SCALANCE S602 V3 Applikationsbeschreibung

Deckblatt
Schutz einer Automatisierungszelle
durch das Security Modul
SCALANCE S602 V3 mittels Firewall
(Bridge/Routing)
SCALANCE S602 V3
Applikationsbeschreibung August 2012
Applikationen & Tools
Answers for industry.
Siemens Industry Online Support
Dieser Beitrag stammt aus dem Siemens Industry Online Support. Durch den
folgenden Link gelangen Sie direkt zur Downloadseite dieses Dokuments:
http://support.automation.siemens.com/WW/view/de/22376747
Vorsicht:
Die in diesem Beitrag beschriebenen Funktionen und Lösungen beschränken sich
überwiegend auf die Realisierung der Automatisierungsaufgabe. Bitte beachten
Sie darüber hinaus, dass bei Vernetzung Ihrer Anlage mit anderen Anlagenteilen,
dem Unternehmensnetz oder dem Internet entsprechende Schutzmaßnahmen im
Rahmen von Industrial Security zu ergreifen sind. Weitere Informationen dazu
finden Sie unter der Beitrags-ID 50203404.
http://support.automation.siemens.com/WW/view/de/50203404
Nutzen Sie auch aktiv unser technisches Forum im Siemens Industry Online
Support zu diesem Thema. Bringen Sie Fragen, Anregungen oder Probleme mit
ein und diskutieren Sie diese zusammen mit unserer starken Forengemeinde:
Copyright
Siemens AG 2012 All rights reserved
http://www.siemens.de/forum-applikationen
2
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
s
SIMATIC
Firewall mit SCALANCE S602 V3
Copyright
Siemens AG 2012 All rights reserved
Industrial Security
Aufgabe
1
Automatisierungslösung
2
Risikominimierung durch
Security
3
Produktübersicht
SCALANCE S
4
Installation
5
Inbetriebnahme im
Bridge-Modus
6
Inbetriebnahme im
Routing-Modus
7
Bedienung der
Applikation
8
Literaturhinweise
9
10
Historie
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
3
Gewährleistung und Haftung
Gewährleistung und Haftung
Hinweis
Die Applikationsbeispiele sind unverbindlich und erheben keinen Anspruch auf
Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher
Eventualitäten. Die Applikationsbeispiele stellen keine kundenspezifischen
Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen
Produkte selbst verantwortlich. Diese Applikationsbeispiele entheben Sie nicht
der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und
Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass wir
über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden
haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen
an diesen Applikationsbeispielen jederzeit ohne Ankündigung durchzuführen. Bei
Abweichungen zwischen den Vorschlägen in diesem Applikationsbeispiel und
anderen Siemens Publikationen, wie z.B. Katalogen, hat der Inhalt der anderen
Dokumentation Vorrang.
Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine
Gewähr.
Copyright
Siemens AG 2012 All rights reserved
Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der
in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme,
Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen,
soweit nicht z.B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der
groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der
Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer
Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen
Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den
vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder
grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers
oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu
Ihrem Nachteil ist hiermit nicht verbunden.
Weitergabe oder Vervielfältigung dieser Applikationsbeispiele oder Auszüge
daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens Industry Sector
zugestanden.
4
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Inhaltsverzeichnis
Inhaltsverzeichnis
Gewährleistung und Haftung...................................................................................4
1
Aufgabe...........................................................................................................7
1.1
1.2
2
Automatisierungslösung................................................................................9
2.1
2.2
2.3
2.4
4
Die Idee des Zellenschutzkonzeptes................................................ 29
SCALANCE S602 V3....................................................................... 30
Das Security Configuration Tool....................................................... 32
Symbolische Adressierung............................................................... 33
Verwaltung der Benutzer ................................................................. 34
Firewall-Regeln................................................................................35
Rangfolge der Regeln...................................................................... 36
Die unterschiedlichen Firewallregelsätze ......................................... 37
Vereinbarung für die Firewallregelsätze ........................................... 39
Logging und Diagnosemöglichkeiten im SCT ................................... 40
Online Funktionen ...........................................................................40
Logging ...........................................................................................41
Installation ....................................................................................................44
5.1
5.2
6
Bedingungen und Anforderungen .................................................... 14
Das Schutzkonzept von SIEMENS: Defense-in-Depth ..................... 15
Security Mechanismus: Die Firewall................................................. 15
Typisierung der Firewall................................................................... 15
Das Stateful Packet Inspection ........................................................ 16
Security Mechanismus: Adressumsetzung mit NA(P)T..................... 17
Die Adressumsetzung mit NAT ........................................................ 18
Die Adressumsetzung mit NAPT...................................................... 20
FTP über einen NAPT-Router.......................................................... 22
Zusammenhang zwischen NA(P)T und Firewall ............................... 24
Produktübersicht SCALANCE S .................................................................. 29
4.1
4.2
4.3
4.3.1
4.3.2
4.4
4.4.1
4.4.2
4.4.3
4.5
4.5.1
4.5.2
5
Übersicht Gesamtlösung....................................................................9
Beschreibung der Kernfunktionalität................................................. 11
Verwendete Hard- und Software-Komponenten ............................... 12
Alternativlösung: VPN Tunnel .......................................................... 13
Risikominimierung durch Security.............................................................. 14
3.1
3.2
3.3
3.3.1
3.3.2
3.4
3.4.1
3.4.2
3.4.3
3.5
Copyright
Siemens AG 2012 All rights reserved
3
Einführung.........................................................................................7
Übersicht ...........................................................................................7
Installation der Hardware ................................................................. 44
Installation der Software .................................................................. 46
Inbetriebnahme im Bridge-Modus ............................................................... 47
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
6.8.1
6.8.2
6.8.3
6.8.4
6.8.5
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Übersicht des Konfigurationsmodus................................................. 47
Vergabe der IP-Adressen ................................................................ 49
Anlegen eines Projektes im SCT...................................................... 52
Freischalten des DCP-Protokolls ..................................................... 53
Symbolische Adressierung im SCT .................................................. 54
Erweiterter Modus ...........................................................................55
Projektierung des Syslog-Logging.................................................... 55
Konfiguration der Firewallregeln.......................................................56
IP-Dienst Definition..........................................................................56
Definition von Benutzer für das SCT ................................................ 57
Anlegen der globalen Firewallregel .................................................. 59
Anlegen der lokalen Firewallregeln .................................................. 60
Anlegen von benutzerspezifischen Firewallregeln ............................ 62
5
Inhaltsverzeichnis
6.9
7
Inbetriebnahme im Routing-Modus ............................................................. 65
7.1
7.2
7.3
7.4
7.4.1
7.4.2
7.5
8
Firewallregeln in den S602 V3 laden................................................ 64
Übersicht des Konfigurationsmodus................................................. 65
Basis Projektierungen aus dem Bridge-Modus ................................. 66
Änderung des Betriebsmodus auf Routing ....................................... 67
Konfiguration von NA(P)T ................................................................ 68
Konfiguration der NAT-Tabelle......................................................... 68
Konfiguration der NAPT-Tabelle ...................................................... 69
Laden der SCALANCE S602 V3 Konfiguration................................. 70
Bedienung der Applikation ..........................................................................71
8.1
8.2
8.2.1
8.2.2
Bedienung im Bridge-Modus............................................................ 71
Bedienung im Router-Modus ........................................................... 78
Routing über NAT............................................................................79
Routing über NAPT..........................................................................86
Literaturhinweise.......................................................................................... 92
10
Historie..........................................................................................................92
Copyright
Siemens AG 2012 All rights reserved
9
6
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
1 Aufgabe
1
Aufgabe
1.1
Einführung
In der industriellen Automatisierung steht die Sicherheit der Netzwerke innerhalb
der Produktion an oberster Stelle.
In der Vergangenheit waren Automatisierungsinseln häufig physikalisch
abgeschottet und nutzten die integrierte Sicherheit der Feldbusse.
Aufgrund des Vormarsches industrieller Ethernet-Lösungen, die zunehmende
Vernetzung mit der Office-Welt und vieler ungesicherter Schnittstellen in der
Feldebene ist das Thema Sicherheit von größter Bedeutung.
Durch diesen Fortschritt ist die industrielle Kommunikation den gleichen
Gefährdungen ausgesetzt, die aus dem Office- und IT-Umfeld bekannt sind, wie
z.B. Hacker, Viren, Würmer und Trojaner, aber auch Kommunikationslast
(Broadcast).
1.2
Übersicht
Überblick über die Automatisierungsaufgabe
Folgendes Bild gibt einen Überblick über die Automatisierungsaufgabe.
Abbildung 1-1
PC 1
PC 2
PC 3
PC 4
Copyright
Siemens AG 2012 All rights reserved
Die bestehenden Security-Konzepte und der Einsatz von Standardkomponenten
aus der Office-Welt erfordern ständige Pflege und spezielles Expertenwissen. Sie
sind in der Regel nicht den speziellen Anforderungen der industriellen
Kommunikation gewachsen.
Automatisierungszelle 1
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Automatisierungszelle 2
Automatisierungszelle N
7
1 Aufgabe
Beschreibung der Automatisierungsaufgabe
Eine Automatisierungszelle soll so mit dem Firmennetz verbunden werden, dass
über eine Zugriffskontrolle nur bestimmte Geräte bzw. Kommunikationsdienste
Zugriff auf die internen Teilnehmer haben.
Folgende Anwenderszenarien werden dabei für auserwählte Partner freigegeben:
Tabelle 1-1
Anwenderszenarien
Partner
Projektierung/ Diagnostizieren mit STEP 7
PC 1
Knotentaufe der internen Teilnehmer
PC 1
Logging der Datenpakete für die S7-Kommunikation
PC 2
Zugriff auf zelleninterne Web- und FTP Server
PC 3
Blocken von unbefugten Zugriffsversuchen
PC 4
Anforderungen
Die realisierte Zugriffsteuerung soll einfach und kostengünstig erfolgen und
auch vom Automatisierungs-Personal erstellt und gepflegt werden können.
Siemens AG 2012 All rights reserved
Es soll eine durchgängige Diagnose der Feldgeräte und
Netzwerkkomponenten von der Leitebene aus möglich sein.
Copyright
Die Automatisierungszellen können gleich aufgebaut sein (gleiche IP-Bänder)
(siehe Abbildung 1-1).
8
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
2 Automatisierungslösung
2
Automatisierungslösung
2.1
Übersicht Gesamtlösung
Schema
Die folgende Abbildung zeigt schematisch die wichtigsten Komponenten der
Lösung:
Abbildung 2-1
* Webbrowser
* FTP-Client
Siemens AG 2012 All rights reserved
* Syslog-Server
* Daten-Logging
Copyright
Externer PC
Leitwarte
X208
Service-PC
* STEP 7
* Webbrowser
* FTP-Client
STEP 7
Syslog-Server
S602 V3
* Security Komponente
* Firewall
* Router
* Webserver
* FTP-Server
CPU+CP
* STEP 7Programm
* Simulation
X208
PN-CPU
Mit Firewall geschützte Automatisierungszelle
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
9
2 Automatisierungslösung
Aufbau
Die geschützte Automatisierungszelle enthält zwei SIMATIC S7-300 Stationen, die
wie folgt über einen SCALANCE X208 mit der internen Schnittstelle des S602 V3
verbunden sind:
S7-300 Station 1 mit einer CPU317-2 PN/DP über einen CP343-1 Advanced.
S7-300 Station 2 über die integrierte Schnittstelle der CPU319-3 PN/DP.
An der externen Schnittstelle des SCALANCE S602 V3 sind über einen
SCALANCE X208 verbunden:
Ein PC in der Leitwarte über eine integrierte Ethernet-Schnittstelle.
Ein PC eines Servicemitarbeiters über eine integrierte Ethernet-Schnittstelle.
Ein PC zum Aufzeichnen der Log-Dateien.
Copyright
Siemens AG 2012 All rights reserved
Ein externer PC für die Demonstration unbefugter Zugriffe.
10
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
2 Automatisierungslösung
2.2
Beschreibung der Kernfunktionalität
SCALANCE S602 V3
Kernstück dieser Applikation ist das SCALANCE Security Modul S602 V3. Dieses
Modul ist Teil des Siemens Security-Konzeptes und speziell für die industrielle
Automatisierungstechnik entwickelt. Es kann als Firewall konfiguriert und so zum
Schutz von Automatisierungszellen/-komponenten eingesetzt werden.
Auf einfache Weise kann so erreicht werden, dass nur von bestimmten PCs aus
auf Einzelgeräte innerhalb der geschützten Automatisierungszelle zugegriffen
werden kann. Um den Anforderungen der Automatisierungsaufgabe gerecht zu
werden, kann der SCALANCE S602 V3 sowohl für subnetzübergreifende
Kommunikation (Routing-Modus), wie auch im flachen Netz (Bridge-Modus)
verwendet werden.
Beschreibung der Anwender-Szenarien
Die folgende Tabelle zeigt die in dieser Applikation dargestellten Szenarien, die mit
den entsprechenden Firewall-Regeln im SCALANCE S-Modul realisiert werden.
Copyright
Siemens AG 2012 All rights reserved
Diese Szenarien werden sowohl für den Routing-, als auch für den Bridge-Modus
demonstriert.
Tabelle 2-1
Nr.
Anwendung
Beschreibung
1.
Parametrierung
IP-Konfiguration aller zelleninternen
Geräte durch Knotentaufe in STEP 7
(über DCP).
2.
Projektierung/ Diagnostizierung/
Visualisierung
Freischalten der vollen PG-Funktionalität
(STEP 7) für den PC des
Servicemitarbeiters.
3.
Bandbreitenbeschränkung
Einschränkung der Datenkommunikation
für den PC des Servicemitarbeiters.
4.
Produktivdatentransfer, Visualisierung
Freischalten des Zugriffs auf den FTPund Webserver des zelleninternen
Advanced-CPs für den PC der Leitwarte.
5.
Logging des Datenverkehrs
Freischalten des Datenverkehrs-Logging
für einen externen Syslogserver.
Vorteile dieser Lösung
Schutz vor Datenspionage und -manipulation.
Schutz gegen Überlastung des Kommunikationssystems.
Benutzerfreundliche und einfache Konfiguration sowie Administration ohne
Spezialkenntnisse über IT-Security.
SCALANCE S kann rückwirkungsfrei in bestehende Automatisierungsnetze
eingebaut werden.
Skalierbare Sicherheitsfunktionalität.
SCALANCE S Projektierung ohne IT-Security Expertenwissen mittels eines
einheitlichen Projektierwerkzeugs „Security Configuration Tool“ und den
Standard Mode- Einstellungen.
Remote-Diagnose: Log-Dateien können mittels Syslog-Server ausgewertet
werden.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
11
2 Automatisierungslösung
2.3
Verwendete Hard- und Software-Komponenten
Die Applikation wurde mit den nachfolgenden Komponenten erstellt:
Hardware-Komponenten
Tabelle 2-2
Anz.
MLFB/Bestellnummer
SCALANCE S602 V3
1
Power Supply
PS307 2A
2
6GK5602-0BA10-2AA3
6ES7 307-1BA00-0AA0
CPU319-3PN/DP
1
6AG1318-3EL00-2AB0
CPU317-2PN/DP
1
6ES73157-2EK14-0AB0
CP343-1 Advanced
1
6GK7343-1GX31-0XE0
SCALANCE X208
2
6GK5208-0BA10-2AA3
PC
4
Ethernet-Kabel
8
Hinweis
Alternativ kann auch
jede andere CPU
verwendet werden.
Alternativ kann auch
jeder andere IT-CP
verwendet werden.
Standard Software-Komponenten
Tabelle 2-3
Komponente
Copyright
Siemens AG 2012 All rights reserved
Komponente
Anz.
MLFB/Bestellnummer
Hinweis
SIMATIC MANAGER
V5.5 SP2
1
6ES7810-4CC08-0YA5
Security Configuration
Tool ab V3
1
Wird mit dem SCALANCE S ausgeliefert.
Benötigte Tools
Diese Applikation nutzt Software-Komponenten, die Sie als Freeware aus dem
Internet laden können. Im Detail sind das:
Webserver
FTP-Client
Syslog-Server
Primary Setup Tool (zur Adresseinstellung von SIMATIC NET Produkten.
Siehe \3\ im Kapitel 9 (Literaturhinweise)).
Beispieldateien und Projekte
Die folgende Liste enthält alle Dateien und Projekte, die in diesem Beispiel
verwendet werden.
Tabelle 2-4
Komponente
12
Hinweis
22376747_Firewall_S602_CODE_v30.zip
Diese gepackte Datei enthält die
STEP 7 Projekte.
22376747_Firewall_S602_DOKU_v30_d.pdf
Dieses Dokument.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
2 Automatisierungslösung
2.4
Alternativlösung: VPN Tunnel
Alternativ zum Schutz eines Netzwerks über eine Firewall können Sie auch einen
VPN-Tunnel nutzen. Ein VPN-Tunnel ist ein „virtuelles privates Netzwerk“
(vergleichbar einem LAN) über ein unsicheres Netzwerk (Internet). Diese sicheren
Netzwerke werden durch Verschlüsselung der Datenpakete, Authentifizierung und
Authentisierung der Teilnehmer ermöglicht.
Firewall vs. VPN
Die Unterschiede bzw. Vor- und Nachteile gegenüber der Firewall zeigt die
folgende Tabelle:
Tabelle 2-5
Copyright
Siemens AG 2012 All rights reserved
VPN Tunnel
Firewall
Peer-to-Peer Verbindung; zum Aufbau einer
VPN-Verbindung sind immer mindestens zwei
Geräte notwendig.
(Gateway – Gateway; Gateway- Host)
Nur ein Gerät notwendig; Firewall kann hardwareund softwarebasiert sein.
Schutz über die ganze VPN-Verbindung hinweg.
Konzentration der Sicherheitsmaßnahmen auf einen
Punkt.
Datenverschlüsselung, Authentisierung
(Nachweis der eigenen Identität) und
Authentifizierung (Überprüfung der Identität des
Partners) erfolgt über ein Passwort (Pre-Shared
Key) oder Zertifikate (X.509v3 Zertifikate).
Kontrolle und Filterung des Datenverkehrs auf dem
OSI-Referenzmodell Schicht 2-7. Datenpakete
können zugelassen oder verworfen werden.
Weitere Informationen
Mehr Informationen über VPN finden Sie in folgenden Applikationen und FAQs:
Tabelle 2-6
Titel
Gesicherter Remote Access auf SIMATIC
Stationen mit dem SCALANCE S612 V3 über
Internet und UMTS.
Link
http://support.automation.siemens.com/WW/view/de/
24960449
Gesicherter Remote Access auf SIMATIC
Stationen mit dem SOFTNET Security Client
über Internet und UMTS.
Security mit SCALANCE S612 V3 Modulen über
IPsec-gesicherte VPN-Tunnel
http://support.automation.siemens.com/WW/vie
w/de/22056713
Fernwirkkonzept mit SCALANCE S Modulen
über IPsec-gesicherte VPN-Tunnel
Wie wird ein VPN-Tunnel zwischen einer PCStation mit Windows XP SP2 und einem
SCALANCE S61x V2.1 über das Internet mit der
Microsoft Management Console konfiguriert?
http://support.automation.siemens.com/WW/view/de/
26098355
Wie wird mit dem SOFTNET Security Client
Edition 2005 HF1 ein VPN-Tunnel zwischen PCStation und SCALANCE S61x V2.1 über Internet
konfiguriert?
http://support.automation.siemens.com/WW/view/de/
24953807
Wie wird ein VPN-Tunnel zwischen zwei
SCALANCE S 61x Modulen im Routing Modus
über Internet konfiguriert?
http://support.automation.siemens.com/WW/view/de/
24968211
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
13
3 Risikominimierung durch Security
3
Risikominimierung durch Security
Die Ethernet-basierte Kommunikation nimmt im Automatisierungsumfeld eine
zentrale Rolle ein und bringt durch die Nutzung der offenen und standardisierten
IT-Technologien viele Vorteile mit sich. Doch die zunehmende Offenheit und
Durchgängigkeit erhöht auch das Risiko ungewollter Manipulation.
Deshalb wird ein Security-Konzept benötigt, das einerseits die industrielle
Kommunikation zuverlässig schützen kann, aber andererseits auch die speziellen
Erfordernisse der Automatisierungstechnik berücksichtigt.
Hinweis
3.1
Einen 100 %- Schutz kann niemand garantieren. Aber es gibt viele
Möglichkeiten, das Risiko so gering wie möglich zu halten.
Bedingungen und Anforderungen
Anforderungen
Teilnehmerberechtigung: Es dürfen nur definierte Teilnehmer an der
Datenkommunikation teilnehmen. Eine Authentifizierung ist erforderlich.
Paketidentifizierung: Es muss sichergestellt werden, dass die Datenpakete
unverändert an ihrer Zieladresse ankommen.
Vertraulichkeit: Netzwerke hinter den Security Modulen sollen für Dritte
verborgen bleiben.
Bedingungen der Automatisierungstechnik
Die speziellen Erfordernisse der Automatisierungstechnik sind:
Copyright
Siemens AG 2012 All rights reserved
Die Anforderungen an die Sicherheit sind unter anderem:
Berücksichtigung der Effektivität und Wirtschaftlichkeit durch Nutzung
vorhandener Infrastruktur.
Rückwirkungsfreie Integration: Die bestehende Netzinfrastruktur darf nicht
verändert werden und vorhandene Komponenten nicht neu konfiguriert
werden.
Bewahrung der Datensicherheit durch Schutz vor unbefugten Zugriffen.
14
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
3 Risikominimierung durch Security
3.2
Das Schutzkonzept von SIEMENS: Defense-in-Depth
Mehrstufiges Sicherheitskonzept
Die zunehmende Vernetzung und der Einsatz von bewährten Technologien der
„Office-Welt“ in Automatisierungsanlagen erfordert einen erhöhten Bedarf an
Sicherheit. Dabei reicht es nicht aus, nur einen oberflächlichen und limitierten
Schutz anzubieten, da Angriffe von außen auf mehreren Ebenen erfolgen können.
Für einen optimalen Schutz ist ein tiefes Sicherheitsbewusstsein notwendig.
Zur Erreichung der geforderten Sicherheitsziele arbeitet Siemens nach der
Defense-in-Depth Strategie. Diese Strategie verfolgt den Ansatz eines
mehrschichtigen Sicherheitsmodells:
Anlagensicherheit,
Netzwerksicherheit und
System-Integrität.
Copyright
Siemens AG 2012 All rights reserved
Der Vorteil ist, dass ein Angreifer erst mehrere Sicherheitsmechanismen
überwinden muss und die Sicherheitsanforderungen der einzelnen Schichten
individuell berücksichtigt werden können.
Instrumente der Defense-in-Depth Strategie
Zur Umsetzung dieses Schutzkonzeptes sind z. B. zwei Sicherheitsmittel aus dem
Bereich Netzwerksicherheit erwähnenswert: die Firewall und der VPN Tunnel.
Die Firewall wird eingesetzt, um den Datenverkehr zu kontrollieren. Dabei können
durch Filterung Pakete verworfen, Paketinhalte analysiert und Netzzugänge
gesperrt bzw. gewährt werden.
Zur Sicherung der Kommunikation ist das Tunnelling-Verfahren eine häufige
Anwendung.
3.3
Security Mechanismus: Die Firewall
Beschreibung
Eine Firewall (wörtlich „Brandmauer) ist Teil des Sicherheitskonzepts im Privatund Unternehmensbereich, welches unerlaubten Zugriff auf Netzwerke bzw.
Geräte untersagt oder einschränkt.
Firewalls werden in Form einer Hardware-Komponente oder softwarebasiert
angeboten.
3.3.1
Typisierung der Firewall
Arten von Firewalls
Firewalls lassen sich in drei verschiedene Arten unterscheiden. Die jeweiligen
Bezeichnungen werden an der höchsten ausgewerteten OSI-Schicht festgelegt:
Paketfilter (Auswertung von Paketen bis OSI-Schicht 3 (Vermittlungsschicht)).
Circuit-Level Gateway (Auswertung von Paketen bis OSI-Schicht 4
(Transportschicht)).
Application-Level Gateway bzw. Proxy (Auswertung von Paketen bis OSISchicht 7 (Anwendungsebene)).
Paketfilter analysieren die IP-Datenpakete und leiten diese auf Grundlage von
definierten Kriterien weiter oder filtern diese heraus.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
15
3 Risikominimierung durch Security
Circuit-Level Gateways greifen auf die Transportschicht zu und haben somit die
Möglichkeit, Zusammenhänge zwischen den Netzwerkverbindungen und den
Paketen zu analysieren. Neben dem Begriff Circuit-Level Gateway existieren noch
eine Reihe weiterer Begriffe. Dazu gehört auch die Bezeichnung Stateful Packet
Inspection.
Ein Application-Level Gateway ist ein Proxy Server. Über ihn findet die gesamte
Kommunikation zwischen dem zu schützenden und dem unsicheren Netz statt. Für
jeden Dienst (WWW, E-Mail, Telnet, FTP etc.) werden Security-Proxies
(sogenannte Stellvertreter) eingerichtet.
Das bedeutet, dass die Rechner des LAN nicht direkt auf einen Server des
Internets zugreifen, sondern sich dem Proxy gegenüber identifizieren und
authentifizieren und die Anfrage an ihn schicken. Er wiederum stellt dann mit
seiner Absenderadresse die Verbindung zum Server her und leitet die Anfrage
weiter.
Mit dem Application-Level Gateway können Inhalte von übertragenen Daten
kontrolliert und gefiltert werden. Dieser Proxy-Server wird in Unternehmen auch
eingesetzt, um bestimmte Webseiten im internen Netzwerk zu blockieren oder
Dienste wie ActiveX und JavaScript aus Webseiten herauszufiltern.
Copyright
Siemens AG 2012 All rights reserved
Auswahlkriterien
Welche Firewall in einem Unternehmen oder privat eingesetzt werden soll, hängt
von einigen Kriterien ab:
die erwünschte und erreichbare Sicherheit.
der erforderliche Aufwand (hard- oder softwarebasierte Firewall).
der erreichbare Durchsatz an Daten.
die Höhe der Kosten.
3.3.2
Das Stateful Packet Inspection
Beschreibung
Das Stateful Packet Inspection ist eine Firewalltechnologie und arbeitet auf der
Vermittlungs-, Transport- und optional auf Anwendungsschicht des OSIReferenzmodells. Stateful Inspection steht für zustandsgesteuerte Filterung und ist
eine Erweiterung des Paketfilters. Durch den Zugriff auf verschiedene
Kommunikationsprotokolle ist es der Stateful Packet Inspection möglich, eine
Statustabelle aller Netzwerkverbindungen zu erstellen, Zusammenhänge zwischen
Datenpaketen zu erkennen und Beziehungen zwischen vorhandenen
Kommunikationsbeziehungen zu erschließen.
Funktionsweise
Durch diesen Einblick in die Kommunikation erlaubt eine Stateful Packet Inspection
beispielsweise nur Datenpakete von extern in das interne Netzwerk, die als
Antwort für eine zuvor von einem internen Teilnehmer gestartete Anfrage dienen.
Sendet der externe Teilnehmer Daten, die nicht angefordert wurden, blockiert die
Firewall den Transfer - auch bei einer bestehen Verbindung zwischen internen und
externen Teilnehmern.
Eine wichtige Eigenschaft von Stateful Packet Inspection ist die dynamische
Erzeugung und Löschung von Filterregeln. Sendet ein interner Teilnehmer Daten
zu einem externen Zielgerät, muss die Firewall nach dem Passieren des ersten
Datenpakets für einen begrenzten Zeitraum eine Regel definieren, die das
„Antwortpaket“ akzeptiert und an den Absender der Anfrage (interner Teilnehmer)
weiterleitet. Nach Ablauf des Zeitfensters muss die Regel wieder gelöscht werden.
16
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
3 Risikominimierung durch Security
3.4
Security Mechanismus: Adressumsetzung mit NA(P)T
Beschreibung
Das Network Address Translation (NAT) bzw. Network Address Port Translation
(NAPT) sind Verfahren zur Umsetzung von privaten IP-Adressen in öffentliche IPAdressen.
Einteilung der IP-Adressen
IP-Adressen dienen zur logischen Adressierung von Geräten in IP-Netzwerken. Sie
bestehen bei IPv4 aus vier Zahlen zwischen 0 und 255, die durch Punkte
voneinander getrennt sind.
Es gibt verschiedene Adresskategorien für IP-Adressen, die von der nationalen
Einrichtung NIC (Network Information Center) verwaltet und zugeteilt werden.
Folgende Tabelle zeigt die Zuteilung der IP-Adressen:
Tabelle 3-1
Copyright
Siemens AG 2012 All rights reserved
Klasse
Max Anzahl
Netze
Startadresse
Endadresse
Privater Adressbereich
A
126
1.0.0.0
126.0.0.0
10.0.0.0 – 10.255.255.255
B
16382
128.0.0.0
191.255.0.0
172.16.0.0 – 172.31.255.255
C
2097150
192.0.0.0
223.255.255.0
192.168.0.0 –
192.168.255.255
Die Adressen ab 224.0.0.0 sind für zukünftige Anwendungen reserviert, werden
aber durch die baldige Implementation von IPv6 nicht mehr zur Geltung kommen.
Wegen der Knappheit der IP-Adressen im Internet wurden bestimmte
Adressbereiche eingeführt, die im Internet nicht geroutet und für das private
Netzwerk genutzt werden. Dieser private Adressbereich ist nur innerhalb des
eigenen Netzwerks sichtbar und vom Internet nicht erreichbar. Somit können
dieselben Bereiche auch mehrmals in anderen privaten Netzwerken zum Einsatz
kommen.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
17
3 Risikominimierung durch Security
3.4.1
Die Adressumsetzung mit NAT
Beschreibung
NAT ist ein Protokoll zur Adressumsetzung zwischen zwei Adressräumen.
Hauptaufgabe ist die Umsetzung von privaten Adressen in Öffentliche, d.h. in IPAdressen, die im Internet verwendet und auch geroutet werden.
Durch diese Technik wird erreicht, dass die Adressen des internen Netzes nach
außen im externen Netz nicht erkannt werden. Die internen Teilnehmer sind im
externen Netz nur über die in der Adressumsetzungsliste (NAT-Tabelle)
festgelegten externen IP-Adresse sichtbar.
Das klassische NAT ist eine 1:1-Umsetzung, d.h. eine private IP-Adresse wird auf
eine Öffentliche umgesetzt.
Die Ansprechadresse für die internen Teilnehmer ist demnach wieder eine IPAdresse.
NAT-Tabelle
Die NAT-Tabelle enthält die Zuordnung von privaten und öffentlichen IP-Adressen
und wird im Gateway oder Router konfiguriert und verwaltet. Der folgende
Screenshot zeigt die NAT-Tabelle des SCALANCE S602 V3:
Copyright
Siemens AG 2012 All rights reserved
Abbildung 3-1
18
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
3 Risikominimierung durch Security
Tabelle 3-2
Siemens AG 2012 All rights reserved
Option
Bedeutung
NAT aktiv
Der Eingabebereich für NAT wird aktiviert.
NAT-Adressumsetzungen werden erst durch die nachfolgend
beschriebene Option und Einträge in die
Adressumsetzungsliste wirksam.
Zusätzlich muss die Firewall passend konfiguriert werden.
Freigabe für alle internen
Teilnehmer zulassen
Mit dieser Option erfolgt für alle von intern nach extern
gehenden Telegramme eine Umsetzung der internen IPAdresse (Quell-IP-Adresse) auf die externe Modul IP-Adresse
und einer zusätzlich vom Modul vergebenen Port-Nummer.
Dieses Verhalten wird in der NAT-Tabelle an der unten
zusätzlich eingeblendeten Zeile sichtbar. Dort wird mit einem
Symbol "*" in der Spalte "interne IP-Adresse" angezeigt, dass
alle von intern nach extern gerichteten Telegramme
umgesetzt werden.
Anmerkung: Diese Umsetzung entspricht einer n:1Umsetzung, d.h. mehrere interne Teilnehmer werden auf eine
externe umgeleitet. Dies geschieht durch eine zusätzlichen
Zuordnung einer Port-Nummer. Trotz der Zugabe eines Ports
ist diese Option dem Eingabebereich NAT zugeordnet.
Tabelle 3-3
Copyright
Parameter
Bedeutung
Externe IPAdresse
Für Telegrammrichtung "Intern ->
Extern": neu zugewiesene IPAdresse
Für Telegrammrichtung "Extern ->
Intern": erkannte IP-Adresse
Interne IPAdresse
Für Telegrammrichtung "Extern ->
Intern": neu zugewiesene IP-Adresse
Für Telegrammrichtung "Intern ->
Extern": erkannte IP-Adresse
Richtung
Ordnen Sie hier die Telegrammrichtung
zu.
Scr-NAT (nach Extern)
Dst-NAT (von Extern)
Scr-NAT + Dst-NAT (Extern)
Kommentar
Alternativ können Sie
symbolische Namen
eingeben.
Beispiel: Src-NAT:
Vom internen Subnetz
kommende Telegramme
werden auf die angegebene
interne IP-Adresse geprüft
und mit der angegebenen
externen IP-Adresse in das
externe Netz weitergeleitet.
Ablauf
Wenn ein Gerät aus dem externen Netz ein Paket an ein internes Gerät schicken
will (Dst-NAT), verwendet es als Zieladresse eine öffentliche Adresse. Diese IPAdresse wird vom Router in eine private IP-Adresse übersetzt.
Als Quelladresse im IP-Header des Datenpakets bleibt unverändert die öffentliche
IP-Adresse des externen Gerätes stehen.
Die Antwort des internen Geräts wird an die IP-Adresse, die als Quelladresse im
IP-Header hinterlegt ist, geschickt. Dadurch, dass seine eigene und die
Quelladresse in unterschiedlichen Subnetzen liegen, schickt das interne Gerät das
Paket an seinen Router, der es an das externe Gerät weitervermittelt.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
19
3 Risikominimierung durch Security
3.4.2
Die Adressumsetzung mit NAPT
Beschreibung
NAPT ist eine Variante von NAT und wird häufig mit dieser gleichgesetzt. Der
Unterschied zu NAT liegt darin, dass bei diesem Protokoll auch Ports umgesetzt
werden können.
Es gibt keine 1:1-Umsetzung der IP-Adresse mehr. Vielmehr existiert nur noch eine
öffentliche IP-Adresse, die durch den Zusatz von Portnummern an eine Reihe von
privaten IP-Adresse umgesetzt wird.
Die Ansprechadresse für die internen Teilnehmer ist demnach eine IP-Adresse mit
einer Portnummer.
NAPT-Tabelle
Die NAPT-Tabelle enthält die Zuordnung von privaten IP-Adressen auf die Ports
der öffentlichen IP-Adresse und wird im Gateway oder Router konfiguriert und
verwaltet. Der folgende Screenshot zeigt die NAPT-Tabelle des SCALANCE S602
V3:
Copyright
Siemens AG 2012 All rights reserved
Abbildung 3-2
Tabelle 3-4
Option
NAPT aktiv
20
Bedeutung
Der Eingabebereich für NAPT wird aktiviert. NAPTUmsetzungen werden erst durch die nachfolgend
beschriebene Option und Einträge in die Liste wirksam.
Zusätzlich muss die Firewall passend konfigurieren werden.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
3 Risikominimierung durch Security
Tabelle 3-5
Parameter
Bedeutung
Externer Port
Ein Teilnehmer im externen Netz kann
einem Teilnehmer im internen Subnetz
antworten oder ein Telegramm senden,
indem er diese Port-Nummer verwendet.
Interne IPAdresse
IP-Adresse des angesprochenen
Teilnehmers am internen Subnetz.
Interner Port
Port-Nummer eines Dienstes bei dem am
internen Subnetz angesprochenen
Teilnehmer.
Wertebereich
Port oder Portbereiche.
Beispiel für die Eingabe
eines Portbereiches: 78:99
Port (kein Portbereich)
Ablauf
Wenn ein Gerät aus dem externen Netz ein Paket an ein internes Gerät schicken
will, verwendet es als Zieladresse seine öffentliche Adresse mit Portangabe. Diese
IP-Adresse wird vom Router in eine private IP-Adresse mit Portadresse übersetzt.
Die Antwort des internen Geräts wird an die IP-Adresse, die als Quelladresse im
IP-Header hinterlegt ist, geschickt. Dadurch, dass seine eigene und die
Quelladresse in unterschiedlichen Subnetzen liegen, schickt das interne Gerät das
Paket an seinen Router, der es an das externe Gerät weitervermittelt.
Copyright
Siemens AG 2012 All rights reserved
Als Quelladresse im IP-Header des Datenpakets bleibt unverändert die öffentliche
IP des externen Gerätes stehen.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
21
3 Risikominimierung durch Security
3.4.3
FTP über einen NAPT-Router
Eine FTP-Datenübertragung über NAT bringt wegen der 1:1-Umsetzung der IPAdressen keine Schwierigkeiten mit sich.
Über einen NAPT-Router, wie dem SCALANCE S602 V3, ist es nicht mehr so
trivial.
FTP nutzt für die Datenübertragung neben den Standard Ports 20 (Datenkanal)
und 21 (Steuerkanal) auch dynamische Ports jenseits von 1023, die vor der
Übertragung nicht bekannt sind.
NAPT nutzt für die Adressumsetzung Ports, die in die NAPT-Tabelle bei der
Konfiguration eingetragen werden. Eine Erweiterung der NAPT-Tabelle zur
Laufzeit ist nicht möglich.
Der dynamische Port während der FTP-Datenübertragung kann also nicht in die
NAPT-Tabelle übernommen werden.
Das hat zur Folge, dass alle Datenpakete, die von extern nach intern mit einem für
die NAPT-Tabelle unbekannten Port geschickt werden, nicht umgesetzt und damit
verworfen werden. Eine FTP-Datenübertragung kann nicht stattfinden.
Das folgende Bild verdeutlicht das Problem:
Abbildung 3-3
Externes Netz
Internes Netz
NAPT-Router
Copyright
Intern
Extern
192.168.2.3:20
172.158.2.2:20
192.168.2.3:21
172.158.2.2:21
Port 21:
Sendet Username
1
Server
Port 21:
Fordert Passwort
Port 21:
Sendet Passwort
2
Port 21:
Bestätigung
Client
Siemens AG 2012 All rights reserved
Problembeschreibung
3
Port 21:
Kommando: PORT mit
Angabe des Datenports z.B.
Port 1027
Port 1027: 4
Aufbau der Datenverbindung
zum gewünschten Port
22
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
3 Risikominimierung durch Security
Tabelle 3-6
Schritt
Ablauf
Reaktion
1.
Der Client sendet über den
Steuerport die Benutzerkennung an
den Server.
Port 21 wird vom NAPT-Router
zugelassen.
Der Server fordert das Passwort an.
2.
Der Client schickt über Port 21 das
Passwort.
Port 21 wird vom NAPT-Router
zugelassen.
Der Server betätigt das Passwort .
3.
Der Client übermittelt über das
Kommando PORT die Ports, auf
welchen er auf die Datenverbindung
lauscht.
Port 21 wird vom NAPT-Router
zugelassen.
4.
Der Server versucht, über diese
Ports Kontakt mit dem FTP-Client
aufzunehmen.
Da diese Ports nicht in der NAPTTabelle konfiguriert sind, werden die
Datenpakete vom NAPT-Router
verworfen. Die FTP-Verbindung wird
nicht hergestellt.
Um die Datenpakete des FTP-Servers trotz dynamischer Ports in das interne Netz
zuzulassen, ist es nötig, zusätzlich zum NAPT einen NAT-Eintrag zu erstellen. Alle
Datenpakete, die vom FTP-Server ausgehen, müssen auf die IP-Adresse des
NAPT-Routers umgeschrieben werden.
Dadurch werden alle Datenpakete unabhängig vom Port in das interne Netz
zugelassen.
Copyright
Siemens AG 2012 All rights reserved
Lösung
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
23
3 Risikominimierung durch Security
3.5
Zusammenhang zwischen NA(P)T und Firewall
Anpassung der Firewall
Sowohl für die Richtungen Src-NAT (nach Extern) bzw. Dst-NAT (von Extern) gilt,
dass Telegramme zunächst die Adressumsetzung im NAT/NAPT-Router und
anschließend die Firewall passieren.
Die Einstellungen für den NAT/NAPT-Router und die Firewall-Regeln müssen so
aufeinander abgestimmt werden, dass Telegramme mit umgesetzter Adresse die
Firewall passieren können.
Abbildung 3-4.
SCALANCE S602 V3
Externes Netzwerk
Copyright
Siemens AG 2012 All rights reserved
IP-Telegramme
Dst-NAT
Internes Netzwerk
NAT/NAPTRouter
IP-Telegramme
Src-NAT
Firewall
Hinweis
Die Firewall im SCALANCE S602 V3 ist so voreingestellt, dass kein IPDatenverkehr zwischen den Netzwerken möglich ist. Eine Kommunikation kann
erst nach vorheriger Konfiguration der Firewall stattfinden.
Stateful Packet Inspection
Firewall und NAT/NAPT-Router unterstützen den Mechanismus "Stateful Packet
Inspection".
Ist der IP-Datenverkehr von intern nach extern freigegeben, können interne Knoten
eine Kommunikationsverbindung in das externe Netz initiieren. Die
Antworttelegramme aus dem externen Netz können den NAT/NAPT-Router und
die Firewall passieren, ohne dass deren Adressen in der Firewall-Regel und der
NAT/NAPT-Adressumsetzung zusätzlich aufgenommen werden müssen.
Telegramme, die keine Antwort auf eine Anfrage aus dem internen Netz sind,
werden ohne zutreffende Firewallregel verworfen.
24
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
3 Risikominimierung durch Security
Umsetzung in dieser Applikation am Beispiel NAT
Die folgende Screenshots zeigen die NAT-Tabelle und die zugehörigen
Firewallregeln dieser Applikation. Die unterschiedlichen Farben deuten die
Zusammenhänge an.
Abbildung 3-5
NAT-Tabelle
Copyright
Siemens AG 2012 All rights reserved
Firewallregeln
Die Tabelle stellt die Zusammenhänge noch einmal gegenüber:
Tabelle 3-7
NAT Umsetzung
Firewall Freigabe
Aktion
172.158.2.3 ->
CP343-1Advanced
(Dst-NAT)
Von/Nach
Quelle
Ziel
Service
Beschreibung
Allow
Extern ->
Intern
ServicePC
CP343-1
Advanced
S7
Allow
Extern ->
Intern
PG
CP343-1
Advanced
HTTP
Allow
Extern ->
Intern
PG
CP343-1
Advanced
FTP
172.158.2.5 ->
PN-CPU
(Dst-NAT)
Allow
Extern ->
Intern
ServicePC
PN-CPU
S7
Alle Datenpakete von
extern zur PN-CPU, die mit
der IP-Adresse des
Service-PGs über Port 102
(S7) die Firewall erreichen,
werden zugelassen.
172.158.2.2 <- *
(Src-NAT)
Allow
Intern ->
Extern
all
Alle Datenpakete von intern
nach extern werden
zugelassen.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Alle Datenpakete von
extern zum CP343-1
Advanced, die mit der IPAdresse des PGs über Port
80 (http) bzw. Port 21 (ftp)
und mit der IP-Adresse des
Service-PGs über Port 102
(S7) die Firewall erreichen,
werden zugelassen.
25
3 Risikominimierung durch Security
Schematisch lässt sich dieser Vorgang wie folgt beschreiben:
Abbildung 3-6
Internes Netz
Externes Netz
NAT-Router
NAT-Tabelle
172.158.2.3
(http)
Siemens AG 2012 All rights reserved
172.158.2.3
192.168.2.3
(http)
Firewall
192.168.2.3
(http)
Copyright
Tabelle 3-8
Schritt
Bedeutung
1.
Ein Gerät aus dem externen Netz will ein Datenpaket an die IP-Adresse
172.158.2.3 schicken (http-Anwendung).
2.
Der NAT-Router übersetzt diese Adresse anhand der NAT-Tabelle in die
private IP-Adresse 192.168.2.3 (hier symbolisch als CP343-1Advanced).
3.
Die Firewall überprüft, wie sie das Datenpaket behandeln soll. Durch den
Eintrag „Allow External ->Internal PG -> CP343-1Advanced http“ dürfen alle
Datenpakete, die vom PG über Port 80 kommen und an den CP343-1
Advanced adressiert sind, passieren.
4.
Das Datenpaket wird in das interne Netz geleitet.
Verhalten bei falscher Zuordnung
Stimmen NA(P)T Einträge und die Regeln der Firewall nicht überein, blockt der
S602 V3 die Datenpakete, die nicht in der Regel aufgeführt sind.
In der folgende Beispielkonfiguration wurde für die Umsetzung der IP-Adresse
172.158.2.5 zur PN-CPU (symbolisch für 192.168.2.5) keine Regel in der Firewall
erstellt:
26
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
3 Risikominimierung durch Security
Abbildung 3-7
NAT-Tabelle
Firewallregeln
Abbildung 3-8
Internes Netz
Externes Netz
NAT-Router
172.158.2.5
(S7)
NAT-Tabelle
Copyright
Siemens AG 2012 All rights reserved
Bei der Datenkommunikation zwischen externen und internen Netz passiert
folgendes:
172.158.2.5
192.168.2.5
(S7)
Firewall
192.168.2.3
(http)
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Keine Regel vorhanden;
Paket wird verworfen
27
3 Risikominimierung durch Security
Tabelle 3-9
Schritt
Bedeutung
Ein Gerät aus dem externen Netz will ein Datenpaket an die IP-Adresse
172.158.2.5 schicken (S7- Anwendung).
2.
Der NAT-Router übersetzt diese Adresse anhand der NAT-Tabelle in die
private IP-Adresse 192.168.2.5 (hier symbolisch als PN-CPU).
3.
Die Firewall überprüft, wie es das Datenpaket behandeln soll. Da keine Regel
existiert, wird das Datenpaket verworfen.
Copyright
Siemens AG 2012 All rights reserved
1.
28
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
4 Produktübersicht SCALANCE S
4
Produktübersicht SCALANCE S
4.1
Die Idee des Zellenschutzkonzeptes
Motivation
Befinden sich in einem Netzsegment Steuerungen oder andere intelligente Geräte,
die über kein oder nur einen minimalen Eigenschutz verfügen, bleibt nur die
Möglichkeit, diesen Geräten eine abgesicherte Netzwerkumgebung zu schaffen.
Am einfachsten ist dies mit speziellen Routern oder Gateways zu leisten. Sie
stellen die IT-Sicherheit durch integrierte Firewalls in Industriequalität her und sind
selbst geschützt.
Das Zellenschutzkonzept
Das von Siemens konzipierte Sicherheitskonzept wurde speziell für die
Anforderungen im Automatisierungsumfeld zugeschnitten, um den zunehmenden
Bedarf an Netzwerksicherheit gerecht zu werden.
Die Netzknoten innerhalb einer Zelle werden durch spezielle Security-Module
geschützt, um den Datenverkehr von und zur Zelle zu kontrollieren und nach
Berechtigungen zu überprüfen. Es werden nur Telegramme durchgelassen, die
autorisiert sind.
Abbildung 4-1
Büronetz
Copyright
Siemens AG 2012 All rights reserved
Der Kern dieses Konzeptes besteht darin, das Automatisierungsnetzwerk
sicherheitstechnisch zu segmentieren und geschützte Automatisierungszellen zu
bilden. Zellen sind demnach sicherheitstechnisch, abgekoppelte Netzsegmente.
Automatisierungsnetz
S602 V3
Roboterzelle
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
S602 V3
Roboterzelle
Roboterzelle
29
4 Produktübersicht SCALANCE S
Vorteile des Zellenkonzeptes
Das Konzept des Zellenschutzes dient vor allem dazu, alle Geräte zu schützen, die
sich nicht selbst schützen können. Meist sind das Geräte, bei denen sich eine
Aufrüstung mit Security-Funktionen nicht lohnt bzw. zu kostenintensiv ist. Ein
weiterer Grund ist die technische Realisierbarkeit. Vor allem kleinere
Automatisierungsgeräte besitzen nicht die notwendigen
Hardwarevoraussetzungen.
Das Security-Modul, welches die komplette Zelle schützt, sichert mehrere Geräte
gleichzeitig, was neben geringeren Kosten auch weniger Konfigurationsaufwand
bedeutet.
Die Integration des Security-Moduls in bestehende Netzwerke geschieht
rückwirkungsfrei.
Prinzipiell sind Echtzeitkommunikation und Security zwei gegensätzliche
Anforderungen. Die Überprüfung der Telegramme anhand der Regeln oder
Konfigurationen kostet Zeit und Performance. Mit dem Zellenschutzkonzept ist es
möglich, beides gleichzeitig zu erreichen. Innerhalb einer Zelle kann
Echtzeitkommunikation völlig unbeeinflusst von irgendwelchen SecurityMechanismen ablaufen. Die Datenkontrolle durch das Security-Modul erfolgt nur
am Zelleneingang.
4.2
SCALANCE S602 V3
Beschreibung
Der SCALANCE S602 V3 ist ein Produkt aus der SCALANCE S-Familie von
SIMATIC NET. Wie die anderen Module auch ist der S602 V3 für den Einsatz im
Automatisierungsumfeld optimiert und erfüllt die speziellen Anforderungen der
Automatisierungstechnik.
Copyright
Siemens AG 2012 All rights reserved
Echtzeit und Security
Der SCALANCE S602 V3 gehört zur Kategorie der Circuit Level Gateways und ist
eine Stateful Inspection Firewall zum Schutz aller Geräte eines Ethernet
Netzwerkes.
Eigenschaften
Der SCALANCE S602 V3 ist mit folgenden Sicherheitsfunktionen ausgestattet:
Schutz von Geräten mit bzw. ohne eigenständige Sicherheitsfunktionen durch
die integrierte Firewall:
–
Untersuchung der Datenpakete anhand der Ursprungs- und Zieladresse
–
Unterstützung von Ethernet-„Non-IP“-Telegrammen
–
Bandbreitenbegrenzung
–
Globale und lokale Firewallregeln
–
Benutzerdefinierte Firewallregeln
Schutz von mehreren Geräten gleichzeitig: Durch die Integration des
SCALANCE S als Verbindungsglied zwischen zwei Netzwerken werden die
dahinterliegenden Geräte automatisch geschützt.
Router-Betrieb: Der SCALANCE S entkoppelt im Router-Modus das interne
Netz vom externen Netz. Das interne Netzwerk erscheint als eigenes Subnetz.
Rückwirkungsfreie Integration des SCALANCE S602 V3 in eine bestehende
Infrastruktur mit flachen Netzen (Bridge-Betrieb).
30
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
4 Produktübersicht SCALANCE S
Zudem unterstützt der SCALANCE S602 V3 folgende Netzwerkfunktionen:
Adressumsetzung mit NAT/ NAPT.
DHCP-Server zur IP-Adressvergabe im internen Netz.
Logging und Auswertung der Log-Dateien über einen externen Server.
SNMP zur Analyse und Auswertung von Netzwerkinformationen.
Schnittstellen
Der SCALANCE S602 V3 verfügt über zwei Schnittstellen:
Port 1 (rot); erkennbar am Schlosssymbol
Port 2 (grün)
Am roten Port wird das unsichere, externe Netzwerk angeschlossen, am grünen
Port das zu sichernde interne Netzwerk.
Abbildung 4-2
Externes Netzwerk
Copyright
Siemens AG 2012 All rights reserved
Internes Netzwerk
Hinweis
Die Ethernet-Anschlüsse an Port 1 und Port 2 werden vom SCALANCE S
unterschiedlich behandelt und dürfen deshalb beim Anschluss an das
Kommunikationsnetzwerk nicht verwechselt werden. Beim Vertauschen der
Ports verliert das Gerät seine Schutzfunktion.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
31
4 Produktübersicht SCALANCE S
4.3
Das Security Configuration Tool
Konfiguration des S602 V3
Die Konfiguration des SCALANCE S602 V3 erfolgt über das Security Configuration
Tool (SCT). Die Handhabung ist sehr einfach und erfordert in der
Minimalkonfiguration kein Spezialwissen über Security.
Der folgende Screenshot zeigt die Oberfläche des Security Configuration Tools:
Eigenschaften
Das Projektierungstool Security Configuration Tool verfügt über folgende
Eigenschaften:
Copyright
Siemens AG 2012 All rights reserved
Abbildung 4-3
Projektierung der SCALANCE und SINAUT Security-Module im SCT möglich.
Test- und Diagnoseanzeigen.
Statusanzeigen.
Standard-Modus für eine schnelle und unkomplizierte Projektierung der
Security-Module auch ohne Security Wissen.
Erweiterter Modus für eine individuelle Projektierung der Security-Module.
Zugriff nur für autorisierte Benutzer durch Passwortvergabe beim Anlegen
eines Projektes.
Konsistenzprüfungen auch während der Projektierung.
Verschlüsselung der abgespeicherten Projekt- und Konfigurationsdaten.
Symbolische Adressierung der Teilnehmer.
Anlegen von globalen, lokalen und benutzerspezifischen Firewallregeln.
32
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
4 Produktübersicht SCALANCE S
4.3.1
Symbolische Adressierung
Im Security Configuration Tool können stellvertretend für die IP-Adressen der
Teilnehmer symbolische Namen vergeben werden. Diese sind auf die
Projektierung innerhalb eines Projektes begrenzt, d.h. sie können nicht
projektübergreifend verwendet werden.
Jedem symbolischen Namen muss eindeutig eine einzige IP- oder MAC-Adresse
zugeordnet werden.
Symbolische Namen haben den Vorteil, dass die Projektierung der Dienste und
Regeln einfacher und sicherer erfolgen kann. Bei folgenden Funktionen und deren
Projektierung werden symbolische Namen anerkannt:
Firewall
NAT/NAPT
Syslog
DHCP
Der folgende Ausschnitt zeigt die symbolische Adressierung mit den zugehörigen
IP-Adressen dieser Applikation:
Copyright
Siemens AG 2012 All rights reserved
Abbildung 4-4
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
33
4 Produktübersicht SCALANCE S
4.3.2
Verwaltung der Benutzer
Übersicht
In der Benutzerverwaltung des Security Configuration Tools können neue Benutzer
angelegt und ihnen system- oder benutzerdefinierte Rollen zugewiesen werden.
Die Baugruppenrechte werden pro Security-Modul festgelegt.
Systemdefinierte Rollen
Vordefiniert sind folgende systemdefinierten Rollen:
Copyright
Siemens AG 2012 All rights reserved
Abbildung 4-5
administrator
standard
diagnostics
remote access
Den Rollen sind bestimmte Rechte zugewiesen, die auf allen Baugruppen gleich
sind und die der Administrator nicht ändern oder löschen kann.
Nähere Informationen finden Sie im Security Handbuch unter /2/ in Kapitel 9
(Literaturhinweise).
34
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
4 Produktübersicht SCALANCE S
Benutzerdefinierte Rollen
Zusätzlich zu den systemdefinierten Rollen können auch benutzerdefinierte Rollen
angelegt werden. Für jedes im Projekt verwendete Security-Modul werden die
entsprechenden Rechte individuell festgelegt und die Rolle den Benutzern manuell
zugewiesen.
4.4
Firewall-Regeln
Firewall-Regeln sind vordefinierte oder eigens konfigurierte Regeln für den
Datenverkehr und werden mithilfe des Security Configuration Tools erstellt. Je
nach Absender, Adresse, Protokoll und Sendevorgang dürfen die Datenpakete
passieren oder werden verworfen.
Der folgende Screenshot zeigt eine Beispielkonfiguration von Regelsätzen:
Copyright
Siemens AG 2012 All rights reserved
Abbildung 4-6
Eine Firewall-Regel setzt sich aus mehreren Komponenten zusammen:
Tabelle 4-1
Bezeichnung
Bedeutung
Auswahlmöglichkeit
Aktion
Zulassungsregelung
(Erlauben/ Verwerfen)
Allow: Telegramme gemäß
Definition zulassen.
Drop: Telegramme gemäß
Definition sperren.
Von/ Nach
Die zugelassenen
Kommunikationsrichtungen.
Intern -> Extern
Extern -> Intern
Tunnel -> Intern
Intern -> Tunnel
Quell-IP-Adresse
Absenderadresse
Alternativ können hierfür symbolische
Namen vergeben werden.
Ziel-IP-Adresse
Zieladresse
Alternativ können hierfür symbolische
Namen vergeben werden.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
35
4 Produktübersicht SCALANCE S
Bedeutung
Auswahlmöglichkeit
Dienst
Name des verwendeten IP/ ICMPDienstes oder der Dienstgruppe.
Die Dienste werden zuvor definiert und
mit Informationen wie Protokoll, Quellund Zielport hinterlegt.
Die Klappliste bietet die projektierten
Dienste und Dienstgruppen zur
Auswahl an. Mit dem Wert „Alle“ wird
kein Dienst geprüft, die Regel gilt für
alle Dienste.
Bandbreite
Einstellmöglichkeit für eine BandbreitenBegrenzung.
Ein Paket passiert die Firewall, wenn die
Pass- Regel zutrifft und die zulässige
Bandbreite für diese Regel noch nicht
überschritten worden ist.
Wertebereich: 0..100 MBit/s
Logging
Ein- bzw. Ausschalten des Logging für
diese Regel
Nr.
Laufende, vom Security Configuration
Tool vergebene Nummer zur
Identifizierung der Firewallregel in der
Log-Tabelle.
Kommentar
Platz für eigene Erläuterungen der Regel.
Im Security Configuration Tool können Regeln global, lokal und benutzerspezifisch
definiert werden.
Hinweis
4.4.1
Das Security Configuration Tool erlaubt maximal 256 IP-/MAC Regelsätze.
Rangfolge der Regeln
Das Auftreten der Regeln in der Regelliste entspricht auch deren Rangfolge der
Bearbeitung.
Copyright
Siemens AG 2012 All rights reserved
Bezeichnung
Die Paketfilter-Regeln werden wie folgt ausgewertet:
Die Liste wird von oben nach unten ausgewertet; bei Regeln, die sich
widersprechen, gilt immer der weiter oben stehende Eintrag.
Bei Regeln für die Kommunikation zwischen internen und externen Netz gilt die
Abschlussregel: alle Telegramme außer den in der Liste explizit zugelassenen
Telegrammen sind gesperrt.
Bei Regeln für die Kommunikation zwischen internem Netz und IPSecTunnel
gilt die Abschlussregel: Alle Telegramme außer den in der Liste explizit
gesperrten Telegrammen sind zugelassen.
Hinweis
36
Alle Telegrammtypen von intern-> extern bzw. umgekehrt sind mit den
Werkseinstellungen geblockt und müssen explizit zugelassen werden.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
4 Produktübersicht SCALANCE S
4.4.2
Die unterschiedlichen Firewallregelsätze
Lokale Regelsätze
Lokale Regelsätze sind jeweils einem Modul zugewiesen und werden direkt im
Eigenschaftsdialog eines Moduls definiert.
Globale Firewallregeln
Globale Firewallregeln werden außerhalb der Module auf Projektebene definiert.
Der Vorteil liegt darin, dass Regeln, die für mehrere Module gelten, nur einmal
konfiguriert werden müssen. Die globalen Firewallregeln werden einfach durch
Drag&Drop auf das Modul gezogen, für die diese Firewallregeln gelten sollen.
Dieser globale Firewallregelsatz erscheint automatisch in der modulspezifischen
Liste der Firewallregeln.
Globale Firewallregeln können definiert werden für:
IP-Regelsätze
MAC-Regelsätze
Siemens AG 2012 All rights reserved
Abbildung 4-7
Modul
globaler Regelsatz 1
Regel 1
globaler Regelsatz
2
2
Regel Regel
1
Copyright
3
Regel Regel
2
Regel 3
Hinweis
Lokaler Regelsatz
lokale Regel 1
globaler Regelsatz 2
lokale Regel 2
globaler Regelsatz 1
Globale Firewallregeln sind besonders dann sinnvoll, wenn mehrere SecurityModule in einem Projekt verwaltet werden.
In dieser Applikation wird nur ein S602 V3 konfiguriert und verwaltet. Die
Verwendung von globalen Firewallregeln bringt in diesem Fall keine Vorteile
gegenüber lokalen Regeln. Um die Anwendung und Erstellung globaler Regeln
zu demonstrieren, wird trotzdem mit diesen gearbeitet.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
37
4 Produktübersicht SCALANCE S
Benutzerspezifische Firewallregeln
Bei der benutzerspezifischen Firewall können die Regelsätze einem oder mehreren
Benutzern und anschließend einzelnen Security-Modulen zugeordnet werden.
Dadurch wird es ermöglicht, die Zugriffe vom Benutzer abhängig zu machen und
nicht (nur) über IP- oder MAC-Adressen.
Der Benutzer kann sich dafür auf einer Webseite am SCALANCE S602 V3
anmelden. War das Login erfolgreich, wird der für diesen Benutzer vorgesehene
Firewall-Regelsatz aktiviert.
Anmelden können sich die Benutzer mit der Rolle:
administrator
diagnostics
remote access
Nach der Anmeldung wird ein Timer von 30 Minuten gestartet. Nach Ablauf der
Zeit wird der Benutzer automatisch vom SCALANCE S602 V3 abgemeldet.
Im Onlinemodus des Security Configuration Tools wird für die Benutzer Kontrolle
eine Übersichtstabelle angeboten. Hier werden alle Benutzer aufgelistet, die
gerade am SCALANCE S602 V3 angemeldet sind.
Copyright
Siemens AG 2012 All rights reserved
Abbildung 4-8
Für die Abmeldung vom SCALANCE S602 V3 stehen drei Möglichkeiten zur
Verfügung:
Durch den „Log off“ Button auf der Webseite.
Automatisch nach Ablauf der Zeituhr.
Über die Onlinefunktion Benutzer-Kontrolle durch Markieren des Benutzers
und dem Button „Log off“.
38
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
4 Produktübersicht SCALANCE S
4.4.3
Vereinbarung für die Firewallregelsätze
Für die Erstellung der globalen und benutzerspezifischen Firewallregelsätze gelten
folgende Vereinbarungen:
Sie können nur im Erweiterten Modus des Security Configuration Tools
angelegt werden.
Lokal definierte Regeln haben standardmäßig eine höhere Priorität; werden
einem Security Modul neue globale und/oder benutzerspezifische
Firewallregeln zugewiesen, werden diese daher in der lokalen Regelliste
zunächst unten eingefügt. Die Priorität kann durch Verändern der Platzierung
in der Regelliste verändert werden.
Globale und benutzerspezifische Firewallregeln können nur als ganzer
Regelsatz einem Security-Modul zugeordnet werden.
Copyright
Siemens AG 2012 All rights reserved
Sie sind in der lokalen Regelliste der Firewallregeln bei den
Moduleigenschaften nicht editierbar und können dort nur angezeigt und gemäß
der gewünschten Priorität platziert werden. Eine einzelne Regel kann nicht aus
einem zugeordneten Regelsatz gelöscht werden. Es kann nur der komplette
Regelsatz aus der lokalen Regelliste genommen werden; die Definition in der
globalen Regelliste wird dadurch nicht verändert.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
39
4 Produktübersicht SCALANCE S
4.5
Logging und Diagnosemöglichkeiten im SCT
Zu Test- und Überwachungszwecken verfügt das Security Configuration Tool in der
Online-Ansicht über diverse Diagnose- und Loggingmöglichkeiten.
Voraussetzungen für die Online-Ansicht
Um Zugriff auf die Online-Ansicht zu erhalten, sind folgende Punkte zu beachten:
Die Online-Betriebsart im Security Configuration Tool ist eingeschaltet
(„View > Online“ bzw. „Ansicht > Online“).
Es besteht eine Netzwerkverbindung zum ausgewählten Modul.
4.5.1
Online Funktionen
Folgender Screenshot zeigt den Online-Dialog:
Copyright
Siemens AG 2012 All rights reserved
Abbildung 4-9
40
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
4 Produktübersicht SCALANCE S
Folgende Funktionen werden hier angeboten:
Tabelle 4-2
Funktion
Copyright
Siemens AG 2012 All rights reserved
4.5.2
Bedeutung
Zustand
Anzeige des Geräte-Status des im Projekt angewählten
SCALANCE S Moduls.
Datum und Uhrzeit
Einstellung von Datum und Uhrzeit.
Cache-Tabelle
ARP-Tabelle des Security Moduls.
Benutzer-Kontrolle
Übersicht der eingeloggten Benutzer für die
benutzerdefinierten Firewallregeln.
Interne Knoten
Anzeige der internen Netzknoten des SCALANCE SModuls.
Schnittstellen-Einstellungen
Statusanzeige der ausgewählten Schnittstelle (PPPoE,
DynDNS).
System Log
Anzeige von geloggten System- Ereignissen.
Audit Log
Anzeige von geloggten Sicherheits- Ereignissen.
Paketfilter Log
Anzeige von geloggten Daten-Paketen sowie Starten und
Stoppen des Paket-Logging.
Logging
Welche Ereignisse aufgezeichnet werden sollen, kann im Eigenschaftsdialog des
SCALANCE S602 V3 bestimmt werden. Für das Logging stehen zwei Varianten
zur Verfügung:
Lokaler Log: Hier werden die Meldungen im lokalen Puffer des S602 V3
aufgezeichnet. Die Speicherung der Datenaufzeichnung kann nach zwei
wählbaren Verfahren erfolgen:
–
Ring-Puffer: Sobald der Puffer voll ist, fängt die Aufzeichnung wieder am
Pufferanfang an und überschreibt damit die ältesten Einträge.
–
One Shot Buffer: Die Aufzeichnung stoppt, wenn der Puffer voll ist.
Mithilfe des Security Configuration Tools können Sie auf diese Aufzeichnungen
zugreifen, sichtbar machen und archivieren.
Netzwerk Syslog: Statt im lokalen Puffer werden die Meldungen an einen
externen Syslog-Server geschickt.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
41
4 Produktübersicht SCALANCE S
Einstellungen
Der folgende Screenshot zeigt die möglichen Einstellungen für das Logging beim
S602 V3:
Siemens AG 2012 All rights reserved
Abbildung 4-10
Copyright
Folgende Ereignisse können aufgezeichnet werden:
Tabelle 4-3
Ereignis
Bedeutung
Paketfilter- Ereignisse
Hierunter werden die Datenpakete verstanden, auf die eine
projektierte Paket-Filter-Regel (Firewall) zutrifft oder auf die
der Basisschutz reagiert.
Audit- Ereignisse
Hierunter werden sicherheitsrelevante Ereignisse
verstanden; wie z. B. das Ein- oder Ausschalten des PaketLogging oder falsche Passworteingabe bei der
Authentisierung.
Systemereignisse
Systemereignisse sind z. B. Start eines Prozesses.
Neben der Wahl der Ereignisse kann in diesem Dialogfenster auch das Logging
aktiviert bzw. deaktiviert und die Speicherung der Daten bestimmt werden.
42
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
4 Produktübersicht SCALANCE S
Logging-Funktionen
Folgende Logging-Funktionen stehen im Online-Modus zur Verfügung:
Tabelle 4-4
Bedeutung
System
Log
Anzeige von geloggten Systemereignissen.
Audit-Log
Anzeige von geloggten
Sicherheitsereignissen.
Paketfilter
Log
Anzeige von geloggten DatenPaketen sowie Starten und
Stoppen des Paket-Logging.
Screenshot
Copyright
Siemens AG 2012 All rights reserved
Funktion
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
43
5 Installation
5
Installation
In diesem Kapitel wird beschrieben, welche Hardware- und Softwarekomponenten
installiert werden müssen. Die Beschreibungen und Handbücher sowie
Lieferinformationen, die mit den entsprechenden Produkten ausgeliefert werden,
sollten in jedem Fall beachtet werden.
5.1
Installation der Hardware
Die Hardware-Komponenten entnehmen Sie bitte dem Kapitel 2.3.
Abbildung 5-1
Externer PC
Leitwarte
X208
Service-PC
Siemens AG 2012 All rights reserved
Syslog-Server
Copyright
S602 V3
CPU 317-2 PN/DP+
CP343-1 Advanced
X208
CPU 319-3 PN/DP
Mit Firewall geschützte Automatisierungszelle
44
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
5 Installation
Gehen Sie für den Hardwareaufbau gemäß folgender Tabelle vor:
Tabelle 5-1
Externes Netzwerk
Copyright
Siemens AG 2012 All rights reserved
Internes Netzwerk
Nr.
Aktion
1.
Montieren Sie alle Module auf einer Profilschiene.
2.
Verbinden Sie die CPU317-2 PN/DP und den CP343-1
Advanced über einen Rückwandbus.
3.
Schließen Sie alle Komponenten an eine 24VSpannungsversorgung an.
4.
Verbinden Sie über Ethernet die Module wie folgt:
CPU319-3PN/DP mit Port 6 des ersten SCALANCE X208
CP343-1 Advanced mit Port 1 des ersten SCALANCE
X208
Interne Schnittstelle (grün) des S602 V3 mit Port 5 des
ersten SCALANCE X208
5.
Schließen Sie den zweiten SCALANCE X208 an eine 24VSpannungsversorgung an.
6.
Verbinden Sie über Ethernet die Module im externen Netz wie
folgt:
PC der Leitwarte mit Port 2 des zweiten SCALANCE X208
Service-PC mit Port 2 des zweiten SCALANCE X208
Syslog-Server mit Port 7 des zweiten SCALANCE X208
Externer PC mit Port 6 des zweiten SCALANCE X208
Die externe Schnittstelle (rot) des S602 V3 mit Port 8 des
zweiten SCALANCE X208.
Anmerkung
CPU319-3PN/DP
CPU317-2PN/DP
CP343-1 Advanced
S602 V3
X208
Um alle Module
anschließen zu können,
verwenden Sie entweder
Klemmleisten oder mehrere
Spannungsversorgungen.
Hinweis
Die Aufbaurichtlinien für die Komponenten sind generell zu beachten.
Hinweis
Um sicherzugehen, dass keine alte Konfiguration im S602 V3 gespeichert ist,
setzen Sie das Modul auf Werkseinstellungen zurück. Hilfe finden Sie unter /2/
im Kapitel 9 (Literaturhinweise).
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
45
5 Installation
5.2
Installation der Software
Installation der Standard Tools
Tabelle 5-2
Nr.
Aktion
Anmerkung
1.
Installieren Sie STEP 7 V5.5 SP2 auf dem Service-PC
und dem Externen PC
Folgen Sie den Anweisungen des
Installationsprogramms.
2.
Installieren Sie das Security Configuration Tool auf das
PG.
Folgen Sie den Anweisungen des
Installationsprogramms.
3.
Installieren Sie den FTP-Client auf dem PG und dem
Externen PC.
Folgen Sie den Anweisungen des
Installationsprogramms.
4.
Installieren Sie ein Syslog Programm auf dem Syslog
Server.
Folgen Sie den Anweisungen des
Installationsprogramms.
Installation der Applikationssoftware
Entpacken Sie den Code Ordner 22376747_Firewall_S602_V30_CODE. Es
befinden sich hier zwei STEP-7 Projekte:
Siemens AG 2012 All rights reserved
Projekt Bridge.zip für den Aufbau im Bridge-Modus.
Projekt NAT_NAPT.zip für den Aufbau im Router-Modus.
Copyright
Öffnen Sie am Service-PC den SIMATIC MANAGER und entpacken Sie das
notwendige STEP 7-Projekt über „File > Retrieve“ („Datei > Dearchivieren“).
Für den Bridge-Modus verwenden Sie Bridge.zip, im Router-Modus
NAT_NAPT.zip.
46
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
6 Inbetriebnahme im Bridge-Modus
6
Inbetriebnahme im Bridge-Modus
6.1
Übersicht des Konfigurationsmodus
Der Bridge-Modus ist ein flaches Netz. Das externe und interne Netz befinden sich
im gleichen Subnetz.
Übersicht
Abbildung 6-1
Leitwarte:
192.168.2.1
Externer PC:
192.168.2.7
X208
Service-PC:
192.168.2.6
Siemens AG 2012 All rights reserved
Syslog: 192.168.2.4
Copyright
S602 V3: 192.168.2.2
CP: 192.168.2.3
X208
CPU:192.168.2.5
Mit Firewall geschützte Automatisierungszelle
Verwendete IP-Adressen
Tabelle 6-1
Inte
rne
Externes Netz
Modul
IP-Adresse
PG in der Leitwarte
192.168.2.1
Service-PC
192.168.2.6
Syslog Server
192.168.2.4
Externer PC
192.168.2.7
S602 V3
192.168.2.2
CP343-1 Advanced
192.168.2.3
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
47
6 Inbetriebnahme im Bridge-Modus
Modul
PN-CPU
IP-Adresse
192.168.2.5
Im Folgenden werden nun die nötigen Projektierungen für die Szenarien gezeigt.
Tabelle 6-2
Anwendung
Beschreibung
Kapitel
1.
Parametrierung
IP-Konfiguration aller
zelleninternen Geräte durch
Knotentaufe in STEP 7 (über
DCP)
Freischalten des DCPProtokolls (Kapitel 6.4)
2.
Projektierung/
Diagnostizierung/
Visualisierung
Freischalten der vollen PGFunktionalität (STEP 7) für den
PC des Servicemitarbeiters.
IP-Dienst Definition
(Kapitel 6.8.1)
Anlegen der lokalen
Firewallregeln (Kapitel
6.8.4)
3.
Bandbreitenbeschränkung
Einschränkung der
Datenkommunikation für den
PC des Servicemitarbeiters.
4.
Produktivdatentransfer,
Visualisierung
Freischalten des Zugriffs auf
den FTP- und Webserver des
zelleninternen Advanced-CPs
für das PG der Leitwarte.
IP-Dienst Definition
(Kapitel 6.8.1)
Anlegen der lokalen
Firewallregeln (Kapitel
6.8.4)
Anlegen der globalen
Firewallregel (Kapitel
6.8.3)
5.
Logging des Datenverkehrs
Freischalten des
Datenverkehrs-Logging für
einen externen Syslogserver.
Anlegen der lokalen
Firewallregeln (Kapitel
6.8.4)
Projektierung des
Syslog-Logging (Kapitel
6.7)
6.
Benutzerdefinierte
Firewallregeln
Freischalten des Zugriffs auf
den FTP- und Webserver des
zelleninternen Advanced-CPs
für ausgewählte Benutzer.
Definition von Benutzer
für das SCT(Kapitel
6.8.2)
Anlegen von
benutzerspezifischen
Firewallregeln (Kapitel
6.8.5)
Copyright
Siemens AG 2012 All rights reserved
Nr.
48
Anlegen der lokalen
Firewallregeln (Kapitel 6.8.4)
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
6 Inbetriebnahme im Bridge-Modus
6.2
Vergabe der IP-Adressen
IP-Adressvergabe der PCs/PGs
Im Folgenden werden die PCs/PGs mit den erforderlichen IP-Adressen
konfiguriert.
Tabelle 6-3
Nr.
Copyright
Siemens AG 2012 All rights reserved
1.
Aktion
Anmerkung
Zum Ändern der
Netzwerkadresse öffnen Sie die
Internet Protokoll
(TCP/IP) über
„Start > Settings > Network
Connection > Local
Connections“
(„Start > Einstellungen >
Netzwerkverbindungen > Lokale
Verbindungen“).
Ändern Sie die IP-Adresse für
das PG in der Leitwarte,
den Service-PC,
den Syslog-Server und
den externen PC
auf diese Weise gemäß Tabelle
Tabelle 6-1 ab.
Hinweis:
Für den Routing-Modus
benötigen Sie zusätzlich eine
Gatewayadresse. Tragen Sie für
diesen Fall auch die IP-Adresse
des zugehörigen Routers ein.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
49
6 Inbetriebnahme im Bridge-Modus
IP-Adressvergabe der Module
Zum Einspielen des STEP7-Projekts in die CPU muss diejenige IP-Adresse der
Baugruppe geändert werden, über die das Projekt geladen wird. Das kann die
CPU selbst oder ein CP sein.
Tabelle 6-4
Nr.
Aktion
Verbinden Sie den Service-PC mit dem
internen Netzwerk über den ersten
SCALANCE X208.
2.
Öffnen Sie am Service-PC den SIMATIC
Manager und das STEP 7 Projekt.
Selektieren Sie im Menü „PLC“ („Zielsystem“)
die Option „Edit Ethernet Node…“(„EthernetTeilnehmer bearbeiten“)
3.
Klicken Sie auf die Schaltfläche
Browse…(Durchsuchen…).
Der S602 V3 erlaubt im Default-Modus keine
Knotentaufe aller zelleninterner Geräte durch
ein externes PG mit STEP 7. Aus diesem
Grund muss sich das PG für die Knotentaufe
unmittelbar im internen Netz befinden.
Copyright
Siemens AG 2012 All rights reserved
1.
Hinweis
50
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
6 Inbetriebnahme im Bridge-Modus
Copyright
Siemens AG 2012 All rights reserved
Nr.
Aktion
4.
Selektieren Sie die gewünschte Baugruppe
und bestätigen Sie die Auswahl mit der
Schaltfläche OK.
5.
Geben Sie im erscheinenden Fenster unter
Set IP configurations (Ethernet-Adresse
vergeben) die IP-Adresse gemäß Tabelle 6-1
ein.
Hinweis:
Für den Routing-Modus benötigen Sie
zusätzlich eine Gatewayadresse. Aktivieren
Sie für diesen Fall Use router und tragen die
IP-Adresse des zugehörigen Routers ein.
Hinweis
Klicken Sie auf die Schaltfläche Assign IP
Configuration (IP-Konfiguration zuweisen).
6.
Vergeben Sie auf diese Weise dem CP und
der CPU die entsprechenden IP-Adressen.
7.
Verbinden Sie den Service-PC wieder mit
Port 7 des zweiten SCALANCE X208.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Der SCALANCE bekommt seine IP-Adresse
über das Laden des SCT-Projektes
zugewiesen.
51
6 Inbetriebnahme im Bridge-Modus
6.3
Anlegen eines Projektes im SCT
Das SCALANCE S-Modul wird mithilfe des Security Configuration Tool (SCT)
konfiguriert.
Tabelle 6-5
Aktion
1.
Öffnen Sie das Security
Configuration Tool über „Start >
SIMATIC > Security”.
Legen Sie über „Project > New“
(„Projekt > Neu“) ein neues
Projekt an.
2.
Sie werden aufgefordert, eine
Authentisierung für das neue
Projekt zu vergeben. Tragen Sie
einen Benutzernamen und
Password ein. Bestätigen Sie mit
OK.
3.
Wählen Sie als Modul den S602
und als Version V3.
Wählen Sie einen beliebigen
Namen und übernehmen Sie die
MAC-Adresse des Moduls, die
sich am Gehäuse befindet.
Als externe IP-Adresse
vergeben Sie die 192.168.2.2 mit
der Subnetzmaske
255.255.255.0.
Bestätigen Sie die Angaben mit
OK.
Copyright
Siemens AG 2012 All rights reserved
Nr.
52
Anmerkung
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
6 Inbetriebnahme im Bridge-Modus
6.4
Freischalten des DCP-Protokolls
Durch das Freischalten des DCP-Protokolls ist eine Knotentaufe aller zelleninterner
Geräte durch ein externes PG mit STEP 7 möglich.
Tabelle 6-6
Nr.
Aktion
Markieren Sie das Modul und
öffnen Sie über „Rechte
Maustaste > Properties“
(„Eigenschaften“) die
Eigenschaften des Moduls.
Wechseln Sie in die
Registerkarte Firewall.
2.
Aktivieren Sie die Option Allow
DCP (Erlaube DCP) in beide
Richtungen.
Damit wird das Setzen von IPAdressen bzw. Gerätenamen
(Knotentaufe) durch das in STEP
7 integrierte Primary Setup Tool
(PST) ermöglicht.
Bestätigen Sie die Änderung mit
OK.
3.
Speichern Sie die Konfiguration
unter einem sinnvollen Namen
(z.B. S602 V3_FW) ab.
4.
Übertragen Sie nun die
Konfiguration ins Modul.
Markieren Sie die Zeile mit dem
Modul und wählen Sie: „Transfer
> To module…“ („Übertragen >
An Modul …“). Die F-LED
wechselt von gelborange nach
grün. Warten Sie, bis die
Meldung Transfer finished
successfully (Transfer
erfolgreich beendet) erscheint.
5.
Nun ist es möglich, durch einen
Netzwerkscan die internen
Teilnehmer aufzuspüren.
Copyright
Siemens AG 2012 All rights reserved
1.
Anmerkung
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
53
6 Inbetriebnahme im Bridge-Modus
6.5
Symbolische Adressierung im SCT
Eine symbolische Adressierung der Teilnehmer erleichtert die Konfiguration und
Projektierung der einzelnen Dienste.
Tabelle 6-7
Aktion
1.
Öffnen Sie über „Options >
Symbolic Names…“
(„Optionen > Symbolische
Namen…“) die Tabelle für die
symbolische Adressierung.
2.
Tragen Sie mit Add
(Hinzufügen) alle Teilnehmer
mit deren IP-Adresse und MACAdresse in die Tabelle ein.
Verwenden Sie die IP-Adressen
aus Tabelle 6-1.
Schließen Sie den Dialog mit
OK.
Anmerkung
Bridge-Modus:
Copyright
Siemens AG 2012 All rights reserved
Nr.
Router-Modus:
54
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
6 Inbetriebnahme im Bridge-Modus
6.6
Erweiterter Modus
Der Erweiterte Modus bietet neben den Standardeinstellungen mehr
Konfigurationsmöglichkeiten.
ACHTUNG
Eine einmal vorgenommene Umschaltung in den Erweiterten-Modus für
das aktuelle Projekt kann nicht mehr rückgängig gemacht werden.
Tabelle 6-8
Copyright
Siemens AG 2012 All rights reserved
Nr.
Aktion
1.
Eine individuelle Projektierung
der Firewall ist nur im
erweiterten Modus möglich.
Aktivieren Sie diesen über
„View > Advanced Mode“
(„Ansicht >Erweiterter Modus“).
2.
Bestätigen Sie die Warnung mit
Ja.
6.7
Anmerkung
Projektierung des Syslog-Logging
Das Logging der Datenpakete soll auf einen Syslog-Server aufgezeichnet werden.
Tabelle 6-9
Nr.
1.
Aktion
Anmerkung
Markieren Sie das Modul S602
V3 im Security Configuration
Tool und öffnen über „Rechte
Maustaste > Properties“
(„Eigenschaften“) den
Eigenschaftsdialog. Wechseln
Sie in das Register Log
Settings (Log Einstellung).
Aktivieren Sie das Logging mit
einem Syslog-Server und dem
Zusatz, dass statt IP-Adressen
die symbolische Namen der
internen Teilnehmer angezeigt
werden. Tragen Sie als IPAdresse „Syslog-Server“ ein.
Aktivieren Sie die Meldungen,
die auf den Syslog Server
übertragen werden sollen.
Schließen Sie den Dialog mit
OK.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
55
6 Inbetriebnahme im Bridge-Modus
6.8
Konfiguration der Firewallregeln
Voraussetzungen
Voraussetzungen für die Konfiguration der Firewall sind:
Es wurde ein SCT-Projekt mit einem S602 V3 angelegt.
Das Modul S602 V3 wurde mit der MAC-Adresse der realen S602 V3
Baugruppe konfiguriert.
Im Bridge-Modus: als externe IP-Adresse ist die 192.168.2.2 eingetragen
Der Erweiterte Modus ist aktiviert.
6.8.1
IP-Dienst Definition
Mithilfe der IP-Dienst-Definitionen werden Firewall-Regeln, die auf bestimmte
Dienste angewendet werden, kompakt und übersichtlich definiert. Dabei wird
jedem Dienstparameter ein Name zugeordnet.
Bei der Projektierung der globalen oder lokalen Paketfilter-Regeln werden diese
Namen einfach verwendet.
Tabelle 6-10
Aktion
1.
Öffnen Sie über „Options > IP
Services…“
(„Optionen > IP-Dienste…“) die
nötige Tabelle.
2.
Fügen Sie über Add IP Service
(IP Dienst hinzufügen) neue IPDienste hinzu.
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Nr.
56
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
6 Inbetriebnahme im Bridge-Modus
Nr.
Copyright
Siemens AG 2012 All rights reserved
3.
Aktion
Anmerkung
Für die S7-Kommunikation:
Name: S7
Protokoll: TCP
Source Port: *
Target Port: 102
********************************
Für die http-Kommunikation:
Name: HTTP
Protokoll: TCP
Source Port: *
Target Port: 80
********************************
Für den FTP-Zugriff:
Name: FTP
Protokoll: TCP
Source Port: *
Target Port: 21
********************************
Wenn Sie alle Dienste
eingetragen haben, schließen
Sie den Dialog mit OK.
6.8.2
Definition von Benutzer für das SCT
Tabelle 6-11
Nr.
1.
Aktion
Anmerkung
Öffnen Sie die
Benutzerverwaltung im Security
Configuration Tool über
„Options > User Management“
(„Extras > Benutzerverwaltung“).
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
57
6 Inbetriebnahme im Bridge-Modus
Aktion
2.
Die Startmaske listet alle bereits
projektierten Benutzer mit deren
Namen und Rollen auf.
Über Add (Hinzufügen) können
Sie weitere Benutzer anlegen.
3.
Legen Sie einen Namen und
Passwort fest. Als Rolle wählen
Sie aus der Auswahlliste remote
access aus.
Der Benutzer mit der Rolle
remote access hat keine
Rechte außer Anmeldung an der
Internetseite für benutzerspezifische Firewall-Regeln.
Anmerkung
Schließen Sie das Fenster mit
OK.
4.
Der neue Benutzer wird in der
Übersichtstabelle angezeigt.
Schließen Sie das Fenster mit
OK.
5.
Bestätigen Sie die Warnung mit
OK.
Copyright
Siemens AG 2012 All rights reserved
Nr.
58
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
6 Inbetriebnahme im Bridge-Modus
6.8.3
Anlegen der globalen Firewallregel
Für diese Applikation wird die Firewallregel für den FTP-Server global angelegt.
Tabelle 6-12
Nr.
Markieren Sie unter den
globalen Firewallregeln die
Firewall IP-Regelsätze und legen
Sie über „Rechte Maustaste >
Insert rule set“ („Regelsatz
einfügen“) einen neuen
Regelsatz ein.
2.
Um die globale Firewallregel
besser zu identifizieren, können
Sie einen Namen und eine
Beschreibung eintragen.
3.
Legen Sie über Add Rule
(Regel hinzufügen) eine neue
globale Firewallregel an.
Tragen Sie folgende Werte ein:
************************************
Aktion: Allow
From/To (Von/Nach):
External -> Internal (Extern ->
Intern)
Source IP (Quelle IP): PG
Destination IP (Ziel IP): CP3431Advanced
Service (Dienst): FTP
Logging: Aktiviert
************************************
Schließen Sie den Dialog mit
OK.
4.
Eine neue globale Firewallregel
wurde erstellt.
Siemens AG 2012 All rights reserved
Copyright
Aktion
1.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Anmerkung
59
6 Inbetriebnahme im Bridge-Modus
Nr.
5.
Aktion
Anmerkung
Markieren Sie diese Regel und
ziehen Sie diese mittels
Drag&Drop auf das Modul S602
V3.
6.8.4
Anlegen der lokalen Firewallregeln
Als lokale Firewallregeln werden das S7-Protokoll und die Kommunikation über
http freigeschaltet.
Tabelle 6-13
Nr.
1.
Markieren Sie den S602 V3 und
öffnen Sie über „Rechte
Maustaste > Properties“
(„Eigenschaften“) die
Eigenschaften. Wechseln Sie in
das Register Firewall Setting
(Firewall) und IP Rules (IPRegeln).
Die globale Firewallregel, die
soeben mit Drag&Drop auf das
Modul gezogen wurde, erscheint
nun auch in den lokalen
Firewalleinstellungen.
2.
Klicken Sie auf Add Rule (Regel
hinzufügen), um eine neue
lokale Firewallregel zu erstellen.
3.
Tragen Sie folgende Werte ein:
Aktion: Allow
From/To (Von/Nach):External->
Internal (Extern -> Intern)
Source IP (Quelle IP): ServicePC
Destination IP (Ziel IP): PNCPU
Service (Dienst): S7
Bandwidth (Bandbreite): 10
(MBit/s)
Aktivieren Sie das Logging.
Siemens AG 2012 All rights reserved
Copyright
Aktion
60
Anmerkung
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
6 Inbetriebnahme im Bridge-Modus
Nr.
Copyright
Siemens AG 2012 All rights reserved
4.
Aktion
Anmerkung
Über Add Rule (Regel
hinzufügen) können Sie weitere
Regeln einfügen. Tragen Sie für
die S7- und http -Kommunikation
noch folgende Zeilen ein:
Aktion: Allow
From/To (Von/Nach):External->
Internal (Extern -> Intern)
Source IP (Quelle IP): ServicePC
Destination IP (Ziel IP): CP3431Advanced
Service (Dienst): S7
Bandwidth (Bandbreite): 10
(MBit/s)
Akitivieren Sie das Logging.
*************************************
Aktion: Allow
From/To (Von/Nach):External->
Internal (Extern -> Intern)
Source IP (Quelle IP): PG
Destination IP (Ziel IP): CP3431Advanced
Service (Dienst): HTTP
Akitivieren Sie das Logging.
*************************************
Aktion: Allow
From/To (Von/Nach):Internal->
External (Intern -> Extern)
Source IP (Quelle IP): *
Destination IP (Ziel IP): *
*************************************
Schließen Sie den Dialog mit
OK.
Hinweis
Jede Firewallregel erhält vom Security Configuration Tool automatisch ein
eindeutiges Label zugewiesen.
Um bei der Aufzeichnung der System- und Sicherheitsereignissen (Logging)
festzustellen, welche Firewallregel jeweils gewirkt hat, erscheint das zugehörige
Label in der Logzeile.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
61
6 Inbetriebnahme im Bridge-Modus
6.8.5
Anlegen von benutzerspezifischen Firewallregeln
Tabelle 6-14
Nr.
Aktion
Markieren Sie die
benutzerspezifischen
Firewallregeln und legen Sie
über „Rechte Maustaste > Insert
rule set“ („Regelsatz einfügen“)
einen neuen Regelsatz ein.
2.
Um die benutzerspezifischen
Firewallregel besser zu
identifizieren, können Sie einen
Namen und eine Beschreibung
vergeben.
Im unteren Bereich sehen Sie
alle projektierten Benutzer.
3.
Legen Sie über Add Rule
(Regel hinzufügen) eine neue
Firewallregel an.
Copyright
Siemens AG 2012 All rights reserved
1.
Anmerkung
62
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
6 Inbetriebnahme im Bridge-Modus
Nr.
4.
Aktion
Anmerkung
Tragen Sie folgende Werte ein:
************************************
Aktion: Allow
From/To (Von/Nach):External->
Internal (Extern -> Intern)
Source IP (Quelle IP):
Destination IP (Ziel IP):CP3431Advanced
Service (Dienst): HTTP
Logging: Aktiviert
5.
Markieren Sie den konfigurierten
Benutzer und weisen Sie ihm mit
Add (Hinzufügen) diesen
Regelsatz zu
6.
Schließen Sie dien Dialog mit
OK.
7.
Eine neue benutzerspezifische
Firewallregel wurde erstellt.
8.
Markieren Sie diese Regel und
ziehen Sie diese mittels
Drag&Drop auf den SCALANCE
S602 V3.
Copyright
Siemens AG 2012 All rights reserved
************************************
Aktion: Allow
From/To (Von/Nach):External->
Internal (Extern -> Intern)
Source IP (Quelle IP):
Destination IP (Ziel IP):CP3431Advanced
Service (Dienst): FTP
Logging: Aktiviert
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
63
6 Inbetriebnahme im Bridge-Modus
Hinweis
Für die Zuordnung der benutzerspezifischen Firewallregeln gelten folgende
Regeln:
Einer Baugruppe kann nur ein benutzerspezifischer Regelsatz pro Benutzer
zugewiesen werden. Durch die Zuordnung wird für alle Rollen der im Regelsatz
festgelegten Benutzer das Recht "Benutzer darf sich an Baugruppe anmelden"
aktiviert.
