GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

Transkript

1 Vorwort 1 Firewall im Standard Modus 2 SIMATIC NET Industrial Ethernet Security Firewall im Erweiterten Modus 3 VPN-Tunnel konfigurieren 4 Fernzugriff über VPN-Tunnel konfigurieren 5 Getting Started 04/2012 C79000-G8900-C287-01

2 Rechtliche Hinweise Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Industry Sector Postfach NÜRNBERG DEUTSCHLAND Dokumentbestellnummer: C79000-G8900-C P 04/2012 Änderungen vorbehalten Copyright Siemens AG Alle Rechte vorbehalten

3 Inhaltsverzeichnis 1 Vorwort Firewall im Standard Modus Beispiel mit einem SCALANCE S Übersicht SCALANCE S und Netzwerk einrichten IP-Einstellungen der PCs einrichten Projekt und Modul anlegen Firewall projektieren Konfiguration in Security-Modul laden Firewallfunktion testen (Ping-Test) Firewall-Datenverkehr aufzeichnen (Logging) Beispiel mit einem CP x43-1 Advanced Übersicht IP-Einstellungen der PCs einrichten Projekt und Modul anlegen Firewall projektieren Konfiguration in Security-Modul laden Firewallfunktion testen (Ping-Test) Firewall-Datenverkehr aufzeichnen (Logging) Beispiel mit einem CP Übersicht IP-Einstellungen der PCs einrichten Projekt und Modul anlegen Firewall projektieren Konfiguration in Security-Modul laden Firewallfunktion testen (Ping-Test) Firewall-Datenverkehr aufzeichnen (Logging) Firewall im Erweiterten Modus SCALANCE S als Firewall und NAT-Router Übersicht SCALANCE S und Netzwerk einrichten IP-Einstellungen der PCs einrichten Projekt und Modul anlegen NAT-Router-Betrieb projektieren Firewall projektieren Konfiguration in Security-Modul laden NAT-Router-Funktion testen (Ping-Test) Benutzerspezifische Firewall-Regeln anlegen Übersicht SCALANCE S und Netzwerk einrichten IP-Einstellungen der PCs einrichten Projekt und Modul anlegen Remote Access Benutzer anlegen...54 Getting Started, 04/2012, C79000-G8900-C

4 Inhaltsverzeichnis Benutzerspezifische Firewall-Regeln einstellen und zuweisen Konfiguration in Security-Modul laden Auf Websseite anmelden Firewallfunktion testen (Ping-Test) CP x43-1 Advanced als Firewall und NAT-Router Übersicht IP-Einstellungen der PCs einrichten Projekt und Modul anlegen NAT-Router-Betrieb projektieren Firewall projektieren Konfiguration in Security-Modul laden NAT-Router-Funktion testen (Ping-Test) Beispiel mit einem CP 1628 und CP x Übersicht IP-Einstellungen der PCs einrichten Projekt und Modul anlegen Firewall projektieren Konfiguration in Security-Modul laden Firewallfunktion testen (Ping-Test) VPN-Tunnel konfigurieren VPN-Tunnel zwischen SCALANCE S und SCALANCE S Übersicht SCALANCE S und Netzwerk einrichten IP-Einstellungen der PCs einrichten Projekt und Module anlegen Tunnelverbindung projektieren Konfiguration in SCALANCE S laden Tunnelfunktion testen (Ping-Test) VPN-Tunnel zwischen CP 1628 und CP x Übersicht IP-Einstellungen der PCs einrichten Projekt und Module anlegen Tunnelverbindung projektieren Konfiguration in Security-Modul laden Tunnelfunktion testen (Ping-Test) VPN-Tunnel zwischen SCALANCE S und CP Übersicht Security-Modul und Netzwerk einrichten IP-Einstellungen der PCs einrichten Projekt und Module anlegen Tunnelverbindung projektieren Konfiguration in Security-Modul laden Tunnelfunktion testen (Ping-Test) VPN-Tunnel zwischen allen Security-Produkten Übersicht IP-Einstellungen der PCs einrichten Projekt und Module anlegen Tunnelverbindung projektieren Getting Started, 04/2012, C79000-G8900-C287-01

5 Inhaltsverzeichnis Konfiguration in Security-Modul laden und SOFTNET Security Client Konfiguration abspeichern Tunnelaufbau mit dem SOFTNET Security Client Tunnelfunktion testen (Ping-Test) Fernzugriff über VPN-Tunnel konfigurieren Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client Übersicht SCALANCE S und Netzwerk einrichten IP-Einstellungen der PCs einrichten Projekt und Module anlegen Tunnelverbindung projektieren Konfiguration in SCALANCE S laden und SOFTNET Security Client Konfiguration abspeichern Tunnelaufbau mit dem SOFTNET Security Client Tunnelfunktion testen (Ping-Test) Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Übersicht IP-Einstellungen der PCs einrichten Projekt und Module anlegen Tunnelverbindung projektieren Konfiguration in Security-Modul laden und SOFTNET Security Client Konfiguration abspeichern Tunnelaufbau mit dem SOFTNET Security Client Tunnelfunktion testen (Ping-Test) Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Übersicht SCALANCE M und Netzwerk einrichten IP-Einstellungen der PCs einrichten Projekt und Module anlegen Tunnelverbindung projektieren Konfiguration des SCALANCE M und des SOFTNET Security Client abspeichern Konfiguration des SCALANCE M vornehmen Tunnelaufbau mit dem SOFTNET Security Client Tunnelfunktion testen (Ping-Test) Getting Started, 04/2012, C79000-G8900-C

6 Inhaltsverzeichnis 6 Getting Started, 04/2012, C79000-G8900-C287-01

7 Vorwort 1 Schnell zum Ziel mit Getting Started Anhand eines einfachen Test-Netzwerkes lernen Sie hier den Umgang mit den Security- Modulen und dem Projektierwerkzeug Security Configuration Tool kennen. Sie sehen, wie sich bereits ohne großen Projektieraufwand die Schutzfunktionen von Security-Modulen im Netz realisieren lassen. Sie können hierbei an unterschiedlichen Sicherheits-Beispielen die Grundfunktionen der Security-Module und des SOFTNET Security Client realisieren. IP-Einstellungen der Beispiele Hinweis Die in den Beispielen verwendeten IP-Einstellungen sind frei gewählt und funktionieren im isolierten Test-Netz konfliktfrei. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Gültigkeitsbereich des Getting Started Projektierungssoftware: STEP 7 classic V5.5 SP2 Hotfix 1 Security Configuration Tool (SCT) ab V3.0 Produkte: "Security Appliances": SCALANCE S 602 ab V3.0, Bestellnummer: 6GK BA10-2AA3 SCALANCE S 612 ab V3.0, Bestellnummer: 6GK BA10-2AA3 SCALANCE S 623 ab V3.0, Bestellnummer: 6GK BA10-2AA3 SOFTNET Security Client ab V4.0, Bestellnummer: 6GK VW02-0AA0 "Security Integrated"-Produkte: CP Advanced GX30 ab V3.0, Bestellnummer: 6GK GX31-0XE0 CP Advanced GX31 ab V3.0, Bestellnummer: 6GK GX30-0XE0 CP 1628 ab V1.0, Bestellnummer: 6GK1162-8AA00 SCALANCE M 875 ab V1.0, Bestellnummer: 6GK AA10-1AA2 SINAUT MD741-1 ab 2.x, Bestellnummer: 6NH9741-1AA00 Getting Started, 04/2012, C79000-G8900-C

8 Vorwort Allgemeine Benennung "Security-Modul" In der vorliegenden Dokumentation werden die folgenden Produkte unter der Benennung "Security-Modul" zusammengefasst: CP Advanced GX31, CP Advanced GX30, CP 1628, SCALANCE S 602 V3/SCALANCE S 612 V3/SCALANCE S 623 V3. Die CPs Advanced GX31, und Advanced GX30 werden als CP x43-1 bezeichnet. SCALANCE M 875 und SINAUT MD7x werden als SCALANCE M bezeichnet. Wenn Sie mehr wissen möchten Weitere Informationen zum Thema "Industrial Ethernet Security" entnehmen Sie bitte dem Projektierungshandbuch "SIMATIC NET Industrial Ethernet Security - Grundlagen und Anwendung". Dort wird die gesamte Funktionalität sowie die Projektierungssoftware Security Configuration Tool detaillierter beschrieben. Eine aktuelle Ausgabe finden Sie im Internet unter der Beitrags-ID: ( Hardwarebeschreibungen und Hinweise zur Installation finden Sie in den Dokumenten der einzelnen Baugruppen. 8 Getting Started, 04/2012, C79000-G8900-C287-01

9 Firewall im Standard Modus Beispiel mit einem SCALANCE S Übersicht In diesem Beispiel projektieren Sie die Firewall in der Projektierungssicht "Standard Modus". Der Standard Modus beinhaltet vordefinierte Regelsätze für den Datenverkehr. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur vom internen Netz initiiert werden kann; aus dem externen Netz wird nur die Antwort zugelassen. Aufbau des Testnetzes Getting Started, 04/2012, C79000-G8900-C

10 Firewall im Standard Modus 2.1 Beispiel mit einem SCALANCE S Internes Netzwerk - Anschluss an den internen Port des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC2: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul: SCALANCE S-Modul zum Schutz des internen Netzwerks Externes Netzwerk - Anschluss an den externen Port des Security-Moduls Das öffentliche, externe Netzwerk wird an den externen Port des Security-Moduls angeschlossen. PC1: PC mit der Konfigurationssoftware Security Configuration Tool Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: 1x SCALANCE S, (zusätzlich optional: eine entsprechend montierte Hutschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x PC auf dem das Projektierungswerkzeug Security Configuration Tool installiert ist 1x PC im internen Netz für den Test der Konfiguration die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Die folgenden Schritte in der Übersicht: SCALANCE S und Netzwerk einrichten Gehen Sie so vor: 1. Packen Sie zunächst das SCALANCE S aus und überprüfen Sie den unbeschädigten Zustand. 10 Getting Started, 04/2012, C79000-G8900-C287-01

11 Firewall im Standard Modus 2.1 Beispiel mit einem SCALANCE S 2. Schließen Sie die Spannungsversorgung an SCALANCE S an. Ergebnis: Nach dem Anschließen der Betriebsspannung leuchtet die Fault-LED (F) gelb. WARNUNG Das Gerät SCALANCE S ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/ VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S muss NEC Class 2 entsprechen (Spannungsbereich V, Strombedarf ca. 250 ma). 3. Stellen Sie jetzt die physikalischen Netzwerkverbindungen her, indem Sie die Stecker der Netzwerkkabel in die dafür vorgesehenen Ports (RJ45-Buchsen) stecken: Verbinden Sie PC2 mit Port 2 von Modul 1. Verbinden Sie PC1 mit Port 1 von Modul Schalten Sie jetzt die beteiligten PCs ein. ACHTUNG Die Ethernet-Anschlüsse an Port 1 und Port 2 werden vom SCALANCE S unterschiedlich behandelt und dürfen deshalb beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: Port 1 - External Network obere RJ45-Buchse, rote Markierung = ungeschützter Netzwerk-Bereich; Port 2 - Internal Network untere RJ45-Buchse, grüne Markierung = durch SCALANCE S geschütztes Netzwerk; Beim Vertauschen der Ports verliert das Gerät seine Schutzfunktion IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske Standardgateway PC PC Gehen Sie dazu jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. Getting Started, 04/2012, C79000-G8900-C

12 Firewall im Standard Modus 2.1 Beispiel mit einem SCALANCE S 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Modul anlegen Gehen Sie so vor: 1. Installieren und starten Sie die Projektierungssoftware Security Configuration Tool auf PC1. 12 Getting Started, 04/2012, C79000-G8900-C287-01

13 Firewall im Standard Modus 2.1 Beispiel mit einem SCALANCE S 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Projekt ist angelegt. Der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" öffnet sich. 5. Konfigurieren Sie Produkttyp, Baugruppe und Firmwarerelease. 6. Geben Sie im Bereich "Konfiguration" die MAC-Adresse im vorgegebenen Format ein. Die MAC-Adresse ist auf der Frontseite des SCALANCE S-Moduls aufgedruckt (siehe Bild). 7. Geben Sie im Bereich "Konfiguration" die externe IP-Adresse ( ) und die externe Subnetzmaske ( ) im vorgegebenen Format ein und bestätigen Sie den Dialog mit "OK". Ergebnis: Das Modul wird in die Liste der konfigurierten Module angezeigt Firewall projektieren Im Standard Modus ist eine einfache Bedienung der Firewall-Einstellungen durch vordefinierte Regelsätze gegeben. Durch Anklicken können diese Regelsätze aktiviert werden. Gehen Sie so vor: 1. Markieren Sie im Inhaltsbereich die Zeile "Modul1". Getting Started, 04/2012, C79000-G8900-C

14 Firewall im Standard Modus 2.1 Beispiel mit einem SCALANCE S 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften ". 3. Wählen Sie im aufgeblendeten Dialog das Register "Firewall". 4. Schalten Sie die Option wie nachfolgend dargestellt ein: Ergebnis: Der IP-Verkehr wird nur vom internen Netzwerk initiiert; aus dem externen Netzwerk wird nur die Antwort zugelassen. Der Zugriff über HTTPS zur Online-Diagnose von PC1 auf PC2 ist zugelassen. 5. Wählen Sie zusätzlich die Log-Optionen an, um den Datenverkehr aufzuzeichnen. 6. Schließen Sie den Dialog mit "OK" ab. 7. Speichern Sie das Projekt mit dem Menübefehl "Projekt" > "Speichern unter " unter einem zweckmäßigen Namen ab. 14 Getting Started, 04/2012, C79000-G8900-C287-01

15 Firewall im Standard Modus 2.1 Beispiel mit einem SCALANCE S Konfiguration in Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie im Inhaltsbereich das Modul. 2. Wählen Sie den Menübefehl "Übertragen" > "An Modul ". 3. Starten Sie den Ladevorgang über die Schaltfläche "Starten". Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das SCALANCE S-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. Ergebnis: SCALANCE S im Produktivbetrieb SCALANCE S befindet sich jetzt im Produktivbetrieb. Dieser Betriebszustand wird von der Fault-Anzeige-LED durch grünes Licht signalisiert. Die Inbetriebsetzung der Konfiguration ist damit abgeschlossen und SCALANCE S schützt jetzt über die eingerichtete Firewall das interne Netz (PC2) Firewallfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Getting Started, 04/2012, C79000-G8900-C

16 Firewall im Standard Modus 2.1 Beispiel mit einem SCALANCE S Testabschnitt 1 Testen Sie nun die Funktion der Firewall-Konfiguration zunächst bei zugelassenem abgehenden IP-Datenverkehr wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC2 an den PC1 (IP-Adresse ) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, den Befehl "ping " ein. Sie erhalten folgende Meldung (positive Antwort von PC1): Ergebnis Wenn die IP-Telegramme PC1 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Die Ping-Telegramme konnten aufgrund der Projektierung vom internen Netz ins externe Netz gelangen. Der PC im externen Netz hat auf die Ping-Telegramme geantwortet. Durch die "Stateful-Inspection"-Funktion der Firewall werden die Antworttelegramme, die nun vom externen Netz kommen, automatisch ins interne Netz weitergeleitet. Testabschnitt 2 Testen Sie nun die Funktion der Firewall-Konfiguration bei gesperrtem abgehenden IP- Datenverkehr wie folgt: 1. Rufen Sie erneut den Firewall-Dialog, wie bereits vorher durchgeführt, auf. 2. Schalten Sie im Register "Firewall" die Option "Erlaube IP-Verkehr" > "Extern -> Intern" wieder aus. Schließen Sie den Dialog mit "OK". 16 Getting Started, 04/2012, C79000-G8900-C287-01

17 Firewall im Standard Modus 2.1 Beispiel mit einem SCALANCE S 3. Laden Sie jetzt die geänderte Konfiguration erneut auf das Security-Modul. 4. Nach fehlerfrei durchgeführtem Ladevorgang geben Sie das gleiche Ping-Kommando ("ping ") im Fenster der Eingabeaufforderung von PC2 ein. Sie erhalten daraufhin folgende Meldung (keine Antwort von PC1): Ergebnis Die IP-Telegramme von PC2 können PC1 nicht erreichen, da der Datenverkehr aus dem "internen Netz" (PC2) zum "externen" Netz (PC1) nicht erlaubt ist. Das wird in der "Ping-Statistik" für folgendermaßen angegeben: Gesendet = 4 Empfangen = 0 Verloren = 4 (100% Verlust) Firewall-Datenverkehr aufzeichnen (Logging) Bei den Security-Modulen ist standardmäßig die lokale Aufzeichnung von System-, Auditund Paketfilter-Ereignissen eingeschaltet. Zusätzlich haben Sie im Verlauf dieses Beispieles bei der Firewall-Projektierung die Log- Optionen für den entsprechenden Datenverkehr aktiviert. Sie können im Online-Modus die aufgezeichneten Ereignisse ausgeben lassen. Gehen Sie so vor: 1. Wechseln Sie auf PC1 im Security Configuration Tool mit dem Menübefehl "Ansicht" > "Online" in die Online-Betriebsart. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Online Diagnose ". 3. Wählen Sie das Register "Paketfilter-Log". Getting Started, 04/2012, C79000-G8900-C

