Eigenschaften Im Einzelnen k nnen Sie folgende Dienste nutzen e Einrichten von sicherer IPsec Tunnelkommunikation VPN zwischen dem PC PG und allen Security Baugruppen oder einzelnen Security Baugruppen eines Projektes oder mehrerer Projekte ber diese IPsec Tunnel kann der PC PG auf die Security Baugruppe und die internen Knoten der Security Baugruppe zugreifen e Aus und Einschalten von bereits eingerichteten sicheren Verbindungen e Verbindungen bei nachtr glich hinzugef gten Endger ten einrichten Dazu muss der Lernmodus aktiviert sein e berpr fen einer Konfiguration d h welche Verbindungen sind eingerichtet oder m glich So rufen Sie SOFTNET Security Client f r die Konfiguration auf Doppelklicken Sie auf das Symbol in der Windows Taskleiste oder w hlen Sie ber das Kontextmen den Men punkt Maximiere SOFTNET Security Client o ber SOFTNET Security Client W hle Sprache Maximiere SOFTNET Security Client Beende SOFTNET Security Client B SOFTNET Security Client Datei Optionen Hilfe Yerbindungsoptionen Konfiguration laden Tunnel bersicht Minimieren
295. rwendet wird Standardm ig k nnen mit IPsec keine IP Broadcast bzw IP Multicast Telegramme durch einen Layer 3 VPN Tunnel bertragen werden Durch einen Layer 2 VPN Tunnel der Security Baugruppe werden IP Broadcast bzw IP Multicast Telegramme genau wie MAC Pakete inklusive Ethernet Header in UDP verpackt und bertragen Daher bleibt bei diesen Paketen das VLAN Tagging erhalten Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 3 VPN Gruppen 6 3 VPN Gruppen 6 3 1 Regeln f r die Bildung von VPN Gruppen Beachten Sie die folgenden Regeln e F r SCALANCE S612 S613 S623 S627 2M SCALANCE M VPN Ger t Die erste einer VPN Gruppe zugeordnete Baugruppe bestimmt welche zus tzlichen Baugruppen hinzugef gt werden k nnen Ist die erste hinzugef gte SCALANCE S Baugruppe im Routing Modus oder handelt es sich bei der ersten Baugruppe um eine SCALANCE M Baugruppe bzw um ein VPN Ger t so k nnen zus tzlich nur SCALANCE S Baugruppen mit aktiviertem Routing oder SCALANCE M Baugruppen bzw VPN Ger te hinzugef gt werden da SCALANCE M Baugruppen sowie VPN Ger te immer im Routing Modus betrieben werden Ist die erste hinzugef gte SCALANCE S Baugruppe im Bridge Modus so k nnen zus tzlich nur SCALANCE S Baugruppen im Bridge Modus hinzugef gt werden Ein CP ein SSC sowie ein NCP VPN Client Android kann einer VPN Gruppe mit
296. sche IP Regels tze werden lokal genutzt Vereinbarungen Es gelten dieselben Vereinbarungen wie in folgendem Kapitel beschrieben e Globale Firewall Regels tze Vereinbarungen Seite 142 4 3 3 1 Benutzerspezifische IP Regels tze anlegen und zuweisen So erreichen Sie diese Funktion 1 W hlen Sie im Navigationsbereich den Ordner Benutzerspezifische IP Regels tze 2 W hlen Sie den Men befehl Einf gen gt Firewall Regelsatz Security Grundlagen und Anwendung 144 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 3 Firewall im Erweiterten Modus 3 Geben Sie die folgenden Daten ein Name Projektweit eindeutige Bezeichnung des benutzerspezifischen IP Regelsatzes Der Name erscheint nach der Zuweisung des Regelsatzes in der lokalen Regelliste der Security Baugruppe Beschreibung Geben Sie eine Beschreibung f r den benutzerspezifischen IP Regelsatz ein 4 Klicken Sie auf die Schaltfl che Regel hinzuf gen 5 Tragen Sie der Reihe nach die Firewall Regeln in die Liste ein Beachten Sie die Parameterbeschreibung in folgendem Kapitel IP Paketfilter Regeln Seite 151 Beachten Sie die Besonderheiten bei Firewall Regeln die f r NAT NAPT Regeln automatisch durch SCT erzeugt wurden Zusammenhang zwischen NAT NAPT Router und benutzerspezifischer Firewall Seite 186 6 Weisen Sie dem benutzerspezifischen IP Regelsatz einen Benutzer oder mehrere Benutzer und oder eine Rolle
297. sches DNS ist auf der externen Schnittstelle und auf der DMZ Schnittstelle zugelassen Routing Geben Sie hier die Daten zum Standard Router ein und oder legen Sie eine subnetzspezifische Route fest F r CPs Die Angabe eines Standard Routers wird aus STEP 7 bernommen und kann auch nur dort ver ndert werden Die Anzeige erfolgt im Inhaltsbereich von SCT Das Register ist in den Moduleigenschaften daher nicht vorhanden NAT NAPT Aktivieren Sie die NAT NAPT Funktionalit t und legen Sie in einer Liste die Adressumsetzung fest Zeitsynchronisierung Legen Sie hier die Synchronisationsart f r Datum und Uhrzeit fest F r CPs Die Zeitsynchronisierung kann in SCT nur dann konfi guriert werden wenn in STEP 7 die erweiterte NTP Konfiguration aktiviert wurde Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 61 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Funktion Register im Eigenschaftendialog Log Einstellungen Sie k nnen hier genauere Angaben zum Aufzeichnungs und Speichermodus von Log Ereignissen treffen und die bertra gung zu einem Syslog Server projektieren wird angeboten im Modus Standard Erweiterter x VPN Befindet sich die Security Baugruppe in einer VPN Gruppe k nnen Sie hier die Dead Peer Detection die Art des Verbin dungsaufbaus und ggf einen WAN Zugangspunkt IP Adresse ode
298. schl sselung 3DES 168 IPSec SA Hash SHA 1 Ipsec SA Lebensdauer 86400 Perfect Forward Secrecy PFS Nein DH PFS Gruppe DH 2 1024 NAT T An Zeile 38 Spalte 32 a Konfiguration 1 Baugruppel txt Editor Felle m Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 6 Konfigurationsdaten f r SCALANCE M Baugruppen Exportdatei f r SCALANCE M 800 Baugruppen Konfiguration 1 Baugruppel ttt Editor gt Ja Datei Bearbeiten Format Ansicht a SCALANCE M 800 Informationen f r die Konfiguration des SCALANCE M 800 Baugruppel verbindung zwischen Baugruppel und Baugruppe2 Go to System gt Load amp Ssave gt Passwords and store the Certificate Password in IPSeccert row m Go to System gt Load amp Save gt HTTP and use IpSeccert row to upload the following files Konfiguration 1 U47422A8D GBOF9 Baugruppel p12 Konfiguration 1 Gruppel Baugruppe2 cer Go to Security gt IPSecVPN gt Remote End Create a new table item with the following information Remote Mode Standard Remote Type manual Remote Address IP Adresse oder FQDN des Responders eintragen Treat as DDNS Host Name Kontrollk stchen aktivieren wenn die Remote Address ein FQDN ist Remote Subnet 192 168 8 0 24 Go to Security gt IPSecVPN gt Connections Create a new table item with the following information
299. schriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S ab V3 0 relevant Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S ab V4 0 relevant Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S relevant Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE M relevant Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Baugruppen au er SCALANCE M875 relevant Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 5 Vorwort SDAI Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Baugruppen au er SCALANCE M relevant Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Security Baugruppen au er SCALANCE S602 relevant Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist f r alle Security Baugruppen au er SCALANCE S lt V3 0 relevant S602 2V3 1 Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S602 ab V3 1 relevant S623 Das beschriebene Kapitel der beschriebene Abschnitt die beschriebene Zeile ist nur f r SCALANCE S623 relevant S627 2M Das beschriebene Kapitel der beschriebene Abschnitt die besch
300. se Aktion nicht relevant Ziel Umsetzung F r diese Aktion nicht relevant Nr Von SCT vergebene fortlaufende Nummer die zur Bezugnahme auf die Firewall Regeln verwendet wird welche von SCT f r die NAT Regel erzeugt werden Aktion Double NAT Die Aktion Double NAT kann f r SCALANCE S Baugruppen in folgenden Richtungen durchgef hrt werden e Intern nach Extern e Extern nach Intern Wenn die DMZ Schnittstelle der Security Baugruppe nur SCALANCE S623 S627 2M aktiviert ist kann die Aktion Double NAT zus tzlich in folgenden Richtungen durchgef hrt werden e Intern nach DMZ e Extern nach DMZ e DMZ nach Intern e DMZ nach Extern Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 179 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router In jeder Richtung findet immer Source und Destination NAT zugleich statt F r die Richtung Extern nach Intern gilt beispielsweise Beim Zugriff von Extern nach Intern wird die Quell IP Adresse des externen Teilnehmers ausgetauscht Source NAT Zudem erfolgt der Zugriff auf das interne Netz ber die im Eingabefeld Ziel IP Adresse angegebene externe IP Adresse Destination NAT Sie k nnen diese Aktion beispielsweise dann verwenden wenn f r ein Ger t auf das mit Hilfe von Destination NAT zugegriffen wird ein anderer Standard Router als die Security Baugruppe eingetragen ist Antwortte
