Applikationen & Tools. Schutz einer Automatisierungszelle durch das Security Modul SCALANCE S602 V3 mittels Firewall (Bridge/Routing) SCALANCE S602 V3

Transkript

1 Deckblatt Schutz einer Automatisierungszelle durch das Security Modul SCALANCE S602 V3 mittels Firewall (Bridge/Routing) SCALANCE S602 V3 Applikationsbeschreibung August 2012 Applikationen & Tools Answers for industry.

2 Siemens Industry Online Support Dieser Beitrag stammt aus dem Siemens Industry Online Support. Durch den folgenden Link gelangen Sie direkt zur Downloadseite dieses Dokuments: Vorsicht: Die in diesem Beitrag beschriebenen Funktionen und Lösungen beschränken sich überwiegend auf die Realisierung der Automatisierungsaufgabe. Bitte beachten Sie darüber hinaus, dass bei Vernetzung Ihrer Anlage mit anderen Anlagenteilen, dem Unternehmensnetz oder dem Internet entsprechende Schutzmaßnahmen im Rahmen von Industrial Security zu ergreifen sind. Weitere Informationen dazu finden Sie unter der Beitrags-ID Nutzen Sie auch aktiv unser technisches Forum im Siemens Industry Online Support zu diesem Thema. Bringen Sie Fragen, Anregungen oder Probleme mit ein und diskutieren Sie diese zusammen mit unserer starken Forengemeinde: 2 V3.0, Beitrags-ID:

3 s Aufgabe 1 Automatisierungslösung 2 Risikominimierung durch Security 3 SIMATIC Firewall mit SCALANCE S602 V3 Industrial Security Produktübersicht SCALANCE S 4 Installation 5 Inbetriebnahme im Bridge-Modus 6 Inbetriebnahme im Routing-Modus 7 Bedienung der Applikation 8 Literaturhinweise 9 Historie 10 V3.0, Beitrags-ID:

4 Gewährleistung und Haftung Gewährleistung und Haftung Hinweis Die Applikationsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Applikationsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Applikationsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Applikationsbeispielen jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Applikationsbeispiel und anderen Siemens Publikationen, wie z.b. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang. Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z.b. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden. Weitergabe oder Vervielfältigung dieser Applikationsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens Industry Sector zugestanden. 4 V3.0, Beitrags-ID:

5 Inhaltsverzeichnis Inhaltsverzeichnis Gewährleistung und Haftung Aufgabe Einführung Übersicht Automatisierungslösung Übersicht Gesamtlösung Beschreibung der Kernfunktionalität Verwendete Hard- und Software-Komponenten Alternativlösung: VPN Tunnel Risikominimierung durch Security Bedingungen und Anforderungen Das Schutzkonzept von SIEMENS: Defense-in-Depth Security Mechanismus: Die Firewall Typisierung der Firewall Das Stateful Packet Inspection Security Mechanismus: Adressumsetzung mit NA(P)T Die Adressumsetzung mit NAT Die Adressumsetzung mit NAPT FTP über einen NAPT-Router Zusammenhang zwischen NA(P)T und Firewall Produktübersicht SCALANCE S Die Idee des Zellenschutzkonzeptes SCALANCE S602 V Das Security Configuration Tool Symbolische Adressierung Verwaltung der Benutzer Firewall-Regeln Rangfolge der Regeln Die unterschiedlichen Firewallregelsätze Vereinbarung für die Firewallregelsätze Logging und Diagnosemöglichkeiten im SCT Online Funktionen Logging Installation Installation der Hardware Installation der Software Inbetriebnahme im Bridge-Modus Übersicht des Konfigurationsmodus Vergabe der IP-Adressen Anlegen eines Projektes im SCT Freischalten des DCP-Protokolls Symbolische Adressierung im SCT Erweiterter Modus Projektierung des Syslog-Logging Konfiguration der Firewallregeln IP-Dienst Definition Definition von Benutzer für das SCT Anlegen der globalen Firewallregel Anlegen der lokalen Firewallregeln Anlegen von benutzerspezifischen Firewallregeln...62 V3.0, Beitrags-ID:

6 Inhaltsverzeichnis 6.9 Firewallregeln in den S602 V3 laden Inbetriebnahme im Routing-Modus Übersicht des Konfigurationsmodus Basis Projektierungen aus dem Bridge-Modus Änderung des Betriebsmodus auf Routing Konfiguration von NA(P)T Konfiguration der NAT-Tabelle Konfiguration der NAPT-Tabelle Laden der SCALANCE S602 V3 Konfiguration Bedienung der Applikation Bedienung im Bridge-Modus Bedienung im Router-Modus Routing über NAT Routing über NAPT Literaturhinweise Historie V3.0, Beitrags-ID:

7 1 Aufgabe 1 Aufgabe 1.1 Einführung In der industriellen Automatisierung steht die Sicherheit der Netzwerke innerhalb der Produktion an oberster Stelle. In der Vergangenheit waren Automatisierungsinseln häufig physikalisch abgeschottet und nutzten die integrierte Sicherheit der Feldbusse. Aufgrund des Vormarsches industrieller Ethernet-Lösungen, die zunehmende Vernetzung mit der Office-Welt und vieler ungesicherter Schnittstellen in der Feldebene ist das Thema Sicherheit von größter Bedeutung. Durch diesen Fortschritt ist die industrielle Kommunikation den gleichen Gefährdungen ausgesetzt, die aus dem Office- und IT-Umfeld bekannt sind, wie z.b. Hacker, Viren, Würmer und Trojaner, aber auch Kommunikationslast (Broadcast). Die bestehenden Security-Konzepte und der Einsatz von Standardkomponenten aus der Office-Welt erfordern ständige Pflege und spezielles Expertenwissen. Sie sind in der Regel nicht den speziellen Anforderungen der industriellen Kommunikation gewachsen. 1.2 Übersicht Überblick über die Automatisierungsaufgabe Folgendes Bild gibt einen Überblick über die Automatisierungsaufgabe. Abbildung 1-1 PC 1 PC 2 PC 3 PC 4 Automatisierungszelle 1 Automatisierungszelle 2 Automatisierungszelle N V3.0, Beitrags-ID:

8 1 Aufgabe Beschreibung der Automatisierungsaufgabe Eine Automatisierungszelle soll so mit dem Firmennetz verbunden werden, dass über eine Zugriffskontrolle nur bestimmte Geräte bzw. Kommunikationsdienste Zugriff auf die internen Teilnehmer haben. Folgende Anwenderszenarien werden dabei für auserwählte Partner freigegeben: Tabelle 1-1 Anwenderszenarien Projektierung/ Diagnostizieren mit STEP 7 PC 1 Knotentaufe der internen Teilnehmer PC 1 Logging der Datenpakete für die S7-Kommunikation PC 2 Zugriff auf zelleninterne Web- und FTP Server PC 3 Blocken von unbefugten Zugriffsversuchen PC 4 Partner Anforderungen Die realisierte Zugriffsteuerung soll einfach und kostengünstig erfolgen und auch vom Automatisierungs-Personal erstellt und gepflegt werden können. Es soll eine durchgängige Diagnose der Feldgeräte und Netzwerkkomponenten von der Leitebene aus möglich sein. Die Automatisierungszellen können gleich aufgebaut sein (gleiche IP-Bänder) (siehe Abbildung 1-1). 8 V3.0, Beitrags-ID:

9 2 Automatisierungslösung 2 Automatisierungslösung 2.1 Übersicht Gesamtlösung Schema Die folgende Abbildung zeigt schematisch die wichtigsten Komponenten der Lösung: Abbildung 2-1 * Webbrowser * FTP-Client Leitwarte Externer PC * STEP 7 * Webbrowser * FTP-Client * Syslog-Server * Daten-Logging X208 Service-PC STEP 7 Syslog-Server * Webserver * FTP-Server CPU+CP S602 V3 X208 * Security Komponente * Firewall * Router PN-CPU * STEP 7- Programm * Simulation Mit Firewall geschützte Automatisierungszelle V3.0, Beitrags-ID:

10 2 Automatisierungslösung Aufbau Die geschützte Automatisierungszelle enthält zwei SIMATIC S7-300 Stationen, die wie folgt über einen SCALANCE X208 mit der internen Schnittstelle des S602 V3 verbunden sind: S7-300 Station 1 mit einer CPU317-2 PN/DP über einen CP343-1 Advanced. S7-300 Station 2 über die integrierte Schnittstelle der CPU319-3 PN/DP. An der externen Schnittstelle des SCALANCE S602 V3 sind über einen SCALANCE X208 verbunden: Ein PC in der Leitwarte über eine integrierte Ethernet-Schnittstelle. Ein PC eines Servicemitarbeiters über eine integrierte Ethernet-Schnittstelle. Ein PC zum Aufzeichnen der Log-Dateien. Ein externer PC für die Demonstration unbefugter Zugriffe. 10 V3.0, Beitrags-ID:

11 2 Automatisierungslösung 2.2 Beschreibung der Kernfunktionalität SCALANCE S602 V3 Kernstück dieser Applikation ist das SCALANCE Security Modul S602 V3. Dieses Modul ist Teil des Siemens Security-Konzeptes und speziell für die industrielle Automatisierungstechnik entwickelt. Es kann als Firewall konfiguriert und so zum Schutz von Automatisierungszellen/-komponenten eingesetzt werden. Auf einfache Weise kann so erreicht werden, dass nur von bestimmten PCs aus auf Einzelgeräte innerhalb der geschützten Automatisierungszelle zugegriffen werden kann. Um den Anforderungen der Automatisierungsaufgabe gerecht zu werden, kann der SCALANCE S602 V3 sowohl für subnetzübergreifende Kommunikation (Routing-Modus), wie auch im flachen Netz (Bridge-Modus) verwendet werden. Beschreibung der Anwender-Szenarien Die folgende Tabelle zeigt die in dieser Applikation dargestellten Szenarien, die mit den entsprechenden Firewall-Regeln im SCALANCE S-Modul realisiert werden. Diese Szenarien werden sowohl für den Routing-, als auch für den Bridge-Modus demonstriert. Tabelle 2-1 Nr. Anwendung Beschreibung 1. Parametrierung IP-Konfiguration aller zelleninternen Geräte durch Knotentaufe in STEP 7 (über DCP). 2. Projektierung/ Diagnostizierung/ Visualisierung Freischalten der vollen PG-Funktionalität (STEP 7) für den PC des Servicemitarbeiters. 3. Bandbreitenbeschränkung Einschränkung der Datenkommunikation für den PC des Servicemitarbeiters. 4. Produktivdatentransfer, Visualisierung Freischalten des Zugriffs auf den FTPund Webserver des zelleninternen Advanced-CPs für den PC der Leitwarte. 5. Logging des Datenverkehrs Freischalten des Datenverkehrs-Logging für einen externen Syslogserver. Vorteile dieser Lösung Schutz vor Datenspionage und -manipulation. Schutz gegen Überlastung des Kommunikationssystems. Benutzerfreundliche und einfache Konfiguration sowie Administration ohne Spezialkenntnisse über IT-Security. SCALANCE S kann rückwirkungsfrei in bestehende Automatisierungsnetze eingebaut werden. Skalierbare Sicherheitsfunktionalität. SCALANCE S Projektierung ohne IT-Security Expertenwissen mittels eines einheitlichen Projektierwerkzeugs Security Configuration Tool und den Standard Mode- Einstellungen. Remote-Diagnose: Log-Dateien können mittels Syslog-Server ausgewertet werden. V3.0, Beitrags-ID:

12 2 Automatisierungslösung 2.3 Verwendete Hard- und Software-Komponenten Die Applikation wurde mit den nachfolgenden Komponenten erstellt: Hardware-Komponenten Tabelle 2-2 Komponente Anz. MLFB/Bestellnummer Hinweis SCALANCE S602 V3 1 6GK5602-0BA10-2AA3 Power Supply 2 6ES BA00-0AA0 PS307 2A CPU319-3PN/DP 1 6AG1318-3EL00-2AB0 CPU317-2PN/DP 1 6ES EK14-0AB0 Alternativ kann auch jede andere CPU verwendet werden. CP343-1 Advanced 1 6GK7343-1GX31-0XE0 Alternativ kann auch jeder andere IT-CP verwendet werden. SCALANCE X GK5208-0BA10-2AA3 PC 4 Ethernet-Kabel 8 Standard Software-Komponenten Tabelle 2-3 Komponente Anz. MLFB/Bestellnummer Hinweis SIMATIC MANAGER V5.5 SP2 Security Configuration Tool ab V3 1 6ES7810-4CC08-0YA5 1 Wird mit dem SCALANCE S ausgeliefert. Benötigte Tools Diese Applikation nutzt Software-Komponenten, die Sie als Freeware aus dem Internet laden können. Im Detail sind das: Webserver FTP-Client Syslog-Server Primary Setup Tool (zur Adresseinstellung von SIMATIC NET Produkten. Siehe \3\ im Kapitel 9 (Literaturhinweise)). Beispieldateien und Projekte Die folgende Liste enthält alle Dateien und Projekte, die in diesem Beispiel verwendet werden. Tabelle 2-4 Komponente _Firewall_S602_CODE_v30.zip _Firewall_S602_DOKU_v30_d.pdf Hinweis Diese gepackte Datei enthält die STEP 7 Projekte. Dieses Dokument. 12 V3.0, Beitrags-ID:

