Security in STEP 7 Professional. einrichten SIMATIC NET. Industrial Ethernet Security Security in STEP 7 Professional einrichten.

Transkript

1 Security in STEP 7 Professional einrichten SIMATIC NET Industrial Ethernet Security Security in STEP 7 Professional einrichten Vorwort 1 Bedienoberfläche und Menübefehle 2 Basisprojektierung 3 Firewall im Erweiterten Modus 4 VPN zur Netzkopplung 5 Getting Started 09/2014 C79000-G8900-C379-01

2 Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: Marken WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Industry Sector Postfach NÜRNBERG DEUTSCHLAND C79000-G8900-C P 09/2014 Änderungen vorbehalten Copyright Siemens AG Alle Rechte vorbehalten

3 Inhaltsverzeichnis 1 Vorwort Bedienoberfläche und Menübefehle Bedienoberfläche und Menübefehle Basisprojektierung IP-Adressen für SCALANCE S projektieren Übersicht SCALANCE S und Netzwerk einrichten IP-Einstellungen des PCs einrichten Projekt und Security-Modul anlegen Security-Projekt anlegen IP-Adressen zuweisen Konfiguration auf SCALANCE S laden IP-Adressen für CP projektieren Übersicht IP-Einstellungen des PCs einrichten Projekt und Security-Modul anlegen Security-Projekt anlegen IP-Adressen zuweisen Konfiguration auf Security-Modul laden Firewall im Erweiterten Modus Globale Regelsätze Übersicht IP-Einstellungen der PCs einrichten Lokale Firewall projektieren Globale Firewall-Regelsätze projektieren Konfiguration auf Security-Modul laden Firewall-Funktion testen Firewall-Regeln für Verbindungen Übersicht IP-Einstellungen der PCs einrichten Lokale Firewall projektieren Verbindungs-Firewall-Regeln projektieren Konfiguration auf Security-Modul laden Firewall-Funktion testen Benutzerspezifische Firewall Übersicht IP-Einstellungen der PCs einrichten Lokale Firewall projektieren Remote Access Benutzer anlegen Benutzerspezifische Firewall-Regelsätze projektieren Konfiguration auf Security-Modul laden Benutzerspezifischen Firewall-Regelsatz aktivieren Getting Started, 09/2014, C79000-G8900-C

4 Inhaltsverzeichnis Firewall-Funktion testen NAT Übersicht IP-Einstellungen des PCs einrichten Destination-NAT und lokale Firewall projektieren Konfiguration auf Security-Modul laden NAT-Funktion testen VPN zur Netzkopplung VPN-Tunnel im LAN zwischen allen Security-Produkten Übersicht IP-Einstellungen der PCs einrichten SOFTNET Security Client-Modul anlegen VPN-Gruppe projektieren SOFTNET Security Client-Konfiguration speichern Konfiguration auf Security-Modul laden Tunnelaufbau mit dem SOFTNET Security Client Tunnelfunktion testen VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Übersicht IP-Einstellungen der PCs einrichten SOFTNET Security Client-Modul anlegen VPN-Gruppe projektieren VPN-Eigenschaften des Security-Moduls projektieren SOFTNET Security Client-Konfiguration speichern Konfiguration auf Security-Modul laden Tunnelaufbau mit dem SOFTNET Security Client Tunnelfunktion testen VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Übersicht IP-Einstellungen der PCs einrichten SOFTNET Security Client-Modul anlegen VPN-Gruppe projektieren VPN-Eigenschaften des Security-Moduls projektieren Lokale Firewall projektieren Remote Access Benutzer anlegen Benutzerspezifische Firewall-Regelsätze projektieren SOFTNET Security Client-Konfiguration speichern Konfiguration auf Security-Modul laden Tunnelaufbau mit dem SOFTNET Security Client Benutzerspezifischen Firewall-Regelsatz aktivieren Tunnel- und Firewall-Funktion testen Getting Started, 09/2014, C79000-G8900-C379-01

5 Vorwort 1 Schnell zum Ziel mit Getting Started Anhand einfacher Test-Netzwerke lernen Sie hier den Umgang mit den Security-Modulen und dem Projektierwerkzeug STEP 7 Professional kennen. Sie sehen, wie sich bereits ohne großen Projektieraufwand die Schutzfunktionen von Security-Modulen im Netz realisieren lassen. Sie können hierbei an unterschiedlichen Sicherheitsbeispielen die Grundfunktionen der Security-Module und des SOFTNET Security Client realisieren. IP-Einstellungen der Beispiele Hinweis Die in den Beispielen verwendeten IP-Einstellungen sind frei gewählt und funktionieren im isolierten Test-Netzwerk konfliktfrei. In einem realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Gültigkeitsbereich des Getting Started Projektierungssoftware: STEP 7 Professional V13 Produkte: SCALANCE S SCALANCE S602, Bestellnummer: 6GK BA10-2AA3 SCALANCE S612, Bestellnummer: 6GK BA10-2AA3 SCALANCE S623, Bestellnummer: 6GK BA10-2AA3 SCALANCE S627-2M, Bestellnummer: 6GK BA10-2AA3 CPs CP Advanced GX31 ab V3.0, Bestellnummer: 6GK GX31-0XE0 CP Advanced GX30 ab V3.0, Bestellnummer: 6GK GX30-0XE0 CP ab V1.1, Bestellnummer: 6GK AX00-0XE0 CP , Bestellnummer: 6GK BX30-0XE0 VPN Client Software SOFTNET Security Client ab V4.0, Bestellnummer: 6GK VW04-0AA0 Getting Started, 09/2014, C79000-G8900-C

6 Vorwort Windows: Alle Beispiele werden mit Windows 7 durchgeführt. Deshalb werden auch die Pfadangaben von Windows 7 beschrieben. Allgemeine Benennung "Security-Module" In der vorliegenden Dokumentation werden die folgenden Produkte unter der Benennung "Security-Modul" zusammengefasst: SCALANCE S602 / SCALANCE S612 / SCALANCE S623 / SCALANCE S627-2M / CP Advanced GX31 / CP Advanced GX30 / CP / CP Die CPs Advanced GX31 und Advanced GX30 werden als "CP x43-1 Adv." bezeichnet. Die CPs und werden als "CP 1x43-1" bezeichnet. Allgemeine Benennung "STEP 7" Die Projektierung der im vorliegenden Handbuch verwendeten Security-Funktionen wird ab STEP 7 Professional V13 unterstützt. Im Folgenden wird die Benennung "STEP 7" verwendet. Verwendung der Benennungen "Schnittstelle" und "Port" In der vorliegenden Dokumentation werden die Ports von Security-Modulen wie folgt benannt: "Externe Schnittstelle": Der externe Port beim SCALANCE S602 / S612 / S623 bzw. ein externer Port beim SCALANCE S627-2M "Ethernet-Schnittstelle": Der externe Port beim CP x43-1 Adv. / CP 1x43-1 "Interne Schnittstelle": Der interne Port beim SCALANCE S602 / S612 / S623 bzw. ein interner Port beim SCALANCE S627-2M "PROFINET-Schnittstelle": Der interne Port beim CP 43-1 Adv. "DMZ-Schnittstelle": Der DMZ-Port beim SCALANCE S623 / S627-2M Die Benennung "Port" selbst wird dann verwendet, wenn ein spezieller Port einer Schnittstelle im Vordergrund steht. IP-Adressen der Security-Module in den Konfigurationsbeispielen Beim Laden einer Konfiguration auf ein Security-Modul muss stets die IP-Adresse angegeben werden, über welche die jeweilige Schnittstelle aktuell erreichbar ist. In den Konfigurationsbeispielen dieses Handbuchs wird jeweils davon ausgegangen, dass die IP- Adressen aus der Konfiguration mit den aktuellen IP-Adressen der Security-Module identisch sind. 6 Getting Started, 09/2014, C79000-G8900-C379-01

7 Vorwort Wenn Sie mehr wissen möchten Weitere Informationen zum Thema "Industrial Ethernet Security" entnehmen Sie dem Informationssystem von STEP 7 (Online-Hilfe). Außerdem unterstützt Sie das Informationssystem von STEP 7 bei der Projektierung und Programmierung Ihres Automatisierungssystems. Hardwarebeschreibungen und Hinweise zur Installation finden Sie in den Dokumenten der einzelnen Baugruppen. Security-Hinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security- Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt- Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter Getting Started, 09/2014, C79000-G8900-C

8 Vorwort 8 Getting Started, 09/2014, C79000-G8900-C379-01

9 Bedienoberfläche und Menübefehle Bedienoberfläche und Menübefehle Bedienoberfläche für Security-Funktionen in STEP 7 Getting Started, 09/2014, C79000-G8900-C

10 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle 1 Globale Security-Einstellungen In der Projektnavigation befinden sich die globalen Security-Einstellungen. Diese Security-Einstellungen können modulunabhängig projektiert und im Anschluss ggf. einzelnen Security-Modulen zugewiesen werden. Handelt es sich bei dem ersten zu konfigurierenden Security-Modul um einen CP, werden die globalen Security- Einstellungen erst angezeigt, wenn die Security-Funktionen in den lokalen Security-Einstellungen des CPs aktiviert wurden. Handelt es sich bei dem ersten zu konfigurierenden Security-Modul um ein SCALANCE S Modul, werden die globalen Security-Einstellungen bereits nach der Anmeldung am Security-Projekt angezeigt. Folgende Hauptordner und Einträge sind in den globalen Security-Einstellungen verfügbar: Benutzeranmeldung Für die Security-Konfiguration innerhalb eines Projekts existiert eine eigene Benutzerverwaltung. Melden Sie sich über den Eintrag "Benutzeranmeldung" an der Security-Konfiguration an. Beim erstmaligen Anmelden an der Security-Konfiguration wird automatisch ein Benutzer mit der systemdefinierten Rolle "Administrator" erstellt. Weitere Benutzer können Sie innerhalb der Security-Konfiguration in der Benutzerverwaltung anlegen. Benutzerverwaltung In der Benutzerverwaltung können Sie Benutzer erstellen, Rechte für Rollen definieren und diese Rollen Benutzern zuweisen. Zertifikatsmanager Im Zertifikatsmanager erhalten Sie eine Übersicht über alle im Projekt verwendeten Zertifikate. Sie können z. B. neue Zertifikate importieren sowie bestehende Zertifikate exportieren, ändern oder ersetzen. Firewall Unter dem Eintrag "Firewall" können Sie globale IP- und MAC-Firewall-Regelsätze sowie benutzerspezifische IP-Regelsätze (nur für SCALANCE S Module) definieren und Security-Modulen zuweisen. Mit Hilfe von IP- und MAC-Dienst-Definitionen lassen sich die IP- und MAC-Firewall-Regeln kompakt und übersichtlich definieren. VPN-Gruppen In diesem Ordner sind alle erstellten VPN-Gruppen enthalten. Sie können hier neue VPN-Gruppen erstellen und Security-Module diesen VPN-Gruppen zuordnen. Zudem können die VPN-Gruppeneigenschaften von bereits angelegten VPN-Gruppen angepasst werden. NTP Hier können Sie gesicherte NTP-Server anlegen und einem oder mehreren Security-Modulen zuweisen. Damit erreichen Sie, dass die Zeitsynchronisation über den zugewiesenen NTP-Server erfolgt. Nicht gesicherte NTP- Server sind in den lokalen Security-Einstellungen konfigurierbar. 10 Getting Started, 09/2014, C79000-G8900-C379-01

11 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle 2 Arbeitsbereich mit Security-Modul 3 Nachdem Sie im Arbeitsbereich ein Security-Modul selektiert haben, können Sie unter "Eigenschaften" > "Allgemein" dessen lokale Security-Einstellungen projektieren. Wenn sich das selektierte Security-Modul in einer VPN- Gruppe befindet, werden zugehörige Informationen im VPN-Register angezeigt. VPN-Register In diesem Register werden Informationen zu allen VPN-Gruppen angezeigt, zu denen das Security-Modul gehört, das im Arbeitsbereich selektiert wurde. Informationen zu den jeweiligen Teilnehmern einer VPN-Gruppe können ein- und ausgeblendet werden. Getting Started, 09/2014, C79000-G8900-C

12 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle 4 Lokale Security-Einstellungen Lokale Security-Einstellungen werden für ein bestimmtes Security-Modul projektiert. Nachdem ein Security-Modul im Arbeitsbereich selektiert wurde, sind dessen lokale Security-Einstellungen im Register "Eigenschaften" > "Allgemein" des Inspektorfensters verfügbar. Hinweis für CPs: Bevor die lokalen Security-Einstellungen für CPs projektiert werden können, müssen diese zunächst aktiviert werden. Melden Sie sich hierzu ggf. an Ihrem Security-Projekt an und aktivieren Sie anschließend im Inspektorfenster im Register "Eigenschaften" > "Allgemein", Eintrag "Security" das Kontrollkästchen "Aktiviere Security-Funktionen". Die lokalen Security-Einstellungen werden anschließend unterhalb des Eintrags "Security" angezeigt. Durch das Aktivieren des Kontrollkästchens werden die folgenden Einstellungen, sofern sie aktiviert waren, automatisch in die lokalen Security-Einstellungen migriert: CP x43-1 Adv.: SNMP FTP-Konfiguration Uhrzeitsynchronisation Webserver Einträge von IP-Zugriffslisten CP : SNMP FTP-Konfiguration Uhrzeitsynchronisation CP : SNMP Uhrzeitsynchronisation Außerdem stehen Ihnen zusätzliche Security-Funktionen wie z. B. NTP (secure), SNMPv3, FTPS zur Verfügung. Zusätzlich werden für projektierte Verbindungen automatisch Firewall-Regeln angelegt, die den Verbindungsaufbau freigeben. Zum Aufzeichnen geblockter Pakete stehen Ihnen entsprechende Log-Einstellungen zur Verfügung. 12 Getting Started, 09/2014, C79000-G8900-C379-01

13 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle Gesicherte und ungesicherte Projektierungsbereiche Die Bedienoberfläche lässt sich in gesicherte und ungesicherte Projektierungsbereiche unterteilen. Gesichert sind diejenigen Bereiche, in welchen die Projektierung erst nach der Anmeldung an der Security-Konfiguration erfolgen kann. Diese Bereiche sind verschlüsselt und somit nur für in der Benutzerverwaltung autorisierte Personen zugänglich, auch wenn das Projekt für einen erweiterten Personenkreis zugänglich ist. Funktionen aus ungesicherten Bereichen können dagegen auch ohne Anmeldung an der Security-Konfiguration projektiert werden. Diese Einstellungen müssen vor dem Laden des Projekts auf die Anlagenkomponenten auf ihre Korrektheit überprüft werden, sofern ein erweiterter Personenkreis Änderungen an dem Projekt vornehmen kann. In der folgenden Auflistung ist dargestellt, welche Projektierungsbereiche der Bedienoberfläche gesichert und welche ungesichert sind. Dies hängt zum Teil vom Security- Modul ab, für welches die Projektierung erfolgt. Alle Einstellungen aus den globalen Security-Einstellungen sind gesichert. Gesicherte und ungesicherte Projektierungsbereiche für SCALANCE S Module: Alle Einstellungen für die Schnittstellen und Ports, insbesondere IP-Adressen, sind ungesichert. Die Einstellungen unterhalb des Eintrags Allgemein in den lokalen Security- Einstellungen sind ungesichert. Übergeordnete Einstellungen (z. B. MRP-Einstellungen wie MRP-Manager etc.), welche nicht am Security-Modul selbst projektiert werden, sich aber ggf. auf das Security-Modul auswirken, sind ungesichert. Dies betrifft nicht die globalen Security- Einstellungen. Die übrigen Einstellungen sind gesichert. Gesicherte und ungesicherte Projektierungsbereiche für CP Advanced, CP Advanced, CP , CP BX30: Alle Einstellungen außerhalb des Eintrags "Security" sind ungesichert. Übergeordnete Einstellungen (z. B. MRP-Einstellungen wie MRP-Manager, PROFINET-Einstellungen, Verbindungen etc.), welche nicht am Security-Modul selbst projektiert werden, sich aber ggf. auf das Security-Modul auswirken, sind ungesichert. Dies betrifft nicht die globalen Security-Einstellungen. Alle Einstellungen für die Schnittstellen und Ports, insbesondere IP-Adressen, sind ungesichert. Die Einstellungen unterhalb des Eintrags "Security" sind gesichert. Getting Started, 09/2014, C79000-G8900-C