301. se darf nicht mit der IP Adresse der Security Baugruppe im Quell Netz bereinstimmen Stimmt in einem Telegramm die Ziel IP Adresse mit der eingegebenen Adresse berein wird die Adresse durch die entsprechende IP Adresse im Ziel Netz ausgetauscht Die angegebene Ziel IP Adresse wird zur Alias Adresse Dies bedeutet dass die angegebene IP Adresse zus tzlich als IP Adresse an der ausgew hl ten Schnittstelle registriert wird Alias Adressen wer den zus tzlich im Register Schnittstellen der Security Baugruppe angezeigt Stellen Sie sicher dass mit der Alias Adresse kein IP Adresskonflikt im Netzwerk besteht Ziel Umsetzung IP Adresse im Ziel Netz Die Ziel IP Adresse wird durch die hier angegebene IP Adresse ersetzt Nr Von SCT vergebene fortlaufende Nummer die zur Bezugnahme auf die Firewall Regel verwendet wird welche von SCT f r die NAT Regel erzeugt wird Aktion Source NAT Masquerading Die Aktion Source NAT kann in folgender Richtung durchgef hrt werden e Intern nach Extern Wenn die DMZ Schnittstelle der Security Baugruppe nur SCALANCE S623 S627 2M aktiviert ist kann die Aktion Source NAT zus tzlich in folgenden Richtungen durchgef hrt werden e Intern nach DMZ e Extern nach DMZ e DMZ nach Extern Wenn sich die SCALANCE S Baugruppe in einer VPN Gruppe nicht f r SCALANCE S602 befindet kann die Aktion Source NAT zus tzlich in folgenden Richtungen durchgef hrt
302. sgew hlten systemdefinierten Rolle Standardvorlage diagnostics L schen Sie ber die Schaltfl che den ausgew hlten Eintrag Hinweis e Eine bereits erzeugte benutzerdefinierte Rolle kann nur gel scht werden wenn sie keinem Benutzer zugewiesen ist Weisen Sie dem Benutzer gegebenenfalls eine andere Rolle zu e Systemdefinierte Rollen k nnen nicht gel scht werden Rechte verwalten So erreichen Sie diese Funktion 72 Men befehl SCT Optionen gt Benutzerverwaltung Register Rollen Schaltfl che Eigenschaften bzw Hinzuf gen Men befehl STEP 7 Benutzer gt Start der Benutzerverwaltung Schaltfl che Ausf hren Zus tzlich kann die Benutzerverwaltung aus einzelnen Registern aufgerufen werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Benutzerdefinierte Rolle erstellen und zuweisen Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten 1 Geben Sie einen Rollennamen ein 2 W hlen Sie aus der Rechtevorlage eine systemdefinierte Rolle aus Standardvorlage diagnostics Benutzerdefinierte Rollen werden in der Auswahl nicht angezeigt Ergebnis Entsprechend der ausgew hlten Rolle werden f r jede im Projekt verwendete Security Baugruppe in der Rechteliste die dazugeh renden Rechte angezeigt Die Rechte der nicht im Projekt verwendeten Security Baugruppen sind ausgegraut 3 Aktivieren bzw deaktivieren Sie f r je
303. shandbuch 12 2014 C79000 68900 C286 04 183 Weitere Baugruppeneigenschaften projektieren 5 1 Security Baugruppe als Router 5 1 6 Bedeutung Zusammenhang zwischen NAT NAPT Router und Firewall Von SCT werden nach dem Anlegen von NAT NAPT Regeln automatisch Firewall Regeln erzeugt die die Kommunikation in der projektierten Adressumsetzungsrichtung freigeben Die erzeugten Firewall Regeln k nnen ggf erweitert werden zus tzliche IP Adressen IP Adressbereich IP Adressband Dienste Bandbreite Zudem sollten die automatisch erzeugten Firewall Regeln im Hinblick auf ihre Priorit t bez glich ihrer Position berpr ft werden Befinden sich zus tzlich manuell projektierte Firewall Regeln in der Regelliste die h her priorisiert sind als die automatisch erzeugten Firewall Regeln wird unter Umst nden kein NAT NAPT durchgef hrt Von SCT erzeugte Firewall Parameter k nnen nicht angepasst werden Nach dem Deaktivieren von NAT NAPT werden die von SCT erzeugten Firewall Regeln entfernt Zur einfacheren Bezugnahme zwischen NAT NAPT Regeln und den zugeh rigen Firewall Regeln sind die Regeln in den Registern NAT NAPT und Firewall mit korrespondierenden fortlaufenden Nummern gekennzeichnet In der folgenden Tabelle werden die Schemata der Firewall Regeln dargestellt die f r SCALANCE S Baugruppen f r NAT Regeln erzeugt werden Tabelle 5 1 NAT Adressumsetzung und zugeh rige Firewall Regeln f r SCALANCE S Baugruppen N
304. sich die zu konfigurierende Baugruppe in einer VPN Gruppe befindet e Der Dialogbereich VPN Knoten im Register VPN wird nur angezeigt wenn sich das Projekt im Erweiterten Modus befindet Bar A Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 215 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus So erreichen Sie diese Funktion 1 Markieren Sie die zu bearbeitende Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register VPN Die hier vorgenommenen Einstellungen werden standardm ig als baugruppenweite Einstellungen f r die verbindungsgranularen Einstellungen bernommen Verbindungsgranulare Einstellungen k nnen baugruppenweite Einstellungen berschreiben und sind im Detail Fenster projektierbar Weitere Informationen zur Projektierung verbindungsgranularer Einstellungen finden Sie in folgendem Kapitel Verbindungsgranulare VPN Eigenschaften projektieren Seite 219 Dead Peer Detection DPD DEZ Standardm ig ist DPD aktiviert Damit DPD zuverl ssig funktioniert muss es auf beiden beteiligten Security Baugruppen aktiviert sein Bei aktivierter DPD tauschen die Security Baugruppen in einstellbaren Zeitintervallen zus tzliche Nachrichten aus sofern gerade kein Datenverkehr ber den VPN Tunnel l uft Hierdurch kann erkannt werden ob die IPsec Verbindung noch g ltig ist oder eventuell neu aufge
305. sierten Zone DMZ k nnen Server platziert werden f r welche der Zugriff aus anderen Netzen unsicheres externes Netzwerk sicheres internes Netzwerk kontrolliert und eingeschr nkt werden kann So k nnen gesichert beiden Netzwerken entsprechende Dienste und Daten zur Verf gung gestellt werden ohne den beiden Netzen eine direkte Kommunikation untereinander zu erm glichen R ckwirkungsfreiheit beim Einbau in flache Netze Bridge Betrieb Interne Netzknoten k nnen ohne Projektierung gefunden werden Beim Einbau eines SCALANCE S in eine bestehende Netzinfrastruktur m ssen daher die Endger te nicht neu konfiguriert werden Die Security Baugruppe versucht interne Teilnehmer zu finden interne Teilnehmer die auf diesem Weg nicht gefunden werden k nnen m ssen dennoch projektiert werden Benutzerauthentifizierung durch RADIUS Server DE Auf einem RADIUS Server k nnen Benutzernamen Passw rter und Rollen von Benutzern zentral abgelegt werden Die Authentifizierung dieser Benutzer erfolgt dann durch den RADIUS Server NTP gesichert Zur sicheren Uhrzeitsynchronisation und bertragung Interne Netzknoten externe Netzknoten DMZ Netzknoten SCALANCE S teilt Netzwerke in mehrere Bereiche auf 30 Internes Netz gesch tzte Bereiche mit den internen Knoten Interne Knoten sind alle Knoten die von einem SCALANCE S abgesichert sind Externes Netz ungesch tzte Bereiche mit den externen Knoten Externe Knoten sind alle Knoten
306. sschnittstelle f r Router und Firewallredundanz Mit dem Einsatz von zwei Security Baugruppen des Typs SCALANCE S623 oder SCALANCE S627 2M kann der Ausfall einer Security Baugruppe durch Router und Firewall Redundanz kompensiert werden Hierbei werden beide Security Baugruppen im Routing Modus betrieben und jeweils mit dem externen und internen Netz verbunden wobei stets nur eine Security Baugruppe aktiv ist F llt die aktive Security Baugruppe aus bernimmt die passive Security Baugruppe deren Funktion als Router bzw Firewall Um ein funktional identisches Verhalten beider Security Baugruppen zu gew hrleisten werden die beiden Security Baugruppen ber deren DMZ Schnittstellen miteinander verbunden und w hrend des Betriebs in ihrer Konfiguration synchronisiert Aktive Security Baugruppe SCALANCE S623 a Bild 1 5 34 PC Switch SCALANCE X104 2 externes Netz BEBBEBEBEN Passive Security Baugruppe SCALANCE S623 b Pi nmuanus Synchronisation a B a internes Netz Switch SCALANCE ST 300 l l ntern Automatisierungszelle Router und Firewallredundanz Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 8 Einsatz der Medienmodulports von SCALANCE S627 2M 1 8 Einsatz der Medienmodulports von SCALANCE S627 2M Integration in Ringtopologien Zus tzlic