13 2 Automatisierungslösung 2.4 Alternativlösung: VPN Tunnel Alternativ zum Schutz eines Netzwerks über eine Firewall können Sie auch einen VPN-Tunnel nutzen. Ein VPN-Tunnel ist ein virtuelles privates Netzwerk (vergleichbar einem LAN) über ein unsicheres Netzwerk (Internet). Diese sicheren Netzwerke werden durch Verschlüsselung der Datenpakete, Authentifizierung und Authentisierung der Teilnehmer ermöglicht. Firewall vs. VPN Tabelle 2-5 Die Unterschiede bzw. Vor- und Nachteile gegenüber der Firewall zeigt die folgende Tabelle: VPN Tunnel Peer-to-Peer Verbindung; zum Aufbau einer VPN-Verbindung sind immer mindestens zwei Geräte notwendig. (Gateway Gateway; Gateway- Host) Schutz über die ganze VPN-Verbindung hinweg. Datenverschlüsselung, Authentisierung (Nachweis der eigenen Identität) und Authentifizierung (Überprüfung der Identität des Partners) erfolgt über ein Passwort (Pre-Shared Key) oder Zertifikate (X.509v3 Zertifikate). Weitere Informationen Tabelle 2-6 Firewall Nur ein Gerät notwendig; Firewall kann hardwareund softwarebasiert sein. Konzentration der Sicherheitsmaßnahmen auf einen Punkt. Kontrolle und Filterung des Datenverkehrs auf dem OSI-Referenzmodell Schicht 2-7. Datenpakete können zugelassen oder verworfen werden. Mehr Informationen über VPN finden Sie in folgenden Applikationen und FAQs: Titel Gesicherter Remote Access auf SIMATIC Stationen mit dem SCALANCE S612 V3 über Internet und UMTS. Gesicherter Remote Access auf SIMATIC Stationen mit dem SOFTNET Security Client über Internet und UMTS. Security mit SCALANCE S612 V3 Modulen über IPsec-gesicherte VPN-Tunnel Fernwirkkonzept mit SCALANCE S Modulen über IPsec-gesicherte VPN-Tunnel Wie wird ein VPN-Tunnel zwischen einer PC- Station mit Windows XP SP2 und einem SCALANCE S61x V2.1 über das Internet mit der Microsoft Management Console konfiguriert? Wie wird mit dem SOFTNET Security Client Edition 2005 HF1 ein VPN-Tunnel zwischen PC- Station und SCALANCE S61x V2.1 über Internet konfiguriert? Wie wird ein VPN-Tunnel zwischen zwei SCALANCE S 61x Modulen im Routing Modus über Internet konfiguriert? Link w/de/ V3.0, Beitrags-ID:

14 3 Risikominimierung durch Security 3 Risikominimierung durch Security Die Ethernet-basierte Kommunikation nimmt im Automatisierungsumfeld eine zentrale Rolle ein und bringt durch die Nutzung der offenen und standardisierten IT-Technologien viele Vorteile mit sich. Doch die zunehmende Offenheit und Durchgängigkeit erhöht auch das Risiko ungewollter Manipulation. Deshalb wird ein Security-Konzept benötigt, das einerseits die industrielle Kommunikation zuverlässig schützen kann, aber andererseits auch die speziellen Erfordernisse der Automatisierungstechnik berücksichtigt. Hinweis Einen 100 %- Schutz kann niemand garantieren. Aber es gibt viele Möglichkeiten, das Risiko so gering wie möglich zu halten. 3.1 Bedingungen und Anforderungen Anforderungen Die Anforderungen an die Sicherheit sind unter anderem: Teilnehmerberechtigung: Es dürfen nur definierte Teilnehmer an der Datenkommunikation teilnehmen. Eine Authentifizierung ist erforderlich. Paketidentifizierung: Es muss sichergestellt werden, dass die Datenpakete unverändert an ihrer Zieladresse ankommen. Vertraulichkeit: Netzwerke hinter den Security Modulen sollen für Dritte verborgen bleiben. Bedingungen der Automatisierungstechnik Die speziellen Erfordernisse der Automatisierungstechnik sind: Berücksichtigung der Effektivität und Wirtschaftlichkeit durch Nutzung vorhandener Infrastruktur. Rückwirkungsfreie Integration: Die bestehende Netzinfrastruktur darf nicht verändert werden und vorhandene Komponenten nicht neu konfiguriert werden. Bewahrung der Datensicherheit durch Schutz vor unbefugten Zugriffen. 14 V3.0, Beitrags-ID:

15 3 Risikominimierung durch Security 3.2 Das Schutzkonzept von SIEMENS: Defense-in-Depth Mehrstufiges Sicherheitskonzept Die zunehmende Vernetzung und der Einsatz von bewährten Technologien der Office-Welt in Automatisierungsanlagen erfordert einen erhöhten Bedarf an Sicherheit. Dabei reicht es nicht aus, nur einen oberflächlichen und limitierten Schutz anzubieten, da Angriffe von außen auf mehreren Ebenen erfolgen können. Für einen optimalen Schutz ist ein tiefes Sicherheitsbewusstsein notwendig. Zur Erreichung der geforderten Sicherheitsziele arbeitet Siemens nach der Defense-in-Depth Strategie. Diese Strategie verfolgt den Ansatz eines mehrschichtigen Sicherheitsmodells: Anlagensicherheit, Netzwerksicherheit und System-Integrität. Der Vorteil ist, dass ein Angreifer erst mehrere Sicherheitsmechanismen überwinden muss und die Sicherheitsanforderungen der einzelnen Schichten individuell berücksichtigt werden können. Instrumente der Defense-in-Depth Strategie Zur Umsetzung dieses Schutzkonzeptes sind z. B. zwei Sicherheitsmittel aus dem Bereich Netzwerksicherheit erwähnenswert: die Firewall und der VPN Tunnel. Die Firewall wird eingesetzt, um den Datenverkehr zu kontrollieren. Dabei können durch Filterung Pakete verworfen, Paketinhalte analysiert und Netzzugänge gesperrt bzw. gewährt werden. Zur Sicherung der Kommunikation ist das Tunnelling-Verfahren eine häufige Anwendung. 3.3 Security Mechanismus: Die Firewall Beschreibung Eine Firewall (wörtlich Brandmauer) ist Teil des Sicherheitskonzepts im Privatund Unternehmensbereich, welches unerlaubten Zugriff auf Netzwerke bzw. Geräte untersagt oder einschränkt. Firewalls werden in Form einer Hardware-Komponente oder softwarebasiert angeboten Typisierung der Firewall Arten von Firewalls Firewalls lassen sich in drei verschiedene Arten unterscheiden. Die jeweiligen Bezeichnungen werden an der höchsten ausgewerteten OSI-Schicht festgelegt: Paketfilter (Auswertung von Paketen bis OSI-Schicht 3 (Vermittlungsschicht)). Circuit-Level Gateway (Auswertung von Paketen bis OSI-Schicht 4 (Transportschicht)). Application-Level Gateway bzw. Proxy (Auswertung von Paketen bis OSI- Schicht 7 (Anwendungsebene)). Paketfilter analysieren die IP-Datenpakete und leiten diese auf Grundlage von definierten Kriterien weiter oder filtern diese heraus. V3.0, Beitrags-ID:

16 3 Risikominimierung durch Security Circuit-Level Gateways greifen auf die Transportschicht zu und haben somit die Möglichkeit, Zusammenhänge zwischen den Netzwerkverbindungen und den Paketen zu analysieren. Neben dem Begriff Circuit-Level Gateway existieren noch eine Reihe weiterer Begriffe. Dazu gehört auch die Bezeichnung Stateful Packet Inspection. Ein Application-Level Gateway ist ein Proxy Server. Über ihn findet die gesamte Kommunikation zwischen dem zu schützenden und dem unsicheren Netz statt. Für jeden Dienst (WWW, , Telnet, FTP etc.) werden Security-Proxies (sogenannte Stellvertreter) eingerichtet. Das bedeutet, dass die Rechner des LAN nicht direkt auf einen Server des Internets zugreifen, sondern sich dem Proxy gegenüber identifizieren und authentifizieren und die Anfrage an ihn schicken. Er wiederum stellt dann mit seiner Absenderadresse die Verbindung zum Server her und leitet die Anfrage weiter. Mit dem Application-Level Gateway können Inhalte von übertragenen Daten kontrolliert und gefiltert werden. Dieser Proxy-Server wird in Unternehmen auch eingesetzt, um bestimmte Webseiten im internen Netzwerk zu blockieren oder Dienste wie ActiveX und JavaScript aus Webseiten herauszufiltern. Auswahlkriterien Welche Firewall in einem Unternehmen oder privat eingesetzt werden soll, hängt von einigen Kriterien ab: die erwünschte und erreichbare Sicherheit. der erforderliche Aufwand (hard- oder softwarebasierte Firewall). der erreichbare Durchsatz an Daten. die Höhe der Kosten Das Stateful Packet Inspection Beschreibung Das Stateful Packet Inspection ist eine Firewalltechnologie und arbeitet auf der Vermittlungs-, Transport- und optional auf Anwendungsschicht des OSI- Referenzmodells. Stateful Inspection steht für zustandsgesteuerte Filterung und ist eine Erweiterung des Paketfilters. Durch den Zugriff auf verschiedene Kommunikationsprotokolle ist es der Stateful Packet Inspection möglich, eine Statustabelle aller Netzwerkverbindungen zu erstellen, Zusammenhänge zwischen Datenpaketen zu erkennen und Beziehungen zwischen vorhandenen Kommunikationsbeziehungen zu erschließen. Funktionsweise Durch diesen Einblick in die Kommunikation erlaubt eine Stateful Packet Inspection beispielsweise nur Datenpakete von extern in das interne Netzwerk, die als Antwort für eine zuvor von einem internen Teilnehmer gestartete Anfrage dienen. Sendet der externe Teilnehmer Daten, die nicht angefordert wurden, blockiert die Firewall den Transfer - auch bei einer bestehen Verbindung zwischen internen und externen Teilnehmern. Eine wichtige Eigenschaft von Stateful Packet Inspection ist die dynamische Erzeugung und Löschung von Filterregeln. Sendet ein interner Teilnehmer Daten zu einem externen Zielgerät, muss die Firewall nach dem Passieren des ersten Datenpakets für einen begrenzten Zeitraum eine Regel definieren, die das Antwortpaket akzeptiert und an den Absender der Anfrage (interner Teilnehmer) weiterleitet. Nach Ablauf des Zeitfensters muss die Regel wieder gelöscht werden. 16 V3.0, Beitrags-ID:

17 3 Risikominimierung durch Security 3.4 Security Mechanismus: Adressumsetzung mit NA(P)T Beschreibung Das Network Address Translation (NAT) bzw. Network Address Port Translation (NAPT) sind Verfahren zur Umsetzung von privaten IP-Adressen in öffentliche IP- Adressen. Einteilung der IP-Adressen IP-Adressen dienen zur logischen Adressierung von Geräten in IP-Netzwerken. Sie bestehen bei IPv4 aus vier Zahlen zwischen 0 und 255, die durch Punkte voneinander getrennt sind. Es gibt verschiedene Adresskategorien für IP-Adressen, die von der nationalen Einrichtung NIC (Network Information Center) verwaltet und zugeteilt werden. Folgende Tabelle zeigt die Zuteilung der IP-Adressen: Tabelle 3-1 Klasse Max Anzahl Netze Startadresse Endadresse Privater Adressbereich A B C Die Adressen ab sind für zukünftige Anwendungen reserviert, werden aber durch die baldige Implementation von IPv6 nicht mehr zur Geltung kommen. Wegen der Knappheit der IP-Adressen im Internet wurden bestimmte Adressbereiche eingeführt, die im Internet nicht geroutet und für das private Netzwerk genutzt werden. Dieser private Adressbereich ist nur innerhalb des eigenen Netzwerks sichtbar und vom Internet nicht erreichbar. Somit können dieselben Bereiche auch mehrmals in anderen privaten Netzwerken zum Einsatz kommen. V3.0, Beitrags-ID:

18 3 Risikominimierung durch Security Die Adressumsetzung mit NAT Beschreibung NAT ist ein Protokoll zur Adressumsetzung zwischen zwei Adressräumen. Hauptaufgabe ist die Umsetzung von privaten Adressen in Öffentliche, d.h. in IP- Adressen, die im Internet verwendet und auch geroutet werden. Durch diese Technik wird erreicht, dass die Adressen des internen Netzes nach außen im externen Netz nicht erkannt werden. Die internen Teilnehmer sind im externen Netz nur über die in der Adressumsetzungsliste (NAT-Tabelle) festgelegten externen IP-Adresse sichtbar. Das klassische NAT ist eine 1:1-Umsetzung, d.h. eine private IP-Adresse wird auf eine Öffentliche umgesetzt. Die Ansprechadresse für die internen Teilnehmer ist demnach wieder eine IP- Adresse. NAT-Tabelle Die NAT-Tabelle enthält die Zuordnung von privaten und öffentlichen IP-Adressen und wird im Gateway oder Router konfiguriert und verwaltet. Der folgende Screenshot zeigt die NAT-Tabelle des SCALANCE S602 V3: Abbildung V3.0, Beitrags-ID:

19 3 Risikominimierung durch Security Tabelle 3-2 NAT aktiv Option Freigabe für alle internen Teilnehmer zulassen Bedeutung Der Eingabebereich für NAT wird aktiviert. NAT-Adressumsetzungen werden erst durch die nachfolgend beschriebene Option und Einträge in die Adressumsetzungsliste wirksam. Zusätzlich muss die Firewall passend konfiguriert werden. Mit dieser Option erfolgt für alle von intern nach extern gehenden Telegramme eine Umsetzung der internen IP- Adresse (Quell-IP-Adresse) auf die externe Modul IP-Adresse und einer zusätzlich vom Modul vergebenen Port-Nummer. Dieses Verhalten wird in der NAT-Tabelle an der unten zusätzlich eingeblendeten Zeile sichtbar. Dort wird mit einem Symbol "*" in der Spalte "interne IP-Adresse" angezeigt, dass alle von intern nach extern gerichteten Telegramme umgesetzt werden. Anmerkung: Diese Umsetzung entspricht einer n:1- Umsetzung, d.h. mehrere interne Teilnehmer werden auf eine externe umgeleitet. Dies geschieht durch eine zusätzlichen Zuordnung einer Port-Nummer. Trotz der Zugabe eines Ports ist diese Option dem Eingabebereich NAT zugeordnet. Tabelle 3-3 Parameter Bedeutung Kommentar Externe IP- Adresse Interne IP- Adresse Richtung Für Telegrammrichtung "Intern -> Extern": neu zugewiesene IP- Adresse Für Telegrammrichtung "Extern -> Intern": erkannte IP-Adresse Für Telegrammrichtung "Extern -> Intern": neu zugewiesene IP-Adresse Für Telegrammrichtung "Intern -> Extern": erkannte IP-Adresse Ordnen Sie hier die Telegrammrichtung zu. Scr-NAT (nach Extern) Dst-NAT (von Extern) Scr-NAT + Dst-NAT (Extern) Alternativ können Sie symbolische Namen eingeben. Beispiel: Src-NAT: Vom internen Subnetz kommende Telegramme werden auf die angegebene interne IP-Adresse geprüft und mit der angegebenen externen IP-Adresse in das externe Netz weitergeleitet. Ablauf Wenn ein Gerät aus dem externen Netz ein Paket an ein internes Gerät schicken will (Dst-NAT), verwendet es als Zieladresse eine öffentliche Adresse. Diese IP- Adresse wird vom Router in eine private IP-Adresse übersetzt. Als Quelladresse im IP-Header des Datenpakets bleibt unverändert die öffentliche IP-Adresse des externen Gerätes stehen. Die Antwort des internen Geräts wird an die IP-Adresse, die als Quelladresse im IP-Header hinterlegt ist, geschickt. Dadurch, dass seine eigene und die Quelladresse in unterschiedlichen Subnetzen liegen, schickt das interne Gerät das Paket an seinen Router, der es an das externe Gerät weitervermittelt. V3.0, Beitrags-ID:

20 3 Risikominimierung durch Security Die Adressumsetzung mit NAPT Beschreibung NAPT-Tabelle NAPT ist eine Variante von NAT und wird häufig mit dieser gleichgesetzt. Der Unterschied zu NAT liegt darin, dass bei diesem Protokoll auch Ports umgesetzt werden können. Es gibt keine 1:1-Umsetzung der IP-Adresse mehr. Vielmehr existiert nur noch eine öffentliche IP-Adresse, die durch den Zusatz von Portnummern an eine Reihe von privaten IP-Adresse umgesetzt wird. Die Ansprechadresse für die internen Teilnehmer ist demnach eine IP-Adresse mit einer Portnummer. Die NAPT-Tabelle enthält die Zuordnung von privaten IP-Adressen auf die Ports der öffentlichen IP-Adresse und wird im Gateway oder Router konfiguriert und verwaltet. Der folgende Screenshot zeigt die NAPT-Tabelle des SCALANCE S602 V3: Abbildung 3-2 Tabelle 3-4 NAPT aktiv Option Bedeutung Der Eingabebereich für NAPT wird aktiviert. NAPT- Umsetzungen werden erst durch die nachfolgend beschriebene Option und Einträge in die Liste wirksam. Zusätzlich muss die Firewall passend konfigurieren werden. 20 V3.0, Beitrags-ID:

21 3 Risikominimierung durch Security Tabelle 3-5 Parameter Bedeutung Wertebereich Externer Port Interne IP- Adresse Interner Port Ein Teilnehmer im externen Netz kann einem Teilnehmer im internen Subnetz antworten oder ein Telegramm senden, indem er diese Port-Nummer verwendet. IP-Adresse des angesprochenen Teilnehmers am internen Subnetz. Port-Nummer eines Dienstes bei dem am internen Subnetz angesprochenen Teilnehmer. Port oder Portbereiche. Beispiel für die Eingabe eines Portbereiches: 78:99 Port (kein Portbereich) Ablauf Wenn ein Gerät aus dem externen Netz ein Paket an ein internes Gerät schicken will, verwendet es als Zieladresse seine öffentliche Adresse mit Portangabe. Diese IP-Adresse wird vom Router in eine private IP-Adresse mit Portadresse übersetzt. Als Quelladresse im IP-Header des Datenpakets bleibt unverändert die öffentliche IP des externen Gerätes stehen. Die Antwort des internen Geräts wird an die IP-Adresse, die als Quelladresse im IP-Header hinterlegt ist, geschickt. Dadurch, dass seine eigene und die Quelladresse in unterschiedlichen Subnetzen liegen, schickt das interne Gerät das Paket an seinen Router, der es an das externe Gerät weitervermittelt. V3.0, Beitrags-ID:

22 3 Risikominimierung durch Security FTP über einen NAPT-Router Eine FTP-Datenübertragung über NAT bringt wegen der 1:1-Umsetzung der IP- Adressen keine Schwierigkeiten mit sich. Über einen NAPT-Router, wie dem SCALANCE S602 V3, ist es nicht mehr so trivial. FTP nutzt für die Datenübertragung neben den Standard Ports 20 (Datenkanal) und 21 (Steuerkanal) auch dynamische Ports jenseits von 1023, die vor der Übertragung nicht bekannt sind. NAPT nutzt für die Adressumsetzung Ports, die in die NAPT-Tabelle bei der Konfiguration eingetragen werden. Eine Erweiterung der NAPT-Tabelle zur Laufzeit ist nicht möglich. Der dynamische Port während der FTP-Datenübertragung kann also nicht in die NAPT-Tabelle übernommen werden. Das hat zur Folge, dass alle Datenpakete, die von extern nach intern mit einem für die NAPT-Tabelle unbekannten Port geschickt werden, nicht umgesetzt und damit verworfen werden. Eine FTP-Datenübertragung kann nicht stattfinden. Problembeschreibung Abbildung 3-3 Das folgende Bild verdeutlicht das Problem: Externes Netz Port 21: Fordert Passwort NAPT-Router Intern : :21 Extern : :21 Internes Netz Port 21: Sendet Username 1 Server Port 21: Bestätigung Port 21: Sendet Passwort 2 Client 3 Port 21: Kommando: PORT mit Angabe des Datenports z.b. Port Port 1027: Aufbau der Datenverbindung zum gewünschten Port 22 V3.0, Beitrags-ID:

23 3 Risikominimierung durch Security Tabelle 3-6 Schritt Ablauf Reaktion 1. Der Client sendet über den Steuerport die Benutzerkennung an den Server. 2. Der Client schickt über Port 21 das Passwort. 3. Der Client übermittelt über das Kommando PORT die Ports, auf welchen er auf die Datenverbindung lauscht. 4. Der Server versucht, über diese Ports Kontakt mit dem FTP-Client aufzunehmen. Port 21 wird vom NAPT-Router zugelassen. Der Server fordert das Passwort an. Port 21 wird vom NAPT-Router zugelassen. Der Server betätigt das Passwort. Port 21 wird vom NAPT-Router zugelassen. Da diese Ports nicht in der NAPT- Tabelle konfiguriert sind, werden die Datenpakete vom NAPT-Router verworfen. Die FTP-Verbindung wird nicht hergestellt. Lösung Um die Datenpakete des FTP-Servers trotz dynamischer Ports in das interne Netz zuzulassen, ist es nötig, zusätzlich zum NAPT einen NAT-Eintrag zu erstellen. Alle Datenpakete, die vom FTP-Server ausgehen, müssen auf die IP-Adresse des NAPT-Routers umgeschrieben werden. Dadurch werden alle Datenpakete unabhängig vom Port in das interne Netz zugelassen. V3.0, Beitrags-ID:

24 3 Risikominimierung durch Security 3.5 Zusammenhang zwischen NA(P)T und Firewall Anpassung der Firewall Sowohl für die Richtungen Src-NAT (nach Extern) bzw. Dst-NAT (von Extern) gilt, dass Telegramme zunächst die Adressumsetzung im NAT/NAPT-Router und anschließend die Firewall passieren. Die Einstellungen für den NAT/NAPT-Router und die Firewall-Regeln müssen so aufeinander abgestimmt werden, dass Telegramme mit umgesetzter Adresse die Firewall passieren können. Abbildung 3-4. Externes Netzwerk IP-Telegramme Dst-NAT SCALANCE S602 V3 NAT/NAPT- Router Internes Netzwerk IP-Telegramme Src-NAT Hinweis Firewall Die Firewall im SCALANCE S602 V3 ist so voreingestellt, dass kein IP- Datenverkehr zwischen den Netzwerken möglich ist. Eine Kommunikation kann erst nach vorheriger Konfiguration der Firewall stattfinden. Stateful Packet Inspection Firewall und NAT/NAPT-Router unterstützen den Mechanismus "Stateful Packet Inspection". Ist der IP-Datenverkehr von intern nach extern freigegeben, können interne Knoten eine Kommunikationsverbindung in das externe Netz initiieren. Die Antworttelegramme aus dem externen Netz können den NAT/NAPT-Router und die Firewall passieren, ohne dass deren Adressen in der Firewall-Regel und der NAT/NAPT-Adressumsetzung zusätzlich aufgenommen werden müssen. Telegramme, die keine Antwort auf eine Anfrage aus dem internen Netz sind, werden ohne zutreffende Firewallregel verworfen. 24 V3.0, Beitrags-ID:

25 3 Risikominimierung durch Security Umsetzung in dieser Applikation am Beispiel NAT Die folgende Screenshots zeigen die NAT-Tabelle und die zugehörigen Firewallregeln dieser Applikation. Die unterschiedlichen Farben deuten die Zusammenhänge an. Abbildung 3-5 NAT-Tabelle Firewallregeln Tabelle 3-7 NAT Umsetzung > CP343-1Advanced (Dst-NAT) > PN-CPU (Dst-NAT) <- * (Src-NAT) Die Tabelle stellt die Zusammenhänge noch einmal gegenüber: Firewall Freigabe Aktion Von/Nach Quelle Ziel Service Beschreibung Allow Extern -> Intern Allow Extern -> Intern Allow Extern -> Intern Allow Extern -> Intern Allow Intern -> Extern Service- PC PG PG Service- PC CP343-1 Advanced CP343-1 Advanced CP343-1 Advanced S7 HTTP FTP Alle Datenpakete von extern zum CP343-1 Advanced, die mit der IP- Adresse des PGs über Port 80 (http) bzw. Port 21 (ftp) und mit der IP-Adresse des Service-PGs über Port 102 (S7) die Firewall erreichen, werden zugelassen. PN-CPU S7 Alle Datenpakete von extern zur PN-CPU, die mit der IP-Adresse des Service-PGs über Port 102 (S7) die Firewall erreichen, werden zugelassen. all Alle Datenpakete von intern nach extern werden zugelassen. V3.0, Beitrags-ID:

26 3 Risikominimierung durch Security Abbildung 3-6 Schematisch lässt sich dieser Vorgang wie folgt beschreiben: Internes Netz NAT-Router Externes Netz NAT-Tabelle (http) (http) (http) Tabelle 3-8 Schritt Firewall Bedeutung 1. Ein Gerät aus dem externen Netz will ein Datenpaket an die IP-Adresse schicken (http-anwendung). 2. Der NAT-Router übersetzt diese Adresse anhand der NAT-Tabelle in die private IP-Adresse (hier symbolisch als CP343-1Advanced). 3. Die Firewall überprüft, wie sie das Datenpaket behandeln soll. Durch den Eintrag Allow External ->Internal PG -> CP343-1Advanced http dürfen alle Datenpakete, die vom PG über Port 80 kommen und an den CP343-1 Advanced adressiert sind, passieren. 4. Das Datenpaket wird in das interne Netz geleitet. Verhalten bei falscher Zuordnung Stimmen NA(P)T Einträge und die Regeln der Firewall nicht überein, blockt der S602 V3 die Datenpakete, die nicht in der Regel aufgeführt sind. In der folgende Beispielkonfiguration wurde für die Umsetzung der IP-Adresse zur PN-CPU (symbolisch für ) keine Regel in der Firewall erstellt: 26 V3.0, Beitrags-ID:

27 3 Risikominimierung durch Security Abbildung 3-7 NAT-Tabelle Firewallregeln Abbildung 3-8 Internes Netz Bei der Datenkommunikation zwischen externen und internen Netz passiert folgendes: NAT-Tabelle NAT-Router Externes Netz (S7) (S7) Firewall (http) Keine Regel vorhanden; Paket wird verworfen V3.0, Beitrags-ID:

28 3 Risikominimierung durch Security Tabelle 3-9 Schritt Bedeutung 1. Ein Gerät aus dem externen Netz will ein Datenpaket an die IP-Adresse schicken (S7- Anwendung). 2. Der NAT-Router übersetzt diese Adresse anhand der NAT-Tabelle in die private IP-Adresse (hier symbolisch als PN-CPU). 3. Die Firewall überprüft, wie es das Datenpaket behandeln soll. Da keine Regel existiert, wird das Datenpaket verworfen. 28 V3.0, Beitrags-ID:

29 4 Produktübersicht SCALANCE S 4 Produktübersicht SCALANCE S 4.1 Die Idee des Zellenschutzkonzeptes Motivation Befinden sich in einem Netzsegment Steuerungen oder andere intelligente Geräte, die über kein oder nur einen minimalen Eigenschutz verfügen, bleibt nur die Möglichkeit, diesen Geräten eine abgesicherte Netzwerkumgebung zu schaffen. Am einfachsten ist dies mit speziellen Routern oder Gateways zu leisten. Sie stellen die IT-Sicherheit durch integrierte Firewalls in Industriequalität her und sind selbst geschützt. Das Zellenschutzkonzept Das von Siemens konzipierte Sicherheitskonzept wurde speziell für die Anforderungen im Automatisierungsumfeld zugeschnitten, um den zunehmenden Bedarf an Netzwerksicherheit gerecht zu werden. Der Kern dieses Konzeptes besteht darin, das Automatisierungsnetzwerk sicherheitstechnisch zu segmentieren und geschützte Automatisierungszellen zu bilden. Zellen sind demnach sicherheitstechnisch, abgekoppelte Netzsegmente. Die Netzknoten innerhalb einer Zelle werden durch spezielle Security-Module geschützt, um den Datenverkehr von und zur Zelle zu kontrollieren und nach Berechtigungen zu überprüfen. Es werden nur Telegramme durchgelassen, die autorisiert sind. Abbildung 4-1 Büronetz Automatisierungsnetz S602 V3 S602 V3 Roboterzelle Roboterzelle Roboterzelle V3.0, Beitrags-ID:

30 4 Produktübersicht SCALANCE S Vorteile des Zellenkonzeptes Das Konzept des Zellenschutzes dient vor allem dazu, alle Geräte zu schützen, die sich nicht selbst schützen können. Meist sind das Geräte, bei denen sich eine Aufrüstung mit Security-Funktionen nicht lohnt bzw. zu kostenintensiv ist. Ein weiterer Grund ist die technische Realisierbarkeit. Vor allem kleinere Automatisierungsgeräte besitzen nicht die notwendigen Hardwarevoraussetzungen. Das Security-Modul, welches die komplette Zelle schützt, sichert mehrere Geräte gleichzeitig, was neben geringeren Kosten auch weniger Konfigurationsaufwand bedeutet. Die Integration des Security-Moduls in bestehende Netzwerke geschieht rückwirkungsfrei. Echtzeit und Security Prinzipiell sind Echtzeitkommunikation und Security zwei gegensätzliche Anforderungen. Die Überprüfung der Telegramme anhand der Regeln oder Konfigurationen kostet Zeit und Performance. Mit dem Zellenschutzkonzept ist es möglich, beides gleichzeitig zu erreichen. Innerhalb einer Zelle kann Echtzeitkommunikation völlig unbeeinflusst von irgendwelchen Security- Mechanismen ablaufen. Die Datenkontrolle durch das Security-Modul erfolgt nur am Zelleneingang. 4.2 SCALANCE S602 V3 Beschreibung Der SCALANCE S602 V3 ist ein Produkt aus der SCALANCE S-Familie von SIMATIC NET. Wie die anderen Module auch ist der S602 V3 für den Einsatz im Automatisierungsumfeld optimiert und erfüllt die speziellen Anforderungen der Automatisierungstechnik. Der SCALANCE S602 V3 gehört zur Kategorie der Circuit Level Gateways und ist eine Stateful Inspection Firewall zum Schutz aller Geräte eines Ethernet Netzwerkes. Eigenschaften Der SCALANCE S602 V3 ist mit folgenden Sicherheitsfunktionen ausgestattet: Schutz von Geräten mit bzw. ohne eigenständige Sicherheitsfunktionen durch die integrierte Firewall: Untersuchung der Datenpakete anhand der Ursprungs- und Zieladresse Unterstützung von Ethernet- Non-IP -Telegrammen Bandbreitenbegrenzung Globale und lokale Firewallregeln Benutzerdefinierte Firewallregeln Schutz von mehreren Geräten gleichzeitig: Durch die Integration des SCALANCE S als Verbindungsglied zwischen zwei Netzwerken werden die dahinterliegenden Geräte automatisch geschützt. Router-Betrieb: Der SCALANCE S entkoppelt im Router-Modus das interne Netz vom externen Netz. Das interne Netzwerk erscheint als eigenes Subnetz. Rückwirkungsfreie Integration des SCALANCE S602 V3 in eine bestehende Infrastruktur mit flachen Netzen (Bridge-Betrieb). 30 V3.0, Beitrags-ID:

31 4 Produktübersicht SCALANCE S Zudem unterstützt der SCALANCE S602 V3 folgende Netzwerkfunktionen: Schnittstellen Adressumsetzung mit NAT/ NAPT. DHCP-Server zur IP-Adressvergabe im internen Netz. Logging und Auswertung der Log-Dateien über einen externen Server. SNMP zur Analyse und Auswertung von Netzwerkinformationen. Der SCALANCE S602 V3 verfügt über zwei Schnittstellen: Port 1 (rot); erkennbar am Schlosssymbol Port 2 (grün) Am roten Port wird das unsichere, externe Netzwerk angeschlossen, am grünen Port das zu sichernde interne Netzwerk. Abbildung 4-2 Externes Netzwerk Internes Netzwerk Hinweis Die Ethernet-Anschlüsse an Port 1 und Port 2 werden vom SCALANCE S unterschiedlich behandelt und dürfen deshalb beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden. Beim Vertauschen der Ports verliert das Gerät seine Schutzfunktion. V3.0, Beitrags-ID:

32 4 Produktübersicht SCALANCE S 4.3 Das Security Configuration Tool Konfiguration des S602 V3 Abbildung 4-3 Die Konfiguration des SCALANCE S602 V3 erfolgt über das Security Configuration Tool (SCT). Die Handhabung ist sehr einfach und erfordert in der Minimalkonfiguration kein Spezialwissen über Security. Der folgende Screenshot zeigt die Oberfläche des Security Configuration Tools: Eigenschaften Das Projektierungstool Security Configuration Tool verfügt über folgende Eigenschaften: Projektierung der SCALANCE und SINAUT Security-Module im SCT möglich. Test- und Diagnoseanzeigen. Statusanzeigen. Standard-Modus für eine schnelle und unkomplizierte Projektierung der Security-Module auch ohne Security Wissen. Erweiterter Modus für eine individuelle Projektierung der Security-Module. Zugriff nur für autorisierte Benutzer durch Passwortvergabe beim Anlegen eines Projektes. Konsistenzprüfungen auch während der Projektierung. Verschlüsselung der abgespeicherten Projekt- und Konfigurationsdaten. Symbolische Adressierung der Teilnehmer. Anlegen von globalen, lokalen und benutzerspezifischen Firewallregeln. 32 V3.0, Beitrags-ID:

33 4 Produktübersicht SCALANCE S Symbolische Adressierung Im Security Configuration Tool können stellvertretend für die IP-Adressen der Teilnehmer symbolische Namen vergeben werden. Diese sind auf die Projektierung innerhalb eines Projektes begrenzt, d.h. sie können nicht projektübergreifend verwendet werden. Jedem symbolischen Namen muss eindeutig eine einzige IP- oder MAC-Adresse zugeordnet werden. Symbolische Namen haben den Vorteil, dass die Projektierung der Dienste und Regeln einfacher und sicherer erfolgen kann. Bei folgenden Funktionen und deren Projektierung werden symbolische Namen anerkannt: Firewall NAT/NAPT Syslog DHCP Der folgende Ausschnitt zeigt die symbolische Adressierung mit den zugehörigen IP-Adressen dieser Applikation: Abbildung 4-4 V3.0, Beitrags-ID:

34 4 Produktübersicht SCALANCE S Verwaltung der Benutzer Übersicht In der Benutzerverwaltung des Security Configuration Tools können neue Benutzer angelegt und ihnen system- oder benutzerdefinierte Rollen zugewiesen werden. Die Baugruppenrechte werden pro Security-Modul festgelegt. Abbildung 4-5 Systemdefinierte Rollen Vordefiniert sind folgende systemdefinierten Rollen: administrator standard diagnostics remote access Den Rollen sind bestimmte Rechte zugewiesen, die auf allen Baugruppen gleich sind und die der Administrator nicht ändern oder löschen kann. Nähere Informationen finden Sie im Security Handbuch unter /2/ in Kapitel 9 (Literaturhinweise). 34 V3.0, Beitrags-ID:

35 4 Produktübersicht SCALANCE S Benutzerdefinierte Rollen Zusätzlich zu den systemdefinierten Rollen können auch benutzerdefinierte Rollen angelegt werden. Für jedes im Projekt verwendete Security-Modul werden die entsprechenden Rechte individuell festgelegt und die Rolle den Benutzern manuell zugewiesen. 4.4 Firewall-Regeln Abbildung 4-6 Firewall-Regeln sind vordefinierte oder eigens konfigurierte Regeln für den Datenverkehr und werden mithilfe des Security Configuration Tools erstellt. Je nach Absender, Adresse, Protokoll und Sendevorgang dürfen die Datenpakete passieren oder werden verworfen. Der folgende Screenshot zeigt eine Beispielkonfiguration von Regelsätzen: Tabelle 4-1 Eine Firewall-Regel setzt sich aus mehreren Komponenten zusammen: Bezeichnung Bedeutung Auswahlmöglichkeit Aktion Von/ Nach Zulassungsregelung (Erlauben/ Verwerfen) Die zugelassenen Kommunikationsrichtungen. Allow: Telegramme gemäß Definition zulassen. Drop: Telegramme gemäß Definition sperren. Intern -> Extern Extern -> Intern Tunnel -> Intern Intern -> Tunnel Quell-IP-Adresse Absenderadresse Alternativ können hierfür symbolische Namen vergeben werden. Ziel-IP-Adresse Zieladresse Alternativ können hierfür symbolische Namen vergeben werden. V3.0, Beitrags-ID:

36 4 Produktübersicht SCALANCE S Bezeichnung Bedeutung Auswahlmöglichkeit Dienst Bandbreite Logging Nr. Kommentar Name des verwendeten IP/ ICMP- Dienstes oder der Dienstgruppe. Die Dienste werden zuvor definiert und mit Informationen wie Protokoll, Quellund Zielport hinterlegt. Einstellmöglichkeit für eine Bandbreiten- Begrenzung. Ein Paket passiert die Firewall, wenn die Pass- Regel zutrifft und die zulässige Bandbreite für diese Regel noch nicht überschritten worden ist. Ein- bzw. Ausschalten des Logging für diese Regel Laufende, vom Security Configuration Tool vergebene Nummer zur Identifizierung der Firewallregel in der Log-Tabelle. Platz für eigene Erläuterungen der Regel. Die Klappliste bietet die projektierten Dienste und Dienstgruppen zur Auswahl an. Mit dem Wert Alle wird kein Dienst geprüft, die Regel gilt für alle Dienste. Wertebereich: MBit/s Hinweis Im Security Configuration Tool können Regeln global, lokal und benutzerspezifisch definiert werden. Das Security Configuration Tool erlaubt maximal 256 IP-/MAC Regelsätze Rangfolge der Regeln Das Auftreten der Regeln in der Regelliste entspricht auch deren Rangfolge der Bearbeitung. Die Paketfilter-Regeln werden wie folgt ausgewertet: Die Liste wird von oben nach unten ausgewertet; bei Regeln, die sich widersprechen, gilt immer der weiter oben stehende Eintrag. Bei Regeln für die Kommunikation zwischen internen und externen Netz gilt die Abschlussregel: alle Telegramme außer den in der Liste explizit zugelassenen Telegrammen sind gesperrt. Bei Regeln für die Kommunikation zwischen internem Netz und IPSecTunnel gilt die Abschlussregel: Alle Telegramme außer den in der Liste explizit gesperrten Telegrammen sind zugelassen. Hinweis Alle Telegrammtypen von intern-> extern bzw. umgekehrt sind mit den Werkseinstellungen geblockt und müssen explizit zugelassen werden. 36 V3.0, Beitrags-ID:

37 4 Produktübersicht SCALANCE S Die unterschiedlichen Firewallregelsätze Lokale Regelsätze Globale Firewallregeln Lokale Regelsätze sind jeweils einem Modul zugewiesen und werden direkt im Eigenschaftsdialog eines Moduls definiert. Globale Firewallregeln werden außerhalb der Module auf Projektebene definiert. Der Vorteil liegt darin, dass Regeln, die für mehrere Module gelten, nur einmal konfiguriert werden müssen. Die globalen Firewallregeln werden einfach durch Drag&Drop auf das Modul gezogen, für die diese Firewallregeln gelten sollen. Dieser globale Firewallregelsatz erscheint automatisch in der modulspezifischen Liste der Firewallregeln. Globale Firewallregeln können definiert werden für: IP-Regelsätze MAC-Regelsätze Abbildung 4-7 globaler Regelsatz 1 globaler Regelsatz 12 Regel Regel 1 2 Regel Regel 2 3 Regel 3 Modul Lokaler Regelsatz lokale Regel 1 globaler Regelsatz 2 lokale Regel 2 globaler Regelsatz 1 Hinweis Globale Firewallregeln sind besonders dann sinnvoll, wenn mehrere Security- Module in einem Projekt verwaltet werden. In dieser Applikation wird nur ein S602 V3 konfiguriert und verwaltet. Die Verwendung von globalen Firewallregeln bringt in diesem Fall keine Vorteile gegenüber lokalen Regeln. Um die Anwendung und Erstellung globaler Regeln zu demonstrieren, wird trotzdem mit diesen gearbeitet. V3.0, Beitrags-ID:

38 4 Produktübersicht SCALANCE S Benutzerspezifische Firewallregeln Bei der benutzerspezifischen Firewall können die Regelsätze einem oder mehreren Benutzern und anschließend einzelnen Security-Modulen zugeordnet werden. Dadurch wird es ermöglicht, die Zugriffe vom Benutzer abhängig zu machen und nicht (nur) über IP- oder MAC-Adressen. Der Benutzer kann sich dafür auf einer Webseite am SCALANCE S602 V3 anmelden. War das Login erfolgreich, wird der für diesen Benutzer vorgesehene Firewall-Regelsatz aktiviert. Anmelden können sich die Benutzer mit der Rolle: administrator diagnostics remote access Nach der Anmeldung wird ein Timer von 30 Minuten gestartet. Nach Ablauf der Zeit wird der Benutzer automatisch vom SCALANCE S602 V3 abgemeldet. Im Onlinemodus des Security Configuration Tools wird für die Benutzer Kontrolle eine Übersichtstabelle angeboten. Hier werden alle Benutzer aufgelistet, die gerade am SCALANCE S602 V3 angemeldet sind. Abbildung 4-8 Für die Abmeldung vom SCALANCE S602 V3 stehen drei Möglichkeiten zur Verfügung: Durch den Log off Button auf der Webseite. Automatisch nach Ablauf der Zeituhr. Über die Onlinefunktion Benutzer-Kontrolle durch Markieren des Benutzers und dem Button Log off. 38 V3.0, Beitrags-ID:

39 4 Produktübersicht SCALANCE S Vereinbarung für die Firewallregelsätze Für die Erstellung der globalen und benutzerspezifischen Firewallregelsätze gelten folgende Vereinbarungen: Sie können nur im Erweiterten Modus des Security Configuration Tools angelegt werden. Lokal definierte Regeln haben standardmäßig eine höhere Priorität; werden einem Security Modul neue globale und/oder benutzerspezifische Firewallregeln zugewiesen, werden diese daher in der lokalen Regelliste zunächst unten eingefügt. Die Priorität kann durch Verändern der Platzierung in der Regelliste verändert werden. Globale und benutzerspezifische Firewallregeln können nur als ganzer Regelsatz einem Security-Modul zugeordnet werden. Sie sind in der lokalen Regelliste der Firewallregeln bei den Moduleigenschaften nicht editierbar und können dort nur angezeigt und gemäß der gewünschten Priorität platziert werden. Eine einzelne Regel kann nicht aus einem zugeordneten Regelsatz gelöscht werden. Es kann nur der komplette Regelsatz aus der lokalen Regelliste genommen werden; die Definition in der globalen Regelliste wird dadurch nicht verändert. V3.0, Beitrags-ID:

40 4 Produktübersicht SCALANCE S 4.5 Logging und Diagnosemöglichkeiten im SCT Zu Test- und Überwachungszwecken verfügt das Security Configuration Tool in der Online-Ansicht über diverse Diagnose- und Loggingmöglichkeiten. Voraussetzungen für die Online-Ansicht Um Zugriff auf die Online-Ansicht zu erhalten, sind folgende Punkte zu beachten: Die Online-Betriebsart im Security Configuration Tool ist eingeschaltet ( View > Online bzw. Ansicht > Online ). Es besteht eine Netzwerkverbindung zum ausgewählten Modul Online Funktionen Folgender Screenshot zeigt den Online-Dialog: Abbildung V3.0, Beitrags-ID:

41 4 Produktübersicht SCALANCE S Folgende Funktionen werden hier angeboten: Tabelle 4-2 Zustand Funktion Datum und Uhrzeit Cache-Tabelle Benutzer-Kontrolle Bedeutung Anzeige des Geräte-Status des im Projekt angewählten SCALANCE S Moduls. Einstellung von Datum und Uhrzeit. ARP-Tabelle des Security Moduls. Übersicht der eingeloggten Benutzer für die benutzerdefinierten Firewallregeln. Interne Knoten Anzeige der internen Netzknoten des SCALANCE S- Moduls. Schnittstellen-Einstellungen System Log Audit Log Paketfilter Log Statusanzeige der ausgewählten Schnittstelle (PPPoE, DynDNS). Anzeige von geloggten System- Ereignissen. Anzeige von geloggten Sicherheits- Ereignissen. Anzeige von geloggten Daten-Paketen sowie Starten und Stoppen des Paket-Logging Logging Welche Ereignisse aufgezeichnet werden sollen, kann im Eigenschaftsdialog des SCALANCE S602 V3 bestimmt werden. Für das Logging stehen zwei Varianten zur Verfügung: Lokaler Log: Hier werden die Meldungen im lokalen Puffer des S602 V3 aufgezeichnet. Die Speicherung der Datenaufzeichnung kann nach zwei wählbaren Verfahren erfolgen: Ring-Puffer: Sobald der Puffer voll ist, fängt die Aufzeichnung wieder am Pufferanfang an und überschreibt damit die ältesten Einträge. One Shot Buffer: Die Aufzeichnung stoppt, wenn der Puffer voll ist. Mithilfe des Security Configuration Tools können Sie auf diese Aufzeichnungen zugreifen, sichtbar machen und archivieren. Netzwerk Syslog: Statt im lokalen Puffer werden die Meldungen an einen externen Syslog-Server geschickt. V3.0, Beitrags-ID:

42 4 Produktübersicht SCALANCE S Einstellungen Abbildung 4-10 Der folgende Screenshot zeigt die möglichen Einstellungen für das Logging beim S602 V3: Folgende Ereignisse können aufgezeichnet werden: Tabelle 4-3 Ereignis Paketfilter- Ereignisse Audit- Ereignisse Systemereignisse Bedeutung Hierunter werden die Datenpakete verstanden, auf die eine projektierte Paket-Filter-Regel (Firewall) zutrifft oder auf die der Basisschutz reagiert. Hierunter werden sicherheitsrelevante Ereignisse verstanden; wie z. B. das Ein- oder Ausschalten des Paket- Logging oder falsche Passworteingabe bei der Authentisierung. Systemereignisse sind z. B. Start eines Prozesses. Neben der Wahl der Ereignisse kann in diesem Dialogfenster auch das Logging aktiviert bzw. deaktiviert und die Speicherung der Daten bestimmt werden. 42 V3.0, Beitrags-ID:

43 4 Produktübersicht SCALANCE S Logging-Funktionen Tabelle 4-4 Folgende Logging-Funktionen stehen im Online-Modus zur Verfügung: Funktion Bedeutung Screenshot System Log Anzeige von geloggten Systemereignissen. Audit-Log Anzeige von geloggten Sicherheitsereignissen. Paketfilter Log Anzeige von geloggten Daten- Paketen sowie Starten und Stoppen des Paket-Logging. V3.0, Beitrags-ID:

44 5 Installation 5 Installation In diesem Kapitel wird beschrieben, welche Hardware- und Softwarekomponenten installiert werden müssen. Die Beschreibungen und Handbücher sowie Lieferinformationen, die mit den entsprechenden Produkten ausgeliefert werden, sollten in jedem Fall beachtet werden. 5.1 Installation der Hardware Die Hardware-Komponenten entnehmen Sie bitte dem Kapitel 2.3. Abbildung 5-1 Leitwarte Externer PC X208 Service-PC Syslog-Server S602 V3 CPU PN/DP+ CP343-1 Advanced X208 CPU PN/DP Mit Firewall geschützte Automatisierungszelle 44 V3.0, Beitrags-ID:

45 5 Installation Tabelle 5-1 Internes Netzwerk Externes Netzwerk Gehen Sie für den Hardwareaufbau gemäß folgender Tabelle vor: 1. Montieren Sie alle Module auf einer Profilschiene. CPU319-3PN/DP CPU317-2PN/DP CP343-1 Advanced S602 V3 X Verbinden Sie die CPU317-2 PN/DP und den CP343-1 Advanced über einen Rückwandbus. 3. Schließen Sie alle Komponenten an eine 24V- Spannungsversorgung an. 4. Verbinden Sie über Ethernet die Module wie folgt: CPU319-3PN/DP mit Port 6 des ersten SCALANCE X208 CP343-1 Advanced mit Port 1 des ersten SCALANCE X208 Interne Schnittstelle (grün) des S602 V3 mit Port 5 des ersten SCALANCE X Schließen Sie den zweiten SCALANCE X208 an eine 24V- Spannungsversorgung an. 6. Verbinden Sie über Ethernet die Module im externen Netz wie folgt: PC der Leitwarte mit Port 2 des zweiten SCALANCE X208 Service-PC mit Port 2 des zweiten SCALANCE X208 Syslog-Server mit Port 7 des zweiten SCALANCE X208 Externer PC mit Port 6 des zweiten SCALANCE X208 Die externe Schnittstelle (rot) des S602 V3 mit Port 8 des zweiten SCALANCE X208. Um alle Module anschließen zu können, verwenden Sie entweder Klemmleisten oder mehrere Spannungsversorgungen. Hinweis Die Aufbaurichtlinien für die Komponenten sind generell zu beachten. Hinweis Um sicherzugehen, dass keine alte Konfiguration im S602 V3 gespeichert ist, setzen Sie das Modul auf Werkseinstellungen zurück. Hilfe finden Sie unter /2/ im Kapitel 9 (Literaturhinweise). V3.0, Beitrags-ID:

46 5 Installation 5.2 Installation der Software Installation der Standard Tools Tabelle Installieren Sie STEP 7 V5.5 SP2 auf dem Service-PC und dem Externen PC 2. Installieren Sie das Security Configuration Tool auf das PG. 3. Installieren Sie den FTP-Client auf dem PG und dem Externen PC. 4. Installieren Sie ein Syslog Programm auf dem Syslog Server. Folgen Sie den Anweisungen des Installationsprogramms. Folgen Sie den Anweisungen des Installationsprogramms. Folgen Sie den Anweisungen des Installationsprogramms. Folgen Sie den Anweisungen des Installationsprogramms. Installation der Applikationssoftware Entpacken Sie den Code Ordner _Firewall_S602_V30_CODE. Es befinden sich hier zwei STEP-7 Projekte: Projekt Bridge.zip für den Aufbau im Bridge-Modus. Projekt NAT_NAPT.zip für den Aufbau im Router-Modus. Öffnen Sie am Service-PC den SIMATIC MANAGER und entpacken Sie das notwendige STEP 7-Projekt über File > Retrieve ( Datei > Dearchivieren ). Für den Bridge-Modus verwenden Sie Bridge.zip, im Router-Modus NAT_NAPT.zip. 46 V3.0, Beitrags-ID:

47 6 Inbetriebnahme im Bridge-Modus 6 Inbetriebnahme im Bridge-Modus 6.1 Übersicht des Konfigurationsmodus Der Bridge-Modus ist ein flaches Netz. Das externe und interne Netz befinden sich im gleichen Subnetz. Übersicht Abbildung 6-1 Leitwarte: Externer PC: X208 Service-PC: Syslog: CP: S602 V3: X208 CPU: Mit Firewall geschützte Automatisierungszelle Verwendete IP-Adressen Tabelle 6-1 Modul Externes Netz PG in der Leitwarte Service-PC Syslog Server Externer PC IP-Adresse Inte rne S602 V CP343-1 Advanced V3.0, Beitrags-ID:

48 6 Inbetriebnahme im Bridge-Modus Modul IP-Adresse PN-CPU Im Folgenden werden nun die nötigen Projektierungen für die Szenarien gezeigt. Tabelle 6-2 Nr. Anwendung Beschreibung Kapitel 1. Parametrierung IP-Konfiguration aller zelleninternen Geräte durch Knotentaufe in STEP 7 (über DCP) Freischalten des DCP- Protokolls (Kapitel 6.4) 2. Projektierung/ Diagnostizierung/ Visualisierung Freischalten der vollen PG- Funktionalität (STEP 7) für den PC des Servicemitarbeiters. 3. Bandbreitenbeschränkung Einschränkung der Datenkommunikation für den PC des Servicemitarbeiters. 4. Produktivdatentransfer, Visualisierung Freischalten des Zugriffs auf den FTP- und Webserver des zelleninternen Advanced-CPs für das PG der Leitwarte. 5. Logging des Datenverkehrs Freischalten des Datenverkehrs-Logging für einen externen Syslogserver. 6. Benutzerdefinierte Firewallregeln Freischalten des Zugriffs auf den FTP- und Webserver des zelleninternen Advanced-CPs für ausgewählte Benutzer. IP-Dienst Definition (Kapitel 6.8.1) Anlegen der lokalen Firewallregeln (Kapitel 6.8.4) Anlegen der lokalen Firewallregeln (Kapitel 6.8.4) IP-Dienst Definition (Kapitel 6.8.1) Anlegen der lokalen Firewallregeln (Kapitel 6.8.4) Anlegen der globalen Firewallregel (Kapitel 6.8.3) Anlegen der lokalen Firewallregeln (Kapitel 6.8.4) Projektierung des Syslog-Logging (Kapitel 6.7) Definition von Benutzer für das SCT(Kapitel 6.8.2) Anlegen von benutzerspezifischen Firewallregeln (Kapitel 6.8.5) 48 V3.0, Beitrags-ID:

49 6 Inbetriebnahme im Bridge-Modus 6.2 Vergabe der IP-Adressen IP-Adressvergabe der PCs/PGs Tabelle 6-3 Im Folgenden werden die PCs/PGs mit den erforderlichen IP-Adressen konfiguriert. 1. Zum Ändern der Netzwerkadresse öffnen Sie die Internet Protokoll (TCP/IP) über Start > Settings > Network Connection > Local Connections ( Start > Einstellungen > Netzwerkverbindungen > Lokale Verbindungen ). Ändern Sie die IP-Adresse für das PG in der Leitwarte, den Service-PC, den Syslog-Server und den externen PC auf diese Weise gemäß Tabelle Tabelle 6-1 ab. Hinweis: Für den Routing-Modus benötigen Sie zusätzlich eine Gatewayadresse. Tragen Sie für diesen Fall auch die IP-Adresse des zugehörigen Routers ein. V3.0, Beitrags-ID:

50 6 Inbetriebnahme im Bridge-Modus IP-Adressvergabe der Module Tabelle 6-4 Zum Einspielen des STEP7-Projekts in die CPU muss diejenige IP-Adresse der Baugruppe geändert werden, über die das Projekt geladen wird. Das kann die CPU selbst oder ein CP sein. Nr. Aktion Hinweis 1. Verbinden Sie den Service-PC mit dem internen Netzwerk über den ersten SCALANCE X Öffnen Sie am Service-PC den SIMATIC Manager und das STEP 7 Projekt. Selektieren Sie im Menü PLC ( Zielsystem ) die Option Edit Ethernet Node ( Ethernet- Teilnehmer bearbeiten ) Der S602 V3 erlaubt im Default-Modus keine Knotentaufe aller zelleninterner Geräte durch ein externes PG mit STEP 7. Aus diesem Grund muss sich das PG für die Knotentaufe unmittelbar im internen Netz befinden. 3. Klicken Sie auf die Schaltfläche Browse (Durchsuchen ). 50 V3.0, Beitrags-ID:

51 6 Inbetriebnahme im Bridge-Modus Nr. Aktion Hinweis 4. Selektieren Sie die gewünschte Baugruppe und bestätigen Sie die Auswahl mit der Schaltfläche OK. 5. Geben Sie im erscheinenden Fenster unter Set IP configurations (Ethernet-Adresse vergeben) die IP-Adresse gemäß Tabelle 6-1 ein. Hinweis: Für den Routing-Modus benötigen Sie zusätzlich eine Gatewayadresse. Aktivieren Sie für diesen Fall Use router und tragen die IP-Adresse des zugehörigen Routers ein. Klicken Sie auf die Schaltfläche Assign IP Configuration (IP-Konfiguration zuweisen). 6. Vergeben Sie auf diese Weise dem CP und der CPU die entsprechenden IP-Adressen. 7. Verbinden Sie den Service-PC wieder mit Port 7 des zweiten SCALANCE X208. Der SCALANCE bekommt seine IP-Adresse über das Laden des SCT-Projektes zugewiesen. V3.0, Beitrags-ID:

52 6 Inbetriebnahme im Bridge-Modus 6.3 Anlegen eines Projektes im SCT Tabelle 6-5 Das SCALANCE S-Modul wird mithilfe des Security Configuration Tool (SCT) konfiguriert. 1. Öffnen Sie das Security Configuration Tool über Start > SIMATIC > Security. Legen Sie über Project > New ( Projekt > Neu ) ein neues Projekt an. 2. Sie werden aufgefordert, eine Authentisierung für das neue Projekt zu vergeben. Tragen Sie einen Benutzernamen und Password ein. Bestätigen Sie mit OK. 3. Wählen Sie als Modul den S602 und als Version V3. Wählen Sie einen beliebigen Namen und übernehmen Sie die MAC-Adresse des Moduls, die sich am Gehäuse befindet. Als externe IP-Adresse vergeben Sie die mit der Subnetzmaske Bestätigen Sie die Angaben mit OK. 52 V3.0, Beitrags-ID:

53 6 Inbetriebnahme im Bridge-Modus 6.4 Freischalten des DCP-Protokolls Tabelle 6-6 Durch das Freischalten des DCP-Protokolls ist eine Knotentaufe aller zelleninterner Geräte durch ein externes PG mit STEP 7 möglich. 1. Markieren Sie das Modul und öffnen Sie über Rechte Maustaste > Properties ( Eigenschaften ) die Eigenschaften des Moduls. Wechseln Sie in die Registerkarte Firewall. 2. Aktivieren Sie die Option Allow DCP (Erlaube DCP) in beide Richtungen. Damit wird das Setzen von IP- Adressen bzw. Gerätenamen (Knotentaufe) durch das in STEP 7 integrierte Primary Setup Tool (PST) ermöglicht. Bestätigen Sie die Änderung mit OK. 3. Speichern Sie die Konfiguration unter einem sinnvollen Namen (z.b. S602 V3_FW) ab. 4. Übertragen Sie nun die Konfiguration ins Modul. Markieren Sie die Zeile mit dem Modul und wählen Sie: Transfer > To module ( Übertragen > An Modul ). Die F-LED wechselt von gelborange nach grün. Warten Sie, bis die Meldung Transfer finished successfully (Transfer erfolgreich beendet) erscheint. 5. Nun ist es möglich, durch einen Netzwerkscan die internen Teilnehmer aufzuspüren. V3.0, Beitrags-ID:

54 6 Inbetriebnahme im Bridge-Modus 6.5 Symbolische Adressierung im SCT Tabelle 6-7 Eine symbolische Adressierung der Teilnehmer erleichtert die Konfiguration und Projektierung der einzelnen Dienste. 1. Öffnen Sie über Options > Symbolic Names ( Optionen > Symbolische Namen ) die Tabelle für die symbolische Adressierung. 2. Tragen Sie mit Add (Hinzufügen) alle Teilnehmer mit deren IP-Adresse und MAC- Adresse in die Tabelle ein. Verwenden Sie die IP-Adressen aus Tabelle 6-1. Schließen Sie den Dialog mit OK. Bridge-Modus: Router-Modus: 54 V3.0, Beitrags-ID:

55 6 Inbetriebnahme im Bridge-Modus 6.6 Erweiterter Modus Der Erweiterte Modus bietet neben den Standardeinstellungen mehr Konfigurationsmöglichkeiten. ACHTUNG Eine einmal vorgenommene Umschaltung in den Erweiterten-Modus für das aktuelle Projekt kann nicht mehr rückgängig gemacht werden. Tabelle Eine individuelle Projektierung der Firewall ist nur im erweiterten Modus möglich. Aktivieren Sie diesen über View > Advanced Mode ( Ansicht >Erweiterter Modus ). 2. Bestätigen Sie die Warnung mit Ja. 6.7 Projektierung des Syslog-Logging Tabelle 6-9 Das Logging der Datenpakete soll auf einen Syslog-Server aufgezeichnet werden. 1. Markieren Sie das Modul S602 V3 im Security Configuration Tool und öffnen über Rechte Maustaste > Properties ( Eigenschaften ) den Eigenschaftsdialog. Wechseln Sie in das Register Log Settings (Log Einstellung). Aktivieren Sie das Logging mit einem Syslog-Server und dem Zusatz, dass statt IP-Adressen die symbolische Namen der internen Teilnehmer angezeigt werden. Tragen Sie als IP- Adresse Syslog-Server ein. Aktivieren Sie die Meldungen, die auf den Syslog Server übertragen werden sollen. Schließen Sie den Dialog mit OK. V3.0, Beitrags-ID:

56 6 Inbetriebnahme im Bridge-Modus 6.8 Konfiguration der Firewallregeln Voraussetzungen Voraussetzungen für die Konfiguration der Firewall sind: Es wurde ein SCT-Projekt mit einem S602 V3 angelegt. Das Modul S602 V3 wurde mit der MAC-Adresse der realen S602 V3 Baugruppe konfiguriert. Im Bridge-Modus: als externe IP-Adresse ist die eingetragen Der Erweiterte Modus ist aktiviert IP-Dienst Definition Tabelle 6-10 Mithilfe der IP-Dienst-Definitionen werden Firewall-Regeln, die auf bestimmte Dienste angewendet werden, kompakt und übersichtlich definiert. Dabei wird jedem Dienstparameter ein Name zugeordnet. Bei der Projektierung der globalen oder lokalen Paketfilter-Regeln werden diese Namen einfach verwendet. 1. Öffnen Sie über Options > IP Services ( Optionen > IP-Dienste ) die nötige Tabelle. 2. Fügen Sie über Add IP Service (IP Dienst hinzufügen) neue IP- Dienste hinzu. 56 V3.0, Beitrags-ID:

57 6 Inbetriebnahme im Bridge-Modus 3. Für die S7-Kommunikation: Name: S7 Protokoll: TCP Source Port: * Target Port: 102 ******************************** Für die http-kommunikation: Name: HTTP Protokoll: TCP Source Port: * Target Port: 80 ******************************** Für den FTP-Zugriff: Name: FTP Protokoll: TCP Source Port: * Target Port: 21 ******************************** Wenn Sie alle Dienste eingetragen haben, schließen Sie den Dialog mit OK Definition von Benutzer für das SCT Tabelle Öffnen Sie die Benutzerverwaltung im Security Configuration Tool über Options > User Management ( Extras > Benutzerverwaltung ). V3.0, Beitrags-ID:

58 6 Inbetriebnahme im Bridge-Modus 2. Die Startmaske listet alle bereits projektierten Benutzer mit deren Namen und Rollen auf. Über Add (Hinzufügen) können Sie weitere Benutzer anlegen. 3. Legen Sie einen Namen und Passwort fest. Als Rolle wählen Sie aus der Auswahlliste remote access aus. Der Benutzer mit der Rolle remote access hat keine Rechte außer Anmeldung an der Internetseite für benutzerspezifische Firewall-Regeln. Schließen Sie das Fenster mit OK. 4. Der neue Benutzer wird in der Übersichtstabelle angezeigt. Schließen Sie das Fenster mit OK. 5. Bestätigen Sie die Warnung mit OK. 58 V3.0, Beitrags-ID:

59 6 Inbetriebnahme im Bridge-Modus Anlegen der globalen Firewallregel Tabelle 6-12 Für diese Applikation wird die Firewallregel für den FTP-Server global angelegt. 1. Markieren Sie unter den globalen Firewallregeln die Firewall IP-Regelsätze und legen Sie über Rechte Maustaste > Insert rule set ( Regelsatz einfügen ) einen neuen Regelsatz ein. 2. Um die globale Firewallregel besser zu identifizieren, können Sie einen Namen und eine Beschreibung eintragen. 3. Legen Sie über Add Rule (Regel hinzufügen) eine neue globale Firewallregel an. Tragen Sie folgende Werte ein: ************************************ Aktion: Allow From/To (Von/Nach): External -> Internal (Extern -> Intern) Source IP (Quelle IP): PG Destination IP (Ziel IP): CP343-1Advanced Service (Dienst): FTP Logging: Aktiviert ************************************ Schließen Sie den Dialog mit OK. 4. Eine neue globale Firewallregel wurde erstellt. V3.0, Beitrags-ID:

60 6 Inbetriebnahme im Bridge-Modus 5. Markieren Sie diese Regel und ziehen Sie diese mittels Drag&Drop auf das Modul S602 V Anlegen der lokalen Firewallregeln Tabelle 6-13 Als lokale Firewallregeln werden das S7-Protokoll und die Kommunikation über http freigeschaltet. 1. Markieren Sie den S602 V3 und öffnen Sie über Rechte Maustaste > Properties ( Eigenschaften ) die Eigenschaften. Wechseln Sie in das Register Firewall Setting (Firewall) und IP Rules (IP- Regeln). Die globale Firewallregel, die soeben mit Drag&Drop auf das Modul gezogen wurde, erscheint nun auch in den lokalen Firewalleinstellungen. 2. Klicken Sie auf Add Rule (Regel hinzufügen), um eine neue lokale Firewallregel zu erstellen. 3. Tragen Sie folgende Werte ein: Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): Service- PC Destination IP (Ziel IP): PN- CPU Service (Dienst): S7 Bandwidth (Bandbreite): 10 (MBit/s) Aktivieren Sie das Logging. 60 V3.0, Beitrags-ID:

61 6 Inbetriebnahme im Bridge-Modus 4. Über Add Rule (Regel hinzufügen) können Sie weitere Regeln einfügen. Tragen Sie für die S7- und http -Kommunikation noch folgende Zeilen ein: Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): Service- PC Destination IP (Ziel IP): CP343-1Advanced Service (Dienst): S7 Bandwidth (Bandbreite): 10 (MBit/s) Akitivieren Sie das Logging. ************************************* Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): PG Destination IP (Ziel IP): CP343-1Advanced Service (Dienst): HTTP Akitivieren Sie das Logging. ************************************* Aktion: Allow From/To (Von/Nach):Internal-> External (Intern -> Extern) Source IP (Quelle IP): * Destination IP (Ziel IP): * ************************************* Schließen Sie den Dialog mit OK. Hinweis Jede Firewallregel erhält vom Security Configuration Tool automatisch ein eindeutiges Label zugewiesen. Um bei der Aufzeichnung der System- und Sicherheitsereignissen (Logging) festzustellen, welche Firewallregel jeweils gewirkt hat, erscheint das zugehörige Label in der Logzeile. V3.0, Beitrags-ID:

62 6 Inbetriebnahme im Bridge-Modus Anlegen von benutzerspezifischen Firewallregeln Tabelle Markieren Sie die benutzerspezifischen Firewallregeln und legen Sie über Rechte Maustaste > Insert rule set ( Regelsatz einfügen ) einen neuen Regelsatz ein. 2. Um die benutzerspezifischen Firewallregel besser zu identifizieren, können Sie einen Namen und eine Beschreibung vergeben. Im unteren Bereich sehen Sie alle projektierten Benutzer. 3. Legen Sie über Add Rule (Regel hinzufügen) eine neue Firewallregel an. 62 V3.0, Beitrags-ID:

63 6 Inbetriebnahme im Bridge-Modus 4. Tragen Sie folgende Werte ein: ************************************ Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): Destination IP (Ziel IP):CP343-1Advanced Service (Dienst): HTTP Logging: Aktiviert ************************************ Aktion: Allow From/To (Von/Nach):External-> Internal (Extern -> Intern) Source IP (Quelle IP): Destination IP (Ziel IP):CP343-1Advanced Service (Dienst): FTP Logging: Aktiviert 5. Markieren Sie den konfigurierten Benutzer und weisen Sie ihm mit Add (Hinzufügen) diesen Regelsatz zu 6. Schließen Sie dien Dialog mit OK. 7. Eine neue benutzerspezifische Firewallregel wurde erstellt. 8. Markieren Sie diese Regel und ziehen Sie diese mittels Drag&Drop auf den SCALANCE S602 V3. V3.0, Beitrags-ID:

64 6 Inbetriebnahme im Bridge-Modus Hinweis Für die Zuordnung der benutzerspezifischen Firewallregeln gelten folgende Regeln: Einer Baugruppe kann nur ein benutzerspezifischer Regelsatz pro Benutzer zugewiesen werden. Durch die Zuordnung wird für alle Rollen der im Regelsatz festgelegten Benutzer das Recht "Benutzer darf sich an Baugruppe anmelden" aktiviert. 6.9 Firewallregeln in den S602 V3 laden Tabelle 6-15 Sobald alle Firewallregeln konfiguriert sind, kann das Projekt in den SCALANCE S602 V3 geladen werden. 1. Speichern Sie die Konfiguration unter einem sinnvollen Namen (z.b. S602 V3_FW) ab. 2. Übertragen Sie nun die Konfiguration ins Modul. Markieren Sie die Zeile mit dem Modul und wählen Sie: Transfer > To module ( Übertragen > An Modul ). Die F-LED wechselt von gelborange nach grün. Warten Sie, bis die Meldung Transfer completed successfully (Transfer erfolgreich beendet) erscheint 3. Das Modul ist nun mit der aktuellen Firewallkonfiguration projektiert. 64 V3.0, Beitrags-ID:

65 7 Inbetriebnahme im Routing-Modus 7 Inbetriebnahme im Routing-Modus Hinweis In diesem Kapitel wird nur auf die zusätzlichen Projektierungsschritte eingegangen, die über die notwendigen Projektierungen im Bridge-Modus hinausgehen. 7.1 Übersicht des Konfigurationsmodus Der Router-Modus ist ein subnetzübergreifendes Netz. Das externe und interne Netz befinden sich in verschiedenen Subnetzen. Übersicht Abbildung 7-1 Leitwarte: Externer PC: Syslog: X208 Service-PC: S602 V3 Extern: S602 V3 Intern: CP: X208 CPU: Mit Firewall geschützte Automatisierungszelle V3.0, Beitrags-ID:

66 7 Inbetriebnahme im Routing-Modus Verwendete IP-Adressen Tabelle 7-1 Externes Netz Internes Netz Modul IP-Adresse Router PG der Leitwarte Service-PC Syslog Server Externer PC S602 V3 (externe Schnittstelle) S602 V3 (interne Schnittstelle) CP343-1 Advanced PN-CPU Als Subnetzmaske dient jeweils die Basis Projektierungen aus dem Bridge-Modus Die meisten Projektierungsschritte aus dem Bridge-Modus sind die Grundlage für den Routing-Modus. Folgende Projektierungsschritte sind Voraussetzung für den Routing-Modus: Tabelle 7-2 Nr. Kapitel Anmerkung 1. Vergabe der IP-Adressen (Kapitel 6.2) Verwenden Sie dafür die IP-Adresse aus Tabelle 7-1. Achten Sie darauf, in den Geräten auch eine Routeradresse zu projektieren. 2. Anlegen eines Projektes im SCT (Kapitel 6.3). 3. Symbolische Adressierung im SCT (Kapitel 6.5) 4. Erweiterter Modus (Kapitel 6.6) 5. Projektierung des Syslog-Logging (Kapitel 6.7) 6. Konfiguration der Firewallregeln (Kapitel 6.8) Verwenden Sie dafür die IP-Adresse aus Tabelle 7-1. Voraussetzungen für die Konfiguration der Firewall sind: Es wurde ein SCT-Projekt mit einem S602 V3 angelegt. Das Modul S602 V3 wurde mit der MAC-Adresse der realen S602 V3 Baugruppe bestückt. Im Routing-Modus: als externe IP- Adresse ist die eingetragen Der Erweiterte Modus ist aktiviert. 66 V3.0, Beitrags-ID:

67 7 Inbetriebnahme im Routing-Modus 7.3 Änderung des Betriebsmodus auf Routing Tabelle Öffnen Sie das Security Configuration Tool Projekt. 2. Markieren Sie den SCALANCE S602 V3 und öffnen Sie durch einen Doppelklick die Eigenschaften. Versetzen die das Modul im Register Interface (Schnittstelle) in den Routing Modus. Ändern Sie die externe IP- Adresse auf um und tragen Sie als interne IP- Adresse die mit der Subnetzmaske ein. Schließen Sie den Dialog mit OK. V3.0, Beitrags-ID:

68 7 Inbetriebnahme im Routing-Modus 7.4 Konfiguration von NA(P)T Das folgende Kapitel zeigt die nötigen Projektierungsschritte, um NAT bzw. NAPT im SCALANCE S602 V3 zu implementieren. Sie haben in dieser Applikation die Möglichkeit, die Szenarien entweder mit NAT oder mit NAPT zu bedienen: Für die Bedienung mit NAT, folgen Sie den Schritten von Kapitel (Konfiguration der NAT-Tabelle). Für die Bedienung mit NAPT, folgen Sie den Schritten von Kapitel (Konfiguration der NAPT-Tabelle) Konfiguration der NAT-Tabelle Tabelle 7-4 NAT ist eine 1:1-Umsetzung. Das bedeutet, eine IP-Adresse wird auf eine andere, interne umgesetzt. 1. Wechseln Sie in das Register NAT. Im linken Teil des Dialoges befindet sich die NAT-Tabelle. 2. Aktivieren Sie das NAT und erlauben Sie allen Teilnehmern von intern nach extern zu kommunizieren. Es wird automatisch der Eintrag * SrcNat (to external) eingefügt. 68 V3.0, Beitrags-ID:

69 7 Inbetriebnahme im Routing-Modus 3. Über den Button Add können Sie je einen neuen Eintrag einfügen. Tragen Sie folgende Adressumsetzungen in die Tabelle ein: *********************************** Externe IP-Adresse: Interne IP-Adresse: CP343-1Advanced Richtung: Dst-NAT (from external) *********************************** Externe IP-Adresse: Interne IP-Adresse: PN-CPU Richtung: Dst-NAT from external) *********************************** Schließen Sie den Dialog mit OK Konfiguration der NAPT-Tabelle Tabelle 7-5 Bei NAPT existiert eine öffentliche IP-Adresse, die durch den Zusatz von Portnummern an eine Reihe von privaten IP-Adressen umgesetzt wird. 1. Markieren Sie das Modul S602 V3 im Security Configuation Tool und öffnen Sie über Rechte Maustaste > Properties ( Eigenschaften ) die Eigenschaften. Wechseln Sie in das Register NAT. Im rechten Teil des Dialoges befindet sich die NAPT-Tabelle. 2. Aktivieren Sie das NAPT. V3.0, Beitrags-ID:

70 7 Inbetriebnahme im Routing-Modus 3. Über den Button Add können Sie je einen neuen Eintrag einfügen. Tragen Sie folgende Adressumsetzungen in die Tabelle ein: *********************************** Externer Port: 8000 Interne IP-Adresse: CP343-1 Advanced Interner Port: 80 *********************************** Externer Port: 21 Interne IP-Adresse: CP343-1 Advanced Interner Port: 21 *********************************** Externer Port: 102 Interne IP-Adresse: PN-CPU Interner Port: 102 *********************************** Hinweis Eine externe Portnummer darf nur einmal eingetragen sein. Da immer die IP- Adresse des SCALANCE S als externe IP-Adresse verwendet wird, wäre bei mehrfacher Verwendung keine Eindeutigkeit gegeben. Aus diesem Grund kann nur auf eine CPU (hier: PN-CPU) zugegriffen werden. 7.5 Laden der SCALANCE S602 V3 Konfiguration Verfahren Sie für das Laden der Konfiguration so, wie in Kapitel 6.9 (Firewallregeln in den S602 V3 laden) beschrieben. Abbildung V3.0, Beitrags-ID:

71 8 Bedienung der Applikation 8 Bedienung der Applikation Zugriffsrechte Durch die Firewallregeln wurden die Szenarien nur für bestimmte PCs freigeschalten. Ein Versuch, die Szenarien mit einem anderen PC als den vorgegebenen zu testen, bleibt ohne Erfolg. Die folgende Tabelle gibt einen Überblick: Tabelle 8-1 Anwenderszenarien Knotentaufe der internen Teilnehmer Projektierung/ Diagnostizieren mit STEP 7 Zugriff auf zelleninterne Web- und FTP Server Logging der Datenpakete für die S7-Kommunikation Blocken von unbefugten Zugriffsversuchen 8.1 Bedienung im Bridge-Modus Zugriffsrecht Service-PC Service-PC PG der Leitwarte Syslog-Server Externer PC Aufbau Die folgende Grafik zeigt den Aufbau und die zugehörigen IP-Adressen der Applikation im Bridge-Modus: Abbildung 8-1 Leitwarte: X208 Externer PC: Service-PC: Syslog: S602 V3: CP: X208 CPU: Mit Firewall geschützte Automatisierungszelle V3.0, Beitrags-ID:

72 8 Bedienung der Applikation Knotentaufe über das DCP-Protokoll Tabelle Öffnen Sie am Service-PC den SIMATIC Manager und das STEP 7 Projekt Bridge. Selektieren Sie im Menü PLC (Zielsystem) die Option Edit Ethernet Node (Ethernet-Teilnehmer bearbeiten). Starten Sie den Netzwerk-Scan. Durch die Freigabe des DCP-Protokolls ist nun eine Knotentaufe der internen Teilnehmer möglich. Laden und Beobachten des STEP 7-Projektes Tabelle Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das zugehörige Projekt Bridge. 2. Markieren Sie nacheinander die S7-300 Stationen und laden Sie diese in die CPU. 3. Öffnen Sie die Variablentabelle im Ordner Blocks. In der Variablentabelle sind die Taktmerker der CPU hinterlegt. Beobachten Sie die Variablen durch das Brillen-Icon oder über View > Monitor ( Ansicht > Beobachten ). 72 V3.0, Beitrags-ID:

73 8 Bedienung der Applikation Zugriff auf den Web-Server Tabelle 8-4 Der Zugriff auf den Web- und FTP-Server des CP343-1 Advanced ist nur für die Leitwarte zulässig. In den Firewallregeln wurde das http und ftp-protokoll explizit für die IP-Adresse erlaubt. r. Aktion Anmerkung 1. Öffnen Sie auf dem PG der Leitwarte einen Webbrowser und geben Sie in die Adressleiste die IP-Adresse des CP343-1 Advanced ( ein. Die Standard-HTML Seite öffnet sich. 2. Über die HTML-Seite des CPs können Sie u. a. den Diagnosepuffer der CPU einsehen, Baugruppeninformationen abrufen, den Status der Ringredundanz überprüfen und Informationen zu den projektierten Verbindungen einholen. Zugriff auf den FTP-Server Tabelle Öffnen Sie auf dem PG der Leitwarte einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTP- Server. Hinweis: Verwenden Sie als FTP-Client keinen Webbrowser, sondern ein FTP-Client Programm. V3.0, Beitrags-ID:

74 8 Bedienung der Applikation 2. Die Filestruktur des Advanced-CP wird angezeigt. Logging des Datenverkehrs Tabelle Öffnen Sie auf dem Syslog-Server das Syslog Programm. Die Meldungen des S602 V3 werden hier angezeigt. 2. Markieren Sie im Security Configuration Tool das S602 V3- Modul und gehen Sie über View > Online ( Ansicht > Online ) in den Online-Modus. 3. Klicken Sie doppelt auf das Modul. Der Online-Dialog öffnet sich. In der ersten Registerkarte Status erscheinen sämtliche Informationen (Hardware, IP-/MAC- Adresse, Änderungsdatum der Konfiguration ). 74 V3.0, Beitrags-ID:

75 8 Bedienung der Applikation 4. Die Registerkarten System Log, Audit Log und Packet Filter Log zeigen die lokalen Aufzeichnungen. Unter Packet-Filter Log können Sie die Aufzeichnungen entweder in einem Ring-Puffer oder One Shot Buffer über den Button Start Logging starten. Die Auswahl wird direkt angezeigt. Der Button Start Reading aktiviert die Anzeige im Dialogfenster. Blocken von unbefugten Zugriffen Tabelle Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTP- Server. 2. Der Zugriff auf das Filesystem des CPs ist nicht möglich. 3. Versuchen Sie die Webseite des CPs über einen Webbrowser zu öffnen. Auch hier ist kein Zugriff möglich. 4. Öffnen Sie auf dem Externen PC den SIMATIC MANAGER und das STEP 7 Projekt Bridge. V3.0, Beitrags-ID:

76 8 Bedienung der Applikation 5. Markieren Sie eine S7-300 Station und versuchen Sie diese in die CPU zu laden. 6. Ein Laden ist nicht möglich. Zugriff über benutzerspezifische Firewallregelsätze Tabelle 8-8 Für die Aktivierung dieser spezifischen Firewall ist eine vorherige Anmeldung auf der Webseite des SCALANCE S602 V3 notwendig. Die Verbindung zum Security Modul erfolgt über HTTPS unter Verwendung der IP- Adresse des externen Ports. 1. Öffnen Sie auf dem Externen PC die Webseite des S602 V3 über einen Webbrowser Melden Sie sich mit dem in Kapitel konfigurierten Benutzernamen und Passwort an. 76 V3.0, Beitrags-ID:

77 8 Bedienung der Applikation 3. Nach 30 Minuten wird der Benutzer automatisch am SCALANCE abgemeldet. Wird mehr Zeit benötigt, kann die Zeituhr neu gestartet werden. 4. Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTP- Server. 5. Die Filestruktur des Advanced-CP wird angezeigt. 6. Auch der Zugriff auf die Webseite des CPs ist durch die benutzerspezifische Regel nun erlaubt. V3.0, Beitrags-ID:

78 8 Bedienung der Applikation 8.2 Bedienung im Router-Modus Aufbau Die folgende Grafik zeigt den Aufbau und die zugehörigen IP-Adressen der Applikation im Router-Modus: Abbildung 8-2 Leitwarte: Externer PC: X208 Service-PC: Syslog: CP: S602 V3 Intern: X208 S602 V3 Extern: CPU: Mit Firewall geschützte Automatisierungszelle 78 V3.0, Beitrags-ID:

79 8 Bedienung der Applikation Routing über NAT Laden und Beobachten des STEP 7-Projektes Tabelle Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das Projekt NAT_NAPT. 2. Markieren Sie nacheinander die S7-300 Stationen und laden Sie diese in die CPU. 3. Wenn Sie nach einer Zugangsadresse bei der Station SIMATIC CPU gefragt werden, wählen Sie die PROFINET Schnittstelle des CP343-1 Advanced aus. 4. Öffnen Sie die Variablentabelle im Ordner Blocks. In der Variablentabelle sind die Taktmerker der CPU hinterlegt. Beobachten Sie die Variablen durch das Brillen-Icon oder über View > Monitor ( Ansicht > Beobachten ). V3.0, Beitrags-ID:

80 8 Bedienung der Applikation Zugriff auf den Web-Server Tabelle Öffnen Sie auf dem PG der Leitwarte einen Webbrowser und geben Sie in die Adressleiste die IP-Adresse des CP343-1 Advanced ( ein. Die Standard-HTML Seite öffnet sich. 2. Über die HTML-Seite des CPs können Sie u. a. den Diagnosepuffer der CPU einsehen, Baugruppeninformationen abrufen, den Status der Ringredundanz überprüfen und Informationen zu den projektierten Verbindungen einholen. Zugriff auf den FTP-Server Tabelle Öffnen Sie auf dem PG der Leitwarte einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: Port: 21 Kennwort: ftp_user Passwort: ftp_user Transfer: Aktiv Verbinden Sie sich mit dem FTP- Server. 80 V3.0, Beitrags-ID:

81 8 Bedienung der Applikation 2. Die Filestruktur des Advanced-CP wird angezeigt. Logging des Datenverkehrs Tabelle Öffnen Sie auf dem Syslog-Server das Syslog Programm. Die Meldungen des S602 V3 werden hier angezeigt. 2. Markieren Sie im Security Configuration Tool das S602 V3- Modul und gehen Sie über View > Online ( Ansicht > Online ) in den Online-Modus. 3. Klicken Sie doppelt auf das Modul. Der Online-Dialog öffnet sich. In der ersten Registerkarte Status erscheinen sämtliche Informationen (Hardware, IP-/MAC- Adresse, Änderungsdatum der Konfiguration ). V3.0, Beitrags-ID:

82 8 Bedienung der Applikation 4. Die Registerkarten System Log, Audit Log und Packet Filter Log zeigen die lokalen Aufzeichnungen. Unter Packet-Filter Log können Sie die Aufzeichnungen entweder in einem Ring-Puffer oder One Shot Buffer über den Button Start Logging starten. Die Auswahl wird direkt angezeigt. Der Button Start Reading aktiviert die Anzeige im Dialogfenster. Blocken von unbefugten Zugriffen Tabelle Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTP- Server. 2. Der Zugriff auf das Filesystem des CPs ist nicht möglich. 3. Versuchen Sie die Webseite des CPs über einen Webbrowser zu öffnen ( Auch hier ist kein Zugriff möglich. 4. Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das Projekt NAT_NAPT. 82 V3.0, Beitrags-ID:

83 8 Bedienung der Applikation 5. Markieren Sie nacheinander die S7-300 Stationen und laden Sie diese in die CPU. 6. Wenn Sie nach einer Zugangsadresse bei der Station SIMATIC CPU gefragt werden, wählen Sie die PROFINET Schnittstelle des CP343-1 Advanced aus. 7. Ein Laden ist nicht möglich. V3.0, Beitrags-ID:

84 8 Bedienung der Applikation Zugriff über benutzerspezifische Firewallregelsätze Tabelle 8-14 Für die Aktivierung dieser spezifischen Firewall ist eine vorherige Anmeldung auf der Webseite des SCALANCE S602 V3 notwendig. Die Verbindung zum Security Modul erfolgt über HTTPS unter Verwendung der IP- Adresse des externen Ports. 1. Öffnen Sie auf dem Externen PC die Webseite des S602 V3 über einen Webbrowser Melden Sie sich mit dem in Kapitel konfigurierten Benutzernamen und Passwort an. 3. Nach 30 Minuten wird der Benutzer automatisch am SCALANCE abgemeldet. Wird mehr Zeit benötigt, kann die Zeituhr neu gestartet werden. 4. Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTP- Server. 84 V3.0, Beitrags-ID:

85 8 Bedienung der Applikation 5. Die Filestruktur des Advanced-CP wird angezeigt. 6. Auch der Zugriff auf die Webseite des CPs ( ist durch die benutzerspezifische Regel nun erlaubt. V3.0, Beitrags-ID:

86 8 Bedienung der Applikation Routing über NAPT Laden und Beobachten des STEP 7-Projektes Tabelle Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das Projekt NAT_NAPT. 2. Markieren Sie die S7-300 Station SIMATIC PN-CPU und laden Sie diese in die CPU. 3. Öffnen Sie die Variablentabelle im Ordner Blocks. In der Variablentabelle sind die Taktmerker der CPU hinterlegt. Beobachten Sie die Variablen durch das Brillen-Icon oder über View > Monitor ( Ansicht > Beobachten ). Zugriff auf den Web-Server Tabelle Öffnen Sie auf dem PG der Leitwarte einen Webbrowser und geben Sie in die Adressleiste die IP-Adresse des CP343-1 Advanced ( ein. Die Standard-HTML Seite öffnet sich. 86 V3.0, Beitrags-ID:

87 8 Bedienung der Applikation 2. Über die HTML Seite des CPs können Sie u. a. den Diagnosepuffer der CPU einsehen, Baugruppeninformationen abrufen, den Status der Ringredundanz überprüfen und Informationen zu den projektierten Verbindungen einholen. Zugriff auf den FTP-Server ACHTUNG Tabelle 8-17 Achten Sie darauf, dass Sie das Aktive FTP verwenden und der Client einen zufälligen Lausch-Port an den Server sendet. Beim Passiven FTP öffnet der Server einen neuen Port und schickt ihn an den Client. Jedoch mit seiner eigenen IP-Adresse (hier ) und nicht die umgesetzte ( ). Ein Verbindungsaufbau ist so nicht möglich. 1. Öffnen Sie auf dem PG der Leitwarte einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: Port: 21 User: ftp_user Passwort: ftp_user Transfer: Aktives FTP Verbinden Sie sich mit dem FTP- Server. 2. Die Filestruktur des Advanced-CPs wird angezeigt. V3.0, Beitrags-ID:

88 8 Bedienung der Applikation Logging des Datenverkehrs Tabelle Öffnen Sie auf dem Syslog-Server das Syslog Programm. Die Meldungen des S602 V3 werden hier angezeigt. 2. Markieren Sie im Security Configuration Tool das S602 V3- Modul und gehen Sie über View > Online ( Ansicht > Online ) in den Online-Modus. 3. Klicken Sie doppelt auf das Modul. Der Online-Dialog öffnet sich. In der ersten Registerkarte Status erscheinen sämtliche Informationen (Hardware, IP-/MAC- Adresse, Änderungsdatum der Konfiguration ). 4. Die Registerkarten System Log, Audit Log und Packet Filter Log zeigen die lokalen Aufzeichnungen. Unter Packet-Filter Log können Sie die Aufzeichnungen entweder in einem Ring-Puffer oder One Shot Buffer über den Button Start Logging starten. Die Auswahl wird direkt angezeigt. Der Button Start Reading aktiviert die Anzeige im Dialogfenster. 88 V3.0, Beitrags-ID:

89 8 Bedienung der Applikation Blocken von unbefugten Zugriffen Tabelle Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTP- Server. 2. Der Zugriff auf das Filesystem des CPs ist nicht möglich. 3. Versuchen Sie die Webseite des CPs über einen Webbrowser zu öffnen ( Auch hier ist kein Zugriff möglich. 4. Öffnen Sie auf dem Service-PC den SIMATIC MANAGER und das Projekt NAT_NAPT. 5. Markieren Sie die S7-300 Station SIMATIC PN-CPU und laden Sie diese in die CPU. 6. Ein Laden ist nicht möglich. V3.0, Beitrags-ID:

90 8 Bedienung der Applikation Zugriff über benutzerspezifische Firewallregelsätze Tabelle 8-20 Für die Aktivierung dieser spezifischen Firewall ist eine vorherige Anmeldung auf der Webseite des SCALANCE S602 V3 notwendig. Die Verbindung zum Security Modul erfolgt über HTTPS unter Verwendung der IP- Adresse des externen Ports. 1. Öffnen Sie auf dem Externen PC die Webseite des S602 V3 über einen Webbrowser Melden Sie sich mit dem in Kapitel konfigurierten Benutzernamen und Passwort an. 3. Nach 30 Minuten wird der Benutzer automatisch am SCALANCE abgemeldet. Wird mehr Zeit benötigt, kann die Zeituhr neu gestartet werden. 4. Öffnen Sie auf dem Externen PC einen FTP-Client. Legen Sie einen neuen Server mit folgenden Daten an: Server: Port: 21 User: ftp_user Passwort: ftp_user Übertragungsmodus: Aktiv Verbinden Sie sich mit dem FTP- Server. 90 V3.0, Beitrags-ID:

91 8 Bedienung der Applikation 5. Die Filestruktur des Advanced-CP wird angezeigt. 6. Auch der Zugriff auf die Webseite des CPs ( ist durch die benutzerspezifische Regel nun erlaubt. V3.0, Beitrags-ID: