Configuration zur Kommunikation - Siemens AG · 2015-01-19 · Freischalten des Zugriffs auf den...

Configuration zur Kommunikation

Schutz einer Automatisierungszelle durch das Se-curity Modul SCALANCE S612 mittels Firewall

Configuration 5

Einsatzbereiche und Nutzen

Configuration 5 Beitrags-ID 22376747

V 1.0 Ausgabe 27.01.2006 2/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Hinweis Die Applikationsbeispiele sind unverbindlich und erheben keinen An-spruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung so-wie jeglicher Eventualitäten. Die Applikationsbeispiele stellen keine kun-denspezifische Lösungen dar, sondern sollen lediglich Hilfestellung bie-ten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Applika-tions¬beispiele entheben Sie nicht der Verpflichtung zu sicherem Um-gang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass Siemens über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden kann. Wir behalten uns das Recht vor, Änderungen an diesen Applikationsbeispielen jederzeit ohne Ankündigung durchzufüh-ren. Bei Abweichungen zwischen den Vorschlägen in diesen Applikati-onsbeispiel und anderen Siemens Publikationen, wie z.B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.

Gewährleistung, Haftung und Support

Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr.

Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwen-dung der in diesem Applikationsbeispiel beschriebenen Beispiele, Hinwei-se, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z.B. nach dem Produkthaftungs-gesetz in Fällen des Vorsatzes, der grober Fahrlässigkeit, wegen der Ver-letzung des Lebens, des Körpers oder der Gesundheit, wegen einer Über-nahme der Garantie für die Beschaffenheit einer Sache, wegen des arglis-tigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Ver-letzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahr-lässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers o-der der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden.

Copyright© Copyright-Jahr Siemens A&D. Weitergabe oder Vervielfäl-tigung dieser Applikationsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens A&D zugestanden. Bei Fragen zu diesem Beitrag wenden Sie sich bitte über folgende E-Mail-Adresse an uns:

mailto:[email protected]

mailto:[email protected]



V 1.0 Ausgabe 27.01.2006 3/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Vorwort Configurations sind funktionsfähige und getestete Automatisierungskonfigu-rationen auf Basis von A&D-Standardprodukten für die einfache, schnelle und kostengünstige Realisierung von Automatisierungsaufgaben. Jedes der vorliegenden Configurations deckt dabei eine häufig vorkommende Teilaufgabe einer typischen Kundenproblemstellung ab.

Für diese Teilaufgaben finden Sie mit Hilfe der Configurations Antworten darauf, welche Produkte benötigt werden und wie diese miteinander funkti-onieren. Dazu wird eine getestete Beispielapplikation zur Verfügung ge-stellt.

Um die - dieser Configuration zugrunde liegende - Funktionalität zu realisie-ren, können aber je nach Anlagenerfordernissen auch eine Reihe anderer Komponenten (z.B. andere CPUs, Stromversorgungen, etc.) eingesetzt werden. Diese Komponenten entnehmen Sie bitte den entsprechenden Ka-talogen von SIEMENS A&D.

Inhaltsverzeichnis

1 Einsatzbereiche und Nutzen.......................................................................... 4

2 Aufbau ............................................................................................................. 7

3 Benötigte Hard- und Software-Komponenten.............................................. 8

4 Projektierung und Inbetriebnahme des Beispielprojekts ........................... 9 4.1 Hardware-Aufbau und IP-Konfiguration des PG zuweisen............................. 10 4.2 Inbetriebnahme des Security Moduls und Freischaltung des DCP-Protokolls 13 4.3 Freischalten des S7-Protokolls für das PG..................................................... 15 4.4 IP-Adresse bzw. Gerätenamen zuweisen....................................................... 19 4.5 SIMATIC Station laden und Test der S7-Funktionalität .................................. 21 4.6 Freischalten des HTTP- und FTP-Protokolls .................................................. 22

5 Technische Daten ......................................................................................... 25

6 Wichtige Begriffe und Literaturverzeichnis................................................ 27



V 1.0 Ausgabe 27.01.2006 4/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

1 Einsatzbereiche und Nutzen

Einleitung Moderne Automatisierungstechnik baut auf Kommunikation und zuneh-mende Vernetzung einzelner Fertigungsinseln. Dabei wird die Integration aller Fertigungskomponenten mit durchgängiger Vernetzung zum Office-Netzwerk bzw. dem Firmen-Intranet immer wichtiger. Dadurch wirkt die in-dustrielle Kommunikation zunehmend mit der IT-Welt zusammen und ist nun den gleichen Gefährdungen ausgesetzt, die aus dem Office- und IT-Umfeld wohlbekannt sind.

Automatisierungsaufgabe Eine Automatisierungszelle soll so mit dem Firmennetz verbunden werden, dass über eine „Zutrittskontrolle“ nur bestimmte Partner/ Netzknoten bzw. Kommunikationsdienste Zugriff auf die internen Teilnehmer dieser Zelle haben. Abbildung 1-1

Automatisierungszelle 1 Automatisierungszelle 2 Automatisierungszelle N

PG/PC 1 PG/PC 2 PG/PC N

Industrial Ethernet

erlaubterZugriff

gesperrterZugriff

gesperrterZugriff

Dabei sollen folgende Anwenderszenarien nur für einen Partner freige-schaltet werden.

• Projektieren/ Diagnostizieren mit STEP 7

• Visualisieren mit WinCC flexible

• Zugriff auf zelleninterne Web- und FTP Server

Die realisierte Zugriffssteuerung soll einfach und kostengünstig erfolgen und auch von Automatisierungs-Personal erstellt und gepflegt werden kön-nen.



V 1.0 Ausgabe 27.01.2006 5/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Automatisierungslösung – Configuration 5 Diese Configuration zeigt, wie SCALANCE Security Module als Firewall konfiguriert und so zum Schutz von Automatisierungszellen/ -komponenten eingesetzt werden können.

Auf einfache Weise kann so erreicht werden, dass auf die Einzelgeräte in-nerhalb der Automatisierungszelle nur von bestimmten PGs/ PCs aus zu-gegriffen werden kann. Zusätzlich ist ein Zugriff nur für explizit erlaubte Kommunikations-Dienste mit bestimmten Port-Nummern erlaubt. Abbildung 1-2

Mit Firewall geschützte Automatisierungszelle

SCALANCE S-Modul

als Firewall

Zelle n Zelle n+1

Firmennetz

„zelleninterne“Komponenten

Freigeschaltete Applikationen/Dienste

• STEP7-Projektierung/ Diagnose• Visualisierung mit WinCC flexible• WBM-Switch Projektierung (HTTP)• FTP-Datentransfer

PG/PC

SCALANCE Switch

S7-CPU IT-CP PN IO

Anwendungs-Szenarien Die folgende Tabelle listet die Szenarien auf, die in dieser Configuration dargestellt werden und mit den entsprechenden Firewall-Regeln im SCA-LANCE S Modul realisiert werden. Tabelle 1-1

Nr. Anwendung Beschreibung

1 Parametrierung IP-Konfiguration aller zelleninternen Geräten zuwei-sen. (Knotentaufe mit STEP 7 über DCP).

2 Freischalten der vollen PG-Funktionalität (STEP 7) für den Projektierungs-PC/PG.

3

Projektierung/ Diagnostizieren/ Visualisierung Freischalten der WebBased-Management (WBM)-

Parametrierung des SCALANCE X208 Switches durch das Projektierungs-PG über HTTP.

4 Produktivdaten-transfer/ Visuali-sierung

Freischalten des Zugriffs auf den FTP-Server und Web-Server des zelleninternen IT-CPs.



V 1.0 Ausgabe 27.01.2006 6/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Einsatzbereiche Die SCALANCE Security Module sind speziell für den Einsatz in produkti-onstechnischen Anlagen konzipiert worden. Sie können hier zum Schutz von Einzelgeräten oder auch ganzen Netzsegmenten (z.B. von Automati-sierungszellen) eingesetzt werden.

Nutzen • Robustes, industrietaugliches Design

• Rückwirkungsfreie Integration in bestehende Netztopologien möglich

• Sehr einfache und benutzfreundliche Konfiguration und Administration ohne IT-Spezialwissen

• Schutz vor gegenseitiger Beeinflussung

• Schutz vor versehentlicher Fehladressierung

• Verhinderung von Kommunikationsüberlast im Produktionsbereich

• Schutz vor Datenmanipulation und –ausspähung

• Alternativer oder ergänzender Schutz durch VPN möglich

• Skalierbare Schutzfunktionen

Aufbau


V 1.0 Ausgabe 27.01.2006 7/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

2 Aufbau

Das folgende Bild zeigt den realisierten HW-Aufbau dieser Configuration.

Abbildung 2-1

FileTransferProtokoll

STEP7-ProjektierungDiagnose

Visualisierung(WinCC flexible)

SCALANCES612

SIMATIC Station CPU 315-2 DPCP 343-1 Adv (GX21)

ET 200S PNIO

SCALANCEX208

24V

24V

24V

24V

WBM/IT-CP

Datentransfer(IT-CP)

Field PG

Die geschützte Automatisierungszelle enthält eine SIMATIC S7-300 Station mit der CPU 315-2 DP und einem IT-CP, dem CP343-1 Advanced und ei-ner E/A-Simulationsbaugruppe. Über einen SCALANCE X208 Industrial Switch ist der CP 343-1 ADV mit der ET 200S PN IO verbunden. Ebenfalls am Switch hängt das Security Modul SCALANCE S 612 mit seinem inter-nen Port. An den externen Port des Security Moduls ist das Field-PG ange-schlossen, auf dem die Applikationen laufen, die auf die geschützte Zelle zugreifen dürfen.

Hinweis Die Stromversorgung (DC 24 V) der SIMATIC-Station wird hier im Test-aufbau auch zur Versorgung des Switches, des Security Module und der ET 200S PNIO verwendet.

