Wassertage 2015" Vernetzte Produkte, Vernetzte Produktion mit Sicherheit siemens.de/industrialsecurity
SIMATIC NET - Industrielle Kommunikation Ein optimal aufeinander abgestimmtes Portfolio Steigerung der Wettbewerbsfähigkeit durch höhere Mobilität und Flexibilität Netzwerkmanagement SINEMA Server SINEMA Remote Connect SIMATIC NET Selection Tool Basis für die durchgängige Vernetzung in der industriellen Automatisierung von der Feldbis in die Managementebene Seite 2 Schneller und mobiler Fernzugriff für industrielle Anwendungen Passive Komponenten Schnelle Konfektionierung vor Ort durch Verkabelungssystem FastConnect Schutz der Produktionsanlagen vor Attacken aus dem Netz und erhöht damit deren Verfügbarkeit
System- und Wertschöpfungsaspekte der 1 Verfügbarkeit 2 Integrität 3 Vertraulichkeit Erhöhen der Anlagenverfügbarkeit durch Vermeiden oder Reduzieren von Störungen durch Angriffe oder Schadsoftware Hohe Produktivität durch Risikominimierung Schutz der System- und Datenintegrität zum Vermeiden von Fehlfunktionen, Produktionsfehler oder Stillständen Strategie Technik/ Portfolio Innovation Slides Anwendungsbei spiele Hauptwettbewer ber S615 Hauptwettbewer ber S627 Zielkunden Promotion Support Schutz vertraulicher Daten und Informationen, sowie geistigen Eigentums Seite 3
Security in der SPS TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 4
Security in der SPS Kommunikationsprozessoren (CPs) als spezielle Netzwerkkarte in der SPS-Steuerung schützen gegen: Spionage Datenmanipulation Zufälligen Zugriff CP1243-1 CP343-1 Advanced CP1543-1 CP443-1 Advanced Seite 5
Security in der SPS Zellenschutz mit CPs für die SPS-Steuerung Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel In die Automatisierung integrierter Zellenschutz durch SIMATIC NET CPs, z.b.: CP343-1 Advanced bzw. CP443-1 Advanced Integrierte Stateful Inspection Firewall VPN (Datenverschlüsselung und Authentifizierung) NAT/NAPT (Adressumsetzung) SNMP V3 (abhörsichere Übertragung von Netzwerkanalyse-Informationen) HTTPs (Zugriff auf Webseiten mit verschlüsseltem Datenaustausch via SSL) FTPs (gesicherte Dateiübertragungen) Seite 6
Sichere Kommunikation TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 7
Sichere Kommunikation Zellenschutz mit CPs für den PC Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel In den PC integrierter Zellenschutz durch SIMATIC NET PC CP1628 Integrierte Stateful Inspection Firewall unabhängig vom Windows-Betriebssystem SNMP V3 Sichere redundante Kommunikation von PC zu hochverfügbarer S7-400H Steuerung über VPN Seite 8
Sichere Kommunikation mit SCADA und Leitsystemen Ab WinCC V7.3 / PCS7 8.1 Verschlüsselung der Kommunikation zwischen WinCC Server und -Client Sichere Kommunikation des Terminalbusses über SSL Verschlüsslung mit PSK statischen Ports für Kommunikation Bereich TCP/UDP 1024 65535. (kein dynamischer Port, Firewall kann entsprechend eingerichtet werden) Migrationsmodus Hochrüsten im laufenden Betrieb (Kommunikation mit Rechnern ohne Sichere Kommunikation) Erlaubt verschlüsselte und unverschlüsselte Verbindungen. Seite 9
Netzwerkverfügbarkeit TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 10