307. sse besteht aus 4 Dezimalzahlen aus dem Wertebe reich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 141 90 10 10 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 1 Parameter im Inhaltsbereich Parameter Bedeutung Subnetzmaske int Wertebereich f r Subnetzmaske Die Subnetzmaske wird ent nur anzugeben wenn Routing sprechend der eingegebenen IP Adresse vorgeschlagen Modus aktiviert Die Subnetzmaske besteht aus 4 Dezimalzahlen aus dem Wer tebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 255 255 0 0 Auswahl speichern Wenn Sie diese Funktion aktivieren wird Ihre derzeit eingestell te Konfiguration in die Standard Initialisierungswerte bernom men Beim Einf gen von neuen Baugruppen wird dann nicht mehr der Dialog Auswahl einer Baugruppe oder Softwarekonfi guration ge ffnet sondern gleich eine Baugruppe entsprechend den festgelegten Einstellungen in das Projekt eingef gt Um diese Funktion wieder aufzuheben und einen anderen Bau gruppentyp auszuw hlen m ssen Sie diese Funktion unter folgendem Men pfad deaktivieren Projekt gt Eigenschaften gt Standard Initialisierungswerte Hinweis Zus tzliche Einstellungen Weitere Schnittstelleneinstellungen nehmen Sie im Register Schnittstellen der Baugruppeneigenschaften vor Informationen dazu finden
308. sse des Teilnehmers der an der internen Schnittstelle der SCALANCE S Baugruppe ange schlossen ist Die f r die externe Schnittstelle anzugebenden IP Adressdaten dienen lediglich dem Projektierungsladen vor dem Betrieb im Ghost Modus Hinweis Der Ghost Modus ist im Register Schnittstellen nur ausw hl bar wenn sich das Projekt im Erweiterten Modus befindet 98 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren Projektierung der Schnittstellen Wenn die Schnittstelle einer Baugruppe projektiert werden soll muss diese ber das Kontrollk stchen Schnittstelle aktivieren aktiviert sein Legen Sie die IP Adressangaben pro Schnittstelle sowie Einstellungen einzelner Ports nur f r SCALANCE S ab V3 fest F r die Zuweisung einer IP Adresse stehen Ihnen f r die externe Schnittstelle und f r die DMZ Schnittstelle nur SCALANCE S623 S627 2M folgende Zuweisungsmodi zur Verf gung e Statische IP Adresse mit Subnetzmaske e Adresszuweisung ber PPPoE IE Die interne Schnittstelle sowie die Tunnel Schnittstelle nur f r SCALANCE S612 S623 S627 2M ab V4 kann nur ber eine statische IP Adresse projektiert werden Wenn durch die Projektierung einer NAT NAPT Regel f r eine SCALANCE S Baugruppe Alias IP Adressen an einer Schnittstelle registriert wurden werden diese im Feld Alias IP Adressen angezeigt
309. st tzte VPN Kopplungen Im Zusammenspiel mit NAT NAPT werden die folgenden VPN Kopplungen unterst tzt VPN Kopplung VPN Verbindung wird initiiert von Adressumsetzung wird durchgef hrt von SCALANCES a SCALANCES b SCALANCES a oder SCALANCE S SCALANCE S a und oder b SCALANCES b SCALANCE S S7 CP PC CP SCALANCE S oder S7 CP PC CP SCALANCE S SCALANCE S SCALANCE M SCALANCE M SCALANCE S und oder SCALANCE M SOFTNET Security Client SCALANCE S SOFTNET Security Client SCALANCE S SCALANCE S NCP VPN Client And NCP VPN Client Android SCALANCE S roid Es wird ausschlie lich 1 1 NAT unterst tzt SCALANCE S Baugruppen vom Typ SCALANCE S623 V4 und SCALANCE S627 2M V4 die einen VPN Endpunkt an der externen Schnittstelle und an der DMZ Schnittstelle besitzen k nnen an beiden Schnittstellen gleichzeitig Adressumsetzungen durchf hren Adressumsetzungsverhalten bei Teilnahme an mehreren VPN Gruppen Ist eine SCALANCE S Baugruppe Teilnehmer mehrerer VPN Gruppen dann gelten die Adressumsetzungsregeln die f r die Tunnel Schnittstelle der SCALANCE S Baugruppe projektiert wurden f r alle VPN Verbindungen dieser SCALANCE S Baugruppe Beachten Sie Sobald Sie eine NAT Adressumsetzung in oder aus Richtung Tunnel konfiguriert haben sind lediglich noch die beteiligten IP Adressen der NAT Adressumsetzungsregeln ber den VPN Tunnel erreichbar Security Grundlagen und Anwendung Projektierung
310. system empfohlen wird hier die MAC Adresse f r die Zuordnung zu verwenden e Sie m ssen bei den statisch zugewiesenen IP Adressen die IP Adresse angeben e Folgende IP Adressen d rfen nicht im Bereich der dynamischen Adresszuordnungen liegen alle Router IP Adressen im Register Routing Syslog Server Standard Router Adresse n der Security Baugruppe e DHCP wird von der Security Baugruppe an der Schnittstelle zum internen Subnetz und an der Schnittstelle zum DMZ Netz unterst tzt Aus diesem Betriebsverhalten der Security Baugruppe ergeben sich weiterhin f r IP Adressen im Bereich der dynamischen Adresszuordnungen folgende Anforderungen Bridge Modus Der Bereich muss in dem durch die Security Baugruppe definierten Netz liegen Routing Modus Der Bereich muss in dem durch die Security Baugruppe definierten internen Subnetz liegen Hinweis Das DMZ Netz stellt stets ein separates Subnetz dar Bei Verwendung von DHCP auf der DMZ Schnittstelle muss beachtet werden dass sich der freie IP Adressbereich dynamische IP Adressen innerhalb des DMZ Subnetzes befindet e Derfreie IP Adressbereich muss durch die Angabe der Startadresse und der Endadresse vollst ndig angegeben sein Die Endadresse muss gr er als die Startadresse sein e Die IP Adressen die Sie in die Adressliste im Eingabebereich Statische Adresszuordnungen eingeben m ssen im Adressbereich des internen Subnetzes bzw im DMZ Netz der Security Baugrup
311. t e Das erste durch die Security Baugruppe erkannte Ger t im internen Netz erh lt Zugriff auf das externe Netzsegment sofern die Firewall entsprechend konfiguriert ist e Der Datenverkehr von eventuell zus tzlich vorhandenen Teilnehmern im internen Netzbereich wird ausgehend auf Ebene 2 MAC Schicht anhand der Absenderadresse geblockt Laden von Konfigurationen und Diagnose nach Inbetriebnahme Nach dem Bezug einer IP Adresse vom internen Teilnehmer besitzt die Security Baugruppe an der externen Schnittstelle eine IP Adresse die von derjenigen IP Adresse abweichen kann mit welcher die Security Baugruppe initial projektiert wurde F r eine nderung an der Konfiguration bzw f r Diagnosezwecke m ssen Sie im Security Configuration Tool f r die externe Schnittstelle die initial projektierte IP Adresse durch diejenige ersetzen die die Security Baugruppe zur Laufzeit vom internen Teilnehmer bezogen hat Routinginformationen f r hierarchische Netze am externen Port Wenn sich an der externen Schnittstelle der Security Baugruppe hierarchische Netze mit Subnetz berg ngen befinden muss die Security Baugruppe die zugeh rigen Routinginformationen vom internen Teilnehmer beziehen Hierf r muss der interne Teilnehmer auf an ihn gerichtete ICMP Anfragen antworten Antworten auf ICMP Broadcasts sind nicht notwendig Security Grundlagen und Anwendung 114 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 Bed
312. t deaktiviert Es kann keine Aussage ber die Erreichbarkeit der Bau gruppe des Teilnehmers getroffen werden Die Tabelle ist g ltig f r Windows XP Unter Windows 7 ist die Tabelle bei aktivierter Windows Firewall g ltig 250 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Bedienelemente des Dialogs Tunnel bersicht SOFTNET Security Client 8 5 Tunnel einrichten und bearbeiten Bedienelement Optionsk stchen Lernen der internen Knoten der Tunnel partner aktivieren Bedeutung Ist in der Konfiguration der Security Baugruppen der Lern modus aktiviert kann dieser auch f r den SOFTNET Securi ty Client aktiviert werden Dadurch erhalten Sie automatisch die Informationen ber die internen Teilnehmer der Security Baugruppen in der Tunnel bersicht Ansonsten ist das Auswahlfeld Lernen der internen Knoten inaktiv und es werden keine Informationen ber die internen Teilnehmer der Security Baugruppen in der Tunnel bersicht dargestellt Schaltfl che Alle l schen Die IP Sicherheitsrichtlinien der in SSC eingerichteten Ein tr ge werden gel scht Schaltfl che Liste leeren L scht alle Eintr ge in der Log Konsole Tunnel Eintrag selektieren und bedienen Optionen des Kontextmen s W hlen Sie im Dialog Tunnel bersicht einen Eintrag aus und ffnen Sie ber das Kontextmen weitere Optionen pe p SOFTNET Security Client
313. teigenschaften Mengenger ste Funktion CP x43 1 Adv CP 1628 SCALANCE S gt V4 0 VPN Tunnel pro Security Baugruppe Max 32 Max 64 Max 128 Der Firewall Regeln pro Security Baugruppe Max 256 Projektweit anlegbare NTP Server zuweis 32 4 bare NTP Server pro Security Baugruppe 1 3 3 Regeln f r Benutzernamen Rollen und Passw rter Welche Regeln gelten f r Benutzernamen Rollennamen und Passw rter Beachten Sie beim Anlegen oder ndern eines Benutzers einer Rolle oder eines Passworts die folgenden Regeln Erlaubte Zeichen Erlaubt sind folgende Zeichen des Zeichensatzes ANSI X 3 4 1986 0123456789 A Z a Z 5 amp 15 lt gt N _ l Nicht erlaubte Zeichen ecg L nge des Benutzernamens Au thentifizierungsmethode Passwort 1 32 Zeichen L nge des Benutzernamens Au thentifizierungsmethode RADIUS 1 255 Zeichen Maximale Benutzeranzahl pro Pro jekt L nge des Passworts 8 32 Zeichen L nge des Rollennamens 1 32 Zeichen 128 Maximale Benutzeranzahl auf einer Security Baugruppe Maximale Rollenanzahl pro Projekt Maximale Rollenanzahl auf einer Security Baugruppe 32 1 Administrator beim Anlegen des Projekts 128 122 benutzerdefinierte 6 systemdefinierte 37 31 benutzerdefinierte 6 systemdefinierte Hinweis Benutzernamen und Passw rter Als wichtige Ma nahme zur Erh hung der Sicherheit ac
314. telle an einen MRP Ring angebunden sind Ist dies der Fall werden die Zeichenketten RingportOne und RingportTwo in den Ta bellenzeilen der Medienmodulports angezeigt F r die Ports mit der Port ID X1 P1 und X2 P1 wird standardm ig die Zeichenkette None angezeigt da diese nicht an einem MRP Ring beteiligt sein k nnen Allgemeine Informationen zu Medienredundanz mit MRP finden Sie in folgendem Kapitel Medienredundanz mit MRP HRP Seite 108 Informationen zur Projektierung von MRP f r die Security Baugruppe finden Sie in folgen dem Kapitel MRP HRP f r die Security Baugruppe projektieren Seite 109 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 101 Baugruppen anlegen und Netzparamelter einstellen 3 2 Schnittstellen Konfigurieren Spalte HRP Port im Routing Modus f r die Medienmodulports der externen und internen Schnittstelle Bedeutung Anzeige ob die Medienmodulports der Schnittstelle an einen HRP Ring angebunden sind Ist dies der Fall werden die Zeichenketten RingportOne und RingportTwo in den Ta bellenzeilen der Medienmodulports angezeigt F r die Ports mit der Port ID X1 P1 und X2 P1 wird standardm ig die Zeichenkette None angezeigt da diese nicht an einem HRP Ring beteiligt sein k nnen Allgemeine Informationen zu Medienredundanz mit HRP finden Sie in folgendem Kapitel Medienredundanz mit MRP HRP Seite 108 Informationen zur Proj
315. tellt Tabelle 3 6 Portbelegung f r eingehende Verbindungen von extern auf Security Baugruppe Dienst zugang SNMP 112 Port Protokoll Kommentar Webdienste Projektie 443 TCP Der HTTPS Port ist f r den rungs und Diagnose Projektierungs und Diagnose zugang ber das Security Configuration Tool immer akti viert und nicht ver nderbar 161 TCP Nach der Aktivierung von UDP SNMP im Security Configurati on Tool werden eingehende SNMP Anfragen ber UDP Port 161 bertragen Eine bertragung ber TCP Port 161 ist ebenfalls m glich um so beispielsweise den internen Teilnehmer erreichen zu k n nen Hinweis Nach dem Aktivieren von SNMP ist der SNMP Port fest der Security Baugruppe zuge ordnet Ist SNMP nicht akti viert kann mithilfe einer Firewall Regel ber SNMP auf den internen Teilnehmer zuge griffen werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren Tabelle 3 7 Portbelegung f r ausgehende Verbindungen von Security Baugruppe nach extern Dienst Port Syslog 514 Protokoll UDP Kommentar Wenn der Syslogdienst im Security Configuration Tool aktiviert ist werden Syslog Meldungen von der Security Baugruppe ber UDP Port 514 bertragen Diese Portbele gung ist nicht nderbar NTP 123 UDP Wenn NTP Server
316. ten Modus Die Auswahlm glichkeiten im Security Configuration Tool h ngen von der gew hlten Ansicht ab e Standard Modus Lokales Logging ist im Standard Modus standardm ig aktiviert Paketfilter Ereignisse k nnen global im Register Firewall aktiviert werden Netzwerk Syslog ist in dieser Ansicht nicht m glich e Erweiterter Modus S mtliche Logging Funktionen k nnen im Register Log Einstellungen einer selektierten Baugruppe aktiviert oder deaktiviert werden Pakeffilter Ereignisse m ssen zus tzlich selektiv im Register Firewall lokale oder globale Regeln aktiviert werden Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 261 Online Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Aufzeichnungsverfahren und Ereignisklassen Sie k nnen in der Konfiguration festlegen welche Daten aufgezeichnet werden sollen Dadurch aktivieren Sie die Aufzeichnung bereits mit dem Laden der Konfiguration auf die Security Baugruppe Au erdem w hlen Sie in der Konfiguration eine oder beide der m glichen Aufzeichnungsverfahren e Lokales Logging e Netzwerk Syslog Die Security Baugruppe kennt f r beide Aufzeichnungsverfahren die folgenden Ereignisse Funktion Funktionsweise Paketfilter Ereignisse Firewall Der Paketfilter Log zeichnet bestimmte Pakete des Datenverkehrs auf Es werden nur Datenpakete geloggt auf die eine projektierte Paketfilter Regel Fire
317. ten des Logging f r diese Regel Logging Die Klappliste bietet die projektierten Dienste und Dienst gruppen zur Auswahl an Keine Angabe bedeutet es wird kein Dienst gepr ft die Regel gilt f r alle Dienste Hinweis Damit die vordefinierten MAC Dienste in der Klappliste erscheinen aktivieren Sie diese zun chst im Standard Modus CP x43 1 Adv und SCALANCE S lt V3 0 0 001 100 CP 1628 und SCALANCE S gt V3 0 0 001 1000 F r Regeln in globalen und benutzerspezifischen Regels t zen 0 001 100 Nr Automatisch vergebene Nummer zur Zuordnung zu einer projektierten Firewall Regel Die Nummern wer den beim Verschieben von Regeln neu ermittelt Kommentar Platz f r eigene Erl uterung der Regel Ist ein Kommentare mit AUTO gekennzeichnet wurde er f r eine automatische Verbindungsregel angelegt 162 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Erlaubte Richtungen Folgende Richtungen k nnen eingestellt werden Tabelle 4 17 Firewall Richtungen CP Firewall projektieren 4 3 Firewall im Erweiterten Modus Auswahlm glichkeiten Security Baugruppe Bedeutung Wertebereiche Von Nach CP x43 1 Adv CP 1628 Extern Station x x Zugriff vom externen Netz auf die Station Station Extern x x Zugriff von der Station auf das exter ne Netz Tunnel x x
318. ten zu empfangen Die empfangenen Informationen werden auf jedem LLDP f higen Ger t in einer LLDP MIB Datei gespeichert Netzwerkmanagementsysteme k nnen auf diese LLDP MIB Dateien mit Hilfe von SNMP zugreifen und damit die vorliegende Netzwerktopologie nachbilden Projektierbare Parameter Das Ausma der Aktivit t der Security Baugruppe in Bezug auf LLDP kann im Register Schnittstellen der Baugruppeneigenschaften wie folgt projektiert werden e LLDP Telegramme senden und empfangen Standardeinstellung RxTx e LLDP Telegramme empfangen Off Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 107 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen konfigurieren 3 2 6 3 2 6 1 Bedeutung Medienredundanz in Ringtopologien Medienredundanz mit MRP HRP Unter dem Begriff Medienredundanz werden verschiedene Verfahren zur Erh hung der Verf gbarkeit von Industrial Ethernet Netzen zusammengefasst bei denen Ger te ber mehrere Wege erreichbar sind Dies kann ber die Vermaschung von Netzen Parallelschaltung von bertragungswegen oder das Schlie en einer Linientopologie zu einem Ring erfolgen Medienredundanzverfahren MRP und HRP Medienredundanz innerhalb einer Ringtopologie gibt es bei SIMATIC NET Produkten in den Verfahren MRP Media Redundancy Protocol und HRP High Speed Redundancy Protocol Bei beiden Verfahren wird einer der Teilnehmer als Redundanz M