14 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle 14 Getting Started, 09/2014, C79000-G8900-C379-01

15 Basisprojektierung IP-Adressen für SCALANCE S projektieren Übersicht Übersicht In diesem Beispiel werden in STEP 7 IP-Adressen für ein SCALANCE S-Modul, das sich im Zustand der Werkseinstellung befindet, projektiert. Im Anschluss wird die Konfiguration über die externe Schnittstelle auf das Security-Modul geladen. Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: 1 x SCALANCE S (zusätzlich optional: eine entsprechend montierte Hutschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x PC, auf dem das Projektierungswerkzeug STEP 7 installiert ist die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Voraussetzung Um dieses Beispiel durchführen zu können, muss folgende Voraussetzung erfüllt sein: Das SCALANCE S-Modul befindet sich im Zustand der Werkseinstellung. Sie können diesen Zustand wiederherstellen, indem Sie den Reset-Taster am SCALANCE S betätigen und mindestens 5 Sekunden gedrückt halten. Für weitere Informationen zum Reset-Taster des SCALANCE S, siehe Kapitel "4.3 Reset-Taster - Rücksetzen der Konfiguration auf Werkseinstellung" im Handbuch "SIMATIC NET Industrial Ethernet Security - SCALANCE S V4". Getting Started, 09/2014, C79000-G8900-C

16 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren Die folgenden Schritte in der Übersicht: SCALANCE S und Netzwerk einrichten Gehen Sie wie folgt vor: 1. Packen Sie zunächst den SCALANCE S aus und überprüfen Sie den unbeschädigten Zustand. 2. Schließen Sie die Spannungsversorgung an den SCALANCE S an. Ergebnis: Nach dem Anschließen der Betriebsspannung leuchtet die Fault-LED (F) gelb. WARNUNG Nur Sicherheitskleinspannung verwenden Das Gerät SCALANCE S ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S muss NEC Class 2 entsprechen (Spannungsbereich V, Strombedarf ca. 250 ma). 16 Getting Started, 09/2014, C79000-G8900-C379-01

17 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren 3. Stellen Sie die physikalische Netzwerkverbindung her, indem Sie die externe Schnittstelle des SCALANCE S mit dem PC verbinden. 4. Schalten Sie den PC ein. Hinweis Die Ethernet-Schnittstellen werden vom SCALANCE S unterschiedlich behandelt und dürfen beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: Schnittstelle X1 - External Network Rote Markierung = ungeschützter Netzwerkbereich; Schnittstelle X2 - Internal Network Grüne Markierung = durch SCALANCE S geschütztes Netzwerk; Nur für SCALANCE S623 und SCALANCE S627-2M: Schnittstelle X3 - DMZ-Port (universelle Netzwerkschnittstelle) Gelbe Markierung = ungeschützter Netzwerkbereich oder durch SCALANCE S geschützter Netzwerkbereich. Beim Vertauschen der Schnittstellen verliert das Gerät seine Schutzfunktion IP-Einstellungen des PCs einrichten Der PC erhält folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske PC Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Doppelklicken Sie die entsprechende Netzwerkverbindung. 4. Klicken Sie im Dialog "Status von [Netzwerk]" auf die Schaltfläche "Eigenschaften". 5. Bestätigen Sie die Windows Sicherheitsabfrage mit "Ja". 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. Getting Started, 09/2014, C79000-G8900-C

18 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen des PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. 18 Getting Started, 09/2014, C79000-G8900-C379-01

19 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren Projekt und Security-Modul anlegen Neues Projekt anlegen: 1. Installieren und starten Sie die Projektierungssoftware STEP 7 auf PC1. 2. Wählen Sie den Menüpunkt "Neues Projekt erstellen". 3. Vergeben Sie im folgenden Dialog einen Projektnamen für Ihr Projekt, ändern Sie gegebenenfalls den Ablagepfad und bestätigen Sie den Dialog mit "Erstellen". Ergebnis: Ein neues STEP 7-Projekt ist angelegt und wird in der Portalansicht geöffnet. Neues Security-Modul anlegen 1. Wechseln Sie über den Menüpunkt "Projektansicht öffnen" in die Projektansicht. 2. Doppelklicken Sie in der Projektnavigation den Menüpunkt "Geräte & Netze". Ergebnis: Die Netzsicht wird geöffnet. 3. Öffnen Sie den "Hardware-Katalog" und fügen Sie das entsprechende Security-Modul durch Drag&Drop der Netzsicht hinzu. Achten Sie dabei auf die richtige Firmware- Version, die Sie im Bereich "Information" anpassen können. Sie finden das Security-Modul unter folgender Navigation im "Hardware-Katalog": Security-Modul Navigation im Hardware-Katalog SCALANCE S "Netzkomponenten" > "Industrial Security" > "SCALANCE S" Security-Projekt anlegen Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht. 2. Selektieren Sie das Security-Modul um die Eigenschaften konfigurieren zu können. 3. Wählen Sie im Inspektorfenster Register "Allgemein" den Menüpunkt "Security- Eigenschaften". 4. Klicken Sie in der folgenden Maske auf "Benutzeranmeldung". 5. Legen Sie einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 6. Bestätigen Sie Ihre Eingabe mit "Anmelden". Ergebnis: Das Security-Projekt ist angelegt. Alle Security-Einstellungen, die Sie im Folgenden vornehmen, werden verschlüsselt im Projekt abgelegt und können nur mit dem angelegten Benutzer und Passwort bearbeitet oder eingesehen werden. Getting Started, 09/2014, C79000-G8900-C

20 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren IP-Adressen zuweisen Externe IP-Adresse zuweisen: 1. Wählen Sie das Menü "Online" > "Erreichbare Teilnehmer". 2. Wählen Sie aus der Klappliste "Typ der PG/PC-Schnittstelle" den Eintrag "PN/IE" aus. 3. Wählen Sie die Netzwerkkarte aus, über die Sie mit dem Security-Modul verbunden sind. 4. Wenn die MAC-Adresse des SCALANCE S angezeigt wird, markieren Sie den zugehörigen Eintrag in der Tabelle und klicken Sie auf die Schaltfläche "Anzeigen". Ergebnis: Der SCALANCE S wird in der Projektnavigation im Menü "Online-Zugänge" unterhalb des ausgewählten Netzwerkadapters angezeigt: 5. Doppelklicken Sie auf "Online & Diagnose". 6. Wählen Sie im folgenden Fenster das Menü "Funktionen" > "IP-Adresse zuweisen". 7. Geben Sie die externe IP-Adresse ( ) und die externe Subnetzmaske ( ) ein. 8. Klicken Sie auf die Schaltfläche "IP-Adresse zuweisen". 20 Getting Started, 09/2014, C79000-G8900-C379-01

21 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren IP-Adressen für die interne Schnittstelle und die DMZ-Schnittstelle projektieren: 1. Überprüfen Sie, dass im Inspektorfenster Register "Allgemein" unter "Betriebsart" der "Routing-Modus" aktiviert ist. 2. Geben Sie die folgenden IP-Adressen ein: Schnittstelle IP-Adresse Subnetzmaske Externe Schnittstelle [P1] rot Interne Schnittstelle [P2] grün Nur für S623 oder S627-2M: DMZ-Schnittstelle [P3] gelb Klicken Sie für jede Adresse im Feld "Schnittstelle vernetzen mit" auf die Schaltfläche "Neues Subnetz hinzufügen". Ergebnis: Die IP-Adressen sind zugewiesen und die Schnittstellen vernetzt Konfiguration auf SCALANCE S laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle" aus. Getting Started, 09/2014, C79000-G8900-C

22 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren 4. Wählen Sie aus der Klappliste "Verbindung mit Schnittstelle/Subnetz" den Eintrag "Versuche alle Schnittstellen" aus. Bei SCALANCE S-Modulen wird das Protokoll HTTPS zum Laden verwendet. 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz" angezeigt. 6. Selektieren Sie das Security-Modul in der Liste und klicken Sie auf die Schaltfläche "Laden". 7. Klicken Sie im folgenden Dialog nach der Überprüfung auf die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert. 22 Getting Started, 09/2014, C79000-G8900-C379-01

23 Basisprojektierung 3.2 IP-Adressen für CP projektieren Ergebnis: SCALANCE S im Produktivbetrieb SCALANCE S befindet sich jetzt im Produktivbetrieb. Dieser Betriebszustand wird von der Fault-Anzeige durch grünes Licht signalisiert. Sie können nun Konfigurationen über alle Schnittstellen laden. Die Grundprojektierung ist abgeschlossen. 3.2 IP-Adressen für CP projektieren Übersicht Übersicht In diesem Beispiel werden in STEP 7 IP-Adressen für einen der folgenden CPs projektiert. Im Anschluss wird die Konfiguration über das Security-Modul in die Station geladen. CP CP CP Advanced CP Advanced Voraussetzung Um dieses Beispiel durchführen zu können, müssen folgende Voraussetzungen erfüllt sein: Die Projektierungswerkzeug STEP 7 ist auf einem PC installiert und es wurde bereits eine Station mit CPU angelegt. Die Memory Card der CPU ist leer. Die CPU wurde urgelöscht. Die CPU hat eine gültige Uhrzeit und gibt diese über den Rückwandbus weiter. Nähere Informationen zum genauen Vorgehen finden Sie im jeweiligen Gerätehandbuch sowie im Informationssystem (Online-Hilfe) von STEP 7. Getting Started, 09/2014, C79000-G8900-C

24 Basisprojektierung 3.2 IP-Adressen für CP projektieren Die folgenden Schritte in der Übersicht: IP-Einstellungen des PCs einrichten Der PC erhält folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske PC Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Doppelklicken Sie die entsprechende Netzwerkverbindung. 4. Klicken Sie im Dialog "Status von [Netzwerk]" auf die Schaltfläche "Eigenschaften". 5. Bestätigen Sie die Windows Sicherheitsabfrage mit "Ja". 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. 24 Getting Started, 09/2014, C79000-G8900-C379-01

25 Basisprojektierung 3.2 IP-Adressen für CP projektieren 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen des PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Projekt und Security-Modul anlegen Neues Projekt anlegen: 1. Installieren und starten Sie die Projektierungssoftware STEP 7 auf PC1. 2. Wählen Sie den Menüpunkt "Neues Projekt erstellen". 3. Vergeben Sie im folgenden Dialog einen Projektnamen für Ihr Projekt, ändern Sie gegebenenfalls den Ablagepfad und bestätigen Sie den Dialog mit "Erstellen". Ergebnis: Ein neues STEP 7-Projekt ist angelegt und wird in der Portalansicht geöffnet. Getting Started, 09/2014, C79000-G8900-C

26 Basisprojektierung 3.2 IP-Adressen für CP projektieren Neues Security-Modul anlegen 1. Wechseln Sie über den Menüpunkt "Projektansicht öffnen" in die Projektansicht. 2. Doppelklicken Sie in der Projektnavigation den Menüpunkt "Geräte & Netze". Ergebnis: Die Netzsicht wird geöffnet. 3. Öffnen Sie den "Hardware-Katalog" und fügen Sie das entsprechende Security-Modul durch Drag&Drop der Netzsicht hinzu. Achten Sie dabei auf die richtige Firmware- Version, die Sie im Bereich "Information" anpassen können. Sie finden das Security-Modul unter folgender Navigation im "Hardware-Katalog": Security-Modul Navigation im Hardware-Katalog CP Advanced "Controller" >"SIMATIC S7-300" > "Kommunikationsmodule" > "PROFINET/Ethernet" > "CP Advanced-IT" CP 443- Advanced "Controller" > "SIMATIC S7-400" > "Kommunikationsmodule" > "PROFINET/Ethernet" > "CP Advanced-IT" CP "Controller" > "SIMATIC S7-1200" > "Kommunikationsmodule" > "Industrial Remote Control" > "CP " CP "Controller" > "SIMATIC S7-1500" > "Kommunikationsmodule" > "PROFINET/Ethernet" > "CP " Security-Projekt anlegen Gehen Sie so vor: 1. Wechseln Sie in die "Gerätesicht". 2. Selektieren Sie das Security-Modul um die Eigenschaften konfigurieren zu können. 3. Wählen Sie im Inspektorfenster Register "Allgemein" den Menüpunkt "Security" > "Security-Eigenschaften". 4. Klicken Sie in der folgenden Maske auf "Benutzeranmeldung". 5. Legen Sie einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 6. Bestätigen Sie Ihre Eingabe mit "Anmelden". 7. Wechseln Sie in die Netzsicht und selektieren Sie das Security-Modul. 8. Aktivieren Sie unter "Security" das Optionskästchen "Aktiviere Security-Funktionen". Ergebnis: Das Security-Projekt ist angelegt. Alle Security-Einstellungen, die Sie im Folgenden vornehmen, werden verschlüsselt im Projekt abgelegt und können nur mit dem angelegten Benutzer und Passwort bearbeitet oder eingesehen werden. 26 Getting Started, 09/2014, C79000-G8900-C379-01

