Deckblatt Schutz einer Automatisierungszelle durch das Security Modul SCALANCE S602 V3 mittels Firewall (Bridge/Routing) SCALANCE S602 V3 Applikationsbeschreibung August 2012 Applikationen & Tools Answers for industry. Siemens Industry Online Support Dieser Beitrag stammt aus dem Siemens Industry Online Support. Durch den folgenden Link gelangen Sie direkt zur Downloadseite dieses Dokuments: http://support.automation.siemens.com/WW/view/de/22376747 Vorsicht: Die in diesem Beitrag beschriebenen Funktionen und Lösungen beschränken sich überwiegend auf die Realisierung der Automatisierungsaufgabe. Bitte beachten Sie darüber hinaus, dass bei Vernetzung Ihrer Anlage mit anderen Anlagenteilen, dem Unternehmensnetz oder dem Internet entsprechende Schutzmaßnahmen im Rahmen von Industrial Security zu ergreifen sind. Weitere Informationen dazu finden Sie unter der Beitrags-ID 50203404. http://support.automation.siemens.com/WW/view/de/50203404 Nutzen Sie auch aktiv unser technisches Forum im Siemens Industry Online Support zu diesem Thema. Bringen Sie Fragen, Anregungen oder Probleme mit ein und diskutieren Sie diese zusammen mit unserer starken Forengemeinde: Copyright Siemens AG 2012 All rights reserved http://www.siemens.de/forum-applikationen 2 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 s SIMATIC Firewall mit SCALANCE S602 V3 Copyright Siemens AG 2012 All rights reserved Industrial Security Aufgabe 1 Automatisierungslösung 2 Risikominimierung durch Security 3 Produktübersicht SCALANCE S 4 Installation 5 Inbetriebnahme im Bridge-Modus 6 Inbetriebnahme im Routing-Modus 7 Bedienung der Applikation 8 Literaturhinweise 9 10 Historie S602 V3 Firewall V3.0, Beitrags-ID: 22376747 3 Gewährleistung und Haftung Gewährleistung und Haftung Hinweis Die Applikationsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Applikationsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Applikationsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Applikationsbeispielen jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Applikationsbeispiel und anderen Siemens Publikationen, wie z.B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang. Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Copyright Siemens AG 2012 All rights reserved Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z.B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden. Weitergabe oder Vervielfältigung dieser Applikationsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens Industry Sector zugestanden. 4 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Inhaltsverzeichnis Inhaltsverzeichnis Gewährleistung und Haftung...................................................................................4 1 Aufgabe...........................................................................................................7 1.1 1.2 2 Automatisierungslösung................................................................................9 2.1 2.2 2.3 2.4 4 Die Idee des Zellenschutzkonzeptes................................................ 29 SCALANCE S602 V3....................................................................... 30 Das Security Configuration Tool....................................................... 32 Symbolische Adressierung............................................................... 33 Verwaltung der Benutzer ................................................................. 34 Firewall-Regeln................................................................................35 Rangfolge der Regeln...................................................................... 36 Die unterschiedlichen Firewallregelsätze ......................................... 37 Vereinbarung für die Firewallregelsätze ........................................... 39 Logging und Diagnosemöglichkeiten im SCT ................................... 40 Online Funktionen ...........................................................................40 Logging ...........................................................................................41 Installation ....................................................................................................44 5.1 5.2 6 Bedingungen und Anforderungen .................................................... 14 Das Schutzkonzept von SIEMENS: Defense-in-Depth ..................... 15 Security Mechanismus: Die Firewall................................................. 15 Typisierung der Firewall................................................................... 15 Das Stateful Packet Inspection ........................................................ 16 Security Mechanismus: Adressumsetzung mit NA(P)T..................... 17 Die Adressumsetzung mit NAT ........................................................ 18 Die Adressumsetzung mit NAPT...................................................... 20 FTP über einen NAPT-Router.......................................................... 22 Zusammenhang zwischen NA(P)T und Firewall ............................... 24 Produktübersicht SCALANCE S .................................................................. 29 4.1 4.2 4.3 4.3.1 4.3.2 4.4 4.4.1 4.4.2 4.4.3 4.5 4.5.1 4.5.2 5 Übersicht Gesamtlösung....................................................................9 Beschreibung der Kernfunktionalität................................................. 11 Verwendete Hard- und Software-Komponenten ............................... 12 Alternativlösung: VPN Tunnel .......................................................... 13 Risikominimierung durch Security.............................................................. 14 3.1 3.2 3.3 3.3.1 3.3.2 3.4 3.4.1 3.4.2 3.4.3 3.5 Copyright Siemens AG 2012 All rights reserved 3 Einführung.........................................................................................7 Übersicht ...........................................................................................7 Installation der Hardware ................................................................. 44 Installation der Software .................................................................. 46 Inbetriebnahme im Bridge-Modus ............................................................... 47 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.8.1 6.8.2 6.8.3 6.8.4 6.8.5 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Übersicht des Konfigurationsmodus................................................. 47 Vergabe der IP-Adressen ................................................................ 49 Anlegen eines Projektes im SCT...................................................... 52 Freischalten des DCP-Protokolls ..................................................... 53 Symbolische Adressierung im SCT .................................................. 54 Erweiterter Modus ...........................................................................55 Projektierung des Syslog-Logging.................................................... 55 Konfiguration der Firewallregeln.......................................................56 IP-Dienst Definition..........................................................................56 Definition von Benutzer für das SCT ................................................ 57 Anlegen der globalen Firewallregel .................................................. 59 Anlegen der lokalen Firewallregeln .................................................. 60 Anlegen von benutzerspezifischen Firewallregeln ............................ 62 5 Inhaltsverzeichnis 6.9 7 Inbetriebnahme im Routing-Modus ............................................................. 65 7.1 7.2 7.3 7.4 7.4.1 7.4.2 7.5 8 Firewallregeln in den S602 V3 laden................................................ 64 Übersicht des Konfigurationsmodus................................................. 65 Basis Projektierungen aus dem Bridge-Modus ................................. 66 Änderung des Betriebsmodus auf Routing ....................................... 67 Konfiguration von NA(P)T ................................................................ 68 Konfiguration der NAT-Tabelle......................................................... 68 Konfiguration der NAPT-Tabelle ...................................................... 69 Laden der SCALANCE S602 V3 Konfiguration................................. 70 Bedienung der Applikation ..........................................................................71 8.1 8.2 8.2.1 8.2.2 Bedienung im Bridge-Modus............................................................ 71 Bedienung im Router-Modus ........................................................... 78 Routing über NAT............................................................................79 Routing über NAPT..........................................................................86 Literaturhinweise.......................................................................................... 92 10 Historie..........................................................................................................92 Copyright Siemens AG 2012 All rights reserved 9 6 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 1 Aufgabe 1 Aufgabe 1.1 Einführung In der industriellen Automatisierung steht die Sicherheit der Netzwerke innerhalb der Produktion an oberster Stelle. In der Vergangenheit waren Automatisierungsinseln häufig physikalisch abgeschottet und nutzten die integrierte Sicherheit der Feldbusse. Aufgrund des Vormarsches industrieller Ethernet-Lösungen, die zunehmende Vernetzung mit der Office-Welt und vieler ungesicherter Schnittstellen in der Feldebene ist das Thema Sicherheit von größter Bedeutung. Durch diesen Fortschritt ist die industrielle Kommunikation den gleichen Gefährdungen ausgesetzt, die aus dem Office- und IT-Umfeld bekannt sind, wie z.B. Hacker, Viren, Würmer und Trojaner, aber auch Kommunikationslast (Broadcast). 1.2 Übersicht Überblick über die Automatisierungsaufgabe Folgendes Bild gibt einen Überblick über die Automatisierungsaufgabe. Abbildung 1-1 PC 1 PC 2 PC 3 PC 4 Copyright Siemens AG 2012 All rights reserved Die bestehenden Security-Konzepte und der Einsatz von Standardkomponenten aus der Office-Welt erfordern ständige Pflege und spezielles Expertenwissen. Sie sind in der Regel nicht den speziellen Anforderungen der industriellen Kommunikation gewachsen. Automatisierungszelle 1 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Automatisierungszelle 2 Automatisierungszelle N 7 1 Aufgabe Beschreibung der Automatisierungsaufgabe Eine Automatisierungszelle soll so mit dem Firmennetz verbunden werden, dass über eine Zugriffskontrolle nur bestimmte Geräte bzw. Kommunikationsdienste Zugriff auf die internen Teilnehmer haben. Folgende Anwenderszenarien werden dabei für auserwählte Partner freigegeben: Tabelle 1-1 Anwenderszenarien Partner Projektierung/ Diagnostizieren mit STEP 7 PC 1 Knotentaufe der internen Teilnehmer PC 1 Logging der Datenpakete für die S7-Kommunikation PC 2 Zugriff auf zelleninterne Web- und FTP Server PC 3 Blocken von unbefugten Zugriffsversuchen PC 4 Anforderungen Die realisierte Zugriffsteuerung soll einfach und kostengünstig erfolgen und auch vom Automatisierungs-Personal erstellt und gepflegt werden können. Siemens AG 2012 All rights reserved Es soll eine durchgängige Diagnose der Feldgeräte und Netzwerkkomponenten von der Leitebene aus möglich sein. Copyright Die Automatisierungszellen können gleich aufgebaut sein (gleiche IP-Bänder) (siehe Abbildung 1-1). 8 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 2 Automatisierungslösung 2 Automatisierungslösung 2.1 Übersicht Gesamtlösung Schema Die folgende Abbildung zeigt schematisch die wichtigsten Komponenten der Lösung: Abbildung 2-1 * Webbrowser * FTP-Client Siemens AG 2012 All rights reserved * Syslog-Server * Daten-Logging Copyright Externer PC Leitwarte X208 Service-PC * STEP 7 * Webbrowser * FTP-Client STEP 7 Syslog-Server S602 V3 * Security Komponente * Firewall * Router * Webserver * FTP-Server CPU+CP * STEP 7Programm * Simulation X208 PN-CPU Mit Firewall geschützte Automatisierungszelle S602 V3 Firewall V3.0, Beitrags-ID: 22376747 9 2 Automatisierungslösung Aufbau Die geschützte Automatisierungszelle enthält zwei SIMATIC S7-300 Stationen, die wie folgt über einen SCALANCE X208 mit der internen Schnittstelle des S602 V3 verbunden sind: S7-300 Station 1 mit einer CPU317-2 PN/DP über einen CP343-1 Advanced. S7-300 Station 2 über die integrierte Schnittstelle der CPU319-3 PN/DP. An der externen Schnittstelle des SCALANCE S602 V3 sind über einen SCALANCE X208 verbunden: Ein PC in der Leitwarte über eine integrierte Ethernet-Schnittstelle. Ein PC eines Servicemitarbeiters über eine integrierte Ethernet-Schnittstelle. Ein PC zum Aufzeichnen der Log-Dateien. Copyright Siemens AG 2012 All rights reserved Ein externer PC für die Demonstration unbefugter Zugriffe. 