Netzwerkverfügbarkeit Erhöhte Prozessverfügbarkeit durch Ringredundanz mit SCALANCE X Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel Ringredundanz: IT-Redundanzkonzepte wie z.b. Rapid Spanning Tree (RSTP) sind nicht eindeutig berechenbar und damit nicht deterministisch Ringredundanz mit Media Redundancy Protocol MRP garantiert Umschaltzeit von max. 200ms bei bis zu 100 erlaubten Teilnehmern im Ring Mit allen managed Switchen der SCALANCE X-200 Serie und größer kann ein MRP-Ring aufgebaut werden SIMATIC Automatiserungsysteme wie z.b. S7-300 PN/DP können durch integrierten 2-Port Switch direkt in den Ring integriert werden Seite 11
Netzwerkverfügbarkeit Scalance X Portfolioübersicht Mgmt. / Operations Level Control / Operations Level Field Level Managed L2/L3 Managed L2 Unmanaged X-000 X-100 X-200 X-300 X-400 X-500 Vernetzung und Strukturierung von hochperformanten industriellen Netzwerken Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule Erweiterter Funktionsumfang (IT-Funktionalität, Layer 3, Router-Redundanz) Diagnose über SNMP, Webserver, STEP 7, vor-ort-diagnose Flexible und strukturierte Vernetzung von Anlagen / Anlagenbereichen Modular erweiterbar an die jeweilige Aufgabenstellung über Port Extender Zugang zu dynamischen Gerätedaten über Near Field Communication (NFC) Bauform im SIMATIC Design (S7-1500) Vernetzung von Teilanlagen / Anlagenbereichen Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule Erweiterter Funktionsumfang (VLAN, Port Security etc.) Diagnose über SNMP, Webserver, STEP 7, vor-ort-diagnose Für maschinennahe Anwendungen bis hin zu vernetzten Teilanlagen Diagnose über SNMP, Webserver, STEP 7, vor-ort-diagnose Geräte in hoher Schutzart und PROFINET-konformer Anschlusstechnik PROFINET IRT-Device (Isochronous Real-Time) Für maschinennahe Vernetzung Vollindustrietaugliche, unmanaged Ausführung vor-ort-diagnose Für Vernetzung in kleinen Maschinen vor-ort-diagnose Seite 12
Netzwerkverfügbarkeit Security Funktionen der SCALANCE X Switche Konfiguration über HTTPs oder Zugriff über Secure Shell (SSH) Access Control Lists (ACL) Sperren von offenen Ports SNMP V3 Unterstützung Remote Monitoring (RMON) Benutzerauthentifizierung über Radius-Server VLAN Hinweis: nicht alle Funktionen sind in alle Geräteklassen integriert Seite 13
Netzwerktrennung TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 14
Netzwerktrennung Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen Größere Flexibilität, da nicht an die SPS gebunden Integrierte Stateful Inspection Firewall NAT/NAPT SNMP V3 Benutzerdefinierte Firewallregeln (noch nicht bei S615) Syslog Unterstützung VPN mit IPSec (S612/S623/S627) VPN mit OpenVPN (S615) Radius-Authentifizierung B I L D Hinweis: IPSec-VPN mit SCALANCE S612/S623/S627-2M, OpenVPN OpenVPN mit Scalance S615 Seite 15
Netzwerktrennung Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen SCALANCE S602 SCALANCE S612 SCALANCE S623 SCALANCE S627 SCALANCE S615 Router + Firewall Router + Firewall + IPSec VPN Router + Firewall + IPSec VPN + DMZ Router + Firewall + IPSec VPN + DMZ + LWL+MRP Router + Firewall + Open VPN + DMZ Für die Sicherheit Ihrer Netze und Daten. Seite 16
Netzwerktrennung Beispiel einer Einrichtung einer Demilitarisierten Zone (DMZ) mit einer Firewall Seite 17
Netzwerksicherheit Beispiel einer Router-/Firewallredundanz mit SCALANCE S623 und S627-2M Bsp 1: ohne Ring => S623 Switch Office Netzwerk Stand-by-Kopplung SCALANCE S623 Switch Produktions Netzwerk Bsp 2: mit Ring =>S627-2M SCALANCE S627-2M Stand-by-Kopplung Office Netzwerk CU oder LWL MRP-Switch MRP-Ring Seite 18 Ring-Redundanz Manager Produktions Netzwerk
Fernwartung mit SINEMA Remote Connect Server TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 19
Fernwartung mit SINEMA Remote Connect Server Typische Einsatzgebiete Anlagen- und Maschinenbau Energieverteilung / Unterstationen (Stadtwerke) Logistik / Hafenlogistik ITS / Verkehrsbetriebe Wasser & Abwasser (Stadtwerke, ) Konfigurationsbeispiel SINEMA RC - Gesamtübersicht Seite 20
Fernwartung mit SINEMA Remote Connect Server Funktion Transparente IP-Kommunikation VPN Konzentrator Einsetzbar für Maschinen mit identischen lokalen Subnetzen (NAT) Gruppenverwaltung Einfach konfigurierbare Netzkomponente für die Automatisierungstechnik Autokonfiguration der Endgeräte und SINEMA RC Client einfaches Nutzerinterface Logging u u u u Vorteile Breites Einsatzfeld von Remote Service bis Remote Control Sichere und einfache Einwahl in die Anlagen von jedem Punkt der Welt Optimale Anbindung von identischen Maschinen z.b. für Serienmaschinenbauer und OEM Einfache Verwaltung verschiedener Nutzer (Servicetechniker) Einfache Integration in Industrieanlagen u kein spezielles IT KnowHow erforderlich u Erfüllung von Nachweispflichten gegenüber Betreiber / Endkunden bei jedem Fernzugriff durch OEM Seite 21
Fernwartung mit SINEMA Remote Connect Server Vorteile Hohe Sicherheit bei maximaler Flexibilität Abhör- und übernahmesichere Verschlüsselung (bis 4096 Bit) Zahl Verbindungen / Geräte unbegrenzt, stufenlos skalierbar Kontrollierte Freischaltung / Sperrung des Wartungsobjekts Direkter Support und sehr hohe Funktionalität Support rund um die Uhr 365 Tage im Jahr Beratung und Unterstützung bei der Einrichtung des Systems Unterstützung der gängigen / etablierten VPN-Standards Durchgängiges Siemens Netzwerk Zuverlässige und robuste Hardware Gesamtlösung aus einer Hand für garantierte Kompatibilität Seite 22
Netzwerkmonitoring mit SINEMA Server TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 23
Netzwerkmonitoring mit SINEMA Server SINEMA Server V13 Inventarerstellung kontinuierliches Monitoring flexibles Reporting Transparente Netzwerke Seite 24
Netzwerkmonitoring mit Sinema Server Topologie Startbildschirm Reports Ereignisliste Topologie Ansicht Serverübersicht Seite 25
Anwendungsgebiete für Industrial Remote Communication Fernwirken (Telecontrol) Steuern und Regeln von weit verteilten Anlagen Fernwarten (Teleservice) Warten und Instandhalten von Maschinen und Anlagen Sonstige Datenübertragung Zum Beispiel Videoüberwachung in Bussen und Bahnen Seite 26
TeleControl Professional Neu: CP 1243-8 IRC im Portfolio Leistung 500 bis 5.000 I/O bis 2.000 I/O S7-400 PS, CPU 414, TIM 4R-IE DNP3 S7-300 PS, CPU 313C, TIM 3V-IE DNP3 bis 150 I/O S7-1200 PM, CPU 1212C, CP 1243-1 DNP3 / IEC CPU 1215C, CP 1243-8 IRC, TS Module RS232 Preis Seite 27