Benötigte Hard- und Software-Komponenten


V 1.0 Ausgabe 27.01.2006 8/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

3 Benötigte Hard- und Software-Komponenten

Security- und Netzkomponenten Tabelle 3-1

Komponente Typ MLFB/Bestellnummer Anz Hinweis

Industrial Security Module

SCALANCE S612 6GK5 612-0BA00-2AA3 1 Im Lieferum-fang ist das Security Con-figuration Tool enthalten

Industrial Ethernet Switch

SCALANCE X208 6GK5 208-0BA00-2AA3 1 8 RJ45-Ports managed

SIMATIC Hard- und Software Tabelle 3-2


PG Field PG 6ES7711- 1 Field PG Konfigurator

STEP 7 Version 5.3

6ES7 810-4CC07-0YA5 1

SP3 zu STEP 7 V5.3 (oder höher)

1 Download unter Beitrags-ID 21953245

Runtime oder

6AV6 613-1BA01-1CA0 1 HMI-Software WinCC flexible 2005

Advanced Engi-neering-SW

6AV6 613-0AA01-1CA5 1

Alternativ kann auch WinCC flexible 2004 verwendet werden.

SIMATIC Station 1 Stromversorgung PS 307 5A 6ES7 307-1EA00-0AA0 1 S7-300 CPU CPU 315-2 DP 6ES7315-2AG10-0AB0 1 S7-300 CP CP 343-1 Advan-

ced 6GK7343-1GX21-0XE0

Simulator-Baugruppe

SM 374 6ES7 374-2XH01-0AA0 1 Alternativ kann auch die dig. Ausgabe-BG SM 322 einge-setzt werden: 6ES7 322-1BH01-0AA0

Projektierung und Inbetriebnahme des Beispielprojekts


V 1.0 Ausgabe 27.01.2006 9/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc


Interfacemodul IM 151-3 PN

6ES7 151-3AA00-0AB0 1

Powermodul PM-E DC 24V

6ES7 138-4CA00-0AA0 1

Digitales Aus-gabemodul 4 DO DC 24V

6ES7 132-4BD00-0AA0 2

Terminalmodul TM-P

6ES7 193-4CC20-0AA0 1

ET 200S PNIO

Terminalmodul TM-E

6ES7 193-4CB20-0AA0 2

Zubehör Micro Memory Card 2 MB 6ES7 953-8LL11-0AA0 3 Frontstecker 20-pol 6ES7 392-1AJ00-0AA0 2 Nur für SM

322 notwendig Ethernet-Anschluss-Kabel

IE TP Cord RJ45/RJ45

6XV1 870-3QXyy 4 0,5 – 10 m

4 Projektierung und Inbetriebnahme des Beispielprojekts

Vorbemerkung Zum Startup bieten wir Ihnen ein fertiges STEP 7 - Beispielprojekt zum Download an. Dieses Softwarebeispiel unterstützt Sie bei den ersten Schritten und Tests mit dieser Configuration. Es ermöglicht einen schnellen Funktionstest der Hardware- und Softwareschnittstellen zwischen den hier beschriebenen Produkten.

Das Softwarebeispiel ist immer den in dieser Configuration verwendeten Komponenten zugeordnet und zeigt deren prinzipielles Zusammenspiel. Es stellt aber selbst keine reale Anwendung im Sinne einer technologischen Problemlösung mit definierbaren Eigenschaften dar.

In den folgenden Kapiteln werden Sie Schritt für Schritt durch die Projektie-rung des SCALANCE S Moduls geführt.

Download Das STEP 7-Beispielprojekt finden Sie auf der HTML-Seite, von welcher Sie dieses Dokument geladen haben. Entpacken Sie die Zip-Datei nach dem Download mit einem beliebigen Unzip-Programm wie z.B. Winzip und speichern die beiden STEP 7-Zip-Dateien auf der Festplatte ab.



V 1.0 Ausgabe 27.01.2006 10/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Dearchivieren Sie mit Hilfe der STEP 7-Software eines der beiden STEP 7-Projekte, abhängig von Ihrer verwendeten WinCC flexible Version (2005 bzw. 2004, siehe folgende Tabelle).

Tabelle 4-1

Name Inhalt S7-Projektname

Conf5__9.zip Conf5_IT_2005 22376747_Firewall_Security_S7CODE_V10.zip Conf5__6.zip Conf5_IT_2004

Vorgehensweise In den weiteren Kapiteln zeigen wir Ihnen sukzessive

• wie Sie die Hardware aufbauen

• wie Sie die einzelnen Baugruppen parametrieren und

• welche Regeln Sie für welches Anwender-Szenario projektieren müs-sen.

In folgender Tabelle ist dargestellt, in welcher Reihenfolge Sie vorgehen müssen. Tabelle 4-2

Nr. Beschreibung Kap.

1 Hardware Aufbau und IP-Konfiguration des PGs 4.1 2 Inbetriebnahme des Security Moduls und Freischaltung des

DCP-Protokolls im Security Modul. 4.2

3 Parametrierung des S7-Protokolls im Security Modul. 4.3 4 Zuweisung der IP-Adressen bzw. Gerätenamen an die inter-

nen Netzknoten, laden des STEP 7-Projekts und Funktions-test.