18 Firewall im Standard Modus 2.1 Beispiel mit einem SCALANCE S 4. Betätigen Sie die Schaltfläche "Starte Lesen". 5. Quittieren Sie den aufgeblendeten Dialog mit OK. Ergebnis: Die Log-Einträge werden aus dem Security-Modul ausgelesen und hier ausgegeben. 18 Getting Started, 04/2012, C79000-G8900-C287-01

19 Firewall im Standard Modus 2.2 Beispiel mit einem CP x43-1 Advanced 2.2 Beispiel mit einem CP x43-1 Advanced Übersicht In diesem Beispiel projektieren Sie die Firewall in der Projektierungssicht "Standard Modus". Der Standard Modus beinhaltet vordefinierte Regelsätze für den Datenverkehr. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur vom internen Netz sowie von der Station initiiert werden kann; aus dem externen Netz wird nur die Antwort zugelassen. Aufbau des Testnetzes Internes Netzwerk - Anschluss an einen internen Port des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch einen PC realisiert, der an einen internen Port des Security-Moduls angeschlossen ist. PC2: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul: CP x43-1 zum Schutz des internen Netzwerks Externes Netzwerk - Anschluss an den externen Port des Security-Moduls Das öffentliche, externe Netzwerk wird an den externen Port des Security-Moduls angeschlossen. PC1: PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7 Getting Started, 04/2012, C79000-G8900-C

20 Firewall im Standard Modus 2.2 Beispiel mit einem CP x43-1 Advanced Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware Security Configuration Tool ist auf PC1 installiert. STEP 7 ist auf PC1 installiert und es ist bereits ein STEP 7 Projekt mit dem Security- Modul angelegt. Die IP-Adresse von PC1 muss im selben Subnetz liegen wie die Gigabit-Adresse des Security-Moduls. CP x43-1 hat in STEP 7 die folgenden Einstellungen: Gigabit IP-Adresse: , Subnetzmaske: PROFINET IP-Adresse: , Subnetzmaske: Die folgenden Schritte in der Übersicht: IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske Standardgateway PC PC Gehen Sie dazu jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 20 Getting Started, 04/2012, C79000-G8900-C287-01

21 Firewall im Standard Modus 2.2 Beispiel mit einem CP x43-1 Advanced 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Modul anlegen Gehen Sie so vor: 1. Aktivieren Sie in den Objekteigenschaften im Register "Security" das Optionskästchen "Security aktivieren". Getting Started, 04/2012, C79000-G8900-C

22 Firewall im Standard Modus 2.2 Beispiel mit einem CP x43-1 Advanced 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Security-Projekt ist angelegt. 3. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Ergebnis: Das Security-Modul wird in der Liste der konfigurierten Module angezeigt Firewall projektieren Im Standard Modus ist eine einfache Bedienung der Firewall-Einstellungen durch vordefinierte Regelsätze gegeben. Durch Anklicken können diese Regelsätze aktiviert werden. Gehen Sie so vor: 1. Markieren Sie im Inhaltsbereich vom Security Configuration Tool die Zeile mit dem CP. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften ". 3. Wählen Sie im aufgeblendeten Dialog das Register "Firewall". 4. Aktivieren Sie das Kontrollkästchen "Firewall aktivieren". 22 Getting Started, 04/2012, C79000-G8900-C287-01

23 Firewall im Standard Modus 2.2 Beispiel mit einem CP x43-1 Advanced 5. Schalten Sie die Optionen wie nachfolgend dargestellt ein: Ergebnis: Der IP-Verkehr kann vom internen Netzwerk sowie von der Station intiiert werden; aus dem externen Netzwerk wird nur die Antwort zugelassen. Der Zugriff über HTTPS zur Online-Diagnose von PC1 auf PC2 ist zugelassen. 6. Wählen Sie zusätzlich die Log-Optionen an, um den entsprechenden Datenverkehr aufzuzeichnen. 7. Schließen Sie den Dialog mit "OK" ab Konfiguration in Security-Modul laden Gehen Sie so vor: 1. Schließen Sie das Security Configuration Tool. Getting Started, 04/2012, C79000-G8900-C

24 Firewall im Standard Modus 2.2 Beispiel mit einem CP x43-1 Advanced 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security-Modul automatisch und die neue Konfiguration ist aktiviert. Ergebnis: Security-Modul im Produktivbetrieb Die Inbetriebsetzung der Konfiguration ist abgeschlossen. Das Security-Modul schützt das interne Netz (PC2). Abgehender IP-Verkehr vom internen ins externe Netz ist erlaubt Firewallfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 Testen Sie nun die Funktion der Firewall-Konfiguration zunächst bei zugelassenem abgehenden IP-Datenverkehr wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 24 Getting Started, 04/2012, C79000-G8900-C287-01

25 Firewall im Standard Modus 2.2 Beispiel mit einem CP x43-1 Advanced 2. Eingabe des Ping-Kommandos von PC2 an den PC1 (IP-Adresse ) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, den Befehl "ping " ein. Sie erhalten folgende Meldung (positive Antwort von PC1): Ergebnis Wenn die IP-Telegramme PC1 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Die Ping-Telegramme konnten aufgrund der Projektierung vom internen Netz ins externe Netz gelangen. Der PC im externen Netz hat auf die Ping-Telegramme geantwortet. Durch die "Stateful-Inspection"-Funktion der Firewall werden die Antworttelegramme, die nun vom externen Netz kommen, automatisch ins interne Netz weitergeleitet. Testabschnitt 2 Testen Sie nun die Funktion der Firewall-Konfiguration bei gesperrtem abgehenden IP- Datenverkehr wie folgt: 1. Rufen Sie erneut den Firewall-Dialog, wie bereits vorher durchgeführt, auf. 2. Schalten Sie im Register "Firewall" die Option "Erlaube IP-Verkehr" > "Station => Extern / Intern => Extern" wieder aus. Schließen Sie den Dialog mit "OK". Getting Started, 04/2012, C79000-G8900-C

26 Firewall im Standard Modus 2.2 Beispiel mit einem CP x43-1 Advanced 3. Laden Sie jetzt die geänderte Konfiguration erneut auf das Security-Modul. 4. Nach fehlerfrei durchgeführtem Ladevorgang geben Sie das gleiche Ping-Kommando ("ping ") im Fenster der Eingabeaufforderung von PC2 ein. Sie erhalten daraufhin folgende Meldung (keine Antwort von PC1): Ergebnis Die IP-Telegramme von PC2 können PC1 nicht erreichen, da der Datenverkehr aus dem "internen Netz" (PC2) sowie von der Station zum "externen" Netz (PC1) nicht erlaubt ist. Das wird in der "Ping-Statistik" für folgendermaßen angegeben: Gesendet = 4 Empfangen = 0 Verloren = 4 (100% Verlust) Firewall-Datenverkehr aufzeichnen (Logging) Bei den Security-Modulen ist standardmäßig die lokale Aufzeichnung von System-, Auditund Paketfilter-Ereignissen eingeschaltet. Zusätzlich haben Sie im Verlauf dieses Beispieles bei der Firewall-Projektierung die Log- Optionen für den entsprechenden Datenverkehr aktiviert. Sie können im Online-Modus die aufgezeichneten Ereignisse ausgeben lassen. Gehen Sie so vor: 1. Wechseln Sie auf PC1 im Security Configuration Tool mit dem Menübefehl "Ansicht" > "Online" in die Online-Betriebsart. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Online Diagnose ". 3. Wählen Sie das Register "Paketfilter Log". 26 Getting Started, 04/2012, C79000-G8900-C287-01

27 Firewall im Standard Modus 2.3 Beispiel mit einem CP Betätigen Sie die Schaltfläche "Starte Lesen". 5. Quittieren Sie den aufgeblendeten Dialog mit OK. Ergebnis: Die Log-Einträge werden aus dem Security-Modul ausgelesen und hier ausgegeben. 2.3 Beispiel mit einem CP Übersicht In diesem Beispiel projektieren Sie die Firewall in der Projektierungssicht "Standard Modus". Der Standard Modus beinhaltet vordefinierte Regelsätze für den Datenverkehr. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur von PC2 initiiert werden kann; aus dem externen Netz wird nur die Antwort zugelassen. Aufbau des Testnetzes PC1: PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7 PC2 und Security-Modul: PC mit CP 1628 Getting Started, 04/2012, C79000-G8900-C

28 Firewall im Standard Modus 2.3 Beispiel mit einem CP 1628 Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware Security Configuration Tool ist auf PC1 installiert. STEP 7 ist auf PC1 installiert und es ist bereits ein STEP 7 Projekt mit dem Security- Modul angelegt. PC2 mit CP 1628 hat in STEP 7 die folgenden Einstellungen: IP-Adresse Industrial Ethernet: , Subnetzmaske: Die NDIS IP-Adresse wird in den IP-Einstellungen des PCs eingerichtet. Die folgenden Schritte in der Übersicht: IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske PC PC2 NDIS: Gehen Sie dazu jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 28 Getting Started, 04/2012, C79000-G8900-C287-01

29 Firewall im Standard Modus 2.3 Beispiel mit einem CP Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Modul anlegen Gehen Sie so vor: 1. Aktivieren Sie in den Objekteigenschaften im Register "Security" das Optionskästchen "Security aktivieren". Getting Started, 04/2012, C79000-G8900-C

30 Firewall im Standard Modus 2.3 Beispiel mit einem CP Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Security-Projekt ist angelegt. 3. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Ergebnis: Das Security-Modul wird in der Liste der konfigurierten Module angezeigt Firewall projektieren Im Standard Modus ist eine einfache Bedienung der Firewall-Einstellungen durch vordefinierte Regelsätze gegeben. Durch Anklicken können diese Regelsätze aktiviert werden. Gehen Sie so vor: 1. Markieren Sie im Inhaltsbereich vom Security Configuration Tool die Zeile mit dem CP Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften ". 3. Wählen Sie im aufgeblendeten Dialog das Register "Firewall". 30 Getting Started, 04/2012, C79000-G8900-C287-01

31 Firewall im Standard Modus 2.3 Beispiel mit einem CP Schalten Sie die Optionen wie nachfolgend dargestellt ein: Ergebnis: Der IP-Verkehr kann nur von PC2 initiiert werden; von PC1 wird nur die Antwort zugelassen. Der Zugriff über HTTPS zur Online-Diagnose von PC1 auf PC2 ist zugelassen. 5. Wählen Sie zusätzlich die Log-Optionen an, um den Datenverkehr aufzuzeichnen. 6. Schließen Sie den Dialog mit "OK" ab Konfiguration in Security-Modul laden Gehen Sie so vor: 1. Schließen Sie das Security Configuration Tool. Getting Started, 04/2012, C79000-G8900-C

32 Firewall im Standard Modus 2.3 Beispiel mit einem CP Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security-Modul automatisch und die neue Konfiguration ist aktiviert. Ergebnis: Security-Modul im Produktivbetrieb Die Inbetriebsetzung der Konfiguration ist abgeschlossen. Das Security-Modul schützt PC2. Abgehender IP-Verkehr vom externen Netz zur PC2 ist erlaubt Firewallfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 Testen Sie nun die Funktion der Firewall-Konfiguration zunächst bei zugelassenem abgehenden IP-Datenverkehr wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 32 Getting Started, 04/2012, C79000-G8900-C287-01

33 Firewall im Standard Modus 2.3 Beispiel mit einem CP Eingabe des Ping-Kommandos von PC2 an den PC1 (IP-Adresse ) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, den Befehl "ping " ein. Sie erhalten folgende Meldung (positive Antwort von PC1): Ergebnis Wenn die IP-Telegramme PC1 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Die Ping-Telegramme konnten aufgrund der Projektierung von PC2 zu PC1 gelangen. Der PC1 hat auf die Ping-Telegramme geantwortet. Durch die "Stateful-Inspection"-Funktion der Firewall werden die Antworttelegramme, die nun vom PC1 kommen, automatisch zu PC2 weitergeleitet Firewall-Datenverkehr aufzeichnen (Logging) Bei den Security-Modulen ist standardmäßig die lokale Aufzeichnung von System-, Auditund Paketfilter-Ereignissen eingeschaltet. Zusätzlich haben Sie im Verlauf dieses Beispieles bei der Firewall-Projektierung die Log- Optionen für den entsprechenden Datenverkehr aktiviert. Sie können im Online-Modus die aufgezeichneten Ereignisse ausgeben lassen. Gehen Sie so vor: 1. Wechseln Sie auf PC1 im Security Configuration Tool mit dem Menübefehl "Ansicht" > "Online" in die Online-Betriebsart. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Online Diagnose ". 3. Wählen Sie das Register "Paketfilter Log". Getting Started, 04/2012, C79000-G8900-C

34 Firewall im Standard Modus 2.3 Beispiel mit einem CP Betätigen Sie die Schaltfläche "Starte Lesen". 5. Quittieren Sie den aufgeblendeten Dialog mit OK. Ergebnis: Die Log-Einträge werden aus dem Security-Modul ausgelesen und hier ausgegeben. 34 Getting Started, 04/2012, C79000-G8900-C287-01

35 Firewall im Erweiterten Modus SCALANCE S als Firewall und NAT-Router Übersicht In diesem Beispiel projektieren Sie den NAT-Router-Betrieb. Die Projektierung erfolgt in der Projektierungssicht "Erweiterter Modus". Sie erreichen mit der Konfiguration, dass alle vom internen Subnetz an den Teilnehmer PC1 im externen Netz gesendeten Telegramme die Firewall passieren können. Nach außen werden die Telegramme mit einer auf die IP-Adresse des Security-Moduls transformierten IP-Adresse sowie einer dynamisch vergebenen Port-Nummer weitergeleitet. Aus dem externen Netz wird nur die Antwort auf diese Telegramme zugelassen. Aufbau des Testnetzes Getting Started, 04/2012, C79000-G8900-C

36 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router Internes Netzwerk - Anschluss an den internen Port des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC2: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul: SCALANCE S-Modul zum Schutz des internen Netzwerks Externes Netzwerk - Anschluss an den externen Port des Security-Moduls Das öffentliche, externe Netzwerk wird an den externen Port des Security-Moduls angeschlossen. PC1: PC mit der Konfigurationssoftware Security Configuration Tool Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: 1x SCALANCE S, (zusätzlich optional: eine entsprechend montierte Hutschiene mit Montagematerial); 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker; 1x PC auf dem das Projektierungswerkzeug Security Configuration Tool installiert ist; 1x PC im internen Netzwerk für den Test der Konfiguration; die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Die folgenden Schritte in der Übersicht: 36 Getting Started, 04/2012, C79000-G8900-C287-01

37 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router SCALANCE S und Netzwerk einrichten Gehen Sie so vor: 1. Packen Sie zunächst das SCALANCE S aus und überprüfen Sie den unbeschädigten Zustand. 2. Schließen Sie die Spannungsversorgung an SCALANCE S an. Ergebnis: Nach dem Anschließen der Betriebsspannung leuchtet die Fault-LED (F) gelb. WARNUNG Das Gerät SCALANCE S ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/ VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S muss NEC Class 2 entsprechen (Spannungsbereich V, Strombedarf ca. 250 ma). 3. Stellen Sie jetzt die physikalischen Netzwerkverbindungen her, indem Sie die Stecker der Netzwerkkabel in die dafür vorgesehenen Ports (RJ45-Buchsen) stecken: Verbinden Sie PC2 mit Port 2 von Modul 1. Verbinden Sie PC1 mit Port 1 von Modul Schalten Sie jetzt die beteiligten PCs ein. ACHTUNG Die Ethernet-Anschlüsse an Port 1 und Port 2 werden vom SCALANCE S unterschiedlich behandelt und dürfen deshalb beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: Port 1 - External Network obere RJ45-Buchse, rote Markierung = ungeschützter Netzwerk-Bereich; Port 2 - Internal Network untere RJ45-Buchse, grüne Markierung = durch SCALANCE S geschütztes Netzwerk; Beim Vertauschen der Ports verliert das Gerät seine Schutzfunktion IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske Standardgateway PC PC Getting Started, 04/2012, C79000-G8900-C

38 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router Für das Standardgateway geben Sie die IP-Adressen ein, die dem Security-Modul in der nachfolgenden Projektierung für die interne und externe Schnittstelle zugewiesen werden: PC1 verwendet die externe Schnittstelle. PC2 verwendet die interne Schnittstelle. Gehen Sie jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 38 Getting Started, 04/2012, C79000-G8900-C287-01