Vorteile des Kommunikationsprozessors CP 1243-8 IRC CP 1243-8 IRC für TeleControl Professional Funktion CP 1243-8 IRC für SINAUT ST7 u Vorteile Einsatz der SIMATIC S7-1200 als preisgünstige, modulare RTU in Neuund Bestandsanlagen Erweiterung von ST7-Bestandsanlagen u Schutz von Investment Zwei WAN-Anschlüsse: 1) Ethernet: RJ45-Port 2) über TS Module konfigurierbar Datenpufferung von bis zu 16.000 Datentelegrammen u u Hohe Schnittstellen-Flexibilität Wegeredundanz zur Erhöhung der Verfügbarkeit Lückenlose Datenaufzeichnung auch bei Verbindungsausfall Security-Features VPN und Firewall u Schutz vor Datenmanipulation und Fremdzugriffen Datenpunktprojektierung mit STEP 7 u Einfache Inbetriebnahme ohne Programmierung Seite 28
Erweiterungsmodule für CP 1243-8 IRC WAN-Schnittstellen des CP 1243-8 IRC 1x Ethernet: RJ45-Port on-board 1x konfigurierbar mit Erweiterungsmodul Erweiterungsmodul = Teleservice Modul (TS Modul) TS Module Funktionalität TS MODULE RS232 Serielle Schnittstelle RS232 TS MODULE MODEM Analoges Wählmodem TS MODULE ISDN TS MODULE GSM GSM-Modem Beispielkonfiguration ISDN-Modem TS MODULE RS232 CP 1243-8 IRC CPU 1200 Seite 29
CP 1243-8 IRC für IP basierende und klassische WAN Netz CP1243-8 IRC SIEMENS SIMATIC S7-1200 CPU1214C Classic WAN IP based WAN TS-Module Analog TS-Module ISDN TS-Module GSM TS-Module RS232 CP1243-8 IRC mit integrierter IE Schnittstelle (RJ45) TS-Module CP1243-8 IRC S7-1200 CP1243-8 IRC S7-1200 Neben der integrierten Industrial Ethernet Schnittstelle kann der CP1243-8 IRC durch Stecken eines TS-Modules um eine serielle Schnittstelle erweitert werden Seite 30
TeleControl Professional: Feature-Übersicht CPs für S7-1200 þ Gerät WAN- Schnittstellen Protokolle Daten-Handling Security Alarme RJ45- Port zweite Schnittstelle 1) DNP3 IEC 60870-5- 104 SINAUT ST7 S7- Kommunikation Open User Communication (T-Bausteine) Zugriff auf Webserver der CPU Datenpuffer bei Verbindungsabbruch Datenpunktprojektierung Firewall VPN E-Mail SMS CP 1243-1 DNP3 CP 1243-1 IEC CP 1243-8 IRC 2) 1) mittels TS Module RS232, analoges Modem, ISDN, GSM 2) mit MODEM MD720 Seite 31
Funktionen CP 1243-8 IRC (3) Virtual Private Network (IPsec) Durch die Anbindung der S7-1200 über ein VPN-Netzwerk wird sichergestellt, dass nur authentifizierte Netzwerkteilnehmer mit der Steuerung kommunizieren. Durch sichere Verschlüsselung der Daten und Überprüfung der Datenintegrität wird der Datenverkehr vor Spionage und Manipulation geschützt. Stateful Inspection Firewall Durch die Verwendung einer Firewall kann die S7-1200 zusätzlich vor unautorisierten Zugriffen und Manipulationsversuchen geschützt werden. Die Firewall filtert Datenpakete und überprüft die Kommunikations-verbindungen gemäß einer Filterliste. Sowohl eingehende, als auch ausgehende Kommunikationen werden auf IP- und MAC-Adressen Basis gefiltert. Seite 35 Sicherer Engineering-Zugriff auf die S7-1200 S7-1200 with CP1243-8 IRC
Voraussetzungen für den Betrieb des CP1243-8 IRC HW Voraussetzung für CP143-8 IRC S7-1200 CPU Firmware Version 4.1 oder höher V4.1 SW Voraussetzung zur Projektierung des CP1243-8 IRC TIA Portal V13 SP1 Update2 (oder höher) + Support Package 0111 STEP7 V5.5 SP4 + ST7 Engineering Tool V5.5 für die Netzprojektierung und integration in bestehende ST7 Anlagen Seite 36
Microfair Dennis Kortstock Siemens AG Promotion für Industrielle Kommunikation dennis.kortstock@siemens.com Tel: +49 (172) 8815010 Astrid Penner Siemens AG Promotion für Industrielle Kommunikation astrid.penner@siemens.com Tel: +49 (152) 57814632 Seite 38