Seite 1 ___________________ Security in STEP 7 Professional Vorwort einrichten Bedienoberfläche und ___________________ Menübefehle ___________________ SIMATIC NET Basisprojektierung Firewall im Erweiterten ___________________ Modus Industrial Ethernet Security Security in STEP 7 Professional ___________________ einrichten VPN zur Netzkopplung Getting Started 09/2014 C79000-G8900-C379-01...
Seite 2 Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft.
Seite 3 Inhaltsverzeichnis Vorwort ..............................5 Bedienoberfläche und Menübefehle ......................9 Bedienoberfläche und Menübefehle ..................9 Basisprojektierung ..........................15 IP-Adressen für SCALANCE S projektieren ................15 3.1.1 Übersicht ..........................15 3.1.2 SCALANCE S und Netzwerk einrichten ................. 16 3.1.3 IP-Einstellungen des PCs einrichten ..................17 3.1.4 Projekt und Security-Modul anlegen ..................
Seite 4 Inhaltsverzeichnis 4.3.8 Firewall-Funktion testen ......................70 NAT ............................74 4.4.1 Übersicht ..........................74 4.4.2 IP-Einstellungen des PCs einrichten ..................76 4.4.3 Destination-NAT und lokale Firewall projektieren ..............78 4.4.4 Konfiguration auf Security-Modul laden ................. 80 4.4.5 NAT-Funktion testen ......................81 VPN zur Netzkopplung ..........................
Seite 5 Gültigkeitsbereich des Getting Started Projektierungssoftware: ● STEP 7 Professional V13 Produkte: ● SCALANCE S – SCALANCE S602, Bestellnummer: 6GK5 602-0BA10-2AA3 – SCALANCE S612, Bestellnummer: 6GK5 612-0BA10-2AA3 – SCALANCE S623, Bestellnummer: 6GK5 623-0BA10-2AA3 – SCALANCE S627-2M, Bestellnummer: 6GK5 627-2BA10-2AA3 ● CPs –...
Seite 6 In der vorliegenden Dokumentation werden die Ports von Security-Modulen wie folgt benannt: ● "Externe Schnittstelle": Der externe Port beim SCALANCE S602 / S612 / S623 bzw. ein externer Port beim SCALANCE S627- 2M ● "Ethernet-Schnittstelle": Der externe Port beim CP x43-1 Adv. / CP 1x43-1 ●...
Seite 7 Siemens empfiehlt, sich unbedingt regelmäßig über Produkt- Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht.
Seite 8 Vorwort Security in STEP 7 Professional einrichten Getting Started, 09/2014, C79000-G8900-C379-01...
Seite 9 Bedienoberfläche und Menübefehle Bedienoberfläche und Menübefehle Bedienoberfläche für Security-Funktionen in STEP 7 Security in STEP 7 Professional einrichten Getting Started, 09/2014, C79000-G8900-C379-01...
Seite 10 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle ① Globale Security-Einstellungen In der Projektnavigation befinden sich die globalen Security-Einstellungen. Diese Security-Einstellungen können modulunabhängig projektiert und im Anschluss ggf. einzelnen Security-Modulen zugewiesen werden. Handelt es sich bei dem ersten zu konfigurierenden Security-Modul um einen CP, werden die globalen Security- Einstellungen erst angezeigt, wenn die Security-Funktionen in den lokalen Security-Einstellungen des CPs aktiviert wurden.
Seite 11 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle ② Arbeitsbereich mit Security-Modul Nachdem Sie im Arbeitsbereich ein Security-Modul selektiert haben, können Sie unter "Eigenschaften" > "Allge- mein" dessen lokale Security-Einstellungen projektieren. Wenn sich das selektierte Security-Modul in einer VPN- Gruppe befindet, werden zugehörige Informationen im VPN-Register angezeigt. ③...
Seite 12 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle ④ Lokale Security-Einstellungen Lokale Security-Einstellungen werden für ein bestimmtes Security-Modul projektiert. Nachdem ein Security-Modul im Arbeitsbereich selektiert wurde, sind dessen lokale Security-Einstellungen im Register "Eigenschaften" > "All- gemein" des Inspektorfensters verfügbar. Hinweis für CPs: Bevor die lokalen Security-Einstellungen für CPs projektiert werden können, müssen diese zunächst aktiviert wer- den.
Seite 13 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle Gesicherte und ungesicherte Projektierungsbereiche Die Bedienoberfläche lässt sich in gesicherte und ungesicherte Projektierungsbereiche unterteilen. Gesichert sind diejenigen Bereiche, in welchen die Projektierung erst nach der Anmeldung an der Security-Konfiguration erfolgen kann. Diese Bereiche sind verschlüsselt und somit nur für in der Benutzerverwaltung autorisierte Personen zugänglich, auch wenn das Projekt für einen erweiterten Personenkreis zugänglich ist.
Seite 14 Bedienoberfläche und Menübefehle 2.1 Bedienoberfläche und Menübefehle Security in STEP 7 Professional einrichten Getting Started, 09/2014, C79000-G8900-C379-01...
Seite 15 Basisprojektierung IP-Adressen für SCALANCE S projektieren 3.1.1 Übersicht Übersicht In diesem Beispiel werden in STEP 7 IP-Adressen für ein SCALANCE S-Modul, das sich im Zustand der Werkseinstellung befindet, projektiert. Im Anschluss wird die Konfiguration über die externe Schnittstelle auf das Security-Modul geladen. Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: ●...