27 Basisprojektierung 3.2 IP-Adressen für CP projektieren IP-Adressen zuweisen Externe IP-Adresse zuweisen: 1. Wählen Sie das Menü "Online" > "Erreichbare Teilnehmer". 2. Wählen Sie aus der Klappliste "Typ der PG/PC-Schnittstelle" den Eintrag "PN/IE" aus. 3. Wählen Sie die Netzwerkkarte aus, über die Sie mit dem Security-Modul verbunden sind. 4. Wenn die MAC-Adresse des CP angezeigt wird, markieren Sie den zugehörigen Eintrag in der Tabelle und klicken Sie auf die Schaltfläche "Anzeigen". Ergebnis: Der CP wird in der Projektnavigation im Menü "Online-Zugänge" unterhalb des ausgewählten Netzwerkadapters angezeigt. 5. Klicken Sie auf "Online & Diagnose". 6. Wählen Sie im folgenden Fenster das Menü "Funktionen" > "IP-Adresse zuweisen". 7. Geben Sie die externe IP-Adresse ( ) und die externe Subnetzmaske ( ) ein. 8. Klicken Sie auf die Schaltfläche "IP-Adresse zuweisen". 9. Klicken Sie für jede Adresse im Feld "Schnittstelle vernetzen mit" auf die Schaltfläche "Neues Subnetz hinzufügen". Ergebnis: Die IP-Adressen sind zugewiesen und die Schnittstellen vernetzt. IP-Adressen für die interne Schnittstelle projektieren: 1. Geben Sie im Inspektorfenster Register "Allgemein" die folgenden IP-Adressen ein: Security-Modul IP-Adresse Subnetzmaske CP 1x43-1 Ethernet-Schnittstelle [X1]: CP x43-1 Adv. Ethernet-Schnittstelle [X1]: PROFINET-Schnittstelle [X2]: Klicken Sie für jede Adresse im Feld "Schnittstelle vernetzen mit" auf die Schaltfläche "Neues Subnetz hinzufügen". Ergebnis: Die IP-Adressen sind zugewiesen und die Schnittstellen vernetzt Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle" aus. Getting Started, 09/2014, C79000-G8900-C

28 Basisprojektierung 3.2 IP-Adressen für CP projektieren 4. Wählen Sie aus der Klappliste "Verbindung mit Schnittstelle/Subnetz" den Eintrag "Versuche alle Schnittstellen" aus. Bei CPs wird das S7-Protokoll zum Laden verwendet. 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz" angezeigt. 6. Selektieren Sie das Security-Modul in der Liste und klicken Sie auf die Schaltfläche "Laden". 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert. 28 Getting Started, 09/2014, C79000-G8900-C379-01

29 Basisprojektierung 3.2 IP-Adressen für CP projektieren Ergebnis: Security-Modul im Produktivbetrieb Das Security-Modul befindet sich jetzt im Produktivbetrieb. Sie können nun Konfigurationen über alle Schnittstellen laden. Die Basisprojektierung ist abgeschlossen. Getting Started, 09/2014, C79000-G8900-C

30 Basisprojektierung 3.2 IP-Adressen für CP projektieren 30 Getting Started, 09/2014, C79000-G8900-C379-01

31 Firewall im Erweiterten Modus Globale Regelsätze Übersicht In diesem Beispiel projektieren Sie die erweiterte Firewall und nutzen die Funktion der globalen Regelsätze. Sie erreichen durch die vorgenommenen Einstellungen in der Firewall des Security-Moduls, dass die Konfiguration und Diagnose der Steuerungen über das S7-Protokoll auf die IP- Adresse von PC1 beschränkt und damit aus dem externen Netz ermöglicht wird. Zudem dürfen alle Teilnehmer aus dem externen Netz das Protokoll HTTPS zur Kommunikation verwenden. Dadurch wird die Security-Diagnose der Security-Module ermöglicht oder auch je nach Testaufbau, die Kommunikation mit Webservern im internen Netzwerk. Durch die globalen Regelsätze werden abgelehnte Zugriffe auf das Security-Modul oder das interne Netz geloggt. Aufbau des Testnetzes für SCALANCE S, CP x43-1 Adv. Getting Started, 09/2014, C79000-G8900-C

32 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Internes Netzwerk - Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch eine SIMATIC S7-Station mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Die Station ist an der internen Schnittstelle des Security-Moduls angeschlossen. Station1: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul - Ein Security-Modul zum Schutz des internen Netzwerks kann sein: SCALANCE S CP Advanced in einer SIMATIC S7-300 Station CP Advanced in einer SIMATIC S7-400 Station Externes Netzwerk - Anschluss an der externen Schnittstelle des Security-Moduls Das öffentliche, externe Netzwerk wird an der externen Schnittstelle des Security-Moduls angeschlossen. PC1: PC mit der Projektierungssoftware STEP 7 Aufbau Testnetz CP 1x43-1 Station - Eine der folgenden Stationen mit Security-Modul: CP in einer SIMATIC S Station CP in einer SIMATIC S Station Externes Netzwerk - Anschluss an der externen Schnittstelle des Security-Moduls Das öffentliche, externe Netzwerk wird an der externen Schnittstelle des Security-Moduls angeschlossen. PC1: PC mit der Projektierungssoftware STEP 7 32 Getting Started, 09/2014, C79000-G8900-C379-01

33 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware STEP 7 ist auf PC1 installiert. Nur bei CP x43-1 Adv. und SCALANCE S: eine SIMATIC S7-Station mit integriertem Webserver, der das Protokoll HTTPS unterstützt, ist als Teilnehmer im internen Netzwerk mit folgenden Einstellungen vorhanden: Steuerung IP-Adresse Subnetzmaske Standardgateway Steuerung Es ist bereits ein STEP 7-Projekt mit einer der folgenden Einstellungen angelegt und auf das Security-Modul bzw. die Steuerung geladen (nähere Informationen zum genauen Vorgehen finden Sie im Kapitel Basisprojektierung (Seite 15)): Security-Modul IP-Adresse Subnetzmaske SCALANCE S Externe Schnittstelle [P1] rot: Interne Schnittstelle [P2] grün: CP 1x43-1 Ethernet-Schnittstelle [X1]: CP x43-1 Adv. Ethernet-Schnittstelle [X1]: PROFINET-Schnittstelle [X2]: Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 4-1 IP-Einstellungen der Basisprojektierung Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen"> "Benutzeranmeldung" mit Ihrem Security-Login angemeldet. Getting Started, 09/2014, C79000-G8900-C

34 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Die folgenden Schritte in der Übersicht: IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: PC IP-Adresse Subnetzmaske Standardgateway PC Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Doppelklicken Sie die entsprechende Netzwerkverbindung. 4. Klicken Sie im Dialog "Status von [Netzwerk]" auf die Schaltfläche "Eigenschaften". 5. Bestätigen Sie die Windows Sicherheitsabfrage mit "Ja". 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. 34 Getting Started, 09/2014, C79000-G8900-C379-01

35 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Lokale Firewall projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2. Für einen CP: Wählen Sie den Menüpunkt "Security" und aktivieren die Funktion "Aktiviere Security-Funktionen". Ergebnis: Die Security-Funktionen des Moduls werden unterhalb des Eintrages "Security" eingeblendet und können konfiguriert werden. Getting Started, 09/2014, C79000-G8900-C

36 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 3. Wählen Sie den Menüpunkt "Firewall". 4. Aktivieren Sie im Feld "Allgemein" die Funktion "Firewall aktivieren". 5. Aktivieren Sie die Funktion "Firewall im erweiterten Modus aktivieren". Bestätigen Sie die Sicherheitsabfrage mit "Ja". Ergebnis: Die Firewall des Security-Moduls wird in den erweiterten Modus umgeschaltet. Sie können nun Firewall-Regeln konfigurieren, die auf IP-Adressen und Dienste filtern. Ein Umschalten zurück in den Standard-Modus der Firewall ist nicht möglich. 6. Wählen Sie das Menü "IP-Regeln" und fügen entsprechend des verwendeten Security- Moduls die folgenden Firewall-Regeln hinzu: Security-Modul Aktion Von Nach 1) Quell-IP-Adresse Ziel-IP-Adresse Dienst SCALANCE S Allow Extern Intern S7 Allow Extern Intern - - HTTPS CP 1x43-1 Allow Extern Station S7 Allow Extern Station - - Security-Diagnose CP x43-1 Allow Extern Any S7 Allow Extern Any - - HTTPS 1) Durch die "Stateful-Inspection"-Funktion der Firewall werden die Antworttelegramme automatisch zugelassen und müssen nicht explizit freigeschaltet werden. Ergebnis: Die lokalen Firewall-Regeln werden in der Liste angezeigt: Bild 4-2 Lokale IP-Regeln im erweiterten Firewall-Modus 36 Getting Started, 09/2014, C79000-G8900-C379-01

37 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Globale Firewall-Regelsätze projektieren Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Globale Firewall-Regelsätze" > "IP-Regelsätze" > "Neuen IP-Regelsatz hinzufügen". Ergebnis: Ein globaler IP-Regelsatz wird angelegt. 2. Vergeben Sie einen Namen und eine Beschreibung für den IP-Regelsatz. In diesem Beispiel: Name: IP-Regelsatz 1 Beschreibung: Logging abgelehnter Zugriffe 3. Fügen Sie der Liste die folgenden Firewall-Regeln hinzu: Aktion Von Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging Drop Extern Intern - - Alle Drop Extern Station - - Alle Drop Extern Any - - Alle Ergebnis: Ein neuer globaler Firewall-Regelsatz wird angelegt. Den globalen Firewall- Regelsatz können Sie jedem Security-Modul zuweisen, ohne dass Sie diese Regeln für jedes Security-Modul einzeln anlegen müssen. Bild 4-3 Globaler IP-Regelsatz 4. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Globale Firewall-Regelsätze" > "IP-Regelsätze" > "Modul einem Firewall- Regelsatz zuweisen". 5. Wählen Sie aus der Klappliste "Regelsatz" den angelegten Firewall-Regelsatz. 6. Selektieren Sie in der Liste "Verfügbare Module" das verwendete Security-Modul. Getting Started, 09/2014, C79000-G8900-C

38 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 7. Verschieben Sie es über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Bild 4-4 Globalen Regelsatz zuweisen Ergebnis: Der globale Firewall-Regelsatz wurde in die lokale Firewall des Security- Moduls eingefügt 8. Um dies zu kontrollieren, öffnen Sie im Inspektorfenster das Menü "Eigenschaften" > "Firewall" > "IP-Regeln". Bild 4-5 Globalen Regelsatz anzeigen 38 Getting Started, 09/2014, C79000-G8900-C379-01

39 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Ergebnis: Der globale Firewall-Regelsatz wurde in der Liste nach der letzten lokalen Firewall-Regel eingefügt. Je nach verwendetem Security-Modul werden nur die Firewall- Regeln aus dem globalen Firewall-Regelsatz übernommen, wenn diese für das Security- Modul gültig sind. Die sich ergebenden Firewall-Regeln können Sie folgender Tabelle entnehmen: Security-Modul Aktion Von Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging CP 1x43-1 Drop Extern Station - - Alle CP x43-1 Adv. Drop Extern Station - - Alle Drop Extern Any - - Alle SCALANCE S602/S612 Drop Extern Intern - - Alle Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle" aus. Getting Started, 09/2014, C79000-G8900-C

40 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei CPs wird das S7-Protokoll zum Laden verwendet, bei SCALANCE S das Protokoll HTTPS. Bild 4-6 Auf Security-Modul laden 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz" angezeigt. 6. Selektieren Sie in der Liste das Security-Modul und klicken Sie auf die Schaltfläche "Laden". 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert. 40 Getting Started, 09/2014, C79000-G8900-C379-01

41 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt die Station, in welcher das Security-Modul platziert ist bzw. Station1 im internen Netzwerk des Security-Moduls (falls vorhanden). Eingehender S7-Datenverkehr ist nur von PC1 erlaubt und HTTPS Kommunikation zur Diagnose des Security-Moduls ist jedem Teilnehmer aus dem externen Netzwerk erlaubt. Sämtliche geblockte Zugriffe werden geloggt Firewall-Funktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt, auf dem ein Webbrowser installiert ist. Damit die abgelehnten Zugriffe durch die Firewall aufgezeichnet und angezeigt werden, verwenden Sie die Funktion des Paketfilter-Loggings. Testabschnitt 1 PC1: S7-Diagnose und Konfiguration der Station Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 von extern wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station: für CP x43-1 Adv. und SCALANCE S: das Projekt für die Station1 aus dem internen Netzwerk für CP 1x43-1 (auch alternativ zu Station1 bei CP x43-1 Adv. möglich): das Projekt für die Station, in der sich das Security-Modul befindet 2. Selektieren Sie in der Projektnavigation die Station. 3. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Getting Started, 09/2014, C79000-G8900-C

42 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Bild 4-7 S7-Diagnose und Konfiguration der Station Testabschnitt 2 PC1: HTTPS-Zugriff auf den Webserver der Station Testen Sie nun die Funktion der HTTPS-Firewall-Regel für alle Teilnehmer aus dem externen Netzwerk wie folgt: Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: für CP x43-1 Adv. und SCALANCE S: " für CP 1x43-1 (auch alternativ zu Station1 bei CP x43-1 Adv. möglich): " Ergebnis: Der Zugriff auf den Webserver über das HTTPS-Protokoll ist möglich. 42 Getting Started, 09/2014, C79000-G8900-C379-01

43 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Bild 4-8 HTTPS-Zugriff auf den Webserver der Station Testabschnitt 3 PC1 mit geänderter IP-Adresse: S7-Diagnose und Konfiguration der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein unberechtigter Zugriff simuliert. Ändern Sie deshalb die IP-Adresse entsprechend Kapitel "IP-Einstellungen der PCs einrichten (Seite 34)" von " " in " ". Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 mit geänderter IP-Adresse von extern wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station: für CP x43-1 Adv. und SCALANCE S: das Projekt für die Station1 aus dem internen Netzwerk für CP 1x43-1 (auch alternativ zu Station1 bei CP x43-1 Adv. möglich): das Projekt für die Station, in der sich das Security-Modul befindet 2. Selektieren Sie in der Projektnavigation die Station. 3. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind nicht möglich. Die Zeit für den Verbindungsversuch läuft ab und es kann keine Verbindung zur Station aufgebaut werden. Getting Started, 09/2014, C79000-G8900-C

44 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Bild 4-9 S7-Diagnose und Konfiguration der Station Testabschnitt 4 PC1 mit geänderter IP-Adresse: HTTPS-Zugriff auf den Webserver der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein Zugriff von einem anderen PC simuliert. Entsprechend Testabschnitt 3 hat PC1 hier statt der IP-Adresse " " die IP-Adresse " ". Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: für CP x43-1 Adv. und SCALANCE S: " für CP 1x43-1 (auch alternativ zu Station1 bei CP x43-1 Adv. möglich): " Ergebnis: Der Zugriff auf den Webserver über das HTTPS-Protokoll ist möglich. Bild 4-10 HTTPS-Zugriff auf den Webserver des Security-Moduls 44 Getting Started, 09/2014, C79000-G8900-C379-01

45 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Testabschnitt 5 PC1: S7-Diagnose und Konfiguration der Station Ändern Sie entsprechend Kapitel "IP-Einstellungen der PCs einrichten (Seite 34)" die IP- Adresse von PC1 von " " wieder in " ". Testen Sie nun die Funktion des Paketfilter-Loggings der Firewall-Regeln, welche Sie in den globalen Firewall-Regeln aktiviert haben, wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station. 2. Um sich am Projekt anzumelden, geben Sie in der Projektnavigation über "Globale Security-Einstellungen" > "Benutzeranmeldung" Ihr Login ein. 3. Selektieren Sie in der Projektnavigation das Security-Modul. 4. Wählen Sie den Menübefehl "Online" > "Online & Diagnose". 5. Für CPs: Klicken Sie zusätzlich im Menü "Diagnose" > "Security" > "Zustand" die Schaltfläche "Online verbinden". Bild 4-11 Online verbinden mit Security-Modul Ergebnis: Der Dialog "Online-Zugänge" wird geöffnet. Als "Typ der PG/PC-Schnittstelle" ist das Protokoll "HTTPS" voreingestellt. 6. Wählen Sie die "PG/PC-Schnittstelle" und die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Getting Started, 09/2014, C79000-G8900-C

