Support- und Remote- Einwahl Vorwort 1 Support- und Remote- Einwahl 2 SIMATIC Prozessleitssystem PCS 7 Einwahl 3 Hinweise für die Praxis 4 Inbetriebnahmehandbuch 12/2011 A5E02657553-02
Rechtliche Hinweise Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Industry Sector Postfach 48 48 90026 NÜRNBERG DEUTSCHLAND A5E02657553-02 P 11/2011 Copyright Siemens AG 2011. Änderungen vorbehalten
Inhaltsverzeichnis 1 Vorwort... 5 1.1 Aufbau und Dokumentstruktur...5 1.2 Besondere Hinweise...6 2... 7 2.1 Definitionen...7 2.2 Konzept...8 3 Einwahl... 11 3.1 Lokale Einwahl...11 3.2 Remote Einwahl...13 3.2.1 Netzmedium...13 3.2.2 Support-Gerät...14 3.2.3 Control System Network Zugriff...15 3.3 Technik-Wahl...16 4 Hinweise für die Praxis... 21 4.1 Allgemeine Informationen...21 4.2 Siemens Remote Service (SRS)...22 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 3
Inhaltsverzeichnis 4 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02
Vorwort 1 1.1 Aufbau und Dokumentstruktur Das Sicherheitskonzept PCS 7 & WinCC besteht aus mehreren Teilen: Das Basisdokument ist der zentrale Überblick und Wegweiser durch das Sicherheitskonzept PCS 7 & WinCC. Dort werden die Grundprinzipien und Security-Strategien des Security-Konzepts in systematisierter Form beschrieben. Alle zusätzlichen Detaildokumente setzen die vollständige Kenntnis des Basisdokumentes voraus. Die Detaildokumente (dieses Dokument ist ein solches Detaildokument) erläutern die einzelnen Prinzipien, Lösungen und deren empfohlene Konfiguration in detaillierter Form, jeweils auf ein bestimmtes Detail-Thema fokussiert. Die Detaildokumente werden unabhängig voneinander ergänzt, aktualisiert und bereitgestellt, um eine hohe Aktualität zu gewährleisten. Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 5
Vorwort 1.2 Besondere Hinweise 1.2 Besondere Hinweise Ziel des Sicherheitskonzept PCS 7 & WinCC Oberste Priorität in der Automatisierung hat die Aufrechterhaltung der Kontrolle über Produktion und Prozess. Auch Maßnahmen, die die Ausbreitung einer Sicherheitsbedrohung verhindern sollen, dürfen dies nicht beeinträchtigen. Das Sicherheitskonzept PCS 7 & WinCC soll sicherstellen, dass nur authentifizierte Benutzer über die ihnen zugewiesenen Bedienmöglichkeiten an authentifizierten Geräten autorisierte (erlaubte) Bedienungen durchführen können. Diese Bedienungen sollen ausschließlich über eindeutige und geplante Zugriffswege erfolgen, um während eines Auftrages eine sichere Produktion oder Koordination ohne Gefahren für Mensch, Umwelt, Produkt, zu koordinierende Güter und das Geschäft des Unternehmens zu gewährleisten. Das Sicherheitskonzept PCS 7 & WinCC empfiehlt dazu den Einsatz der aktuell verfügbaren Sicherheitsmechanismen. Um die höchstmögliche Sicherheit zu erreichen, dürfen anlagenspezifisch skalierte Konfigurationen den Grundprinzipien dieses Sicherheitskonzepts nicht widersprechen. Das Sicherheitskonzept PCS 7 & WinCC soll die Zusammenarbeit der Netzwerkadministratoren von Unternehmensnetzen (IT-Administratoren) und Automatisierungsnetzen (Automatisierungsingenieuren) erleichtern, so dass die Vorteile der Vernetzung der Prozessleittechnik mit der Datenverarbeitung der anderen Produktionsebenen ohne beidseitig erhöhte Sicherheitsrisiken genutzt werden können. Erforderliche Kenntnisse Diese Dokumentation wendet sich an Personen, die in den Bereichen Projektierung, Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC tätig sind. Administrationskenntnisse der aus der Bürowelt bekannten IT-Techniken werden vorausgesetzt. Gültigkeitsbereich Das Sicherheitskonzept PCS 7 & WinCC löst die vorhergehenden Dokumente und Empfehlungen "Sicherheitskonzept PCS 7" und "Sicherheitskonzept WinCC" schrittweise ab und ist gültig ab WinCC V6.2 und PCS 7 V7.0. 6 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02