Seite 16 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren Die folgenden Schritte in der Übersicht: 3.1.2 SCALANCE S und Netzwerk einrichten Gehen Sie wie folgt vor: 1. Packen Sie zunächst den SCALANCE S aus und überprüfen Sie den unbeschädigten Zustand. 2. Schließen Sie die Spannungsversorgung an den SCALANCE S an. Ergebnis: Nach dem Anschließen der Betriebsspannung leuchtet die Fault-LED (F) gelb.
Seite 17 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren 3. Stellen Sie die physikalische Netzwerkverbindung her, indem Sie die externe Schnittstelle des SCALANCE S mit dem PC verbinden. 4. Schalten Sie den PC ein. Hinweis Die Ethernet-Schnittstellen werden vom SCALANCE S unterschiedlich behandelt und dürfen beim Anschluss an das Kommunikationsnetzwerk nicht verwechselt werden: •...
Seite 18 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen des PCs einrichten" in die dafür vorgesehenen Felder ein. 9.
Seite 19 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren 3.1.4 Projekt und Security-Modul anlegen Neues Projekt anlegen: 1. Installieren und starten Sie die Projektierungssoftware STEP 7 auf PC1. 2. Wählen Sie den Menüpunkt "Neues Projekt erstellen". 3. Vergeben Sie im folgenden Dialog einen Projektnamen für Ihr Projekt, ändern Sie gegebenenfalls den Ablagepfad und bestätigen Sie den Dialog mit "Erstellen".
Seite 20 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren 3.1.6 IP-Adressen zuweisen Externe IP-Adresse zuweisen: 1. Wählen Sie das Menü "Online" > "Erreichbare Teilnehmer". 2. Wählen Sie aus der Klappliste "Typ der PG/PC-Schnittstelle" den Eintrag "PN/IE" aus. 3. Wählen Sie die Netzwerkkarte aus, über die Sie mit dem Security-Modul verbunden sind. 4.
Seite 21 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren IP-Adressen für die interne Schnittstelle und die DMZ-Schnittstelle projektieren: 1. Überprüfen Sie, dass im Inspektorfenster Register "Allgemein" unter "Betriebsart" der "Routing-Modus" aktiviert ist. 2. Geben Sie die folgenden IP-Adressen ein: Schnittstelle IP-Adresse Subnetzmaske Externe Schnittstelle [P1] rot 192.168.10.1 255.255.255.0...
Seite 22 Basisprojektierung 3.1 IP-Adressen für SCALANCE S projektieren 4. Wählen Sie aus der Klappliste "Verbindung mit Schnittstelle/Subnetz" den Eintrag "Versuche alle Schnittstellen" aus. Bei SCALANCE S-Modulen wird das Protokoll HTTPS zum Laden verwendet. 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz"...
Seite 23 Basisprojektierung 3.2 IP-Adressen für CP projektieren Ergebnis: SCALANCE S im Produktivbetrieb SCALANCE S befindet sich jetzt im Produktivbetrieb. Dieser Betriebszustand wird von der Fault-Anzeige durch grünes Licht signalisiert. Sie können nun Konfigurationen über alle Schnittstellen laden. Die Grundprojektierung ist abgeschlossen. IP-Adressen für CP projektieren 3.2.1 Übersicht...
Seite 24 Basisprojektierung 3.2 IP-Adressen für CP projektieren Die folgenden Schritte in der Übersicht: 3.2.2 IP-Einstellungen des PCs einrichten Der PC erhält folgende IP-Adresseinstellungen: IP-Adresse Subnetzmaske 192.168.10.100 255.255.255.0 Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung.
Seite 25 Basisprojektierung 3.2 IP-Adressen für CP projektieren 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen des PCs einrichten" in die dafür vorgesehenen Felder ein. 9.
Seite 26 Basisprojektierung 3.2 IP-Adressen für CP projektieren Neues Security-Modul anlegen 1. Wechseln Sie über den Menüpunkt "Projektansicht öffnen" in die Projektansicht. 2. Doppelklicken Sie in der Projektnavigation den Menüpunkt "Geräte & Netze". Ergebnis: Die Netzsicht wird geöffnet. 3. Öffnen Sie den "Hardware-Katalog" und fügen Sie das entsprechende Security-Modul durch Drag&Drop der Netzsicht hinzu.
Seite 27 Basisprojektierung 3.2 IP-Adressen für CP projektieren 3.2.5 IP-Adressen zuweisen Externe IP-Adresse zuweisen: 1. Wählen Sie das Menü "Online" > "Erreichbare Teilnehmer". 2. Wählen Sie aus der Klappliste "Typ der PG/PC-Schnittstelle" den Eintrag "PN/IE" aus. 3. Wählen Sie die Netzwerkkarte aus, über die Sie mit dem Security-Modul verbunden sind. 4.
Seite 28 Basisprojektierung 3.2 IP-Adressen für CP projektieren 4. Wählen Sie aus der Klappliste "Verbindung mit Schnittstelle/Subnetz" den Eintrag "Versuche alle Schnittstellen" aus. Bei CPs wird das S7-Protokoll zum Laden verwendet. 5. Klicken Sie auf die Schaltfläche "Suche Starten". Ergebnis: Das Security-Modul wird in der Liste "Kompatible Teilnehmer im Zielsubnetz" angezeigt.
Seite 29 Basisprojektierung 3.2 IP-Adressen für CP projektieren Ergebnis: Security-Modul im Produktivbetrieb Das Security-Modul befindet sich jetzt im Produktivbetrieb. Sie können nun Konfigurationen über alle Schnittstellen laden. Die Basisprojektierung ist abgeschlossen. Security in STEP 7 Professional einrichten Getting Started, 09/2014, C79000-G8900-C379-01...