319. tierungshandbuch 12 2014 C79000 G8900 C286 04 Online Funktionen Diagnose und Logging 9 2 Ereignisse aufzeichnen Logging Geben Sie im Feld Syslog Server die IP Adresse den FQDN des Syslog Servers ein Sie k nnen die IP Adresse alternativ als symbolischen Namen oder numerisch eingeben Der Syslog Server muss von der Security Baugruppe aus ber die angegebene IP Adresse erreichbar sein ggf ber die Router Projektierung im Register Routing Wenn der Syslog Server nicht erreichbar ist wird das Versenden der Syslog Informationen abgeschaltet Sie k nnen diesen Betriebszustand anhand entsprechender Systemmeldungen erkennen Um das Versenden der Syslog Informationen erneut zu aktivieren m ssen Sie ggf die Routing Informationen aktualisieren und einen Neustart des Security Moduls veranlassen Symbolische Namen im Logging verwenden aaa Aktivieren Sie das Optionsk stchen Symbolische Namen im Logging verwenden werden die an den Syslog Server bermittelten Adressangaben der Log Telegramme durch symbolische Namen ersetzen Die Security Baugruppe pr ft ob entsprechende symbolische Namen projektiert sind und tr gt diese in die Log Telegramme ein Hinweis H here Bearbeitungszeit bei symbolischen Namen Ist das Optionsk stchen Symbolische Namen im Logging verwenden aktiviert wird die Bearbeitungszeit in der Security Baugruppe erh ht F r die IP Adressen der Security Baugruppen werden automatisch die Baugruppenna
320. tion Tool BE SOFTNET Security Client q EOFTN Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 SOFTNET Security Client 8 2 Installation und Inbetriebnahme des SOFTNET Security Client ACHTUNG Inkompatibilit t mit anderer VPN Client Software Wenn auf Ihrem PC neben dem SOFTNET Security Client weitere VPN Client Software installiert ist k nnen mit Hilfe des SOFTNET Security Clients unter Umst nden keine VPN Tunnel mehr aufgebaut werden Deinstallieren Sie deshalb zun chst diese VPN Client Software bevor Sie den SOFTNET Security Client verwenden SOFTNET Security Client einrichten Einmal aktiviert laufen die wichtigsten Funktionen im Hintergrund auf Ihrem PG PC ab Die Projektierung des SOFTNET Security Client erfolgt folgenderma en e Exportieren einer Security Konfiguration aus dem Projektierwerkzeug Security Configuration Tool e Import der Security Konfiguration in der eigenen Oberfl che wie im n chsten Unterkapitel beschrieben Anlaufverhalten Das Laden der Sicherheitsregeln kann einige Zeit in Anspruch nehmen Die CPU des PG PC wird in dieser Zeit bis zu 100 ausgelastet SOFTNET Security Client beenden So beenden Sie den SOFTNET Security Client e Klicken Sie mit der rechten Maustaste auf das SOFTNET Security Client Symbol und w hlen Sie die Option Beende SOFTNET Security Client e Klicken Sie in der ge ffneten Oberfl che auf die Schaltfl che
321. tion im VPN ber IPsec Tunnel 6 1 VPN mit Security und SCALANCE M Baugruppen Service Computer mit SOFTNET I Security Client VPN ber IPsec Tunnel f ku Fertigungsleitrechner i mit CP 1628 externes Netz S7 400 mit CP 443 1 Advanced S7 300 mit CP 343 1 Advanced SCALANCE S ET 200X intern Bedienen amp Beobachten intern Automatisierungszelle Firewall j Router NAT NAPT F y Router E a i i IE PB E FE l H l ink i l ga Eig HMI 5 i ji ET 200S BE Sie FEA l o WE Eu Mr ST 300 s7300 i ji Tunnelverbindungen bestehen zwischen Baugruppen der gleichen VPN Gruppe Die Eigenschaften eines VPN werden bei den Baugruppen innerhalb einer VPN Gruppe f r alle IPsec Tunnel zusammengefasst IPsec Tunnel werden automatisch zwischen allen Baugruppen und SOFTNET Security Clients aufgebaut die einer VPN Gruppe angeh ren Dabei kann eine Baugruppe in einem Projekt parallel mehreren verschiedenen VPN Gruppen angeh ren Security Grundlagen und Anwendung 202 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 2 Authentifizierungsverfahren 3 Security Configuration Tool Konfiguration 1 gt lo Projekt Bearbeiten Einf gen bertragen Ansicht Optionen Hilfe Deu 3 Ollin Ansicht ir IP Adresse ext
322. tung In diesem Dialog erneuern Sie CA Zertifikate und Ger tezertifikate Sie k nnen bei Bedarf z B bei kompromiittierten Zertifikaten ein Zertifikat importieren oder ein neues Zertifikat vom Security Configuration Tool erzeugen lassen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 85 Projektierung mit Security Configuration Tool 2 6 Zertifikate verwalten So erreichen Sie diese Funktion 1 Klicken Sie mit der rechten Maustaste auf einen Listeneintrag im Zertifikatsmanager 2 W hlen Sie den Eintrag Zertifikat erneuern Selbst signiert W hlen Sie wie das neue Zertifikat signiert werden soll Signiert von einer Zertifizierungsstelle Name der Zertifizierungsstelle Zertifikatsparameter Geben Sie die Parameter f r das neue Zertifikat ein Antragsteller NUnit Project Gig vor 29 03 2012 21 49 35 gr G ltig bis 30 03 2037 01 59 59 Bv Alternativer Antragstellername PE eg 5 Neues Zertifikat erstellen Zertifizierungsstelle LOK _ Abbrechen 3 W hlen Sie aus ob das neue Zertifikat selbst signiert oder durch eine Zertifizierungsstelle signiert werden soll 4 Wenn das Zertifikat durch eine Zertifizierungsstelle signiert werden soll w hlen Sie ber die Schaltfl che Ausw hlen die zu verwendende Zertifizierungsstelle aus Zur Auswahl stehen dabei nur Zertifizierungsstellen die im Zertifikatsspeicher des aktuellen SCT Projekts ab
323. tvergabe vor unberechtigtem Zugriff gesch tzt Mit Hilfe von Passwort Richtlinien lassen sich projektspezifische Vorgaben f r die Passwortvergabe definieren Konsistente Projektdaten Schon w hrend der Eingabe in den einzelnen Dialogen erfolgen Konsistenzpr fungen Zus tzlich k nnen Sie jederzeit eine dialog bergreifende projektweite Konsistenzpr fung durchf hren Auf die Security Baugruppen k nnen nur konsistente Projektdaten geladen werden Schutz der Projektdaten durch Verschl sselung Die Projekt und Konfigurationsdaten sind in der Projektdatei und sofern vorhanden auch auf dem C PLUG nicht f r CP 1628 durch Verschl sselung gesch tzt 2 2 Installation des Security Configuration Tools 2 2 1 Unterst tzte Betriebssysteme Unterst tzte Betriebssysteme Unterst tzt werden die folgenden Betriebssysteme Microsoft Windows XP 32 Bit Service Pack 3 Microsoft Windows 7 Professional 32 64 Bit Microsoft Windows 7 Professional 32 64 Bit Service Pack 1 Microsoft Windows 7 Ultimate 32 64 Bit Microsoft Windows 7 Ultimate 32 64 Bit Service Pack 1 Windows Server 2008 R2 64 Bit Windows Server 2008 R2 64 Bit Service Pack 1 Hinweis Vor der Installation des Security Configuration Tool lesen Sie unbedingt die auf der DVD mitgelieferte Datei LIESMICH htm In dieser Datei sind ggf wichtige Hinweise und die letzten nderungen vermerkt Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 6
324. ty Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G68900 C286 04 Tabelle 6 7 Verschl sselungsparameter 4 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 5 Tunnelkonfiguration im Erweiterten Modus Parameter Einstellung Phase 1 Verschl sselung 3DES 168 Phase 1 DH Gruppe Group2 Phase 1 Authentifizierung SHA1 Authentifizierungsmethode Preshared Key SA Lebensdauer 1440 2500000 Minuten Zus tzliche Einschr nkungen f r den SOFTNET Security Client F r den SOFTNET Security Client gelten zus tzlich die folgenden Einschr nkungen Parameter Phase 1 Verschl sselung Einstellung Besonderheit AES 256 nur bei Windows 7 m glich Phase 1 SA Lebensdauer 1440 2879 Minuten SA Lebensdauertyp Muss f r beide Phasen identisch gew hlt werden Phase 2 Verschl sselung Kein AES 128 m glich Phase 2 SA Lebensdauer 60 2879 Minuten Phase 2 Authentifizierung Kein MD5 m glich 6 5 3 Baugruppenspezifische VPN Eigenschaften projektieren Bedeutung F r den Datenaustausch ber die IPsec Tunnel im VPN k nnen Sie folgende baugruppenspezifische Eigenschaften konfigurieren e Dead Peer Detection Bi vd e Erlaubnis zur Initiierung des Verbindungsaufbaus BY e NAN IP Adresse FQDN zur Kommunikation ber Internet Gateways BY e VPN Knoten Bat A Voraussetzungen e Im Register VPN k nnen Sie nur Einstellungen vornehmen wenn
325. tz das ber die Konfiguration freigegeben werden kann kann sein Ein Subnetz das ber das lokale Netz an der internen Schnittstelle erreichbar ist wenn ein VPN Tunnel an der externen Schnittstelle oder an der DMZ Schnittstelle terminiert Ein Subnetz das ber die DMZ Schnittstelle erreichbar ist wenn ein VPN Tunnel an der externen Schnittstelle terminiert Ein Subnetz das ber die externe Schnittstelle erreichbar ist wenn ein VPN Tunnel an der DMZ Schnittstelle terminiert Bevor die Teilnehmer oder Subnetze f r die Tunnelkommunikation freigegeben werden k nnen m ssen folgende Voraussetzungen erf llt sein Die Security Baugruppe befindet sich in einer VPN Gruppe Der Dialogbereich VPN Knoten im Register VPN wird nur angezeigt wenn sich das Projekt im Erweiterten Modus befindet Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sobald Sie die Konfiguration f r das aktuelle Projekt ge ndert haben k nnen Sie eine einmal vorgenommene Umschaltung in den Erweiterten Modus nicht mehr r ckg ngig machen Abhilfe SCT Standalone Sie schlie en das Projekt ohne zu speichern und ffnen Sie es erneut Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Gesicherte Kommunikation im VPN ber IPsec Tunnel 6 9 Interne Netzknoten konfigurieren So erreichen Sie diese Funktion Bridge Modus Anmerkung Wenn Teilnehmer oder Subnetze an der DMZ Schnittstelle nur SCA
