Security einrichten SIMATIC NET. Industrial Ethernet Security Security einrichten. Vorwort 1. Bedienoberfläche und Menübefehle



Ähnliche Dokumente
GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

WebEx Sitzungstypen. SINUMERIK 810D/840Di/840D. eps Network Services WebEx SC5.0 Sitzungstypen. White Paper 11/

Simatic. Liesmich Runtime Advanced. Allgemeine Hinweise 1. Verbesserungen in Update 5 2. Verbesserungen in Update 4 3. Verbesserungen in Update 3 4

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition FAQ August Service & Support. Answers for industry.

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

Service & Support. Wie kann ein WinCC (TIA Portal) Projekt über Ethernet auf ein Bediengerät übertragen werden? WinCC (TIA Portal) FAQ Februar 2012

Installationsanleitung adsl Einwahl unter Windows 8

SIMATIC. Prozessleitsystem PCS 7 SIMATIC Management Console - Liesmich (Online) Security-Hinweise 1. Übersicht 2

Installationsanleitung

Anleitung für Konfiguration von eduroam unter Windows XP

NAS 323 NAS als VPN-Server verwenden

Einschalten SIMATIC. Einschalten. Übersicht 1. Einschalten. IP-Adresse über das Display vergeben 3. Getting Started A5E

Netzwerkeinstellungen unter Mac OS X

Der Schalter Eigenschaften öffnet die rechts stehende Ansicht. Internetprotokolle aussuchen

Speed Touch 585 Modem. Windows Vista

SIMATIC Virtualization as a Service (V1.1) - Quick Install Guide

How to install freesshd

Anleitung ftp-zugang Horn Druck & Verlag GmbH Bruchsal

A1 WLAN Box Thomson Gateway 585 für Windows 7

SIMATIC HMI. Einsatz von OPC über DCOM mit Windows XP SP3. Grundeinstellungen 1. Konfiguration der Firewall 2. DCOM-Konfiguration 3

HostProfis ISP ADSL-Installation Windows XP 1

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

System-Update Addendum

How-To-Do. Kommunikation über Ethernet zu Siemens OPC Server

DFÜ-Netzwerk öffnen Neue Verbindung herstellen Rufnummer einstellen bundesweit gültige Zugangsnummer Benutzererkennung und Passwort

Startmenü So einfach richten Sie surfen manuell auf Ihrem PC oder Notebook ein, wenn Sie Windows XP verwenden.

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Collax PPTP-VPN. Howto

Installationsanleitung für Lancom Advanced VPN Client zum Zugang auf das Format ASP System

Inbetriebnahme Profinet mit Engineer. Inhaltsverzeichnis. Verwendete Komponenten im Beispiel:

Übung - Konfigurieren einer Windows Vista-Firewall

Aufbau montieren SIMATIC. Aufbau montieren. Übersicht 1. Aufbau montieren. Getting Started A5E

Bedienungsanleitung. FarmPilot-Uploader

Aufrufen des Konfigurators über eine ISDN- Verbindung zur T-Eumex 628. Eine neue ISDN-Verbindung unter Windows XP einrichten

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Speed Touch 585. Windows 7

Wissenswertes über LiveUpdate

ANLEITUNG ZUR KONFIGURATION IHRES IHRES INTERNETS MIT WINDOWS VISTA

Installationsanleitung adsl Privat unter Windows XP

MULTIKABEL ANLEITUNG ZUR KONFIGURATION IHRES IHRES INTERNETS MIT WINDOWS 7. A: So installieren Sie Ihre Geräte an unserem Multikabel Modem

Live Update (Auto Update)

ADSL unter Windows Vista

Netzwerkinstallation Version / Datum / Modul Arbeitsplatz+ 1 von 5

a.i.o. control AIO GATEWAY Einrichtung

Outlook - CommuniGate Pro Schnittstelle installieren. Outlook - Elemente freigeben. Outlook - Freigegebene Elemente öffnen

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Shellfire L2TP-IPSec Setup Windows XP

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

ISi. ISi Technologie GmbH. MET -Schnittstelle zu Davis WeatherLink Version 5.7

WLAN THG Installationsanleitung WLAN-Zugang THG

Überprüfung der digitalen Unterschrift in PDF

Starten der Software unter Windows 7

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Installationsanleitungen

Freigabe der Windows-Firewall und Verknüpfung der Pfade für die Druckvorlagen

File Sharing zwischen Mac und PC über Crossover-Kabel

Installationsanleitung adsl Privat unter Windows Vista

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard

SIPPS Firewall Einstellungen

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Speed Touch 585 Modem. Windows XP

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben!

Bedienungsanleitung AliceComfort

Bedienungsanleitung. Stand: Copyright 2011 by GEVITAS GmbH

Konfiguration unter Windows XP SP2 +

Anleitung zum Upgrade auf SFirm Datenübernahme

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

DEU. Royal Exclusiv Pumpen & Anlagenbau. Anleitung zur Netzwerk-Konfiguration Red Dragon 4 Pumpen. v1.0

Starten der Software unter Windows XP

Installationsanleitung xdsl Privat unter Windows XP PPTP Version

Einrichtungsanleitungen Hosted Exchange 2013

HTBVIEWER INBETRIEBNAHME

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Statische IP-Adresse unter Windows konfigurieren

Anleitung zur Erstellung einer Batchdatei. - für das automatisierte Verbinden mit Netzlaufwerken beim Systemstart -

Anleitungen zum Publizieren Ihrer Homepage

Installationsanleitung DSL Business Standleitung unter Windows 7

mysoftfolio360 Handbuch

Anleitung zum Upgrade auf SFirm Datenübernahme

Dokumentation IBIS Monitor

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx).

WLAN mit WPA (wpa4fh)

A1 WLAN Box ADB DV 2210 für Windows 7

Daten sichern mit Carbon Copy Cloner

Import des persönlichen Zertifikats in Outlook 2003

Whitepaper. Produkt: combit Relationship Manager / address manager. Dateiabgleich im Netzwerk über Offlinedateien

K. Hartmann-Consulting. Schulungsunterlage Outlook 2013 Kompakt Teil 1

Installationsanleitung für ADSL mit Netzwerkanschluß unter Windows Millennium:

SIMATIC. SIMATIC Virtualization as a Service - Quick Install Guide. Einleitung. Was wird benötigt? Vorbereitung 3

Nutzung der VDI Umgebung

So richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:

ICS-Addin. Benutzerhandbuch. Version: 1.0

OP-LOG

ANLEITUNG. Firmware Flash. Seite 1 von 7

Anleitung zur Anmeldung mittels VPN

Stefan Dahler. 2. Wireless LAN Client zum Access Point mit WPA-TKIP. 2.1 Einleitung

26. November EFS Übung. Ziele. Zwei Administrator Benutzer erstellen (adm_bill, adm_peter) 2. Mit adm_bill eine Text Datei verschlüsseln

Installationshinweise für das Konfigurationstool unter Windows Vista

Transkript:

Vorwort 1 Bedienoberfläche und Menübefehle 2 SIMATIC NET Industrial Ethernet Security Getting Started IP-Adressen für SCALANCE S623 projektieren 3 Firewall im Standard Modus 4 Firewall im Erweiterten Modus 5 VPN-Tunnel konfigurieren 6 Fernzugriff über VPN-Tunnel konfigurieren 7 04/2015 C79000-G8900-C287-04

Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: Marken WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Division Process Industries and Drives Postfach 48 48 90026 NÜRNBERG DEUTSCHLAND Dokumentbestellnummer: C79000-G8900-C287-04 P 05/2015 Änderungen vorbehalten Copyright Siemens AG 2012-2015. Alle Rechte vorbehalten

Inhaltsverzeichnis 1 Vorwort... 7 2 Bedienoberfläche und Menübefehle... 11 3 IP-Adressen für SCALANCE S623 projektieren... 19 3.1 Übersicht... 19 3.2 SCALANCE S und Netzwerk einrichten... 20 3.3 IP-Einstellungen des PCs einrichten... 22 3.4 Projekt und Security-Baugruppe anlegen... 23 3.5 Konfiguration auf Security-Baugruppe laden... 24 4 Firewall im Standard Modus... 27 4.1 Beispiel mit einem SCALANCE S... 27 4.1.1 Übersicht... 27 4.1.2 SCALANCE S und Netzwerk einrichten... 28 4.1.3 IP-Einstellungen der PCs einrichten... 29 4.1.4 Projekt und Security-Baugruppe anlegen... 30 4.1.5 Firewall projektieren... 31 4.1.6 Konfiguration auf Security-Baugruppe laden... 33 4.1.7 Firewallfunktion testen (Ping-Test)... 33 4.1.8 Firewall-Datenverkehr aufzeichnen (Logging)... 35 4.2 Beispiel mit einem CP x43-1 Advanced... 37 4.2.1 Übersicht... 37 4.2.2 IP-Einstellungen der PCs einrichten... 39 4.2.3 Projekt und Security-Baugruppe anlegen... 40 4.2.4 Firewall projektieren... 40 4.2.5 Konfiguration auf Security-Baugruppe laden... 41 4.2.6 Firewallfunktion testen (Ping-Test)... 42 4.2.7 Firewall-Datenverkehr aufzeichnen (Logging)... 44 4.3 Beispiel mit einem CP 1628... 45 4.3.1 Übersicht... 45 4.3.2 IP-Einstellungen der PCs einrichten... 46 4.3.3 Projekt und Security-Baugruppe anlegen... 48 4.3.4 Firewall projektieren... 48 4.3.5 Konfiguration auf Security-Baugruppe laden... 49 4.3.6 Firewallfunktion testen (Ping-Test)... 50 4.3.7 Firewall-Datenverkehr aufzeichnen (Logging)... 51 5 Firewall im Erweiterten Modus... 53 5.1 SCALANCE S als Firewall und NAT-Router... 53 5.1.1 Übersicht... 53 5.1.2 SCALANCE S und Netzwerk einrichten... 55 5.1.3 IP-Einstellungen der PCs einrichten... 56 5.1.4 Projekt und Security-Baugruppe anlegen... 57 Getting Started, 04/2015, C79000-G8900-C287-04 3

Inhaltsverzeichnis 5.1.5 NAT-Router-Betrieb projektieren... 58 5.1.6 Firewall projektieren... 59 5.1.7 Konfiguration auf Security-Baugruppe laden... 60 5.1.8 NAT-Router-Funktion testen und Datenverkehr aufzeichnen... 61 5.2 SCALANCE S als Firewall zwischen externem Netz und DMZ... 64 5.2.1 Übersicht... 64 5.2.2 SCALANCE S und Netzwerk einrichten... 65 5.2.3 IP-Einstellungen der Netzwerkteilnehmer einrichten... 67 5.2.4 Projekt und Security-Baugruppe anlegen... 68 5.2.5 Firewall projektieren... 69 5.2.6 Konfiguration auf Security-Baugruppe laden... 71 5.2.7 Firewallfunktion über Webserver-Zugriff testen... 71 5.2.8 Firewallfunktion über Ping-Test testen... 72 5.3 SCALANCE S als benutzerspezifische Firewall zwischen externem Netz und internem Netz... 74 5.3.1 Übersicht... 74 5.3.2 SCALANCE S und Netzwerk einrichten... 76 5.3.3 IP-Einstellungen der PCs einrichten... 77 5.3.4 Projekt und Security-Baugruppe anlegen... 78 5.3.5 Remote Access Benutzer anlegen... 79 5.3.6 Benutzerspezifischen IP-Regelsatz einstellen und zuweisen... 79 5.3.7 Konfiguration auf Security-Baugruppe laden... 81 5.3.8 Auf Webseite anmelden... 82 5.3.9 Firewallfunktion testen (Ping-Test)... 83 5.4 SCALANCE S als benutzerspezifische Firewall zwischen Netz an DMZ-Schnittstelle und internem Netz... 85 5.4.1 Übersicht... 85 5.4.2 SCALANCE S und Netzwerk einrichten... 87 5.4.3 IP-Einstellungen der Netzwerkteilnehmer einrichten... 88 5.4.4 Projekt und Security-Baugruppe anlegen... 89 5.4.5 Remote Access Benutzer anlegen... 91 5.4.6 Benutzerspezifischen IP-Regelsatz einstellen und zuweisen... 92 5.4.7 Konfiguration auf Security-Baugruppe laden... 94 5.4.8 Auf Webseite anmelden... 94 5.4.9 Firewallfunktion testen (Ping-Test)... 95 5.5 CP x43-1 Advanced als Firewall und NAT-Router... 97 5.5.1 Übersicht... 97 5.5.2 IP-Einstellungen der PCs einrichten... 99 5.5.3 Projekt und Security-Baugruppe anlegen... 100 5.5.4 NAT-Router-Betrieb projektieren... 100 5.5.5 Firewall projektieren... 102 5.5.6 Konfiguration auf Security-Baugruppe laden... 103 5.5.7 NAT-Router-Funktion testen und Datenverkehr aufzeichnen... 103 5.6 Beispiel mit einem CP 1628 und CP x43-1 Adv.... 106 5.6.1 Übersicht... 106 5.6.2 IP-Einstellungen der PCs einrichten... 107 5.6.3 Projekt und Security-Baugruppen anlegen... 108 5.6.4 Firewall projektieren... 109 5.6.5 Konfiguration auf Security-Baugruppen laden... 111 5.6.6 Firewallfunktion testen und Datenverkehr aufzeichnen... 112 4 Getting Started, 04/2015, C79000-G8900-C287-04