Seite 30 Basisprojektierung 3.2 IP-Adressen für CP projektieren Security in STEP 7 Professional einrichten Getting Started, 09/2014, C79000-G8900-C379-01...
Seite 31 Firewall im Erweiterten Modus Globale Regelsätze 4.1.1 Übersicht In diesem Beispiel projektieren Sie die erweiterte Firewall und nutzen die Funktion der globalen Regelsätze. Sie erreichen durch die vorgenommenen Einstellungen in der Firewall des Security-Moduls, dass die Konfiguration und Diagnose der Steuerungen über das S7-Protokoll auf die IP- Adresse von PC1 beschränkt und damit aus dem externen Netz ermöglicht wird.
Seite 32 Firewall im Erweiterten Modus 4.1 Globale Regelsätze ● Internes Netzwerk - Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch eine SIMATIC S7-Station mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Die Station ist an der internen Schnittstelle des Security-Moduls angeschlossen.
Seite 33 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: ● Die Projektierungssoftware STEP 7 ist auf PC1 installiert. ● Nur bei CP x43-1 Adv. und SCALANCE S: eine SIMATIC S7-Station mit integriertem Webserver, der das Protokoll HTTPS unterstützt, ist als Teilnehmer im internen Netzwerk mit folgenden Einstellungen vorhanden: Steuerung...
Seite 34 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Die folgenden Schritte in der Übersicht: 4.1.2 IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: IP-Adresse Subnetzmaske Standardgateway 192.168.10.100 255.255.255.0 192.168.10.1 Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung.
Seite 35 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 9.
Seite 36 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 3. Wählen Sie den Menüpunkt "Firewall". 4. Aktivieren Sie im Feld "Allgemein" die Funktion "Firewall aktivieren". 5. Aktivieren Sie die Funktion "Firewall im erweiterten Modus aktivieren". Bestätigen Sie die Sicherheitsabfrage mit "Ja". Ergebnis: Die Firewall des Security-Moduls wird in den erweiterten Modus umgeschaltet. Sie können nun Firewall-Regeln konfigurieren, die auf IP-Adressen und Dienste filtern.
Seite 37 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 4.1.4 Globale Firewall-Regelsätze projektieren Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Globale Firewall-Regelsätze" > "IP-Regelsätze" > "Neuen IP-Regelsatz hinzufügen". Ergebnis: Ein globaler IP-Regelsatz wird angelegt. 2.
Seite 38 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 7. Verschieben Sie es über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Bild 4-4 Globalen Regelsatz zuweisen Ergebnis: Der globale Firewall-Regelsatz wurde in die lokale Firewall des Security- Moduls eingefügt 8. Um dies zu kontrollieren, öffnen Sie im Inspektorfenster das Menü "Eigenschaften" > "Firewall"...
Seite 39 CP x43-1 Adv. Drop Extern Station Alle ☑ Drop Extern Alle ☑ SCALANCE S602/S612 Drop Extern Intern Alle ☑ 4.1.5 Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät".
Seite 40 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei CPs wird das S7-Protokoll zum Laden verwendet, bei SCALANCE S das Protokoll HTTPS. Bild 4-6 Auf Security-Modul laden 5.
Seite 41 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt die Station, in welcher das Security-Modul platziert ist bzw. Station1 im internen Netzwerk des Security-Moduls (falls vorhanden). Eingehender S7-Datenverkehr ist nur von PC1 erlaubt und HTTPS Kommunikation zur Diagnose des Security-Moduls ist jedem Teilnehmer aus dem externen Netzwerk erlaubt.
Seite 42 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Bild 4-7 S7-Diagnose und Konfiguration der Station Testabschnitt 2 – PC1: HTTPS-Zugriff auf den Webserver der Station Testen Sie nun die Funktion der HTTPS-Firewall-Regel für alle Teilnehmer aus dem externen Netzwerk wie folgt: Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: ●...
Seite 43 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Bild 4-8 HTTPS-Zugriff auf den Webserver der Station Testabschnitt 3 – PC1 mit geänderter IP-Adresse: S7-Diagnose und Konfiguration der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein unberechtigter Zugriff simuliert.
Seite 44 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Bild 4-9 S7-Diagnose und Konfiguration der Station Testabschnitt 4 – PC1 mit geänderter IP-Adresse: HTTPS-Zugriff auf den Webserver der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein Zugriff von einem anderen PC simuliert.
Seite 45 Firewall im Erweiterten Modus 4.1 Globale Regelsätze Testabschnitt 5 – PC1: S7-Diagnose und Konfiguration der Station Ändern Sie entsprechend Kapitel "IP-Einstellungen der PCs einrichten (Seite 34)" die IP- Adresse von PC1 von "192.168.10.101" wieder in "192.168.10.100". Testen Sie nun die Funktion des Paketfilter-Loggings der Firewall-Regeln, welche Sie in den globalen Firewall-Regeln aktiviert haben, wie folgt: 1.
Seite 46 Firewall im Erweiterten Modus 4.1 Globale Regelsätze 7. Klicken Sie auf die Schaltfläche "Online verbinden". Ergebnis: Die Online-Verbindung zu dem Security-Modul wird aufgebaut und die Security-Diagnose über HTTPS ist möglich. Bild 4-12 Security-Diagnose über HTTPS durchführen 8. Klicken Sie im Menü "Diagnose" > "Paketfilter-Log" die Schaltfläche "Starte Lesen". Ergebnis: Die unberechtigten Verbindungsversuche aus Testabschnitt 3 wurden im Paketfilter-Log aufgezeichnet und werden wie folgt angezeigt: Bild 4-13...