46 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 7. Klicken Sie auf die Schaltfläche "Online verbinden". Ergebnis: Die Online-Verbindung zu dem Security-Modul wird aufgebaut und die Security-Diagnose über HTTPS ist möglich. Bild 4-12 Security-Diagnose über HTTPS durchführen 8. Klicken Sie im Menü "Diagnose" > "Paketfilter-Log" die Schaltfläche "Starte Lesen". Ergebnis: Die unberechtigten Verbindungsversuche aus Testabschnitt 3 wurden im Paketfilter-Log aufgezeichnet und werden wie folgt angezeigt: Bild 4-13 Anzeige der unberechtigten Verbindungsversuche 46 Getting Started, 09/2014, C79000-G8900-C379-01

47 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 4.2 Firewall-Regeln für Verbindungen Übersicht In diesem Beispiel projektieren Sie die erweiterte Firewall. Sie erreichen durch die vorgenommenen Einstellungen in der Firewall des Security-Moduls, dass die Verbindungen, welche über die CPs projektiert sind, in der Firewall freigegeben werden und zusätzlich auf die dabei verwendeten Dienste eingeschränkt werden. Die Konfiguration und Diagnose der Steuerungen über das S7-Protokoll wird in der Firewall auf die IP-Adresse von PC1 beschränkt und ist damit aus dem externen Netz ermöglicht. Zudem dürfen alle Teilnehmer aus dem externen Netz das Protokoll HTTPS zur Kommunikation verwenden. Dadurch wird die Security-Diagnose der Security-Module ermöglicht. Abgelehnte Zugriffe auf das Security-Modul bzw. die Station werden geloggt. Aufbau des Testnetzes Getting Started, 09/2014, C79000-G8900-C

48 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Station1 - Eine der folgenden Stationen mit Security-Modul: SIMATIC S7-300 mit CP Advanced SIMATIC S7-400 mit CP Advanced SIMATIC S mit CP SIMATIC S mit CP Externes Netzwerk - Anschluss an der externen Schnittstelle des Security-Moduls Das öffentliche, externe Netzwerk wird an der externen Schnittstelle des Security-Moduls angeschlossen. Switch: Switch, um die Verbindungspartner und PC1 miteinander zu vernetzen. PC1: PC mit der Projektierungssoftware STEP 7 Aktive Partnerstation (Station2): Partnerstation, welche aktiv Verbindungen zur Station1 aufbaut Passive Partnerstation (Station3): Partnerstation, welche aktive Verbindungen von der Station1 entgegennimmt Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware STEP 7 ist auf PC1 installiert. Es ist bereits ein STEP 7-Projekt mit einer der folgenden Einstellungen angelegt und auf das Security-Modul bzw. die Steuerung geladen (nähere Informationen zum genauen Vorgehen finden Sie im Kapitel Basisprojektierung (Seite 15)): Security-Modul IP-Adresse Subnetzmaske CP 1x43-1 Ethernet-Schnittstelle [X1]: CP x43-1 Adv. Ethernet-Schnittstelle [X1]: PROFINET-Schnittstelle [X2]: In dem STEP 7-Projekt wurden Kommunikationsverbindungen über den CP projektiert. Die Art und Anzahl der Kommunikationsverbindungen spielt dabei keine Rolle. In diesem Beispiel wurden folgende Kommunikationsverbindungen des CP zu den Partnerstationen projektiert: Verbindungstyp Verbindungsaufbau Partnerstation Partner-Adresse S7-Verbindung passiv aktive_partnerstation S7-Verbindung aktiv passive_partnerstation Getting Started, 09/2014, C79000-G8900-C379-01

49 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 4-14 IP-Einstellungen der Basisprojektierung Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen"> "Benutzeranmeldung" mit Ihrem Security-Login angemeldet. Die folgenden Schritte in der Übersicht: IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: PC IP-Adresse Subnetzmaske Standardgateway PC Getting Started, 09/2014, C79000-G8900-C

50 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Doppelklicken Sie die entsprechende Netzwerkverbindung. 4. Klicken Sie im Dialog "Status von [Netzwerk]" auf die Schaltfläche "Eigenschaften". 5. Bestätigen Sie die Windows Sicherheitsabfrage mit "Ja". 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. 50 Getting Started, 09/2014, C79000-G8900-C379-01

51 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Lokale Firewall projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2. Wählen Sie den Menüpunkt "Security" und aktivieren die Funktion "Aktiviere Security- Funktionen". Ergebnis: Die Security-Funktionen des Moduls werden unterhalb des Eintrages "Security" eingeblendet und können konfiguriert werden. 3. Wählen Sie den Menüpunkt "Firewall". 4. Aktivieren Sie im Feld "Allgemein" die Funktion "Firewall aktivieren". 5. Aktivieren Sie die Funktion "Firewall im erweiterten Modus aktivieren". Bestätigen Sie die Sicherheitsabfrage mit "Ja". Ergebnis: Die Firewall des Security-Moduls wird in den erweiterten Modus umgeschaltet. Sie können nun Firewall-Regeln konfigurieren, die auf IP-Adressen und Dienste filtern. Ein Umschalten zurück in den Standard-Modus der Firewall ist nicht möglich. 6. Wählen Sie das Menü "IP-Regeln" und fügen entsprechend des verwendeten Security- Moduls die folgenden Firewall-Regeln hinzu: Security-Modul Aktion Von Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging CP 1x43-1 Allow Extern Station S7 Allow Extern Station - - Secuity-Diagnose Drop Extern Station - - Alle CP x43-1 Adv. Allow Extern Station S7 Allow Extern Station - - HTTPS Drop Extern Station - - Alle Ergebnis: Die lokalen Firewall-Regeln werden in der Liste angezeigt: Bild 4-15 Lokale IP-Regeln im erweiterten Firewall-Modus Getting Started, 09/2014, C79000-G8900-C

52 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Verbindungs-Firewall-Regeln projektieren Gehen Sie so vor: 1. Klicken Sie in die Schaltfläche "Verbindungsregeln aktualisieren". Ergebnis: Die Firewall-Regeln für die aktive und die passive Verbindung zur Station werden automatisch am Anfang der Liste der IP-Regeln hinzugefügt. Bild 4-16 Verbindungs-Firewall-Regeln projektieren Entsprechend des Verbindungsaufbaus wird nur die Richtung in der Firewall geöffnet, in der die Verbindung aufgebaut wird. Durch die "Stateful-Inspection"-Funktion der Firewall werden die Antworttelegramme automatisch zugelassen und müssen nicht explizit freigeschaltet werden. Die zusätzliche Drop-Firewall-Regel verhindert, dass Verbindungen aus der entgegengesetzten Richtung aufgebaut werden. Der folgenden Tabelle können Sie die Firewall-Regeln entnehmen, welche sich je nach konfigurierter Richtung für den Verbindungsaufbau ergeben: Verbindungsaufbau Aktion Von Nach Quell-IP-Adresse Ziel-IP-Adresse passiv Allow Extern Station Drop Station Extern aktiv Drop Extern Station Allow Station Extern Beschränken Sie die Verbindungs-Firewall-Regeln auf das verwendete Protokoll. In diesem Beispiel wurden S7-Verbindungen projektiert; daher ist das S7-Protokoll zu verwenden. Ergebnis: Nur S7-Verbindungen mit den Partnerstationen können die Firewall passieren. Ergebnis: Die Firewall ist nun vollständig konfiguriert Verbindungs-Firewall-Regeln werden automatisch am Anfang der Firewall-Liste eingefügt und können nicht verschoben werden. Einstellungen wie Dienst, Bandbreite oder Logging können angepasst werden. Die Felder "Quell-IP-Adresse" und "Ziel-IP-Adresse" sind vorbelegt und können nicht verändert werden, da die Angaben aus der Verbindungs- Projektierung übernommen werden. Die Projektierung der Firewall ist abgeschlossen. 52 Getting Started, 09/2014, C79000-G8900-C379-01

53 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle" aus. 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei CPs wird das S7-Protokoll zum Laden verwendet. 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz" angezeigt. 6. Selektieren Sie das Security-Modul in der Liste und klicken Sie auf die Schaltfläche "Laden". Getting Started, 09/2014, C79000-G8900-C

54 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert. Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt die Station, in welcher das Security-Modul platziert ist. S7-Verbindungen mit den Partnerstationen sind erlaubt. Eingehender S7-Datenverkehr ist nur von PC1 erlaubt und HTTPS Kommunikation zur Diagnose des Security-Moduls ist jedem Teilnehmer aus dem externen Netzwerk erlaubt. Sämtliche geblockte Zugriffe werden geloggt Firewall-Funktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt, auf dem ein Webbrowser installiert ist. Damit die abgelehnten Zugriffe durch die Firewall aufgezeichnet und angezeigt werden, verwenden Sie die Funktion des Paketfilter-Loggings. Testabschnitt 1 PC1: S7-Diagnose und Konfiguration der Station Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 von extern wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station. 2. Selektieren Sie in der Projektnavigation die Station. 54 Getting Started, 09/2014, C79000-G8900-C379-01

55 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 3. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Bild 4-17 S7-Diagnose hochladen 4. Selektieren Sie in der Projektnavigation das Security-Modul. 5. Wählen Sie den Menübefehl "Online" > "Online verbinden". 6. Starten Sie die Spezialdiagnose im Menü "Funktionen" > "Spezialdiagnose". Ergebnis: Die NCM S7-Diagnose für CPs startet und richtet eine Verbindung zum CP ein. 7. Im Menü "Verbindungen" > "S7-Verbindungen" können Sie den Verbindungsstatus für die eingerichteten Verbindungen überprüfen. Ergebnis: Die S7-Verbindungen sind aufgebaut und kommunikationsbereit. Getting Started, 09/2014, C79000-G8900-C

56 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Testabschnitt 2 PC1: HTTPS-Zugriff auf den Webserver der Station Testen Sie nun die Funktion der HTTPS-Firewall-Regel für alle Teilnehmer aus dem externen Netzwerk wie folgt: Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: " Ergebnis: Der Zugriff auf den Webserver über das HTTPS-Protokoll ist möglich. Testabschnitt 3 PC1 mit geänderter IP-Adresse: S7-Diagnose und Konfiguration der Station Über die Änderung der IP-Adresse von PC 1 wird in diesem Testabschnitt ein unberechtigter Zugriff simuliert. Ändern Sie deshalb die IP-Adresse entsprechend Kapitel "IP-Einstellungen der PCs einrichten (Seite 49)" von " " in " ". Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 mit geänderter IP-Adresse von extern wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station. 2. Selektieren Sie in der Projektnavigation die Station. 3. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind nicht möglich. Die Zeit für den Verbindungsversuch läuft ab und es kann keine Verbindung zur Station aufgebaut werden. 56 Getting Started, 09/2014, C79000-G8900-C379-01

57 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Bild 4-18 S7-Diagnose und Konfiguration der Station Testabschnitt 4 PC1 mit geänderter IP-Adresse: HTTPS-Zugriff auf den Webserver der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein Zugriff von einem anderen PC simuliert. Entsprechend Testabschnitt 3 hat PC1 hier statt der IP-Adresse " " die IP-Adresse " ". Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: " Ergebnis: Der Zugriff auf den Webserver über das HTTPS-Protokoll ist möglich. Testabschnitt 5 PC1: S7-Diagnose und Konfiguration der Station Ändern Sie entsprechend Kapitel "IP-Einstellungen der PCs einrichten (Seite 49)" die IP- Adresse von PC1 von " " wieder in " ". Testen Sie nun die Funktion des Paketfilter-Logging der Firewall-Regeln, welche Sie in den globalen Firewall-Regeln aktiviert haben, wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station. 2. Um sich am Projekt anzumelden, geben Sie in der Projektnavigation über "Globale Security-Einstellungen" > "Benutzeranmeldung" Ihr Login ein. Getting Started, 09/2014, C79000-G8900-C

58 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 3. Selektieren Sie in der Projektnavigation das Security-Modul. 4. Wählen Sie den Menübefehl "Online" > "Online & Diagnose". 5. Klicken Sie zusätzlich im Menü "Diagnose" > "Security" > "Zustand" die Schaltfläche "Online verbinden". Bild 4-19 Online verbinden mit Security-Modul Ergebnis: Der Dialog "Online-Zugänge" wird geöffnet. Als "Typ der PG/PC-Schnittstelle" ist das Protokoll "HTTPS" voreingestellt. 6. Wählen Sie die "PG/PC-Schnittstelle" und die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. 58 Getting Started, 09/2014, C79000-G8900-C379-01

59 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 7. Klicken Sie auf die Schaltfläche "Online verbinden". Ergebnis: Die Online-Verbindung zu dem Security-Modul wird aufgebaut und die Security-Diagnose über HTTPS ist möglich. 8. Klicken Sie im Menü "Diagnose" > "Paketfilter-Log" die Schaltfläche "Starte Lesen". Ergebnis: Die unberechtigten Verbindungsversuche aus Testabschnitt 3 wurden im Paketfilter-Log aufgezeichnet und werden wie folgt angezeigt: Getting Started, 09/2014, C79000-G8900-C

60 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 4.3 Benutzerspezifische Firewall Übersicht In diesem Beispiel projektieren Sie die erweiterte Firewall und nutzen die Funktion der benutzerspezifischen Regelsätze. Sie erreichen durch die vorgenommenen Einstellungen in der Firewall des Security-Moduls, dass die Konfiguration und Diagnose der Station im internen Netzwerk über das S7-Protokoll auf einen Benutzer eingeschränkt wird und damit nur für diesen aus dem externen Netz erreichbar ist. Zudem dürfen alle Teilnehmer aus dem externen Netz das Protokoll HTTPS zur Kommunikation verwenden. Dadurch wird die Security-Diagnose der Security-Module ermöglicht sowie die Kommunikation mit Webservern im internen Netzwerk. Abgelehnte Zugriffe auf das Security-Modul bzw. die Station werden geloggt. Aufbau des Testnetzes Internes Netzwerk- Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch eine SIMATIC S7-Station mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Die Station ist an der internen Schnittstelle des Security-Moduls angeschlossen. Station1: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul- Ein Security-Modul zum Schutz des internen Netzwerks kann sein: SCALANCE S 60 Getting Started, 09/2014, C79000-G8900-C379-01

61 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall Externes Netzwerk- Anschluss an der externen Schnittstelle des Security-Moduls Das öffentliche, externe Netzwerk wird an der externen Schnittstelle des Security-Moduls angeschlossen. PC1: PC mit der Projektierungssoftware STEP 7 Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware STEP 7 ist auf PC1 installiert. Eine SIMATIC S7-Station mit integriertem Webserver, der das Protokoll HTTPS unterstützt, ist als Teilnehmer im internen Netzwerk mit folgenden Einstellungen vorhanden: Steuerung IP-Adresse Subnetzmaske Standardgateway Steuerung Es ist bereits ein STEP 7-Projekt mit den folgenden Einstellungen angelegt und auf das Security-Modul bzw. die Steuerung geladen (nähere Informationen zum genauen Vorgehen finden Sie im Kapitel Basisprojektierung (Seite 15)): Security-Modul IP-Adresse Subnetzmaske SCALANCE S Externe Schnittstelle [P1] rot: Interne Schnittstelle [P2] grün: Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 4-20 IP-Einstellungen Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen"> "Benutzeranmeldung" mit Ihrem Security-Login angemeldet. Getting Started, 09/2014, C79000-G8900-C