10 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 2 Automatisierungslösung 2.2 Beschreibung der Kernfunktionalität SCALANCE S602 V3 Kernstück dieser Applikation ist das SCALANCE Security Modul S602 V3. Dieses Modul ist Teil des Siemens Security-Konzeptes und speziell für die industrielle Automatisierungstechnik entwickelt. Es kann als Firewall konfiguriert und so zum Schutz von Automatisierungszellen/-komponenten eingesetzt werden. Auf einfache Weise kann so erreicht werden, dass nur von bestimmten PCs aus auf Einzelgeräte innerhalb der geschützten Automatisierungszelle zugegriffen werden kann. Um den Anforderungen der Automatisierungsaufgabe gerecht zu werden, kann der SCALANCE S602 V3 sowohl für subnetzübergreifende Kommunikation (Routing-Modus), wie auch im flachen Netz (Bridge-Modus) verwendet werden. Beschreibung der Anwender-Szenarien Die folgende Tabelle zeigt die in dieser Applikation dargestellten Szenarien, die mit den entsprechenden Firewall-Regeln im SCALANCE S-Modul realisiert werden. Copyright Siemens AG 2012 All rights reserved Diese Szenarien werden sowohl für den Routing-, als auch für den Bridge-Modus demonstriert. Tabelle 2-1 Nr. Anwendung Beschreibung 1. Parametrierung IP-Konfiguration aller zelleninternen Geräte durch Knotentaufe in STEP 7 (über DCP). 2. Projektierung/ Diagnostizierung/ Visualisierung Freischalten der vollen PG-Funktionalität (STEP 7) für den PC des Servicemitarbeiters. 3. Bandbreitenbeschränkung Einschränkung der Datenkommunikation für den PC des Servicemitarbeiters. 4. Produktivdatentransfer, Visualisierung Freischalten des Zugriffs auf den FTPund Webserver des zelleninternen Advanced-CPs für den PC der Leitwarte. 5. Logging des Datenverkehrs Freischalten des Datenverkehrs-Logging für einen externen Syslogserver. Vorteile dieser Lösung Schutz vor Datenspionage und -manipulation. Schutz gegen Überlastung des Kommunikationssystems. Benutzerfreundliche und einfache Konfiguration sowie Administration ohne Spezialkenntnisse über IT-Security. SCALANCE S kann rückwirkungsfrei in bestehende Automatisierungsnetze eingebaut werden. Skalierbare Sicherheitsfunktionalität. SCALANCE S Projektierung ohne IT-Security Expertenwissen mittels eines einheitlichen Projektierwerkzeugs „Security Configuration Tool“ und den Standard Mode- Einstellungen. Remote-Diagnose: Log-Dateien können mittels Syslog-Server ausgewertet werden. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 11 2 Automatisierungslösung 2.3 Verwendete Hard- und Software-Komponenten Die Applikation wurde mit den nachfolgenden Komponenten erstellt: Hardware-Komponenten Tabelle 2-2 Anz. MLFB/Bestellnummer SCALANCE S602 V3 1 Power Supply PS307 2A 2 6GK5602-0BA10-2AA3 6ES7 307-1BA00-0AA0 CPU319-3PN/DP 1 6AG1318-3EL00-2AB0 CPU317-2PN/DP 1 6ES73157-2EK14-0AB0 CP343-1 Advanced 1 6GK7343-1GX31-0XE0 SCALANCE X208 2 6GK5208-0BA10-2AA3 PC 4 Ethernet-Kabel 8 Hinweis Alternativ kann auch jede andere CPU verwendet werden. Alternativ kann auch jeder andere IT-CP verwendet werden. Standard Software-Komponenten Tabelle 2-3 Komponente Copyright Siemens AG 2012 All rights reserved Komponente Anz. MLFB/Bestellnummer Hinweis SIMATIC MANAGER V5.5 SP2 1 6ES7810-4CC08-0YA5 Security Configuration Tool ab V3 1 Wird mit dem SCALANCE S ausgeliefert. Benötigte Tools Diese Applikation nutzt Software-Komponenten, die Sie als Freeware aus dem Internet laden können. Im Detail sind das: Webserver FTP-Client Syslog-Server Primary Setup Tool (zur Adresseinstellung von SIMATIC NET Produkten. Siehe \3\ im Kapitel 9 (Literaturhinweise)). Beispieldateien und Projekte Die folgende Liste enthält alle Dateien und Projekte, die in diesem Beispiel verwendet werden. Tabelle 2-4 Komponente 12 Hinweis 22376747_Firewall_S602_CODE_v30.zip Diese gepackte Datei enthält die STEP 7 Projekte. 22376747_Firewall_S602_DOKU_v30_d.pdf Dieses Dokument. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 2 Automatisierungslösung 2.4 Alternativlösung: VPN Tunnel Alternativ zum Schutz eines Netzwerks über eine Firewall können Sie auch einen VPN-Tunnel nutzen. Ein VPN-Tunnel ist ein „virtuelles privates Netzwerk“ (vergleichbar einem LAN) über ein unsicheres Netzwerk (Internet). Diese sicheren Netzwerke werden durch Verschlüsselung der Datenpakete, Authentifizierung und Authentisierung der Teilnehmer ermöglicht. Firewall vs. VPN Die Unterschiede bzw. Vor- und Nachteile gegenüber der Firewall zeigt die folgende Tabelle: Tabelle 2-5 Copyright Siemens AG 2012 All rights reserved VPN Tunnel Firewall Peer-to-Peer Verbindung; zum Aufbau einer VPN-Verbindung sind immer mindestens zwei Geräte notwendig. (Gateway – Gateway; Gateway- Host) Nur ein Gerät notwendig; Firewall kann hardwareund softwarebasiert sein. Schutz über die ganze VPN-Verbindung hinweg. Konzentration der Sicherheitsmaßnahmen auf einen Punkt. Datenverschlüsselung, Authentisierung (Nachweis der eigenen Identität) und Authentifizierung (Überprüfung der Identität des Partners) erfolgt über ein Passwort (Pre-Shared Key) oder Zertifikate (X.509v3 Zertifikate). Kontrolle und Filterung des Datenverkehrs auf dem OSI-Referenzmodell Schicht 2-7. Datenpakete können zugelassen oder verworfen werden. Weitere Informationen Mehr Informationen über VPN finden Sie in folgenden Applikationen und FAQs: Tabelle 2-6 Titel Gesicherter Remote Access auf SIMATIC Stationen mit dem SCALANCE S612 V3 über Internet und UMTS. Link http://support.automation.siemens.com/WW/view/de/ 24960449 Gesicherter Remote Access auf SIMATIC Stationen mit dem SOFTNET Security Client über Internet und UMTS. Security mit SCALANCE S612 V3 Modulen über IPsec-gesicherte VPN-Tunnel http://support.automation.siemens.com/WW/vie w/de/22056713 Fernwirkkonzept mit SCALANCE S Modulen über IPsec-gesicherte VPN-Tunnel Wie wird ein VPN-Tunnel zwischen einer PCStation mit Windows XP SP2 und einem SCALANCE S61x V2.1 über das Internet mit der Microsoft Management Console konfiguriert? http://support.automation.siemens.com/WW/view/de/ 26098355 Wie wird mit dem SOFTNET Security Client Edition 2005 HF1 ein VPN-Tunnel zwischen PCStation und SCALANCE S61x V2.1 über Internet konfiguriert? http://support.automation.siemens.com/WW/view/de/ 24953807 Wie wird ein VPN-Tunnel zwischen zwei SCALANCE S 61x Modulen im Routing Modus über Internet konfiguriert? http://support.automation.siemens.com/WW/view/de/ 24968211 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 13 3 Risikominimierung durch Security 3 Risikominimierung durch Security Die Ethernet-basierte Kommunikation nimmt im Automatisierungsumfeld eine zentrale Rolle ein und bringt durch die Nutzung der offenen und standardisierten IT-Technologien viele Vorteile mit sich. Doch die zunehmende Offenheit und Durchgängigkeit erhöht auch das Risiko ungewollter Manipulation. Deshalb wird ein Security-Konzept benötigt, das einerseits die industrielle Kommunikation zuverlässig schützen kann, aber andererseits auch die speziellen Erfordernisse der Automatisierungstechnik berücksichtigt. Hinweis 3.1 Einen 100 %- Schutz kann niemand garantieren. Aber es gibt viele Möglichkeiten, das Risiko so gering wie möglich zu halten. Bedingungen und Anforderungen Anforderungen Teilnehmerberechtigung: Es dürfen nur definierte Teilnehmer an der Datenkommunikation teilnehmen. Eine Authentifizierung ist erforderlich. Paketidentifizierung: Es muss sichergestellt werden, dass die Datenpakete unverändert an ihrer Zieladresse ankommen. Vertraulichkeit: Netzwerke hinter den Security Modulen sollen für Dritte verborgen bleiben. Bedingungen der Automatisierungstechnik Die speziellen Erfordernisse der Automatisierungstechnik sind: Copyright Siemens AG 2012 All rights reserved Die Anforderungen an die Sicherheit sind unter anderem: Berücksichtigung der Effektivität und Wirtschaftlichkeit durch Nutzung vorhandener Infrastruktur. Rückwirkungsfreie Integration: Die bestehende Netzinfrastruktur darf nicht verändert werden und vorhandene Komponenten nicht neu konfiguriert werden. Bewahrung der Datensicherheit durch Schutz vor unbefugten Zugriffen. 14 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 3 Risikominimierung durch Security 3.2 Das Schutzkonzept von SIEMENS: Defense-in-Depth Mehrstufiges Sicherheitskonzept Die zunehmende Vernetzung und der Einsatz von bewährten Technologien der „Office-Welt“ in Automatisierungsanlagen erfordert einen erhöhten Bedarf an Sicherheit. Dabei reicht es nicht aus, nur einen oberflächlichen und limitierten Schutz anzubieten, da Angriffe von außen auf mehreren Ebenen erfolgen können. Für einen optimalen Schutz ist ein tiefes Sicherheitsbewusstsein notwendig. Zur Erreichung der geforderten Sicherheitsziele arbeitet Siemens nach der Defense-in-Depth Strategie. Diese Strategie verfolgt den Ansatz eines mehrschichtigen Sicherheitsmodells: Anlagensicherheit, Netzwerksicherheit und System-Integrität. Copyright Siemens AG 2012 All rights reserved Der Vorteil ist, dass ein Angreifer erst mehrere Sicherheitsmechanismen überwinden muss und die Sicherheitsanforderungen der einzelnen Schichten individuell berücksichtigt werden können. Instrumente der Defense-in-Depth Strategie Zur Umsetzung dieses Schutzkonzeptes sind z. B. zwei Sicherheitsmittel aus dem Bereich Netzwerksicherheit erwähnenswert: die Firewall und der VPN Tunnel. Die Firewall wird eingesetzt, um den Datenverkehr zu kontrollieren. Dabei können durch Filterung Pakete verworfen, Paketinhalte analysiert und Netzzugänge gesperrt bzw. gewährt werden. Zur Sicherung der Kommunikation ist das Tunnelling-Verfahren eine häufige Anwendung. 3.3 Security Mechanismus: Die Firewall Beschreibung Eine Firewall (wörtlich „Brandmauer) ist Teil des Sicherheitskonzepts im Privatund Unternehmensbereich, welches unerlaubten Zugriff auf Netzwerke bzw. Geräte untersagt oder einschränkt. Firewalls werden in Form einer Hardware-Komponente oder softwarebasiert angeboten. 3.3.1 Typisierung der Firewall Arten von Firewalls Firewalls lassen sich in drei verschiedene Arten unterscheiden. Die jeweiligen Bezeichnungen werden an der höchsten ausgewerteten OSI-Schicht festgelegt: Paketfilter (Auswertung von Paketen bis OSI-Schicht 3 (Vermittlungsschicht)). Circuit-Level Gateway (Auswertung von Paketen bis OSI-Schicht 4 (Transportschicht)). Application-Level Gateway bzw. Proxy (Auswertung von Paketen bis OSISchicht 7 (Anwendungsebene)). Paketfilter analysieren die IP-Datenpakete und leiten diese auf Grundlage von definierten Kriterien weiter oder filtern diese heraus. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 15 3 Risikominimierung durch Security Circuit-Level Gateways greifen auf die Transportschicht zu und haben somit die Möglichkeit, Zusammenhänge zwischen den Netzwerkverbindungen und den Paketen zu analysieren. Neben dem Begriff Circuit-Level Gateway existieren noch eine Reihe weiterer Begriffe. Dazu gehört auch die Bezeichnung Stateful Packet Inspection. Ein Application-Level Gateway ist ein Proxy Server. Über ihn findet die gesamte Kommunikation zwischen dem zu schützenden und dem unsicheren Netz statt. Für jeden Dienst (WWW, E-Mail, Telnet, FTP etc.) werden Security-Proxies (sogenannte Stellvertreter) eingerichtet. Das bedeutet, dass die Rechner des LAN nicht direkt auf einen Server des Internets zugreifen, sondern sich dem Proxy gegenüber identifizieren und authentifizieren und die Anfrage an ihn schicken. Er wiederum stellt dann mit seiner Absenderadresse die Verbindung zum Server her und leitet die Anfrage weiter. Mit dem Application-Level Gateway können Inhalte von übertragenen Daten kontrolliert und gefiltert werden. Dieser Proxy-Server wird in Unternehmen auch eingesetzt, um bestimmte Webseiten im internen Netzwerk zu blockieren oder Dienste wie ActiveX und JavaScript aus Webseiten herauszufiltern. Copyright Siemens AG 2012 All rights reserved Auswahlkriterien Welche Firewall in einem Unternehmen oder privat eingesetzt werden soll, hängt von einigen Kriterien ab: die erwünschte und erreichbare Sicherheit. der erforderliche Aufwand (hard- oder softwarebasierte Firewall). der erreichbare Durchsatz an Daten. die Höhe der Kosten. 3.3.2 Das Stateful Packet Inspection Beschreibung Das Stateful Packet Inspection ist eine Firewalltechnologie und arbeitet auf der Vermittlungs-, Transport- und optional auf Anwendungsschicht des OSIReferenzmodells. Stateful Inspection steht für zustandsgesteuerte Filterung und ist eine Erweiterung des Paketfilters. Durch den Zugriff auf verschiedene Kommunikationsprotokolle ist es der Stateful Packet Inspection möglich, eine Statustabelle aller Netzwerkverbindungen zu erstellen, Zusammenhänge zwischen Datenpaketen zu erkennen und Beziehungen zwischen vorhandenen Kommunikationsbeziehungen zu erschließen. Funktionsweise Durch diesen Einblick in die Kommunikation erlaubt eine Stateful Packet Inspection beispielsweise nur Datenpakete von extern in das interne Netzwerk, die als Antwort für eine zuvor von einem internen Teilnehmer gestartete Anfrage dienen. Sendet der externe Teilnehmer Daten, die nicht angefordert wurden, blockiert die Firewall den Transfer - auch bei einer bestehen Verbindung zwischen internen und externen Teilnehmern. Eine wichtige Eigenschaft von Stateful Packet Inspection ist die dynamische Erzeugung und Löschung von Filterregeln. Sendet ein interner Teilnehmer Daten zu einem externen Zielgerät, muss die Firewall nach dem Passieren des ersten Datenpakets für einen begrenzten Zeitraum eine Regel definieren, die das „Antwortpaket“ akzeptiert und an den Absender der Anfrage (interner Teilnehmer) weiterleitet. Nach Ablauf des Zeitfensters muss die Regel wieder gelöscht werden. 