Seite 47 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Firewall-Regeln für Verbindungen 4.2.1 Übersicht In diesem Beispiel projektieren Sie die erweiterte Firewall. Sie erreichen durch die vorgenommenen Einstellungen in der Firewall des Security-Moduls, dass die Verbindungen, welche über die CPs projektiert sind, in der Firewall freigegeben werden und zusätzlich auf die dabei verwendeten Dienste eingeschränkt werden.
Seite 48 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen ● Station1 - Eine der folgenden Stationen mit Security-Modul: – SIMATIC S7-300 mit CP 343-1 Advanced – SIMATIC S7-400 mit CP 443-1 Advanced – SIMATIC S7-1200 mit CP 1243-1 – SIMATIC S7-1500 mit CP 1543-1 ●...
Seite 49 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen ● Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 4-14 IP-Einstellungen der Basisprojektierung ● Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen"> "Benutzeranmeldung" mit Ihrem Security-Login angemeldet. Die folgenden Schritte in der Übersicht: 4.2.2 IP-Einstellungen der PCs einrichten...
Seite 50 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Internet" > "Netzwerk- und Freigabecenter" und wählen Sie aus dem Navigationsmenü...
Seite 51 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 4.2.3 Lokale Firewall projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2. Wählen Sie den Menüpunkt "Security" und aktivieren die Funktion "Aktiviere Security- Funktionen".
Seite 52 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 4.2.4 Verbindungs-Firewall-Regeln projektieren Gehen Sie so vor: 1. Klicken Sie in die Schaltfläche "Verbindungsregeln aktualisieren". Ergebnis: Die Firewall-Regeln für die aktive und die passive Verbindung zur Station werden automatisch am Anfang der Liste der IP-Regeln hinzugefügt. Bild 4-16 Verbindungs-Firewall-Regeln projektieren Entsprechend des Verbindungsaufbaus wird nur die Richtung in der Firewall geöffnet, in...
Seite 53 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 4.2.5 Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle"...
Seite 54 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen".
Seite 55 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 3. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Bild 4-17 S7-Diagnose hochladen 4. Selektieren Sie in der Projektnavigation das Security-Modul. 5.
Seite 56 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Testabschnitt 2 – PC1: HTTPS-Zugriff auf den Webserver der Station Testen Sie nun die Funktion der HTTPS-Firewall-Regel für alle Teilnehmer aus dem externen Netzwerk wie folgt: ● Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: "https://192.168.10.1".
Seite 57 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen Bild 4-18 S7-Diagnose und Konfiguration der Station Testabschnitt 4 – PC1 mit geänderter IP-Adresse: HTTPS-Zugriff auf den Webserver der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein Zugriff von einem anderen PC simuliert.
Seite 58 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 3. Selektieren Sie in der Projektnavigation das Security-Modul. 4. Wählen Sie den Menübefehl "Online" > "Online & Diagnose". 5. Klicken Sie zusätzlich im Menü "Diagnose" > "Security" > "Zustand" die Schaltfläche "Online verbinden". Bild 4-19 Online verbinden mit Security-Modul Ergebnis: Der Dialog "Online-Zugänge"...
Seite 59 Firewall im Erweiterten Modus 4.2 Firewall-Regeln für Verbindungen 7. Klicken Sie auf die Schaltfläche "Online verbinden". Ergebnis: Die Online-Verbindung zu dem Security-Modul wird aufgebaut und die Security-Diagnose über HTTPS ist möglich. 8. Klicken Sie im Menü "Diagnose" > "Paketfilter-Log" die Schaltfläche "Starte Lesen". Ergebnis: Die unberechtigten Verbindungsversuche aus Testabschnitt 3 wurden im Paketfilter-Log aufgezeichnet und werden wie folgt angezeigt: Security in STEP 7 Professional einrichten...
Seite 60 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall Benutzerspezifische Firewall 4.3.1 Übersicht In diesem Beispiel projektieren Sie die erweiterte Firewall und nutzen die Funktion der benutzerspezifischen Regelsätze. Sie erreichen durch die vorgenommenen Einstellungen in der Firewall des Security-Moduls, dass die Konfiguration und Diagnose der Station im internen Netzwerk über das S7-Protokoll auf einen Benutzer eingeschränkt wird und damit nur für diesen aus dem externen Netz erreichbar ist.
Seite 61 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall ● Externes Netzwerk- Anschluss an der externen Schnittstelle des Security-Moduls Das öffentliche, externe Netzwerk wird an der externen Schnittstelle des Security-Moduls angeschlossen. ● PC1: PC mit der Projektierungssoftware STEP 7 Voraussetzung: Um das Beispiel durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein: ●...
Seite 62 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 4.3.2 IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: IP-Adresse Subnetzmaske Standardgateway 192.168.10.100 255.255.255.0 192.168.10.1 Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung.
Seite 63 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten" in die dafür vorgesehenen Felder ein. 9. Schließen Sie die Dialoge mit "OK" ab und schließen Sie die Systemsteuerung. 4.3.3 Lokale Firewall projektieren Gehen Sie so vor:...
Seite 64 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 4.3.4 Remote Access Benutzer anlegen Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Benutzerverwaltung". 2. Legen Sie einen neuen Benutzer und Passwort mit den folgenden Einstellungen an: –...