2 Dieser Detailbericht befasst sich ausschließlich mit der Remote-Wartung, dem Remote- Support und der Remote-Administration einer Anlage. Die Beschreibung des Remote- Steuerns einer Anlage ist nicht Thema dieses Detailberichts. Informationen zur Remote- Steuerung werden aber im Detailbericht Verwaltung der Kommunikation innerhalb und zwischen Security-Zellen beschrieben. 2.1 Definitionen Virtuelles privates Netzwerk (VPN) Quelle: Microsoft Hilfe- und Supportcenter Windows Server 2003 Die Erweiterung eines privaten Netzwerkes, die eingekapselte, verschlüsselte und authentifizierte Verbindungen über gemeinsam genutzte oder öffentliche Netzwerke umfasst. Mit VPN-Verbindungen sind Remotezugriffe und Routingverbindungen für private Netzwerke über das Internet möglich. Point-To-Point-Tunneling-Protocol (PPTP) Quelle: Microsoft Hilfe- und Supportcenter Windows Server 2003 Eine Netzwerktechnologie, die Multiprotokoll-VPNs (Virtual Private Networks) unterstützt. Dies ermöglicht Remotebenutzern den gesicherten Zugriff auf firmeneigene Netzwerke über das Internet oder andere Netzwerke, indem sie sich bei einem Internetdienstanbieter (Internet Service Provider, ISP) einwählen oder direkt eine Internetverbindung herstellen. PPTP kapselt IP-Daten (Internet Protocol), IPX-Daten (Internetwork Packet Exchange) oder NetBEUI-Daten (NetBIOS Extended User Interface) in IP-Pakete. Diese Einkapselung wird auch als Tunneling bezeichnet. Dies bedeutet, dass Benutzer die von bestimmten Netzwerkprotokollen abhängigen Anwendungen remote ausführen können. Layer-Two-Tunneling-Protocol (L2TP) Quelle: Microsoft Hilfe- und Supportcenter Windows Server 2003 Ein Internet-Tunneling-Protokoll nach Industriestandard, das die Möglichkeit der Einkapselung zum Senden von PPP-Frames (Point-to-Point Protocol) bei paketorientierten Medien bietet. In IP-Netzwerken wird der L2TP-Datenverkehr in Form von UDP-Nachrichten (User Datagram Protocol) übermittelt. Bei Microsoft-Betriebssystemen wird L2TP in Verbindung mit IPSec (Internet Protocol Security) als VPN-Technologie (Virtual Private Network) verwendet, um VPN-Verbindungen über RAS (Remote Access) oder Router-zu- Router bereitzustellen. L2TP ist in RFC 2661 beschrieben. Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 7
2.2 Konzept 2.2 Konzept Konzept Durch die zunehmende Vernetzung und die Anbindung von Anlagen an Firmennetze und das Internet, sowie den immer größer werdenden Distanzen zwischen Supportmitarbeitern und den Anlagen (z.b. Supportmitarbeiter auf dem Festland, die zu unterstützende Anlage auf einem Schiff), gewinnt die zunehmend an Bedeutung. Dies bringt aber auch zusätzliche Gefahren mit sich. Zum einen müssen an den Zugangspunkt-Firewalls Ausnahmen für die definiert werden, wodurch zusätzliche Angriffspunkte für Hacker entstehen, zum Anderen kann so unbeabsichtigt durch den Supportmitarbeiter Schadsoftware (Malware), z.b. Viren, Trojaner, usw., in die Anlage gebracht werden. Um dieses Risiko zu minimieren, empfiehlt sich bei der, genau so wie beim gesamten Sicherheitskonzept PCS 7 & WinCC, eine "Defence in Depth" Strategie zu realisieren. Das bedeutet, es wird keine "Direkt-Einwahl" auf das zu wartende Endgerät, sondern eine Kombination mehrerer Techniken und Sicherheitsmechanismen über einen zentralen Zugangspunkt realisiert, um so eine größtmögliche Sicherheit für die gesamte Anlage zu gewährleisten. Der im Folgenden beschriebene VPN-Server ist Teil der Back-Firewall und damit in der Verantwortung des Anlagenadministrators und wird über die Front-Firewall ins WAN (Intranet/Office-Netzwerk) veröffentlicht. Als Alternative zu einer eigenen VPN-Lösung kann die von Siemens für PCS 7-Anlagen favorisierte externe VPN-Lösung Siemens Remote Service (SRS) genutzt werden. Siemens Remote Service basiert auf einer Platform Technologie. "Common Remote Service Platform (crsp)" (näheres hierzu siehe Kapitel Hinweise für die Praxis (Seite 21)). Durch diese Konfiguration wird sichergestellt, dass die Front-Firewall keine Routinginformationen zum Process Control Network (PCN) oder gar Informationen über die Netzwerkstruktur innerhalb der Manufacturing Control System Ebene (MCS) überhaupt besitzt. So ist selbst bei einer Übernahme der Front-Firewall durch einen Angreifer kein Zugriff auf die Anlage möglich. In den folgenden Bildern ist ein Microsoft Internet Security and Acceleration Server (MS ISA Server) als Firewall zu sehen. Es kann auch der 2010 erschienene Nachfolger Microsoft Thread Management Gateway (MS TMG) genutzt werden. Weitere Informationen zur Konfiguration eines ISA Server\TMG als Firewalls finden sich im Detailbericht Verwalten des MS ISA Server/MS TMG als Zugangspunkt. 8 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02
2.2 Konzept Demo-Anlage Das folgende Bild zeigt eine Beispielanlage mit Front- und Back-Firewall, sowie alle im Kapitel Auto-Hotspot beschriebenen Geräte, zum Beispiel die Support-/ Einwahlstationen des Supportmitarbeiters. Enterprise Control Network Domain Controll Firewall Support Station WAN Intranet Router ISDN Historian Web Client SIMATIC IT SQL- SIMATIC IT Server Server Manufacturing Operations System Firewall ISA Server Front-Firewall Virusscan Server Perimeter Network Support Station Domain Controller Domain Controller Terminal Server WSUS Server Router ISDN Firewall ISA Server Back-Firewall WinCC Client OS Client Process Control Network SCALANCE X based redundant Ring Domain Controller Domain Controller WinCC Server WinCC Server OS Server OS Server Control System Network SCALANCE X based redundant Ring Engineering Station Maintenance Server S7-400H S7-400 S7-400 S7-400FH Bild 2-1 Beispielanlage mit Front- und Back-Firewall Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 9
2.2 Konzept 10 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02
Einwahl 3 Grundsätzlich gibt es zwei verschiedene Einwahlmöglichkeiten: die lokale Einwahl, bei der sich der Supportmitarbeiter vor Ort befindet die Remote-Einwahl, die über das Intranet/Office-Netzwerk, das Internet oder das Telefonnetz stattfindet 3.1 Lokale Einwahl Anlageneigene Supportstation Die Supportstation ist ein stationärer Support-PC und befindet sich entweder physikalisch in der Anlage als ES im Process Control Network (PCN) und ist somit Teil der Anlage oder als abgesetzte ES in einem Perimeter-Netz / Manufacturing Operating Network (MON) der Manufacturing Execution Systeme (MES) aufgestellt und ist somit ein vertrauenswürdiger abgesetzter Anlagen-PC. In beiden Fällen wird die Sicherheit über die korrekte Umsetzung des Basisdokuments Sicherheitskonzept PCS 7 & WinCC gewährleistet. Da auf Engineering Stationen im Gegensatz zu Prozessleitrechnern häufig mit wechselnden Projektdateien und Sicherungskopien gearbeitet wird, müssen hier zusätzlich externe Datenträger (USB-Sticks, CDs usw.) vor dem Einlegen auf Viren und Schadsoftware überprüft werden. Mobiler Support-PC/-PG (Support-Laptop) Bringt der Supportmitarbeiter seinen eigenen Support-PC vor Ort mit, darf ihm nur gestattet werden, sich an extra dafür vorgesehenen Punkten mit dem Netzwerk zu verbinden, den sogenannten Support-Steckdosen. Dies ist zum Beispiel mit den modernen Geräten der SCALANCE X 300 und 400 Baureihe möglich. Einzelne Ports können so zu konfiguriert werden, dass angeschlossene Computer nur dann an der Netzwerkkommunikation teilnehmen können, wenn sie ein gültiges Zertifikat beim jeweiligen Anschluss vorweisen, dass das SCALANCE Gerät an einem Radius-Server verifizieren kann und dieser die Zugriffserlaubnis erteilt. So kann sichergestellt werden, dass nur Supportmitarbeiter, denen ein solches Zertifikat ausgehändigt wurde, an der Netzwerkkommunikation teilnehmen können. Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 11