62 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: PC IP-Adresse Subnetzmaske Standardgateway PC Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Doppelklicken Sie die entsprechende Netzwerkverbindung. 4. Klicken Sie im Dialog "Status von [Netzwerk]" auf die Schaltfläche "Eigenschaften". 5. Bestätigen Sie die Windows Sicherheitsabfrage mit "Ja". 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 62 Getting Started, 09/2014, C79000-G8900-C379-01

63 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung Lokale Firewall projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2. Wählen Sie den Menüpunkt "Firewall". 3. Aktivieren Sie im Feld "Allgemein" die Funktion "Firewall aktivieren". 4. Aktivieren Sie die Funktion "Firewall im erweiterten Modus aktivieren". Bestätigen Sie die Sicherheitsabfrage mit "Ja". Ergebnis: Die Firewall des Security-Moduls wird in den erweiterten Modus umgeschaltet. Sie können nun Firewall-Regeln konfigurieren, die auf IP-Adressen und Dienste filtern. Ein Umschalten zurück in den Standard-Modus der Firewall ist nicht möglich. 5. Wählen Sie das Menü "IP-Regeln" und fügen die folgenden Firewall-Regeln hinzu: Aktion Von Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging Allow Extern Intern - - HTTPS Drop Extern Intern - - Alle Ergebnis: Die lokalen Firewall-Regeln werden in der Liste angezeigt: Getting Started, 09/2014, C79000-G8900-C

64 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall Remote Access Benutzer anlegen Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Benutzerverwaltung". 2. Legen Sie einen neuen Benutzer und Passwort mit den folgenden Einstellungen an: Benutzername: remote Rolle: Remote-Access Passwort: <frei wählbar> Bild 4-21 Remote-Access Benutzer anlegen Benutzerspezifische Firewall-Regelsätze projektieren Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Globale Firewall-Regelsätze" > "IP-Regelsätze" > "Neuen IP-Regelsatz hinzufügen". Ergebnis: Ein globaler IP-Regelsatz wird angelegt. 2. Vergeben Sie einen Namen und eine Beschreibung für den IP-Regelsatz. In diesem Beispiel: Name: Benutzerspezifischer IP-Regelsatz 1 Beschreibung: Zugriff über S7-Protokoll 64 Getting Started, 09/2014, C79000-G8900-C379-01

65 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 3. Fügen Sie der Liste die folgenden Firewall-Regeln hinzu: Aktion Von Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging Allow Extern Intern S7 Ergebnis: Ein benutzerspezifischer Firewall-Regelsatz wird angelegt: Bild 4-22 Benutzerspezifischer IP-Regelsatz 4. Wechseln Sie von der Ansicht "Benutzerspezifischer IP-Regelsatz" in die Ansicht "Benutzer". Weisen Sie dem Regelsatz einen Benutzer zu der berechtigt sein soll, den Regelsatz zu aktivieren. 5. Selektieren Sie in der Liste "Verfügbare Benutzer" den Benutzer "remote". Getting Started, 09/2014, C79000-G8900-C

66 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 6. Verschieben Sie ihn über die Schaltfläche "<<" in die Liste "Zugewiesene Benutzer". Bild 4-23 Remote-Access Benutzer zuweisen 7. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Benutzerspezifische IP-Regelsätze" > "Benutzerspezifischen IP-Regelsatz zuweisen". 8. Wählen Sie aus der Klappliste "Regelsatz" den angelegten Firewall-Regelsatz. 9. Selektieren Sie in der Liste "Verfügbare Module" das verwendete Security-Modul. 66 Getting Started, 09/2014, C79000-G8900-C379-01

67 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 10.Verschieben Sie es über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Der benutzerspezifische Firewall-Regelsatz wurde in die lokale Firewall des Security-Moduls eingefügt. Bild 4-24 Benutzerspezifischen IP-Regelsatz einem Modul zuordnen 11.Um dies zu kontrollieren, öffnen Sie im Inspektorfenster das Menü "Eigenschaften" > "Firewall" > "IP-Regeln". Ergebnis: Der benutzerspezifische Firewall-Regelsatz wurde in der Liste vor den lokalen Firewall-Regeln eingefügt. Die Firewall Konfiguration ist abgeschlossen. Bild 4-25 Benutzerspezifischen Regelsatz anzeigen Getting Started, 09/2014, C79000-G8900-C

68 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle" aus. 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei SCALANCE S wird das Protokoll HTTPS zum Laden verwendet. Bild 4-26 Auf Security-Modul laden 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatiblen Teilnehmer im Zielsubnetz" angezeigt. 6. Selektieren Sie in der Liste das Security-Modul und klicken Sie auf die Schaltfläche "Laden". 68 Getting Started, 09/2014, C79000-G8900-C379-01

69 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert. Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt die Station im internen Netzwerk. S7-Kommunikation zur Konfiguration und Diagnose der Station im internen Netzwerk ist erst nach erfolgter Authentifizierung an der benutzerspezifischen Firewall des Security-Moduls möglich. HTTPS Kommunikation zur Diagnose der Station im internen Netzwerk ist jedem Teilnehmer aus dem externen Netzwerk erlaubt. Sämtliche geblockte Zugriffe werden geloggt Benutzerspezifischen Firewall-Regelsatz aktivieren 1. Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: " 2. Geben Sie im nachfolgenden Fenster den Benutzernamen "remote" sowie das dazugehörige Passwort ein. 3. Klicken Sie auf die Schaltfläche "Login". Ergebnis: Der für den Benutzer "remote" definierte Regelsatz ist aktiviert. Der Zugriff über das S7-Protokoll von PC1 im externen Netz auf die Station im internen Netz des Security- Moduls ist für 30 Minuten zugelassen. Getting Started, 09/2014, C79000-G8900-C

70 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall Firewall-Funktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt, auf dem ein Webbrowser installiert ist. Damit die abgelehnten Zugriffe durch die Firewall aufgezeichnet und angezeigt werden, verwenden Sie die Funktion des Paketfilter-Loggings. Testabschnitt 1 PC1: S7-Diagnose und Konfiguration der Station Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 von extern wie folgt: 1. Aktivieren Sie den benutzerspezifischen Firewall-Regelsatz wie in Kapitel "Benutzerspezifischen Firewall-Regelsatz aktivieren (Seite 69)" beschrieben: 2. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station im internen Netzwerk. 3. Selektieren Sie in der Projektnavigation die Station. 70 Getting Started, 09/2014, C79000-G8900-C379-01

71 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 4. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Bild 4-27 S7-Diagnose und Konfiguration der Station 5. Deaktivieren Sie den benutzerspezifischen Firewall-Regelsatz, indem Sie im Webbrowser die Schaltfläche "Logout" klicken. 6. Versuchen Sie entsprechend der Punkte 2-4 erneut die Station über das S7-Protokoll zu erreichen. Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind nicht möglich. Die Zeit für den Verbindungsversuch läuft ab und es kann keine Verbindung zur Station aufgebaut werden. Getting Started, 09/2014, C79000-G8900-C

72 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall Bild 4-28 S7-Diagnose und Konfiguration der Station Testabschnitt 2 PC1: HTTPS-Zugriff auf den Webserver der Station Testen Sie nun die Funktion der HTTPS-Firewall-Regel für alle Teilnehmer aus dem externen Netzwerk wie folgt: Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: " Ergebnis: Der Zugriff auf den Webserver über das HTTPS-Protokoll ist möglich. Testabschnitt 3 Diagnose abgelehnter Zugriffe mit Paketfilter-Logging Testen Sie nun die Funktion des Paketfilter-Logging der Firewall-Regeln, welche Sie in den globalen Firewall-Regeln aktiviert haben, wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station. 2. Um sich am Projekt anzumelden, geben Sie in der Projektnavigation über "Globale Security-Einstellungen" > "Benutzeranmeldung" Ihr Login ein. 3. Selektieren Sie in der Projektnavigation das Security-Modul. 72 Getting Started, 09/2014, C79000-G8900-C379-01

73 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 4. Wählen Sie den Menübefehl "Online" > "Online & Diagnose". Ergebnis: Der Dialog "Online-Zugänge" wird geöffnet. Als "Typ der PG/PC-Schnittstelle" ist das Protokoll "HTTPS" voreingestellt. 5. Wählen Sie die "PG/PC-Schnittstelle" und die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. 6. Klicken Sie auf die Schaltfläche "Online verbinden". Ergebnis: Die Online-Verbindung zu dem Security-Modul wird aufgebaut und die Security-Diagnose über HTTPS ist möglich. 7. Klicken Sie im Menü "Diagnose" > "Paketfilter-Log" die Schaltfläche "Starte Lesen". Ergebnis: Die unberechtigten Verbindungsversuche aus Testabschnitt 1 wurden im Paketfilter-Log aufgezeichnet und werden wie folgt angezeigt: Bild 4-29 Anzeige der unberechtigten Verbindungsversuche Getting Started, 09/2014, C79000-G8900-C

74 Firewall im Erweiterten Modus 4.4 NAT 4.4 NAT Übersicht In diesem Beispiel projektieren Sie die Funktion NAT und die erweiterte Firewall. Sie erreichen mit der Konfiguration, dass Station1 über eine NAT-IP-Adresse, welche zum externen Subnetz gehört erreichbar wird. Nur Station1 aus dem internen Netzwerk wird für PC1 aus dem externen Netzwerk erreichbar. Weitere Teilnehmer aus dem internen Subnetz sind nicht erreichbar. Sie erreichen durch die vorgenommenen Einstellungen in der Firewall des Security-Moduls, dass die Konfiguration der Steuerung Station1 über das S7-Protokoll auf die IP-Adresse von PC1 beschränkt und damit aus dem externen Netz ermöglicht wird. Zudem dürfen alle Teilnehmer aus dem externen Netz das Protokoll HTTPS zur Kommunikation verwenden. Dadurch werden die Security-Diagnose der Security-Module oder auch die Kommunikation mit Webservern im internen Netzwerk ermöglicht. Abgelehnte Zugriffe auf das Security-Modul bzw. die Station werden geloggt. Aufbau des Testnetzes 74 Getting Started, 09/2014, C79000-G8900-C379-01

75 Firewall im Erweiterten Modus 4.4 NAT Internes Netzwerk - Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch eine SIMATIC S7-Station mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Station1: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul - Ein Security-Modul zum Schutz des internen Netzwerks kann sein: SCALANCE S CP Advanced in einer SIMATIC S7-300 Station CP Advanced in einer SIMATIC S7-400 Station Externes Netzwerk - Anschluss an der externen Schnittstelle des Security-Moduls Das öffentliche, externe Netzwerk wird an der externen Schnittstelle des Security-Moduls angeschlossen. PC1: PC mit der Projektierungssoftware STEP 7 Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware STEP 7 ist auf PC1 installiert. Eine SIMATIC S7-Station mit integriertem Webserver, der das Protokoll HTTPS unterstützt, ist als Teilnehmer im internen Netzwerk mit folgenden Einstellungen vorhanden: Steuerung IP-Adresse Subnetzmaske Standardgateway Steuerung Es ist bereits ein STEP 7-Projekt mit einer der folgenden Einstellungen angelegt und auf das Security-Modul bzw. die Steuerung geladen (nähere Informationen zum genauen Vorgehen finden Sie im Kapitel Basisprojektierung (Seite 15)): Security-Modul IP-Adresse Subnetzmaske SCALANCE S Externe Schnittstelle [P1] rot: Interne Schnittstelle [P2] grün: CP x43-1 Adv. Ethernet-Schnittstelle [X1]: PROFINET-Schnittstelle [X2]: Getting Started, 09/2014, C79000-G8900-C

76 Firewall im Erweiterten Modus 4.4 NAT Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 4-30 IP-Einstellungen der Basisprojektierung Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen"> "Benutzeranmeldung" mit Ihrem Security-Login angemeldet. Die folgenden Schritte in der Übersicht: IP-Einstellungen des PCs einrichten Der PC erhält folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske PC Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Doppelklicken Sie die entsprechende Netzwerkverbindung. 4. Klicken Sie im Dialog "Status von [Netzwerk]" auf die Schaltfläche "Eigenschaften". 5. Bestätigen Sie die Windows Sicherheitsabfrage mit "Ja". 76 Getting Started, 09/2014, C79000-G8900-C379-01

77 Firewall im Erweiterten Modus 4.4 NAT 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen des PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. Getting Started, 09/2014, C79000-G8900-C

78 Firewall im Erweiterten Modus 4.4 NAT Destination-NAT und lokale Firewall projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2. Für einen CP: Wählen Sie den Menüpunkt "Security" und aktivieren die Funktion "Aktiviere Security-Funktionen". Ergebnis: Die Security-Funktionen des Moduls werden unterhalb des Eintrages "Security" eingeblendet und können konfiguriert werden. 3. Wählen Sie den Menüpunkt "NAT/NAPT". 4. Aktivieren Sie die Funktion "NAT aktivieren" und fügen Sie die folgenden NAT-Regeln hinzu: Aktion Von Nach Quell-IP-Adresse Quell-Umsetzung Ziel-IP-Adresse Ziel-Umsetzung Destination-NAT Extern Intern Destination-NAT Extern Intern Ergebnis: Die folgenden NAT-Regelsätze werden angelegt: Bild 4-31 NAT-Regeln 5. Aktivieren Sie im Feld "Allgemein" die Funktion "Firewall aktivieren". 6. Aktivieren Sie die Funktion "Firewall im erweiterten Modus aktivieren". Bestätigen Sie die Sicherheitsabfrage mit "Ja". Ergebnis: Die Firewall des Security-Moduls wird in den erweiterten Modus umgeschaltet. Sie können nun Firewall-Regeln konfigurieren, die auf IP-Adressen und Dienste filtern. Ein Umschalten zurück in den Standard-Modus der Firewall ist nicht möglich. 7. Wählen Sie das Menü "IP-Regeln". Ergebnis: Die zuvor eingefügten NAT-Regeln haben automatisch zwei Firewall-Regeln erzeugt, welche Sie nun um zusätzliche IP-Adressen und Dienste ergänzen können. Die 78 Getting Started, 09/2014, C79000-G8900-C379-01

79 Firewall im Erweiterten Modus 4.4 NAT ergänzten Firewall-Regeln filtern dann auch auf die angegebenen IP-Adressen und Dienste. Erweitern Sie die beiden NAT-Firewall-Regeln und fügen Sie eine Logging Regel am Ende entsprechend folgender Tabelle ein: Security-Modul Aktion Von Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging SCALANCE S CP x43-1 Adv. NAT_1 Allow Extern Intern S7 NAT_2 Allow Extern Intern HTTPS Drop Extern Intern - - Alle NAT_1 Drop Extern Station S7 Allow Extern Any S7 NAT_2 Drop Extern Station HTTPS Allow Extern Any HTTPS Drop Extern Any - - Alle Ergebnis: Die lokalen Firewall-Regeln werden in der Liste angezeigt: Bild 4-32 Lokale IP-Regeln im erweiterten Firewall-Modus Getting Started, 09/2014, C79000-G8900-C