Seite 65 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 3. Fügen Sie der Liste die folgenden Firewall-Regeln hinzu: Aktion Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging Allow Extern Intern 192.168.9.10 ☑ Ergebnis: Ein benutzerspezifischer Firewall-Regelsatz wird angelegt: Bild 4-22 Benutzerspezifischer IP-Regelsatz 4. Wechseln Sie von der Ansicht "Benutzerspezifischer IP-Regelsatz" in die Ansicht "Benutzer".
Seite 66 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 6. Verschieben Sie ihn über die Schaltfläche "<<" in die Liste "Zugewiesene Benutzer". Bild 4-23 Remote-Access Benutzer zuweisen 7. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Benutzerspezifische IP-Regelsätze" > "Benutzerspezifischen IP-Regelsatz zuweisen".
Seite 67 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 10.Verschieben Sie es über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Der benutzerspezifische Firewall-Regelsatz wurde in die lokale Firewall des Security-Moduls eingefügt. Bild 4-24 Benutzerspezifischen IP-Regelsatz einem Modul zuordnen 11.Um dies zu kontrollieren, öffnen Sie im Inspektorfenster das Menü "Eigenschaften" > "Firewall"...
Seite 68 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 4.3.6 Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle"...
Seite 69 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen 8. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche "Fertig stellen". Ergebnis: Das Security-Modul startet automatisch neu und die geladene Konfiguration ist aktiviert.
Seite 70 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 4.3.8 Firewall-Funktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt, auf dem ein Webbrowser installiert ist. Damit die abgelehnten Zugriffe durch die Firewall aufgezeichnet und angezeigt werden, verwenden Sie die Funktion des Paketfilter-Loggings.
Seite 71 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 4. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Bild 4-27 S7-Diagnose und Konfiguration der Station 5. Deaktivieren Sie den benutzerspezifischen Firewall-Regelsatz, indem Sie im Webbrowser die Schaltfläche "Logout"...
Seite 72 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall Bild 4-28 S7-Diagnose und Konfiguration der Station Testabschnitt 2 – PC1: HTTPS-Zugriff auf den Webserver der Station Testen Sie nun die Funktion der HTTPS-Firewall-Regel für alle Teilnehmer aus dem externen Netzwerk wie folgt: ●...
Seite 73 Firewall im Erweiterten Modus 4.3 Benutzerspezifische Firewall 4. Wählen Sie den Menübefehl "Online" > "Online & Diagnose". Ergebnis: Der Dialog "Online-Zugänge" wird geöffnet. Als "Typ der PG/PC-Schnittstelle" ist das Protokoll "HTTPS" voreingestellt. 5. Wählen Sie die "PG/PC-Schnittstelle" und die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind.
Seite 74 Firewall im Erweiterten Modus 4.4 NAT 4.4.1 Übersicht In diesem Beispiel projektieren Sie die Funktion NAT und die erweiterte Firewall. Sie erreichen mit der Konfiguration, dass Station1 über eine NAT-IP-Adresse, welche zum externen Subnetz gehört erreichbar wird. Nur Station1 aus dem internen Netzwerk wird für PC1 aus dem externen Netzwerk erreichbar.
Seite 75 Firewall im Erweiterten Modus 4.4 NAT ● Internes Netzwerk - Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch eine SIMATIC S7-Station mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Station1: Repräsentiert einen Teilnehmer des internen Netzwerks ●...
Seite 76 Firewall im Erweiterten Modus 4.4 NAT ● Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 4-30 IP-Einstellungen der Basisprojektierung ● Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen"> "Benutzeranmeldung" mit Ihrem Security-Login angemeldet. Die folgenden Schritte in der Übersicht: 4.4.2 IP-Einstellungen des PCs einrichten...
Seite 77 Firewall im Erweiterten Modus 4.4 NAT 6. Stellen Sie sicher, dass die Option "Internetprotokoll Version 4 (TCP/IPv4)" aktiviert ist und doppelklicken Sie diese. 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8.
Seite 78 Firewall im Erweiterten Modus 4.4 NAT 4.4.3 Destination-NAT und lokale Firewall projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2. Für einen CP: Wählen Sie den Menüpunkt "Security" und aktivieren die Funktion "Aktiviere Security-Funktionen".
Seite 79 Firewall im Erweiterten Modus 4.4 NAT ergänzten Firewall-Regeln filtern dann auch auf die angegebenen IP-Adressen und Dienste. Erweitern Sie die beiden NAT-Firewall-Regeln und fügen Sie eine Logging Regel am Ende entsprechend folgender Tabelle ein: Security-Modul Aktion Nach Quell-IP-Adresse Ziel-IP-Adresse Dienst Logging SCALANCE S NAT_1...
Seite 80 Firewall im Erweiterten Modus 4.4 NAT 4.4.4 Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3. Wählen Sie im folgenden Fenster den "Typ der PG/PC-Schnittstelle" und die "PG/PC- Schnittstelle"...
Seite 81 Firewall im Erweiterten Modus 4.4 NAT 6. Selektieren Sie in der Liste das Security-Modul und klicken Sie auf die Schaltfläche "Laden". 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen. 8.
Seite 82 Firewall im Erweiterten Modus 4.4 NAT 4. Tragen Sie in der Liste "Kompatible Teilnehmer im Zielsubnetz" im Feld "Zugriffsadresse" die NAT-IP-Adresse "192.168.10.10" ein. Bestätigen Sie die Eingabe durch Klicken auf einen Punkt außerhalb der Zeile. Ergebnis: Die NAT-IP-Adresse ist als Zugriffsadresse auf Station1 definiert. 5.