326. tzlichen Schnittstelle eine DMZ Demilitarisierte Zone einrichten Eine DMZ wird h ufig dann eingesetzt wenn Dienste f r ein unsicheres Netz bereitgestellt werden sollen und das sichere Netz das Daten f r diese Dienste liefert von dem unsicheren Netz entkoppelt sein muss In der DMZ k nnen beispielsweise Terminal Server mit installierter Wartungs und Diagnosesoftware stehen die zugelassene Anwender aus dem externen Netz nutzen k nnen In typischen DMZ Anwendunggsf llen sollte der Anwender die Firewall Regeln so projektieren dass vom Internet extern Zugriffe auf die Server in der DMZ m glich sind ggf noch zus tzlich abgesichert durch einen VPN Tunnel nicht aber auf Ger te im gesicherten Bereich intern Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 31 Einf hrung und Grundlagen 1 7 Einsatz der DMZ Schnittstelle von SCALANCE S623 und SCALANCE S627 2M DMZ Terminalserver W i m e a a m Bild 1 3 Einrichtung einer DMZ durchgef hrt 32 I Intern Automatisierungszelle Service Computer mit SOFTNET Security Client externes Netz M_I VPN Tunnel NAJ SCALANCE S623 Ne e u 1 M M un Eine exemplarische Konfiguration in welcher die DMZ Schnittstelle zur Einrichtung einer DMZ genutzt wird wird im Kapitel 4 2 SCALANCE S als Firewall zwische
327. uch 12 2014 C79000 G8900 C286 04 14I S B 4 6 Literaturverzeichnis B 4 S7 CPs Zur Montage und Inbetriebnahme des CP SIMATIC NET PC Stationen In Betrieb nehmen Anleitung und Schnelleinstieg Projektierungshandbuch Siemens AG SIMATIC NET Manual Collection Im Internet unter folgender Beitrags ID 13542666 http support automation siemens com W W view de 13542666 SIMATIC Hardware konfigurieren und Verbindungen projektieren mit STEP 7 Siemens AG Teil des Dokumentationspakets STEP 7 Grundwissen Bestandteil der Online Dokumentation in STEP 7 S7 CPs Zur Montage und Inbetriebnahme des CP SIMATIC S7 Automatisierungssystem S7 300 e CPU 31xC und 31x Aufbauen Betriebsanleitung Beitrags ID 13008499 http support automation siemens com W W view de 13008499 e Baugruppendaten Referenzhandbuch Beitrags ID 8859629 http support automation siemens com W W view de 8859629 Siemens AG sowie SIMATIC S7 Automatisierungssystem S7 400 M7 400 e Aufbauen Installationshandbuch Beitrags ID 1117849 http support automation siemens com W W view de 1117849 e Baugruppendaten Referenzhandbuch Beitrags ID 1117740 http support automation siemens com W W view de 1117740 Siemens AG Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 279 Literaturverzeichnis B 5 Zu Aufbau und Betrieb eines Industrial Ethernet Netzes B 5 ITI B 6 8 9
328. uch ICMP Echo Request Telegramme von extern externe Knoten und externe Security Baugruppen an Security Baugruppe vom folgenden Typ sind zugelassen e ESP Protokoll Verschl sselung e IKE Protokoll zum Aufbau der IPsec Tunnel e NAT Traversal Protokoll zum Aufbau der IPsec Tunnel IP Kommunikation ber IPsec Tunnel ist zugelassen Security Grundlagen und Anwendung 118 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Firewall projektieren 4 1 CPs im Standard Modus Telegramme vom Typ Syslog sind von der Security Baugruppe nach extern zugelassen und werden nicht durch die Firewall beeinflusst Hinweis Da Syslog ein ungesichertes Protokoll ist kann nicht garantiert werden dass die Log Daten gesichert bertragen werden Telegramme von der Security Baugruppe nach intern und extern sind zugelassen Antworten auf Anfragen aus dem internen Netz oder von der Security Baugruppe sind zugelassen interne Knoten CP x43 1 Adv externe Knoten externe Security Baugruppe O Firewall Bild 4 2 Standard Einstellung f r MAC Paketfilter CP x43 1 Adv Alle Telegramme von intern an die Security Baugruppe sind zugelassen Alle Telegramme von extern an die Security Baugruppe sind geblockt Alle Telegramme von extern an die Security Baugruppe vom folgenden Typ sind zuge lassen e ARP mit Bandbreitenbegrenzung e PROFINET DCP mit Bandbreitenbegrenzung e LLDP Telegramme von der Security Baugruppe nach e
329. uf die Schaltfl che Regel hinzuf gen Security Grundlagen und Anwendung 142 Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Ergebnis Siehe auch 4 3 3 Bedeutung Firewall projektieren 4 3 Firewall im Erweiterten Modus 5 Tragen Sie der Reihe nach die Firewall Regeln in die Liste ein Beachten Sie die Parameterbeschreibung in folgenden Kapiteln F r IP Regels tze IP Paketffilter Regeln Seite 151 F r MAC Regels tze MAC Paketfilter Regeln Seite 161 6 Ordnen Sie den globalen Firewall Regelsatz den Security Baugruppen zu in denen dieser verwendet werden soll Markieren Sie dazu im Navigationsbereich den globalen Firewall Regelsatz und ziehen Sie diesen auf die Security Baugruppen im Navigationsbereich Drag and Drop Alternativ k nnen Sie die Zuordnung in der lokalen Regelliste einer Security Baugruppe ber die Schaltfl che Regels tze hinzuf gen vornehmen Der globale Firewall Regelsatz wird von den Security Baugruppen als lokaler Regelsatz verwendet und erscheint automatisch in deren baugruppenspezifischen Listen der Firewall Regeln Globale Firewall Regels tze Vereinbarungen Seite 142 Benutzerspezifische IP Regels tze Benutzerspezifischen IP Regels tzen werden zun chst einzelne oder mehrere Benutzer zugewiesen Anschlie end werden die benutzerspezifischen IP Regels tze einzelnen oder mehreren Security Baugruppen zugeordnet Dadurch ist es m glich benutzerspezifische Zugriffe zu er
330. uf folgenden Schnittstellen zugelassen e Externe Schnittstelle e DMZ Schnittstelle Dynamisches DNS einrichten Voraussetzung Voraussetzung e Bei einem Anbieter f r dynamisches DNS ist ein Account angelegt und ein FQDN registriert Dynamisches DNS einrichten Gehen Sie so vor 1 W hlen Sie in den Baugruppeneigenschaften der Security Baugruppe das Register DNS 2 Falls sich die Security Baugruppe hinter einem DSL Router oder einem DSL Modem befindet geben Sie die Adresse eines g ltigen DNS Servers an Hierf r stehen Ihnen zwei Optionen zur Verf gung Option Bedeutung DNS Serveradresse automatisch beziehen Die Adresse des DNS Servers kann ber PPPoE automatisch bezogen werden wenn die Security Baugruppe ber ein DSL Modem mit dem Internet verbunden ist Kann nur f r die externe Schnittstelle und die DMZ Schnittstelle eingestellt werden Folgende DNS Serveradresse verwenden Geben Sie die Adresse des bevorzugten und des alternativen DNS Servers manuell ein Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 105 Baugruppen anlegen und Netzparameter einstellen 3 2 Schnittstellen Konfigurieren 106 3 Aktivieren Sie das Kontrollk stchen Service aktivieren im Bereich Prim rer dyn DNS Dienst und nehmen Sie die folgenden Einstellungen vor Einstellung Anbieter Bedeutung W hlen Sie aus bei welchem Anbieter Sie einen Account f r dynamisch
331. ung Globale Firewall Regels tze Benutzerspezifische IP Regels tze Alle Netzknoten die sich im internen Netzsegment eines SCALANCE S befinden werden durch dessen Firewall gesch tzt Router Betrieb Indem Sie SCALANCE S als Router betreiben entkoppeln Sie das interne Netz vom externen Netz Das von SCALANCE S verbundene interne Netz wird somit zu einem eigenen Subnetz SCALANCE S muss als Router explizit ber seine IP Adresse adressiert werden Schutz f r Ger te und Netzsegmente Die Schutzfunktion Firewall kann sich ber den Betrieb einzelner Ger te mehrerer Ger te wie auch ganzer Netzsegmente erstrecken R ckwirkungsfreiheit beim Einbau in flache Netze Bridge Betrieb Beim Einbau eines SCALANCE S602 in eine bestehende Netzinfrastruktur m ssen die Endger te nicht neu eingestellt werden Security Baugruppe und interner Teilnehmer als eine Einheit Ghost Betrieb Die Security Baugruppe tritt nach au en mit der IP Adresse des internen Teilnehmers und der MAC Adresse der Security Baugruppe auf NTP gesichert Zur sicheren Uhrzeitsynchronisation und bertragung Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 Einf hrung und Grundlagen 1 5 Einsatz von SCALANCE 5602 Interne und Externe Netzknoten SCALANCE S602 teilt Netzwerke in zwei Bereiche auf e internes Netz gesch tzte Bereiche mit den internen Knoten Interne Knoten sind alle diejenigen Knoten die von