Einwahl 3.1 Lokale Einwahl Anschließend stellt der Supportmitarbeiter eine VPN-Verbindung zur Back-Firewall her. Da der Supportmitarbeiter sich vor Ort befindet und permanent überwachendes Anlagenpersonal anwesend ist, genügt eine PPTP-Einwahl mit einem Standard- Supportbenutzerkonto. Dazu wird über einem Benutzerauthentifizierungs-Server (z.b. dem MS Internet Authentifizierungsserver (IAS) / Radiusserver) ein Benutzerkonto in Verbindung mit dem MS Remote Access Server (RAS) abgefragt, mit dem sich alle Supportmitarbeiter vor Ort einwählen können. Jeweils nach Beendigung des Support-Auftrages sollte der Anlagenadministrator das Passwort dieses Standard Supportbenutzers ändern. Über die Quarantänefunktionalität des ISA Server\TMG auf der Back-Firewall wird nun der Support- PC auf Aktualität des Virenscanners, aktivierte lokale Firewall usw. überprüft. Je nach den gewünschten Sicherheitsanforderungen können die Inhalte und die Art der Überprüfung durch den Anlagenbetreiber selbst definiert werden. Erst nach bestandener Überprüfung kann der Supportmitarbeiter auf das PCN der Anlage oder eine bestimmte Engineering Station zugreifen. Wird darüber hinaus auch noch Zugriff auf das Control System Network (CSN) benötigt, sollten die Quarantäneskripts so ausgearbeitet sein, dass die zusätzlichen Netzwerkkarten einer Engineering Station (z.b. CP1613) mit Kontakt zum CSN zu Beginn deaktiviert und erst nach bestandener Überprüfung wieder aktiviert werden. 12 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02
Einwahl 3.2 Remote Einwahl 3.2 Remote Einwahl 3.2.1 Netzmedium Geräte Direktverbindung Direktverbindungen werden zwischen zwei Geräten z.b. zwei ISDN-Router oder zwei Siemens Teleservice Geräten initialisiert. Es wird immer eine "Punkt zu Punkt Verbindung" zwischen den beiden Geräten aufgebaut, über die die Daten ausgetauscht werden können. Man kann diese Geräte meist so konfigurieren, dass sie nur Verbindungen zu oder von definierten Rufnummern oder Geräten zulassen bzw. annehmen. Des Weiteren können sie oft so eingestellt werden, dass vor dem Verbindungsaufbau die "Einwahl" manuell bestätigt werden muss. So kann man über telefonische Rücksprachen sicher stellen, dass die Verbindung wirklich vom Supportmitarbeiter aufgebaut wird. Aus den oben genannten Gründen genügt es bei diesem Szenario, eine PPTP-VPN Verbindung zu verwenden. Internet Erfolgt die Einwahl über das Internet, muss die größtmögliche Sicherheit gewährleistet werden, da im Prinzip jeder Nutzer im Internet versuchen kann, sich auf den VPN-Server einzuwählen. Dieser VPN-Server ist Teil der Back-Firewall und damit in der Verantwortung des Anlagenadministrators und wird über die Front-Firewall ins WAN (Internet/Intranet/Office-Netzwerk) veröffentlicht. In diesem Szenario nimmt deshalb die Front-Firewall VPN-Verbindungen stellvertretend an und reicht sie an die Back-Firewall weiter. Durch diese Konfiguration wird sichergestellt, dass die Front-Firewall keine Routinginformationen zum PCN oder gar Informationen über die Netzwerkstruktur innerhalb der MCS Ebene überhaupt besitzt. Für jeden Supportmitarbeiter sollte ein eigener Benutzer mit starkem Passwort eingerichtet werden, damit Zugriffe nachvollziehbar sind. Das Freischalten dieser Benutzer sollte temporär und nach telefonischer Rücksprache erfolgen. Für die Kommunikation muss unbedingt ein besonders sicheres Tunnelprotokoll z.b. L2TP-IPSec VPN eingesetzt werden, um durch ein hohes Maß an Sicherheit und Verschlüsselungstiefe die Integrität und Vertraulichkeit der Daten zu gewährleisten. Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 13