Seite 83 Firewall im Erweiterten Modus 4.4 NAT Testabschnitt 3 – PC1 mit geänderter IP-Adresse: S7-Diagnose und Konfiguration der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein unberechtigter Zugriff simuliert. Ändern Sie deshalb die IP-Adresse entsprechend Kapitel "IP-Einstellungen des PCs einrichten (Seite 76)"...
Seite 84 Firewall im Erweiterten Modus 4.4 NAT Bild 4-34 S7-Diagnose und Konfiguration der Station Security in STEP 7 Professional einrichten Getting Started, 09/2014, C79000-G8900-C379-01...
Seite 85 Firewall im Erweiterten Modus 4.4 NAT Testabschnitt 4 – PC1 mit geänderter IP-Adresse: HTTPS-Zugriff auf den Webserver der Station Über die Änderung der IP-Adresse von PC1 wird in diesem Testabschnitt ein Zugriff von einem anderen PC simuliert. Entsprechend Testabschnitt 3 hat PC1 hier statt der IP-Adresse "192.168.10.100"...
Seite 86 Firewall im Erweiterten Modus 4.4 NAT 5. Für CPs: Klicken Sie zusätzlich im Menü "Diagnose" > "Security" > "Zustand" die Schaltfläche "Online verbinden". Ergebnis: Der Dialog "Online-Zugänge" wird geöffnet. Als "Typ der PG/PC-Schnittstelle" ist das Protokoll "HTTPS" voreingestellt. Bild 4-35 Online verbinden mit Security-Modul 6.
Seite 87 Firewall im Erweiterten Modus 4.4 NAT 7. Klicken Sie auf die Schaltfläche "Online verbinden". Ergebnis: Die Online-Verbindung zu dem Security-Modul wird aufgebaut und die Security-Diagnose über HTTPS ist möglich. Bild 4-36 Security-Diagnose über HTTPS durchführen 8. Klicken Sie im Menü "Diagnose" > "Paketfilter-Log" die Schaltfläche "Starte Lesen". Ergebnis: Die unberechtigten Verbindungsversuche aus Testabschnitt 3 wurden im Paketfilter-Log aufgezeichnet und werden wie folgt angezeigt: Bild 4-37...
Seite 89 VPN zur Netzkopplung VPN-Tunnel im LAN zwischen allen Security-Produkten 5.1.1 Übersicht In diesem Beispiel wird die VPN-Tunnelfunktion projektiert. Die Security-Module bilden in diesem Beispiel die Tunnelendpunkte über ein lokales Netzwerk. Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur über die eingerichteten VPN- Tunnelverbindungen zwischen den autorisierten Partnern möglich ist.
Seite 90 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten ● Internes Netzwerk - Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch eine SIMATIC S7-Station mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Die Station ist an der internen Schnittstelle des Security-Moduls angeschlossen.
Seite 91 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Security-Modul IP-Adresse Subnetzmaske CP 1x43-1 Ethernet-Schnittstelle [X1]: 192.168.10.2 255.255.255.0 CP x43-1 Adv. Ethernet-Schnittstelle [X1]: 192.168.10.3 255.255.255.0 PROFINET-Schnittstelle [X2]: 255.255.255.0 192.168.8.3 ● Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 5-1 IP-Einstellungen der Grundprojektierung ●...
Seite 92 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten 5.1.2 IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: IP-Adresse Subnetzmaske Standardgateway 192.168.10.100 255.255.255.0 192.168.10.1 Gehen Sie folgendermaßen vor: 1. Öffnen Sie auf dem PC1 mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung.
Seite 93 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten"...
Seite 94 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten 5.1.3 SOFTNET Security Client-Modul anlegen Neues Security-Modul anlegen 1. Wechseln Sie über den Menüpunkt "Projektansicht öffnen" in die Projektansicht. 2. Doppelklicken Sie in der Projektnavigation den Menüpunkt "Geräte & Netze". Ergebnis: Die Netzsicht wird geöffnet.
Seite 95 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten 5. Verschieben Sie diese über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Die Security-Module wurden der VPN-Gruppe hinzugefügt. Bild 5-2 VPN-Zuweisung 6. Um dies zu kontrollieren, öffnen Sie in der Netzsicht das Register "VPN". Bild 5-3 VPN-Zugehörigkeit anzeigen 7.
Seite 96 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten 5.1.5 SOFTNET Security Client-Konfiguration speichern Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation den SOFTNET Security Client. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Übersetzen" und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats.
Seite 97 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei CPs wird das S7-Protokoll zum Laden verwendet, bei SCALANCE S das Protokoll HTTPS. Bild 5-4 Auf Security-Modul laden 5.
Seite 98 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt die Station, in welcher das Security-Modul platziert ist bzw. Station1 im internen Netzwerk des Security-Moduls (falls vorhanden). Die Kommunikation zur Station bzw. zur Station im internen Netzwerk kann nur noch verschlüsselt über den VPN-Tunnel erfolgen.
Seite 99 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Die Konfiguration ist damit abgeschlossen. Das Security-Modul und der SOFTNET Security Client haben einen Kommunikationstunnel aufgebaut, über den Netzknoten aus dem internen Netz und PC2 gesichert kommunizieren können. 5.1.8 Tunnelfunktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt.
Seite 100 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Testabschnitt 1 – PC1: S7-Diagnose und Konfiguration der Station 1. Wählen Sie den Menübefehl "Online" > "Online verbinden". Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 von extern wie folgt: 2.