16 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 3 Risikominimierung durch Security 3.4 Security Mechanismus: Adressumsetzung mit NA(P)T Beschreibung Das Network Address Translation (NAT) bzw. Network Address Port Translation (NAPT) sind Verfahren zur Umsetzung von privaten IP-Adressen in öffentliche IPAdressen. Einteilung der IP-Adressen IP-Adressen dienen zur logischen Adressierung von Geräten in IP-Netzwerken. Sie bestehen bei IPv4 aus vier Zahlen zwischen 0 und 255, die durch Punkte voneinander getrennt sind. Es gibt verschiedene Adresskategorien für IP-Adressen, die von der nationalen Einrichtung NIC (Network Information Center) verwaltet und zugeteilt werden. Folgende Tabelle zeigt die Zuteilung der IP-Adressen: Tabelle 3-1 Copyright Siemens AG 2012 All rights reserved Klasse Max Anzahl Netze Startadresse Endadresse Privater Adressbereich A 126 1.0.0.0 126.0.0.0 10.0.0.0 – 10.255.255.255 B 16382 128.0.0.0 191.255.0.0 172.16.0.0 – 172.31.255.255 C 2097150 192.0.0.0 223.255.255.0 192.168.0.0 – 192.168.255.255 Die Adressen ab 224.0.0.0 sind für zukünftige Anwendungen reserviert, werden aber durch die baldige Implementation von IPv6 nicht mehr zur Geltung kommen. Wegen der Knappheit der IP-Adressen im Internet wurden bestimmte Adressbereiche eingeführt, die im Internet nicht geroutet und für das private Netzwerk genutzt werden. Dieser private Adressbereich ist nur innerhalb des eigenen Netzwerks sichtbar und vom Internet nicht erreichbar. Somit können dieselben Bereiche auch mehrmals in anderen privaten Netzwerken zum Einsatz kommen. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 17 3 Risikominimierung durch Security 3.4.1 Die Adressumsetzung mit NAT Beschreibung NAT ist ein Protokoll zur Adressumsetzung zwischen zwei Adressräumen. Hauptaufgabe ist die Umsetzung von privaten Adressen in Öffentliche, d.h. in IPAdressen, die im Internet verwendet und auch geroutet werden. Durch diese Technik wird erreicht, dass die Adressen des internen Netzes nach außen im externen Netz nicht erkannt werden. Die internen Teilnehmer sind im externen Netz nur über die in der Adressumsetzungsliste (NAT-Tabelle) festgelegten externen IP-Adresse sichtbar. Das klassische NAT ist eine 1:1-Umsetzung, d.h. eine private IP-Adresse wird auf eine Öffentliche umgesetzt. Die Ansprechadresse für die internen Teilnehmer ist demnach wieder eine IPAdresse. NAT-Tabelle Die NAT-Tabelle enthält die Zuordnung von privaten und öffentlichen IP-Adressen und wird im Gateway oder Router konfiguriert und verwaltet. Der folgende Screenshot zeigt die NAT-Tabelle des SCALANCE S602 V3: Copyright Siemens AG 2012 All rights reserved Abbildung 3-1 18 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 3 Risikominimierung durch Security Tabelle 3-2 Siemens AG 2012 All rights reserved Option Bedeutung NAT aktiv Der Eingabebereich für NAT wird aktiviert. NAT-Adressumsetzungen werden erst durch die nachfolgend beschriebene Option und Einträge in die Adressumsetzungsliste wirksam. Zusätzlich muss die Firewall passend konfiguriert werden. Freigabe für alle internen Teilnehmer zulassen Mit dieser Option erfolgt für alle von intern nach extern gehenden Telegramme eine Umsetzung der internen IPAdresse (Quell-IP-Adresse) auf die externe Modul IP-Adresse und einer zusätzlich vom Modul vergebenen Port-Nummer. Dieses Verhalten wird in der NAT-Tabelle an der unten zusätzlich eingeblendeten Zeile sichtbar. Dort wird mit einem Symbol "*" in der Spalte "interne IP-Adresse" angezeigt, dass alle von intern nach extern gerichteten Telegramme umgesetzt werden. Anmerkung: Diese Umsetzung entspricht einer n:1Umsetzung, d.h. mehrere interne Teilnehmer werden auf eine externe umgeleitet. Dies geschieht durch eine zusätzlichen Zuordnung einer Port-Nummer. Trotz der Zugabe eines Ports ist diese Option dem Eingabebereich NAT zugeordnet. Tabelle 3-3 Copyright Parameter Bedeutung Externe IPAdresse Für Telegrammrichtung "Intern -> Extern": neu zugewiesene IPAdresse Für Telegrammrichtung "Extern -> Intern": erkannte IP-Adresse Interne IPAdresse Für Telegrammrichtung "Extern -> Intern": neu zugewiesene IP-Adresse Für Telegrammrichtung "Intern -> Extern": erkannte IP-Adresse Richtung Ordnen Sie hier die Telegrammrichtung zu. Scr-NAT (nach Extern) Dst-NAT (von Extern) Scr-NAT + Dst-NAT (Extern) Kommentar Alternativ können Sie symbolische Namen eingeben. Beispiel: Src-NAT: Vom internen Subnetz kommende Telegramme werden auf die angegebene interne IP-Adresse geprüft und mit der angegebenen externen IP-Adresse in das externe Netz weitergeleitet. Ablauf Wenn ein Gerät aus dem externen Netz ein Paket an ein internes Gerät schicken will (Dst-NAT), verwendet es als Zieladresse eine öffentliche Adresse. Diese IPAdresse wird vom Router in eine private IP-Adresse übersetzt. Als Quelladresse im IP-Header des Datenpakets bleibt unverändert die öffentliche IP-Adresse des externen Gerätes stehen. Die Antwort des internen Geräts wird an die IP-Adresse, die als Quelladresse im IP-Header hinterlegt ist, geschickt. Dadurch, dass seine eigene und die Quelladresse in unterschiedlichen Subnetzen liegen, schickt das interne Gerät das Paket an seinen Router, der es an das externe Gerät weitervermittelt. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 19 3 Risikominimierung durch Security 3.4.2 Die Adressumsetzung mit NAPT Beschreibung NAPT ist eine Variante von NAT und wird häufig mit dieser gleichgesetzt. Der Unterschied zu NAT liegt darin, dass bei diesem Protokoll auch Ports umgesetzt werden können. Es gibt keine 1:1-Umsetzung der IP-Adresse mehr. Vielmehr existiert nur noch eine öffentliche IP-Adresse, die durch den Zusatz von Portnummern an eine Reihe von privaten IP-Adresse umgesetzt wird. Die Ansprechadresse für die internen Teilnehmer ist demnach eine IP-Adresse mit einer Portnummer. NAPT-Tabelle Die NAPT-Tabelle enthält die Zuordnung von privaten IP-Adressen auf die Ports der öffentlichen IP-Adresse und wird im Gateway oder Router konfiguriert und verwaltet. Der folgende Screenshot zeigt die NAPT-Tabelle des SCALANCE S602 V3: Copyright Siemens AG 2012 All rights reserved Abbildung 3-2 Tabelle 3-4 Option NAPT aktiv 20 Bedeutung Der Eingabebereich für NAPT wird aktiviert. NAPTUmsetzungen werden erst durch die nachfolgend beschriebene Option und Einträge in die Liste wirksam. Zusätzlich muss die Firewall passend konfigurieren werden. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 3 Risikominimierung durch Security Tabelle 3-5 Parameter Bedeutung Externer Port Ein Teilnehmer im externen Netz kann einem Teilnehmer im internen Subnetz antworten oder ein Telegramm senden, indem er diese Port-Nummer verwendet. Interne IPAdresse IP-Adresse des angesprochenen Teilnehmers am internen Subnetz. Interner Port Port-Nummer eines Dienstes bei dem am internen Subnetz angesprochenen Teilnehmer. Wertebereich Port oder Portbereiche. Beispiel für die Eingabe eines Portbereiches: 78:99 Port (kein Portbereich) Ablauf Wenn ein Gerät aus dem externen Netz ein Paket an ein internes Gerät schicken will, verwendet es als Zieladresse seine öffentliche Adresse mit Portangabe. Diese IP-Adresse wird vom Router in eine private IP-Adresse mit Portadresse übersetzt. Die Antwort des internen Geräts wird an die IP-Adresse, die als Quelladresse im IP-Header hinterlegt ist, geschickt. Dadurch, dass seine eigene und die Quelladresse in unterschiedlichen Subnetzen liegen, schickt das interne Gerät das Paket an seinen Router, der es an das externe Gerät weitervermittelt. Copyright Siemens AG 2012 All rights reserved Als Quelladresse im IP-Header des Datenpakets bleibt unverändert die öffentliche IP des externen Gerätes stehen. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 21 3 Risikominimierung durch Security 3.4.3 FTP über einen NAPT-Router Eine FTP-Datenübertragung über NAT bringt wegen der 1:1-Umsetzung der IPAdressen keine Schwierigkeiten mit sich. Über einen NAPT-Router, wie dem SCALANCE S602 V3, ist es nicht mehr so trivial. FTP nutzt für die Datenübertragung neben den Standard Ports 20 (Datenkanal) und 21 (Steuerkanal) auch dynamische Ports jenseits von 1023, die vor der Übertragung nicht bekannt sind. NAPT nutzt für die Adressumsetzung Ports, die in die NAPT-Tabelle bei der Konfiguration eingetragen werden. Eine Erweiterung der NAPT-Tabelle zur Laufzeit ist nicht möglich. Der dynamische Port während der FTP-Datenübertragung kann also nicht in die NAPT-Tabelle übernommen werden. Das hat zur Folge, dass alle Datenpakete, die von extern nach intern mit einem für die NAPT-Tabelle unbekannten Port geschickt werden, nicht umgesetzt und damit verworfen werden. Eine FTP-Datenübertragung kann nicht stattfinden. Das folgende Bild verdeutlicht das Problem: Abbildung 3-3 Externes Netz Internes Netz NAPT-Router Copyright Intern Extern 192.168.2.3:20 172.158.2.2:20 192.168.2.3:21 172.158.2.2:21 Port 21: Sendet Username 1 Server Port 21: Fordert Passwort Port 21: Sendet Passwort 2 Port 21: Bestätigung Client Siemens AG 2012 All rights reserved Problembeschreibung 3 Port 21: Kommando: PORT mit Angabe des Datenports z.B. Port 1027 Port 1027: 4 Aufbau der Datenverbindung zum gewünschten Port 22 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 3 Risikominimierung durch Security Tabelle 3-6 Schritt Ablauf Reaktion 1. Der Client sendet über den Steuerport die Benutzerkennung an den Server. Port 21 wird vom NAPT-Router zugelassen. Der Server fordert das Passwort an. 2. Der Client schickt über Port 21 das Passwort. Port 21 wird vom NAPT-Router zugelassen. Der Server betätigt das Passwort . 3. Der Client übermittelt über das Kommando PORT die Ports, auf welchen er auf die Datenverbindung lauscht. Port 21 wird vom NAPT-Router zugelassen. 4. Der Server versucht, über diese Ports Kontakt mit dem FTP-Client aufzunehmen. Da diese Ports nicht in der NAPTTabelle konfiguriert sind, werden die Datenpakete vom NAPT-Router verworfen. Die FTP-Verbindung wird nicht hergestellt. Um die Datenpakete des FTP-Servers trotz dynamischer Ports in das interne Netz zuzulassen, ist es nötig, zusätzlich zum NAPT einen NAT-Eintrag zu erstellen. Alle Datenpakete, die vom FTP-Server ausgehen, müssen auf die IP-Adresse des NAPT-Routers umgeschrieben werden. Dadurch werden alle Datenpakete unabhängig vom Port in das interne Netz zugelassen. Copyright Siemens AG 2012 All rights reserved Lösung S602 V3 Firewall V3.0, Beitrags-ID: 22376747 23 3 Risikominimierung durch Security 3.5 Zusammenhang zwischen NA(P)T und Firewall Anpassung der Firewall Sowohl für die Richtungen Src-NAT (nach Extern) bzw. Dst-NAT (von Extern) gilt, dass Telegramme zunächst die Adressumsetzung im NAT/NAPT-Router und anschließend die Firewall passieren. Die Einstellungen für den NAT/NAPT-Router und die Firewall-Regeln müssen so aufeinander abgestimmt werden, dass Telegramme mit umgesetzter Adresse die Firewall passieren können. Abbildung 3-4. SCALANCE S602 V3 Externes Netzwerk Copyright Siemens AG 2012 All rights reserved IP-Telegramme Dst-NAT Internes Netzwerk NAT/NAPTRouter IP-Telegramme Src-NAT Firewall Hinweis Die Firewall im SCALANCE S602 V3 ist so voreingestellt, dass kein IPDatenverkehr zwischen den Netzwerken möglich ist. Eine Kommunikation kann erst nach vorheriger Konfiguration der Firewall stattfinden. Stateful Packet Inspection Firewall und NAT/NAPT-Router unterstützen den Mechanismus "Stateful Packet Inspection". Ist der IP-Datenverkehr von intern nach extern freigegeben, können interne Knoten eine Kommunikationsverbindung in das externe Netz initiieren. Die Antworttelegramme aus dem externen Netz können den NAT/NAPT-Router und die Firewall passieren, ohne dass deren Adressen in der Firewall-Regel und der NAT/NAPT-Adressumsetzung zusätzlich aufgenommen werden müssen. Telegramme, die keine Antwort auf eine Anfrage aus dem internen Netz sind, werden ohne zutreffende Firewallregel verworfen. 24 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 3 Risikominimierung durch Security Umsetzung in dieser Applikation am Beispiel NAT Die folgende Screenshots zeigen die NAT-Tabelle und die zugehörigen Firewallregeln dieser Applikation. Die unterschiedlichen Farben deuten die Zusammenhänge an. Abbildung 3-5 NAT-Tabelle Copyright Siemens AG 2012 All rights reserved Firewallregeln Die Tabelle stellt die Zusammenhänge noch einmal gegenüber: Tabelle 3-7 NAT Umsetzung Firewall Freigabe Aktion 172.158.2.3 -> CP343-1Advanced (Dst-NAT) Von/Nach Quelle Ziel Service Beschreibung Allow Extern -> Intern ServicePC CP343-1 Advanced S7 Allow Extern -> Intern PG CP343-1 Advanced HTTP Allow Extern -> Intern PG CP343-1 Advanced FTP 172.158.2.5 -> PN-CPU (Dst-NAT) Allow Extern -> Intern ServicePC PN-CPU S7 Alle Datenpakete von extern zur PN-CPU, die mit der IP-Adresse des Service-PGs über Port 102 (S7) die Firewall erreichen, werden zugelassen. 172.158.2.2 <- * (Src-NAT) Allow Intern -> Extern all Alle Datenpakete von intern nach extern werden zugelassen. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Alle Datenpakete von extern zum CP343-1 Advanced, die mit der IPAdresse des PGs über Port 80 (http) bzw. Port 21 (ftp) und mit der IP-Adresse des Service-PGs über Port 102 (S7) die Firewall erreichen, werden zugelassen. 25 3 Risikominimierung durch Security Schematisch lässt sich dieser Vorgang wie folgt beschreiben: Abbildung 3-6 Internes Netz Externes Netz NAT-Router NAT-Tabelle 172.158.2.3 (http) Siemens AG 2012 All rights reserved 172.158.2.3 192.168.2.3 (http) Firewall 192.168.2.3 (http) Copyright Tabelle 3-8 Schritt Bedeutung 1. Ein Gerät aus dem externen Netz will ein Datenpaket an die IP-Adresse 172.158.2.3 schicken (http-Anwendung). 2. Der NAT-Router übersetzt diese Adresse anhand der NAT-Tabelle in die private IP-Adresse 192.168.2.3 (hier symbolisch als CP343-1Advanced). 3. Die Firewall überprüft, wie sie das Datenpaket behandeln soll. Durch den Eintrag „Allow External ->Internal PG -> CP343-1Advanced http“ dürfen alle Datenpakete, die vom PG über Port 80 kommen und an den CP343-1 Advanced adressiert sind, passieren. 4. Das Datenpaket wird in das interne Netz geleitet. Verhalten bei falscher Zuordnung Stimmen NA(P)T Einträge und die Regeln der Firewall nicht überein, blockt der S602 V3 die Datenpakete, die nicht in der Regel aufgeführt sind. In der folgende Beispielkonfiguration wurde für die Umsetzung der IP-Adresse 172.158.2.5 zur PN-CPU (symbolisch für 192.168.2.5) keine Regel in der Firewall erstellt: 26 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 3 Risikominimierung durch Security Abbildung 3-7 NAT-Tabelle Firewallregeln Abbildung 3-8 Internes Netz Externes Netz NAT-Router 172.158.2.5 (S7) NAT-Tabelle Copyright Siemens AG 2012 All rights reserved Bei der Datenkommunikation zwischen externen und internen Netz passiert folgendes: 172.158.2.5 192.168.2.5 (S7) Firewall 192.168.2.3 (http) S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Keine Regel vorhanden; Paket wird verworfen 27 3 Risikominimierung durch Security Tabelle 3-9 Schritt Bedeutung Ein Gerät aus dem externen Netz will ein Datenpaket an die IP-Adresse 172.158.2.5 schicken (S7- Anwendung). 2. Der NAT-Router übersetzt diese Adresse anhand der NAT-Tabelle in die private IP-Adresse 192.168.2.5 (hier symbolisch als PN-CPU). 3. Die Firewall überprüft, wie es das Datenpaket behandeln soll. Da keine Regel existiert, wird das Datenpaket verworfen. Copyright Siemens AG 2012 All rights reserved 1. 28 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 4 Produktübersicht SCALANCE S 4 Produktübersicht SCALANCE S 4.1 Die Idee des Zellenschutzkonzeptes Motivation Befinden sich in einem Netzsegment Steuerungen oder andere intelligente Geräte, die über kein oder nur einen minimalen Eigenschutz verfügen, bleibt nur die Möglichkeit, diesen Geräten eine abgesicherte Netzwerkumgebung zu schaffen. Am einfachsten ist dies mit speziellen Routern oder Gateways zu leisten. Sie stellen die IT-Sicherheit durch integrierte Firewalls in Industriequalität her und sind selbst geschützt. Das Zellenschutzkonzept Das von Siemens konzipierte Sicherheitskonzept wurde speziell für die Anforderungen im Automatisierungsumfeld zugeschnitten, um den zunehmenden Bedarf an Netzwerksicherheit gerecht zu werden. Die Netzknoten innerhalb einer Zelle werden durch spezielle Security-Module geschützt, um den Datenverkehr von und zur Zelle zu kontrollieren und nach Berechtigungen zu überprüfen. Es werden nur Telegramme durchgelassen, die autorisiert sind. Abbildung 4-1 Büronetz Copyright Siemens AG 2012 All rights reserved Der Kern dieses Konzeptes besteht darin, das Automatisierungsnetzwerk sicherheitstechnisch zu segmentieren und geschützte Automatisierungszellen zu bilden. Zellen sind demnach sicherheitstechnisch, abgekoppelte Netzsegmente. Automatisierungsnetz S602 V3 Roboterzelle S602 V3 Firewall V3.0, Beitrags-ID: 22376747 S602 V3 Roboterzelle Roboterzelle 29 4 Produktübersicht SCALANCE S Vorteile des Zellenkonzeptes Das Konzept des Zellenschutzes dient vor allem dazu, alle Geräte zu schützen, die sich nicht selbst schützen können. Meist sind das Geräte, bei denen sich eine Aufrüstung mit Security-Funktionen nicht lohnt bzw. zu kostenintensiv ist. Ein weiterer Grund ist die technische Realisierbarkeit. Vor allem kleinere Automatisierungsgeräte besitzen nicht die notwendigen Hardwarevoraussetzungen. Das Security-Modul, welches die komplette Zelle schützt, sichert mehrere Geräte gleichzeitig, was neben geringeren Kosten auch weniger Konfigurationsaufwand bedeutet. Die Integration des Security-Moduls in bestehende Netzwerke geschieht rückwirkungsfrei. Prinzipiell sind Echtzeitkommunikation und Security zwei gegensätzliche Anforderungen. Die Überprüfung der Telegramme anhand der Regeln oder Konfigurationen kostet Zeit und Performance. Mit dem Zellenschutzkonzept ist es möglich, beides gleichzeitig zu erreichen. Innerhalb einer Zelle kann Echtzeitkommunikation völlig unbeeinflusst von irgendwelchen SecurityMechanismen ablaufen. Die Datenkontrolle durch das Security-Modul erfolgt nur am Zelleneingang. 4.2 SCALANCE S602 V3 Beschreibung Der SCALANCE S602 V3 ist ein Produkt aus der SCALANCE S-Familie von SIMATIC NET. Wie die anderen Module auch ist der S602 V3 für den Einsatz im Automatisierungsumfeld optimiert und erfüllt die speziellen Anforderungen der Automatisierungstechnik. Copyright Siemens AG 2012 All rights reserved Echtzeit und Security Der SCALANCE S602 V3 gehört zur Kategorie der Circuit Level Gateways und ist eine Stateful Inspection Firewall zum Schutz aller Geräte eines Ethernet Netzwerkes. Eigenschaften Der SCALANCE S602 V3 ist mit folgenden Sicherheitsfunktionen ausgestattet: Schutz von Geräten mit bzw. ohne eigenständige Sicherheitsfunktionen durch die integrierte Firewall: – Untersuchung der Datenpakete anhand der Ursprungs- und Zieladresse – Unterstützung von Ethernet-„Non-IP“-Telegrammen – Bandbreitenbegrenzung – Globale und lokale Firewallregeln – Benutzerdefinierte Firewallregeln Schutz von mehreren Geräten gleichzeitig: Durch die Integration des SCALANCE S als Verbindungsglied zwischen zwei Netzwerken werden die dahinterliegenden Geräte automatisch geschützt. Router-Betrieb: Der SCALANCE S entkoppelt im Router-Modus das interne Netz vom externen Netz. Das interne Netzwerk erscheint als eigenes Subnetz. Rückwirkungsfreie Integration des SCALANCE S602 V3 in eine bestehende Infrastruktur mit flachen Netzen (Bridge-Betrieb). 30 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 4 Produktübersicht SCALANCE S Zudem unterstützt der SCALANCE S602 V3 folgende Netzwerkfunktionen: Adressumsetzung mit NAT/ NAPT. DHCP-Server zur IP-Adressvergabe im internen Netz. Logging und Auswertung der Log-Dateien über einen externen Server. SNMP zur Analyse und Auswertung von Netzwerkinformationen. Schnittstellen Der SCALANCE S602 V3 verfügt über zwei Schnittstellen: Port 1 (rot); erkennbar am Schlosssymbol Port 2 (grün) Am roten Port wird das unsichere, externe Netzwerk angeschlossen, am grünen Port das zu sichernde interne Netzwerk. Abbildung 4-2 Externes Netzwerk Copyright Siemens AG 2012 All rights reserved Internes Netzwerk Hinweis Die Ethernet-Anschlüsse an Port 1 und Port 2 werden vom SCALANCE S unterschiedlich behandelt und dürfen deshalb beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden. Beim Vertauschen der Ports verliert das Gerät seine Schutzfunktion. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 31 4 Produktübersicht SCALANCE S 4.3 Das Security Configuration Tool Konfiguration des S602 V3 Die Konfiguration des SCALANCE S602 V3 erfolgt über das Security Configuration Tool (SCT). Die Handhabung ist sehr einfach und erfordert in der Minimalkonfiguration kein Spezialwissen über Security. Der folgende Screenshot zeigt die Oberfläche des Security Configuration Tools: Eigenschaften Das Projektierungstool Security Configuration Tool verfügt über folgende Eigenschaften: Copyright Siemens AG 2012 All rights reserved Abbildung 4-3 Projektierung der SCALANCE und SINAUT Security-Module im SCT möglich. Test- und Diagnoseanzeigen. Statusanzeigen. Standard-Modus für eine schnelle und unkomplizierte Projektierung der Security-Module auch ohne Security Wissen. Erweiterter Modus für eine individuelle Projektierung der Security-Module. Zugriff nur für autorisierte Benutzer durch Passwortvergabe beim Anlegen eines Projektes. Konsistenzprüfungen auch während der Projektierung. Verschlüsselung der abgespeicherten Projekt- und Konfigurationsdaten. Symbolische Adressierung der Teilnehmer. Anlegen von globalen, lokalen und benutzerspezifischen Firewallregeln. 32 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 4 Produktübersicht SCALANCE S 4.3.1 Symbolische Adressierung Im Security Configuration Tool können stellvertretend für die IP-Adressen der Teilnehmer symbolische Namen vergeben werden. Diese sind auf die Projektierung innerhalb eines Projektes begrenzt, d.h. sie können nicht projektübergreifend verwendet werden. Jedem symbolischen Namen muss eindeutig eine einzige IP- oder MAC-Adresse zugeordnet werden. Symbolische Namen haben den Vorteil, dass die Projektierung der Dienste und Regeln einfacher und sicherer erfolgen kann. Bei folgenden Funktionen und deren Projektierung werden symbolische Namen anerkannt: Firewall NAT/NAPT Syslog DHCP Der folgende Ausschnitt zeigt die symbolische Adressierung mit den zugehörigen IP-Adressen dieser Applikation: Copyright Siemens AG 2012 All rights reserved Abbildung 4-4 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 33 4 Produktübersicht SCALANCE S 4.3.2 Verwaltung der Benutzer Übersicht In der Benutzerverwaltung des Security Configuration Tools können neue Benutzer angelegt und ihnen system- oder benutzerdefinierte Rollen zugewiesen werden. Die Baugruppenrechte werden pro Security-Modul festgelegt. Systemdefinierte Rollen Vordefiniert sind folgende systemdefinierten Rollen: Copyright Siemens AG 2012 All rights reserved Abbildung 4-5 administrator standard diagnostics remote access Den Rollen sind bestimmte Rechte zugewiesen, die auf allen Baugruppen gleich sind und die der Administrator nicht ändern oder löschen kann. Nähere Informationen finden Sie im Security Handbuch unter /2/ in Kapitel 9 (Literaturhinweise). 34 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 4 Produktübersicht SCALANCE S Benutzerdefinierte Rollen Zusätzlich zu den systemdefinierten Rollen können auch benutzerdefinierte Rollen angelegt werden. Für jedes im Projekt verwendete Security-Modul werden die entsprechenden Rechte individuell festgelegt und die Rolle den Benutzern manuell zugewiesen. 4.4 Firewall-Regeln Firewall-Regeln sind vordefinierte oder eigens konfigurierte Regeln für den Datenverkehr und werden mithilfe des Security Configuration Tools erstellt. Je nach Absender, Adresse, Protokoll und Sendevorgang dürfen die Datenpakete passieren oder werden verworfen. Der folgende Screenshot zeigt eine Beispielkonfiguration von Regelsätzen: Copyright Siemens AG 2012 All rights reserved Abbildung 4-6 Eine Firewall-Regel setzt sich aus mehreren Komponenten zusammen: Tabelle 4-1 Bezeichnung Bedeutung Auswahlmöglichkeit Aktion Zulassungsregelung (Erlauben/ Verwerfen) Allow: Telegramme gemäß Definition zulassen. Drop: Telegramme gemäß Definition sperren. Von/ Nach Die zugelassenen Kommunikationsrichtungen. Intern -> Extern Extern -> Intern Tunnel -> Intern Intern -> Tunnel Quell-IP-Adresse Absenderadresse Alternativ können hierfür symbolische Namen vergeben werden. Ziel-IP-Adresse Zieladresse Alternativ können hierfür symbolische Namen vergeben werden. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 35 4 Produktübersicht SCALANCE S Bedeutung Auswahlmöglichkeit Dienst Name des verwendeten IP/ ICMPDienstes oder der Dienstgruppe. Die Dienste werden zuvor definiert und mit Informationen wie Protokoll, Quellund Zielport hinterlegt. Die Klappliste bietet die projektierten Dienste und Dienstgruppen zur Auswahl an. Mit dem Wert „Alle“ wird kein Dienst geprüft, die Regel gilt für alle Dienste. Bandbreite Einstellmöglichkeit für eine BandbreitenBegrenzung. Ein Paket passiert die Firewall, wenn die Pass- Regel zutrifft und die zulässige Bandbreite für diese Regel noch nicht überschritten worden ist. Wertebereich: 0..100 MBit/s Logging Ein- bzw. Ausschalten des Logging für diese Regel Nr. Laufende, vom Security Configuration Tool vergebene Nummer zur Identifizierung der Firewallregel in der Log-Tabelle. Kommentar Platz für eigene Erläuterungen der Regel. Im Security Configuration Tool können Regeln global, lokal und benutzerspezifisch definiert werden. Hinweis 4.4.1 Das Security Configuration Tool erlaubt maximal 256 IP-/MAC Regelsätze. Rangfolge der Regeln Das Auftreten der Regeln in der Regelliste entspricht auch deren Rangfolge der Bearbeitung. Copyright Siemens AG 2012 All rights reserved Bezeichnung Die Paketfilter-Regeln werden wie folgt ausgewertet: Die Liste wird von oben nach unten ausgewertet; bei Regeln, die sich widersprechen, gilt immer der weiter oben stehende Eintrag. Bei Regeln für die Kommunikation zwischen internen und externen Netz gilt die Abschlussregel: alle Telegramme außer den in der Liste explizit zugelassenen Telegrammen sind gesperrt. Bei Regeln für die Kommunikation zwischen internem Netz und IPSecTunnel gilt die Abschlussregel: Alle Telegramme außer den in der Liste explizit gesperrten Telegrammen sind zugelassen. Hinweis 36 Alle Telegrammtypen von intern-> extern bzw. umgekehrt sind mit den Werkseinstellungen geblockt und müssen explizit zugelassen werden. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 4 Produktübersicht SCALANCE S 4.4.2 Die unterschiedlichen Firewallregelsätze Lokale Regelsätze Lokale Regelsätze sind jeweils einem Modul zugewiesen und werden direkt im Eigenschaftsdialog eines Moduls definiert. Globale Firewallregeln Globale Firewallregeln werden außerhalb der Module auf Projektebene definiert. Der Vorteil liegt darin, dass Regeln, die für mehrere Module gelten, nur einmal konfiguriert werden müssen. Die globalen Firewallregeln werden einfach durch Drag&Drop auf das Modul gezogen, für die diese Firewallregeln gelten sollen. Dieser globale Firewallregelsatz erscheint automatisch in der modulspezifischen Liste der Firewallregeln. Globale Firewallregeln können definiert werden für: IP-Regelsätze MAC-Regelsätze Siemens AG 2012 All rights reserved Abbildung 4-7 Modul globaler Regelsatz 1 Regel 1 globaler Regelsatz 2 2 Regel Regel 1 Copyright 3 Regel Regel 2 Regel 3 Hinweis Lokaler Regelsatz lokale Regel 1 globaler Regelsatz 2 lokale Regel 2 globaler Regelsatz 1 Globale Firewallregeln sind besonders dann sinnvoll, wenn mehrere SecurityModule in einem Projekt verwaltet werden. In dieser Applikation wird nur ein S602 V3 konfiguriert und verwaltet. Die Verwendung von globalen Firewallregeln bringt in diesem Fall keine Vorteile gegenüber lokalen Regeln. Um die Anwendung und Erstellung globaler Regeln zu demonstrieren, wird trotzdem mit diesen gearbeitet. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 37 4 Produktübersicht SCALANCE S Benutzerspezifische Firewallregeln Bei der benutzerspezifischen Firewall können die Regelsätze einem oder mehreren Benutzern und anschließend einzelnen Security-Modulen zugeordnet werden. Dadurch wird es ermöglicht, die Zugriffe vom Benutzer abhängig zu machen und nicht (nur) über IP- oder MAC-Adressen. Der Benutzer kann sich dafür auf einer Webseite am SCALANCE S602 V3 anmelden. War das Login erfolgreich, wird der für diesen Benutzer vorgesehene Firewall-Regelsatz aktiviert. Anmelden können sich die Benutzer mit der Rolle: administrator diagnostics remote access Nach der Anmeldung wird ein Timer von 30 Minuten gestartet. Nach Ablauf der Zeit wird der Benutzer automatisch vom SCALANCE S602 V3 abgemeldet. Im Onlinemodus des Security Configuration Tools wird für die Benutzer Kontrolle eine Übersichtstabelle angeboten. Hier werden alle Benutzer aufgelistet, die gerade am SCALANCE S602 V3 angemeldet sind. Copyright Siemens AG 2012 All rights reserved Abbildung 4-8 Für die Abmeldung vom SCALANCE S602 V3 stehen drei Möglichkeiten zur Verfügung: Durch den „Log off“ Button auf der Webseite. Automatisch nach Ablauf der Zeituhr. Über die Onlinefunktion Benutzer-Kontrolle durch Markieren des Benutzers und dem Button „Log off“. 38 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 4 Produktübersicht SCALANCE S 4.4.3 Vereinbarung für die Firewallregelsätze Für die Erstellung der globalen und benutzerspezifischen Firewallregelsätze gelten folgende Vereinbarungen: Sie können nur im Erweiterten Modus des Security Configuration Tools angelegt werden. Lokal definierte Regeln haben standardmäßig eine höhere Priorität; werden einem Security Modul neue globale und/oder benutzerspezifische Firewallregeln zugewiesen, werden diese daher in der lokalen Regelliste zunächst unten eingefügt. Die Priorität kann durch Verändern der Platzierung in der Regelliste verändert werden. Globale und benutzerspezifische Firewallregeln können nur als ganzer Regelsatz einem Security-Modul zugeordnet werden. Copyright Siemens AG 2012 All rights reserved Sie sind in der lokalen Regelliste der Firewallregeln bei den Moduleigenschaften nicht editierbar und können dort nur angezeigt und gemäß der gewünschten Priorität platziert werden. Eine einzelne Regel kann nicht aus einem zugeordneten Regelsatz gelöscht werden. Es kann nur der komplette Regelsatz aus der lokalen Regelliste genommen werden; die Definition in der globalen Regelliste wird dadurch nicht verändert. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 39 4 Produktübersicht SCALANCE S 4.5 Logging und Diagnosemöglichkeiten im SCT Zu Test- und Überwachungszwecken verfügt das Security Configuration Tool in der Online-Ansicht über diverse Diagnose- und Loggingmöglichkeiten. Voraussetzungen für die Online-Ansicht Um Zugriff auf die Online-Ansicht zu erhalten, sind folgende Punkte zu beachten: Die Online-Betriebsart im Security Configuration Tool ist eingeschaltet („View > Online“ bzw. „Ansicht > Online“). Es besteht eine Netzwerkverbindung zum ausgewählten Modul. 4.5.1 Online Funktionen Folgender Screenshot zeigt den Online-Dialog: Copyright Siemens AG 2012 All rights reserved Abbildung 4-9 40 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 4 Produktübersicht SCALANCE S Folgende Funktionen werden hier angeboten: Tabelle 4-2 Funktion Copyright Siemens AG 2012 All rights reserved 4.5.2 Bedeutung Zustand Anzeige des Geräte-Status des im Projekt angewählten SCALANCE S Moduls. Datum und Uhrzeit Einstellung von Datum und Uhrzeit. Cache-Tabelle ARP-Tabelle des Security Moduls. Benutzer-Kontrolle Übersicht der eingeloggten Benutzer für die benutzerdefinierten Firewallregeln. Interne Knoten Anzeige der internen Netzknoten des SCALANCE SModuls. Schnittstellen-Einstellungen Statusanzeige der ausgewählten Schnittstelle (PPPoE, DynDNS). System Log Anzeige von geloggten System- Ereignissen. Audit Log Anzeige von geloggten Sicherheits- Ereignissen. Paketfilter Log Anzeige von geloggten Daten-Paketen sowie Starten und Stoppen des Paket-Logging. Logging Welche Ereignisse aufgezeichnet werden sollen, kann im Eigenschaftsdialog des SCALANCE S602 V3 bestimmt werden. Für das Logging stehen zwei Varianten zur Verfügung: Lokaler Log: Hier werden die Meldungen im lokalen Puffer des S602 V3 aufgezeichnet. Die Speicherung der Datenaufzeichnung kann nach zwei wählbaren Verfahren erfolgen: – Ring-Puffer: Sobald der Puffer voll ist, fängt die Aufzeichnung wieder am Pufferanfang an und überschreibt damit die ältesten Einträge. – One Shot Buffer: Die Aufzeichnung stoppt, wenn der Puffer voll ist. Mithilfe des Security Configuration Tools können Sie auf diese Aufzeichnungen zugreifen, sichtbar machen und archivieren. Netzwerk Syslog: Statt im lokalen Puffer werden die Meldungen an einen externen Syslog-Server geschickt. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 41 4 Produktübersicht SCALANCE S Einstellungen Der folgende Screenshot zeigt die möglichen Einstellungen für das Logging beim S602 V3: Siemens AG 2012 All rights reserved Abbildung 4-10 Copyright Folgende Ereignisse können aufgezeichnet werden: Tabelle 4-3 Ereignis Bedeutung Paketfilter- Ereignisse Hierunter werden die Datenpakete verstanden, auf die eine projektierte Paket-Filter-Regel (Firewall) zutrifft oder auf die der Basisschutz reagiert. Audit- Ereignisse Hierunter werden sicherheitsrelevante Ereignisse verstanden; wie z. B. das Ein- oder Ausschalten des PaketLogging oder falsche Passworteingabe bei der Authentisierung. Systemereignisse Systemereignisse sind z. B. Start eines Prozesses. Neben der Wahl der Ereignisse kann in diesem Dialogfenster auch das Logging aktiviert bzw. deaktiviert und die Speicherung der Daten bestimmt werden. 42 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 4 Produktübersicht SCALANCE S Logging-Funktionen Folgende Logging-Funktionen stehen im Online-Modus zur Verfügung: Tabelle 4-4 Bedeutung System Log Anzeige von geloggten Systemereignissen. Audit-Log Anzeige von geloggten Sicherheitsereignissen. Paketfilter Log Anzeige von geloggten DatenPaketen sowie Starten und Stoppen des Paket-Logging. Screenshot Copyright Siemens AG 2012 All rights reserved Funktion S602 V3 Firewall V3.0, Beitrags-ID: 22376747 43 5 Installation 5 Installation In diesem Kapitel wird beschrieben, welche Hardware- und Softwarekomponenten installiert werden müssen. Die Beschreibungen und Handbücher sowie Lieferinformationen, die mit den entsprechenden Produkten ausgeliefert werden, sollten in jedem Fall beachtet werden. 5.1 Installation der Hardware Die Hardware-Komponenten entnehmen Sie bitte dem Kapitel 2.3. Abbildung 5-1 Externer PC Leitwarte X208 Service-PC Siemens AG 2012 All rights reserved Syslog-Server Copyright S602 V3 CPU 317-2 PN/DP+ CP343-1 Advanced X208 CPU 319-3 PN/DP Mit Firewall geschützte Automatisierungszelle 44 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 5 Installation Gehen Sie für den Hardwareaufbau gemäß folgender Tabelle vor: Tabelle 5-1 Externes Netzwerk Copyright Siemens AG 2012 All rights reserved Internes Netzwerk Nr. Aktion 1. Montieren Sie alle Module auf einer Profilschiene. 2. Verbinden Sie die CPU317-2 PN/DP und den CP343-1 Advanced über einen Rückwandbus. 3. Schließen Sie alle Komponenten an eine 24VSpannungsversorgung an. 4. Verbinden Sie über Ethernet die Module wie folgt: CPU319-3PN/DP mit Port 6 des ersten SCALANCE X208 CP343-1 Advanced mit Port 1 des ersten SCALANCE X208 Interne Schnittstelle (grün) des S602 V3 mit Port 5 des ersten SCALANCE X208 5. Schließen Sie den zweiten SCALANCE X208 an eine 24VSpannungsversorgung an. 6. Verbinden Sie über Ethernet die Module im externen Netz wie folgt: PC der Leitwarte mit Port 2 des zweiten SCALANCE X208 Service-PC mit Port 2 des zweiten SCALANCE X208 Syslog-Server mit Port 7 des zweiten SCALANCE X208 Externer PC mit Port 6 des zweiten SCALANCE X208 Die externe Schnittstelle (rot) des S602 V3 mit Port 8 des zweiten SCALANCE X208. Anmerkung CPU319-3PN/DP CPU317-2PN/DP CP343-1 Advanced S602 V3 X208 Um alle Module anschließen zu können, verwenden Sie entweder Klemmleisten oder mehrere Spannungsversorgungen. Hinweis Die Aufbaurichtlinien für die Komponenten sind generell zu beachten. Hinweis Um sicherzugehen, dass keine alte Konfiguration im S602 V3 gespeichert ist, setzen Sie das Modul auf Werkseinstellungen zurück. Hilfe finden Sie unter /2/ im Kapitel 9 (Literaturhinweise). S602 V3 Firewall V3.0, Beitrags-ID: 22376747 45 5 Installation 5.2 Installation der Software Installation der Standard Tools Tabelle 5-2 Nr. Aktion Anmerkung 1. Installieren Sie STEP 7 V5.5 SP2 auf dem Service-PC und dem Externen PC Folgen Sie den Anweisungen des Installationsprogramms. 2. Installieren Sie das Security Configuration Tool auf das PG. Folgen Sie den Anweisungen des Installationsprogramms. 3. Installieren Sie den FTP-Client auf dem PG und dem Externen PC. Folgen Sie den Anweisungen des Installationsprogramms. 4. Installieren Sie ein Syslog Programm auf dem Syslog Server. Folgen Sie den Anweisungen des Installationsprogramms. Installation der Applikationssoftware Entpacken Sie den Code Ordner 22376747_Firewall_S602_V30_CODE. Es befinden sich hier zwei STEP-7 Projekte: Siemens AG 2012 All rights reserved Projekt Bridge.zip für den Aufbau im Bridge-Modus. Projekt NAT_NAPT.zip für den Aufbau im Router-Modus. Copyright Öffnen Sie am Service-PC den SIMATIC MANAGER und entpacken Sie das notwendige STEP 7-Projekt über „File > Retrieve“ („Datei > Dearchivieren“). Für den Bridge-Modus verwenden Sie Bridge.zip, im Router-Modus NAT_NAPT.zip. 46 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 6 Inbetriebnahme im Bridge-Modus 6 Inbetriebnahme im Bridge-Modus 6.1 Übersicht des Konfigurationsmodus Der Bridge-Modus ist ein flaches Netz. Das externe und interne Netz befinden sich im gleichen Subnetz. Übersicht Abbildung 6-1 Leitwarte: 192.168.2.1 Externer PC: 192.168.2.7 X208 Service-PC: 192.168.2.6 Siemens AG 2012 All rights reserved Syslog: 192.168.2.4 Copyright S602 V3: 192.168.2.2 CP: 192.168.2.3 X208 CPU:192.168.2.5 Mit Firewall geschützte Automatisierungszelle Verwendete IP-Adressen Tabelle 6-1 Inte rne Externes Netz Modul IP-Adresse PG in der Leitwarte 192.168.2.1 Service-PC 192.168.2.6 Syslog Server 192.168.2.4 Externer PC 192.168.2.7 S602 V3 192.168.2.2 CP343-1 Advanced 192.168.2.3 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 47 6 Inbetriebnahme im Bridge-Modus Modul PN-CPU IP-Adresse 192.168.2.5 Im Folgenden werden nun die nötigen Projektierungen für die Szenarien gezeigt. Tabelle 6-2 Anwendung Beschreibung Kapitel 1. Parametrierung IP-Konfiguration aller zelleninternen Geräte durch Knotentaufe in STEP 7 (über DCP) Freischalten des DCPProtokolls (Kapitel 6.4) 2. Projektierung/ Diagnostizierung/ Visualisierung Freischalten der vollen PGFunktionalität (STEP 7) für den PC des Servicemitarbeiters. IP-Dienst Definition (Kapitel 6.8.1) Anlegen der lokalen Firewallregeln (Kapitel 6.8.4) 3. Bandbreitenbeschränkung Einschränkung der Datenkommunikation für den PC des Servicemitarbeiters. 