Inhaltsverzeichnis 6 VPN-Tunnel konfigurieren... 115 6.1 VPN-Tunnel zwischen SCALANCE S und SCALANCE S... 115 6.1.1 Übersicht... 115 6.1.2 SCALANCE S und Netzwerk einrichten... 117 6.1.3 IP-Einstellungen der PCs einrichten... 118 6.1.4 Projekt und Security-Baugruppen anlegen... 119 6.1.5 VPN-Gruppe konfigurieren... 120 6.1.6 Konfiguration auf Security-Baugruppen laden... 121 6.1.7 Tunnel-Funktion testen (Ping-Test)... 122 6.2 VPN-Tunnel zwischen SCALANCE S623 und SCALANCE S612... 124 6.2.1 Übersicht... 124 6.2.2 SCALANCE S und Netzwerk einrichten... 126 6.2.3 IP-Einstellungen der Netzwerkteilnehmer einrichten... 127 6.2.4 Projekt und Security-Baugruppen anlegen... 128 6.2.5 Standardrouter konfigurieren... 130 6.2.6 VPN-Gruppe konfigurieren... 131 6.2.7 VPN-Eigenschaften der SCALANCE S612 Baugruppe konfigurieren... 132 6.2.8 VPN-Verbindung konfigurieren... 132 6.2.9 Konfiguration auf Security-Baugruppen laden... 133 6.2.10 Tunnelfunktion testen (Ping-Test)... 134 6.3 VPN-Tunnel zwischen SCALANCE S und CP... 136 6.3.1 Übersicht... 136 6.3.2 Security-Baugruppen und Netzwerk einrichten... 138 6.3.3 IP-Einstellungen der PCs einrichten... 138 6.3.4 Projekt und Security-Baugruppen anlegen... 139 6.3.5 VPN-Gruppe konfigurieren... 141 6.3.6 Konfiguration auf Security-Baugruppen laden... 142 6.3.7 Tunnelfunktion testen (Ping-Test)... 143 6.4 VPN-Tunnel zwischen CP 1628 und CP x43-1 Adv.... 145 6.4.1 Übersicht... 145 6.4.2 IP-Einstellungen der PCs einrichten... 147 6.4.3 Projekt und Security-Baugruppen anlegen... 148 6.4.4 VPN-Gruppe konfigurieren... 149 6.4.5 Konfiguration auf Security-Baugruppen laden... 149 6.4.6 Tunnelfunktion testen (Ping-Test)... 150 6.5 VPN-Tunnel zwischen allen Security-Produkten... 152 6.5.1 Übersicht... 152 6.5.2 IP-Einstellungen der PCs einrichten... 154 6.5.3 Projekt und Security-Baugruppen anlegen... 155 6.5.4 VPN-Gruppen konfigurieren... 157 6.5.5 Konfiguration auf Security-Baugruppen laden und SOFTNET Security Client Konfiguration speichern... 158 6.5.6 Tunnelaufbau mit dem SOFTNET Security Client... 159 6.5.7 Tunnelfunktion testen (Ping-Test)... 160 7 Fernzugriff über VPN-Tunnel konfigurieren... 163 7.1 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE S612 und SOFTNET Security Client... 163 7.1.1 Übersicht... 163 7.1.2 SCALANCE S und Netzwerk einrichten... 165 Getting Started, 04/2015, C79000-G8900-C287-04 5

Inhaltsverzeichnis 7.1.3 IP-Einstellungen der PCs einrichten... 166 7.1.4 Projekt und Security-Baugruppen anlegen... 167 7.1.5 VPN-Gruppe konfigurieren... 169 7.1.6 Konfiguration auf Security-Baugruppe laden und SOFTNET Security Client Konfiguration speichern... 170 7.1.7 Tunnelaufbau mit dem SOFTNET Security Client... 171 7.1.8 Tunnelfunktion testen (Ping-Test)... 173 7.2 Fernzugriff - VPN-Tunnel-Beispiel mit CP x43-1 Advanced und SOFTNET Security Client... 175 7.2.1 Übersicht... 175 7.2.2 IP-Einstellungen der PCs einrichten... 177 7.2.3 Projekt und Security-Baugruppen anlegen... 178 7.2.4 VPN-Gruppe konfigurieren... 180 7.2.5 Konfiguration auf Security-Baugruppen laden und SOFTNET Security Client Konfiguration speichern... 181 7.2.6 Tunnelaufbau mit dem SOFTNET Security Client... 181 7.2.7 Tunnelfunktion testen (Ping-Test)... 183 7.3 Fernzugriff - VPN-Tunnel-Beispiel mit SCALANCE M und SOFTNET Security Client... 185 7.3.1 Übersicht... 185 7.3.2 SCALANCE M und Netzwerk einrichten... 187 7.3.3 IP-Einstellungen der PCs einrichten... 187 7.3.4 Projekt und Security-Baugruppen anlegen... 188 7.3.5 VPN-Gruppe und VPN-Gruppeneigenschaften konfigurieren... 190 7.3.6 Konfiguration des SCALANCE M und des SOFTNET Security Client speichern... 192 7.3.7 Konfiguration des SCALANCE M vornehmen... 192 7.3.8 Tunnelaufbau mit dem SOFTNET Security Client... 197 7.3.9 Tunnelfunktion testen (Ping-Test)... 199 7.4 Fernzugriff - SCALANCE S und SOFTNET Security Client mit benutzerspezifischem Zugriff... 200 7.4.1 Übersicht... 200 7.4.2 SCALANCE S und Netzwerk einrichten... 202 7.4.3 IP-Einstellungen der PCs einrichten... 203 7.4.4 Projekt und Security-Baugruppe anlegen... 204 7.4.5 VPN-Gruppe konfigurieren... 205 7.4.6 Remote Access Benutzer anlegen... 206 7.4.7 Firewall projektieren... 207 7.4.8 Konfiguration auf Security-Baugruppe laden und SOFTNET Security Client Konfiguration speichern... 210 7.4.9 Tunnelaufbau mit dem SOFTNET Security Client... 210 7.4.10 Firewall-Funktion testen (Ping-Test)... 211 7.4.11 Auf Webseite anmelden... 213 7.4.12 Firewall-Funktion testen (Ping-Test)... 213 6 Getting Started, 04/2015, C79000-G8900-C287-04

Vorwort 1 Schnell zum Ziel mit Getting Started Anhand einfacher Test-Netzwerke lernen Sie hier den Umgang mit den Security-Baugruppen und dem Projektierwerkzeug Security Configuration Tool kennen. Sie sehen, wie sich bereits ohne großen Projektieraufwand die Schutzfunktionen von Security-Baugruppen im Netz realisieren lassen. Sie können hierbei an unterschiedlichen Sicherheits-Beispielen die Grundfunktionen der Security-Baugruppen und des SOFTNET Security Client realisieren. IP-Einstellungen der Beispiele Hinweis Die in den Beispielen verwendeten IP-Einstellungen sind frei gewählt und funktionieren im isolierten Test-Netz konfliktfrei. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Gültigkeitsbereich des Getting Started Projektierungssoftware: STEP 7 Classic V5.5 ab SP2 Hotfix 1 Security Configuration Tool (SCT) ab V4.1 Produkte: SCALANCE S602, Artikelnummer: 6GK5 602-0BA10-2AA3 SCALANCE S612, Artikelnummer: 6GK5 612-0BA10-2AA3 SCALANCE S623, Artikelnummer: 6GK5 623-0BA10-2AA3 SCALANCE S627-2M, Artikelnummer: 6GK5 627-2BA10-2AA3 SOFTNET Security Client ab V5.0, Artikelnummer: 6GK1 704-1VW05-0AA0 CP 343-1 Advanced GX31 ab V3.0, Artikelnummer: 6GK7 343-1GX31-0XE0 CP 443-1 Advanced GX30 ab V3.0, Artikelnummer: 6GK7 443-1GX30-0XE0 CP 1628, Artikelnummer: 6GK1162-8AA00 SCALANCE M875, Artikelnummer: 6GK5 875-0AA10-1AA2 Getting Started, 04/2015, C79000-G8900-C287-04 7