Seite 101 VPN zur Netzkopplung 5.1 VPN-Tunnel im LAN zwischen allen Security-Produkten Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Da keine andere Kommunikation in der Firewall explizit freigegeben wurde, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt 2 –...
Seite 102 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 5.2.1 Übersicht In diesem Beispiel projektieren Sie die VPN-Tunnelfunktion. Der SOFTNET Security Client und ein Security-Modul bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung über ein öffentliches Netzwerk.
Seite 103 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Aufbau Testnetz CP 1x43-1 ● Station - Eine der folgenden Stationen mit Security-Modul: – CP 1243-1 in einer SIMATIC S7-1200 Station – CP 1543-1 in einer SIMATIC S7-1500 Station ●...
Seite 104 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S ● Es ist bereits ein STEP 7-Projekt mit einer der folgenden Einstellungen angelegt und auf das Security-Modul bzw. die Steuerung geladen (nähere Informationen zum genauen Vorgehen finden Sie im Kapitel Basisprojektierung (Seite 15)): Security-Modul IP-Adresse Subnetzmaske...
Seite 105 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 5.2.2 IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: IP-Adresse Subnetzmaske Standardgateway 192.168.10.100 255.255.255.0 192.168.10.1 Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung.
Seite 106 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten"...
Seite 107 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 5.2.3 SOFTNET Security Client-Modul anlegen Neues Security-Modul anlegen 1. Wechseln Sie über den Menüpunkt "Projektansicht öffnen" in die Projektansicht. 2. Doppelklicken Sie in der Projektnavigation den Menüpunkt "Geräte & Netze". Ergebnis: Die Netzsicht wird geöffnet.
Seite 108 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 5. Verschieben Sie diese über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Die Security-Module wurden der VPN-Gruppe hinzugefügt. 6. Um dies zu kontrollieren, öffnen Sie in der Netzsicht das Register "VPN". Bild 5-6 VPN-Zugehörigkeit anzeigen 7.
Seite 109 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 5.2.5 VPN-Eigenschaften des Security-Moduls projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2.
Seite 110 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 5.2.7 Konfiguration auf Security-Modul laden Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation das Security-Modul. 2. Wählen Sie den Menübefehl "Online" > "Laden in Gerät". 3.
Seite 111 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S 6. Selektieren Sie in der Liste das Security-Modul und klicken Sie auf die Schaltfläche "Laden". 7. Klicken Sie im folgenden Dialog nach der Überprüfung die Schaltfläche "Laden". Ergebnis: Die Projektierung wird auf das Security-Modul geladen.
Seite 112 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Die Konfiguration ist damit abgeschlossen. Das Security-Modul und der SOFTNET Security Client haben einen Kommunikationstunnel aufgebaut, über den Netzknoten aus dem internen Netz und PC2 gesichert kommunizieren können. 5.2.9 Tunnelfunktion testen Wie können Sie die konfigurierte Funktion testen?
Seite 113 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Testabschnitt 1 – PC1: S7-Diagnose und Konfiguration der Station Testen Sie nun die Funktion der S7-Firewall-Regel für PC1 von extern wie folgt: 1. Öffnen Sie das Projekt zur Konfiguration und Diagnose der Station: –...
Seite 114 VPN zur Netzkopplung 5.2 VPN-Tunnel SOFTNET Security Client und CPs oder SCALANCE S Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Da keine andere Kommunikation in der Firewall explizit freigegeben wurde, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein. Testabschnitt 2 –...
Seite 115 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5.3.1 Übersicht In diesem Beispiel projektieren Sie die VPN-Tunnelfunktion. Der SOFTNET Security Client und ein Security-Modul bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Tunnelverbindung über ein öffentliches Netzwerk.
Seite 116 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall ● Internes Netzwerk - Anschluss an der internen Schnittstelle des Security-Moduls Im internen Netzwerk wird im Testaufbau der Netzknoten durch ein Gerät mit integriertem Webserver realisiert, der das Protokoll HTTPS unterstützt. Das Gerät ist an der internen Schnittstelle des Security-Moduls angeschlossen.
Seite 117 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall ● Das Projekt mit der "Basisprojektierung" des Security-Moduls ist auf PC1 geöffnet. Bild 5-9 IP-Einstellungen der Grundprojektierung ● Sie haben sich in der Projektnavigation über das Menü "Globale Security-Einstellungen"> "Benutzeranmeldung"...
Seite 118 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5.3.2 IP-Einstellungen der PCs einrichten PC1 erhält für den Test folgende IP-Adresseinstellung: IP-Adresse Subnetzmaske Standardgateway 192.168.10.100 255.255.255.0 192.168.10.1 Gehen Sie bei PC1 folgendermaßen vor: 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung.
Seite 119 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 7. Wählen Sie im Dialog "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" das Optionsfeld "Folgende IP-Adresse verwenden" aus. 8. Geben Sie jetzt die dem PC zugeordneten Werte aus der Tabelle "IP-Einstellungen der PCs einrichten"...
Seite 120 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5.3.3 SOFTNET Security Client-Modul anlegen Neues Security-Modul anlegen 1. Wechseln Sie über den Menüpunkt "Projektansicht öffnen" in die Projektansicht. 2. Doppelklicken Sie in der Projektnavigation den Menüpunkt "Geräte & Netze". Ergebnis: Die Netzsicht wird geöffnet.
Seite 121 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5. Verschieben Sie diese über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Die Security-Module wurden der VPN-Gruppe hinzugefügt. 6. Um dies zu kontrollieren, öffnen Sie in der Netzsicht das Register "VPN". 7.