4.4

5 Freischaltung des HTTP- und FTP-Protokolls im Security Mo-dul mit Funktionstest.

4.6

4.1 Hardware-Aufbau und IP-Konfiguration des PG zuweisen

Hardware aufbauen Die beiden internen Netzknoten, die SIMATIC Station und die ET 200S, werden mit Patch-Kabeln mit dem SCALANCE-Switch X208 und dieser mit dem Security Module verbunden (Port: Internal Network, siehe Abb. 2-1).



V 1.0 Ausgabe 27.01.2006 11/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Das PG wird mit dem Port „External Network“ am Security Modul verbun-den. Im nächsten Schritt wird dem Programmiergerät/ PC eine IP-Adresse zugewiesen.

Die folgende Tabelle enthält die Übersicht aller verwendeten IP-Adressen in diesem Beispiel:

Tabelle 4-3 Subnet-Maske 255.255.255.0

Komponente IP-Adresse/Gerätename Bemerkung

PG, Ethernet-CP 192.168.0.1 SCALANCE S612 192.168.0.201 Security Module CP 343-1 GX21 192.168.0.101 SIMATIC Station ET 200S PNIO 192.168.0.102

IM151-3PN-Cell1 IP-Adresse wird vom PN IO-Controller vergeben

SCALANCE X208 192.168.0.103 SCALANCE-X208-Cell1

IP-Adresse wird vom PN IO-Controller vergeben

IP-Adresse des PGs zuweisen

Nr. Aktion Bemerkung/Bild

1. Öffnen Sie die Systemsteuerung mit fol-gendem Menübefehl: Start ► Einstellung ► Systemsteuerung

2. Öffnen Sie das Symbol „Netzwerkver-bindungen“.

3. Aktivieren Sie, falls noch nicht geschehen, im Dialog „Eigenschaften der LAN-Verbindung“ das Optionskästchen „Inter-netprotokoll (TCP/IP) und klicken Sie auf die Schaltfläche „Eigenschaften“.



V 1.0 Ausgabe 27.01.2006 12/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc


4. Wählen Sie das Optionsfeld „Folgende IP-Adresse verwenden“ aus und tragen Sie die IP-Adresse und Subnetmaske des PG gemäß Tabelle 4-3 ein. Schließen Sie die Dialoge mit „OK“ ab.

5. Abschließend stellen Sie mit der PG/PC-Schnittstelle den Zugangsweg auf den verwendeten Ethernet-CP und TCP/IP ein.



V 1.0 Ausgabe 27.01.2006 13/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

4.2 Inbetriebnahme des Security Moduls und Freischaltung des DCP-Protokolls

Einleitung Folgende Szenarien und Regeln werden hier konfiguriert. Tabelle 4-4

Firewall-Szenario Regel-Beschreibung

Projektierung: Knotentaufe aller zellen-interner Geräte durch externes PG mit STEP 7 (integ-riertes Primary Setup Tool)

Kategorie: MAC-Filter • Freischaltung des DCP-Protokolls • Bidirektionalität (Extern <-> Intern)

Voraussetzung Zur Konfiguration der Security Module wird das Security Configuration Tool benötigt, welches zuerst installiert werden muß. Die Konfiguration wird offline erstellt und dann in das Security Module übertragen.


1. Installation Legen Sie die bei dem Security Module S612 mitgelieferte CD ins Laufwerk und klicken Sie auf Start.exe. Installieren Sie das Security Configuration Tool. Voraussetzung: Als Betriebssystem wird Windows 2000 (SP3 oder SP4) und Windows XP(SP1 oder SP2) unterstützt.



V 1.0 Ausgabe 27.01.2006 14/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Parametrieranleitung


2. Starten Sie die das Security Configura-tion Tool (Start ► Simatic ► SCALANCE ► Security) und erzeugen Sie ein neues Projekt mit dem Befehl: Projekt ► Neu Wählen Sie einen Benutzernamen und ein Passwort. Danach geben Sie nach Tabelle 4-3 die IP-Adresse des Security Moduls ein. Anschließend wird die MAC-Adresse eingegeben, die auf der Frontseite des Security Module aufgedruckt ist.

3. Stellen Sie als nächstes den verwendeten Netzwerk-Adapter ein: Optionen ► Netzwerk-Adapter

4. Standard-Modus der Firewall Markieren Sie die Zeile mit dem Modul. Gehen Sie über Bearbeiten ► Eigen-schaften zu den Firewall-Einstellungen. Wählen Sie die Option „Erlaube die Kon-figuration von Netzknoten mittels DCP“. Damit wird das Setzen von IP-Adressen bzw. Geräteamen (Knotentaufe) durch das in STEP 7 integrierte Primary Setup Tool (PST) ermöglicht. (siehe Glossar)



V 1.0 Ausgabe 27.01.2006 15/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Hinweis Standard-Modus der Firewall

In diesem Modus ist es möglich, einige Standard-Szenarien schnell und einfach zu konfigurieren.