Einwahl 3.2 Remote Einwahl 3.2.2 Support-Gerät Definierter Support-PC Handelt es sich um einen firmeninternen Supportmitarbeiter, der regelmäßig auf die Anlage zugreifen muss, oder z.b. den Softwarehersteller, der einen Wartungsvertrag mit dem Anlagenbetreiber hat, empfiehlt es sich, dem Supportdienstleister für den Supportmitarbeiter einen Anlagen-Support-PC zur Verfügung zu stellen. Der Anlagenbetreiber installiert diesen Support-PC nach den firmeninternen Sicherheitsrichtlinien, konfiguriert diesen für die Supporteinwahl (IPSec, Zertifikate, Benutzer), installiert benötigte Programme und stellt ihn beim Supportdienstleister auf. Nach der erfolgreichen VPN-Einwahl (entweder über das Internet oder eine Direktverbindung) befindet sich der Support-PC in einem Quarantänenetz und wird über die Quarantänefunktionalität des ISA Server\TMG (Back-Firewall) überprüft. Hier genügt eine einfache Überprüfung, ob die Einstellungen nicht verändert wurden und noch den firmeninternen Sicherheitsrichtlinien entsprechen. Nach erfolgreicher Überprüfung erhält der Support-PC Zugriff auf das PCN und kann dort die Supportdienstleistung erbringen. Durch organisatorische Maßnahmen (z.b. vertragliche Regelungen) muss sichergestellt sein, dass der Supportmitarbeiter darauf hingewiesen wird, dass der verwendete Support-PC ausschließlich für diese definierte Aufgabe genutzt werden darf. beliebiger PC Arbeitet der Supportmitarbeiter mit einem eigenen PC, also einem Gerät, das dem Anlagenbetreiber völlig unbekannt ist und auf dessen Konfiguration er keinen Einfluss hat, müssen höhere Sicherheitsanforderungen an den Zugriff gestellt werden. Nach erfolgreicher VPN-Einwahl (entweder über das Internet oder eine Direktverbindung) befindet sich der PC in einem Quarantänenetz und wird über die Quarantäne-Funktionalität des ISA Server\TMG (Back-Firewall) überprüft. Es sollte eine ausführliche Überprüfung stattfinden, die einen kompletten Virenscan, die Nachinstallation fehlender Sicherheitsupdates, die Aktivierung der lokalen Firewall usw. beinhalte. Hat der PC diese Überprüfung bestanden, wird ihm der Remotezugriff entweder, auf eine direkt in der Anlage platzierten oder auf eine für diesen Zweck in dem Perimeter-Netz installierte Engineering Station gewährt. Für die Remoteverbindung wird der Einsatz eines Terminalservers, Remote Desktop oder NetMeeting (zukünftig Windows Live Meeting) empfohlen. Mit dem Terminal Server im Perimeter-Netz können dem Supportmitarbeiter die Anwendungen, die er benötigt, zur Verfügung gestellt werden. Remote Desktop ist im Windows Betriebssystem enthalten und wird somit über normale Sicherheitsupdates ständig aktualisiert. Des Weiteren beinhaltet Remote Desktop durch die Verwendung des Remote Desktop Protokolls (RDP) eine eigene Verschlüsselung und erlaubt die Abfrage von Benutzerzertifikaten zur Authentifizierung. Der Remotezugriff kann auf sogenannte "Keyboard-Video-Maus" Informationen beschränkt werden, so dass kein direkter Datenzugriff stattfindet. NetMeeting ist ebenfalls im Windows Betriebssystem enthalten und bietet die gleichen Vorteile. NetMeeting verfügt über eine zertifikatsbasierte Verschlüsselung (vergleichbar HTTPS) wodurch der Anwender eigene Zertifikate mit selbst definierter Verschlüsselungsstärke einbinden kann. Ein Vorteil bei NetMeeting ist, dass der Anlagenbediener am Monitor die Tätigkeiten des Supportmitarbeiters mit verfolgen und gegebenenfalls eingreifen kann. 14 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02
Einwahl 3.2 Remote Einwahl 3.2.3 Control System Network Zugriff Support Zugriff auf das CSN darf nur über eine Remoteverbindung zu einer Engineering Station erfolgen, die am CSN angeschlossen ist. Dafür sollte aus oben genannten Gründen, entweder Remote Desktop oder NetMeeting (zukünftig Windows Live Meeting) verwendet werden. Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 15