39 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Modul anlegen Gehen Sie so vor: 1. Installieren und starten Sie die Projektierungssoftware Security Configuration Tool auf PC1. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Projekt ist angelegt. Der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" öffnet sich. 4. Konfigurieren Sie Produkttyp, Baugruppe und Firmwarerelease. 5. Geben Sie im Bereich "Konfiguration" die MAC-Adresse im vorgegebenen Format ein. Die MAC-Adresse ist auf der Frontseite des SCALANCE S-Moduls aufgedruckt (siehe Bild). Getting Started, 04/2012, C79000-G8900-C

40 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router 6. Geben Sie im Bereich "Konfiguration" die externe IP-Adresse ( ) und die externe Subnetzmaske ( ) im vorgegebenen Format ein und bestätigen Sie den Dialog mit "OK". Ergebnis: Das Modul wird in die Liste der konfigurierten Module angezeigt NAT-Router-Betrieb projektieren Der häufige Einsatzfall, dass alle internen Teilnehmer Telegramme in das externe Netz senden und durch die NAT-Funktionalität deren IP-Adressen verborgen werden sollen, ist bei dem Security-Modul vorkonfiguriert. Nachfolgend wird gezeigt, wie Sie dieses Verhalten aktivieren. Router-Betrieb aktivieren - Gehen Sie so vor: 1. Schalten Sie die Projektierungsansicht mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus um. 2. Doppelklicken Sie auf das Security-Modul. Ergebnis: Das Register "Schnittstellen" wird geöffnet. 40 Getting Started, 04/2012, C79000-G8900-C287-01

41 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router 3. Wählen Sie als "Schnittstellenrouting" den "Routing-Modus". 4. Ergänzen Sie im Eingabebereich "Intern (P2)" die Adressangaben für die Schnittstelle des SCALANCE S zum internen Subnetz wie folgt: IP-Adresse: Subnetzmaske: NAT-Router-Betrieb für interne Teilnehmer aktivieren - Gehen Sie so vor: Konfigurieren Sie die für den NAT-Betrieb geforderte Adressumsetzung. 1. Wählen Sie das Register "NAT". Getting Started, 04/2012, C79000-G8900-C

42 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router 2. Wählen Sie im Eingabebereich "NAT" die beiden Optionen "NAT aktiv" und "Freigabe für alle internen Teilnehmer zulassen". Im Eingabebereich "NAT" wurde die Adressumsetzungsliste am Ende durch einen Eintrag ergänzt. Der Eintrag "*" in der Spalte "interne IP-Adresse" steht stellvertretend für alle Teilnehmer im internen Netz. 3. Schließen Sie den Dialog mit "OK" ab. Stellen Sie nun die Firewall so ein, dass sie die Telegramme von intern nach extern passieren lässt Firewall projektieren Definieren Sie in diesem Beispiel einen Regelsatz, der den Telegrammverkehr für den internen Teilnehmer (PC2) zum Teilnehmer im externen Netzwerk (PC1) zulässt. 42 Getting Started, 04/2012, C79000-G8900-C287-01

43 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router Zusätzlich wird gezeigt, wie Sie einen Regelsatz global definieren und einem Modul zuweisen. Der einmal definierte Regelsatz kann weiteren Modulen im selben Projekt per "Drag and Drop" zugewiesen werden. Globalen Regelsatz definieren - Gehen Sie so vor: 1. Öffnen Sie im Navigationsbereich das Objekt "Globale FW-Regelsätze" und markieren Sie darunter das Objekt "FW IP-Regelsätze". Getting Started, 04/2012, C79000-G8900-C

44 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router 2. Wählen Sie im Kontextmenü den Eintrag "Regelsatz einfügen". 3. Tragen Sie im aufgeblendeten Dialog einen Regelsatz wie nachfolgend dargestellt ein: 4. Aktivieren Sie in der Zeile des neuen Regelsatzes das Kontrollkästchen "Log". Ergebnis: Das Paketfilter-Logging ist aktiviert. Telegramme, auf die die definierte Regel angewendet wird, werden aufgezeichnet. Diese Aufzeichnung werden Sie im hier gezeigten Beispiel beim abschließenden Test der Konfiguration nutzen. 44 Getting Started, 04/2012, C79000-G8900-C287-01

45 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router 5. Schließen Sie den Dialog mit "OK" ab. Globalen Regelsatz zuweisen - Gehen Sie so vor: 1. Markieren Sie im Navigationsbereich das Objekt "Modul1" und ziehen Sie es bei gedrückter linker Maustaste auf den neu angelegten globalen Firewall-Regelsatz. Getting Started, 04/2012, C79000-G8900-C

46 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router 2. Sie können die Zuweisung kontrollieren, indem Sie nochmals den Dialog zum Einstellen der Moduleigenschaften öffnen und das Register "Firewall" wählen. Die globale Firewall- Regel wurde im Register "IP Regeln" hinterlegt. 3. Indem Sie die Schaltfläche "Regelsätze ausklappen" betätigen, können Sie den Regelsatz im Detail einblenden. Ergebnis: Die Offline-Konfiguration ist abgeschlossen Konfiguration in Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie im Inhaltsbereich das Modul. 2. Wählen Sie den Menübefehl "Übertragen" > "An Modul ". 3. Starten Sie den Ladevorgang über die Schaltfläche "Starten". 46 Getting Started, 04/2012, C79000-G8900-C287-01

47 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das SCALANCE S-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. Ergebnis: SCALANCE S im Produktivbetrieb SCALANCE S befindet sich jetzt im Produktivbetrieb. Dieser Betriebszustand wird von der Fault-Anzeige durch grünes Licht signalisiert NAT-Router-Funktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Um die Auswirkung des NAT-Router-Betriebes erkennen zu können, verwenden Sie die Möglichkeit des Paketfilter-Logging an der Firewall-Schnittstelle. Zur Erinnerung: Bei der Definition der globalen Firewall-Regel haben Sie bereits die Option für das Paketfilter-Logging eingeschaltet. Anmerkung zum Ping-Kommando: Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 - Ping-Kommando absetzen Testen Sie nun die Funktion des NAT-Router-Betriebes bei IP-Datenverkehr von intern nach extern wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. Getting Started, 04/2012, C79000-G8900-C

48 Firewall im Erweiterten Modus 3.1 SCALANCE S als Firewall und NAT-Router 2. Eingabe des Ping-Kommandos von PC2 an den PC1 (IP-Adresse ) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position den Befehl "ping " ein. Sie erhalten daraufhin folgende Meldung (positive Antwort von PC1): Testabschnitt 2 - Ergebnis auswerten 1. Wechseln Sie im Security Configuration Tool über den Menübefehl "Ansicht" > "Online" in den Online-Modus. 2. Markieren Sie das zu bearbeitende Modul und wählen Sie zum Öffnen des Online- Dialoges den Menübefehl "Bearbeiten" > "Online Diagnose...". 3. Wählen Sie das Register "Paketfilter Log". 4. Betätigen Sie die Schaltfläche "Starte Lesen". 5. Quittieren Sie den aufgeblendeten Dialog mit "OK". Ergebnis: Die Log-Einträge werden aus dem Security-Modul ausgelesen und hier ausgegeben Ergebnis In den Ausgabezeilen der Aufzeichnung erkennen Sie Folgendes: Ausgabezeile 1 Die IP-Adressen der Telegramme von PC2 an PC1 werden an der Schnittstelle zum externen Netz mit der externen IP-Adresse des Security-Moduls ( ) gezeigt. Dies entspricht der erwarteten Adressumsetzung (Anmerkung: die zusätzliche Port- Zuweisung ist hier nicht sichtbar). Ausgabezeile 2 Die Antworttelegramme werden mit der Zieladresse des Teilnehmers im internen Subnetz (PC2: ) angezeigt. Sie erkennen daran, dass die Adressumsetzung bereits erfolgt ist, bevor das Antworttelegramm die Firewall passiert. 48 Getting Started, 04/2012, C79000-G8900-C287-01

49 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen 3.2 Benutzerspezifische Firewall-Regeln anlegen Übersicht In diesem Beispiel legen Sie eine benutzerspezifische Firewall-Regel an und weisen diese einem Benutzer zu. Die Projektierung erfolgt in der Projektierungssicht "Erweiterter Modus". Der angelegte Benutzer darf von PC1 im externen Netz auf PC2 im internen Netz zugreifen. Für andere Benutzer bleibt der Zugriff weiterhin gesperrt. Aufbau des Testnetzes Internes Netzwerk - Anschluss an den internen Port des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC2: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul: SCALANCE S-Modul zum Schutz des internen Netzwerks Externes Netzwerk - Anschluss an den externen Port des Security-Moduls Das öffentliche, externe Netzwerk wird an den externen Port des Security-Moduls angeschlossen. PC1: PC mit der Konfigurationssoftware Security Configuration Tool Getting Started, 04/2012, C79000-G8900-C

50 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: 1x SCALANCE S, (zusätzlich optional: eine entsprechend montierte Hutschiene mit Montagematerial); 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker; 1x PC auf dem das Projektierungswerkzeug Security Configuration Tool installiert ist; 1x PC im internen Netzwerk für den Test der Konfiguration; die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Die folgenden Schritte in der Übersicht: SCALANCE S und Netzwerk einrichten Gehen Sie so vor: 1. Packen Sie zunächst das SCALANCE S aus und überprüfen Sie den unbeschädigten Zustand. 2. Schließen Sie die Spannungsversorgung an SCALANCE S an. Ergebnis: Nach dem Anschließen der Betriebsspannung leuchtet die Fault-LED (F) gelb. 50 Getting Started, 04/2012, C79000-G8900-C287-01

51 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen WARNUNG Das Gerät SCALANCE S ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/ VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S muss NEC Class 2 entsprechen (Spannungsbereich V, Strombedarf ca. 250 ma). 3. Stellen Sie jetzt die physikalischen Netzwerkverbindungen her, indem Sie die Stecker der Netzwerkkabel in die dafür vorgesehenen Ports (RJ45-Buchsen) stecken: Verbinden Sie PC2 mit Port 2 von Modul 1. Verbinden Sie PC1 mit Port 1 von Modul Schalten Sie jetzt die beteiligten PCs ein. ACHTUNG Die Ethernet-Anschlüsse an Port 1 und Port 2 werden vom SCALANCE S unterschiedlich behandelt und dürfen deshalb beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: Port 1 - External Network obere RJ45-Buchse, rote Markierung = ungeschützter Netzwerk-Bereich; Port 2 - Internal Network untere RJ45-Buchse, grüne Markierung = durch SCALANCE S geschütztes Netzwerk; Beim Vertauschen der Ports verliert das Gerät seine Schutzfunktion IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske Standardgateway PC PC Gehen Sie dazu jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". Getting Started, 04/2012, C79000-G8900-C

52 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Modul anlegen Gehen Sie so vor: 1. Installieren und starten Sie die Projektierungssoftware Security Configuration Tool auf PC1. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 52 Getting Started, 04/2012, C79000-G8900-C287-01

53 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Projekt ist angelegt. Der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" öffnet sich. 4. Konfigurieren Sie Produkttyp, Baugruppe und Firmwarerelease. 5. Geben Sie im Bereich "Konfiguration" die MAC-Adresse im vorgegebenen Format ein. Die MAC-Adresse ist auf der Frontseite des SCALANCE S-Moduls aufgedruckt (siehe Bild). 6. Geben Sie im Bereich "Konfiguration" die externe IP-Adresse ( ) und die externe Subnetzmaske ( ) im vorgegebenen Format ein. 7. Aktivieren Sie die Option "Routing aktivieren". 8. Geben die interne IP-Adresse ( ) und die interne Subnetzmaske ( ) im vorgegebenen Format ein und bestätigen Sie den Dialog mit "OK". Ergebnis: Das Modul wird in die Liste der konfigurierten Module angezeigt. Getting Started, 04/2012, C79000-G8900-C

54 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen Remote Access Benutzer anlegen Einen Remote Access Benutzer anlegen 1. Wählen Sie den Menübefehl "Optionen" > "Benutzerverwaltung". 2. Klicken Sie auf die Schaltfläche "Hinzufügen". 3. Geben Sie einen neuen Benutzer mit den folgenden Daten ein: 4. Schließen Sie den Dialog mit "OK" Benutzerspezifische Firewall-Regeln einstellen und zuweisen So erreichen Sie diese Funktion 1. Schalten Sie die Projektierungsansicht mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus um. 2. Markieren Sie im Navigationsbereich das Objekt "Benutzerspez. IP-Regelsätze". 54 Getting Started, 04/2012, C79000-G8900-C287-01

55 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen 3. Wählen Sie im Kontextmenü den Eintrag "Regelsatz einfügen". 4. Tragen Sie im aufgeblendeten Dialog einen Regelsatz wie nachfolgend dargestellt ein: Getting Started, 04/2012, C79000-G8900-C

56 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen 5. Wählen Sie aus der Liste "Verfügbare Benutzer" den Benutzer "Remote" aus und klicken Sie auf die Schaltfläche "Hinzufügen". Regelsatz zuweisen - Gehen Sie so vor 1. Markieren Sie im Navigationsbereich das Security-Modul und ziehen Sie es bei gedrückter linker Maustaste auf den neu angelegten benutzerspezifischen Firewall- Regelsatz. 56 Getting Started, 04/2012, C79000-G8900-C287-01

57 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen 2. Sie können die Zuweisung kontrollieren, indem Sie nochmals den Dialog zum Einstellen der Moduleigenschaften öffnen und das Register "Firewall" wählen. Die benutzerspezifische Firewall-Regel wurde im Register "IP Regeln" hinterlegt. 3. Indem Sie die Schaltfläche "Regelsätze ausklappen" betätigen, können Sie den Regelsatz im Detail einblenden. Ergebnis: Die Offline-Konfiguration ist abgeschlossen Konfiguration in Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie im Inhaltsbereich das Modul. 2. Wählen Sie den Menübefehl "Übertragen" > "An Modul ". 3. Starten Sie den Ladevorgang über die Schaltfläche "Starten". Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das SCALANCE S-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. Ergebnis: SCALANCE S im Produktivbetrieb SCALANCE S befindet sich jetzt im Produktivbetrieb. Dieser Betriebszustand wird von der Fault-Anzeige durch grünes Licht signalisiert. Getting Started, 04/2012, C79000-G8900-C

58 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen Auf Websseite anmelden Über Webseite anmelden 1. Geben Sie im Web-Browser vom PC1 die Adresse " ein. 2. Geben Sie im nachfolgenden Fenster den Benutzernamen "Remote" und das dazugehörige Passwort ein. 3. Der für den Benutzer "Remote" vordefinierter Firewall-Regelsatz ist aktiviert. Der Zugriff von PC1 im externen Netz auf PC2 im internen Netz ist zugelassen. 58 Getting Started, 04/2012, C79000-G8900-C287-01

59 Firewall im Erweiterten Modus 3.2 Benutzerspezifische Firewall-Regeln anlegen Firewallfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt Testen Sie nun die Funktion der Firewall-Konfiguration wie folgt: 1. Rufen Sie auf dem PC1 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC1 an den PC2 (IP-Adresse ) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, den Befehl "ping " ein. Sie erhalten folgende Meldung (positive Antwort von PC2): Ergebnis Wenn die IP-Telegramme PC1 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Getting Started, 04/2012, C79000-G8900-C

60 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router Die Ping-Telegramme konnten aufgrund der Projektierung vom externen Netz ins interne Netz gelangen. Der PC im internen Netz hat auf die Ping-Telegramme geantwortet. Durch die "Stateful-Inspection"-Funktion der Firewall werden die Antworttelegramme, die nun vom internen Netz kommen, automatisch ins externe Netz weitergeleitet. 3.3 CP x43-1 Advanced als Firewall und NAT-Router Übersicht In diesem Beispiel projektieren Sie den NAT-Router-Betrieb. Die Projektierung erfolgt in der Projektierungssicht "Erweiterter Modus". Sie erreichen mit der Konfiguration, dass alle vom internen Subnetz an den Teilnehmer PC1 im externen Netz gesendeten Telegramme die Firewall passieren können. Nach außen werden die Telegramme mit einer auf die IP-Adresse des Security-Moduls transformierten IP-Adresse sowie einer dynamisch vergebenen Port-Nummer weitergeleitet. Aus dem externen Netz wird nur die Antwort auf diese Telegramme zugelassen. Zusätzlich wird gezeigt, wie Sie einen Regelsatz global definieren und einem Modul zuweisen. Aufbau des Testnetzes 60 Getting Started, 04/2012, C79000-G8900-C287-01

61 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router Internes Netzwerk - Anschluss an den internen Port des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC2: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul: CP x43-1 zum Schutz des internen Netzwerks Externes Netzwerk - Anschluss an den externen Port des Security-Moduls Das öffentliche, externe Netzwerk wird an den externen Port des Security-Moduls angeschlossen. PC1: PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7 Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware Security Configuration Tool ist auf PC1 installiert. STEP 7 ist auf PC1 installiert und es ist bereits ein STEP 7 Projekt mit dem Security- Modul angelegt. Die IP-Aderesse von PC1 muss im selben Subnetz liegen wie die Gigabit-Adresse des Security-Moduls. CP x43-1 hat in STEP 7 die folgenden Einstellungen: Gigabit IP-Adresse: , Subnetzmaske: PROFINET IP-Adresse: , Subnetzmaske: Die folgenden Schritte in der Übersicht: Getting Started, 04/2012, C79000-G8900-C

62 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske Standardgateway PC PC Für das Standardgateway geben Sie die IP-Adressen ein, die dem Security-Modul in der nachfolgenden Projektierung für die interne und externe Schnittstelle zugewiesen werden: PC1 verwendet die externe Schnittstelle. PC2 verwendet die interne Schnittstelle. Gehen Sie jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 62 Getting Started, 04/2012, C79000-G8900-C287-01

63 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Modul anlegen Gehen Sie so vor: 1. Aktivieren Sie in den Objekteigenschaften im Register "Security" das Optionskästchen "Security aktivieren". Getting Started, 04/2012, C79000-G8900-C

64 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Security-Projekt ist angelegt. 3. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Ergebnis: Das Security-Modul wird in der Liste der konfigurierten Module angezeigt NAT-Router-Betrieb projektieren Der häufige Einsatzfall, dass alle internen Teilnehmer Telegramme in das externe Netz senden und durch die NAT-Funktionalität deren IP-Adressen verborgen werden sollen, ist bei dem Security-Modul vorkonfiguriert. Nachfolgend wird gezeigt, wie Sie dieses Verhalten aktivieren. NAT-Router-Betrieb für interne Teilnehmer aktivieren - Gehen Sie so vor: Konfigurieren Sie die für den NAT-Betrieb geforderte Adressumsetzung. 1. Schalten Sie die Projektierungsansicht mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus um. 2. Wählen Sie das Register "NAT". 64 Getting Started, 04/2012, C79000-G8900-C287-01

65 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router 3. Wählen Sie im Eingabebereich "NAT" die beiden Optionen "NAT aktiv" und "Freigabe für alle internen Teilnehmer zulassen". Im Eingabebereich "NAT" wurde die Adressumsetzungsliste am Ende durch einen Eintrag ergänzt. Der Eintrag "*" in der Spalte "interne IP-Adresse" steht stellvertretend für alle Teilnehmer im internen Netz. 4. Schließen Sie den Dialog mit "OK" ab. Stellen Sie nun die Firewall so ein, dass sie die Telegramme von intern nach extern passieren lässt Firewall projektieren Definieren Sie in diesem Beispiel einen Regelsatz, der den Telegrammverkehr für den internen Teilnehmer (PC2) zum Teilnehmer im externen Netzwerk (PC1) zulässt. Getting Started, 04/2012, C79000-G8900-C

66 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router Zusätzlich wird gezeigt, wie Sie einen Regelsatz global definieren und einem Modul zuweisen. Der einmal definierte Regelsatz kann weiteren Modulen im selben Projekt per "Drag and Drop" zugewiesen werden. Globalen Regelsatz definieren - Gehen Sie so vor: 1. Öffnen Sie im Navigationsbereich das Objekt "Globale FW-Regelsätze" und markieren Sie darunter das Objekt "FW IP-Regelsätze". 2. Wählen Sie im Kontextmenü den Eintrag "Regelsatz einfügen". 66 Getting Started, 04/2012, C79000-G8900-C287-01

67 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router 3. Tragen Sie im aufgeblendeten Dialog einen Regelsatz wie nachfolgend dargestellt ein: 4. Aktivieren Sie in der Zeile des neuen Regelsatzes das Kontrollkästchen "Log". Ergebnis: Das Paketfilter-Logging ist aktiviert. Telegramme, auf die die definierte Regel angewendet wird, werden aufgezeichnet. Diese Aufzeichnung werden Sie im hier gezeigten Beispiel beim abschließenden Test der Konfiguration nutzen. 5. Schließen Sie den Dialog mit "OK" ab. Globalen Regelsatz zuweisen - Gehen Sie so vor: 1. Markieren Sie im Navigationsbereich das Security-Modul und ziehen Sie es bei gedrückter linker Maustaste auf den neu angelegten globalen Firewall-Regelsatz. Getting Started, 04/2012, C79000-G8900-C

68 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router 2. Sie können die Zuweisung kontrollieren, indem Sie nochmals den Dialog zum Einstellen der Moduleigenschaften öffnen und das Register "Firewall" wählen. Die globale Firewall- Regel wurde im Register "IP-Regeln" hinterlegt. 3. Indem Sie die Schaltfläche "Regelsätze ausklappen" betätigen, können Sie den Regelsatz im Detail einblenden. 4. Aktivieren Sie das Kontrollkästchen "Firewall aktivieren". Ergebnis: Die Offline-Konfiguration ist abgeschlossen. 68 Getting Started, 04/2012, C79000-G8900-C287-01

69 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router Konfiguration in Security-Modul laden Gehen Sie so vor: 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security-Modul automatisch und die neue Konfiguration ist aktiviert. Ergebnis: Security-Modul im Produktivbetrieb Die Inbetriebsetzung der Konfiguration ist abgeschlossen. Das Security-Modul schützt das interne Netz (PC2). Abgehender IP-Verkehr vom internen ins externe Netz ist erlaubt NAT-Router-Funktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Um die Auswirkung des NAT-Router-Betriebes erkennen zu können, verwenden Sie die Möglichkeit des Paketfilter-Logging an der Firewall-Schnittstelle. Zur Erinnerung: Bei der Definition der globalen Firewall-Regel haben Sie bereits die Option für das Paketfilter-Logging eingeschaltet. Anmerkung zum Ping-Kommando: Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 - Ping-Kommando absetzen Testen Sie nun die Funktion des NAT-Router-Betriebs bei IP-Datenverkehr von internen ins externe Netz wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. Getting Started, 04/2012, C79000-G8900-C

70 Firewall im Erweiterten Modus 3.3 CP x43-1 Advanced als Firewall und NAT-Router 2. Eingabe des Ping-Kommandos von PC2 an den PC1 (IP-Adresse ) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung" an der Cursor-Position den Befehl "ping " ein. Sie erhalten daraufhin folgende Meldung (positive Antwort von PC1): Testabschnitt 2 - Ergebnis auswerten 1. Wechseln Sie im Security Configuration Tool über den Menübefehl "Ansicht" > "Online" in den Online-Modus. 2. Markieren Sie das zu bearbeitende Modul und wählen Sie zum Öffnen des Online- Dialogs den Menübefehl "Bearbeiten" > "Online Diagnose...". 3. Wählen Sie das Register "Paketfilter Log". 4. Betätigen Sie die Schaltfläche "Starte Lesen". 5. Quittieren Sie den aufgeblendeten Dialog mit "OK". Ergebnis: Die Log-Einträge werden aus dem Security-Modul ausgelesen und hier ausgegeben. 70 Getting Started, 04/2012, C79000-G8900-C287-01

71 Firewall im Erweiterten Modus 3.4 Beispiel mit einem CP 1628 und CP x Beispiel mit einem CP 1628 und CP x Übersicht In diesem Beispiel erfolgt die Projektierung in der Projektierungssicht "Erweiterter Modus". Sie erreichen mit der Konfiguration, dass alle vom Teilnehmer PC2 an Security Modul 1 gesendeten Telegramme die Firewall passieren können und umgekehrt. Außerdem darf von PC1 auf PC2 und Security Modul 1 zugegriffen werden. Aufbau des Testnetzes Security-Modul 1: CP x43-1 Advanced PC1: PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7 PC2 mit Security-Modul 2: PC mit CP 1628 Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware Security Configuration Tool ist auf PC1 installiert. STEP 7 ist auf PC1 installiert und es ist bereits ein STEP 7 Projekt angelegt. In dem STEP 7 Projekt ist eine spezifizierte TCP/IP S7-Verbindung zwischen dem CP 1628 (PC2) und CP x43-1 angelegt. Der CP 1628 ist der aktive Teilnehmer. Getting Started, 04/2012, C79000-G8900-C

72 Firewall im Erweiterten Modus 3.4 Beispiel mit einem CP 1628 und CP x43-1 CP 1628 hat in STEP 7 die folgenden Einstellungen: IP-Adresse Industrial Ethernet: , Subnetzmaske: Die NDIS IP-Adresse wird in den IP-Einstellungen des PCs eingerichtet. CP x43-1 hat in STEP 7 die folgenden Einstellungen: Gigabit IP-Adresse: , Subnetzmaske: PROFINET IP-Adresse: , Subnetzmaske: Die folgenden Schritte in der Übersicht: IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske PC PC2 NDIS: Gehen Sie jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 72 Getting Started, 04/2012, C79000-G8900-C287-01

73 Firewall im Erweiterten Modus 3.4 Beispiel mit einem CP 1628 und CP x Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. Getting Started, 04/2012, C79000-G8900-C

74 Firewall im Erweiterten Modus 3.4 Beispiel mit einem CP 1628 und CP x Projekt und Modul anlegen Gehen Sie so vor: 1. Aktivieren Sie in den Objekteigenschaften des CP 1628 im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Security-Projekt ist angelegt. 3. Wechsel Sie in die Objekteigenschaften des CP x43-1 und aktivieren Sie im Register "Security" ebenfalls das Optionskästchen "Security aktivieren". 4. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Ergebnis: Die Security-Module werden in der Liste der konfigurierten Module angezeigt. 74 Getting Started, 04/2012, C79000-G8900-C287-01

75 Firewall im Erweiterten Modus 3.4 Beispiel mit einem CP 1628 und CP x Firewall projektieren Definieren Sie in diesem Beispiel die notwendigen Firewall-Regeln: Firewall-Regel definieren CP Gehen Sie so vor: 1. Markieren Sie im Inhaltsbereich die Zeile "CP-1628". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften ". 3. Wählen Sie im aufgeblendeten Dialog das Register "Firewall". 4. Schalten Sie die Option wie nachfolgend dargestellt ein. Die ersten beiden Regeln werden für die projektierte Verbindung automatisch angelegt. Getting Started, 04/2012, C79000-G8900-C

76 Firewall im Erweiterten Modus 3.4 Beispiel mit einem CP 1628 und CP x43-1 Firewall-Regel definieren CP x43-1- Gehen Sie so vor: 1. Markieren Sie im Inhaltsbereich die Zeile "CP Advanced". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften ". 3. Wählen Sie im aufgeblendeten Dialog das Register "Firewall". 4. Schalten Sie die Option wie nachfolgend dargestellt ein. Die ersten beiden Regeln werden für die projektierte Verbindung automatisch angelegt. Ergebnis: Die Offline-Konfiguration ist abgeschlossen. 76 Getting Started, 04/2012, C79000-G8900-C287-01

77 Firewall im Erweiterten Modus 3.4 Beispiel mit einem CP 1628 und CP x Konfiguration in Security-Modul laden Gehen Sie so vor: 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. 4. Führen Sie die Schritte 2-3 für den zweiten CP durch. Wurde der Ladevorgang fehlerfrei abgeschlossen, starten die Security-Module automatisch und die neue Konfiguration ist aktiviert. Ergebnis: Security-Modul im Produktivbetrieb Die Inbetriebsetzung der Konfiguration ist abgeschlossen. Das Security-Modul 2 schützt PC2. Abgehender IP-Verkehr vom CP 1628 (Security-Modul 2) zum CP x43-1 (Security- Modul 1) ist erlaubt Firewallfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 Testen Sie nun die Funktion der Firewall-Konfiguration zunächst bei zugelassenem abgehenden IP-Datenverkehr wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. Getting Started, 04/2012, C79000-G8900-C

78 Firewall im Erweiterten Modus 3.4 Beispiel mit einem CP 1628 und CP x Eingabe des Ping-Kommandos von PC2 an den CP x43-1 (IP-Adresse ) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, den Befehl "ping " ein. Sie erhalten folgende Meldung (positive Antwort von CP x43-1): Ergebnis Wenn die IP-Telegramme den CP x43-1 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Die Ping-Telegramme konnten aufgrund der Projektierung von PC2 zum CP x43-1 gelangen. Der CP x43-1 hat auf die Ping-Telegramme geantwortet. Durch die "Stateful-Inspection"- Funktion der Firewall werden die Antworttelegramme, die nun vom CP x43-1 kommen, automatisch zu PC2 weitergeleitet. Testabschnitt 2 - Ergebnis auswerten 1. Wechseln Sie im Security Configuration Tool über den Menübefehl "Ansicht" > "Online" in den Online-Modus. 2. Markieren Sie das zu bearbeitende Modul und wählen Sie zum Öffnen des Online- Dialoges den Menübefehl "Bearbeiten" > "Online Diagnose...". 3. Wählen Sie das Register "Paketfilter Log". 4. Betätigen Sie die Schaltfläche "Starte Lesen". 5. Quittieren Sie den aufgeblendeten Dialog mit "OK". Ergebnis: Die Log-Einträge werden aus dem Security-Modul ausgelesen und hier ausgegeben. 78 Getting Started, 04/2012, C79000-G8900-C287-01

79 VPN-Tunnel konfigurieren VPN-Tunnel zwischen SCALANCE S und SCALANCE S Übersicht In diesem Beispiel wird die Tunnelfunktion in der Projektierungssicht "Standard Modus" projektiert. Security-Modul 1 und Security-Modul 2 bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr und Layer-2-Verkehr (lediglich Bridge-Modus) nur über die eingerichteten Tunnelverbindungen zwischen autorisierten Partnern möglich ist. Aufbau des Testnetzes Getting Started, 04/2012, C79000-G8900-C

80 VPN-Tunnel konfigurieren 4.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S Internes Netzwerk - Anschluss an einen internen Port des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC1: Repräsentiert einen Teilnehmer des internen Netzwerks 1 PC2: Repräsentiert einen Teilnehmer des internen Netzwerks 2 Security-Modul 1: SCALANCE S-Modul (nicht S602) zum Schutz des internen Netzwerks 1 Security-Modul 2: SCALANCE S-Modul (nicht S602) zum Schutz des internen Netzwerks 2 Externes Netzwerk - Anschluss an den externen Port des Security-Moduls Das öffentliche, externe Netzwerk wird an den externen Port des Security-Moduls angeschlossen. PC3: PC mit der Konfigurationssoftware Security Configuration Tool Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: 2x SCALANCE (nicht S602), (optional: eine oder zwei entsprechend montierte Hutschienen mit Montagematerial); 1x bzw. 2x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker (beide Module können auch aus einer gemeinsamen Stromversorgung betrieben werden); 1x PC auf dem das Projektierungswerkzeug "Security Configuration Tool" installiert ist; 2x PC in den internen Netzwerken für den Test der Konfiguration; 1x Netzwerk-Hub bzw. -Switch zum Aufbau der Netzwerkverbindungen mit den beiden Security-Modulen sowie den PCs/PGs; die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Die folgenden Schritte in der Übersicht: 80 Getting Started, 04/2012, C79000-G8900-C287-01

81 VPN-Tunnel konfigurieren 4.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S SCALANCE S und Netzwerk einrichten Gehen Sie wie folgt vor: 1. Packen Sie zunächst die SCALANCE S Geräte aus und überprüfen Sie den unbeschädigten Zustand. 2. Schließen Sie die Spannungsversorgung an SCALANCE S an. Ergebnis: Nach dem Anschließen der Betriebsspannung leuchtet die Fault-LED (F) gelb. WARNUNG Das Gerät SCALANCE S ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/ VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S muss NEC Class 2 entsprechen (Spannungsbereich V, Strombedarf ca. 250 ma). 1. Stellen Sie jetzt die physikalischen Netzwerkverbindungen her, indem Sie die Stecker der Netzwerkkabel in die dafür vorgesehenen Ports (RJ45-Buchsen) stecken: Verbinden Sie PC1 mit Port 2 von Modul 1 und PC2 mit Port 2 von Modul 2. Verbinden Sie Port 1 von Modul 1 und Port 1 von Modul 2 mit dem Hub/Switch. Verbinden Sie PC3 ebenfalls mit dem Hub/Switch. 2. Schalten Sie jetzt die beteiligten PCs ein. ACHTUNG Die Ethernet-Anschlüsse an Port 1 und Port 2 werden vom SCALANCE S unterschiedlich behandelt und dürfen deshalb beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: Port 1 - External Network obere RJ45-Buchse, rote Markierung = ungeschützter Netzwerk-Bereich; Port 2 - Internal Network untere RJ45-Buchse, grüne Markierung = durch SCALANCE S geschütztes Netzwerk; Beim Vertauschen der Ports verliert das Gerät seine Schutzfunktion. Getting Started, 04/2012, C79000-G8900-C

82 VPN-Tunnel konfigurieren 4.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske PC PC PC Gehen Sie jeweils bei PC1, PC2 und PC3 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 82 Getting Started, 04/2012, C79000-G8900-C287-01

83 VPN-Tunnel konfigurieren 4.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Module anlegen Gehen Sie so vor: 1. Installieren und starten Sie die Projektierungssoftware Security Configuration Tool auf PC3. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Projekt ist angelegt. Der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" öffnet sich. 4. Konfigurieren Sie Produkttyp, Baugruppe und Firmwarerelease und schließen Sie den Dialog mit "OK". 5. Legen Sie ein zweites Modul an. Ergebnis: Die Module werden in der Liste der konfigurierten Module angezeigt. Name und Parameter werden entsprechend den Voreinstellungen des Projektes automatisch vergeben. 6. Klicken Sie im Navigationsbereich auf "Alle Module" und anschließend im Inhaltsbereich auf die Zeile mit "Modul1". Getting Started, 04/2012, C79000-G8900-C

84 VPN-Tunnel konfigurieren 4.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S 7. Klicken Sie in die Spalte "MAC-Adresse" und geben Sie diese im vorgegebenen Format ein. Die MAC-Adresse ist auf der Frontseite des SCALANCE S-Moduls aufgedruckt (siehe Bild). 8. Klicken Sie in die Spalte "IP-Adresse ext." und geben Sie diese zusammen mit der externen Subnetzmaske im vorgegebenen Format ein: für Modul 1: IP-Adresse: Subnetzmaske: für Modul 2: IP-Adresse: Subnetzmaske: Wiederholen Sie die Schritte 6. bis 8. mit "Modul2". 84 Getting Started, 04/2012, C79000-G8900-C287-01

85 VPN-Tunnel konfigurieren 4.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S Tunnelverbindung projektieren Zwei Security-Module können einen IPsec-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen Gruppe zugeordnet sind. Gehen Sie wie folgt vor: 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Selektieren Sie im Inhaltsbereich das erste Security-Modul und ziehen Sie es auf "Gruppe1" im Navigationsbereich. Das Modul ist jetzt dieser Gruppe zugeordnet bzw. Mitglied dieser Gruppe. Die Farbe des Schlüsselsymbols wechselt von grau nach blau. 3. Selektieren Sie im Inhaltsbereich das zweite Security-Modul und ziehen Sie es auf "Gruppe1" im Navigationsbereich. Das Modul ist jetzt ebenso dieser Gruppe zugeordnet. 4. Speichern Sie dieses Projekt mit dem Menübefehl "Projekt" > "Speichern unter " unter einem zweckmäßigen Namen ab. Die Konfiguration der Tunnelverbindung ist abgeschlossen. Getting Started, 04/2012, C79000-G8900-C

86 VPN-Tunnel konfigurieren 4.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S Konfiguration in SCALANCE S laden Gehen Sie so vor: 1. Rufen Sie mit dem Menübefehl "Übertragen" > "An alle Module " den folgenden Dialog auf: 2. Selektieren Sie beide Module über die Schaltfläche "Alle auswählen". 3. Starten Sie den Ladevorgang über die Schaltfläche "Starten". Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das SCALANCE S automatisch neu gestartet und die neue Konfiguration aktiviert. Ergebnis: SCALANCE S im Produktivbetrieb SCALANCE S befindet sich jetzt im Produktivbetrieb. Dieser Betriebszustand wird von der Fault-Anzeige-LED durch grünes Licht signalisiert. Die Inbetriebsetzung der Konfiguration ist damit abgeschlossen und die beiden SCALANCE S können einen Kommunikationstunnel aufbauen, über den Netzknoten aus den beiden internen Netzwerken gesichert kommunizieren können. 86 Getting Started, 04/2012, C79000-G8900-C287-01

87 VPN-Tunnel konfigurieren 4.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S Tunnelfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 Testen Sie nun die Funktion der zwischen PC1 und PC2 aufgebauten Tunnelverbindung wie folgt: 1. Rufen Sie auf dem PC1 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC1 an den PC2 (IP-Adresse ) Unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, geben Sie den Befehl "ping " ein. Sie erhalten daraufhin folgende Meldung (positive Antwort von PC2): Ergebnis Wenn die IP-Telegramme PC2 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Getting Started, 04/2012, C79000-G8900-C

88 VPN-Tunnel konfigurieren 4.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S Da keine andere Kommunikation zugelassen war, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt 2 Wiederholen Sie den Test, indem Sie ein Ping-Kommando von PC3 aus absetzen. 1. Rufen Sie auf dem PC3 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Setzen Sie erneut das gleiche Ping-Kommando ("ping ") im Fenster der Eingabeaufforderung von PC3 aus ab. Sie erhalten daraufhin folgende Meldung (keine Antwort von PC2): Ergebnis Die IP-Telegramme von PC3 können PC2 nicht erreichen, da weder eine Tunnelkommunikation zwischen diesen Geräten konfiguriert ist, noch normaler IP- Datenverkehr erlaubt ist. Das wird in der "Ping-Statistik" für folgendermaßen angegeben: Gesendet = 4 Empfangen = 0 Verloren = 4 (100% Verlust) 88 Getting Started, 04/2012, C79000-G8900-C287-01

89 VPN-Tunnel konfigurieren 4.2 VPN-Tunnel zwischen CP 1628 und CP x VPN-Tunnel zwischen CP 1628 und CP x Übersicht In diesem Beispiel wird die Tunnelfunktion in der Projektierungssicht "Standard Modus" projektiert. Security-Modul 1 und Security-Modul 2 bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr und Layer-2-Verkehr nur über die eingerichteten Tunnelverbindungen zwischen autorisierten Partnern einer VPN-Gruppe möglich ist. Aufbau des Testnetzes PC1 mit Security-Modul 1: PC mit CP 1628 PC2: PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7 Security-Modul 2: CP x43-1 Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware Security Configuration Tool ist auf PC2 installiert. STEP 7 ist auf PC2 installiert und es ist bereits ein STEP 7 Projekt angelegt. Getting Started, 04/2012, C79000-G8900-C

90 VPN-Tunnel konfigurieren 4.2 VPN-Tunnel zwischen CP 1628 und CP x43-1 Die CPs verfügen über die aktuelle Uhrzeit und das aktuelle Datum. CP 1628 hat in STEP 7 die folgenden Einstellungen: IP-Adresse Industrial Ethernet: , Subnetzmaske: Die NDIS IP-Adresse wird in den IP-Einstellungen des PCs eingerichtet. CP x43-1 hat in STEP 7 die folgenden Einstellungen: Gigabit IP-Adresse: , Subnetzmaske: PROFINET IP-Adresse: , Subnetzmaske: Die folgenden Schritte in der Übersicht: IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske PC1 NDIS: PC Gehen Sie jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 90 Getting Started, 04/2012, C79000-G8900-C287-01

91 VPN-Tunnel konfigurieren 4.2 VPN-Tunnel zwischen CP 1628 und CP x Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Module anlegen Gehen Sie so vor: 1. Aktivieren Sie in den Objekteigenschaften des CP 1628 im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". 3. Ergebnis: Ein neues Security-Projekt ist angelegt. Getting Started, 04/2012, C79000-G8900-C

92 VPN-Tunnel konfigurieren 4.2 VPN-Tunnel zwischen CP 1628 und CP x Wechseln Sie in die Objekteigenschaften des CP x43-1 und aktivieren Sie im Register "Security" ebenfalls das Optionskästchen "Security aktivieren". 5. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Ergebnis: Die Security-Module werden in der Liste der konfigurierten Module angezeigt. 92 Getting Started, 04/2012, C79000-G8900-C287-01

93 VPN-Tunnel konfigurieren 4.2 VPN-Tunnel zwischen CP 1628 und CP x Tunnelverbindung projektieren Zwei Security-Module können einen IPsec-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen VPN-Gruppe zugeordnet sind. Gehen Sie wie folgt vor: 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Klicken Sie im Navigationsbereich auf "Alle Module" und anschließend im Inhaltsbereich auf den ersten CP. 3. Ziehen Sie den CP auf "Gruppe1" im Navigationsbereich. Das Modul ist jetzt dieser Gruppe zugeordnet bzw. Mitglied dieser Gruppe. Die Farbe des Schlüsselsymbols wechselt von grau nach blau. 4. Selektieren Sie im Inhaltsbereich den zweiten CP und ziehen Sie ihn auf "Gruppe1" im Navigationsbereich. Ergebnis: Der zweite CP ist jetzt ebenso dieser Gruppe zugeordnet und die Konfiguration der Tunnelverbindung ist abgeschlossen. Getting Started, 04/2012, C79000-G8900-C

94 VPN-Tunnel konfigurieren 4.2 VPN-Tunnel zwischen CP 1628 und CP x Konfiguration in Security-Modul laden Gehen Sie so vor: 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. 4. Führen Sie die Schritte 2-3 für den zweiten CP durch. Wurde der Ladevorgang fehlerfrei abgeschlossen, starten die Security-Module automatisch und die neue Konfiguration ist aktiviert. Ergebnis: Security-Module im Produktivbetrieb Die Inbetriebsetzung der Konfiguration ist damit abgeschlossen und die beiden Security- Module können einen Kommunikationstunnel aufbauen Tunnelfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 Testen Sie nun die Funktion der zwischen PC1 und Security-Modul 2 aufgebauten Tunnelverbindung wie folgt: 1. Rufen Sie auf PC1 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 94 Getting Started, 04/2012, C79000-G8900-C287-01

95 VPN-Tunnel konfigurieren 4.2 VPN-Tunnel zwischen CP 1628 und CP x Eingabe des Ping-Kommandos von PC1 an das Security-Modul 2 (IP-Adresse ) Unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, geben Sie den Befehl "ping " ein. Sie erhalten daraufhin folgende Meldung (positive Antwort von Security-Modul 2): Ergebnis Wenn die IP-Telegramme Security-Modul 2 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Da keine andere Kommunikation zugelassen war, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt 2 Wiederholen Sie den Test, indem Sie ein Ping-Kommando von PC2 aus absetzen. 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. Getting Started, 04/2012, C79000-G8900-C

96 VPN-Tunnel konfigurieren 4.2 VPN-Tunnel zwischen CP 1628 und CP x Setzen Sie erneut das gleiche Ping-Kommando ("ping ") im Fenster der Eingabeaufforderung von PC2 aus ab. Sie erhalten daraufhin folgende Meldung (keine Antwort von Security-Modul 2): Ergebnis Die IP-Telegramme von PC2 können Security-Modul 2 nicht erreichen, da weder eine Tunnelkommunikation zwischen diesen Geräten konfiguriert ist, noch normaler IP- Datenverkehr erlaubt ist. Das wird in der "Ping-Statistik" für folgendermaßen angegeben: Gesendet = 4 Empfangen = 0 Verloren = 4 (100% Verlust) 96 Getting Started, 04/2012, C79000-G8900-C287-01

97 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP 4.3 VPN-Tunnel zwischen SCALANCE S und CP Übersicht In diesem Beispiel wird die Tunnelfunktion in der Projektierungssicht "Standard Modus" projektiert. Security-Modul 1 und Security-Modul 2 bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr und Layer-2-Verkehr nur über die eingerichteten Tunnelverbindungen zwischen autorisierten Partnern möglich ist. Aufbau des Testnetzes Getting Started, 04/2012, C79000-G8900-C

98 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP Internes Netzwerk - Anschluss an den internen Port des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC1: Repräsentiert einen Teilnehmer des internen Netzwerks 1 PC2: Repräsentiert einen Teilnehmer des internen Netzwerks 2 Security-Modul 1: SCALANCE S-Modul (nicht S602) zum Schutz des internen Netzwerks 1 Security-Modul 2: CP x43-1 zum Schutz des internen Netzwerks 2 Externes Netzwerk - Anschluss an einen externen Port des Security-Moduls Das öffentliche, externe Netzwerk wird an einen externen Port des Security-Moduls angeschlossen. PC3: PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7 Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware Security Configuration Tool ist auf PC3 installiert. CP x43-1 hat in STEP 7 die folgenden Einstellungen: Gigabit IP-Adresse: , Subnetzmaske: PROFINET IP-Adresse: , Subnetzmaske: Die folgenden Schritte in der Übersicht: 98 Getting Started, 04/2012, C79000-G8900-C287-01

99 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP Security-Modul und Netzwerk einrichten Gehen Sie wie folgt vor: 1. Stellen Sie jetzt die physikalischen Netzwerkverbindungen her, indem Sie die Stecker der Netzwerkkabel in die dafür vorgesehenen Ports (RJ45-Buchsen) stecken: Verbinden Sie PC1 mit einem internen Port von Security Modul 1 und PC2 mit einem internen Port von Security Modul 2. Verbinden Sie den externen Port von Security Modul 1 und den externen Port von Security Modul 2 mit dem Hub/Switch. Verbinden Sie PC3 ebenfalls mit dem Hub/Switch. 2. Schalten Sie jetzt die beteiligten PCs ein. ACHTUNG Die Ethernet-Anschlüsse am internen und externen Port werden vom Security-Modul unterschiedlich behandelt und dürfen deshalb beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: Beim Vertauschen der Ports verliert das Gerät seine Schutzfunktion IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske Standardgateway PC PC PC Gehen Sie jeweils bei PC1, PC2 und PC3 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". Getting Started, 04/2012, C79000-G8900-C

100 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Module anlegen Gehen Sie so vor: 1. Aktivieren Sie in den Objekteigenschaften im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Projekt ist angelegt. 100 Getting Started, 04/2012, C79000-G8900-C287-01

101 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP 3. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Ergebnis: Der angelegte CP wird in der Liste der konfigurierten Module angezeigt. 4. Legen Sie im Security Configuration Tool über den Menübefehl "Einfügen" > "Modul" ein SCALANCE S-Modul mit den folgenden Paramtern an: IP-Adresse (ext.): , Subnetzmaske (ext.): Geben Sie zusätzlich die MAC-Adresse an, die auf der Frontseite des Security-Moduls aufgedruckt ist. Ergebnis: Der CP und das SCALANCE S-Modul werden im Security Configuration Tool in der Liste der konfigurierten Module angezeigt. Getting Started, 04/2012, C79000-G8900-C

102 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP 102 Getting Started, 04/2012, C79000-G8900-C287-01

103 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP Tunnelverbindung projektieren Zwei Security-Module können einen IPsec-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen Gruppe zugeordnet sind. Gehen Sie wie folgt vor: 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Klicken Sie im Navigationsbereich auf "Alle Module" und anschließend im Inhaltsbereich auf das SCALANCE S-Modul. 3. Ziehen Sie es auf "Gruppe1" im Navigationsbereich. Das Modul ist jetzt dieser Gruppe zugeordnet bzw. Mitglied dieser Gruppe. Die Farbe des Schlüsselsymbols wechselt von grau nach blau. 4. Selektieren Sie im Inhaltsbereich den CP und ziehen Sie ihn auf "Gruppe1" im Navigationsbereich. Ergebnis: Der CP ist jetzt ebenso dieser Gruppe zugeordnet und die Konfiguration der Tunnelverbindung ist abgeschlossen Konfiguration in Security-Modul laden SCALANCE S - Gehen Sie so vor: 1. Öffnen Sie in STEP 7 das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Getting Started, 04/2012, C79000-G8900-C

104 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP 2. Rufen Sie mit dem Menübefehl "Übertragen" > "An alle Module " den folgenden Dialog auf: In der Liste wird das SCALANCE S-Modul angezeigt. 1. Selektieren Sie das SCALANCE S-Modul. 2. Starten Sie den Ladevorgang über die Schaltfläche "Starten". Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das SCALANCE S-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. CP - Gehen Sie so vor: 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security-Modul automatisch und die neue Konfiguration ist aktiviert. Ergebnis: Security-Module im Produktivbetrieb Die Inbetriebsetzung der Konfiguration ist damit abgeschlossen und die beiden Security- Module können einen Kommunikationstunnel aufbauen, über den Netzknoten aus den beiden internen Netzwerken gesichert kommunizieren können. 104 Getting Started, 04/2012, C79000-G8900-C287-01

105 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP Tunnelfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 Testen Sie nun die Funktion der zwischen PC1 und PC2 aufgebauten Tunnelverbindung wie folgt: 1. Rufen Sie auf dem PC1 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC1 an den PC2 (IP-Adresse ) Unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, geben Sie den Befehl "ping " ein. Sie erhalten daraufhin folgende Meldung (positive Antwort von PC2): Ergebnis Wenn die IP-Telegramme PC2 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Getting Started, 04/2012, C79000-G8900-C

106 VPN-Tunnel konfigurieren 4.3 VPN-Tunnel zwischen SCALANCE S und CP Da keine andere Kommunikation zugelassen war, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt 2 Wiederholen Sie den Test, indem Sie ein Ping-Kommando von PC3 aus absetzen. 1. Rufen Sie auf dem PC3 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Setzen Sie erneut das gleiche Ping-Kommando ("ping ") im Fenster der Eingabeaufforderung von PC3 aus ab. Sie erhalten daraufhin folgende Meldung (keine Antwort von PC2): Ergebnis Die IP-Telegramme von PC3 können PC2 nicht erreichen, da weder eine Tunnelkommunikation zwischen diesen Geräten konfiguriert ist, noch normaler IP- Datenverkehr erlaubt ist. Das wird in der "Ping-Statistik" für folgendermaßen angegeben: Gesendet = 4 Empfangen = 0 Verloren = 4 (100% Verlust) 106 Getting Started, 04/2012, C79000-G8900-C287-01

107 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten 4.4 VPN-Tunnel zwischen allen Security-Produkten Übersicht In diesem Beispiel wird die Tunnelfunktion in der Projektierungssicht "Standard Modus" projektiert. Sie erreichen mit dieser Konfiguration, dass der IP-Verkehr nur über die eingerichteten Tunnelverbindungen zwischen autorisierten Partnern der einzelnen VPN- Gruppen möglich ist. Der Zugriff vom Service PG, auf dem der SOFTNET Security Client installiert ist, ist für alle vier Security-Module erlaubt. Getting Started, 04/2012, C79000-G8900-C

108 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten VPN-Gruppe VPN-Teilnehmer 1 SCALANCE S 612 V3.0 CP Advanced GX30 V3.0 SOFTNET Security Client 2 CP Advanced GX31 V3.0 CP Advanced GX30 V3.0 SOFTNET Security Client 3 CP 1628 V1.0 CP Advanced GX31 V3.0 SOFTNET Security Client Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware Security Configuration Tool und der SOFTNET Security Client sind auf PC2 installiert. Alle Security-Module verfügt über die aktuelle Uhrzeit und das aktuelle Datum. STEP 7 ist auf PC1 installiert und es ist bereits ein STEP 7 Projekt mit den folgenden Security-Modulen angelegt: Security-Modul IP-Adresse Subnetzmaske CP Advanced GX30 V3.0 Gigabit: PROFINET: CP Advanced GX31 V3.0 Gigabit: PROFINET: CP 1628 V1.0 Industrial Ethernet: Getting Started, 04/2012, C79000-G8900-C287-01

109 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten Die folgenden Schritte in der Übersicht: IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske PC PC Gehen Sie dazu jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". Getting Started, 04/2012, C79000-G8900-C

110 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. 110 Getting Started, 04/2012, C79000-G8900-C287-01

111 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten Projekt und Module anlegen Security für die CPs aktivieren 1. Aktivieren Sie in den Objekteigenschaften des CP Advanced GX30 im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Security-Projekt ist angelegt. 3. Aktivieren Sie nacheinander in den Objekteigenschaften des CP Advanced GX31 und CP 1628 im Register "Security" das Optionskästchen "Security aktivieren". 4. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Ergebnis: Die angelegten CPs, bei denen Security aktiviert ist, werden in der Liste der konfigurierten Module angezeigt. SCALANCE S und SOFTNET Security Client anlegen 1. Legen Sie über den Menübefehl "Einfügen" > "Modul" ein neues Modul an. Konfigurieren Sie: Produkttyp: SCALANCE S Baugrupp: S612 Firmwarerelease V3 IP-Adresse (ext.): , Subnetzmaske (ext.): Aktivieren Sie das Kontollkästchen "Routing aktivieren" und geben Sie die folgenden Daten ein: IP-Adresse (int.): , Subnetzmaske (int.): Ergebnis: Das angelegte SCALANCE S Modul wird in die Liste der konfigurierten Module als "Modul1" hinzugefügt. 3. Geben Sie im Bereich "Konfiguration" die MAC-Adresse im vorgegebenen Format ein. Die MAC-Adresse ist auf der Frontseite des SCALANCE S-Moduls aufgedruckt 4. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Modul" ein zweites Modul. Konfigurieren Sie: Produkttyp: SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x, MD74x) Baugruppee: SOFTNET Security Client Firmwarerelease: V4 Ergebnis: Der angelegte SOFNET Security Client wird in der Liste der konfigurierten Module als "Modul2" hinzugefügt. Getting Started, 04/2012, C79000-G8900-C

112 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten 5. Klicken Sie im Navigationsbereich auf "Alle Module" und anschließend im Inhaltsbereich auf die Zeile mit "Modul1". 6. Klicken Sie in die Spalte "Name" und geben Sie den Namen "SCA612" ein. 7. Klicken Sie auf die Zeile mit "Modul2". 8. Klicken Sie in die Spalte "Name" und geben Sie den Namen "SSC-PC2" ein. Ergebnis: Die CPs, das SCALANCE S-Modul und der SOFTNET Security Client werden im Security Configuration Tool in der Liste der konfigurierten Module angezeigt. 112 Getting Started, 04/2012, C79000-G8900-C287-01

113 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten Tunnelverbindung projektieren Security-Module können einen IPsec-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen Gruppe zugeordnet sind. Gehen Sie wie folgt vor: 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Fügen Sie zwei weitere Gruppen ein. Die Gruppen erhalten automatisch die Namen "Gruppe2" und "Gruppe3". 3. Ziehen Sie nacheinander das SCALANCE S-Modul, den CP Advanced GX30 und den SOFNET Security Client auf "Gruppe1" im Navigationsbereich. Die Module sind jetzt Gruppe1 zugeordnet bzw. Mitglied dieser Gruppe. Die Farbe des Schlüsselsymbols wechselt von grau nach blau. 4. Ziehen Sie nacheinander den CP Advanced GX31, den CP Advanced GX30 und den SOFTNET Security Client auf "Gruppe2" im Navigationsbereich. Die Module sind jetzt Gruppe2 zugeordnet bzw. Mitglied dieser Gruppe. Die Farbe des Schlüsselsymbols wechselt von grau nach blau. 5. Ziehen Sie nacheinander den CP 1628, den CP Advanced GX31 und den SOFTNET Security Client auf "Gruppe3" im Navigationsbereich. Die Module sind jetzt Gruppe3 zugeordnet bzw. Mitglied dieser Gruppe. Die Farbe des Schlüsselsymbols wechselt von grau nach blau. 6. Schließen Sie SCT. Die Konfiguration der Tunnelverbindung ist abgeschlossen. Getting Started, 04/2012, C79000-G8900-C

114 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten Konfiguration in Security-Modul laden und SOFTNET Security Client Konfiguration abspeichern SCALANCE S und SOFNET Security Client- Gehen Sie so vor: 1. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". 2. Rufen Sie mit dem Menübefehl "Übertragen" > "An alle Module " den folgenden Dialog auf: 3. Starten Sie den Ladevorgang über die Schaltfläche "Starten". 4. Speichern Sie die Konfigurationsdatei "Projektname.SSC-PC2.dat" in ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das SCALANCE S-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. CPs - Gehen Sie so vor: 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig für den CP Advanced das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. 4. Führen Sie die Schritte 2-3 für den CP und CP 1628 durch. Wurde der Ladevorgang fehlerfrei abgeschlossen, starten die Security-Module automatisch und die neue Konfiguration ist aktiviert. 114 Getting Started, 04/2012, C79000-G8900-C287-01

115 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten Ergebnis: Security-Module im Produktivbetrieb Die Inbetriebsetzung der Konfiguration ist damit abgeschlossen und die Security-Module innerhalb einer VPN-Gruppe können einen Kommunikationstunnel aufbauen und gesichert miteinander kommunizieren Tunnelaufbau mit dem SOFTNET Security Client Gehen Sie wie folgt vor: 1. Starten Sie den SOFTNET Security Client auf PC2. 2. Betätigen Sie die Schaltfläche "Konfiguration laden", wechseln Sie in ihr Projektverzeichnis und laden Sie die Konfigurationsdatei "Projektname.SSC-PC2.dat". 3. Geben Sie das Passwort für den privaten Schlüssel des Zertifikats ein und bestätigen Sie mit "Weiter". 4. Bestätigen Sie den Dialog "Alle statisch konfigurierten Teilnehmer aktivieren?" mit "Ja". 5. Betätigen Sie die Schaltfläche "Tunnelübersicht". 6. Damit die gelernten Subnetze kommunizieren können, aktivieren Sie diese über das Kontextmenü. Ergebnis: aktive Tunnelverbindung Die Tunnel zwischen dem SOFTNET Security Client und den Security-Modulen wurde aufgebaut. Dieser Betriebszustand wird durch den grünen Kreis signalisiert. In der Log-Konsole der Tunnelübersicht des SOFTNET Security Client erhalten Sie einige Rückmeldungen von Ihrem System, wie der Verbindungsversuch abgelaufen ist und ob eine Policy für die Kommunikationsverbindung erstellt wurde. Getting Started, 04/2012, C79000-G8900-C

116 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten Die Inbetriebsetzung der Konfiguration ist damit abgeschlossen und die Security-Module der konfigurierten VPN-Gruppen und der SOFTNET Security Client haben Kommunikationstunnel aufgebaut, über die sie gesichert kommunizieren können. 116 Getting Started, 04/2012, C79000-G8900-C287-01

117 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten Tunnelfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt Testen Sie nun die Funktion der zwischen PC2 und PC3 aufgebauten Tunnelverbindung wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC2 an den PC3 (IP-Adresse ) Unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, geben Sie den Befehl "ping " ein. Sie erhalten daraufhin folgende Meldung (positive Antwort von PC1): Ergebnis Wenn die IP-Telegramme PC1 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Getting Started, 04/2012, C79000-G8900-C

118 VPN-Tunnel konfigurieren 4.4 VPN-Tunnel zwischen allen Security-Produkten Da keine andere Kommunikation zugelassen war, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt wiederholen Testen Sie nun nacheinander die Funktion der zwischen PC2 und PC1, PC2 und CP Advanced GX30und PC2 und CP Advanced GX31 aufgebauten Tunnelverbindungen wie im Absatz "Testsabschnitt" beschrieben. Wenn die Tunnelverbindung korrekt aufgebaut ist, erhalten Sie von jedem PC bzw. Security-Modul eine positive Antwort auf die jeweilige Ping-Anfrage. 118 Getting Started, 04/2012, C79000-G8900-C287-01

119 Fernzugriff über VPN-Tunnel konfigurieren Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client Übersicht In diesem Beispiel wird die VPN-Tunnelfunktion in der Projektierungssicht "Standard Modus" projektiert. Ein Security-Modul und der SOFTNET Security Client bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung über ein öffentliches Netzwerk. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur über die eingerichteten VPN- Tunnelverbindungen zwischen autorisierten Partnern möglich ist. Getting Started, 04/2012, C79000-G8900-C

120 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client Aufbau des Testnetzes Internes Netzwerk - Anschluss an den internen Port des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC1: repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul: SCALANCE S-Modul (nicht S602) zum Schutz des internen Netzwerks Externes Netzwerk - Anschluss an den externen Port des Security-Moduls Das öffentliche, externe Netzwerk wird an den externen Port des Security-Moduls angeschlossen. PC2: PC mit der Konfigurationssoftware Security Configuration Tool und der Software SOFTNET Security Client für den sicheren VPN-Zugang in das interne Netzwerk PC3: Test-PC für Testabschnitt 2 Hinweis Im Beispiel wird stellvertretend für ein externes, öffentliches WAN ein lokales Netz zur prinzipiellen Erläuterung der entsprechenden Funktionsweise zu Hilfe genommen. Erläuterungen bezüglich der Nutzung eines WANs werden an den entsprechenden Stellen gegeben. 120 Getting Started, 04/2012, C79000-G8900-C287-01

121 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: 1x SCALANCE S-Modul (nicht S602), (optional: eine entsprechend montierte Hutschiene mit Montagematerial); 1x 24V-Stromversorgungen mit Kabelverbindung und Klemmenblockstecker; 1x PC auf dem das Projektierungswerkzeug "Security Configuration Tool" und der VPN- Client "SOFTNET Security Client" installiert ist; 1x PC im internen Netz für den Test der Konfiguration; 1x PC im externen Netz für den Test der Konfiguration; 1x Netzwerk-Hub bzw. -Switch zum Aufbau der Netzwerkverbindungen mit dem SCALANCE S-Modul sowie den PCs; die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Die folgenden Schritte in der Übersicht: SCALANCE S und Netzwerk einrichten Gehen Sie wie folgt vor: 1. Packen Sie zunächst das SCALANCE S Gerät aus und überprüfen Sie den unbeschädigten Zustand. 2. Schließen Sie die Spannungsversorgung an das SCALANCE S Modul an. Getting Started, 04/2012, C79000-G8900-C

122 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client Ergebnis: Nach dem Anschließen der Betriebsspannung leuchtet die Fault-LED (F) gelb. WARNUNG Das Gerät SCALANCE S ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/ VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S muss NEC Class 2 entsprechen (Spannungsbereich V, Strombedarf ca. 250 ma). 1. Stellen Sie jetzt die physikalischen Netzwerkverbindungen her, indem Sie die Stecker der Netzwerkkabel in die dafür vorgesehenen Ports (RJ45-Buchsen) stecken: Verbinden Sie PC1 mit Port 2 von Modul 1. Verbinden Sie Port 1 von Module 1 mit dem Hub/Switch. Verbinden Sie PC2 und PC3 ebenfalls mit dem Hub/Switch. 2. Schalten Sie jetzt die beteiligten PCs ein. Hinweis Für die Nutzung eines WAN als externes, öffentliches Netzwerk sind die Verbindungen zum Hub/Switch mit den Verbindungen zum WAN (Internetzugang) zu ersetzen. ACHTUNG Die Ethernet-Anschlüsse an Port 1 und Port 2 werden vom SCALANCE S unterschiedlich behandelt und dürfen deshalb beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: Port 1 - "External Network" obere RJ45-Buchse, rote Markierung = ungeschützter Netzwerkbereich; Port 2 - "Internal Network" untere RJ45-Buchse, grüne Markierung = durch SCALANCE S geschütztes Netzwerk; Beim Vertauschen der Ports verliert das Gerät seine Schutzfunktion IP-Einstellungen der PCs einrichten Die PCs sollten für den Test folgende IP-Adress-Einstellungen erhalten. PC IP-Adresse Subnetzmaske Standardgateway PC PC PC Getting Started, 04/2012, C79000-G8900-C287-01

123 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client Für das Standardgateway geben Sie die IP-Adressen ein, die dem Security-Modul in der nachfolgenden Projektierung für die interne und externe Schnittstelle zugewiesen werden: PC1 verwendet die interne Schnittstelle. PC2 und PC3 verwenden die externe Schnittstelle. Hinweis Für die Nutzung eines WAN als externes, öffentliches Netzwerk sind auf PC2 und PC3 die jeweiligen IP-Einstellungen für die Verbindung mit dem WAN (Internet) einzurichten. Gehen Sie bei PC1, PC2 und PC3 jeweils folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 4. Klicken Sie auf die Schaltfläche "Eigenschaften". Getting Started, 04/2012, C79000-G8900-C

124 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Module anlegen Gehen Sie so vor: 1. Wählen Sie den Menübefehl "Projekt" > "Neu". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 3. Bestätigen Sie Ihre Eingabe. Ergebnis: Ein neues Projekt ist angelegt. Der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" öffnet sich. 4. Konfigurieren Sie Produkttyp, Baugruppe und Firmwarerelease und schließen Sie den Dialog mit "OK" 5. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Modul" ein zweites Modul. Konfigurieren Sie: Produkttyp: SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x/MD74x) Baugruppe: SOFTNET Security Client Firmwarerelease: Entsprechend der von Ihnen verwendeten SOFTNET Security Client Version. Schließen Sie den Dialog mit "OK". Ergebnis: Das Modul wird in der Liste der konfigurierten Module angezeigt. Der Name wird entsprechend den Voreinstellungen des Projektes automatisch vergeben. 124 Getting Started, 04/2012, C79000-G8900-C287-01

125 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client 6. Doppelklicken Sie "Modul1". Ergebnis: Das Register "Schnittstellen" wird geöffnet. 7. Tragen Sie im Feld "Extern (P1)" die folgenden Werte ein: IP-Adresse: , Subnetzmaske: MAC: die auf der Frontseite des SCALANCE S-Moduls aufgedruckt MAC-Adresse (siehe Bild). Hinweis Für die Nutzung eines WAN als externes, öffentliches Netzwerk geben Sie als "IP- Adresse ext." Ihre vom Provider erhaltene IP-Adresse an, über welche das Security- Modul dann im WAN (Internet) erreichbar ist. Damit das Security-Modul Pakete über das WAN (Internet) versenden kann, müssen Sie als "Standard-Router" Ihren DSL- Router eintragen. Wenn Sie einen DSL-Router als Internet-Gateway nutzen, müssen an diesem mindestens die folgenden Ports freigeschaltet werden: Port 500 (ISAKMP) Port 4500 (NAT-T) Für SCALANCE S muss bei Konfigurations-Downloads (über das WAN ohne aktiven Tunnel) zusätzlich der Port 443 (HTTPS) freigeschaltet werden. Rounting konfigurieren 1. Wählen Sie im Register "Schnittstellen" als "Schnittstellenrouting" den "Routing-Modus". Getting Started, 04/2012, C79000-G8900-C

126 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client 2. Ergänzen Sie nun im Eingabebereich "Intern (P2)" die Adressangaben für das SCALANCE S wie folgt und bestätigen Sie die Eingabe mit "OK": interne Modul IP-Adresse: interne Subnetzmaske: Klicken Sie im Navigationsbereich auf "Alle Module" und anschließend im Inhaltsbereich auf die Zeile mit "Modul2". 4. Klicken Sie in die Spalte "Name" und geben Sie den Namen "SSC-PC2" ein. Ergebnis: Die Einstellungen sind abgeschlossen und sollten dem folgenden Bild entsprechen: Tunnelverbindung projektieren Ein SCALANCE S und der SOFTNET Security Client können einen IPsec-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen Gruppe zugeordnet sind. Gehen Sie wie folgt vor: 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. 126 Getting Started, 04/2012, C79000-G8900-C287-01

127 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Selektieren Sie im Inhaltsbereich das SCALANCE S Modul "Modul1" und ziehen Sie es auf "Gruppe1" im Navigationsbereich. Das Modul ist jetzt dieser Gruppe zugeordnet bzw. Mitglied dieser Gruppe. Die Farbe des Schlüsselsymbols wechselt von grau nach blau. Dies bedeutet, dass für das Modul eine IPsec-Verbindung projektiert ist. 3. Selektieren Sie im Inhaltsbereich das SOFTNET Security Client Modul und ziehen Sie es auf "Gruppe1" im Navigationsbereich. Das Modul ist jetzt ebenso dieser Gruppe zugeordnet. 4. Speichern Sie dieses Projekt mit dem Menübefehl "Projekt" > "Speichern unter " unter einem zweckmäßigen Namen ab. Die Konfiguration der Tunnelverbindung ist abgeschlossen Konfiguration in SCALANCE S laden und SOFTNET Security Client Konfiguration abspeichern Gehen Sie wie folgt vor: 1. Rufen Sie mit dem Menübefehl "Übertragen" > "An alle Module " den folgenden Dialog auf: Getting Started, 04/2012, C79000-G8900-C

128 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client 2. Starten Sie den Ladevorgang über die Schaltfläche "Starten". 3. Speichern Sie die Konfigurationsdatei "Projektname.SSC-PC2.dat" in ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das Security-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. Ergebnis: SCALANCE S im Produktivbetrieb Das Security-Modul befindet sich im Produktivbetrieb. Dieser Betriebszustand wird von der Fault-LED durch grünes Licht signalisiert. Die Inbetriebsetzung der Konfiguration ist abgeschlossen und das Security-Modul und der SOFTNET Security Client können einen Kommunikationstunnel aufbauen, über den Netzknoten aus dem internen Netzen gesichert mit PC2 kommunizieren können. Hinweis Für die Nutzung eines WAN als externes, öffentliches Netzwerk können Sie ein Security- Modul mit Werkseinstellung nicht über das WAN konfigurieren. Konfigurieren Sie in diesem Fall das Security-Modul aus dem internen Netz heraus Tunnelaufbau mit dem SOFTNET Security Client Gehen Sie wie folgt vor: 1. Starten Sie den SOFTNET Security Client auf PC2. 2. Betätigen Sie die Schaltfläche "Konfiguration laden", wechseln Sie in ihr Projektverzeichnis und laden Sie die Konfigurationsdatei "Projektname.SSC-PC2.dat". 128 Getting Started, 04/2012, C79000-G8900-C287-01

129 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client 3. Geben Sie das Passwort für den privaten Schlüssel des Zertifikats ein und bestätigen Sie mit "Weiter". 4. Bestätigen Sie den Dialog "Alle statisch konfigurierten Teilnehmer aktivieren?" mit "Ja". 5. Betätigen Sie die Schaltfläche "Tunnelübersicht". Ergebnis: aktive Tunnelverbindung Der Tunnel zwischen SCALANCE S und SOFTNET Security Client wurde aufgebaut. Dieser Betriebszustand wird durch den grünen Kreis beim Eintrag "Module1" signalisiert. In der Log-Konsole der Tunnelübersicht des SOFTNET Security Client erhalten Sie einige Rückmeldungen von Ihrem System, wie der Verbindungsversuch abgelaufen ist und ob eine Policy für die Kommunikationsverbindung erstellt wurde. Die Inbetriebsetzung der Konfiguration ist damit abgeschlossen und das SCALANCE S Modul und der SOFTNET Security Client haben einen Kommunikationstunnel aufgebaut, über den Netzknoten aus dem internen Netz und PC2 gesichert kommunizieren können. Getting Started, 04/2012, C79000-G8900-C

130 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client Tunnelfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 Testen Sie nun die Funktion der zwischen PC1 und PC2 aufgebauten Tunnelverbindung wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC2 an den PC1 (IP-Adresse ). Unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, geben Sie den Befehl ping ein. Sie erhalten daraufhin folgende Meldung: (positive Antwort von PC1). 130 Getting Started, 04/2012, C79000-G8900-C287-01

131 Fernzugriff über VPN-Tunnel konfigurieren 5.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client Ergebnis Wenn die IP-Telegramme PC1 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Da keine andere Kommunikation zugelassen war, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt 2 Wiederholen Sie nun den Test, indem Sie ein Ping-Kommando von PC3 aus absetzen. 1. Rufen Sie auf dem PC3 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Setzen Sie erneut das gleiche Ping-Kommando (ping ) im Fenster der Eingabeaufforderung von PC3 aus ab. Sie erhalten daraufhin folgende Meldung: (keine Antwort von PC1). Ergebnis Die IP-Telegramme von PC3 können PC1 nicht erreichen, da weder eine Tunnel- Kommunikation zwischen diesen Geräten konfiguriert ist, noch normaler IP-Datenverkehr erlaubt ist. Das wird in der "Ping-Statistik" für folgendermaßen angegeben: Gesendet = 4 Empfangen = 0 Verloren = 4 (100% Verlust) Getting Started, 04/2012, C79000-G8900-C

132 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Übersicht In diesem Beispiel wird die VPN-Tunnelfunktion in der Projektierungssicht "Standard Modus" projektiert. Ein Security-Modul und ein SOFTNET Security Client bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung über ein öffentliches Netzwerk. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur über die eingerichteten VPN- Tunnelverbindungen zwischen autorisierten Partnern möglich ist. Aufbau des Testnetzes 132 Getting Started, 04/2012, C79000-G8900-C287-01

133 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Internes Netzwerk - Anschluss an den internen Port des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC1: repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul: CP x43-1 zum Schutz des internen Netzwerks Externes Netzwerk - Anschluss an den externen Port des Security-Moduls Das öffentliche, externe Netzwerk wird an den externen Port eines Security-Moduls angeschlossen. PC2: PC mit der Konfigurationssoftware Security Configuration Tool und der Software SOFTNET Security Client für den sicheren VPN-Zugang in das interne Netzwerk PC3: Test-PC für Testabschnitt 2 Hinweis Im Beispiel wird stellvertretend für ein externes, öffentliches WAN ein lokales Netz zur prinzipiellen Erläuterung der entsprechenden Funktionsweise zu Hilfe genommen. Erläuterungen bezüglich der Nutzung eines WANs werden an den entsprechenden Stellen gegeben. Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware Security Configuration Tool ist auf PC2 installiert. STEP 7 ist auf PC2 installiert und es ist bereits ein STEP 7 Projekt angelegt. Das Security-Modul verfügt über die aktuelle Uhrzeit und das aktuelle Datum. CP x43-1 hat in STEP 7 die folgenden Einstellungen: Gigabit IP-Adresse: , Subnetzmaske: PROFINET IP-Adresse: , Subnetzmaske: Getting Started, 04/2012, C79000-G8900-C

134 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Die folgenden Schritte in der Übersicht: IP-Einstellungen der PCs einrichten Die PCs sollten für den Test folgende IP-Adress-Einstellungen erhalten. PC IP-Adresse Subnetzmaske Standardgateway PC PC PC Für das Standardgateway geben Sie die IP-Adressen ein, die dem Security-Modul in der nachfolgenden Projektierung für die interne und externe Schnittstelle zugewiesen werden: PC1 verwendet die interne Schnittstelle. PC2 und PC3 verwenden die externe Schnittstelle. Hinweis Für die Nutzung eines WAN als externes, öffentliches Netzwerk sind auf PC2 und PC3 die jeweiligen IP-Einstellungen für die Verbindung mit dem WAN (Internet) einzurichten. Gehen Sie bei PC1, PC2 und PC3 jeweils folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 134 Getting Started, 04/2012, C79000-G8900-C287-01

135 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Module anlegen Gehen Sie so vor: 1. Aktivieren Sie in den STEP 7 Objekteigenschaften des Security-Moduls im Register "Security" das Optionskästchen "Security aktivieren". Getting Started, 04/2012, C79000-G8900-C

136 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Security-Projekt ist angelegt. 3. Öffnen Sie das Menü "Bearbeiten" > "Security Configuration Tool". Ergebnis: Das Security-Modul wird in der Liste der konfigurierten Module angezeigt. 1. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Modul" ein zweites Modul. Konfigurieren Sie: Produkttyp: SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x/MD74x) Baugruppe: SOFTNET Security Client Firmwarerelease: Entsprechend der von Ihnen verwendeten SOFTNET Security Client Version. 2. Schließen Sie den Dialog mit "OK". Ergebnis: Das Modul wird in der Liste der konfigurierten Module angezeigt. Der Name wird entsprechend den Voreinstellungen des Projektes automatisch vergeben. Hinweis Für die Nutzung eines WAN als externes, öffentliches Netzwerk geben Sie als "IP- Adresse ext." Ihre vom Provider erhaltene IP-Adresse an über welche das Security-Modul dann im WAN (Internet) erreichbar ist. Damit das Security-Modul Pakete über das WAN (Internet) versenden kann, müssen Sie als "Standard-Router" Ihren DSL-Router eintragen. Wenn Sie einen DSL-Router als Internet Gateway nutzen, müssen an diesem mindestens die folgenden Ports weitergeleitet werden: Port 500 (ISAKMP) Port 4500 (NAT-T) Bei Konfigurationsdownloads (nicht durch einen aktiven Tunnel) muss zusätzlich der Port 443 (HTTPS) weitergeleitet werden. 3. Klicken Sie im Navigationsbereich auf "Alle Module" und anschließend im Inhaltsbereich auf die Zeile mit "Modul2". 4. Klicken Sie in die Spalte "Name" und geben Sie den Namen "SSC-PC2" ein. 136 Getting Started, 04/2012, C79000-G8900-C287-01

137 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Tunnelverbindung projektieren Das Security-Modul und der SOFTNET Security Client können einen IPsec-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen Gruppe zugeordnet sind. Gehen Sie wie folgt vor: 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Selektieren Sie im Inhaltsbereich das Security-Modul und ziehen Sie es auf "Gruppe1" im Navigationsbereich. Das Modul ist jetzt dieser Gruppe zugeordnet bzw. Mitglied dieser Gruppe. Die Farbe des Schlüsselsymbols wechselt von grau nach blau. Dies bedeutet, dass für das Modul eine IPsec-Verbindung projektiert ist. 3. Selektieren Sie im Inhaltsbereich das SOFTNET Security Client Modul und ziehen Sie es auf "Gruppe1" im Navigationsbereich. Das Modul ist jetzt ebenso dieser Gruppe zugeordnet. Die Konfiguration der Tunnelverbindung ist abgeschlossen. Getting Started, 04/2012, C79000-G8900-C

138 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Konfiguration in Security-Modul laden und SOFTNET Security Client Konfiguration abspeichern Gehen Sie wie folgt vor: 1. Rufen Sie mit dem Menübefehl "Übertragen" > "An alle Module " den folgenden Dialog auf: 2. Starten Sie den Ladevorgang über die Schaltfläche "Starten". 3. Speichern Sie die Konfigurationsdatei "Projektname.SSC-PC2.dat" in ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das Security-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. Ergebnis: Security-Modul im Produktivbetrieb Die Inbetriebsetzung der Konfiguration ist abgeschlossen und das Security-Modul und der SOFTNET Security Client können einen Kommunikationstunnel aufbauen, über den Netzknoten aus dem internen Netzen gesichert mit PC2 kommunizieren können. Hinweis Für die Nutzung eines WAN als externes, öffentliches Netzwerk können Sie ein Security- Modul mit Werkseinstellung nicht über das WAN konfigurieren. Konfigurieren Sie in diesem Fall das Security-Modul aus dem internen Netz heraus. 138 Getting Started, 04/2012, C79000-G8900-C287-01

139 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Tunnelaufbau mit dem SOFTNET Security Client Gehen Sie wie folgt vor: 1. Starten Sie den SOFTNET Security Client auf PC2. 2. Betätigen Sie die Schaltfläche "Konfiguration laden", wechseln Sie in ihr Projektverzeichnis und laden Sie die Konfigurationsdatei "Projektname.SSC-PC2.dat". 3. Geben Sie das Passwort für den privaten Schlüssel des Zertifikats ein und bestätigen Sie mit "Weiter". 4. Bestätigen Sie den Dialog "Alle statisch konfigurierten Teilnehmer aktivieren?" mit "Ja". 5. Betätigen Sie die Schaltfläche "Tunnelübersicht". Ergebnis: aktive Tunnelverbindung Der Tunnel zwischen dem Security-Modul und dem SOFTNET Security Client wurde aufgebaut. Dieser Betriebszustand wird durch den grünen Kreis beim Eintrag "Module1" signalisiert. In der Log-Konsole der Tunnelübersicht des SOFTNET Security Client erhalten Sie einige Rückmeldungen von Ihrem System, wie der Verbindungsversuch abgelaufen ist und ob eine Policy für die Kommunikationsverbindung erstellt wurde. Getting Started, 04/2012, C79000-G8900-C

140 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Die Inbetriebsetzung der Konfiguration ist damit abgeschlossen und das Security-Modul und der SOFTNET Security Client haben einen Kommunikationstunnel aufgebaut, über den Netzknoten aus dem internen Netz und PC2 gesichert kommunizieren können. 140 Getting Started, 04/2012, C79000-G8900-C287-01

141 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Tunnelfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. ACHTUNG Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 Testen Sie nun die Funktion der zwischen PC1 und PC2 aufgebauten Tunnelverbindung wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC2 an PC1 (IP-Adresse ). Unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, geben Sie den Befehl "ping " ein. Sie erhalten daraufhin folgende Meldung (positive Antwort von PC1): Getting Started, 04/2012, C79000-G8900-C

142 Fernzugriff über VPN-Tunnel konfigurieren 5.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client Ergebnis Wenn die IP-Telegramme PC1 erreicht haben, gibt die "Ping-Statistik" für folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Da keine andere Kommunikation zugelassen war, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt 2 Wiederholen Sie nun den Test, indem Sie ein Ping-Kommando von PC3 aus absetzen. 1. Rufen Sie auf dem PC3 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Setzen Sie erneut das gleiche Ping-Kommando ("ping ") im Fenster der Eingabeaufforderung von PC3 aus ab. Sie erhalten daraufhin folgende Meldung (keine Antwort von PC1): Ergebnis Die IP-Telegramme von PC3 können PC1 nicht erreichen, da weder eine Tunnel- Kommunikation zwischen diesen Geräten konfiguriert ist, noch normaler IP-Datenverkehr erlaubt ist. Das wird in der "Ping-Statistik" für folgendermaßen angegeben: Gesendet = 4 Empfangen = 0 Verloren = 4 (100% Verlust) 142 Getting Started, 04/2012, C79000-G8900-C287-01

143 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Übersicht In diesem Beispiel wird die VPN-Tunnelfunktion in der Projektierungssicht "Erweiterter Modus" projektiert. Ein SCALANCE M und der SOFTNET Security Client bilden die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung über ein öffentliches Netzwerk. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur über die eingerichtete VPN- Tunnelverbindung zwischen autorisierten Partnern möglich ist. Hinweis Für die Konfiguration dieses Beispiels ist es zwingend erforderlich, dass Sie für die SIM- Karte des SCALANCE M von Ihrem Provider (Mobilfunkanbieter) eine öffentliche, sich nicht ändernde IP-Adresse zur Verfügung gestellt bekommen, welche auch aus dem Internet erreichbar ist. (Alternativ kann auch mit einer DynDNS-Adresse für das SCALANCE M gearbeitet werden.) Getting Started, 04/2012, C79000-G8900-C