Vorwort Allgemeine Benennung "Security-Baugruppe" In der vorliegenden Dokumentation werden die folgenden Produkte unter der Benennung "Security-Baugruppe" zusammengefasst: CP 343-1 Advanced GX31, CP 443-1 Advanced GX30, CP 1628, SCALANCE S602 V4 / SCALANCE S612 V4 / SCALANCE S623 V 4 / SCALANCE S627-2M V4. Die CPs 343-1 Advanced GX31 und 443-1 Advanced GX30 werden als "CP x43-1 Adv." bezeichnet. SCALANCE M875 wird als "SCALANCE M" bezeichnet. Verwendung der Benennungen "Schnittstelle" und "Port" In der vorliegenden Dokumentation werden die folgenden Benennungen für die Ports von Security-Baugruppen verwendet: "Externe Schnittstelle": Der externe Port beim SCALANCE S602 / S612 / S623 bzw. ein externer Port beim SCALANCE S627-2M "Interne Schnittstelle": Der interne Port beim SCALANCE S602 / S612 / S623 bzw. ein interner Port beim SCALANCE S627-2M "DMZ-Schnittstelle": Der DMZ-Port beim SCALANCE S623 / S627-2M Die Benennung "Port" selbst wird dann verwendet, wenn ein spezieller Port einer Schnittstelle im Vordergrund steht. IP-Adressen der Security-Baugruppen in den Konfigurationsbeispielen Beim Laden einer Konfiguration auf eine Security-Baugruppe muss stets diejenige IP- Adresse angegeben werden, über die die jeweilige Schnittstelle aktuell erreichbar ist. In den Konfigurationsbeispielen dieses Handbuchs wird jeweils davon ausgegangen, dass die IP- Adressen aus der Konfiguration mit den aktuellen IP-Adressen der Security-Baugruppe identisch sind. Wenn Sie mehr wissen möchten Weitere Informationen zum Thema "Industrial Ethernet Security" entnehmen Sie dem Projektierungshandbuch "SIMATIC NET Industrial Ethernet Security - Security-Grundlagen und -Anwendung". Dort wird die gesamte Funktionalität sowie die Projektierungssoftware Security Configuration Tool detailliert beschrieben. Eine aktuelle Ausgabe finden Sie im Internet unter der Beitrags-ID: 61630777 (http://support.automation.siemens.com/ww/view/de/66644895) Hardwarebeschreibungen und Hinweise zur Installation finden Sie in den Dokumenten der einzelnen Baugruppen. Marken Folgende und eventuell weitere nicht mit dem Schutzrechtsvermerk gekennzeichnete Bezeichnungen sind eingetragene Marken der Siemens AG: C-PLUG, CP 343-1, CP 443-1, SCALANCE, SIMATIC, SOFTNET 8 Getting Started, 04/2015, C79000-G8900-C287-04

Vorwort Security-Hinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security- Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt- Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity. Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter http://support.automation.siemens.com. Getting Started, 04/2015, C79000-G8900-C287-04 9

Vorwort 10 Getting Started, 04/2015, C79000-G8900-C287-04

Bedienoberfläche und Menübefehle 2 Aufbau der Bedienoberfläche im Erweiterten Modus 1 Navigationsbereich: Globale Firewall-Regelsätze Das Objekt enthält die projektierten globalen Firewall-Regelsätze. Weitere Ordner unterscheiden nach: Firewall IP-Regelsätzen Firewall MAC-Regelsätzen Benutzerspezifische IP-Regelsätze Alle Baugruppen Das Objekt enthält alle projektierten Baugruppen und SOFTNET Konfigurationen des Projekts. VPN-Gruppen Das Objekt enthält alle erzeugten VPN-Gruppen. Redundanzbeziehungen Das Objekt enthält alle erzeugten Redundanzbeziehungen des Projekts. Getting Started, 04/2015, C79000-G8900-C287-04 11

Bedienoberfläche und Menübefehle 2 3 4 Inhaltsbereich: Indem Sie ein Objekt im Navigationsbereich anwählen, erhalten Sie im Inhaltsbereich Detailinformationen zu diesem Objekt. Für einige Security-Baugruppen können Sie in diesem Bereich Auszüge der Schnittstellen- Konfigurationen einsehen und anpassen. Durch Doppelklick auf die Security-Baugruppen werden, sofern diese die entsprechenden Konfigurationsmöglichkeiten bieten, Eigenschaftsdialoge zur Eingabe weiterer Parameter geöffnet. Detail-Fenster: Das Detail-Fenster enthält zusätzliche Informationen zum ausgewählten Objekt und ermöglicht im jeweiligen Kontext einer VPN-Gruppe die Projektierung verbindungsgranularer VPN- Eigenschaften. Das Detail-Fenster kann über das Menü "Ansicht" aus- und eingeblendet werden. Statuszeile: Die Statuszeile zeigt Bedienzustände und aktuelle Statusmeldungen an. Hierzu gehören: Der aktuelle Benutzer und der Benutzertyp Die Bedienungssicht - Standard Modus / Erweiterter Modus Die Betriebsart - Online / Offline Symbolleiste Nachfolgend eine Übersicht der wählbaren Symbole in der Symbolleiste und deren Bedeutung. Symbol Bedeutung / Bemerkungen Neues Projekt anlegen. Bestehendes Projekt öffnen. Geöffnetes Projekt unter aktuellem Pfad und Projektnamen speichern. Angewähltes Objekt kopieren. Objekt aus der Zwischenablage einfügen. Angewähltes Objekt löschen. Neue Baugruppe anlegen. Das Symbol ist nur aktiv, wenn Sie sich innerhalb des Navigationsbereichs im Ordner "Alle Baugruppen" befinden. Neue VPN-Gruppe anlegen. Das Symbol ist nur aktiv, wenn Sie sich innerhalb des Navigationsbereichs im Ordner "VPN-Gruppen" befinden. 12 Getting Started, 04/2015, C79000-G8900-C287-04

Bedienoberfläche und Menübefehle Symbol Bedeutung / Bemerkungen Einen neuen globalen IP-Regelsatz / MAC-Regelsatz oder benutzerspezifischen IP- Regelsatz anlegen. Das Symbol ist nur aktiv, wenn Sie sich innerhalb des Navigationsbereichs in einem Unterordner von "Globale Firewall-Regelsätze" oder auf dem Ordner "Benutzerspezifische IP-Regelsätze" befinden. Neue Redundanzbeziehung anlegen. Das Symbol ist nur aktiv, wenn Sie sich innerhalb des Navigationsbereichs im Ordner "Redundanzbeziehungen" befinden. Konfiguration in die selektierten Security-Baugruppen laden bzw. Konfigurationsdaten für SOFTNET Security Client / SCALANCE M / VPN-Gerät / NCP VPN-Client (Android) erstellen. In den Offline-Modus umschalten. In den Online-Modus umschalten. Getting Started, 04/2015, C79000-G8900-C287-04 13