Einwahl 3.3 Technik-Wahl 3.3 Technik-Wahl Die nachfolgenden Entscheidungsbäume sollen helfen, die zur jeweiligen Anforderung und Situation passende Technik für die Remote-Einwahl zu finden. Supportzugriff auf das Process Control Network Bild 3-1 Supportzugriff auf das Process Control Network 16 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02
Einwahl 3.3 Technik-Wahl Supportzugriff auf die gesamte Anlage Bild 3-2 Supportzugriff auf die gesamte Anlage Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 17
Einwahl 3.3 Technik-Wahl Nicht Administrativer Remotezugriff auf Drittanbieter-Programme Bild 3-3 Nicht Administrativer Remotezugriff auf Drittanbieter-Programme 18 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02
Einwahl 3.3 Technik-Wahl Administrativer Remotezugriff auf Systemprogramme Bild 3-4 Administrativer Remotezugriff auf Systemprogramme Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 19
Einwahl 3.3 Technik-Wahl Administrativer Remotezugriff die gesamte Anlage Bild 3-5 Administrativer Remotezugriff die gesamte Anlage 20 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02
Hinweise für die Praxis 4 4.1 Allgemeine Informationen Beim Einsatz von Remote-Verwaltungs- und Support Tools ist darauf zu achten, dass diese Programme an der lokalen Firewall, des zu wartenden Rechners, freigeschalten werden müssen. NetMeeting Informationen zu NetMeeting befinden sich hier: http://support.microsoft.com/kb/878451/de Remoteunterstützung Das Hilfeassistentenkonto (wird während einer Remoteunterstützungssitzung installiert) ist das primäre Konto, das zum Einrichten einer Remoteunterstützungssitzung verwendet wird. Dieses Konto wird automatisch erstellt, wenn Sie eine Remoteunterstützungssitzung anfordern, und verfügt über beschränkten Zugriff auf den Computer. Das Hilfeassistentenkonto wird vom Dienst Sitzungs-Manager für Remotedesktophilfe verwaltet und wird automatisch gelöscht, wenn keine Anforderungen für Remoteunterstützung anstehen. Weitere Informationen zur Remoteunterstützung befinden sich hier: http://go.microsoft.com/fwlink/?linkid=38569 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02 21
Hinweise für die Praxis 4.2 Siemens Remote Service (SRS) 4.2 Siemens Remote Service (SRS) SRS kann als Alternative zu einer eigenen VPN-Lösung oder einer Gerätedirektverbindung eingesetzt werden. SRS kann für alle, in den vorherigen Kapiteln, beschriebenen Szenarien bei denen ein beliebiger Support-PC verwendet wird eingesetzt werden. SRS ist eine externe, zentrale VPN-Lösung. In der Anlage wird lediglich ein SRS-Router installiert, der ähnlich wie der ISDN-Router in den oben genannten Szenarien funktioniert oder es wird die vorhandene Infrastruktur benutzt um eine Site to Site Kopplung mit der Siemens DMZ herzustellen. Über ein zentrales Serverzentrum (DMZ) wird ein sicherer Kanal zwischen dem einwählenden Support-PC und dem SRS-Router in der Anlage aufgebaut. Der Vorteil für den Kunden besteht darin, dass er die Verantwortung für die Administration, die Wartung und Pflege abgibt. Das heißt, die Absicherung des Kanals, die Art der Verschlüsselung, das Überprüfen des sich einwählenden Support-PCs und die Festlegung welcher Benutzer sich einwählen darf, liegt auf Seiten des SRS-Anbieter und ist vertraglich zwischen dem Kunden und dem SRS-Anbieter geregelt. Desweiteren kümmert sich SRS auch darum, welche Tools zum Support der Anlage genutzt werden dürfen und, dass alle Tools über Terminalserver im SRS-Serverzentrum zur Verfügung gestellt werden und um die Aktualität und Sicherheit dieser Tools. Alle von PCS 7 und WinCC empfohlenen Tools für den Remote-Zugriff werden von SRS unterstützt. Für nähere Informationen zu crsp wenden Sie sich bitte an Ihren Vertriebspartnern und besuchen Sie http://support.automation.siemens.com/ww/view/de/42346681. Die SRS Lösung ist im Detail in einem gesonderten Manual beschrieben. 22 Inbetriebnahmehandbuch, 12/2011, A5E02657553-02