80 Firewall im Erweiterten Modus 4.4 NAT Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle" aus. 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei CPs wird das S7-Protokoll zum Laden verwendet, bei SCALANCE S das Protokoll HTTPS. Bild 4-33 Auf Security-Modul laden 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz" angezeigt. 80 Getting Started, 09/2014, C79000-G8900-C379-01

81 Firewall im Erweiterten Modus 4.4 NAT 6. Selektieren Sie in der Liste das Security-Modul und klicken Sie auf die Schaltfläche "Laden". 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert. Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt die Station, in welcher das Security-Modul platziert ist bzw. Station1 im internen Netzwerk des Security-Moduls (falls vorhanden). Eingehender S7-Datenverkehr auf Station 1 ist nur von PC1 erlaubt und erfolgt über die NAT-IP-Adresse des Security-Moduls. Die HTTPS-Kommunikation zur Diagnose von Station1 ist jedem Teilnehmer aus dem externen Netzwerk über die NAT-IP-Adresse erlaubt. Sämtliche geblockte Zugriffe werden geloggt NAT-Funktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt, auf dem ein Webbrowser installiert ist. Damit die abgelehnten Zugriffe durch die Firewall aufgezeichnet und angezeigt werden, verwenden Sie die Funktion des Paketfilter-Loggings. Testabschnitt 1 PC1: S7-Diagnose und Konfiguration der Station Testen Sie nun die Funktion der S7-NAT-Firewall-Regel für PC1 von extern wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station im internen Netzwerk. 2. Selektieren Sie in der Projektnavigation die Station. 3. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". Getting Started, 09/2014, C79000-G8900-C

82 Firewall im Erweiterten Modus 4.4 NAT 4. Tragen Sie in der Liste "Kompatible Teilnehmer im Zielsubnetz" im Feld "Zugriffsadresse" die NAT-IP-Adresse " " ein. Bestätigen Sie die Eingabe durch Klicken auf einen Punkt außerhalb der Zeile. Ergebnis: Die NAT-IP-Adresse ist als Zugriffsadresse auf Station1 definiert. 5. Klicken Sie auf die Schaltfläche "Laden". 6. Klicken Sie im Dialog "Vorschau Laden" auf die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 7. Klicken Sie die Schaltfläche "Fertig stellen" um das Laden abzuschließen und Station1 neu zu starten. Ergebnis: Die Diagnose sowie das Projektierungsladen über die NAT-IP-Adresse mit Hilfe des S7-Protokolls sind möglich. Testabschnitt 2 PC1: HTTPS-Zugriff auf den Webserver der Station Testen Sie nun die Funktion der HTTPS-Firewall-Regel für alle Teilnehmer aus dem externen Netzwerk wie folgt: Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: " Ergebnis: Der Zugriff auf den Webserver über die NAT-IP-Adresse mit Hilfe des HTTPS- Protokolls ist möglich. 82 Getting Started, 09/2014, C79000-G8900-C379-01

83 Firewall im Erweiterten Modus 4.4 NAT Testabschnitt 3 PC1 mit geänderter IP-Adresse: S7-Diagnose und Konfiguration der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein unberechtigter Zugriff simuliert. Ändern Sie deshalb die IP-Adresse entsprechend Kapitel "IP-Einstellungen des PCs einrichten (Seite 76)" von " " in " ". Testen Sie nun die Funktion der S7-NAT-Firewall-Regel für PC1 mit geänderter IP-Adresse von extern wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station. 2. Selektieren Sie in der Projektnavigation die Station. 3. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 4. Tragen Sie in der Liste "Kompatible Teilnehmer im Zielsubnetz" im Feld "Zugriffsadresse" die NAT-IP-Adresse " " ein. Bestätigen Sie die Eingabe durch Klicken auf einen Punkt außerhalb der Zeile. Ergebnis: Die NAT-IP-Adresse kann nicht erreicht werden. Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind nicht möglich. Die Zeit für den Verbindungsversuch läuft ab und es kann keine Verbindung zur Station aufgebaut werden. Getting Started, 09/2014, C79000-G8900-C

84 Firewall im Erweiterten Modus 4.4 NAT Bild 4-34 S7-Diagnose und Konfiguration der Station 84 Getting Started, 09/2014, C79000-G8900-C379-01

85 Firewall im Erweiterten Modus 4.4 NAT Testabschnitt 4 PC1 mit geänderter IP-Adresse: HTTPS-Zugriff auf den Webserver der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein Zugriff von einem anderen PC simuliert. Entsprechend Testabschnitt 3 hat PC1 hier statt der IP-Adresse " " die IP-Adresse " ". Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: " Ergebnis: Der Zugriff auf den Webserver über die NAT-IP-Adresse mit Hilfe des HTTPS- Protokolls ist möglich. Testabschnitt 5 PC1: S7-Diagnose und Konfiguration der Station Ändern Sie entsprechend Kapitel "IP-Einstellungen des PCs einrichten (Seite 76)" die IP- Adresse von PC1 von " " wieder in " ". Testen Sie nun die Funktion des Paketfilter-Logging der Firewall-Regeln, welche Sie in den globalen Firewall-Regeln aktiviert haben, wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station. 2. Um sich am Projekt anzumelden, geben Sie in der Projektnavigation über "Globale Security-Einstellungen" > "Benutzeranmeldung" Ihr Login ein. 3. Selektieren Sie in der Projektnavigation das Security-Modul. 4. Wählen Sie den Menübefehl "Online" > "Online & Diagnose". Getting Started, 09/2014, C79000-G8900-C

86 Firewall im Erweiterten Modus 4.4 NAT 5. Für CPs: Klicken Sie zusätzlich im Menü "Diagnose" > "Security" > "Zustand" die Schaltfläche "Online verbinden". Ergebnis: Der Dialog "Online-Zugänge" wird geöffnet. Als "Typ der PG/PC-Schnittstelle" ist das Protokoll "HTTPS" voreingestellt. Bild 4-35 Online verbinden mit Security-Modul 6. Wählen Sie die "PG/PC-Schnittstelle" und die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. 86 Getting Started, 09/2014, C79000-G8900-C379-01

87 Firewall im Erweiterten Modus 4.4 NAT 7. Klicken Sie auf die Schaltfläche "Online verbinden". Ergebnis: Die Online-Verbindung zu dem Security-Modul wird aufgebaut und die Security-Diagnose über HTTPS ist möglich. Bild 4-36 Security-Diagnose über HTTPS durchführen 8. Klicken Sie im Menü "Diagnose" > "Paketfilter-Log" die Schaltfläche "Starte Lesen". Ergebnis: Die unberechtigten Verbindungsversuche aus Testabschnitt 3 wurden im Paketfilter-Log aufgezeichnet und werden wie folgt angezeigt: Bild 4-37 Anzeige der unberechtigten Verbindungsversuche Getting Started, 09/2014, C79000-G8900-C

88

89 VPN zur Netzkopplung VPN-Tunnel im LAN zwischen allen Security-Produkten Übersicht In diesem Beispiel wird die VPN-Tunnelfunktion projektiert. Die Security-Module bilden in diesem Beispiel die Tunnelendpunkte über ein lokales Netzwerk. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur über die eingerichteten VPN- Tunnelverbindungen zwischen den autorisierten Partnern möglich ist. Aufbau des Testnetzes Getting Started, 09/2014, C79000-G8900-C

90 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Internes Netzwerk - Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch eine SIMATIC S7-Station mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Die Station ist an der internen Schnittstelle des Security-Moduls angeschlossen. Station1: Repräsentiert einen Teilnehmer des internen Netzwerks PC2: Wird für das Testen der Tunnelfunktion durch S7-Diagnose und Konfiguration von Station1 verwendet. Security-Modul 1 - Ein Security-Modul zum Schutz des internen Netzwerks kann sein: SCALANCE S (nicht S602) CP Advanced in einer SIMATIC S7-300 Station CP Advanced in einer SIMATIC S7-400 Station Station2 mit Security-Modul 2 - Eine der folgenden Stationen mit Security-Modul: CP in einer SIMATIC S Station CP in einer SIMATIC S Station Externes Netzwerk - Anschluss an der externen Schnittstelle der Security-Module Das externe Netzwerk wird durch einen Switch repräsentiert, an welchen die externen Schnittstellen aller Security-Module angeschlossen sind. Sind nur zwei Security-Module zu verbinden, können Sie diese auch direkt mit den externen Schnittstelle verbinden. PC1: PC mit der Projektierungssoftware STEP 7 und SOFTNET Security Client Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware STEP 7 und der SOFTNET Security Client sind auf PC1 installiert. Nur bei CP x43-1 Adv. und SCALANCE S: eine SIMATIC S7-Station mit integriertem Webserver, der das Protokoll HTTPS unterstützt, ist als Teilnehmer im internen Netzwerk mit folgenden Einstellungen vorhanden: Steuerung IP-Adresse Subnetzmaske Standardgateway Steuerung Es ist bereits ein STEP 7-Projekt mit den folgenden Einstellungen angelegt und auf das Security-Modul bzw. die Steuerung geladen (nähere Informationen zum genauen Vorgehen finden Sie im Kapitel Basisprojektierung (Seite 15)): Security-Modul IP-Adresse Subnetzmaske SCALANCE S Externe Schnittstelle [P1] rot: Interne Schnittstelle [P2] grün: Getting Started, 09/2014, C79000-G8900-C379-01

91 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Security-Modul IP-Adresse Subnetzmaske CP 1x43-1 Ethernet-Schnittstelle [X1]: CP x43-1 Adv. Ethernet-Schnittstelle [X1]: PROFINET-Schnittstelle [X2]: Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 5-1 IP-Einstellungen der Grundprojektierung Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen" > "Benutzeranmeldung" mit Ihrem Security-Login angemeldet. Die folgenden Schritte in der Übersicht: Getting Started, 09/2014, C79000-G8900-C

92 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: PC IP-Adresse Subnetzmaske Standardgateway PC Gehen Sie folgendermaßen vor: 1. Öffnen Sie auf dem PC1 mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Doppelklicken Sie die entsprechende Netzwerkverbindung. 4. Klicken Sie im Dialog "Status von [Netzwerk]" auf die Schaltfläche "Eigenschaften". 5. Bestätigen Sie die Windows Sicherheitsabfrage mit "Ja". 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. 92 Getting Started, 09/2014, C79000-G8900-C379-01

93 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. 10.Wiederholen Sie die oben aufgeführten Schritte auf PC2 und vergeben Sie dabei die folgenden Netzparameter: IP-Adresse: Subnetzmaske: Standardgateway: Hinweis Um in die verschiedenen internen Netze der Security-Module kommunizieren zu können, müssen Sie explizite Routen auf dem PC setzen. Verwenden Sie dazu die Funktion "route add" in der Eingabeaufforderung. Getting Started, 09/2014, C79000-G8900-C

94 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten SOFTNET Security Client-Modul anlegen Neues Security-Modul anlegen 1. Wechseln Sie über den Menüpunkt "Projektansicht öffnen" in die Projektansicht. 2. Doppelklicken Sie in der Projektnavigation den Menüpunkt "Geräte & Netze". Ergebnis: Die Netzsicht wird geöffnet. 3. Öffnen Sie den "Hardware-Katalog" und fügen Sie das entsprechende Security-Modul durch Drag&Drop der Netzsicht hinzu. Sie finden das Security-Modul unter folgender Navigation im "Hardware-Katalog": Security-Modul SOFTNET Security Client Navigation im Hardware-Katalog "PC-Systeme" > "Softnet Security Client" VPN-Gruppe projektieren Der SOFTNET Security Client und die Security-Module können untereinander VPN-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen VPN-Gruppe zugeordnet sind. Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "VPN-Gruppen" > "Neue VPN-Gruppe hinzufügen". Ergebnis: Eine VPN-Gruppe wird angelegt. 2. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "VPN-Gruppen" > "Modul einer VPN-Gruppe zuweisen". 3. Wählen Sie aus der Klappliste "VPN" die angelegte VPN-Gruppe. 4. Selektieren Sie in der Liste "Verfügbare Module" das angelegte SOFTNET Security Client-Modul und das verwendete Security-Modul. 94 Getting Started, 09/2014, C79000-G8900-C379-01

95 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten 5. Verschieben Sie diese über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Die Security-Module wurden der VPN-Gruppe hinzugefügt. Bild 5-2 VPN-Zuweisung 6. Um dies zu kontrollieren, öffnen Sie in der Netzsicht das Register "VPN". Bild 5-3 VPN-Zugehörigkeit anzeigen 7. Doppelklicken Sie in der Projektnavigation die angelegte VPN-Gruppe. 8. Wählen Sie im Inspektorfenster den Menüpunkt "Erweiterte Einstellungen Phase 1" und ändern Sie die "SA-Lebensdauer" auf den Wert "2879". 9. Wählen Sie im Inspektorfenster den Menüpunkt "Erweiterte Einstellungen Phase 2" und ändern Sie die "SA-Lebensdauer" auf den Wert "2879". Getting Started, 09/2014, C79000-G8900-C

96 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten SOFTNET Security Client-Konfiguration speichern Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation den SOFTNET Security Client. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Übersetzen" und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Ergebnis: Die Konfigurationsdatei "Projektname.SSC-Modulname.dat" und die Zertifikate werden im "Pfad zu den SSC-Konfigurationsdateien" gespeichert. Den Pfad können Sie in den Eigenschaften des SOFTNET Security Client-Moduls anpassen Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle" aus. 96 Getting Started, 09/2014, C79000-G8900-C379-01

97 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei CPs wird das S7-Protokoll zum Laden verwendet, bei SCALANCE S das Protokoll HTTPS. Bild 5-4 Auf Security-Modul laden 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz" angezeigt. 6. Selektieren Sie in der Liste das Security-Modul und klicken Sie auf die Schaltfläche "Laden". 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert. Führen Sie die oben aufgeführten Schritte für alle vorhandenen Security-Module durch. Getting Started, 09/2014, C79000-G8900-C

98 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt die Station, in welcher das Security-Modul platziert ist bzw. Station1 im internen Netzwerk des Security-Moduls (falls vorhanden). Die Kommunikation zur Station bzw. zur Station im internen Netzwerk kann nur noch verschlüsselt über den VPN-Tunnel erfolgen Tunnelaufbau mit dem SOFTNET Security Client Gehen Sie wie folgt vor: 1. Starten Sie den SOFTNET Security Client auf PC1. 2. Klicken Sie auf die Schaltfläche "Konfiguration laden", wechseln Sie in Ihr Projektverzeichnis und laden Sie die Konfigurationsdatei "Projektname.SSC- Modulname.dat". 3. Geben Sie das Passwort für den privaten Schlüssel des Zertifikats ein und bestätigen Sie mit "Weiter". 4. Sie werden nun gefragt, ob die Tunnelverbindungen für alle internen Teilnehmer aktiviert werden sollen. Klicken Sie in diesem Dialog auf die Schaltfläche "Ja". 5. Klicken Sie auf die Schaltfläche "Tunnelübersicht". Ergebnis: Aktive Tunnelverbindung Der Tunnel zwischen dem Security-Modul und dem SOFTNET Security Client wurde aufgebaut. Dieser Betriebszustand wird durch den grünen Kreis beim Eintrag "S612" signalisiert. In der Log-Konsole der Tunnelübersicht werden unter anderem Angaben zum Ablauf durchgeführter Verbindungsversuche angezeigt. 98 Getting Started, 09/2014, C79000-G8900-C379-01