Bedienoberfläche und Menübefehle Menüleiste Nachfolgend eine Übersicht der wählbaren Menübefehle und deren Bedeutung. Menübefehl Bedeutung / Bemerkungen Tastenkombination Projekt Neu... Öffnen... Speichern Speichern unter... Eigenschaften... Zuletzt geöffnete Projekte Beenden Funktionen für die projektspezifischen Einstellungen sowie das Laden und Speichern der Projektdatei. Neues Projekt anlegen. Für CP: Projekte werden durch STEP 7-Projektierung angelegt. Bestehendes Projekt öffnen. Für CP: Bestehende Projekte können nur über STEP 7-Projekte geöffnet werden. Geöffnetes Projekt unter aktuellem Pfad und Projektnamen speichern. Geöffnetes Projekt unter wählbarem Pfad und Projektnamen speichern. Für CP: Das Projekt ist Teil des STEP 7-Projekts. Der Pfad kann nicht geändert werden. Dialog für Projekteigenschaften öffnen. Direkte Auswahlmöglichkeit der bisher bearbeiteten Projekte. Für CP: Bestehende Projekte können nur über STEP 7 geöffnet werden. Projekt schließen. Strg + S Bearbeiten Menübefehle nur im Offline-Modus Hinweis Die Funktionen können Sie bei angewähltem Objekt teilweise auch über das Kontextmenü auswählen. Kopieren Angewähltes Objekt kopieren. Strg + C Einfügen Objekt aus der Zwischenablage holen und einfügen. Strg + V Löschen Angewähltes Objekt löschen. Entf Umbenennen Angewähltes Objekt umbenennen. F2 Neues Zertifikat... Neues Gruppenzertifikat für Baugruppe erzeugen, die nach Auswahl der zugehörigen VPN-Gruppe im Inhaltsbereich selektiert wurde. Baugruppe austauschen... Eigenschaften... Online-Diagnose... Angewählte Security-Baugruppe durch eine andere austauschen. Eigenschaftsdialog des angewählten Objektes öffnen. F4 Auf die Test- und Diagnosefunktionen zugreifen. Einfügen Baugruppe Menübefehle nur im Offline-Modus Neue Security-Baugruppe anlegen. Der Menübefehl ist nur aktiv, wenn eine Security- Baugruppe oder eine VPN-Gruppe im Navigationsbereich angewählt ist. Strg + M 14 Getting Started, 04/2015, C79000-G8900-C287-04

Bedienoberfläche und Menübefehle Menübefehl Bedeutung / Bemerkungen Tastenkombination Gruppe Firewall-Regelsatz Redundanzbeziehung Neue VPN-Gruppe anlegen. Der Menübefehl ist nur aktiv, wenn ein Gruppen- Objekt im Navigationsbereich angewählt ist. Einen neuen globalen Firewall IP-Regelsatz, MAC- Regelsatz oder benutzerspezifischen IP-Regelsatz anlegen. Der Menübefehl ist nur aktiv, wenn ein Firewall- Objekt im Navigationsbereich angewählt ist. Der Menübefehl ist nur im Erweiterten Modus sichtbar. Neue Redundanzbeziehung anlegen. Der Menübefehl ist nur aktiv, wenn Sie sich innerhalb des Navigationsbereichs im Ordner "Redundanzbeziehungen" befinden. Strg + G Strg + F Strg + R Übertragen An Baugruppe(n)... An alle Baugruppen... Konfigurationszustand... Firmware übertragen... Konfiguration auf die selektierte(n) Security- Baugruppe(n) laden bzw. Konfigurationsdaten für SOFTNET Security Client / SCALANCE M / VPN- Geräte / NCP VPN-Clients (Android) erstellen. Anmerkung: Es können nur konsistente Projektdaten geladen werden. Für CPs: Projektdaten können nur über STEP 7 geladen werden. Konfiguration auf alle Security-Baugruppen laden. Anmerkung: Es können nur konsistente Projektdaten geladen werden. Konfigurationszustand der projektierten Security- Baugruppen wird in einer Liste anzeigt. Neue Firmware in selektierte Security-Baugruppe laden. Für S7-CPs: Die Firmware wird über das Aktualisierungs-Zentrum der Web-Diagnose auf den CP geladen. Ansicht Erweiterter Modus Vom Standard Modus (Voreinstellung) in den Erweiterten Strg + E Modus umschalten. Achtung Sie können eine einmal vorgenommene Umschaltung in den Erweiterten Modus für das aktuelle Projekt nicht mehr rückgängig machen. Detail-Fenster einblenden Zusätzliche Details zum ausgewählten Objekt ein- Strg + Alt + D und ausblenden. Offline Voreinstellung. Umschaltung in die Offline- Strg + Shift + D Projektierungssicht. Online Umschaltung in die Online-Diagnosesicht. Strg + D Getting Started, 04/2015, C79000-G8900-C287-04 15

Bedienoberfläche und Menübefehle Menübefehl Bedeutung / Bemerkungen Tastenkombination Optionen IP-Dienste... MAC-Dienste... Netzwerkadapter... Sprache... Log-Dateien... Symbolische Namen... Konfiguration der NTP- Server... Konfiguration der RADIUS-Server... Konsistenzprüfungen... Benutzerverwaltung... Zertifikatsmanager... Dialog für Dienst-Definitionen für IP-Firewall-Regeln öffnen. Der Menübefehl ist nur im Erweiterten Modus sichtbar. Dialog für Dienst-Definitionen für MAC-Firewall- Regeln öffnen. Der Menübefehl ist nur im Erweiterten Modus sichtbar. Über den ausgewählten Netzwerkadapter wird dem SCALANCE S eine IP-Adresse zugewiesen. Sprache auswählen, in der die SCT-Oberfläche angezeigt wird. Für SCT in STEP 7 wird die Sprache der SCT- Oberfläche über die Sprachauswahl in STEP 7 festgelegt. Anzeige von gespeicherten Log-Dateien. Symbolische Namen für IP- oder MAC-Adressen vergeben. NTP-Server erstellen und bearbeiten. RADIUS-Server erstellen und bearbeiten. Konsistenz des gesamten Projektes prüfen. Als Ergebnis wird eine Resultatsliste ausgegeben. Benutzer und Rollen anlegen und bearbeiten, Rechte zuweisen und Passwort-Richtlinien definieren. Zertifikate anzeigen oder importieren / exportieren. Hilfe Hilfethemen... Info... Hilfe zu den Funktionen und Parametern, die Sie im SCT vorfinden. Informationen zum Versions- und Ausgabestand des SCT. F1 16 Getting Started, 04/2015, C79000-G8900-C287-04

Bedienoberfläche und Menübefehle Getting Started, 04/2015, C79000-G8900-C287-04 17

IP-Adressen für SCALANCE S623 projektieren 3 3.1 Übersicht Übersicht In diesem Beispiel werden im Security Configuration Tool IP-Adressen für eine SCALANCE S623 Baugruppe, die sich im Zustand der Werkseinstellungen befindet, projektiert. Im Anschluss wird die Konfiguration über die externe Schnittstelle auf die Security-Baugruppe geladen. Aufbau des Testnetzes Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: 1 x SCALANCE S623 (zusätzlich optional: eine entsprechend montierte Hutschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x PC, auf dem das Projektierungswerkzeug "Security Confguration Tool" installiert ist die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Voraussetzung Um dieses Beispiel durchführen zu können, muss folgende Voraussetzung erfüllt sein: Die Security-Baugruppe befindet sich im Zustand der Werkseinstellungen. Sie können diesen Zustand wiederherstellen, indem Sie die Reset-Taste an der Security-Baugruppe betätigen und mindestens 5 Sekunden gedrückt halten. Für weitere Informationen zur Reset-Taste der Security-Baugruppe, siehe Kapitel "4.3 Reset-Taste - Rücksetzen der Konfiguration auf Werkseinstellung" im Handbuch "SIMATIC NET Industrial Ethernet Security - SCALANCE S V4". Getting Started, 04/2015, C79000-G8900-C287-04 19

IP-Adressen für SCALANCE S623 projektieren 3.2 SCALANCE S und Netzwerk einrichten Die folgenden Schritte in der Übersicht: 3.2 SCALANCE S und Netzwerk einrichten Gehen Sie wie folgt vor: 1. Packen Sie zunächst den SCALANCE S623 aus und überprüfen Sie den unbeschädigten Zustand. 2. Schließen Sie die Spannungsversorgung an den SCALANCE S623 an. Ergebnis: Nach dem Anschließen der Betriebsspannung leuchtet die Fault-LED (F) gelb. WARNUNG Nur Sicherheitskleinspannung verwenden Das Gerät SCALANCE S ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S muss NEC Class 2 entsprechen (Spannungsbereich 18-32 V, Strombedarf ca. 250 ma). 1. Stellen Sie jetzt die physikalische Netzwerkverbindung her, indem Sie die externe Schnittstelle der Security-Baugruppe mit dem PC verbinden. 2. Schalten Sie jetzt den PC ein. 20 Getting Started, 04/2015, C79000-G8900-C287-04

IP-Adressen für SCALANCE S623 projektieren 3.2 SCALANCE S und Netzwerk einrichten Hinweis Die Ethernet-Schnittstellen werden vom SCALANCE S unterschiedlich behandelt und dürfen beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: Schnittstelle X1 - External Network Rote Markierung = ungeschützter Netzwerkbereich; Schnittstelle X2 - Internal Network Grüne Markierung = durch SCALANCE S geschütztes Netzwerk; Schnittstelle X3 - DMZ-Port (universelle Netzwerkschnittstelle) Gelbe Markierung = ungeschützter Netzwerkbereich oder durch SCALANCE S geschützter Netzwerkbereich. Beim Vertauschen der Schnittstellen verliert das Gerät seine Schutzfunktion. Getting Started, 04/2015, C79000-G8900-C287-04 21

IP-Adressen für SCALANCE S623 projektieren 3.3 IP-Einstellungen des PCs einrichten 3.3 IP-Einstellungen des PCs einrichten Der PC erhält folgende IP-Adresseinstellungen. PC IP-Adresse Subnetzmaske PC 192.168.10.2 255.255.255.0 Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 22 Getting Started, 04/2015, C79000-G8900-C287-04

IP-Adressen für SCALANCE S623 projektieren 3.4 Projekt und Security-Baugruppe anlegen 6. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen des PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. 3.4 Projekt und Security-Baugruppe anlegen Gehen Sie so vor: 1. Installieren Sie die Projektierungssoftware Security Configuration Tool auf dem PC. 2. Starten Sie die Projektierungssoftware. 3. Wählen Sie den Menübefehl "Projekt" > "Neu...". 4. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 5. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Projekt ist angelegt. Der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" öffnet sich. 6. Wählen Sie in den Bereichen "Produkttyp", "Baugruppe" und "Firmwarerelease" die folgenden Optionen: Produkttyp: SCALANCE S Baugruppe: S623 Firmwarerelease: V4 7. Geben Sie im Bereich "Konfiguration" die MAC-Adresse im vorgegebenen Format ein. Die MAC-Adresse ist auf der Frontseite der SCALANCE S-Baugruppe aufgedruckt (siehe Bild). Getting Started, 04/2015, C79000-G8900-C287-04 23

IP-Adressen für SCALANCE S623 projektieren 3.5 Konfiguration auf Security-Baugruppe laden 8. Geben Sie im Bereich "Konfiguration" die externe IP-Adresse (192.168.10.1) und die externe Subnetzmaske (255.255.255.0) ein. 9. Wählen Sie aus der Klappliste "Schnittstellenrouting Intern/Extern" den Eintrag Routing- Modus. 10.Geben Sie die interne IP-Adresse (192.168.9.1) und die interne Subnetzmaske (255.255.255.0) ein und bestätigen Sie mit "OK". 11.Selektieren Sie die angelegte Security-Baugruppe und wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...", Register "Schnittstellen". 12.Aktivieren Sie im Bereich "DMZ-Port (X3)" das Kontrollkästchen "Schnittstelle aktivieren" und geben Sie die IP-Adresse (192.168.8.1) und die Subnetzmaske (255.255.255.0) für die DMZ-Schnittstelle ein. 13.Bestätigen Sie mit "OK". 3.5 Konfiguration auf Security-Baugruppe laden Gehen Sie so vor: 1. Wählen Sie den Menübefehl "Projekt" > "Speichern". 2. Selektieren Sie im Inhaltsbereich die Security-Baugruppe. 3. Wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 4. Starten Sie den Ladevorgang über die Schaltfläche "Starten". 24 Getting Started, 04/2015, C79000-G8900-C287-04

IP-Adressen für SCALANCE S623 projektieren 3.5 Konfiguration auf Security-Baugruppe laden Wurde der Ladevorgang fehlerfrei abgeschlossen, wird die SCALANCE S Baugruppe automatisch neu gestartet und die neue Konfiguration aktiviert. Ergebnis: SCALANCE S im Produktivbetrieb SCALANCE S befindet sich jetzt im Produktivbetrieb. Dieser Betriebszustand wird von der Fault-Anzeige durch grünes Licht signalisiert. Sie können nun Konfigurationen über alle Schnittstellen laden und dabei ggf. die projektierten IP-Adressen verändern. Getting Started, 04/2015, C79000-G8900-C287-04 25

IP-Adressen für SCALANCE S623 projektieren 3.5 Konfiguration auf Security-Baugruppe laden 26 Getting Started, 04/2015, C79000-G8900-C287-04

Firewall im Standard Modus 4 4.1 Beispiel mit einem SCALANCE S 4.1.1 Übersicht In diesem Beispiel projektieren Sie die Firewall in der Projektierungssicht "Standard Modus". Der Standard Modus beinhaltet vordefinierte Regeln für den Datenverkehr. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur vom internen Netz initiiert werden kann; aus dem externen Netz wird nur die Antwort zugelassen. Aufbau des Testnetzes Internes Netzwerk - Anschluss an der internen Schnittstelle der Security-Baugruppe Im internen Netzwerk wird im Testaufbau der Netzknoten durch einen PC realisiert, der an der internen Schnittstelle der Security-Baugruppe angeschlossen ist. PC2: Repräsentiert einen Teilnehmer des internen Netzwerks Getting Started, 04/2015, C79000-G8900-C287-04 27

Firewall im Standard Modus 4.1 Beispiel mit einem SCALANCE S Security-Baugruppe: SCALANCE S-Baugruppe zum Schutz des internen Netzwerks Externes Netzwerk - Anschluss an der externen Schnittstelle der Security-Baugruppe Das öffentliche, externe Netzwerk wird an der externen Schnittstelle der Security- Baugruppe angeschlossen. PC1: PC mit der Konfigurationssoftware Security Configuration Tool Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: 1x SCALANCE S, (zusätzlich optional: eine entsprechend montierte Hutschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x PC im externen Netz, auf dem das Projektierungswerkzeug Security Configuration Tool installiert ist 1x PC im internen Netz für den Test der Konfiguration die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Die folgenden Schritte in der Übersicht: 4.1.2 SCALANCE S und Netzwerk einrichten Gehen Sie so vor: 1. Packen Sie zunächst den SCALANCE S aus und überprüfen Sie den unbeschädigten Zustand. 2. Schließen Sie die Spannungsversorgung an den SCALANCE S an. Ergebnis: Nach dem Anschließen der Betriebsspannung leuchtet die Fault-LED (F) gelb. 28 Getting Started, 04/2015, C79000-G8900-C287-04

Firewall im Standard Modus 4.1 Beispiel mit einem SCALANCE S WARNUNG Nur Sicherheitskleinspannung verwenden Das Gerät SCALANCE S ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S muss NEC Class 2 entsprechen (Spannungsbereich 18-32 V, Strombedarf ca. 250 ma). 1. Stellen Sie jetzt die physikalischen Netzwerkverbindungen her, indem Sie die Stecker der Netzwerkkabel mit den dafür vorgesehenen Schnittstellen verbinden: Verbinden Sie PC2 mit der internen Schnittstelle der Security-Baugruppe. Verbinden Sie PC1 mit der externen Schnittstelle der Security-Baugruppe. 2. Schalten Sie jetzt die beteiligten PCs ein. Hinweis Die Ethernet-Schnittstellen werden vom SCALANCE S unterschiedlich behandelt und dürfen beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: Schnittstelle X1 - External Network Rote Markierung = ungeschützter Netzwerkbereich; Schnittstelle X2 - Internal Network Grüne Markierung = durch SCALANCE S geschütztes Netzwerk; Beim Vertauschen der Schnittstellen verliert das Gerät seine Schutzfunktion. 4.1.3 IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske PC1 191.0.0.1 255.255.0.0 PC2 191.0.0.2 255.255.0.0 Gehen Sie dazu bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". Getting Started, 04/2015, C79000-G8900-C287-04 29

Firewall im Standard Modus 4.1 Beispiel mit einem SCALANCE S 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. 6. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. 4.1.4 Projekt und Security-Baugruppe anlegen Gehen Sie so vor: 1. Installieren und starten Sie die Projektierungssoftware Security Configuration Tool auf PC1. 2. Wählen Sie den Menübefehl "Projekt" > "Neu...". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 30 Getting Started, 04/2015, C79000-G8900-C287-04

Firewall im Standard Modus 4.1 Beispiel mit einem SCALANCE S 4. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Projekt ist angelegt. Der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" öffnet sich. 5. Wählen Sie in den Bereichen "Produkttyp", "Baugruppe" und Firmwarerelease" die folgenden Optionen: Produkttyp: SCALANCE S Baugruppe: S612 Firmwarerelease: V4 6. Geben Sie im Bereich "Konfiguration" die MAC-Adresse im vorgegebenen Format ein. Die MAC-Adresse ist auf der Frontseite der SCALANCE S-Baugruppe aufgedruckt. 7. Geben Sie im Bereich "Konfiguration" die externe IP-Adresse (191.0.0.200) und die externe Subnetzmaske (255.255.0.0) im vorgegebenen Format ein und bestätigen Sie den Dialog mit "OK". 4.1.5 Firewall projektieren Im Standard Modus ist eine einfache Bedienung der Firewall-Einstellungen durch vordefinierte Regeln gegeben. Durch Anklicken können diese Regeln aktiviert werden. Gehen Sie so vor: 1. Selektieren Sie im Inhaltsbereich die Security-Baugruppe. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften ". 3. Wählen Sie im aufgeblendeten Dialog das Register "Firewall". Getting Started, 04/2015, C79000-G8900-C287-04 31

Firewall im Standard Modus 4.1 Beispiel mit einem SCALANCE S 4. Aktivieren Sie die nachfolgend dargestellten Einstellungen: Ergebnis: Der IP-Verkehr kann nur vom internen Netzwerk aus initiiert werden; aus dem externen Netzwerk wird nur die Antwort zugelassen. 5. Wählen Sie zusätzlich die Log-Option an, um den Datenverkehr aufzuzeichnen. 6. Schließen Sie den Dialog mit "OK" ab. 7. Speichern Sie das Projekt mit dem Menübefehl "Projekt" > "Speichern" ab. 32 Getting Started, 04/2015, C79000-G8900-C287-04

Firewall im Standard Modus 4.1 Beispiel mit einem SCALANCE S 4.1.6 Konfiguration auf Security-Baugruppe laden Gehen Sie so vor: 1. Selektieren Sie im Inhaltsbereich die Security-Baugruppe. 2. Wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n) ". 3. Starten Sie den Ladevorgang über die Schaltfläche "Starten". Wurde der Ladevorgang fehlerfrei abgeschlossen, wird die SCALANCE S-Baugruppe automatisch neu gestartet und die neue Konfiguration aktiviert. Ergebnis: SCALANCE S im Produktivbetrieb SCALANCE S befindet sich jetzt im Produktivbetrieb. Dieser Betriebszustand wird von der Fault-Anzeige durch grünes Licht signalisiert. Die Inbetriebsetzung der Konfiguration ist damit abgeschlossen und SCALANCE S schützt jetzt über die eingerichtete Firewall das interne Netz (PC2). 4.1.7 Firewallfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. Hinweis Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Getting Started, 04/2015, C79000-G8900-C287-04 33

Firewall im Standard Modus 4.1 Beispiel mit einem SCALANCE S Testabschnitt 1 Testen Sie nun die Funktion der Firewall-Konfiguration zunächst für den zugelassenen initiativen IP-Datenverkehr aus dem internen Netz wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC2 an den PC1 (IP-Adresse 191.0.0.1) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, den Befehl "ping 191.0.0.1" ein. Sie erhalten folgende Meldung (positive Antwort von PC1): Ergebnis Wenn die IP-Telegramme PC1 erreicht haben, gibt die "Ping-Statistik" für 191.0.0.1 Folgendes aus: Gesendet = 4 Empfangen = 4 Verloren = 0 (0% Verlust) Die Ping-Telegramme konnten aufgrund der Projektierung vom internen Netz ins externe Netz gelangen. Der PC im externen Netz hat auf die Ping-Telegramme geantwortet. Durch die "Stateful-Inspection"-Funktion der Firewall werden die Antworttelegramme, die nun vom externen Netz kommen, automatisch ins interne Netz zugelassen. 34 Getting Started, 04/2015, C79000-G8900-C287-04

Firewall im Standard Modus 4.1 Beispiel mit einem SCALANCE S Testabschnitt 2 Testen Sie nun die Funktion der Firewall-Konfiguration für den gesperrten initiativen IP- Datenverkehr aus dem externen Netz wie folgt: 1. Rufen Sie auf dem PC1 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC1 an den PC2 (IP-Adresse 191.0.0.2) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, den Befehl "ping 191.0.0.2" ein. Sie erhalten folgende Meldung (keine Antwort von PC2): Ergebnis Die IP-Telegramme von PC1 können PC2 nicht erreichen, da der Datenverkehr aus dem "externen Netz" (PC1) zum "internen" Netz (PC2) nicht erlaubt ist. Das wird in der "Ping-Statistik" für 191.0.0.2 folgendermaßen angegeben: Gesendet = 4 Empfangen = 0 Verloren = 4 (100% Verlust) 4.1.8 Firewall-Datenverkehr aufzeichnen (Logging) Bei den Security-Baugruppen ist standardmäßig die lokale Aufzeichnung von System-, Audit-Ereignissen eingeschaltet. Zusätzlich haben Sie im Verlauf dieses Beispiels bei der Firewall-Projektierung die Log- Option für den entsprechenden Datenverkehr aktiviert. Sie können im Online-Modus die aufgezeichneten Ereignisse ausgeben lassen. Gehen Sie so vor: 1. Wechseln Sie auf PC1 im Security Configuration Tool mit dem Menübefehl "Ansicht" > "Online" in die Online-Betriebsart. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Online-Diagnose ". 3. Wählen Sie das Register "Paketfilter-Log". Getting Started, 04/2015, C79000-G8900-C287-04 35

Firewall im Standard Modus 4.1 Beispiel mit einem SCALANCE S 4. Betätigen Sie die Schaltfläche "Starte Lesen". 5. Quittieren Sie den aufgeblendeten Dialog mit "OK". Ergebnis: Die Log-Einträge werden aus der Security-Baugruppe ausgelesen und hier ausgegeben. 36 Getting Started, 04/2015, C79000-G8900-C287-04

Firewall im Standard Modus 4.2 Beispiel mit einem CP x43-1 Advanced 4.2 Beispiel mit einem CP x43-1 Advanced 4.2.1 Übersicht In diesem Beispiel projektieren Sie die Firewall in der Projektierungssicht "Standard Modus". Der Standard Modus beinhaltet vordefinierte Regeln für den Datenverkehr. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur vom internen Netz sowie von der Station initiiert werden kann; aus dem externen Netz wird nur die Antwort zugelassen. Hinweis Bitte beachten Sie, dass nach dem Laden der Projektierung Ihre Station nur noch erreichbar ist, wenn in der Firewall das S7-Protokoll (TCP-Port 102) von "Extern => Station" freigegeben ist. Eine unverschlüsselte Kommunikation aus dem externen Netz sollte nach der Inbetriebnahme vermieden werden. Wenn Sie keinen sicheren Verbindungsaufbau über VPN vom externen Netz verwenden, sollten Sie STEP7-Diagnose und Umprojektierung nur aus dem internen Netz durchführen. Aus diesem Grund wird im folgenden Beispiel der Port für die S7-Kommunikation in der Firewall nicht geöffnet. Aufbau des Testnetzes Getting Started, 04/2015, C79000-G8900-C287-04 37

Firewall im Standard Modus 4.2 Beispiel mit einem CP x43-1 Advanced Internes Netzwerk - Anschluss an der internen Schnittstelle der Security-Baugruppe Im internen Netzwerk wird im Testaufbau der Netzknoten durch einen PC realisiert, der an der internen Schnittstelle der Security-Baugruppe angeschlossen ist. PC2: Repräsentiert einen Teilnehmer des internen Netzwerks Security-Baugruppe: CP x43-1 Adv. zum Schutz des internen Netzwerks Externes Netzwerk - Anschluss an der externen Schnittstelle der Security-Baugruppe Das öffentliche, externe Netzwerk wird an der externen Schnittstelle der Security- Baugruppe angeschlossen. PC1: PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7 Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: Die Projektierungssoftware Security Configuration Tool ist auf PC1 installiert. STEP 7 ist auf PC1 installiert und es ist bereits ein STEP 7 Projekt mit der Security- Baugruppe angelegt. Die IP-Adresse von PC1 muss im selben Subnetz liegen wie die Gigabit-Adresse der Security-Baugruppe. CP x43-1 Adv. hat in STEP 7 die folgenden Einstellungen: Gigabit IP-Adresse: 140.0.0.1, Subnetzmaske: 255.255.0.0 PROFINET IP-Adresse: 192.0.0.1, Subnetzmaske: 255.255.255.0 Die folgenden Schritte in der Übersicht: 38 Getting Started, 04/2015, C79000-G8900-C287-04

Firewall im Standard Modus 4.2 Beispiel mit einem CP x43-1 Advanced 4.2.2 IP-Einstellungen der PCs einrichten Die PCs erhalten für den Test folgende IP-Adresseinstellungen: PC IP-Adresse Subnetzmaske Standardgateway PC1 140.0.0.2 255.255.0.0 140.0.0.1 PC2 192.0.0.2 255.255.255.0 192.0.0.1 Gehen Sie dazu jeweils bei PC1 und PC2 folgendermaßen vor: 1. Öffnen Sie auf dem betreffenden PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 4. Klicken Sie auf die Schaltfläche "Eigenschaften". 5. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden:" aus. Getting Started, 04/2015, C79000-G8900-C287-04 39

Firewall im Standard Modus 4.2 Beispiel mit einem CP x43-1 Advanced 6. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 7. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. 4.2.3 Projekt und Security-Baugruppe anlegen Gehen Sie so vor: 1. Aktivieren Sie in den Objekteigenschaften im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. Bestätigen Sie Ihre Eingabe mit "OK". Ergebnis: Ein neues Security-Projekt ist angelegt. 3. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Ergebnis: Die Security-Baugruppe wird in der Liste der konfigurierten Baugruppen angezeigt. 4.2.4 Firewall projektieren Im Standard Modus ist eine einfache Bedienung der Firewall-Einstellungen durch vordefinierte Regeln gegeben. Durch Anklicken können diese Regeln aktiviert werden. Gehen Sie so vor: 1. Selektieren Sie im Inhaltsbereich die Security-Baugruppe. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften ". 3. Wählen Sie im aufgeblendeten Dialog das Register "Firewall". 40 Getting Started, 04/2015, C79000-G8900-C287-04

Firewall im Standard Modus 4.2 Beispiel mit einem CP x43-1 Advanced 4. Aktivieren Sie das Kontrollkästchen "Firewall aktivieren". 5. Aktivieren Sie die nachfolgend dargestellten Einstellungen: Ergebnis: Der IP-Verkehr kann vom internen Netzwerk sowie von der Station initiiert werden; aus dem externen Netzwerk wird nur die Antwort zugelassen. Der Zugriff über HTTPS zur Online-Diagnose von PC1 auf die Security-Baugruppe ist zugelassen. 6. Wählen Sie zusätzlich die Log-Option an, um den entsprechenden Datenverkehr aufzuzeichnen. 7. Schließen Sie den Dialog mit "OK" ab. 4.2.5 Konfiguration auf Security-Baugruppe laden Gehen Sie so vor: 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf die Security-Baugruppe. Wurde der Ladevorgang fehlerfrei abgeschlossen, startet die Security-Baugruppe automatisch und die neue Konfiguration ist aktiviert. Getting Started, 04/2015, C79000-G8900-C287-04 41

Firewall im Standard Modus 4.2 Beispiel mit einem CP x43-1 Advanced Ergebnis: Security-Baugruppe im Produktivbetrieb Die Inbetriebsetzung der Konfiguration ist abgeschlossen. Die Security-Baugruppe schützt das interne Netz (PC2). Ausgehender IP-Verkehr vom internen ins externe Netz ist erlaubt. 4.2.6 Firewallfunktion testen (Ping-Test) Wie können Sie die konfigurierte Funktion testen? Die Funktionstests können Sie wie nachfolgend beschrieben mit einem Ping-Kommando durchführen. Alternativ können Sie auch andere Kommunikationsprogramme für den Test der Konfiguration verwenden. Hinweis Bei Windows kann die Firewall standardmäßig so eingestellt sein, dass Ping-Kommandos nicht passieren können. Sie müssen ggf. die ICMP-Dienste vom Typ "Request" und "Response" freischalten. Testabschnitt 1 Testen Sie nun die Funktion der Firewall-Konfiguration zunächst bei zugelassenem ausgehenden IP-Datenverkehr wie folgt: 1. Rufen Sie auf dem PC2 in der Startleiste den Menübefehl "Start" > "Alle Programme" > "Zubehör" > "Eingabeaufforderung" auf. 2. Eingabe des Ping-Kommandos von PC2 an den PC1 (IP-Adresse 140.0.0.2) Geben Sie unmittelbar in die Kommandozeile des aufgeblendeten Fensters "Eingabeaufforderung", an der Cursor-Position, den Befehl "ping 140.0.0.2" ein. Sie erhalten folgende Meldung (positive Antwort von PC1): 42 Getting Started, 04/2015, C79000-G8900-C287-04