• So können Sie z.B. neben der oben gezeigten Knotentaufe über DCP al-len internen Netzknoten erlauben, auf Stationen im externen Netz zu-zugreifen. Nur die entsprechenden Antwort-Telegramme werden ins in-terne Netz weitergeleitet. (Stateful Packet Inspection, siehe Glossar).

• Alternativ ist es auch möglich, dies nur im Rahmen einer S7-Kommunikationsverbindung (S7-Protokoll, Port 102) zu erlauben.

• Des weiteren kann ein Zugriff auf DHCP-, NTP- oder DNS-Server vom internen ins externe Netz konfiguriert werden.

Erweiterter-Modus der Firewall

Im Gegensatz zur Projektierung fest vorgegebener Filter-Regeln im Standard-Modus können Sie im erweiterten Modus individuelle Regeln projektieren. Man unterscheidet MAC- (Ebene 2) und IP- Filterregeln (Ebene 3 bzw. 4). Die Filter-regeln werden zeilenweise von oben nach unten abgearbeitet. Nur das, was ausdrücklich erlaubt wird, kann passieren. Bleibt bei einer Filterregel, die z.B. mit „Allow“ beginnt, die MAC- oder IP-Adresse leer, so sind alle Adressen erlaubt.

Anstatt einer einzelnen IP-Adresse können auch ganze Adressbänder verwen-det werden: z.B. 192.168.0.0/30 maskiert die ersten 30 Bits: 192.168.0.0 – 192.168.0.3.

Die weitere Konfiguration erfolgt nun ausschließlich im erweiterten Modus.

4.3 Freischalten des S7-Protokolls für das PG

Einleitung Folgende Szenarien und Regeln werden hier konfiguriert. Am Ende dieses Abschnitts werden die bisher konfigurierten Regeln ins Security Modul ge-laden.

Tabelle 4-5


Projektierung: Voller Zugriff des SIMATIC Managers auf alle zellen-internen Komponenten • Projektierung • Diagnose • Visualisierung

Kategorie: IP-Filter • Freischaltung des S7-Protokolls

(TCP Port 102) – Extern -> Intern mit fester

Quell-/Zieladresse



V 1.0 Ausgabe 27.01.2006 16/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc


Nr. Aktion Bemerkung/Bild Erweiterter-Modus der Firewall Um den Zugriff von extern mit STEP 7 auf die SIMATIC Station in der Firewall zu erlau-ben, muß die Firewall-Projektierung im Erweiterten Modus erfolgen. Ansicht ► Erweiterter Modus Wechseln Sie wieder zu den Firewall-Einstellungen. Die im Bild unten dargestellten Filter-Regeln werden automatisch erzeugt (siehe Schritt 4) und erlauben die sogenann-te Knotentaufe.

5.



V 1.0 Ausgabe 27.01.2006 17/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Nr. Aktion Bemerkung/Bild Wechseln Sie zu IP Regeln ► IP Dienste Definition ► IP Dienst hinzufügen und geben folgende Werte ein (Name/Protokoll/Port): S7 tcp 102 Dann Regel hinzufügen anwählen und Allow Extern->Intern 192.168.0.1 192.168.0.101 S7 eingeben. Eingaben jeweils mit OK abschließen!

6.

7. Speichern Sie die Konfiguration unter einem sinnvollen Namen (z.B. S612_FW) ab. 8. Übertragen Sie nun die Konfiguration ins

Modul. Markieren Sie die Zeile mit dem Modul und wählen Sie: Übertragen ► An Modul .. Die F-LED wechselt von gelborange nach grün (siehe Hinweis nächste Seite). Warten Sie, bis die Meldung „Transfer erfolgreich beendet“ erscheint (ca. eine Minute).

Hinweis DCP-Protokoll sicherer machen

Die MAC-Filterregeln in Schritt 5 der vorigen Seite erlauben allen externen Stati-onen, per DCP auf die internen Netzknoten zuzugreifen und IP-Adressen zu vergeben oder zu verändern. In einer realen Anlage sollte dies auf ein PG/PC eingeschränkt werden, indem die PG-MAC-Adresse ergänzt wird:

Action Dir. Source MAC Dest MAC Service

Allow Int->Ext PG MAC DCP

Allow Ext->Int PG MAC DCP

Allow Int->Ext PG MAC DCP2

Allow Ext->Int PG MAC DCP2



V 1.0 Ausgabe 27.01.2006 18/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Hinweis Das Security Module in Betrieb nehmen

Wenn das Security Module zum ersten Mal eingeschaltet wird, leuchtet die F-LED mit gelborangem Licht. Das Modul befindet sich im Anlaufzustand ohne IP-Adresse. Eine grüne F-LED signalisiert, dass dem Security Module eine IP-Adresse zugewiesen wurde.