144 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Aufbau des Testnetzes: Internes Netzwerk - Anschluss an SCALANCE M Port X2 ("Netzwerk Intern") Im internen Netzwerk wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an den "Internal Network"-Port (Port X2) eines SCALANCE M Moduls angeschlossen ist. PC1: repräsentiert einen Teilnehmer des internen Netzwerks SCALANCE M: SCALANCE M-Modul zum Schutz des internen Netzwerks Externes, öffentliches Netzwerk - Anbindung über SCALANCE M Antenne ("Netzwerk Extern") Das externe, öffentliche Netzwerk ist ausschließlich ein GSM- oder Mobilfunktnetz, welches vom Anwender beim Provider (Mobilfunkanbieter) gewählt werden kann und wird über die Antenne des SCALANCE M-Moduls erreicht. PC2: PC mit der Konfigurationssoftware Security Configuration Tool und der Software SOFTNET Security Client für den sicheren VPN-Zugang in das interne Netzwerk Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: 1x SCALANCE M-Modul mit SIM-Karte (optional: eine entsprechend montierte Hutschiene mit Montagematerial); 1x 24 V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker; 1x PC auf dem das Projektierungswerkzeug "Security Configuration Tool" und der VPN- Client "SOFTNET Security Client" installiert ist; 1x PC im internen Netz, des SCALANCE M mit einem Browser für die Projektierung des SCALANCE M und den Test der Konfiguration; 144 Getting Started, 04/2012, C79000-G8900-C287-01

145 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client 1x DSL-Router (Verbindung in das Internet für den PC mit dem VPN-Client (ISDN, DSL, UMTS, etc.) Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Die folgenden Schritte in der Übersicht SCALANCE M und Netzwerk einrichten Gehen Sie wie folgt vor: 1. Packen Sie zunächst das SCALANCE M Gerät aus und überprüfen Sie den unbeschädigten Zustand. 2. Folgen Sie der "Schritt für Schritt" Inbetriebnahme des SCALANCE M Systemhandbuchs bis zu dem Punkt, an welchem Sie es nach Ihren Anforderungen einrichten sollen. Benutzen Sie dazu PC1, Einrichten des SCALANCE M, siehe Kapitel Konfiguration des SCALANCE M vornehmen (Seite 154). 3. Stellen Sie jetzt die physikalischen Netzwerkverbindungen her, indem Sie die Stecker der Netzwerkkabel in die dafür vorgesehenen Ports (RJ45-Buchsen) stecken: Verbinden Sie PC1 mit Port X2 ("Netzwerk Intern") vom SCALANCE M Verbinden Sie PC2 mit dem DSL-Router 4. Schalten Sie jetzt die beteiligten PCs ein. Getting Started, 04/2012, C79000-G8900-C

146 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client IP-Einstellungen der PCs einrichten Die PCs sollten für den Test folgende IP-Adress-Einstellungen erhalten. PC IP-Adresse Subnetzmaske Standardgateway PC PC Für das Standardgateway von PC1 geben Sie die IP-Adresse an, die Sie dem SCALANCE M-Modul (für die interne Netzwerkschnittstelle) in der nachfolgenden Projektierung zuweisen. Für PC2 geben Sie die IP-Adresse des DSL-Routers (für die interne Netzwerkschnittstelle) an. Gehen Sie bei PC1 und PC2 jeweils folgendermaßen vor, um auf dem betreffenden PC die Netzwerkverbindungen zu öffnen: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 146 Getting Started, 04/2012, C79000-G8900-C287-01

147 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. Getting Started, 04/2012, C79000-G8900-C

148 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Projekt und Module anlegen Gehen Sie so vor: 1. Installieren und starten Sie die Projektierungssoftware Security Configuration Tool auf PC2. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie Ihre Eingabe. Ergebnis: Ein neues Projekt ist angelegt. Der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" öffnet sich. 5. Konfigurieren Sie: Produkttyp: SOFTNET Configuration (SOFTNET Security Client, SOFTNET Security Client, SCALANCE M87x/MD74x) Baugruppe: SOFTNET Security Client Firmwarerelease: V3 Vergeben Sie den Modulnamen "SSC-PC2" und schließen Sie den Dialog mit "OK". 6. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Modul" ein zweites Modul. Konfigurieren Sie: Produkttyp: SOFTNET Configuration (SOFTNET Security Client, SOFTNET Security Client, SCALANCE M87x/MD74x) Baugruppe: SCALANCE M87x/MD74x Firmwarerelease: V3 Vergeben Sie den Modulnamen "SCALANCE-M". 148 Getting Started, 04/2012, C79000-G8900-C287-01

149 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client 7. Geben Sie im Bereich "Konfiguration" die externe IP-Adresse und die externe Subnetzmaske im vorgegebenen Format ein. Hinweis Für die Konfiguration dieses Beispiels ist es zwingend erforderlich, dass Sie für die SIM- Karte des SCALANCE M von Ihrem Provider (Mobilfunkanbieter) eine öffentliche, sich nicht ändernde IP-Adresse zur Verfügung gestellt bekommen, welche auch aus dem Internet erreichbar ist. Tragen Sie diese IP-Adresse als externe IP-Adresse für Ihr Modul ein. Wenn Sie mit dynamischen Adressen für das SCALANCE M arbeiten, benötigen Sie eine DynDNS-Adresse für das Modul. In diesem Fall brauchen Sie die externe IP-Adresse an dieser Stelle nicht anzupassen. Die eingetragene IP-Adresse dient somit lediglich als Platzhalter. Bei der Konfiguration des SOFTNET Security Client vergeben Sie dann später an Stelle einer externen IP-Adresse einen DNS-Namen. 8. Geben Sie im Bereich "Konfiguration" die interne IP-Adresse ( ) und die interne Subnetzmaske ( ) im vorgegebenen Format ein und bestätigen Sie den Dialog mit "OK". Ergebnis: Die Einstellungen sind abgeschlossen und sollten dem folgenden Bild entsprechen: Getting Started, 04/2012, C79000-G8900-C

150 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Tunnelverbindung projektieren Ein SCALANCE M und der SOFTNET Security Client können einen IPsec-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen Gruppe zugeordnet sind. Gehen Sie wie folgt vor: 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe: Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Selektieren Sie im Inhaltsbereich das SCALANCE M-Modul und ziehen Sie es auf "Gruppe1" im Navigationsbereich. Das Modul ist dieser Gruppe zugeordnet bzw. Mitglied dieser Gruppe. Die Farbe des Schlüsselsymbols wechselt von grau nach blau. Dies bedeutet, dass für das Modul eine IPsec-Verbindung projektiert ist. 3. Selektieren Sie im Inhaltsbereich das SOFTNET Security Client Modul "SSC-PC2" und ziehen Sie es auf "Gruppe1" im Navigationsbereich. Das Modul ist ebenso dieser Gruppe zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1 indem Sie im Kontextmenü "Eigenschaften..." auswählen. 150 Getting Started, 04/2012, C79000-G8900-C287-01

151 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client 6. Ändern Sie die SA-Lebensdauer für Phase 1 und Phase 2 auf 1440 Minuten und belassen Sie alle anderen Einstellungen. Getting Started, 04/2012, C79000-G8900-C

152 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client ACHTUNG Eine erfolgreiche Tunnelverbindung zwischen einem SCALANCE M und SOFTNET Security Client kann nur aufgebaut werden, wenn Sie sich an die folgenden Parameter halten. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. Authentisierungsverfahren: Zertifikat Erweiterte Einstellungen Phase 1: IKE-Modus: Main Phase 1 DH-Gruppe: Group2 Phase 1 Verschlüsselung: 3DES-168 SA-Lebensdauer (Minuten): 1440 Minuten Phase 1 Authentifizierung: SHA1 Erweiterte Einstellungen Phase 2: SA-Lebensdauertyp: Time Phase 2 Verschlüsselung: 3DES-168 SA-Lebensdauer: 1440 Minuten Phase 2 Authentifizierung: SHA1 7. Speichern Sie das Projekt mit dem Menübefehl "Projekt" > "Speichern unter " unter einem zweckmäßigen Namen ab. Die Konfiguration der Tunnelverbindung ist abgeschlossen. 152 Getting Started, 04/2012, C79000-G8900-C287-01

153 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Konfiguration des SCALANCE M und des SOFTNET Security Client abspeichern Gehen Sie wie folgt vor: 1. Rufen Sie mit dem Menübefehl "Übertragen" > "An alle Module..." den folgenden Dialog auf: 2. Starten Sie den Ladevorgang über die Schaltfläche "Starten". 3. Speichern Sie die Konfigurationsdatei "Projektname.SSC-PC2.dat" in das Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. In das Projektverzeichnis werden folgende Dateien abgespeichert: "Projektname.SSC-PC2.dat" "Projektname.Zeichenfolge.SSC-PC2.p12" "Projektname.Gruppe1.cer" 4. Speichern Sie die Konfigurationsdatei "Projektname.SCALANCE-M.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. In das Projektverzeichnis werden folgende Dateien abgespeichert: "Projektname.SCALANCE-M.txt" "Projektname.Zeichenfolge.SCALANCE-M.p12" "Projektname.Gruppe1.SCALANC- M.cer" Sie haben alle notwendigen Dateien und Zertifikate abgespeichert und können nun den SCALANCE M und den SOFTNET Security Client in Betrieb nehmen. Getting Started, 04/2012, C79000-G8900-C

154 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Konfiguration des SCALANCE M vornehmen Mit Hilfe des abgespeicherten Textdatei "Projektname.SCALANCE-M.txt" nehmen Sie anhand des Web Based Management des SCALANCE M sehr einfach seine Konfiguration vor. Nachfolgend wird Ihnen anhand dieses Beispiels Schritt für Schritt die Konfiguration des SCALANCE M aufgezeigt. Für die Konfiguration wird Folgendes angenommen: SCALANCE M erhält eine öffentliche, feste IP-Adresse, welche über das Internet erreichbar ist; der SOFTNET Security Client erhält eine dynamische IP-Adresse vom Provider zugewiesen. Parallel wird an den entsprechenden Stellen auch der Hinweis auf die Projektierung eines DynDNS-Namens für den SCALANCE M gegeben. Gehen Sie wie folgt vor: 1. Verbinden Sie sich über PC1 mit der Web-Oberfläche des SCALANCE M. Anmerkung: Befindet sich das SCALANCE M in Werkseinstellung, hat die interne Schnittstelle des Moduls die IP-Adresse Navigieren Sie in das Verzeichnis "IPSec VPN" > "Zertifikate". 154 Getting Started, 04/2012, C79000-G8900-C287-01

155 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client 3. Die benötigten Zertifikate haben Sie im letzten Kapitel auf PC2 abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate ("Projektname.Zeichenfolge.SCALANCE-M.p12", "Projektname.Gruppe1.SCALANCE- M.cer") für das SCALANCE M zunächst auf PC1. 4. Laden Sie nun das Gegenstellen Zertifikat "Projektname. Gruppe1.SCALANCE-M.cer" sowie die PKCS 12 Datei "Projektname.Zeichenfolge.SCALANCE-M.p12" auf das Modul hoch. VPN Roadwarrior Modus des SCALANCE M Da der SOFTNET Security Client über eine dynamische IP-Adresse verfügt, wird der VPN Roadwarrior Modus des SCALANCE M genutzt, um eine gesicherte Verbindung aufzubauen. Roadwarrior Modus des SCALANCE M: Im VPN Roadwarrior Modus kann das SCALANCE M VPN-Verbindungen von Gegenstellen mit unbekannter Adresse annehmen. Das können zum Beispiel Gegenstellen im mobilen Einsatz sein, die ihre IP-Adresse dynamisch beziehen. Die VPN-Verbindung muss durch die Gegenstelle aufgebaut werden. Es ist nur eine VPN-Verbindung im Roadwarrior Modus möglich. VPN-Verbindungen im Standard Modus können dazu parallel betrieben werden. Gehen Sie wie folgt vor: 1. Navigieren Sie in das Verzeichnis "IPSec VPN" > "Verbindungen". Getting Started, 04/2012, C79000-G8900-C

156 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client 2. Klicken Sie unter "Einstellungen" auf die Schaltfläche "Bearbeiten". 3. Bearbeiten Sie die Einstellungen des Roadwarrior VPN wie in folgender Abbildung gezeigt und speichern Sie Ihre Eingaben. Die "Remote ID" können Sie aus der Textdatei "Projektname.SCALANCE-M.txt" ermitteln. Ein Eintrag der "Remote ID" ist hier optional möglich. 4. Klicken Sie im Fenster "IPSec VPN - Verbindungen" unter IKE auf die Schaltfläche "Bearbeiten". 156 Getting Started, 04/2012, C79000-G8900-C287-01

157 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client 5. Bearbeiten Sie die IKE-Einstellungen des Roadwarrior VPNs wie in folgender Abbildung gezeigt und speichern Sie Ihre Eingaben. Getting Started, 04/2012, C79000-G8900-C

158 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client ACHTUNG Eine erfolgreiche Tunnelverbindung zwischen SCALANCE M und SOFTNET Security Client kann nur dann aufgebaut werden, wenn Sie sich genau an die nachfolgend aufgeführten Parameter halten. Die Verwendung von abweichenden Parametern führt dazu, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen. Halten Sie sich daher immer an die in der ausgeleiteten Textdatei angegebenen Einstellungen (wie nachfolgend zusätzlich aufgeführt). Authentisierungsverfahren: X.509 Gegenstellenzertifikat Phase 1 - ISKAMP SA: ISAKMP-SA Verschlüsselung: 3DES-168 ISAKMP-SA Hash: SHA-1 ISAKMP-SA Modus: Main Mode ISAKMP-SA Lebensdauer (Sekunden): Phase 2 - IPSec SA: IPSec SA Verschlüsselung: 3DES-168 IPSec SA Hash: SHA-1 IPSec SA Lebensdauer (Sekunden): DH/PFS Gruppe: DH Um die Diagnosefunktion des SOFTNET Security Client für erfolgreich aufgebaute VPN- Tunnel in Verbindung mit dem SCALANCE M nutzen zu können, müssen Sie einen Ping aus dem externen Netz des SCALANCE M zulassen. 158 Getting Started, 04/2012, C79000-G8900-C287-01

159 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Navigieren Sie dazu in das Verzeichnis "Sicherheit" > "Erweitert". Setzen Sie die Funktion "ICMP von extern zum SCALANCE M" auf den Wert "Ping Erlauben" und speichern Sie Ihre Eingabe. Beachten Sie dazu die nachfolgende Abbildung. Hinweis Wenn Sie diese Funktion nicht freigeben, dann können Sie die Diagnosefunktion des SOFTNET Security Client für erfolgreich aufgebaute VPN-Tunnel in Verbindung mit dem SCALANCE M nicht nutzen. Sie erhalten dann keine Rückmeldung darüber ob der Tunnel erfolgreich aufgebaut wurde, können aber trotzdem sicher über den Tunnel kommunizieren. 7. Damit Sie das Webinterface des SCALANCE M auch über das externe Interface erreichen können, geben Sie den HTTPS-Fernzugang frei. Sie haben dadurch die Möglichkeit, das SCALANCE M über einen aufgebauten Tunnel aus der Ferne zu konfigurieren und zu diagnostizieren. Navigieren Sie dazu in das Verzeichnis "Zugang" > "HTTPS". Setzen Sie die Funktion "HTTPS Fernzugang aktivieren" auf den Wert "Ja", wie in der nachfolgenden Abbildung gezeigt und speichern Sie Ihre Eingabe. Getting Started, 04/2012, C79000-G8900-C

160 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Hinweis Wenn Sie das SCALANCE M über einen DNS-Namen erreichen wollen, parametrieren Sie im folgenden Verzeichnis die DynDNS Server Anbindung: "Netzwerk Extern" > "Erweiterte Einstellungen" > "DynDNS" 1. Ändern Sie die Einstellung "Dieses SCALANCE M an einem DynDNS Server anmelden" auf den Wert "Ja". 2. Geben Sie Ihren Benutzernamen sowie das Passwort Ihres DynDNS Accounts an. 3. Tragen Sie die vollständige DynDNS Adresse in das Feld "DynDNS Hostname" ein. Geben Sie auch die Domäne für diese Adresse mit angeben (z. B. "mydns.dyndns.org"). 160 Getting Started, 04/2012, C79000-G8900-C287-01

161 Fernzugriff über VPN-Tunnel konfigurieren 5.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client Die Inbetriebsetzung des SCALANCE M ist damit abgeschlossen. Das Modul und der SOFTNET Security Client können einen Kommunikationstunnel aufbauen, über den Netzknoten aus dem internen Netz gesichert mit PC2 kommunizieren können Tunnelaufbau mit dem SOFTNET Security Client Gehen Sie wie folgt vor: 1. Starten Sie den SOFTNET Security Client auf PC2. 2. Betätigen Sie die Schaltfläche "Konfiguration laden", wechseln Sie in Ihr Projektverzeichnis und laden Sie die Konfigurationsdatei "Projektname.SSC-PC2.dat". 3. Für eine SCALANCE M-Konfiguration öffnet der SOFTNET Security Client den Dialog "IP-/DNS-Einstellungen SCALANCE M". Geben Sie in diesem Dialog die öffentliche IP- Adresse des SCALANCE M an, welche Sie von Ihrem Provider erhalten haben. Bestätigen Sie den Dialog mit "OK". Anmerkung: Wenn Sie mit einem DNS-Namen arbeiten, dann können Sie diesen statt einer IP-Adresse in diesem Dialog konfigurieren. 4. Geben Sie das Passwort für das Zertifikat ein und bestätigen Sie mit "Weiter". Getting Started, 04/2012, C79000-G8900-C