4. Produktivdatentransfer, Visualisierung Freischalten des Zugriffs auf den FTP- und Webserver des zelleninternen Advanced-CPs für das PG der Leitwarte. IP-Dienst Definition (Kapitel 6.8.1) Anlegen der lokalen Firewallregeln (Kapitel 6.8.4) Anlegen der globalen Firewallregel (Kapitel 6.8.3) 5. Logging des Datenverkehrs Freischalten des Datenverkehrs-Logging für einen externen Syslogserver. Anlegen der lokalen Firewallregeln (Kapitel 6.8.4) Projektierung des Syslog-Logging (Kapitel 6.7) 6. Benutzerdefinierte Firewallregeln Freischalten des Zugriffs auf den FTP- und Webserver des zelleninternen Advanced-CPs für ausgewählte Benutzer. Definition von Benutzer für das SCT(Kapitel 6.8.2) Anlegen von benutzerspezifischen Firewallregeln (Kapitel 6.8.5) Copyright Siemens AG 2012 All rights reserved Nr. 48 Anlegen der lokalen Firewallregeln (Kapitel 6.8.4) S602 V3 Firewall V3.0, Beitrags-ID: 22376747 6 Inbetriebnahme im Bridge-Modus 6.2 Vergabe der IP-Adressen IP-Adressvergabe der PCs/PGs Im Folgenden werden die PCs/PGs mit den erforderlichen IP-Adressen konfiguriert. Tabelle 6-3 Nr. Copyright Siemens AG 2012 All rights reserved 1. Aktion Anmerkung Zum Ändern der Netzwerkadresse öffnen Sie die Internet Protokoll (TCP/IP) über „Start > Settings > Network Connection > Local Connections“ („Start > Einstellungen > Netzwerkverbindungen > Lokale Verbindungen“). Ändern Sie die IP-Adresse für das PG in der Leitwarte, den Service-PC, den Syslog-Server und den externen PC auf diese Weise gemäß Tabelle Tabelle 6-1 ab. Hinweis: Für den Routing-Modus benötigen Sie zusätzlich eine Gatewayadresse. Tragen Sie für diesen Fall auch die IP-Adresse des zugehörigen Routers ein. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 49 6 Inbetriebnahme im Bridge-Modus IP-Adressvergabe der Module Zum Einspielen des STEP7-Projekts in die CPU muss diejenige IP-Adresse der Baugruppe geändert werden, über die das Projekt geladen wird. Das kann die CPU selbst oder ein CP sein. Tabelle 6-4 Nr. Aktion Verbinden Sie den Service-PC mit dem internen Netzwerk über den ersten SCALANCE X208. 2. Öffnen Sie am Service-PC den SIMATIC Manager und das STEP 7 Projekt. Selektieren Sie im Menü „PLC“ („Zielsystem“) die Option „Edit Ethernet Node…“(„EthernetTeilnehmer bearbeiten“) 3. Klicken Sie auf die Schaltfläche Browse…(Durchsuchen…). Der S602 V3 erlaubt im Default-Modus keine Knotentaufe aller zelleninterner Geräte durch ein externes PG mit STEP 7. Aus diesem Grund muss sich das PG für die Knotentaufe unmittelbar im internen Netz befinden. Copyright Siemens AG 2012 All rights reserved 1. Hinweis 50 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 6 Inbetriebnahme im Bridge-Modus Copyright Siemens AG 2012 All rights reserved Nr. Aktion 4. Selektieren Sie die gewünschte Baugruppe und bestätigen Sie die Auswahl mit der Schaltfläche OK. 5. Geben Sie im erscheinenden Fenster unter Set IP configurations (Ethernet-Adresse vergeben) die IP-Adresse gemäß Tabelle 6-1 ein. Hinweis: Für den Routing-Modus benötigen Sie zusätzlich eine Gatewayadresse. Aktivieren Sie für diesen Fall Use router und tragen die IP-Adresse des zugehörigen Routers ein. Hinweis Klicken Sie auf die Schaltfläche Assign IP Configuration (IP-Konfiguration zuweisen). 6. Vergeben Sie auf diese Weise dem CP und der CPU die entsprechenden IP-Adressen. 7. Verbinden Sie den Service-PC wieder mit Port 7 des zweiten SCALANCE X208. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Der SCALANCE bekommt seine IP-Adresse über das Laden des SCT-Projektes zugewiesen. 51 6 Inbetriebnahme im Bridge-Modus 6.3 Anlegen eines Projektes im SCT Das SCALANCE S-Modul wird mithilfe des Security Configuration Tool (SCT) konfiguriert. Tabelle 6-5 Aktion 1. Öffnen Sie das Security Configuration Tool über „Start > SIMATIC > Security”. Legen Sie über „Project > New“ („Projekt > Neu“) ein neues Projekt an. 2. Sie werden aufgefordert, eine Authentisierung für das neue Projekt zu vergeben. Tragen Sie einen Benutzernamen und Password ein. Bestätigen Sie mit OK. 3. Wählen Sie als Modul den S602 und als Version V3. Wählen Sie einen beliebigen Namen und übernehmen Sie die MAC-Adresse des Moduls, die sich am Gehäuse befindet. Als externe IP-Adresse vergeben Sie die 192.168.2.2 mit der Subnetzmaske 255.255.255.0. Bestätigen Sie die Angaben mit OK. Copyright Siemens AG 2012 All rights reserved Nr. 52 Anmerkung S602 V3 Firewall V3.0, Beitrags-ID: 22376747 6 Inbetriebnahme im Bridge-Modus 6.4 Freischalten des DCP-Protokolls Durch das Freischalten des DCP-Protokolls ist eine Knotentaufe aller zelleninterner Geräte durch ein externes PG mit STEP 7 möglich. Tabelle 6-6 Nr. Aktion Markieren Sie das Modul und öffnen Sie über „Rechte Maustaste > Properties“ („Eigenschaften“) die Eigenschaften des Moduls. Wechseln Sie in die Registerkarte Firewall. 2. Aktivieren Sie die Option Allow DCP (Erlaube DCP) in beide Richtungen. Damit wird das Setzen von IPAdressen bzw. Gerätenamen (Knotentaufe) durch das in STEP 7 integrierte Primary Setup Tool (PST) ermöglicht. Bestätigen Sie die Änderung mit OK. 3. Speichern Sie die Konfiguration unter einem sinnvollen Namen (z.B. S602 V3_FW) ab. 4. Übertragen Sie nun die Konfiguration ins Modul. Markieren Sie die Zeile mit dem Modul und wählen Sie: „Transfer > To module…“ („Übertragen > An Modul …“). Die F-LED wechselt von gelborange nach grün. Warten Sie, bis die Meldung Transfer finished successfully (Transfer erfolgreich beendet) erscheint. 5. Nun ist es möglich, durch einen Netzwerkscan die internen Teilnehmer aufzuspüren. Copyright Siemens AG 2012 All rights reserved 1. Anmerkung S602 V3 Firewall V3.0, Beitrags-ID: 22376747 53 6 Inbetriebnahme im Bridge-Modus 6.5 Symbolische Adressierung im SCT Eine symbolische Adressierung der Teilnehmer erleichtert die Konfiguration und Projektierung der einzelnen Dienste. Tabelle 6-7 Aktion 1. Öffnen Sie über „Options > Symbolic Names…“ („Optionen > Symbolische Namen…“) die Tabelle für die symbolische Adressierung. 2. Tragen Sie mit Add (Hinzufügen) alle Teilnehmer mit deren IP-Adresse und MACAdresse in die Tabelle ein. Verwenden Sie die IP-Adressen aus Tabelle 6-1. Schließen Sie den Dialog mit OK. Anmerkung Bridge-Modus: Copyright Siemens AG 2012 All rights reserved Nr. Router-Modus: 54 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 6 Inbetriebnahme im Bridge-Modus 6.6 Erweiterter Modus Der Erweiterte Modus bietet neben den Standardeinstellungen mehr Konfigurationsmöglichkeiten. ACHTUNG Eine einmal vorgenommene Umschaltung in den Erweiterten-Modus für das aktuelle Projekt kann nicht mehr rückgängig gemacht werden. Tabelle 6-8 Copyright Siemens AG 2012 All rights reserved Nr. Aktion 1. Eine individuelle Projektierung der Firewall ist nur im erweiterten Modus möglich. Aktivieren Sie diesen über „View > Advanced Mode“ („Ansicht >Erweiterter Modus“). 2. Bestätigen Sie die Warnung mit Ja. 6.7 Anmerkung Projektierung des Syslog-Logging Das Logging der Datenpakete soll auf einen Syslog-Server aufgezeichnet werden. Tabelle 6-9 Nr. 1. Aktion Anmerkung Markieren Sie das Modul S602 V3 im Security Configuration Tool und öffnen über „Rechte Maustaste > Properties“ („Eigenschaften“) den Eigenschaftsdialog. Wechseln Sie in das Register Log Settings (Log Einstellung). Aktivieren Sie das Logging mit einem Syslog-Server und dem Zusatz, dass statt IP-Adressen die symbolische Namen der internen Teilnehmer angezeigt werden. Tragen Sie als IPAdresse „Syslog-Server“ ein. Aktivieren Sie die Meldungen, die auf den Syslog Server übertragen werden sollen. Schließen Sie den Dialog mit OK. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 55 6 Inbetriebnahme im Bridge-Modus 6.8 Konfiguration der Firewallregeln Voraussetzungen Voraussetzungen für die Konfiguration der Firewall sind: Es wurde ein SCT-Projekt mit einem S602 V3 angelegt. Das Modul S602 V3 wurde mit der MAC-Adresse der realen S602 V3 Baugruppe konfiguriert. Im Bridge-Modus: als externe IP-Adresse ist die 192.168.2.2 eingetragen Der Erweiterte Modus ist aktiviert. 6.8.1 IP-Dienst Definition Mithilfe der IP-Dienst-Definitionen werden Firewall-Regeln, die auf bestimmte Dienste angewendet werden, kompakt und übersichtlich definiert. Dabei wird jedem Dienstparameter ein Name zugeordnet. Bei der Projektierung der globalen oder lokalen Paketfilter-Regeln werden diese Namen einfach verwendet. Tabelle 6-10 Aktion 1. Öffnen Sie über „Options > IP Services…“ („Optionen > IP-Dienste…“) die nötige Tabelle. 2. Fügen Sie über Add IP Service (IP Dienst hinzufügen) neue IPDienste hinzu. Anmerkung Copyright Siemens AG 2012 All rights reserved Nr. 56 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 6 Inbetriebnahme im Bridge-Modus Nr. Copyright Siemens AG 2012 All rights reserved 3. Aktion Anmerkung Für die S7-Kommunikation: Name: S7 Protokoll: TCP Source Port: * Target Port: 102 ******************************** Für die http-Kommunikation: Name: HTTP Protokoll: TCP Source Port: * Target Port: 80 ******************************** Für den FTP-Zugriff: Name: FTP Protokoll: TCP Source Port: * Target Port: 21 ******************************** Wenn Sie alle Dienste eingetragen haben, schließen Sie den Dialog mit OK. 6.8.2 Definition von Benutzer für das SCT Tabelle 6-11 Nr. 1. Aktion Anmerkung Öffnen Sie die Benutzerverwaltung im Security Configuration Tool über „Options > User Management“ („Extras > Benutzerverwaltung“). S602 V3 Firewall V3.0, Beitrags-ID: 22376747 57 6 Inbetriebnahme im Bridge-Modus Aktion 2. Die Startmaske listet alle bereits projektierten Benutzer mit deren Namen und Rollen auf. Über Add (Hinzufügen) können Sie weitere Benutzer anlegen. 3. Legen Sie einen Namen und Passwort fest. Als Rolle wählen Sie aus der Auswahlliste remote access aus. Der Benutzer mit der Rolle remote access hat keine Rechte außer Anmeldung an der Internetseite für benutzerspezifische Firewall-Regeln. Anmerkung Schließen Sie das Fenster mit OK. 4. Der neue Benutzer wird in der Übersichtstabelle angezeigt. Schließen Sie das Fenster mit OK. 5. Bestätigen Sie die Warnung mit OK. Copyright Siemens AG 2012 All rights reserved Nr. 58 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 6 Inbetriebnahme im Bridge-Modus 6.8.3 Anlegen der globalen Firewallregel Für diese Applikation wird die Firewallregel für den FTP-Server global angelegt. Tabelle 6-12 Nr. Markieren Sie unter den globalen Firewallregeln die Firewall IP-Regelsätze und legen Sie über „Rechte Maustaste > Insert rule set“ („Regelsatz einfügen“) einen neuen Regelsatz ein. 2. Um die globale Firewallregel besser zu identifizieren, können Sie einen Namen und eine Beschreibung eintragen. 3. Legen Sie über Add Rule (Regel hinzufügen) eine neue globale Firewallregel an. Tragen Sie folgende Werte ein: ************************************ Aktion: Allow From/To (Von/Nach): External -> Internal (Extern -> Intern) Source IP (Quelle IP): PG Destination IP (Ziel IP): CP3431Advanced Service (Dienst): FTP Logging: Aktiviert ************************************ Schließen Sie den Dialog mit OK. 4. Eine neue globale Firewallregel wurde erstellt. Siemens AG 2012 All rights reserved Copyright Aktion 1. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Anmerkung 59 6 Inbetriebnahme im Bridge-Modus Nr. 5. Aktion Anmerkung Markieren Sie diese Regel und ziehen Sie diese mittels Drag&Drop auf das Modul S602 V3. 6.8.4 Anlegen der lokalen Firewallregeln Als lokale Firewallregeln werden das S7-Protokoll und die Kommunikation über http freigeschaltet. Tabelle 6-13 Nr. 1. Markieren Sie den S602 V3 und öffnen Sie über „Rechte Maustaste > Properties“ („Eigenschaften“) die Eigenschaften. Wechseln Sie in das Register Firewall Setting (Firewall) und IP Rules (IPRegeln). Die globale Firewallregel, die soeben mit Drag&Drop auf das Modul gezogen wurde, erscheint nun auch in den lokalen Firewalleinstellungen. 2. Klicken Sie auf Add Rule (Regel hinzufügen), um eine neue lokale Firewallregel zu erstellen. 3. Tragen Sie folgende Werte ein: Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): ServicePC Destination IP (Ziel IP): PNCPU Service (Dienst): S7 Bandwidth (Bandbreite): 10 (MBit/s) Aktivieren Sie das Logging. Siemens AG 2012 All rights reserved Copyright Aktion 60 Anmerkung S602 V3 Firewall V3.0, Beitrags-ID: 22376747 6 Inbetriebnahme im Bridge-Modus Nr. Copyright Siemens AG 2012 All rights reserved 4. Aktion Anmerkung Über Add Rule (Regel hinzufügen) können Sie weitere Regeln einfügen. Tragen Sie für die S7- und http -Kommunikation noch folgende Zeilen ein: Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): ServicePC Destination IP (Ziel IP): CP3431Advanced Service (Dienst): S7 Bandwidth (Bandbreite): 10 (MBit/s) Akitivieren Sie das Logging. ************************************* Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): PG Destination IP (Ziel IP): CP3431Advanced Service (Dienst): HTTP Akitivieren Sie das Logging. ************************************* Aktion: Allow From/To (Von/Nach):Internal-> External (Intern -> Extern) Source IP (Quelle IP): * Destination IP (Ziel IP): * ************************************* Schließen Sie den Dialog mit OK. Hinweis Jede Firewallregel erhält vom Security Configuration Tool automatisch ein eindeutiges Label zugewiesen. Um bei der Aufzeichnung der System- und Sicherheitsereignissen (Logging) festzustellen, welche Firewallregel jeweils gewirkt hat, erscheint das zugehörige Label in der Logzeile. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 61 6 Inbetriebnahme im Bridge-Modus 6.8.5 Anlegen von benutzerspezifischen Firewallregeln Tabelle 6-14 Nr. Aktion Markieren Sie die benutzerspezifischen Firewallregeln und legen Sie über „Rechte Maustaste > Insert rule set“ („Regelsatz einfügen“) einen neuen Regelsatz ein. 2. Um die benutzerspezifischen Firewallregel besser zu identifizieren, können Sie einen Namen und eine Beschreibung vergeben. Im unteren Bereich sehen Sie alle projektierten Benutzer. 3. Legen Sie über Add Rule (Regel hinzufügen) eine neue Firewallregel an. Copyright Siemens AG 2012 All rights reserved 1. Anmerkung 62 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 6 Inbetriebnahme im Bridge-Modus Nr. 4. Aktion Anmerkung Tragen Sie folgende Werte ein: ************************************ Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): Destination IP (Ziel IP):CP3431Advanced Service (Dienst): HTTP Logging: Aktiviert 5. Markieren Sie den konfigurierten Benutzer und weisen Sie ihm mit Add (Hinzufügen) diesen Regelsatz zu 6. Schließen Sie dien Dialog mit OK. 7. Eine neue benutzerspezifische Firewallregel wurde erstellt. 8. Markieren Sie diese Regel und ziehen Sie diese mittels Drag&Drop auf den SCALANCE S602 V3. Copyright Siemens AG 2012 All rights reserved ************************************ Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): Destination IP (Ziel IP):CP3431Advanced Service (Dienst): FTP Logging: Aktiviert S602 V3 Firewall V3.0, Beitrags-ID: 22376747 63 6 Inbetriebnahme im Bridge-Modus Hinweis Für die Zuordnung der benutzerspezifischen Firewallregeln gelten folgende Regeln: Einer Baugruppe kann nur ein benutzerspezifischer Regelsatz pro Benutzer zugewiesen werden. Durch die Zuordnung wird für alle Rollen der im Regelsatz festgelegten Benutzer das Recht "Benutzer darf sich an Baugruppe anmelden" aktiviert. 6.9 Firewallregeln in den S602 V3 laden Sobald alle Firewallregeln konfiguriert sind, kann das Projekt in den SCALANCE S602 V3 geladen werden. Tabelle 6-15 Aktion 1. Speichern Sie die Konfiguration unter einem sinnvollen Namen (z.B. S602 V3_FW) ab. 2. Übertragen Sie nun die Konfiguration ins Modul. Markieren Sie die Zeile mit dem Modul und wählen Sie: „Transfer > To module…“ („Übertragen > An Modul …“). Die F-LED wechselt von gelborange nach grün. Warten Sie, bis die Meldung Transfer completed successfully (Transfer erfolgreich beendet) erscheint 3. Das Modul ist nun mit der aktuellen Firewallkonfiguration projektiert. Copyright Siemens AG 2012 All rights reserved Nr. 64 Anmerkung S602 V3 Firewall V3.0, Beitrags-ID: 22376747 7 Inbetriebnahme im Routing-Modus 7 Hinweis 7.1 Inbetriebnahme im Routing-Modus In diesem Kapitel wird nur auf die zusätzlichen Projektierungsschritte eingegangen, die über die notwendigen Projektierungen im Bridge-Modus hinausgehen. Übersicht des Konfigurationsmodus Der Router-Modus ist ein subnetzübergreifendes Netz. Das externe und interne Netz befinden sich in verschiedenen Subnetzen. Übersicht Abbildung 7-1 Externer PC: 172.158.2.7 X208 Service-PC: 172.158.2.6 Syslog: 172.158.2.4 Copyright Siemens AG 2012 All rights reserved Leitwarte: 172.158.2.1 S602 V3 Extern: 172.158.2.2 S602 V3 Intern: 192.168.2.2 CP: 192.168.2.3 X208 CPU:192.168.2.5 Mit Firewall geschützte Automatisierungszelle S602 V3 Firewall V3.0, Beitrags-ID: 22376747 65 7 Inbetriebnahme im Routing-Modus Verwendete IP-Adressen Tabelle 7-1 Internes Netz Externes Netz Modul IP-Adresse Router PG der Leitwarte 172.158.2.1 172.158.2.2 Service-PC 172.158.2.6 172.158.2.2 Syslog Server 172.158.2.4 172.158.2.2 Externer PC 172.158.2.7 172.158.2.2 S602 V3 (externe Schnittstelle) 172.158.2.2 S602 V3 (interne Schnittstelle) 192.168.2.2 CP343-1 Advanced 192.168.2.3 192.168.2.2 PN-CPU 192.168.2.5 192.168.2.2 Als Subnetzmaske dient jeweils die 255.255.255.0. 7.2 Basis Projektierungen aus dem Bridge-Modus Siemens AG 2012 All rights reserved Die meisten Projektierungsschritte aus dem Bridge-Modus sind die Grundlage für den Routing-Modus. Folgende Projektierungsschritte sind Voraussetzung für den Routing-Modus: Tabelle 7-2 Copyright Nr. 66 Kapitel 1. Vergabe der IP-Adressen (Kapitel 6.2) 2. Anlegen eines Projektes im SCT (Kapitel 6.3). 3. Symbolische Adressierung im SCT (Kapitel 6.5) 4. Erweiterter Modus (Kapitel 6.6) 5. Projektierung des Syslog-Logging (Kapitel 6.7) 6. Konfiguration der Firewallregeln (Kapitel 6.8) Anmerkung Verwenden Sie dafür die IP-Adresse aus Tabelle 7-1. Achten Sie darauf, in den Geräten auch eine Routeradresse zu projektieren. Verwenden Sie dafür die IP-Adresse aus Tabelle 7-1. Voraussetzungen für die Konfiguration der Firewall sind: Es wurde ein SCT-Projekt mit einem S602 V3 angelegt. Das Modul S602 V3 wurde mit der MAC-Adresse der realen S602 V3 Baugruppe bestückt. Im Routing-Modus: als externe IPAdresse ist die 172.158.2.2 eingetragen Der Erweiterte Modus ist aktiviert. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 7 Inbetriebnahme im Routing-Modus 7.3 Änderung des Betriebsmodus auf Routing Tabelle 7-3 Aktion 1. Öffnen Sie das Security Configuration Tool Projekt. 2. Markieren Sie den SCALANCE S602 V3 und öffnen Sie durch einen Doppelklick die Eigenschaften. Versetzen die das Modul im Register Interface (Schnittstelle) in den Routing Modus. Ändern Sie die externe IPAdresse auf 172.158.2.2 um und tragen Sie als interne IPAdresse die 192.168.2.2 mit der Subnetzmaske 255.255.255.0 ein. Schließen Sie den Dialog mit OK. Anmerkung Copyright Siemens AG 2012 All rights reserved Nr. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 67 7 Inbetriebnahme im Routing-Modus 7.4 Konfiguration von NA(P)T Das folgende Kapitel zeigt die nötigen Projektierungsschritte, um NAT bzw. NAPT im SCALANCE S602 V3 zu implementieren. Sie haben in dieser Applikation die Möglichkeit, die Szenarien entweder mit NAT oder mit NAPT zu bedienen: Für die Bedienung mit NAT, folgen Sie den Schritten von Kapitel 7.4.1 (Konfiguration der NAT-Tabelle). Für die Bedienung mit NAPT, folgen Sie den Schritten von Kapitel 7.4.2 (Konfiguration der NAPT-Tabelle). 7.4.1 Konfiguration der NAT-Tabelle NAT ist eine 1:1-Umsetzung. Das bedeutet, eine IP-Adresse wird auf eine andere, interne umgesetzt. Tabelle 7-4 Nr. Aktion Wechseln Sie in das Register NAT. Im linken Teil des Dialoges befindet sich die NAT-Tabelle. 2. Aktivieren Sie das NAT und erlauben Sie allen Teilnehmern von intern nach extern zu kommunizieren. Es wird automatisch der Eintrag 172.158.2.2 * SrcNat (to external) eingefügt. Copyright Siemens AG 2012 All rights reserved 1. Anmerkung 68 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 7 Inbetriebnahme im Routing-Modus Nr. Copyright Siemens AG 2012 All rights reserved 3. Aktion Anmerkung Über den Button Add können Sie je einen neuen Eintrag einfügen. Tragen Sie folgende Adressumsetzungen in die Tabelle ein: *********************************** Externe IP-Adresse: 172.158.2.3 Interne IP-Adresse: CP343-1Advanced Richtung: Dst-NAT (from external) *********************************** Externe IP-Adresse: 172.158.2.5 Interne IP-Adresse: PN-CPU Richtung: Dst-NAT from external) *********************************** Schließen Sie den Dialog mit OK. 7.4.2 Konfiguration der NAPT-Tabelle Bei NAPT existiert eine öffentliche IP-Adresse, die durch den Zusatz von Portnummern an eine Reihe von privaten IP-Adressen umgesetzt wird. Tabelle 7-5 Nr. Aktion 1. Markieren Sie das Modul S602 V3 im Security Configuation Tool und öffnen Sie über „Rechte Maustaste > Properties“ („Eigenschaften“) die Eigenschaften. Wechseln Sie in das Register NAT. Im rechten Teil des Dialoges befindet sich die NAPT-Tabelle. 2. Aktivieren Sie das NAPT. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Anmerkung 69 7 Inbetriebnahme im Routing-Modus Nr. Copyright Siemens AG 2012 All rights reserved 3. Aktion Anmerkung Über den Button Add können Sie je einen neuen Eintrag einfügen. Tragen Sie folgende Adressumsetzungen in die Tabelle ein: *********************************** Externer Port: 8000 Interne IP-Adresse: CP343-1 Advanced Interner Port: 80 *********************************** Externer Port: 21 Interne IP-Adresse: CP343-1 Advanced Interner Port: 21 *********************************** Externer Port: 102 Interne IP-Adresse: PN-CPU Interner Port: 102 *********************************** Hinweis Eine externe Portnummer darf nur einmal eingetragen sein. Da immer die IPAdresse des SCALANCE S als externe IP-Adresse verwendet wird, wäre bei mehrfacher Verwendung keine Eindeutigkeit gegeben. Aus diesem Grund kann nur auf eine CPU (hier: PN-CPU) zugegriffen werden. 7.5 Laden der SCALANCE S602 V3 Konfiguration Verfahren Sie für das Laden der Konfiguration so, wie in Kapitel 6.9 (Firewallregeln in den S602 V3 laden) beschrieben. Abbildung 7-2 70 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation 8 Bedienung der Applikation Zugriffsrechte Durch die Firewallregeln wurden die Szenarien nur für bestimmte PCs freigeschalten. Ein Versuch, die Szenarien mit einem anderen PC als den vorgegebenen zu testen, bleibt ohne Erfolg. Die folgende Tabelle gibt einen Überblick: Tabelle 8-1 Anwenderszenarien 8.1 Zugriffsrecht Knotentaufe der internen Teilnehmer Service-PC Projektierung/ Diagnostizieren mit STEP 7 Service-PC Zugriff auf zelleninterne Web- und FTP Server PG der Leitwarte Logging der Datenpakete für die S7-Kommunikation Syslog-Server Blocken von unbefugten Zugriffsversuchen Externer PC Bedienung im Bridge-Modus Die folgende Grafik zeigt den Aufbau und die zugehörigen IP-Adressen der Applikation im Bridge-Modus: Abbildung 8-1 Externer PC: 192.168.2.7 Leitwarte: 192.168.2.1 Copyright Siemens AG 2012 All rights reserved Aufbau X208 Service-PC: 192.168.2.6 Syslog: 192.168.2.4 S602 V3: 192.168.2.2 CP: 192.168.2.3 X208 CPU:192.168.2.5 Mit Firewall geschützte Automatisierungszelle S602 V3 Firewall V3.0, Beitrags-ID: 22376747 71 8 Bedienung der Applikation Knotentaufe über das DCP-Protokoll Tabelle 8-2 Nr. 1. Aktion Anmerkung Öffnen Sie am Service-PC den SIMATIC Manager und das STEP 7 Projekt Bridge. Selektieren Sie im Menü PLC (Zielsystem) die Option Edit Ethernet Node… (Ethernet-Teilnehmer bearbeiten). Starten Sie den Netzwerk-Scan. Durch die Freigabe des DCP-Protokolls ist nun eine Knotentaufe der internen Teilnehmer möglich. Tabelle 8-3 Nr. Aktion 1. Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das zugehörige Projekt Bridge. 2. Markieren Sie nacheinander die S7-300 Stationen und laden Sie diese in die CPU. 3. Öffnen Sie die Variablentabelle im Ordner Blocks. In der Variablentabelle sind die Taktmerker der CPU hinterlegt. Beobachten Sie die Variablen durch das Brillen-Icon oder über „View > Monitor“ („Ansicht > Beobachten“). Anmerkung Copyright Siemens AG 2012 All rights reserved Laden und Beobachten des STEP 7-Projektes 72 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation Zugriff auf den Web-Server Der Zugriff auf den Web- und FTP-Server des CP343-1 Advanced ist nur für die Leitwarte zulässig. In den Firewallregeln wurde das http und ftp-Protokoll explizit für die IP-Adresse 192.168.2.1 erlaubt. Tabelle 8-4 Aktion 1. Öffnen Sie auf dem PG der Leitwarte einen Webbrowser und geben Sie in die Adressleiste die IP-Adresse des CP343-1 Advanced (http://192.168.2.3) ein. Die Standard-HTML Seite öffnet sich. 2. Über die HTML-Seite des CPs können Sie u. a. den Diagnosepuffer der CPU einsehen, Baugruppeninformationen abrufen, den Status der Ringredundanz überprüfen und Informationen zu den projektierten Verbindungen einholen. Anmerkung Copyright Siemens AG 2012 All rights reserved r. Zugriff auf den FTP-Server Tabelle 8-5 Nr. 1. Aktion Anmerkung Öffnen Sie auf dem PG der Leitwarte einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: 192.168.2.3 Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTPServer. Hinweis: Verwenden Sie als FTP-Client keinen Webbrowser, sondern ein FTP-Client Programm. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 73 8 Bedienung der Applikation Nr. 2. Aktion Anmerkung Die Filestruktur des Advanced-CP wird angezeigt. Logging des Datenverkehrs Tabelle 8-6 Aktion 1. Öffnen Sie auf dem Syslog-Server das Syslog Programm. Die Meldungen des S602 V3 werden hier angezeigt. 2. Markieren Sie im Security Configuration Tool das S602 V3Modul und gehen Sie über „View > Online“ („Ansicht > Online“) in den Online-Modus. 3. Klicken Sie doppelt auf das Modul. Der Online-Dialog öffnet sich. In der ersten Registerkarte Status erscheinen sämtliche Informationen (Hardware, IP-/MACAdresse, Änderungsdatum der Konfiguration…). Anmerkung Copyright Siemens AG 2012 All rights reserved Nr. 74 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation Nr. 4. Aktion Anmerkung Die Registerkarten System Log, Audit Log und Packet Filter Log zeigen die lokalen Aufzeichnungen. Unter Packet-Filter Log können Sie die Aufzeichnungen entweder in einem Ring-Puffer oder One Shot Buffer über den Button Start Logging starten. Die Auswahl wird direkt angezeigt. Der Button Start Reading aktiviert die Anzeige im Dialogfenster. Blocken von unbefugten Zugriffen Nr. Aktion 1. Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: 192.168.2.3 Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTPServer. 2. Der Zugriff auf das Filesystem des CPs ist nicht möglich. 3. Versuchen Sie die Webseite des CPs über einen Webbrowser zu öffnen. Auch hier ist kein Zugriff möglich. 