332. ung x Recht ist aktiviert Recht ist deaktiviert Tabelle 2 8 Baugruppenrechte SCALANCE S lt V3 0 Recht innerhalb des Dienstes administrator standard diagnostics Dienst Laden der Konfigurationsdateien xl Sicherheit SCT Diagnose der Security Baugruppe durchf hren OoOo x x En x Recht ist aktiviert Recht ist deaktiviert Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 75 Projektierung mit Security Configuration Tool 2 5 Benutzer verwalten Einstellen von Baugruppenrechten vor und nach dem Anlegen von Security Baugruppen Innerhalb einer benutzerdefinierten Rolle werden die Baugruppenrechte f r jede Security Baugruppe separat definiert Wurde eine Security Baugruppe f r die die Baugruppenrechte innerhalb einer Rolle definiert werden sollen vor dem Hinzuf gen der Rolle angelegt dann werden die Baugruppenrechte f r diese Security Baugruppe gem der ausgew hlten Rechtevorlage automatisch eingestellt und k nnen bei Bedarf angepasst werden Wurde eine Security Baugruppe nach dem Anlegen einer Rolle hinzugef gt dann werden von SCT keine Rechte gesetzt In diesem Fall m ssen Sie alle Baugruppenrechte f r die Security Baugruppe selbst einstellen Bereits bestehende Baugruppenrechte k nnen Sie auch durch Kopieren auf eine andere Security Baugruppe bernehmen und dort ggf anpassen W hlen Sie hierzu im Kontextmen einer Security Baugruppe in den Baugruppenrechten den Men be
333. ung eingebunden wurden wird ein Teil der Baugruppeneigenschaften ausschlie lich ber die Redundanzbeziehung projektiert Dieser Anteil der Baugruppeneigenschaften wird f r die einzelnen Security Baugruppen deaktiviert und ist erst wieder nach dem Entfernen der Security Baugruppen aus der Redundanzbeziehung aktiv und editierbar Folgende Eigenschaften werden ber die Redundanzbeziehung projektiert e Grundeinstellungen der Redundanzbeziehung Netzparameter Prim rbaugruppe e Firewall e Routing e NAT NAPT Routing kein 1 1 NAT Die im Folgenden aufgef hrten Einstellungen sind auch nach dem Einbinden in eine Redundanzbeziehung f r die einzelnen Security Baugruppen aktiv Diese Einstellungen k nnen f r beide Security Baugruppen weiterhin separat angepasst werden e Schnittstellen Einstellungen Die Deaktivierung von Schnittstellen ist nicht m glich e Standardregeln f r IP Dienste Firewall Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 233 Router und Firewallredundanz 7 2 Redundanzbeziehungen anlegen und Security Baugruppen zuordnen DDNS Zeitsynchronisierung Log Einstellungen SNMP MRP HRP RADIUS 7 2 Redundanzbeziehungen anlegen und Security Baugruppen zuordnen Voraussetzungen Es k nnen nur Security Baugruppen einer Redundanzbeziehung zugeordnet werden die folgende Voraussetzungen erf llen Vorgehensweise 234 Security Baugruppe ist vom Typ S623 V4 oder S6
334. ungsgeschwindigkeit bei optischen Ports F r Ports mit dem Port Typ Optisch ist der Port Modus durch das verwendete Medienmodul bzw durch den verwendeten SFP fest vorgegeben und kann nicht angepasst werden 3 2 2 Schnittstellen So erreichen Sie diese Funktion 1 Markieren Sie die zu bearbeitende Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Schnittstellen Schnittstellenrouting Auswahlm glichkeiten Wenn sich die SCALANCE S Baugruppe in keiner VPN Gruppe und in keiner Redundanzbeziehung befindet kann das Schnittstellenrouting in diesem Feld ver ndert werden Die Auswahl gilt f r das Schnittstellenrouting zwischen externer und interner Schnittstelle Die DMZ Schnittstelle nur SCALANCE S623 und SCALANCE S627 2M wird immer im Routing Modus angebunden Bridge Modus F r den Betrieb in flachen Netzen Externe und interne Schnitt stelle befinden sich im selben IP Subnetz F r S623 S627 2M Externe und interne Schnittstelle befinden sich im selben IP Subnetz DMZ Schnittstelle befindet sich in einem anderen IP Subnetz oder ist deaktiviert Routing Modus Alle Schnittstellen befinden sich in verschiedenen IP Subnetzen Hinweis Wenn Sie f r die SCALANCE S Baugruppe den Routing Modus aktiviert haben k nnen keine MAC Firewall Regeln definiert werden Ghost Modus Im Betrieb bernimmt die SCALANCE S Baugruppe f r die externe Schnittstelle die IP Adre
335. ungshandbuch 12 2014 C79000 G8900 C286 04 Baugruppen anlegen und Netzparameter einstellen 3 1 Parameter im Inhaltsbereich Feld in SCT CP x43 1 Adv CP 1628 IP Adresse int IP Adresse PROFINET Wird nicht angezeigt Subnetzmaske int Subnetzmaske PROFINET Wird nicht angezeigt Standard Router In STEP 7 projektierter Stan In STEP 7 projektierter Standard Router dard Router MAC Adresse MAC Adresse Gigabit falls pro MAC Adresse IE falls projektiert jektiert Ebenfalls angezeigt werden die Adressdaten im Register Schnittstellen Dynamisch vergebene IP Adresse Ist in STEP 7 projektiert dass die IP Adresse dynamisch vergeben werden soll wird dies in SCT je nach Einstellungen folgenderma en dargestellt Tabelle 3 1 Gigabit Schnittstelle Betriebsart in STEP 7 IP Adresse ext Subnetzmaske ext Felder in SCT IP Adresse von einem DHCP dynamisch Server beziehen Tabelle 3 2 PROFINET Schnittstelle Betriebsart in STEP 7 IP Adresse int Subnetzmaske int Felder in SCT IP Adresse von einem DHCP dynamisch Server beziehen IP Adresse im Anwenderpro gramm einstellen IP Adresse auf anderem Weg einstellen Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G68900 C286 04 93 Baugruppen anlegen und Netzparamelter einstellen 3 2 Schnittstellen Konfigurieren 3 2 3 2 1 Schnittstellen konfigurieren bersicht Anschlussm glic
336. urch das DHCP Protokoll von der Security Baugruppe eine Router IP Adresse an den Teilnehmer bermittelt Der Teilnehmer befindet sich an der DMZ Schnittstelle nur SCALANCE S623 S627 2M Die Security Baugruppe bermittelt in diesem Fall die eigene IP Adresse als Router IP Adresse Der Teilnehmer befindet sich an der internen Schnittstelle und die Security Baugruppe ist f r den Router Betrieb konfiguriert Die Security Baugruppe bermittelt in diesem Fall die eigene IP Adresse als Router IP Adresse Der Teilnehmer befindet sich an der internen Schnittstelle und die Security Baugruppe ist nicht f r den Router Betrieb konfiguriert es ist aber in der Konfiguration der Security Baugruppe ein Standard Router angegeben Die Security Baugruppe bermittelt in diesem Fall die IP Adresse des Standard Routers als Router IP Adresse e Router IP Adresse wird nicht bermittelt Tragen Sie in folgenden F llen die Router IP Adresse beim Teilnehmer manuell ein Der Teilnehmer befindet sich an der internen Schnittstelle und die Security Baugruppe ist nicht f r den Router Betrieb konfiguriert Zus tzlich ist in der Konfiguration der Security Baugruppe kein Standard Router angegeben Konsistenzpr fungen Seite 63 Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 189 Weitere Baugruppeneigenschaften projektieren 5 2 Security Baugruppe als DHCP Server 5 2 2 DHCP Server konfigurieren Voraussetzu
337. vor unberechtigtem Zugriff Achten Sie darauf dass der Projektierungsrechner PC PG bzw das Projekt vor unberechtigtem Zugriff gesch tzt ist Hinweis Gastkonto deaktivieren Stellen Sie sicher dass das Gastkonto auf dem Projektierungsrechner deaktiviert ist Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 15 Einf hrung und Grundlagen 1 1 Wichtige Hinweise 16 Hinweis Aktuelles Datum und aktuelle Uhrzeit auf den Security Baugruppen Achten Sie bei der Verwendung von gesicherter Kommunikation z B HTTPS VPN darauf dass die betroffenen Security Baugruppen ber die aktuelle Uhrzeit und das aktuelle Datum verf gen Die verwendeten Zertifikate werden sonst als nicht g ltig ausgewertet und die gesicherte Kommunikation funktioniert nicht Hinweis Aktuelle Antiviren Software Es wird empfohlen dass auf allen Projektierungsrechnern immer eine aktuelle Antiviren Software installiert und aktiviert ist Hinweis FTPS Wird in der vorliegenden Dokumentation die Benennung FTPS verwendet ist damit FTPS im expliziten Modus gemeint FTPES Hinweis Keine Umschaltung zur ck in den Standard Modus m glich Sie k nnen eine einmal vorgenommene Umschaltung in den Erweiterten Modus f r das aktuelle Projekt nicht mehr r ckg ngig machen Abhilfe f r SCT Standalone Schlie en Sie das Projekt ohne zu speichern und ffnen Sie es erneut Hinweis Zus tzliche Secu
338. wall zutrifft oder auf die der Basisschutz reagiert korrupte bzw ung ltige Pakete Voraussetzung ist dass die Aufzeichnung f r die Paketfilter Regel aktiviert ist Audit Ereignisse Der Audit Log zeichnet automatisch fortlaufend sicherheitsrelevante Ereignisse auf wie z B Benutzeraktionen wie das Ein oder Ausschalten des Paket Loggings System Ereignisse Der System Log zeichnet automatisch fortlaufend Systemereignisse wie z B den Start eines Prozesses oder Aktionen bei denen sich ein Benutzer nicht korrekt ber Passwort authentisiert hat auf Anhand von Ereignisklassen ist die Aufzeichnung skalierbar Leitungsdiagnose Zus tzlich ist eine Leitungsdiagnose projektierbar Die Leitungsdi agnose liefert Meldungen sobald die Anzahl fehlerhafter Telegrammpakete einen einstellbaren Grenzwert berschritten hat gt R Speicherverfahren f r die Datenaufzeichnung beim lokalen Logging Die Speicherung bei der Datenaufzeichnung erfolgt nach zwei w hlbaren Verfahren e Umlaufspeicher Bei Erreichen des Pufferendes wird die Aufzeichnung am Pufferanfang mit dem berschreiben der ltesten Eintr ge fortgesetzt e Linearer Speicher Die Aufzeichnung stoppt wenn der Puffer voll ist Ein bzw Ausschalten des Logging Im Erweiterten Modus k nnen Sie in der Betriebsart Offline ber die Log Einstellungen in den Baugruppeneigenschaften das lokale Logging f r die Ereignisklassen aktivieren und das Speicherverfahren
339. xtern vom folgenden Typ sind zugelas sen e ARP mit Bandbreitenbegrenzung e PROFINET DCP mit Bandbreitenbegrenzung Folgende Protokolle die durch IPsec Tunnel gesendet werden sind zugelassen e ISO e LLDP Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 G8900 C286 04 119 Firewall projektieren 4 1 CPs im Standard Modus 4 1 1 2 Hinweis Keine Kommunikation am VPN Tunnel vorbei Zus tzlich wird f r alle im Projekt bekannten VPN Partnern verhindert dass eine Kommunikation zwischen den VPN Endpunkten am Tunnel vorbei m glich ist Das Verhalten kann auch nicht durch das Anlegen von entsprechenden Firewall Regeln im Erweiterten Modus ge ndert werden Firewall projektieren So erreichen Sie diese Funktion 1 Markieren Sie die zu bearbeitende Security Baugruppe 2 W hlen Sie den Men befehl Bearbeiten gt Eigenschaften Register Firewall Tabelle 4 1 Verf gbare Dienste und Richtungen Dienst Station gt Extern Extern gt Extern Freigegebe Bedeutung Extern gt Intern Station Station ne Ports Intern gt Extern Erlaube IP x x x Der IP Verkehr f r die ausgew hlten Kommu Kommuni nikationsrichtungen wird zugelassen kation Erlaube S7 x x x TCP Port Kommunikation der Netzwerkteilnehmer ber Protokoll 102 das S7 Protokoll wird zugelassen Erlaube x x x TCP Port 20 Zur Dateiverwaltung und Dateizugriff zwischen FTP F
340. ysikalische Eigenschaft des Ports Kupfer LWL Port Modus Autonegotiation Die bertragungsgeschwindigkeit und das Duplex Verfahren werden automatisch zwischen IEEE 802 3 konformen Ports ausgehandelt Hinweis Nur wenn Autonegotiation ausgew hlt ist wird eine ber tragungsgeschwindigkeit von 1000 MBit s sowie die Au tocrossing Funktion unterst tzt 10 MBit s half und full duplex bertragungsgeschwindigkeit von 10 MBit s 100 MBit s half und full duplex bertragungsgeschwindigkeit von 100 MBit s Die bertragungsgeschwindigkeit und das Duplex Verfahren werden automatisch zwischen BroadR Reach konformen Ports ausgehandelt Long Distance Signalling LDS Aus nur externer Port oder Der Port wird deaktiviert DMZ Port bei SCALANCE S623 und SCALANCE S627 2M Hinweis 777 Ports von Medienmodulen die als bertragungsmedium Lichtwellenleiter verwenden arbeiten stets mit dem Vollduplex Verfahren und maximaler bertragungsgeschwindigkeit Der Port Modus von Ports optischer Medienmodule kann deshalb nicht projektiert werden LLDP Modus im Routing Modus RxTx N here Informationen zu LLDP finden Sie in folgen LLDP Telegramme senden und empfangen dem Kapitel LLDP Seite 107 Off LLDP Telegramme empfan gen MRP Port im Routing Modus f r die Medienmodulports der externen und internen Schnittstelle Anzeige ob die Medienmodulports der Schnitts
341. zimalzahlen aus dem Wertebereich 0 bis 255 die durch einen Punkt voneinander getrennt sind z B 255 255 0 0 Die 4 Dezimalzahlen der Subnetzmaske m ssen in ihrer bin ren Darstellung von links eine Folge von l ckenlosen Werten 1 und von rechts eine Folge von l ckenlosen Werten 0 enthalten Die Werte 1 bestimmen die Netznummer innerhalb der IP Adresse Die Werte 0 die Host Adresse innerhalb der IP Adresse Beispiel richtige Werte 255 255 0 0 Dezimal 11111111 11111111 00000000 00000000 Bin r 255 255 128 0 Dezimal 11111111 11111111 10000000 00000000 Bin r 255 254 0 0 Dezimal 11111111 11111110 00000000 00000000 Bin r falscher Wert 255 255 1 0 Dezimal 11111111 11111111 00000001 00000000 Bin r Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 273 Anhang A 3 MAC Adresse Zusammenhang IP Adresse und Subnetzmaske Die erste Dezimalzahl der IP Adresse von links bestimmt den Aufbau der Subnetzmaske hinsichtlich der Anzahl der Werte 1 bin r wie folgt f r x steht die Host Adresse Erste Dezimalzahl der IP Adresse Subnetzmaske O bis 127 255 x X X 128 bis 191 255 255 x X 192 bis 223 255 255 255 x Hinweis F r die erste Dezimalzahl der IP Adresse k nnen Sie auch einen Wert zwischen 224 und 255 eintragen Dies ist jedoch nicht empfehlenswert da dieser Adressbereich f r andere Aufgaben reserviert ist und bei einigen Konfigurationstools z B STEP
342. zpr fungen e Projektweite Konsistenzpr fungen Auf welche gepr ften Regeln Sie bei der Eingabe achten m ssen finden Sie in den jeweiligen Dialogbeschreibungen unter dem Stichwort Konsistenzpr fung Security Grundlagen und Anwendung Projektierungshandbuch 12 2014 C79000 68900 C286 04 63 Projektierung mit Security Configuration Tool 2 4 Projekte anlegen und verwalten Lokale Konsistenzpr fungen Eine Konsistenzpr fung hei t lokal wenn sie direkt innerhalb eines Dialogs durchgef hrt werden kann Bei folgenden Aktionen k nnen Pr fungen ablaufen e nach dem Verlassen eines Feldes e nach dem Verlassen einer Zeile in einer Tabelle e beim Verlassen des Dialogs mit OK Projektweite Konsistenzpr fungen Projektweite Konsistenzpr fungen geben Aufschluss ber korrekt konfigurierte Baugruppen Bei folgenden Aktionen erfolgt eine automatische projektweite Konsistenzpr fung e beim Speichern des Projekts e beim ffnen des Projekts e vor dem Laden einer Konfiguration Hinweis Projektierdaten k nnen Sie nur laden wenn das Projekt insgesamt konsistent ist So veranlassen Sie eine projektweite Konsistenzpr fung F hren Sie die Konsistenzpr fung f r ein ge ffnetes Projekt folgenderma en durch Men befehl Optionen gt Konsistenzpr fungen Das Pr fergebnis wird in einer Liste ausgegeben die Sie nach den Meldungstypen Fehler oder Warnungen filtern k nnen Wenn das Projekt inkonsistente Daten e
343. zum Ausgabestand des SOFTNET Security Client Details Liste aller f r die Funktion des SOFTNET Security Client ben tigten Dateien mit R ckmeldung ob diese auf dem System gefunden werden konnten 8 5 Tunnel einrichten und bearbeiten Einrichten von sicheren Verbindungen zu allen Security Modulen Im Dialog f r den Konfigurationsimport w hlen Sie ob die Tunnelverbindung f r alle internen Teilnehmer der Security Baugruppe sofort eingerichtet werden sollen Dadurch ergeben sich die folgenden M glichkeiten e Ja Tunnel automatisch aktivieren F r die in der Konfiguration eingetragenen IP Adressen der Security Baugruppen werden die Tunnel zu diesen IP Adressen eingerichtet e Nein Tunnelkonfiguration nur einlesen Optional k nnen Sie die konfigurierten Tunnel nur einlesen und anschlie end im Dialog Tunnel bersicht das Einrichten der Tunnel einzeln vornehmen Aktiviere Verbindung zu den internen Knoten Desktiviere Verbindung zu den internen Knoten W hle Netzwerkverbindung Teste Tunnel Erweiterte Diagnose L sche Eintrag F Leinen des irtenen Knoten der Tunnelpastner aktivieren BR SOFTNET Security Client Tunnel bersicht O ii Tunneliste Status Name int Te nehmerIP Subnetz Tunnelendpurk HP Tunnel uber iha Mon SCALANCE 612 12 188101 192 168 10 222 ih moar SCALANCE 612 192168102 19216810222 op SCALANCE 5 12 168 103 132 168 10 222 15 39 52 fconigl 15395
Download Pdf Manuals
Related Search