6.9
Firewallregeln in den S602 V3 laden
Sobald alle Firewallregeln konfiguriert sind, kann das Projekt in den SCALANCE
S602 V3 geladen werden.
Tabelle 6-15
Aktion
1.
Speichern Sie die Konfiguration
unter einem sinnvollen Namen
(z.B. S602 V3_FW) ab.
2.
Übertragen Sie nun die
Konfiguration ins Modul.
Markieren Sie die Zeile mit dem
Modul und wählen Sie:
„Transfer > To module…“
(„Übertragen > An Modul …“).
Die F-LED wechselt von
gelborange nach grün. Warten
Sie, bis die Meldung Transfer
completed successfully
(Transfer erfolgreich beendet)
erscheint
3.
Das Modul ist nun mit der
aktuellen Firewallkonfiguration
projektiert.
Copyright
Siemens AG 2012 All rights reserved
Nr.
64
Anmerkung
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
7 Inbetriebnahme im Routing-Modus
7
Hinweis
7.1
Inbetriebnahme im Routing-Modus
In diesem Kapitel wird nur auf die zusätzlichen Projektierungsschritte
eingegangen, die über die notwendigen Projektierungen im Bridge-Modus
hinausgehen.
Übersicht des Konfigurationsmodus
Der Router-Modus ist ein subnetzübergreifendes Netz. Das externe und interne
Netz befinden sich in verschiedenen Subnetzen.
Übersicht
Abbildung 7-1
Externer PC:
172.158.2.7
X208
Service-PC:
172.158.2.6
Syslog: 172.158.2.4
Copyright
Siemens AG 2012 All rights reserved
Leitwarte:
172.158.2.1
S602 V3 Extern:
172.158.2.2
S602 V3 Intern:
192.168.2.2
CP: 192.168.2.3
X208
CPU:192.168.2.5
Mit Firewall geschützte Automatisierungszelle
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
65
7 Inbetriebnahme im Routing-Modus
Verwendete IP-Adressen
Tabelle 7-1
Internes
Netz
Externes Netz
Modul
IP-Adresse
Router
PG der Leitwarte
172.158.2.1
172.158.2.2
Service-PC
172.158.2.6
172.158.2.2
Syslog Server
172.158.2.4
172.158.2.2
Externer PC
172.158.2.7
172.158.2.2
S602 V3 (externe Schnittstelle)
172.158.2.2
S602 V3 (interne Schnittstelle)
192.168.2.2
CP343-1 Advanced
192.168.2.3
192.168.2.2
PN-CPU
192.168.2.5
192.168.2.2
Als Subnetzmaske dient jeweils die 255.255.255.0.
7.2
Basis Projektierungen aus dem Bridge-Modus
Siemens AG 2012 All rights reserved
Die meisten Projektierungsschritte aus dem Bridge-Modus sind die Grundlage für
den Routing-Modus.
Folgende Projektierungsschritte sind Voraussetzung für den Routing-Modus:
Tabelle 7-2
Copyright
Nr.
66
Kapitel
1.
Vergabe der IP-Adressen (Kapitel 6.2)
2.
Anlegen eines Projektes im SCT
(Kapitel 6.3).
3.
Symbolische Adressierung im SCT
(Kapitel 6.5)
4.
Erweiterter Modus (Kapitel 6.6)
5.
Projektierung des Syslog-Logging
(Kapitel 6.7)
6.
Konfiguration der Firewallregeln (Kapitel
6.8)
Anmerkung
Verwenden Sie dafür die IP-Adresse
aus Tabelle 7-1.
Achten Sie darauf, in den Geräten auch
eine Routeradresse zu projektieren.
Verwenden Sie dafür die IP-Adresse
aus Tabelle 7-1.
Voraussetzungen für die Konfiguration
der Firewall sind:
Es wurde ein SCT-Projekt mit
einem S602 V3 angelegt.
Das Modul S602 V3 wurde mit der
MAC-Adresse der realen S602 V3
Baugruppe bestückt.
Im Routing-Modus: als externe IPAdresse ist die 172.158.2.2
eingetragen
Der Erweiterte Modus ist aktiviert.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
7 Inbetriebnahme im Routing-Modus
7.3
Änderung des Betriebsmodus auf Routing
Tabelle 7-3
Aktion
1.
Öffnen Sie das Security
Configuration Tool Projekt.
2.
Markieren Sie den SCALANCE
S602 V3 und öffnen Sie durch
einen Doppelklick die
Eigenschaften.
Versetzen die das Modul im
Register Interface
(Schnittstelle) in den Routing
Modus.
Ändern Sie die externe IPAdresse auf 172.158.2.2 um
und tragen Sie als interne IPAdresse die 192.168.2.2 mit der
Subnetzmaske 255.255.255.0
ein.
Schließen Sie den Dialog mit
OK.
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Nr.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
67
7 Inbetriebnahme im Routing-Modus
7.4
Konfiguration von NA(P)T
Das folgende Kapitel zeigt die nötigen Projektierungsschritte, um NAT bzw. NAPT
im SCALANCE S602 V3 zu implementieren.
Sie haben in dieser Applikation die Möglichkeit, die Szenarien entweder mit NAT
oder mit NAPT zu bedienen:
Für die Bedienung mit NAT, folgen Sie den Schritten von Kapitel 7.4.1
(Konfiguration der NAT-Tabelle).
Für die Bedienung mit NAPT, folgen Sie den Schritten von Kapitel 7.4.2
(Konfiguration der NAPT-Tabelle).
7.4.1
Konfiguration der NAT-Tabelle
NAT ist eine 1:1-Umsetzung. Das bedeutet, eine IP-Adresse wird auf eine andere,
interne umgesetzt.
Tabelle 7-4
Nr.
Aktion
Wechseln Sie in das Register
NAT.
Im linken Teil des Dialoges
befindet sich die NAT-Tabelle.
2.
Aktivieren Sie das NAT und
erlauben Sie allen Teilnehmern
von intern nach extern zu
kommunizieren.
Es wird automatisch der Eintrag
172.158.2.2 * SrcNat
(to external) eingefügt.
Copyright
Siemens AG 2012 All rights reserved
1.
Anmerkung
68
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
7 Inbetriebnahme im Routing-Modus
Nr.
Copyright
Siemens AG 2012 All rights reserved
3.
Aktion
Anmerkung
Über den Button Add können
Sie je einen neuen Eintrag
einfügen.
Tragen Sie folgende
Adressumsetzungen in die
Tabelle ein:
***********************************
Externe IP-Adresse: 172.158.2.3
Interne IP-Adresse:
CP343-1Advanced
Richtung: Dst-NAT (from
external)
***********************************
Externe IP-Adresse: 172.158.2.5
Interne IP-Adresse: PN-CPU
Richtung: Dst-NAT from
external)
***********************************
Schließen Sie den Dialog mit
OK.
7.4.2
Konfiguration der NAPT-Tabelle
Bei NAPT existiert eine öffentliche IP-Adresse, die durch den Zusatz von
Portnummern an eine Reihe von privaten IP-Adressen umgesetzt wird.
Tabelle 7-5
Nr.
Aktion
1.
Markieren Sie das Modul S602
V3 im Security Configuation Tool
und öffnen Sie über „Rechte
Maustaste > Properties“
(„Eigenschaften“) die
Eigenschaften. Wechseln Sie in
das Register NAT.
Im rechten Teil des Dialoges
befindet sich die NAPT-Tabelle.
2.
Aktivieren Sie das NAPT.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Anmerkung
69
7 Inbetriebnahme im Routing-Modus
Nr.
Copyright
Siemens AG 2012 All rights reserved
3.
Aktion
Anmerkung
Über den Button Add können
Sie je einen neuen Eintrag
einfügen.
Tragen Sie folgende
Adressumsetzungen in die
Tabelle ein:
***********************************
Externer Port: 8000
Interne IP-Adresse: CP343-1
Advanced
Interner Port: 80
***********************************
Externer Port: 21
Interne IP-Adresse: CP343-1
Advanced
Interner Port: 21
***********************************
Externer Port: 102
Interne IP-Adresse: PN-CPU
Interner Port: 102
***********************************
Hinweis
Eine externe Portnummer darf nur einmal eingetragen sein. Da immer die IPAdresse des SCALANCE S als externe IP-Adresse verwendet wird, wäre bei
mehrfacher Verwendung keine Eindeutigkeit gegeben.
Aus diesem Grund kann nur auf eine CPU (hier: PN-CPU) zugegriffen werden.
7.5
Laden der SCALANCE S602 V3 Konfiguration
Verfahren Sie für das Laden der Konfiguration so, wie in Kapitel 6.9 (Firewallregeln
in den S602 V3 laden) beschrieben.
Abbildung 7-2
70
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
8
Bedienung der Applikation
Zugriffsrechte
Durch die Firewallregeln wurden die Szenarien nur für bestimmte PCs
freigeschalten. Ein Versuch, die Szenarien mit einem anderen PC als den
vorgegebenen zu testen, bleibt ohne Erfolg.
Die folgende Tabelle gibt einen Überblick:
Tabelle 8-1
Anwenderszenarien
8.1
Zugriffsrecht
Knotentaufe der internen Teilnehmer
Service-PC
Projektierung/ Diagnostizieren mit STEP 7
Service-PC
Zugriff auf zelleninterne Web- und FTP Server
PG der Leitwarte
Logging der Datenpakete für die S7-Kommunikation
Syslog-Server
Blocken von unbefugten Zugriffsversuchen
Externer PC
Bedienung im Bridge-Modus
Die folgende Grafik zeigt den Aufbau und die zugehörigen IP-Adressen der
Applikation im Bridge-Modus:
Abbildung 8-1
Externer PC:
192.168.2.7
Leitwarte:
192.168.2.1
Copyright
Siemens AG 2012 All rights reserved
Aufbau
X208
Service-PC:
192.168.2.6
Syslog: 192.168.2.4
S602 V3: 192.168.2.2
CP: 192.168.2.3
X208
CPU:192.168.2.5
Mit Firewall geschützte Automatisierungszelle
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
71
8 Bedienung der Applikation
Knotentaufe über das DCP-Protokoll
Tabelle 8-2
Nr.
1.
Aktion
Anmerkung
Öffnen Sie am Service-PC den
SIMATIC Manager und das
STEP 7 Projekt Bridge.
Selektieren Sie im Menü PLC
(Zielsystem) die Option
Edit Ethernet Node…
(Ethernet-Teilnehmer
bearbeiten). Starten Sie den
Netzwerk-Scan. Durch die
Freigabe des DCP-Protokolls ist
nun eine Knotentaufe der internen
Teilnehmer möglich.
Tabelle 8-3
Nr.
Aktion
1.
Öffnen Sie auf dem Service-PC
den SIMATIC MANAGER und das
zugehörige Projekt Bridge.
2.
Markieren Sie nacheinander die
S7-300 Stationen und laden Sie
diese in die CPU.
3.
Öffnen Sie die Variablentabelle im
Ordner Blocks. In der
Variablentabelle sind die
Taktmerker der CPU hinterlegt.
Beobachten Sie die Variablen
durch das Brillen-Icon oder über
„View > Monitor“
(„Ansicht > Beobachten“).
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Laden und Beobachten des STEP 7-Projektes
72
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
Zugriff auf den Web-Server
Der Zugriff auf den Web- und FTP-Server des CP343-1 Advanced ist nur für die
Leitwarte zulässig. In den Firewallregeln wurde das http und ftp-Protokoll explizit
für die IP-Adresse 192.168.2.1 erlaubt.
Tabelle 8-4
Aktion
1.
Öffnen Sie auf dem PG der
Leitwarte einen Webbrowser und
geben Sie in die Adressleiste die
IP-Adresse des CP343-1
Advanced (http://192.168.2.3) ein.
Die Standard-HTML Seite öffnet
sich.
2.
Über die HTML-Seite des CPs
können Sie u. a. den
Diagnosepuffer der CPU einsehen,
Baugruppeninformationen abrufen,
den Status der Ringredundanz
überprüfen und Informationen zu
den projektierten Verbindungen
einholen.
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
r.
Zugriff auf den FTP-Server
Tabelle 8-5
Nr.
1.
Aktion
Anmerkung
Öffnen Sie auf dem PG der
Leitwarte einen FTP-Client.
Legen Sie einen neuen Server mit
folgenden Daten an:
Server: 192.168.2.3
Port: 21
User: ftp_user
Passwort: ftp_user
Übertragungsmodus: Aktiv
Verbinden Sie sich mit dem FTPServer.
Hinweis:
Verwenden Sie als FTP-Client
keinen Webbrowser, sondern ein
FTP-Client Programm.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
73
8 Bedienung der Applikation
Nr.
2.
Aktion
Anmerkung
Die Filestruktur des Advanced-CP
wird angezeigt.
Logging des Datenverkehrs
Tabelle 8-6
Aktion
1.
Öffnen Sie auf dem Syslog-Server
das Syslog Programm. Die
Meldungen des S602 V3 werden
hier angezeigt.
2.
Markieren Sie im Security
Configuration Tool das S602 V3Modul und gehen Sie über
„View > Online“ („Ansicht >
Online“) in den Online-Modus.
3.
Klicken Sie doppelt auf das Modul.
Der Online-Dialog öffnet sich.
In der ersten Registerkarte Status
erscheinen sämtliche
Informationen (Hardware, IP-/MACAdresse, Änderungsdatum der
Konfiguration…).
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Nr.
74
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
Nr.
4.
Aktion
Anmerkung
Die Registerkarten System Log,
Audit Log und Packet Filter Log
zeigen die lokalen Aufzeichnungen.
Unter Packet-Filter Log können
Sie die Aufzeichnungen entweder
in einem Ring-Puffer oder One
Shot Buffer über den Button Start
Logging starten. Die Auswahl wird
direkt angezeigt.
Der Button Start Reading aktiviert
die Anzeige im Dialogfenster.
Blocken von unbefugten Zugriffen
Nr.
Aktion
1.
Öffnen Sie auf dem Externen PC
einen FTP-Client.
Legen Sie einen neuen Server mit
folgenden Daten an:
Server: 192.168.2.3
Port: 21
User: ftp_user
Passwort: ftp_user
Übertragungsmodus: Aktiv
Verbinden Sie sich mit dem FTPServer.
2.
Der Zugriff auf das Filesystem des
CPs ist nicht möglich.
3.
Versuchen Sie die Webseite des
CPs über einen Webbrowser zu
öffnen. Auch hier ist kein Zugriff
möglich.
4.
Öffnen Sie auf dem Externen PC
den SIMATIC MANAGER und das
STEP 7 Projekt Bridge.
Copyright
Siemens AG 2012 All rights reserved
Tabelle 8-7
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Anmerkung
75
8 Bedienung der Applikation
Copyright
Siemens AG 2012 All rights reserved
Nr.
Aktion
5.
Markieren Sie eine S7-300 Station
und versuchen Sie diese in die
CPU zu laden.
6.
Ein Laden ist nicht möglich.
Anmerkung
Zugriff über benutzerspezifische Firewallregelsätze
Für die Aktivierung dieser spezifischen Firewall ist eine vorherige Anmeldung auf
der Webseite des SCALANCE S602 V3 notwendig.
Die Verbindung zum Security Modul erfolgt über HTTPS unter Verwendung der IPAdresse des externen Ports.
Tabelle 8-8
Nr.
Aktion
1.
Öffnen Sie auf dem Externen PC
die Webseite des S602 V3 über
einen Webbrowser.
https://192.168.2.2.
2.
Melden Sie sich mit dem in Kapitel
6.8.2 konfigurierten
Benutzernamen und Passwort an.
76
Anmerkung
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
Aktion
3.
Nach 30 Minuten wird der Benutzer
automatisch am SCALANCE
abgemeldet.
Wird mehr Zeit benötigt, kann die
Zeituhr neu gestartet werden.
4.
Öffnen Sie auf dem Externen PC
einen FTP-Client.
Legen Sie einen neuen Server mit
folgenden Daten an:
Server: 192.168.2.3
Port: 21
User: ftp_user
Passwort: ftp_user
Übertragungsmodus: Aktiv
Verbinden Sie sich mit dem FTPServer.
5.
Die Filestruktur des Advanced-CP
wird angezeigt.
6.
Auch der Zugriff auf die Webseite
des CPs ist durch die
benutzerspezifische Regel nun
erlaubt.
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Nr.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
77
8 Bedienung der Applikation
8.2
Bedienung im Router-Modus
Aufbau
Die folgende Grafik zeigt den Aufbau und die zugehörigen IP-Adressen der
Applikation im Router-Modus:
Abbildung 8-2
Externer PC:
172.158.2.7
Leitwarte:
172.158.2.1
X208
Service-PC:
172.158.2.6
Siemens AG 2012 All rights reserved
Syslog: 172.158.2.4
S602 V3 Extern:
172.158.2.2
S602 V3 Intern:
192.168.2.2
X208
CPU:192.168.2.5
Copyright
CP: 192.168.2.3
Mit Firewall geschützte Automatisierungszelle
78
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
8.2.1
Routing über NAT
Laden und Beobachten des STEP 7-Projektes
Tabelle 8-9
Nr.
1.
Öffnen Sie auf dem Service-PC
den SIMATIC MANAGER und das
Projekt NAT_NAPT.
2.
Markieren Sie nacheinander die
S7-300 Stationen und laden Sie
diese in die CPU.
3.
Wenn Sie nach einer
Zugangsadresse bei der Station
SIMATIC CPU gefragt werden,
wählen Sie die PROFINET
Schnittstelle des CP343-1
Advanced aus.
4.
Öffnen Sie die Variablentabelle im
Ordner Blocks. In der
Variablentabelle sind die
Taktmerker der CPU hinterlegt.
Beobachten Sie die Variablen
durch das Brillen-Icon oder über
„View > Monitor“ („Ansicht >
Beobachten“).
Siemens AG 2012 All rights reserved
Copyright
Aktion
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Anmerkung
79
8 Bedienung der Applikation
Zugriff auf den Web-Server
Tabelle 8-10
Copyright
Siemens AG 2012 All rights reserved
Nr.
Aktion
1.
Öffnen Sie auf dem PG der
Leitwarte einen Webbrowser und
geben Sie in die Adressleiste die
IP-Adresse des CP343-1
Advanced (http://172.158.2.3) ein.
Die Standard-HTML Seite öffnet
sich.
2.
Über die HTML-Seite des CPs
können Sie u. a. den
Diagnosepuffer der CPU einsehen,
Baugruppeninformationen abrufen,
den Status der Ringredundanz
überprüfen und Informationen zu
den projektierten Verbindungen
einholen.
Anmerkung
Zugriff auf den FTP-Server
Tabelle 8-11
Nr.
1.
80
Aktion
Anmerkung
Öffnen Sie auf dem PG der
Leitwarte einen FTP-Client.
Legen Sie einen neuen Server mit
folgenden Daten an:
Server: 172.158.2.3
Port: 21
Kennwort: ftp_user
Passwort: ftp_user
Transfer: Aktiv
Verbinden Sie sich mit dem FTPServer.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
Nr.
2.
Aktion
Anmerkung
Die Filestruktur des Advanced-CP
wird angezeigt.
Logging des Datenverkehrs
Tabelle 8-12
Aktion
1.
Öffnen Sie auf dem Syslog-Server
das Syslog Programm. Die
Meldungen des S602 V3 werden
hier angezeigt.
2.
Markieren Sie im Security
Configuration Tool das S602 V3Modul und gehen Sie über „View >
Online“ („Ansicht > Online“) in den
Online-Modus.
3.
Klicken Sie doppelt auf das Modul.
Der Online-Dialog öffnet sich.
In der ersten Registerkarte Status
erscheinen sämtliche
Informationen (Hardware, IP-/MACAdresse, Änderungsdatum der
Konfiguration…).
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Nr.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
81
8 Bedienung der Applikation
Nr.
4.
Aktion
Anmerkung
Die Registerkarten System Log,
Audit Log und Packet Filter Log
zeigen die lokalen Aufzeichnungen.
Unter Packet-Filter Log können
Sie die Aufzeichnungen entweder
in einem Ring-Puffer oder One
Shot Buffer über den Button Start
Logging starten. Die Auswahl wird
direkt angezeigt.
Der Button Start Reading aktiviert
die Anzeige im Dialogfenster.
Blocken von unbefugten Zugriffen
Nr.
Aktion
1.
Öffnen Sie auf dem Externen PC
einen FTP-Client.
Legen Sie einen neuen Server mit
folgenden Daten an:
Server: 172.158.2.3
Port: 21
User: ftp_user
Passwort: ftp_user
Übertragungsmodus: Aktiv
Verbinden Sie sich mit dem FTPServer.
2.
Der Zugriff auf das Filesystem des
CPs ist nicht möglich.
3.
Versuchen Sie die Webseite des
CPs über einen Webbrowser zu
öffnen (http://172.158.2.3). Auch
hier ist kein Zugriff möglich.
4.
Öffnen Sie auf dem Service-PC
den SIMATIC MANAGER und das
Projekt NAT_NAPT.
Copyright
Siemens AG 2012 All rights reserved
Tabelle 8-13
82
Anmerkung
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
Aktion
5.
Markieren Sie nacheinander die
S7-300 Stationen und laden Sie
diese in die CPU.
6.
Wenn Sie nach einer
Zugangsadresse bei der Station
SIMATIC CPU gefragt werden,
wählen Sie die PROFINET
Schnittstelle des CP343-1
Advanced aus.
7.
Ein Laden ist nicht möglich.
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Nr.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
83
8 Bedienung der Applikation
Zugriff über benutzerspezifische Firewallregelsätze
Für die Aktivierung dieser spezifischen Firewall ist eine vorherige Anmeldung auf
der Webseite des SCALANCE S602 V3 notwendig.
Die Verbindung zum Security Modul erfolgt über HTTPS unter Verwendung der IPAdresse des externen Ports.
Tabelle 8-14
Copyright
Siemens AG 2012 All rights reserved
Nr.
Aktion
1.
Öffnen Sie auf dem Externen PC
die Webseite des S602 V3 über
einen Webbrowser.
https://172.158.2.2.
2.
Melden Sie sich mit dem in
Kapitel 6.8.2 konfigurierten
Benutzernamen und Passwort an.
3.
Nach 30 Minuten wird der Benutzer
automatisch am SCALANCE
abgemeldet.
Wird mehr Zeit benötigt, kann die
Zeituhr neu gestartet werden.
4.
Öffnen Sie auf dem Externen PC
einen FTP-Client.
Legen Sie einen neuen Server mit
folgenden Daten an:
Server: 172.158.2.3
Port: 21
User: ftp_user
Passwort: ftp_user
Übertragungsmodus: Aktiv
Verbinden Sie sich mit dem FTPServer.
84
Anmerkung
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
Aktion
5.
Die Filestruktur des Advanced-CP
wird angezeigt.
6.
Auch der Zugriff auf die Webseite
des CPs (http://172.158.2.3) ist
durch die benutzerspezifische
Regel nun erlaubt.
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Nr.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
85
8 Bedienung der Applikation
8.2.2
Routing über NAPT
Laden und Beobachten des STEP 7-Projektes
Tabelle 8-15
Copyright
Siemens AG 2012 All rights reserved
Nr.
Aktion
1.
Öffnen Sie auf dem Service-PC
den SIMATIC MANAGER und das
Projekt NAT_NAPT.
2.
Markieren Sie die S7-300 Station
SIMATIC PN-CPU und laden Sie
diese in die CPU.
3.
Öffnen Sie die Variablentabelle im
Ordner Blocks. In der
Variablentabelle sind die
Taktmerker der CPU hinterlegt.
Beobachten Sie die Variablen
durch das Brillen-Icon oder über
„View > Monitor“ („Ansicht >
Beobachten“).
Anmerkung
Zugriff auf den Web-Server
Tabelle 8-16
Nr.
1.
86
Aktion
Anmerkung
Öffnen Sie auf dem PG der
Leitwarte einen Webbrowser und
geben Sie in die Adressleiste die
IP-Adresse des CP343-1
Advanced
(http://172.158.2.2:8000/) ein. Die
Standard-HTML Seite öffnet sich.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
Nr.
2.
Aktion
Anmerkung
Über die HTML Seite des CPs
können Sie u. a. den
Diagnosepuffer der CPU einsehen,
Baugruppeninformationen abrufen,
den Status der Ringredundanz
überprüfen und Informationen zu
den projektierten Verbindungen
einholen.
Zugriff auf den FTP-Server
Achten Sie darauf, dass Sie das Aktive FTP verwenden und der Client
einen zufälligen Lausch-Port an den Server sendet.
Beim Passiven FTP öffnet der Server einen neuen Port und schickt ihn an
den Client. Jedoch mit seiner eigenen IP-Adresse (hier 192.168.2.3) und
nicht die umgesetzte (172.158.2.2). Ein Verbindungsaufbau ist so nicht
möglich.
Tabelle 8-17
Nr.
Aktion
1.
Öffnen Sie auf dem PG der
Leitwarte einen FTP-Client.
Legen Sie einen neuen Server mit
folgenden Daten an:
Server: 172.158.2.2
Port: 21
User: ftp_user
Passwort: ftp_user
Transfer: Aktives FTP
Verbinden Sie sich mit dem FTPServer.
2.
Die Filestruktur des Advanced-CPs
wird angezeigt.
Copyright
Siemens AG 2012 All rights reserved
ACHTUNG
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
Anmerkung
87
8 Bedienung der Applikation
Logging des Datenverkehrs
Tabelle 8-18
Nr.
Aktion
Öffnen Sie auf dem Syslog-Server
das Syslog Programm. Die
Meldungen des S602 V3 werden
hier angezeigt.
2.
Markieren Sie im Security
Configuration Tool das S602 V3Modul und gehen Sie über „View >
Online“ („Ansicht > Online“) in den
Online-Modus.
3.
Klicken Sie doppelt auf das Modul.
Der Online-Dialog öffnet sich.
In der ersten Registerkarte Status
erscheinen sämtliche
Informationen (Hardware, IP-/MACAdresse, Änderungsdatum der
Konfiguration…).
4.
Die Registerkarten System Log,
Audit Log und Packet Filter Log
zeigen die lokalen Aufzeichnungen.
Unter Packet-Filter Log können
Sie die Aufzeichnungen entweder
in einem Ring-Puffer oder One
Shot Buffer über den Button Start
Logging starten. Die Auswahl wird
direkt angezeigt.
Der Button Start Reading aktiviert
die Anzeige im Dialogfenster.
Copyright
Siemens AG 2012 All rights reserved
1.
Anmerkung
88
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
Blocken von unbefugten Zugriffen
Tabelle 8-19
Aktion
1.
Öffnen Sie auf dem Externen PC
einen FTP-Client.
Legen Sie einen neuen Server mit
folgenden Daten an:
Server: 172.158.2.2
Port: 21
User: ftp_user
Passwort: ftp_user
Übertragungsmodus: Aktiv
Verbinden Sie sich mit dem FTPServer.
2.
Der Zugriff auf das Filesystem des
CPs ist nicht möglich.
3.
Versuchen Sie die Webseite des
CPs über einen Webbrowser zu
öffnen (http://172.158.2.2:8000/) .
Auch hier ist kein Zugriff möglich.
4.
Öffnen Sie auf dem Service-PC
den SIMATIC MANAGER und das
Projekt NAT_NAPT.
5.
Markieren Sie die S7-300 Station
SIMATIC PN-CPU und laden Sie
diese in die CPU.
6.
Ein Laden ist nicht möglich.
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Nr.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
89
8 Bedienung der Applikation
Zugriff über benutzerspezifische Firewallregelsätze
Für die Aktivierung dieser spezifischen Firewall ist eine vorherige Anmeldung auf
der Webseite des SCALANCE S602 V3 notwendig.
Die Verbindung zum Security Modul erfolgt über HTTPS unter Verwendung der IPAdresse des externen Ports.
Tabelle 8-20
Copyright
Siemens AG 2012 All rights reserved
Nr.
Aktion
1.
Öffnen Sie auf dem Externen PC
die Webseite des S602 V3 über
einen Webbrowser.
https://172.158.2.2
2.
Melden Sie sich mit dem in Kapitel
6.8.2 konfigurierten
Benutzernamen und Passwort an.
3.
Nach 30 Minuten wird der Benutzer
automatisch am SCALANCE
abgemeldet.
Wird mehr Zeit benötigt, kann die
Zeituhr neu gestartet werden.
4.
Öffnen Sie auf dem Externen PC
einen FTP-Client.
Legen Sie einen neuen Server mit
folgenden Daten an:
Server: 172.158.2.2
Port: 21
User: ftp_user
Passwort: ftp_user
Übertragungsmodus: Aktiv
Verbinden Sie sich mit dem FTPServer.
90
Anmerkung
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
8 Bedienung der Applikation
Aktion
5.
Die Filestruktur des Advanced-CP
wird angezeigt.
6.
Auch der Zugriff auf die Webseite
des CPs (http://172.158.2.2:8000/)
ist durch die benutzerspezifische
Regel nun erlaubt.
Anmerkung
Copyright
Siemens AG 2012 All rights reserved
Nr.
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747
91
9 Literaturhinweise
9
Literaturhinweise
Diese Listen sind keinesfalls vollständig und spiegeln nur eine Auswahl an
geeigneter Literatur wieder.
Literaturangaben
Tabelle 9-1
Copyright
Siemens AG 2012 All rights reserved
Themengebiet
Titel
/1/
STEP7
Automatisieren mit STEP7 in AWL und SCL
Hans Berger
Publicis MCD Verlag
ISBN 3-89578-113-4
/2/
SIMATIC NET Security
SIMATIC NET Industrial Ethernet Security Grundlagen und Anwendung
Projektierungshandbuch
http://support.automation.siemens.com/WW/view/de/56577508
/3/
Getting Started
SIMATIC NET Industrial Ethernet Security Security einrichten Getting
Started
http://support.automation.siemens.com/WW/view/de/61630590
/4/
Montagehandbuch
zum SCALANCE S602
V3
SIMATIC NET Industrial Ethernet Security SCALANCE S V3.0
Inbetriebnahme- und Montagehandbuch
http://support.automation.siemens.com/WW/view/de/56576669
Internet-Link-Angaben
Tabelle 9-2
Themengebiet
Titel
\1\
Referenz auf den
Beitrag
http://support.automation.siemens.com/WW/view/de/22376747
\2\
Siemens Industry
Online Support
http://support.automation.siemens.com
\3\
Primary Setup Tool
http://support.automation.siemens.com/WW/view/de/19440762
10
Historie
Tabelle 10-1
Version
92
Datum
Änderung
V1.0
02.03.2006
Erste Ausgabe
V2.0
01..09.2009
S612 durch S602 ersetzt.
Konfiguration im Bridge- und Routingmodus
V3.0
20.07.2012
Hardwareupdate SCALANCE S602 V3
Benutzerspezifische Firewallregeln
Überarbeitung der Kapitel
S602 V3 Firewall
V3.0, Beitrags-ID: 22376747