4. Öffnen Sie auf dem Externen PC den SIMATIC MANAGER und das STEP 7 Projekt Bridge. Copyright Siemens AG 2012 All rights reserved Tabelle 8-7 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Anmerkung 75 8 Bedienung der Applikation Copyright Siemens AG 2012 All rights reserved Nr. Aktion 5. Markieren Sie eine S7-300 Station und versuchen Sie diese in die CPU zu laden. 6. Ein Laden ist nicht möglich. Anmerkung Zugriff über benutzerspezifische Firewallregelsätze Für die Aktivierung dieser spezifischen Firewall ist eine vorherige Anmeldung auf der Webseite des SCALANCE S602 V3 notwendig. Die Verbindung zum Security Modul erfolgt über HTTPS unter Verwendung der IPAdresse des externen Ports. Tabelle 8-8 Nr. Aktion 1. Öffnen Sie auf dem Externen PC die Webseite des S602 V3 über einen Webbrowser. https://192.168.2.2. 2. Melden Sie sich mit dem in Kapitel 6.8.2 konfigurierten Benutzernamen und Passwort an. 76 Anmerkung S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation Aktion 3. Nach 30 Minuten wird der Benutzer automatisch am SCALANCE abgemeldet. Wird mehr Zeit benötigt, kann die Zeituhr neu gestartet werden. 4. Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: 192.168.2.3 Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTPServer. 5. Die Filestruktur des Advanced-CP wird angezeigt. 6. Auch der Zugriff auf die Webseite des CPs ist durch die benutzerspezifische Regel nun erlaubt. Anmerkung Copyright Siemens AG 2012 All rights reserved Nr. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 77 8 Bedienung der Applikation 8.2 Bedienung im Router-Modus Aufbau Die folgende Grafik zeigt den Aufbau und die zugehörigen IP-Adressen der Applikation im Router-Modus: Abbildung 8-2 Externer PC: 172.158.2.7 Leitwarte: 172.158.2.1 X208 Service-PC: 172.158.2.6 Siemens AG 2012 All rights reserved Syslog: 172.158.2.4 S602 V3 Extern: 172.158.2.2 S602 V3 Intern: 192.168.2.2 X208 CPU:192.168.2.5 Copyright CP: 192.168.2.3 Mit Firewall geschützte Automatisierungszelle 78 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation 8.2.1 Routing über NAT Laden und Beobachten des STEP 7-Projektes Tabelle 8-9 Nr. 1. Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das Projekt NAT_NAPT. 2. Markieren Sie nacheinander die S7-300 Stationen und laden Sie diese in die CPU. 3. Wenn Sie nach einer Zugangsadresse bei der Station SIMATIC CPU gefragt werden, wählen Sie die PROFINET Schnittstelle des CP343-1 Advanced aus. 4. Öffnen Sie die Variablentabelle im Ordner Blocks. In der Variablentabelle sind die Taktmerker der CPU hinterlegt. Beobachten Sie die Variablen durch das Brillen-Icon oder über „View > Monitor“ („Ansicht > Beobachten“). Siemens AG 2012 All rights reserved Copyright Aktion S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Anmerkung 79 8 Bedienung der Applikation Zugriff auf den Web-Server Tabelle 8-10 Copyright Siemens AG 2012 All rights reserved Nr. Aktion 1. Öffnen Sie auf dem PG der Leitwarte einen Webbrowser und geben Sie in die Adressleiste die IP-Adresse des CP343-1 Advanced (http://172.158.2.3) ein. Die Standard-HTML Seite öffnet sich. 2. Über die HTML-Seite des CPs können Sie u. a. den Diagnosepuffer der CPU einsehen, Baugruppeninformationen abrufen, den Status der Ringredundanz überprüfen und Informationen zu den projektierten Verbindungen einholen. Anmerkung Zugriff auf den FTP-Server Tabelle 8-11 Nr. 1. 80 Aktion Anmerkung Öffnen Sie auf dem PG der Leitwarte einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: 172.158.2.3 Port: 21 Kennwort: ftp_user Passwort: ftp_user Transfer: Aktiv Verbinden Sie sich mit dem FTPServer. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation Nr. 2. Aktion Anmerkung Die Filestruktur des Advanced-CP wird angezeigt. Logging des Datenverkehrs Tabelle 8-12 Aktion 1. Öffnen Sie auf dem Syslog-Server das Syslog Programm. Die Meldungen des S602 V3 werden hier angezeigt. 2. Markieren Sie im Security Configuration Tool das S602 V3Modul und gehen Sie über „View > Online“ („Ansicht > Online“) in den Online-Modus. 3. Klicken Sie doppelt auf das Modul. Der Online-Dialog öffnet sich. In der ersten Registerkarte Status erscheinen sämtliche Informationen (Hardware, IP-/MACAdresse, Änderungsdatum der Konfiguration…). Anmerkung Copyright Siemens AG 2012 All rights reserved Nr. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 81 8 Bedienung der Applikation Nr. 4. Aktion Anmerkung Die Registerkarten System Log, Audit Log und Packet Filter Log zeigen die lokalen Aufzeichnungen. Unter Packet-Filter Log können Sie die Aufzeichnungen entweder in einem Ring-Puffer oder One Shot Buffer über den Button Start Logging starten. Die Auswahl wird direkt angezeigt. Der Button Start Reading aktiviert die Anzeige im Dialogfenster. Blocken von unbefugten Zugriffen Nr. Aktion 1. Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: 172.158.2.3 Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTPServer. 2. Der Zugriff auf das Filesystem des CPs ist nicht möglich. 3. Versuchen Sie die Webseite des CPs über einen Webbrowser zu öffnen (http://172.158.2.3). Auch hier ist kein Zugriff möglich. 4. Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das Projekt NAT_NAPT. Copyright Siemens AG 2012 All rights reserved Tabelle 8-13 82 Anmerkung S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation Aktion 5. Markieren Sie nacheinander die S7-300 Stationen und laden Sie diese in die CPU. 6. Wenn Sie nach einer Zugangsadresse bei der Station SIMATIC CPU gefragt werden, wählen Sie die PROFINET Schnittstelle des CP343-1 Advanced aus. 7. Ein Laden ist nicht möglich. Anmerkung Copyright Siemens AG 2012 All rights reserved Nr. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 83 8 Bedienung der Applikation Zugriff über benutzerspezifische Firewallregelsätze Für die Aktivierung dieser spezifischen Firewall ist eine vorherige Anmeldung auf der Webseite des SCALANCE S602 V3 notwendig. Die Verbindung zum Security Modul erfolgt über HTTPS unter Verwendung der IPAdresse des externen Ports. Tabelle 8-14 Copyright Siemens AG 2012 All rights reserved Nr. Aktion 1. Öffnen Sie auf dem Externen PC die Webseite des S602 V3 über einen Webbrowser. https://172.158.2.2. 2. Melden Sie sich mit dem in Kapitel 6.8.2 konfigurierten Benutzernamen und Passwort an. 3. Nach 30 Minuten wird der Benutzer automatisch am SCALANCE abgemeldet. Wird mehr Zeit benötigt, kann die Zeituhr neu gestartet werden. 4. Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: 172.158.2.3 Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTPServer. 84 Anmerkung S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation Aktion 5. Die Filestruktur des Advanced-CP wird angezeigt. 6. Auch der Zugriff auf die Webseite des CPs (http://172.158.2.3) ist durch die benutzerspezifische Regel nun erlaubt. Anmerkung Copyright Siemens AG 2012 All rights reserved Nr. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 85 8 Bedienung der Applikation 8.2.2 Routing über NAPT Laden und Beobachten des STEP 7-Projektes Tabelle 8-15 Copyright Siemens AG 2012 All rights reserved Nr. Aktion 1. Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das Projekt NAT_NAPT. 2. Markieren Sie die S7-300 Station SIMATIC PN-CPU und laden Sie diese in die CPU. 3. Öffnen Sie die Variablentabelle im Ordner Blocks. In der Variablentabelle sind die Taktmerker der CPU hinterlegt. Beobachten Sie die Variablen durch das Brillen-Icon oder über „View > Monitor“ („Ansicht > Beobachten“). Anmerkung Zugriff auf den Web-Server Tabelle 8-16 Nr. 1. 86 Aktion Anmerkung Öffnen Sie auf dem PG der Leitwarte einen Webbrowser und geben Sie in die Adressleiste die IP-Adresse des CP343-1 Advanced (http://172.158.2.2:8000/) ein. Die Standard-HTML Seite öffnet sich. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation Nr. 2. Aktion Anmerkung Über die HTML Seite des CPs können Sie u. a. den Diagnosepuffer der CPU einsehen, Baugruppeninformationen abrufen, den Status der Ringredundanz überprüfen und Informationen zu den projektierten Verbindungen einholen. Zugriff auf den FTP-Server Achten Sie darauf, dass Sie das Aktive FTP verwenden und der Client einen zufälligen Lausch-Port an den Server sendet. Beim Passiven FTP öffnet der Server einen neuen Port und schickt ihn an den Client. Jedoch mit seiner eigenen IP-Adresse (hier 192.168.2.3) und nicht die umgesetzte (172.158.2.2). Ein Verbindungsaufbau ist so nicht möglich. Tabelle 8-17 Nr. Aktion 1. Öffnen Sie auf dem PG der Leitwarte einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: 172.158.2.2 Port: 21 User: ftp_user Passwort: ftp_user Transfer: Aktives FTP Verbinden Sie sich mit dem FTPServer. 2. Die Filestruktur des Advanced-CPs wird angezeigt. Copyright Siemens AG 2012 All rights reserved ACHTUNG S602 V3 Firewall V3.0, Beitrags-ID: 22376747 Anmerkung 87 8 Bedienung der Applikation Logging des Datenverkehrs Tabelle 8-18 Nr. Aktion Öffnen Sie auf dem Syslog-Server das Syslog Programm. Die Meldungen des S602 V3 werden hier angezeigt. 2. Markieren Sie im Security Configuration Tool das S602 V3Modul und gehen Sie über „View > Online“ („Ansicht > Online“) in den Online-Modus. 3. Klicken Sie doppelt auf das Modul. Der Online-Dialog öffnet sich. In der ersten Registerkarte Status erscheinen sämtliche Informationen (Hardware, IP-/MACAdresse, Änderungsdatum der Konfiguration…). 4. Die Registerkarten System Log, Audit Log und Packet Filter Log zeigen die lokalen Aufzeichnungen. Unter Packet-Filter Log können Sie die Aufzeichnungen entweder in einem Ring-Puffer oder One Shot Buffer über den Button Start Logging starten. Die Auswahl wird direkt angezeigt. Der Button Start Reading aktiviert die Anzeige im Dialogfenster. Copyright Siemens AG 2012 All rights reserved 1. Anmerkung 88 S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation Blocken von unbefugten Zugriffen Tabelle 8-19 Aktion 1. Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: 172.158.2.2 Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTPServer. 2. Der Zugriff auf das Filesystem des CPs ist nicht möglich. 3. Versuchen Sie die Webseite des CPs über einen Webbrowser zu öffnen (http://172.158.2.2:8000/) . Auch hier ist kein Zugriff möglich. 4. Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das Projekt NAT_NAPT. 5. Markieren Sie die S7-300 Station SIMATIC PN-CPU und laden Sie diese in die CPU. 6. Ein Laden ist nicht möglich. Anmerkung Copyright Siemens AG 2012 All rights reserved Nr. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 89 8 Bedienung der Applikation Zugriff über benutzerspezifische Firewallregelsätze Für die Aktivierung dieser spezifischen Firewall ist eine vorherige Anmeldung auf der Webseite des SCALANCE S602 V3 notwendig. Die Verbindung zum Security Modul erfolgt über HTTPS unter Verwendung der IPAdresse des externen Ports. Tabelle 8-20 Copyright Siemens AG 2012 All rights reserved Nr. Aktion 1. Öffnen Sie auf dem Externen PC die Webseite des S602 V3 über einen Webbrowser. https://172.158.2.2 2. Melden Sie sich mit dem in Kapitel 6.8.2 konfigurierten Benutzernamen und Passwort an. 3. Nach 30 Minuten wird der Benutzer automatisch am SCALANCE abgemeldet. Wird mehr Zeit benötigt, kann die Zeituhr neu gestartet werden. 4. Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: 172.158.2.2 Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTPServer. 90 Anmerkung S602 V3 Firewall V3.0, Beitrags-ID: 22376747 8 Bedienung der Applikation Aktion 5. Die Filestruktur des Advanced-CP wird angezeigt. 6. Auch der Zugriff auf die Webseite des CPs (http://172.158.2.2:8000/) ist durch die benutzerspezifische Regel nun erlaubt. Anmerkung Copyright Siemens AG 2012 All rights reserved Nr. S602 V3 Firewall V3.0, Beitrags-ID: 22376747 91 9 Literaturhinweise 9 Literaturhinweise Diese Listen sind keinesfalls vollständig und spiegeln nur eine Auswahl an geeigneter Literatur wieder. Literaturangaben Tabelle 9-1 Copyright Siemens AG 2012 All rights reserved Themengebiet Titel /1/ STEP7 Automatisieren mit STEP7 in AWL und SCL Hans Berger Publicis MCD Verlag ISBN 3-89578-113-4 /2/ SIMATIC NET Security SIMATIC NET Industrial Ethernet Security Grundlagen und Anwendung Projektierungshandbuch http://support.automation.siemens.com/WW/view/de/56577508 /3/ Getting Started SIMATIC NET Industrial Ethernet Security Security einrichten Getting Started http://support.automation.siemens.com/WW/view/de/61630590 /4/ Montagehandbuch zum SCALANCE S602 V3 SIMATIC NET Industrial Ethernet Security SCALANCE S V3.0 Inbetriebnahme- und Montagehandbuch http://support.automation.siemens.com/WW/view/de/56576669 Internet-Link-Angaben Tabelle 9-2 Themengebiet Titel \1\ Referenz auf den Beitrag http://support.automation.siemens.com/WW/view/de/22376747 \2\ Siemens Industry Online Support http://support.automation.siemens.com \3\ Primary Setup Tool http://support.automation.siemens.com/WW/view/de/19440762 10 Historie Tabelle 10-1 Version 92 Datum Änderung V1.0 02.03.2006 Erste Ausgabe V2.0 01..09.2009 S612 durch S602 ersetzt. Konfiguration im Bridge- und Routingmodus V3.0 20.07.2012 Hardwareupdate SCALANCE S602 V3 Benutzerspezifische Firewallregeln Überarbeitung der Kapitel S602 V3 Firewall V3.0, Beitrags-ID: 22376747