99 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Die Konfiguration ist damit abgeschlossen. Das Security-Modul und der SOFTNET Security Client haben einen Kommunikationstunnel aufgebaut, über den Netzknoten aus dem internen Netz und PC2 gesichert kommunizieren können Tunnelfunktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt. Testabschnitt 1 kann analog auch mit PC2 durchgeführt werden. Getting Started, 09/2014, C79000-G8900-C

100 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Testabschnitt 1 PC1: S7-Diagnose und Konfiguration der Station 1. Wählen Sie den Menübefehl "Online" > "Online verbinden". Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 von extern wie folgt: 2. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station: für CP x43-1 Adv. und SCALANCE S: das Projekt für die Station1 aus dem internen Netzwerk für CP 1x43-1 (auch alternativ zu Station1 bei CP x43-1 Adv. möglich): das Projekt für die Station, in der sich das Security-Modul befindet 3. Selektieren Sie in der Projektnavigation die Station. Bild 5-5 S7-Diagnose und Konfiguration der Station 100 Getting Started, 09/2014, C79000-G8900-C379-01

101 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Da keine andere Kommunikation in der Firewall explizit freigegeben wurde, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt 2 PC1: S7-Diagnose und Konfiguration der Station Wiederholen Sie nun den Test für die Funktion mit der abgebauten Tunnelverbindung für PC1 von extern wie folgt: 1. Schließen Sie die Tunnelübersicht im SOFTNET Security Client. 2. Klicken Sie auf die Schaltfläche "Deaktivieren". 3. Bestätigen Sie den nachfolgenden Dialog mit "OK". Ergebnis: Die Tunnelverbindung zum Security-Modul wird abgebaut. 4. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station: für CP x43-1 Adv. und SCALANCE S: das Projekt für die Station1 aus dem internen Netzwerk für CP 1x43-1 (auch alternativ zu Station1 bei CP x43-1 Adv. möglich): das Projekt für die Station, in der sich das Security-Modul befindet 5. Selektieren Sie in der Projektnavigation die Station. 6. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind nicht möglich. Da keine andere Kommunikation in der Firewall explizit freigegeben wurde, können diese Telegramme die Station ohne VPN-Tunnel nicht erreichen. Getting Started, 09/2014, C79000-G8900-C

102 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Übersicht In diesem Beispiel projektieren Sie die VPN-Tunnelfunktion. Der SOFTNET Security Client und ein Security-Modul bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung über ein öffentliches Netzwerk. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur über die eingerichtete VPN- Tunnelverbindung zwischen den beiden autorisierten Partnern möglich ist. Aufbau des Testnetzes für SCALANCE S, CP x43-1 Adv. Internes Netzwerk - Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch eine SIMATIC S7-Station mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Die Station ist an der internen Schnittstelle des Security-Moduls angeschlossen. Station1: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul - Ein Security-Modul zum Schutz des internen Netzwerks kann sein: SCALANCE S (nicht S602) CP Advanced in einer SIMATIC S7-300 Station CP Advanced in einer SIMATIC S7-400 Station Externes Netzwerk - Anschluss an der externen Schnittstelle des Security-Moduls Das öffentliche, externe Netzwerk wird an der externen Schnittstelle des Security-Moduls angeschlossen. PC1: PC mit der Projektierungssoftware STEP 7 und SOFTNET Security Client 102 Getting Started, 09/2014, C79000-G8900-C379-01

103 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Aufbau Testnetz CP 1x43-1 Station - Eine der folgenden Stationen mit Security-Modul: CP in einer SIMATIC S Station CP in einer SIMATIC S Station Externes Netzwerk - Anschluss an der externen Schnittstelle des Security-Moduls Das öffentliche, externe Netzwerk wird an der externen Schnittstelle des Security-Moduls angeschlossen. PC1: PC mit der Projektierungssoftware STEP 7 und Software SOFTNET Security Client Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware STEP 7 ist auf PC1 installiert. Nur bei CP x43-1 Adv. und SCALANCE S: eine SIMATIC S7-Station mit integriertem Webserver, der das Protokoll HTTPS unterstützt, ist als Teilnehmer im internen Netzwerk mit folgenden Einstellungen vorhanden: Steuerung IP-Adresse Subnetzmaske Standardgateway Steuerung Getting Started, 09/2014, C79000-G8900-C

104 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Es ist bereits ein STEP 7-Projekt mit einer der folgenden Einstellungen angelegt und auf das Security-Modul bzw. die Steuerung geladen (nähere Informationen zum genauen Vorgehen finden Sie im Kapitel Basisprojektierung (Seite 15)): Security-Modul IP-Adresse Subnetzmaske SCALANCE S Externe Schnittstelle [P1] rot: Interne Schnittstelle [P2] grün: CP 1x43-1 Ethernet-Schnittstelle [X1]: CP x43-1 Adv. Ethernet-Schnittstelle [X1]: PROFINET-Schnittstelle [X2]: Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen"> "Benutzeranmeldung" mit Ihrem Security-Login angemeldet. Die folgenden Schritte in der Übersicht: 104 Getting Started, 09/2014, C79000-G8900-C379-01

105 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: PC IP-Adresse Subnetzmaske Standardgateway PC Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Doppelklicken Sie die entsprechende Netzwerkverbindung. 4. Klicken Sie im Dialog "Status von [Netzwerk]" auf die Schaltfläche "Eigenschaften". 5. Bestätigen Sie die Windows Sicherheitsabfrage mit "Ja". 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. Getting Started, 09/2014, C79000-G8900-C

106 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. 106 Getting Started, 09/2014, C79000-G8900-C379-01

107 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S SOFTNET Security Client-Modul anlegen Neues Security-Modul anlegen 1. Wechseln Sie über den Menüpunkt "Projektansicht öffnen" in die Projektansicht. 2. Doppelklicken Sie in der Projektnavigation den Menüpunkt "Geräte & Netze". Ergebnis: Die Netzsicht wird geöffnet. 3. Öffnen Sie den "Hardware-Katalog" und fügen Sie das entsprechende Security-Modul durch Drag&Drop der Netzsicht hinzu. Sie finden das Security-Modul unter folgender Navigation im "Hardware-Katalog": Security-Modul SOFTNET Security Client Navigation im Hardware-Katalog "PC-Systeme" > "Softnet Security Client" VPN-Gruppe projektieren Der SOFTNET Security Client und ein Security-Modul können einen VPN-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen VPN-Gruppe zugeordnet sind. Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "VPN-Gruppen" > "Neue VPN-Gruppe hinzufügen". Ergebnis: Eine VPN-Gruppe wird angelegt. 2. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "VPN-Gruppen " > "Modul einer VPN-Gruppe zuweisen". 3. Wählen Sie aus der Klappliste "VPN" die angelegte VPN-Gruppe. 4. Selektieren Sie in der Liste "Verfügbare Module" das angelegte SOFTNET Security Client-Modul und das verwendete Security-Modul. Getting Started, 09/2014, C79000-G8900-C

108 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 5. Verschieben Sie diese über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Die Security-Module wurden der VPN-Gruppe hinzugefügt. 6. Um dies zu kontrollieren, öffnen Sie in der Netzsicht das Register "VPN". Bild 5-6 VPN-Zugehörigkeit anzeigen 7. Doppelklicken Sie in der Projektnavigation die angelegte VPN-Gruppe. 8. Wählen Sie im Inspektorfenster den Menüpunkt "Erweiterte Einstellungen Phase 1" und ändern Sie die "SA-Lebensdauer" auf den Wert "2879". 9. Wählen Sie im Inspektorfenster den Menüpunkt "Erweiterte Einstellungen Phase 2" und ändern Sie die "SA-Lebensdauer" auf den Wert "2879". 108 Getting Started, 09/2014, C79000-G8900-C379-01

109 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S VPN-Eigenschaften des Security-Moduls projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2. Wählen Sie den Menüpunkt "VPN". 3. Ändern Sie den Eintrag von "Erlaubnis zur Initiierung des Verbindungsaufbaus" auf "Warte auf Gegenstelle (Responder)". Ergebnis: Das Security-Modul wartet auf einen VPN-Verbindungsaufbau durch den Client (SSC). Hinweis Wird ein WAN als externes öffentliches Netzwerk verwendet, geben Sie als "IP-Adresse ext." eine IP-Adresse aus dem internen Subnetz Ihres DSL-Routers ein. Als Standard-Router muss die interne IP-Adresse des DSL-Routers eingetragen werden. Die vom Provider vergebene öffentliche IP-Adresse geben Sie in den Baugruppeneigenschaften im Register "VPN" unter "WAN-IP-Adresse / FQDN" ein. Wenn Sie einen DSL-Router als Internet-Gateway nutzen, müssen an diesem die folgenden Ports an die externe IP-Adresse der Security-Baugruppe weitergeleitet werden: Port 500 (ISAKMP) Port 4500 (NAT-T) SOFTNET Security Client-Konfiguration speichern Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation den SOFTNET Security Client. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Übersetzen" und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Ergebnis: Die Konfigurationsdatei "Projektname.SSC-Modulname.dat" und die Zertifikate werden im "Pfad zu den SSC-Konfigurationsdateien" gespeichert. Den Pfad können Sie in den Eigenschaften des SOFTNET Security Client-Moduls anpassen. Getting Started, 09/2014, C79000-G8900-C

110 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle" aus. 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei CPs wird das S7-Protokoll zum Laden verwendet, bei SCALANCE S das Protokoll HTTPS. Bild 5-7 Auf Security-Modul laden 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz" angezeigt. 110 Getting Started, 09/2014, C79000-G8900-C379-01

111 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 6. Selektieren Sie in der Liste das Security-Modul und klicken Sie auf die Schaltfläche "Laden". 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert. Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt die Station, in welcher das Security-Modul platziert ist bzw. Station1 im internen Netzwerk des Security-Moduls (falls vorhanden). Die Kommunikation zur Station bzw. zur Station im internen Netzwerk kann nur noch verschlüsselt über den VPN-Tunnel erfolgen Tunnelaufbau mit dem SOFTNET Security Client Gehen Sie wie folgt vor: 1. Starten Sie den SOFTNET Security Client auf PC1. 2. Klicken Sie auf die Schaltfläche "Konfiguration laden", wechseln Sie in Ihr Projektverzeichnis und laden Sie die Konfigurationsdatei "Projektname.SSC- Modulname.dat". 3. Geben Sie das Passwort für den privaten Schlüssel des Zertifikats ein und bestätigen Sie mit "Weiter". 4. Sie werden nun gefragt, ob die Tunnelverbindungen für alle internen Teilnehmer aktiviert werden sollen. Klicken Sie in diesem Dialog auf die Schaltfläche "Ja". 5. Klicken Sie auf die Schaltfläche "Tunnelübersicht". Ergebnis: Aktive Tunnelverbindung Der Tunnel zwischen dem Security-Modul und dem SOFTNET Security Client wurde aufgebaut. Dieser Betriebszustand wird durch den grünen Kreis beim Eintrag "S612" signalisiert. In der Log-Konsole der Tunnelübersicht werden unter anderem Angaben zum Ablauf durchgeführter Verbindungsversuche angezeigt. Getting Started, 09/2014, C79000-G8900-C

112 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Die Konfiguration ist damit abgeschlossen. Das Security-Modul und der SOFTNET Security Client haben einen Kommunikationstunnel aufgebaut, über den Netzknoten aus dem internen Netz und PC2 gesichert kommunizieren können Tunnelfunktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt. 112 Getting Started, 09/2014, C79000-G8900-C379-01

113 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Testabschnitt 1 PC1: S7-Diagnose und Konfiguration der Station Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 von extern wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station: für CP x43-1 Adv. und SCALANCE S: das Projekt für die Station1 aus dem internen Netzwerk für CP 1x43-1 (auch alternativ zu Station1 bei CP x43-1 Adv. möglich): das Projekt für die Station, in der sich das Security-Modul befindet 2. Selektieren Sie in der Projektnavigation die Station. 3. Wählen Sie den Menübefehl "Online" > "Online verbinden". Bild 5-8 S7-Diagnose und Konfiguration der Station Getting Started, 09/2014, C79000-G8900-C

114 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Da keine andere Kommunikation in der Firewall explizit freigegeben wurde, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt 2 PC1: S7-Diagnose und Konfiguration der Station Wiederholen Sie nun den Test für die Funktion mit der abgebauten Tunnelverbindung für PC1 von extern wie folgt: 1. Schließen Sie die Tunnelübersicht im SOFTNET Security Client. 2. Klicken Sie auf die Schaltfläche "Deaktivieren". 3. Bestätigen Sie den nachfolgenden Dialog mit "OK". Ergebnis: Die Tunnelverbindung zum Security-Modul wird abgebaut. 4. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station: für CP x43-1 Adv. und SCALANCE S: das Projekt für die Station1 aus dem internen Netzwerk für CP 1x43-1 (auch alternativ zu Station 1 bei CP x43-1 Adv. möglich): das Projekt für die Station, in der sich das Security-Modul befindet 5. Selektieren Sie in der Projektnavigation die Station. 6. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind nicht möglich. Da keine andere Kommunikation in der Firewall explizit freigegeben wurde, können diese Telegramme die Station ohne VPN-Tunnel nicht erreichen. 114 Getting Started, 09/2014, C79000-G8900-C379-01

115 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Übersicht In diesem Beispiel projektieren Sie die VPN-Tunnelfunktion. Der SOFTNET Security Client und ein Security-Modul bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung über ein öffentliches Netzwerk. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur über die eingerichtete VPN- Tunnelverbindung zwischen den beiden autorisierten Partnern möglich ist. In diesem Beispiel projektieren Sie zudem die erweiterte Firewall und nutzen die Funktion der benutzerspezifischen Regelsätze. Sie erreichen durch die vorgenommenen Einstellungen in der Firewall des Security-Moduls, dass die Konfiguration und Diagnose der Station im internen Netzwerk über das S7-Protokoll auf einen Benutzer eingeschränkt wird und damit nur für diesen über die eingerichtete VPN- Tunnelverbindung erreichbar ist. Zudem dürfen alle Teilnehmer über die Tunnelverbindung das Protokoll HTTPS zur Kommunikation verwenden. Dadurch wird die Security-Diagnose der Security-Module sowie die Kommunikation mit Webservern im internen Netzwerk ermöglicht. Abgelehnte Zugriffe auf das Security-Modul bzw. die Station werden geloggt. Aufbau des Testnetzes Getting Started, 09/2014, C79000-G8900-C

116 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Internes Netzwerk - Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch ein Gerät mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Das Gerät ist an der internen Schnittstelle des Security-Moduls angeschlossen. Station1: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Modul - Ein Security-Modul zum Schutz des internen Netzwerks kann sein: SCALANCE S (nicht S602) Externes Netzwerk - Anschluss an der externen Schnittstelle des Security-Moduls Das öffentliche, externe Netzwerk wird an der externen Schnittstelle des Security-Moduls angeschlossen. PC1: PC mit der Projektierungssoftware STEP 7 und SOFTNET Security Client Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware STEP 7 ist auf PC1 installiert. Eine SIMATIC S7-Station mit integriertem Webserver, der das Protokoll HTTPS unterstützt, ist als Teilnehmer im internen Netzwerk mit folgenden Einstellungen vorhanden: Steuerung IP-Adresse Subnetzmaske Standardgateway Steuerung Es ist bereits ein STEP 7-Projekt mit den folgenden Einstellungen angelegt und auf das Security-Modul bzw. die Steuerung geladen (nähere Informationen zum genauen Vorgehen finden Sie im Kapitel Basisprojektierung (Seite 15)): Security-Modul IP-Adresse Subnetzmaske SCALANCE S Externe Schnittstelle [P1] rot: Interne Schnittstelle [P2] grün: Getting Started, 09/2014, C79000-G8900-C379-01

117 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 5-9 IP-Einstellungen der Grundprojektierung Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen"> "Benutzeranmeldung" mit Ihrem Security-Login angemeldet. Die folgenden Schritte in der Übersicht: Getting Started, 09/2014, C79000-G8900-C

118 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: PC IP-Adresse Subnetzmaske Standardgateway PC Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Doppelklicken Sie die entsprechende Netzwerkverbindung. 4. Klicken Sie im Dialog "Status von [Netzwerk]" auf die Schaltfläche "Eigenschaften". 5. Bestätigen Sie die Windows Sicherheitsabfrage mit "Ja". 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. 118 Getting Started, 09/2014, C79000-G8900-C379-01

119 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. Getting Started, 09/2014, C79000-G8900-C

120 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall SOFTNET Security Client-Modul anlegen Neues Security-Modul anlegen 1. Wechseln Sie über den Menüpunkt "Projektansicht öffnen" in die Projektansicht. 2. Doppelklicken Sie in der Projektnavigation den Menüpunkt "Geräte & Netze". Ergebnis: Die Netzsicht wird geöffnet. 3. Öffnen Sie den "Hardware-Katalog" und fügen Sie das entsprechende Security-Modul durch Drag&Drop der Netzsicht hinzu. Sie finden das Security-Modul unter folgender Navigation im "Hardware-Katalog": Security-Modul SOFTNET Security Client Navigation im Hardware-Katalog "PC-Systeme" > "Softnet Security Client" VPN-Gruppe projektieren Der SOFTNET Security Client und SCALANCE S können einen VPN-Tunnel für die gesicherte Kommunikation aufbauen, wenn sie im Projekt der gleichen VPN-Gruppe zugeordnet sind. Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "VPN-Gruppen" > "Neue VPN-Gruppe hinzufügen". Ergebnis: Eine VPN-Gruppe wird angelegt. 2. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "VPN-Gruppen" > "Modul einer VPN-Gruppe zuweisen". 3. Wählen Sie aus der Klappliste "VPN" die angelegte VPN-Gruppe. 4. Selektieren Sie in der Liste "Verfügbare Module" das angelegte SOFTNET Security Client-Modul und das verwendete Security-Modul. 120 Getting Started, 09/2014, C79000-G8900-C379-01

121 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5. Verschieben Sie diese über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Die Security-Module wurden der VPN-Gruppe hinzugefügt. 6. Um dies zu kontrollieren, öffnen Sie in der Netzsicht das Register "VPN". 7. Doppelklicken Sie in der Projektnavigation die angelegte VPN-Gruppe. 8. Wählen Sie im Inspektorfenster den Menüpunkt "Erweiterte Einstellungen Phase 1" und ändern Sie die "SA-Lebensdauer" auf den Wert "2879". 9. Wählen Sie im Inspektorfenster den Menüpunkt "Erweiterte Einstellungen Phase 2" und ändern Sie die "SA-Lebensdauer" auf den Wert "2879". Getting Started, 09/2014, C79000-G8900-C

122 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall VPN-Eigenschaften des Security-Moduls projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2. Wählen Sie den Menüpunkt "VPN". 3. Ändern Sie den Eintrag von "Erlaubnis zur Initiierung des Verbindungsaufbaus" auf "Warte auf Gegenstelle (Responder)". Ergebnis: Das Security-Modul wartet auf einen VPN-Verbindungsaufbau durch den Client (SSC). Hinweis Wird ein WAN als externes öffentliches Netzwerk verwendet, geben Sie als "IP-Adresse ext." eine IP-Adresse aus dem internen Subnetz Ihres DSL-Routers ein. Als Standard-Router muss die interne IP-Adresse des DSL-Routers eingetragen werden. Die vom Provider vergebene öffentliche IP-Adresse geben Sie in den Baugruppeneigenschaften im Register "VPN" unter "WAN-IP-Adresse / FQDN" ein. Wenn Sie einen DSL-Router als Internet-Gateway nutzen, müssen an diesem die folgenden Ports an die externe IP-Adresse der Security-Baugruppe weitergeleitet werden: Port 500 (ISAKMP) Port 4500 (NAT-T) Lokale Firewall projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2. Wählen Sie den Menüpunkt "Firewall". 3. Aktivieren Sie im Feld "Allgemein" die Funktion "Firewall aktivieren". 122 Getting Started, 09/2014, C79000-G8900-C379-01

123 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 4. Aktivieren Sie die Funktion "Firewall im erweiterten Modus aktivieren". Bestätigen Sie die Sicherheitsabfrage mit "Ja". Ergebnis: Die Firewall des Security-Moduls wird in den erweiterten Modus umgeschaltet. Sie können nun Firewall-Regeln konfigurieren, die auf IP-Adressen und Dienste filtern. Ein Umschalten zurück in den Standard-Modus der Firewall ist nicht möglich. 5. Wählen Sie das Menü "IP-Regeln" und fügen entsprechend des verwendeten Security- Moduls die folgenden Firewall-Regeln hinzu: Aktion Von Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging Allow Tunnel Intern - - HTTPS Drop Tunnel Intern - - Alle Ergebnis: Die lokalen Firewall-Regeln werden in der Liste angezeigt: Bild 5-10 Lokale IP-Regeln im erweiterten Firewall-Modus Remote Access Benutzer anlegen Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Benutzerverwaltung". 2. Legen Sie einen neuen Benutzer und Passwort mit den folgenden Einstellungen an: Benutzername: remote Rolle: Remote-Access Passwort: <frei wählbar> Getting Started, 09/2014, C79000-G8900-C

124 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Bild 5-11 Remote-Access Benutzer anlegen Benutzerspezifische Firewall-Regelsätze projektieren Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Globale Firewall-Regelsätze" > "IP-Regelsätze" > "Neuen IP-Regelsatz hinzufügen". Ergebnis: Ein globaler IP-Regelsatz wird angelegt. 2. Vergeben Sie einen Namen und eine Beschreibung für den IP-Regelsatz. In diesem Beispiel: Name: Benutzerspezifischer IP-Regelsatz 1 Beschreibung: Zugriff über S7-Protokoll 3. Fügen Sie der Liste die folgende Firewall-Regel hinzu: Aktion Von Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging Allow Tunnel Intern S7 Ergebnis: Ein benutzerspezifischer Firewall-Regelsatz wird angelegt. Bild 5-12 Benutzerspezifischer IP-Regelsatz 4. Wechseln Sie von der Ansicht "Benutzerspezifischer IP-Regelsatz" in die Ansicht "Benutzer". Weisen Sie dem Regelsatz einen Benutzer zu der berechtigt sein soll, den Regelsatz zu aktivieren. 5. Selektieren Sie in der Liste "Verfügbare Benutzer" den Benutzer "remote". 124 Getting Started, 09/2014, C79000-G8900-C379-01

125 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 6. Verschieben Sie ihn über die Schaltfläche "<<" in die Liste "Zugewiesene Benutzer". 7. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Benutzerspezifische IP-Regelsätze" > "Benutzerspezifischen IP-Regelsatz zuweisen". 8. Wählen Sie aus der Klappliste "Regelsatz" den angelegten Firewall-Regelsatz. 9. Selektieren Sie in der Liste "Verfügbare Module" das verwendete Security-Modul. Getting Started, 09/2014, C79000-G8900-C

126 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 10.Verschieben Sie es über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Der benutzerspezifische Firewall-Regelsatz wurde in die lokale Firewall des Security- Moduls eingefügt. Bild 5-13 Benutzerspezifischen IP-Regelsatz einem Modul zuordnen 11.Um dies zu kontrollieren, öffnen Sie im Inspektorfenster das Menü "Eigenschaften" > "Firewall" > "IP-Regeln". Ergebnis: Der benutzerspezifische Firewall-Regelsatz wurde in der Liste vor den lokalen Firewall-Regeln eingefügt. Die Firewall Konfiguration ist damit abgeschlossen. Bild 5-14 Benutzerspezifischen Regelsatz anzeigen 126 Getting Started, 09/2014, C79000-G8900-C379-01

127 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall SOFTNET Security Client-Konfiguration speichern Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation den SOFTNET Security Client. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Übersetzen" und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Ergebnis: Die Konfigurationsdatei "Projektname.SSC-Modulname.dat" und die Zertifikate werden im "Pfad zu den SSC-Konfigurationsdateien" gespeichert. Den Pfad können Sie in den Eigenschaften des SOFTNET Security Client-Moduls anpassen Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle" aus. Getting Started, 09/2014, C79000-G8900-C

128 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei SCALANCE S wird das Protokoll HTTPS zum Laden verwendet. 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz" angezeigt. 6. Selektieren Sie in der Liste das Security-Modul und klicken Sie auf die Schaltfläche "Laden". 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert. 128 Getting Started, 09/2014, C79000-G8900-C379-01

129 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt Station1 im internen Netzwerk des Security-Moduls (falls vorhanden). Die Kommunikation zur Station bzw. zur Station im internen Netzwerk kann nur noch verschlüsselt über den VPN-Tunnel erfolgen Tunnelaufbau mit dem SOFTNET Security Client Gehen Sie wie folgt vor: 1. Starten Sie den SOFTNET Security Client auf PC1. 2. Klicken Sie auf die Schaltfläche "Konfiguration laden", wechseln Sie in Ihr Projektverzeichnis und laden Sie die Konfigurationsdatei "Projektname.SSC- Modulname.dat". 3. Geben Sie das Passwort für den privaten Schlüssel des Zertifikats ein und bestätigen Sie mit "Weiter". 4. Sie werden nun gefragt, ob die Tunnelverbindungen für alle internen Teilnehmer aktiviert werden sollen. Klicken Sie in diesem Dialog auf die Schaltfläche "Ja". 5. Klicken Sie auf die Schaltfläche "Tunnelübersicht". Ergebnis: Aktive Tunnelverbindung Der Tunnel zwischen dem Security-Modul und dem SOFTNET Security Client wurde aufgebaut. Dieser Betriebszustand wird durch den grünen Kreis beim Eintrag "S612" signalisiert. In der Log-Konsole der Tunnelübersicht werden unter anderem Angaben zum Ablauf durchgeführter Verbindungsversuche angezeigt. Getting Started, 09/2014, C79000-G8900-C

130 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Die Konfiguration ist damit abgeschlossen. Das Security-Modul und der SOFTNET Security Client haben einen Kommunikationstunnel aufgebaut, über den Netzknoten aus dem internen Netz und PC2 gesichert kommunizieren können. 130 Getting Started, 09/2014, C79000-G8900-C379-01

131 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Benutzerspezifischen Firewall-Regelsatz aktivieren 1. Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: " 2. Geben Sie im nachfolgenden Fenster den Benutzernamen "remote" sowie das dazugehörige Passwort ein. 3. Klicken Sie auf die Schaltfläche "Login". Ergebnis: Der für den Benutzer "remote" definierte Regelsatz ist aktiviert. Der Zugriff über das S7-Protokoll von PC1 im externen Netz auf die Station im internen Netz des Security- Moduls ist für 30 Minuten zugelassen. Getting Started, 09/2014, C79000-G8900-C

132 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Tunnel- und Firewall-Funktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt, auf dem ein Webbrowser installiert ist. Damit die abgelehnten Zugriffe durch die Firewall aufgezeichnet und angezeigt werden, verwenden Sie die Funktion des Paketfilter-Loggings. Testabschnitt 1 PC1: S7-Diagnose und Konfiguration der Station Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 von extern wie folgt: 1. Aktivieren Sie den benutzerspezifischen Firewall-Regelsatz wie in Kapitel "Benutzerspezifischen Firewall-Regelsatz aktivieren (Seite 131)" beschrieben: 2. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station im internen Netzwerk: 3. Selektieren Sie in der Projektnavigation die Station. 132 Getting Started, 09/2014, C79000-G8900-C379-01

133 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 4. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Da keine andere Kommunikation als über den VPN-Tunnel in der Firewall explizit freigegeben wurde, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. 5. Deaktivieren Sie den benutzerspezifischen Firewall-Regelsatz, indem Sie im Webbrowser die Schaltfläche "Logout" klicken. 6. Versuchen Sie entsprechend der Punkte 2-4 erneut die Station über das S7-Protokoll zu erreichen. Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind nicht möglich. Die Zeit für den Verbindungsversuch läuft ab und es kann keine Verbindung zur Station aufgebaut werden. Getting Started, 09/2014, C79000-G8900-C

134 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Testabschnitt 2 PC1: HTTPS-Zugriff auf den Webserver der Station Testen Sie nun die Funktion der HTTPS-Firewall-Regel für alle Teilnehmer aus dem externen Netzwerk wie folgt: Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: " Ergebnis: Der Zugriff auf den Webserver über das HTTPS-Protokoll ist möglich. Testabschnitt 3 Diagnose abgelehnter Zugriffe mit Paketfilter-Logging Testen Sie nun die Funktion des Paketfilter-Logging der Firewall-Regeln, welche Sie in den globalen Firewall-Regeln aktiviert haben, wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station. 2. Geben Sie Ihr Login in der Projektnavigation über "Globale Security-Einstellungen" > "Benutzeranmeldung" ein, um sich im Projekt anzumelden. 3. Selektieren Sie in der Projektnavigation das Security-Modul. 4. Wählen Sie den Menübefehl "Online" > "Online & Diagnose". Ergebnis: Der Dialog "Online-Zugänge" wird geöffnet. Als "Typ der PG/PC-Schnittstelle" ist das Protokoll "HTTPS" voreingestellt. 134 Getting Started, 09/2014, C79000-G8900-C379-01

135 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5. Wählen Sie die "PG/PC-Schnittstelle" und die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. 6. Klicken Sie auf die Schaltfläche "Online verbinden". Ergebnis: Die Online-Verbindung zu dem Security-Modul wird aufgebaut und die Security-Diagnose über HTTPS ist möglich. 7. Klicken Sie im Menü "Diagnose" > "Paketfilter-Log" die Schaltfläche "Starte Lesen". Ergebnis: Die unberechtigten Verbindungsversuche aus Testabschnitt 1 wurden im Paketfilter-Log aufgezeichnet und werden wie folgt angezeigt: Bild 5-15 Anzeige der unberechtigten Verbindungsversuche Getting Started, 09/2014, C79000-G8900-C