Wassertage 2015" Vernetzte Produkte, Vernetzte Produktion mit Sicherheit

Transkript

1 Wassertage 2015" Vernetzte Produkte, Vernetzte Produktion mit Sicherheit siemens.de/industrialsecurity

2 SIMATIC NET - Industrielle Kommunikation Ein optimal aufeinander abgestimmtes Portfolio Steigerung der Wettbewerbsfähigkeit durch höhere Mobilität und Flexibilität Netzwerkmanagement SINEMA Server SINEMA Remote Connect SIMATIC NET Selection Tool Basis für die durchgängige Vernetzung in der industriellen Automatisierung von der Feldbis in die Managementebene Seite 2 Schneller und mobiler Fernzugriff für industrielle Anwendungen Passive Komponenten Schnelle Konfektionierung vor Ort durch Verkabelungssystem FastConnect Schutz der Produktionsanlagen vor Attacken aus dem Netz und erhöht damit deren Verfügbarkeit

3 System- und Wertschöpfungsaspekte der 1 Verfügbarkeit 2 Integrität 3 Vertraulichkeit Erhöhen der Anlagenverfügbarkeit durch Vermeiden oder Reduzieren von Störungen durch Angriffe oder Schadsoftware Hohe Produktivität durch Risikominimierung Schutz der System- und Datenintegrität zum Vermeiden von Fehlfunktionen, Produktionsfehler oder Stillständen Strategie Technik/ Portfolio Innovation Slides Anwendungsbei spiele Hauptwettbewer ber S615 Hauptwettbewer ber S627 Zielkunden Promotion Support Schutz vertraulicher Daten und Informationen, sowie geistigen Eigentums Seite 3

4 Security in der SPS TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 4

5 Security in der SPS Kommunikationsprozessoren (CPs) als spezielle Netzwerkkarte in der SPS-Steuerung schützen gegen: Spionage Datenmanipulation Zufälligen Zugriff CP CP343-1 Advanced CP CP443-1 Advanced Seite 5

6 Security in der SPS Zellenschutz mit CPs für die SPS-Steuerung Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel In die Automatisierung integrierter Zellenschutz durch SIMATIC NET CPs, z.b.: CP343-1 Advanced bzw. CP443-1 Advanced Integrierte Stateful Inspection Firewall VPN (Datenverschlüsselung und Authentifizierung) NAT/NAPT (Adressumsetzung) SNMP V3 (abhörsichere Übertragung von Netzwerkanalyse-Informationen) HTTPs (Zugriff auf Webseiten mit verschlüsseltem Datenaustausch via SSL) FTPs (gesicherte Dateiübertragungen) Seite 6

7 Sichere Kommunikation TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 7

8 Sichere Kommunikation Zellenschutz mit CPs für den PC Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel In den PC integrierter Zellenschutz durch SIMATIC NET PC CP1628 Integrierte Stateful Inspection Firewall unabhängig vom Windows-Betriebssystem SNMP V3 Sichere redundante Kommunikation von PC zu hochverfügbarer S7-400H Steuerung über VPN Seite 8

9 Sichere Kommunikation mit SCADA und Leitsystemen Ab WinCC V7.3 / PCS7 8.1 Verschlüsselung der Kommunikation zwischen WinCC Server und -Client Sichere Kommunikation des Terminalbusses über SSL Verschlüsslung mit PSK statischen Ports für Kommunikation Bereich TCP/UDP (kein dynamischer Port, Firewall kann entsprechend eingerichtet werden) Migrationsmodus Hochrüsten im laufenden Betrieb (Kommunikation mit Rechnern ohne Sichere Kommunikation) Erlaubt verschlüsselte und unverschlüsselte Verbindungen. Seite 9

10 Netzwerkverfügbarkeit TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 10

11 Netzwerkverfügbarkeit Erhöhte Prozessverfügbarkeit durch Ringredundanz mit SCALANCE X Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel Ringredundanz: IT-Redundanzkonzepte wie z.b. Rapid Spanning Tree (RSTP) sind nicht eindeutig berechenbar und damit nicht deterministisch Ringredundanz mit Media Redundancy Protocol MRP garantiert Umschaltzeit von max. 200ms bei bis zu 100 erlaubten Teilnehmern im Ring Mit allen managed Switchen der SCALANCE X-200 Serie und größer kann ein MRP-Ring aufgebaut werden SIMATIC Automatiserungsysteme wie z.b. S7-300 PN/DP können durch integrierten 2-Port Switch direkt in den Ring integriert werden Seite 11

12 Netzwerkverfügbarkeit Scalance X Portfolioübersicht Mgmt. / Operations Level Control / Operations Level Field Level Managed L2/L3 Managed L2 Unmanaged X-000 X-100 X-200 X-300 X-400 X-500 Vernetzung und Strukturierung von hochperformanten industriellen Netzwerken Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule Erweiterter Funktionsumfang (IT-Funktionalität, Layer 3, Router-Redundanz) Diagnose über SNMP, Webserver, STEP 7, vor-ort-diagnose Flexible und strukturierte Vernetzung von Anlagen / Anlagenbereichen Modular erweiterbar an die jeweilige Aufgabenstellung über Port Extender Zugang zu dynamischen Gerätedaten über Near Field Communication (NFC) Bauform im SIMATIC Design (S7-1500) Vernetzung von Teilanlagen / Anlagenbereichen Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule Erweiterter Funktionsumfang (VLAN, Port Security etc.) Diagnose über SNMP, Webserver, STEP 7, vor-ort-diagnose Für maschinennahe Anwendungen bis hin zu vernetzten Teilanlagen Diagnose über SNMP, Webserver, STEP 7, vor-ort-diagnose Geräte in hoher Schutzart und PROFINET-konformer Anschlusstechnik PROFINET IRT-Device (Isochronous Real-Time) Für maschinennahe Vernetzung Vollindustrietaugliche, unmanaged Ausführung vor-ort-diagnose Für Vernetzung in kleinen Maschinen vor-ort-diagnose Seite 12

13 Netzwerkverfügbarkeit Security Funktionen der SCALANCE X Switche Konfiguration über HTTPs oder Zugriff über Secure Shell (SSH) Access Control Lists (ACL) Sperren von offenen Ports SNMP V3 Unterstützung Remote Monitoring (RMON) Benutzerauthentifizierung über Radius-Server VLAN Hinweis: nicht alle Funktionen sind in alle Geräteklassen integriert Seite 13

14 Netzwerktrennung TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 14

15 Netzwerktrennung Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen Größere Flexibilität, da nicht an die SPS gebunden Integrierte Stateful Inspection Firewall NAT/NAPT SNMP V3 Benutzerdefinierte Firewallregeln (noch nicht bei S615) Syslog Unterstützung VPN mit IPSec (S612/S623/S627) VPN mit OpenVPN (S615) Radius-Authentifizierung B I L D Hinweis: IPSec-VPN mit SCALANCE S612/S623/S627-2M, OpenVPN OpenVPN mit Scalance S615 Seite 15

16 Netzwerktrennung Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen SCALANCE S602 SCALANCE S612 SCALANCE S623 SCALANCE S627 SCALANCE S615 Router + Firewall Router + Firewall + IPSec VPN Router + Firewall + IPSec VPN + DMZ Router + Firewall + IPSec VPN + DMZ + LWL+MRP Router + Firewall + Open VPN + DMZ Für die Sicherheit Ihrer Netze und Daten. Seite 16

17 Netzwerktrennung Beispiel einer Einrichtung einer Demilitarisierten Zone (DMZ) mit einer Firewall Seite 17

18 Netzwerksicherheit Beispiel einer Router-/Firewallredundanz mit SCALANCE S623 und S627-2M Bsp 1: ohne Ring => S623 Switch Office Netzwerk Stand-by-Kopplung SCALANCE S623 Switch Produktions Netzwerk Bsp 2: mit Ring =>S627-2M SCALANCE S627-2M Stand-by-Kopplung Office Netzwerk CU oder LWL MRP-Switch MRP-Ring Seite 18 Ring-Redundanz Manager Produktions Netzwerk

19 Fernwartung mit SINEMA Remote Connect Server TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 19

20 Fernwartung mit SINEMA Remote Connect Server Typische Einsatzgebiete Anlagen- und Maschinenbau Energieverteilung / Unterstationen (Stadtwerke) Logistik / Hafenlogistik ITS / Verkehrsbetriebe Wasser & Abwasser (Stadtwerke, ) Konfigurationsbeispiel SINEMA RC - Gesamtübersicht Seite 20

21 Fernwartung mit SINEMA Remote Connect Server Funktion Transparente IP-Kommunikation VPN Konzentrator Einsetzbar für Maschinen mit identischen lokalen Subnetzen (NAT) Gruppenverwaltung Einfach konfigurierbare Netzkomponente für die Automatisierungstechnik Autokonfiguration der Endgeräte und SINEMA RC Client einfaches Nutzerinterface Logging u u u u Vorteile Breites Einsatzfeld von Remote Service bis Remote Control Sichere und einfache Einwahl in die Anlagen von jedem Punkt der Welt Optimale Anbindung von identischen Maschinen z.b. für Serienmaschinenbauer und OEM Einfache Verwaltung verschiedener Nutzer (Servicetechniker) Einfache Integration in Industrieanlagen u kein spezielles IT KnowHow erforderlich u Erfüllung von Nachweispflichten gegenüber Betreiber / Endkunden bei jedem Fernzugriff durch OEM Seite 21

22 Fernwartung mit SINEMA Remote Connect Server Vorteile Hohe Sicherheit bei maximaler Flexibilität Abhör- und übernahmesichere Verschlüsselung (bis 4096 Bit) Zahl Verbindungen / Geräte unbegrenzt, stufenlos skalierbar Kontrollierte Freischaltung / Sperrung des Wartungsobjekts Direkter Support und sehr hohe Funktionalität Support rund um die Uhr 365 Tage im Jahr Beratung und Unterstützung bei der Einrichtung des Systems Unterstützung der gängigen / etablierten VPN-Standards Durchgängiges Siemens Netzwerk Zuverlässige und robuste Hardware Gesamtlösung aus einer Hand für garantierte Kompatibilität Seite 22

23 Netzwerkmonitoring mit SINEMA Server TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 23

24 Netzwerkmonitoring mit SINEMA Server SINEMA Server V13 Inventarerstellung kontinuierliches Monitoring flexibles Reporting Transparente Netzwerke Seite 24

25 Netzwerkmonitoring mit Sinema Server Topologie Startbildschirm Reports Ereignisliste Topologie Ansicht Serverübersicht Seite 25

26 Anwendungsgebiete für Industrial Remote Communication Fernwirken (Telecontrol) Steuern und Regeln von weit verteilten Anlagen Fernwarten (Teleservice) Warten und Instandhalten von Maschinen und Anlagen Sonstige Datenübertragung Zum Beispiel Videoüberwachung in Bussen und Bahnen Seite 26

27 TeleControl Professional Neu: CP IRC im Portfolio Leistung 500 bis I/O bis I/O S7-400 PS, CPU 414, TIM 4R-IE DNP3 S7-300 PS, CPU 313C, TIM 3V-IE DNP3 bis 150 I/O S PM, CPU 1212C, CP DNP3 / IEC CPU 1215C, CP IRC, TS Module RS232 Preis Seite 27

28 Vorteile des Kommunikationsprozessors CP IRC CP IRC für TeleControl Professional Funktion CP IRC für SINAUT ST7 u Vorteile Einsatz der SIMATIC S als preisgünstige, modulare RTU in Neuund Bestandsanlagen Erweiterung von ST7-Bestandsanlagen u Schutz von Investment Zwei WAN-Anschlüsse: 1) Ethernet: RJ45-Port 2) über TS Module konfigurierbar Datenpufferung von bis zu Datentelegrammen u u Hohe Schnittstellen-Flexibilität Wegeredundanz zur Erhöhung der Verfügbarkeit Lückenlose Datenaufzeichnung auch bei Verbindungsausfall Security-Features VPN und Firewall u Schutz vor Datenmanipulation und Fremdzugriffen Datenpunktprojektierung mit STEP 7 u Einfache Inbetriebnahme ohne Programmierung Seite 28

29 Erweiterungsmodule für CP IRC WAN-Schnittstellen des CP IRC 1x Ethernet: RJ45-Port on-board 1x konfigurierbar mit Erweiterungsmodul Erweiterungsmodul = Teleservice Modul (TS Modul) TS Module Funktionalität TS MODULE RS232 Serielle Schnittstelle RS232 TS MODULE MODEM Analoges Wählmodem TS MODULE ISDN TS MODULE GSM GSM-Modem Beispielkonfiguration ISDN-Modem TS MODULE RS232 CP IRC CPU 1200 Seite 29

30 CP IRC für IP basierende und klassische WAN Netz CP IRC SIEMENS SIMATIC S CPU1214C Classic WAN IP based WAN TS-Module Analog TS-Module ISDN TS-Module GSM TS-Module RS232 CP IRC mit integrierter IE Schnittstelle (RJ45) TS-Module CP IRC S CP IRC S Neben der integrierten Industrial Ethernet Schnittstelle kann der CP IRC durch Stecken eines TS-Modules um eine serielle Schnittstelle erweitert werden Seite 30

31 TeleControl Professional: Feature-Übersicht CPs für S þ Gerät WAN- Schnittstellen Protokolle Daten-Handling Security Alarme RJ45- Port zweite Schnittstelle 1) DNP3 IEC SINAUT ST7 S7- Kommunikation Open User Communication (T-Bausteine) Zugriff auf Webserver der CPU Datenpuffer bei Verbindungsabbruch Datenpunktprojektierung Firewall VPN SMS CP DNP3 CP IEC CP IRC 2) 1) mittels TS Module RS232, analoges Modem, ISDN, GSM 2) mit MODEM MD720 Seite 31

32 Funktionen CP IRC (3) Virtual Private Network (IPsec) Durch die Anbindung der S über ein VPN-Netzwerk wird sichergestellt, dass nur authentifizierte Netzwerkteilnehmer mit der Steuerung kommunizieren. Durch sichere Verschlüsselung der Daten und Überprüfung der Datenintegrität wird der Datenverkehr vor Spionage und Manipulation geschützt. Stateful Inspection Firewall Durch die Verwendung einer Firewall kann die S zusätzlich vor unautorisierten Zugriffen und Manipulationsversuchen geschützt werden. Die Firewall filtert Datenpakete und überprüft die Kommunikations-verbindungen gemäß einer Filterliste. Sowohl eingehende, als auch ausgehende Kommunikationen werden auf IP- und MAC-Adressen Basis gefiltert. Seite 35 Sicherer Engineering-Zugriff auf die S S with CP IRC

33 Voraussetzungen für den Betrieb des CP IRC HW Voraussetzung für CP143-8 IRC S CPU Firmware Version 4.1 oder höher V4.1 SW Voraussetzung zur Projektierung des CP IRC TIA Portal V13 SP1 Update2 (oder höher) + Support Package 0111 STEP7 V5.5 SP4 + ST7 Engineering Tool V5.5 für die Netzprojektierung und integration in bestehende ST7 Anlagen Seite 36

34 Microfair Dennis Kortstock Siemens AG Promotion für Industrielle Kommunikation Tel: +49 (172) Astrid Penner Siemens AG Promotion für Industrielle Kommunikation Tel: +49 (152) Seite 38