Wenn sich schon eine Konfiguration auf dem Security Module befindet und Benutzername und Paßwort nicht mehr bekannt sind, dann muß das Security Module auf Werkseinstel-lungen zurückgesetzt werden, um eine neue Konfiguration laden zu können. Dazu wird der Reset-Taster unter dem Schraubverschluß auf der Rückseite so lange gedrückt, bis die F-LED gelb-rot blinkt (siehe Betriebsanleitung /1/, Kap. 2.1.6).



V 1.0 Ausgabe 27.01.2006 19/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

4.4 IP-Adresse bzw. Gerätenamen zuweisen

Einleitung Die Firewall des Security Moduls ist jetzt so konfiguriert, dass IP-Adressen bzw. Gerätenamen den internen Netzknoten zugewiesen werden können. Zusätzlich wurde eingestellt, dass man von einer bestimmten IP-Adresse (PG) aus mit STEP 7 auf die SIMATIC Station zugreifen kann.


Nr. Aktion Bemerkung/Bild 1. Beenden Sie das Security Configuration

Tool und starten Sie den SIMATIC Mana-ger. Wählen Sie: Zielsystem ► Ethernet-Teilnehmer be-arbeiten ► Durchsuchen Angezeigt wird neben dem Security Modu-le eine Liste der internen Netzknoten, die bis jetzt nur eine MAC-Adresse (siehe Glossar) und noch keine gültige IP-Adresse besitzen. Markieren Sie die Zeile mit dem ET 200S und klicken Sie auf „OK“

2. Gerätenamen zuweisen Tragen Sie im Fenster „Gerätename“ den auch in der STEP7-Projektierung verwendeten Namen „IM151-3PN-Cell1“ ein. Klicken Sie auf „Name zuweisen“. Genauso vergeben Sie den Namen für den SCALANCE X208. Beachten Sie die aufgedruckte MAC-Adresse. Tragen Sie im Fenster „Gerätenamen“ „SCALANCE-X208-Cell1“ ein. Siehe Hinweis auf HW Config des STEP 7-Projekts auf der folgenden Seite.



V 1.0 Ausgabe 27.01.2006 20/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Nr. Aktion Bemerkung/Bild 3. IP-Konfiguration zuweisen

Markieren Sie die Zeile mit dem S7-300 CP wie in Schritt 1, klicken auf „OK“ und tragen Sie IP-Adresse und Subnetmaske des CP nach Tabelle 4-3 ein. Anschlie-ßend klicken Sie auf „IP-Konfiguration zuweisen“.

4. Nach einem erneuten „Netzscan“ (siehe Schritt 1) erhalten Sie das nebenstehende Bild.

Hinweis HW Config des STEP 7-Projekts Im STEP 7-Projekt sind die ET200S und der SCALANCE-Switch soge-nannte PROFINET IO-Devices. Sie sind so projektiert, dass Ihnen nur ein Gerätenamen zugewiesen werden muß. Die IP-Adresse wird dann vom PROFINET IO-Controller (CP 343-1GX21) zugewiesen.



V 1.0 Ausgabe 27.01.2006 21/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

4.5 SIMATIC Station laden und Test der S7-Funktionalität

Einleitung Nachdem die Firewall im Security Modul so konfiguriert wurde, dass eine Zuteilung der IP-Adressen bzw. der Gerätenamen durch den SIMATIC Ma-nager erlaubt wurde und eine S7-Kommunikation (Port 102) zwischen zwei bestimmten IP-Adressen möglich ist, kann jetzt die STEP 7-Projektierung in die SIMATIC Station geladen werden und die Visualisierung mit WinCC fle-xible getestet werden.

Der Dienst S7-Kommunikation wird sowohl von STEP 7 (beim Zugriff über Ethernet auf die SIMATIC Station) als auch von WinCC Flexible (Visualisie-rung) verwendet.

Testfunktionen

Nr. Aktion Bemerkung/Bild 1. Öffnen Sie mit dem SIMATIC Manager

das Projekt „Conf5_IT_2005“ (Conf5__9) und laden es in die SIMATIC Station. Hinweis: Wenn Sie WinCC flexible 2004 Runtime zur Visualisierung einsetzen wollen, dann verwenden Sie das Projekt „Conf5_IT_2004“ (Conf5__6)

2. WinCC flexible Runtime Test Starten Sie aus dem Explorer die in dem STEP 7-Projekt liegende WinCC-Datei

PROJECT_1.SIMATIC HMI-Station(1).fwx

mit dem Pfad:

..\Programme\SIE-MENS\Step7\S7proj\Conf5__9

\HmiEs\PROJECT_1.

Klicken Sie auf „System Messages“, um bei eventuellen Problemen die Fehlermel-dungen anzuzeigen.



V 1.0 Ausgabe 27.01.2006 22/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

4.6 Freischalten des HTTP- und FTP-Protokolls

Einleitung Möchte man z.B. mit dem Internet Explorer per HTTP auf die Homepage des IT-CPs oder auf den Switch SCALANCE X-208 zugreifen, so muß die-ser Dienst explizit zugelassen werden. Das gleiche gilt, wenn auf den FTP-Server des IT-CPs zugegriffen werden soll.

Folgende Szenarien und Regeln werden in diesem Abschnitt konfiguriert. Am Ende dieses Abschnitts werden die bisher konfigurierten Regeln ins Security Modul geladen und getestet.

Tabelle 4-6


Produktivdatentransfer, Diagnose: Zugriff auf • den FTP-Server • den Web-Server des IT-CPs. Parametrierung: Zugriff auf • den Web-Server des X208-Switches

Kategorie: IP-Filter • Freischaltung des HTTP-Protokolls

(Port 80) – Extern -> Intern mit fester

Quell-/Zieladresse • Freischaltung des FTP-Protokolls

(Port 21/alle Ports) – Extern -> Intern für Port 21 mit

fester Quell-/Zieladresse – Intern -> Extern für alle Ports

mit fester Quell-/Zieladresse


Nr. Aktion Bemerkung/Bild 1. Starten Sie wieder das Security Configu-

ration Tool und laden die in Kap. 4.3 gespeicherte Konfiguration. Gehen Sie über die Firewall-Einstellungen zu der IP-Dienste Definition. Ergänzen Sie zu der schon vorhandenen Zeile zwei weitere Zeilen (Name, Protokoll, Port): HTTP tcp 80 FTP tcp 21



V 1.0 Ausgabe 27.01.2006 23/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Nr. Aktion Bemerkung/Bild Ergänzen Sie im Menü IP-Regeln weitere vier Zeilen (siehe Abb. unten). Allow Ext->Int 192.168.0.1 192.168.0.101 HTTP Allow Ext->Int 192.168.0.1 192.168.0.103 HTTP Allow Ext->Int 192.168.0.1 192.168.0.101 FTP Allow Int->Ext 192.168.0.101 192.168.0.1 all Speichern Sie die geänderte Konfiguration und übertragen Sie sie ins Security Modu-le.

2.

Funktionstest

Nr. Aktion Bemerkung/Bild 3. Um die Homepage des IT-CPs mit dem

Internet Explorer anzusehen, klicken Sie auf folgenden Link: http://192.168.0.101 Das Security-Modul lässt hierbei aus-schließlich eine Kommunikation zwischen dem PG und dem IT-CP zu. Hinweis: Beim Internet Explorer (Extras ►Inter-netoptionen ►Verbindungen ► LAN-Einstellungen) sollte hierzu kein automa-tisches Konfigurationsscript bzw. kein Proxyserver eingestellt sein.

Hinweis Zur Freischaltung des FTP-Protokolls (FTP Active Mode, Port 21, Port 20)

Für FTP werden in der Firewall zwei Zeilen benötigt, da zwei unabhängige Verbindungen benutzt werden. Die 1. Verbindung vom Client zum Server dient zur Kommandoübermitt-lung (Zielport 21), die 2. Verbindung vom Server zum Client dient zur Datenübertragung (Quellport 20).

In der zweiten FTP-Zeile muß der IT-CP (192.168.0.101) für alle Ports freigeschaltet werden, weil der hier benutzte Port 20 ein serverseitiger Quellport ist und in der vorlie-genden Version nur Zielports freigeschaltet werden können.



V 1.0 Ausgabe 27.01.2006 24/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Nr. Aktion Bemerkung/Bild 4. Web Based Management

Mit dem Internet Explorer kann auch nach Eingabe von Benutzername und Paßwort (Passwort-Voreinstellung: admin) auf den SCALANCE X-208 zugegriffen werden: http://192.168.0.103 Das Security-Modul lässt hierbei aus-schließlich eine Kommunikation zwischen dem PG und dem X-208 zu.

5. Um auf den FTP-Server im IT-CP zu-zugreifen, öffnen Sie eine DOS-Box (Start ► Ausführen ►cmd ► OK) und geben ein: ftp 192.168.0.101 User: star Paßwort: stardust Nach Eingabe von „dir“ wird das Server-Dateiverzeichnis angezeigt. Ein einfacher Dateitransfer ist mit „put“ und „get“ mög-lich. Geben Sie z.B. ein: get index.htm Die Datei wird vom Server ins lokale Ver-zeichnis transferiert. Beenden Sie den ftp-Dienst mit „quit“. Das Security-Modul lässt hierbei aus-schließlich eine FTP-Kommunikation zwi-schen dem PG und dem IT-CP zu.

Technische Daten


V 1.0 Ausgabe 27.01.2006 25/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

5 Technische Daten

SCALANCE S612 Tabelle 5-1

Schnittstellen 2 x RJ45 Buchse,10/100 Mbit/s, TP

• roter Port External Network

• grüner Port Internal Network

Versorgungsspannung DC 24 V, redundant einspeisbar

Stromaufnahme 130 mA

Verlustleistung ca. 4 W

Schutzart IP30

Anzahl gleichzeitig betreibba-rer VPN- Verbindungen

max. 64

Anzahl interner Knoten max. 32

SCALANCE X208 Switch Tabelle 5-2

Schnittstellen

Anschluß von Endgeräten oder Netzkomponenten über Twisted Pair

8xRJ45-Buchse, 10/100 Mbit/s, TP

Anschluß für Spannungsversor-gung

1x4-poliger steckbarer Klemmenblock

Anschluss für Meldekontakt 1x2- poliger steckbarer Klemmenblock

Versorgungsspannung 2 x DC 24 V

Stromaufnahme 185 mA

Schutzart IP30

Technische Daten


V 1.0 Ausgabe 27.01.2006 26/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

CP 343-1 ADVANCED (343-1 GX21)

Tabelle 5-3

Kriterium Leistungseckdaten

Versorgungsspannung DC 24 V

Stromaufnahme, typ. 160 mA aus DC 24V extern

Ethernet-Schnittstelle RJ45

Übertragungsrate 10/100 MBit/s Autosensing

S7-Kommunikation max. 16 Verbindungen

S5-kompatible Kommunikation (Send/Receive)

max. 16 Verbindungen

PG/OP-Kommunikation max. 16 Verbindungen

Multiprotokollbetrieb Summe aller gleichzeitig betreib-baren Verbindungen

ISO, TCP/IP, UDP, RFC 1006 max. 48

Profinet IO-Controller Anzahl betreibbarer PN IO-Devices

125

Wichtige Begriffe und Literaturverzeichnis


V 1.0 Ausgabe 27.01.2006 27/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

6 Wichtige Begriffe und Literaturverzeichnis

Authentizität „Echtheit“ von Nachrichten: Kommt die Nachricht tatsächlich vom

angegebenen Absender? Dies wird mit digitalen Signaturen (Zer-tifikaten) überprüft.

DCP Discovery and Configuration Protocol. Damit können Gerätena-men, IP-Adressen und andere Parameter gesetzt und gelesen werden. Über einen Identify Dienst lassen sich auch Stationen herausfinden, die sich am Netz befinden.

Firewall Geräte bzw. Software zur Kontrolle erlaubter Datenverbindungen

FTP File Transfer Protocol, Standard-Protokoll für den Dateitransfer im Internet, siehe /2/.

Integrität

Informationen können nicht unbemerkt verändert werden.

IPsec „IPsec“ ist die Abkürzung von einer Reihe von Standards zur

Netzwerk-Absicherung (IP Security). Es bietet die Möglichkeit, die Integrität, Vertraulichkeit (durch Verschlüsselung) und die Au-thentizität der Daten zu sichern.

MAC-Adresse Medium Access Control – sog. Hardware-Adresse, die im Ge-gensatz zur IP-Adresse meist fest im Chip eingebrannt ist.

Ping Ein Ping-Telegramm wird gesendet, um zu prüfen, ob eine Partnerstation auf IP-Ebene erreichbar ist.

PST Primary Setup Tool: Funktionalität in neueren STEP 7-Versionen enthalten. Damit können Gerätenamen, IP-Adressen und andere Parameter gesetzt und gelesen werden. Nutzt DCP. Download unter Beitrags-ID 19440762

Wichtige Begriffe und Literaturverzeichnis


V 1.0 Ausgabe 27.01.2006 28/28

Cop

yrig

ht ©

Sie

men

s A

G 2

006

All

right

s re

serv

ed

2237

6747

_Fire

wal

l_S

ecur

ity_D

OK

U_V

10_d

.doc

Stateful Packet Inspection (SPI) (zustandsgesteuerte Filterung) Eine besondere Fähigkeit von Fi-rewalls, bei dem Datenpakete der Hin- und Rückrichtung einem logischen Datenstrom zugeordnet werden. Nur bei verbindungs-orientierten Protokollen wie TCP möglich (nicht bei UDP und ICMP wie z.B Ping). Als Firewall-Regel muß nur eine Zeile (Hin – oder Rückrichtung) projektiert werden.

Tunnel Als Tunneln bezeichnet man die Einkapselung eines Protokolls in ein anderes Protokoll, meist kombiniert mit einer Verschlüsse-lung.

VPN Herkunft des Begriffs: Ein privates Netz, das aus lokalen Netz-werken an verschiedenen Standorten und gemieteten (privaten) Standleitungen besteht, wird zu einem virtuellen privaten Netz (VPN), indem die privaten Standleitungen durch virtuelle Daten-kanäle im Internet ersetzt werden. Die zum Beispiel mit IPsec geschützten Pakete passieren zwar das öffentliche Netz, aber niemand kann sie lesen oder unbemerkbar verändern.

Allgemein versteht man heute unter VPN eine Methode zur Ver-schlüsselung und eindeutiger Identifizierung beim Nachrichten-austausch.

/1/ SCALANCE S und SOFTNET Security Client

Betriebsanleitung, Ausgabe 03/2005

http://support.automation.siemens.com/WW/view/de/21718449

/2/ TCP-Portliste


/3/ Security mit SCALANCE S612 Modulen über IPsec-gesicherte VPN-Tunnel (Configuration 4)


Configuration zur Kommunikation - Siemens AG · 2015-01-19 · Freischalten des Zugriffs auf den...

Documents

Transcript of Configuration zur Kommunikation - Siemens AG · 2015-01-19 · Freischalten des Zugriffs auf den...