Seite 122 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5.3.5 VPN-Eigenschaften des Security-Moduls projektieren Gehen Sie so vor: 1. Wechseln Sie in die Gerätesicht und selektieren Sie das Security-Modul. Ergebnis: Die Eigenschaften des Security-Moduls werden konfigurierbar. 2.
Seite 123 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 4. Aktivieren Sie die Funktion "Firewall im erweiterten Modus aktivieren". Bestätigen Sie die Sicherheitsabfrage mit "Ja". Ergebnis: Die Firewall des Security-Moduls wird in den erweiterten Modus umgeschaltet. Sie können nun Firewall-Regeln konfigurieren, die auf IP-Adressen und Dienste filtern.
Seite 124 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Bild 5-11 Remote-Access Benutzer anlegen 5.3.8 Benutzerspezifische Firewall-Regelsätze projektieren Gehen Sie so vor: 1. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Globale Firewall-Regelsätze" > "IP-Regelsätze" > "Neuen IP-Regelsatz hinzufügen".
Seite 125 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 6. Verschieben Sie ihn über die Schaltfläche "<<" in die Liste "Zugewiesene Benutzer". 7. Doppelklicken Sie in der Projektnavigation den Eintrag "Globale Security-Einstellungen" > "Firewall" > "Benutzerspezifische IP-Regelsätze" > "Benutzerspezifischen IP-Regelsatz zuweisen".
Seite 126 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 10.Verschieben Sie es über die Schaltfläche "<<" in die Liste "Zugewiesene Module". Ergebnis: Der benutzerspezifische Firewall-Regelsatz wurde in die lokale Firewall des Security- Moduls eingefügt. Bild 5-13 Benutzerspezifischen IP-Regelsatz einem Modul zuordnen 11.Um dies zu kontrollieren, öffnen Sie im Inspektorfenster das Menü...
Seite 127 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5.3.9 SOFTNET Security Client-Konfiguration speichern Gehen Sie so vor: 1. Selektieren Sie in der Projektnavigation den SOFTNET Security Client. 2. Wählen Sie den Menübefehl "Bearbeiten" > "Übersetzen" und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats.
Seite 128 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 4. Wählen Sie die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. Bei SCALANCE S wird das Protokoll HTTPS zum Laden verwendet. 5.
Seite 129 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Ergebnis: Security-Modul im Produktivbetrieb Die Konfiguration ist abgeschlossen. Das Security-Modul schützt Station1 im internen Netzwerk des Security-Moduls (falls vorhanden). Die Kommunikation zur Station bzw. zur Station im internen Netzwerk kann nur noch verschlüsselt über den VPN-Tunnel erfolgen.
Seite 130 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Die Konfiguration ist damit abgeschlossen. Das Security-Modul und der SOFTNET Security Client haben einen Kommunikationstunnel aufgebaut, über den Netzknoten aus dem internen Netz und PC2 gesichert kommunizieren können. Security in STEP 7 Professional einrichten Getting Started, 09/2014, C79000-G8900-C379-01...
Seite 131 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5.3.12 Benutzerspezifischen Firewall-Regelsatz aktivieren 1. Öffnen Sie einen Standard-Webbrowser auf PC1 und geben Sie folgende URL ein: "https://192.168.10.1" 2. Geben Sie im nachfolgenden Fenster den Benutzernamen "remote" sowie das dazugehörige Passwort ein.
Seite 132 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5.3.13 Tunnel- und Firewall-Funktion testen Wie können Sie die konfigurierte Funktion testen? Die Funktionstests werden mit PC1 durchgeführt, auf dem ein Webbrowser installiert ist. Damit die abgelehnten Zugriffe durch die Firewall aufgezeichnet und angezeigt werden, verwenden Sie die Funktion des Paketfilter-Loggings.
Seite 133 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 4. Wählen Sie den Menübefehl "Online" > "Online verbinden". Ergebnis: Die Diagnose sowie das Projektierungsladen über das S7-Protokoll sind möglich. Da keine andere Kommunikation als über den VPN-Tunnel in der Firewall explizit freigegeben wurde, können diese Telegramme nur durch den VPN-Tunnel transportiert worden sein.
Seite 134 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Testabschnitt 2 – PC1: HTTPS-Zugriff auf den Webserver der Station Testen Sie nun die Funktion der HTTPS-Firewall-Regel für alle Teilnehmer aus dem externen Netzwerk wie folgt: ●...
Seite 135 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall 5. Wählen Sie die "PG/PC-Schnittstelle" und die "Verbindung mit Schnittstelle/Subnetz" aus, über die Sie mit dem Security-Modul verbunden sind. 6. Klicken Sie auf die Schaltfläche "Online verbinden". Ergebnis: Die Online-Verbindung zu dem Security-Modul wird aufgebaut und die Security-Diagnose über HTTPS ist möglich.
Seite 136 VPN zur Netzkopplung 5.3 VPN mit SOFTNET Security Client und SCALANCE S als benutzerspezifische Firewall Security in STEP 7 Professional einrichten Getting Started, 09/2014, C79000-G8900-C379-01...

Diese Anleitung auch für:

Scalance s612 Scalance s623 Scalance s627-2m Cp 343-1 Cp 443-1 Cp 1543-1 ... Alle anzeigen

Siemens SCALANCE S602 Bedienungsanleitung

Quicklinks

Verwandte Anleitungen für Siemens SCALANCE S602

Inhaltszusammenfassung für Siemens SCALANCE S602

Diese Anleitung auch für: