Netzwerksicherheit - siemens.com · Industrial Security 5 SSC Security Management Objektsicherung...

Industrial Security

Netzwerksicherheit

Answers for industry.

Broschüre

AusgabeFebruar 2014

01_BR_Titel_NWS_de_02_2014.indd 101_BR_Titel_NWS_de_02_2014.indd 1 17.02.2014 15:27:4517.02.2014 15:27:45

© Siemens AG 2014

Industrial Security2

Industrial SecurityDarum ist Industrial Security so wichtig

Mit der steigenden Verwendung von Ethernet-Verbindun-gen bis in die Feldebene hinein gewinnen in der Industrie auch die damit verbundenen Sicherheitsfragen mehr und mehr an Bedeutung. Denn offene Kommunikation und eine zunehmende Vernetzung von Produktionssystemen bergen nicht nur enorme Chancen, sondern ebenso große

Risiken. Um eine Industrieanlage unter dem Aspekt der Sicherheit umfassend vor Angriffen zu schützen, müssen entsprechende Maßnahmen getroffen werden. Siemens unterstützt Sie dabei, diese Maßnahmen gezielt umzuset-zen – im Rahmen eines durchgängigen Angebotes für In-dustrial Security.

Bedrohungen im Überblick

1) Industrial Control Systems (ICS)

Quelle: BSI-A-CS 004 | Version 1.00 vom 12.04.2012 Seite 2 von 2

Hinweis: Die Auflistung der Bedrohungen ist in enger Zusammenarbeit zwischen BSI und Vertretern der Wirtschaft entstanden.

Mit den BSI-Analysen veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) Statistiken und Berichte zu aktuellen Themen der Cyber-Sicherheit. Kommentare und Hinweise richten Sie bitte an:[email protected]

Nr. Bedrohung Erläuterung

1 Unberechtigte Nutzung von Fernwartungszugängen

Wartungszugänge sind bewusst geschaffene Öffnungen des ICS-Netzes 1) nach außen, die häu-fig jedoch nicht hinreichend abgesichert sind.

2 Online-Angriffe über Office-/Enterprise-Netze

Office-IT ist i.d.R. auf vielen Wegen mit dem Internet verbunden. Meist bestehen auch Netzwerkverbindungen vom Office- ins ICS-Netz, sodass Angreifer über diesen Weg eindringen können.

3 Angriffe auf eingesetzte Stan-dardkomponenten im ICS-Netz

IT-Standardkomponenten (commercial off-the-shelf, COTS) wie Betriebssysteme, Application Server oder Datenbanken enthalten in der Regel Fehler und Schwachstellen, die von Angreifern ausgenutzt werden. Kommen diese Standardkomponenten auch im ICS-Netz zum Einsatz, so erhöht dies das Risiko eines erfolgreichen Angriffs auf die ICS-Systeme.

4 (D)DoS Angriffe Durch (Distributed) Denial of Service-Angriffe können Netzwerkverbindungen und benötigte Ressourcen beeinträchtigt und Systeme zum Absturz gebracht werden, z. B. um die Funktions-fähigkeit eines ICS zu stören.

5 Menschliches Fehlverhalten & Sabotage

Vorsätzliche Handlungen – ganz gleich ob durch interne oder externe Täter – sind eine massive Bedrohung für sämtliche Schutzziele. Daneben sind Fahrlässigkeit und menschliches Versagen eine große Bedrohung insbesondere bzgl. der Schutzziele Vertraulichkeit und Verfügbarkeit.

6 Einschleusen von Schadcode über Wechseldatenträger und externe Hardware

Der Einsatz von Wechseldatenträgern und mobilen IT-Komponenten externer Mitarbeiter stellt stets eine große Gefahr bzgl. Malware-Infektionen dar. Dieser Aspekt kam z. B. bei Stuxnet zum Tragen.

7 Lesen und Schreiben von Nachrichten im ICS-Netz

Da die meisten Steuerungskomponenten derzeit über Klartextprotokolle und somit unge-schützt kommunizieren, ist das Mitlesen und Einspielen von Steuerbefehlen oftmals ohne größeren Aufwand möglich.

8 Unberechtigter Zugriff auf Ressourcen

Insbesondere Innentäter oder Folgeangriffe nach einer Penetration von außen haben leichtes Spiel, wenn Dienste und Komponenten im Prozessnetz keine bzw. unsichere Methoden zur Authentisierung und Autorisierung implementieren.

9 Angriffe auf Netzwerk-komponenten

Netzwerkkomponenten können durch Angreifer manipuliert werden, um z. B. Man-in-the-Middle-Angriffe durchzuführen oder um Sniffing zu erleichtern.

10 Technisches Fehlverhalten & höhere Gewalt

Ausfälle durch extreme Umwelteinflüsse oder technische Defekte sind immer möglich – Risiko und Schadenspotential können hier lediglich minimiert werden.

Industrial Security_022013_DE.fm Seite 2 Dienstag, 18. Februar 2014 2:48 14

© Siemens AG 2014

Industrial Security 3

Netzwerksicherheit als zentraler Bestandteil des Industrial Security Konzeptes von Siemens

Siemens Industrial Security – kontinuierlicher Schutz Ihrer AnlageDie Basis für eine bestmögliche Industrial Security-Lösung zu schaffen erfordert neue Ansätze, da sie kontinuierlich den neuen Bedrohungen angepasst werden muss – denn eine absolute Sicherheit gibt es nicht. Für eine umfassende und dauerhafte Lösung setzen wir auf eine tiefgehende Beratung, ein partnerschaftliches Miteinander und die stetige Weiter-entwicklung unserer Security-Maßnahmen und -Produkte.

Rundumschutz, der auch in die Tiefe gehtMit Defense in Depth bietet Siemens ein vielschichtiges Kon-zept, das Ihre Anlage sowohl rundum als auch in die Tiefe schützt. Das Konzept basiert auf den Komponenten Anlagen-sicherheit, Netzwerksicherheit sowie Systemintegrität nach den Empfehlungen der ISA 99 / IEC 62443 – dem führenden Standard für Security in der industriellen Automatisierung. Während der klassische Anlagenschutz physische Zugriffe abwehrt, bewahren Netzwerkschutz und Schutz der System-integrität vor Cyber-Übergriffen und nicht autorisiertem Zugriff durch Bediener oder betriebsfremde Personen.

Erfolgsfaktor: Netzwerksicherheit Netzwerksicherheit bedeutet Schutz von Automatisierungsnet-zen vor unbefugten Zugriffen. Dies beinhaltet die Kontrolle aller Schnittstellen wie z. B. zwischen Büro- und Anlagennetzwerk oder der Fernwartungszugänge zum Internet und kann mittels Firewalls und gegebenenfalls Aufbau einer DMZ (demilitarisierte Zone = sicherheitstechnisch abgeschirmte Zone) erfolgen. Die DMZ dient zur Bereitstellung von Daten für andere Netze, ohne di-rekten Zugang zum Automatisierungsnetz zu gewähren. Die si-cherheitstechnische Segmentierung des Anlagennetzwerks in einzelne geschützte Automatisierungszellen, dient der Risikomi-nimierung und Erhöhung der Sicherheit. Die Aufteilung der Zellen und Zuordnung der Geräte erfolgt nach Kommunikations- und Schutzbedarf. Die Datenübertragung wird mittels VPN verschlüs-selt und so vor Datenspionage und Manipulation geschützt. Die Kommunikationsteilnehmer werden sicher authentifiziert. Mit "Security Integrated"-Komponenten wie SCALANCE S Security Modules oder Security CPs für SIMATIC kann das Zellenschutzkon-zept realisiert und die Kommunikation gesichert werden.

Erste Risikobewertung und Information im InternetSie wollen jetzt schon wissen, wie es um die Sicherheit Ihrer Industrieanlage bestellt ist? In einem Kundengespräch können Sie sich ausführlich über die speziellen Sicherheitsfragen Ihrer Branche informieren. Nutzen Sie die Möglichkeit, bei offenen Fragen unser Consulting-Team zu kontaktieren. Unsere Fach-leute erstellen gerne ein Sicherheitskonzept, das auf die Bedürfnisse Ihrer Produktionsanlage oder Prozessinfrastruktur abgestimmt ist. Die weiterführenden "Operational Guidelines" mit vielen Empfehlungen für den Schutz Ihrer Produktionsan-lage können Sie auf unserer Internetseite downloaden.

Erkennung von Angriffen

Patch Management

Authentifizierung/Benutzerverwaltung

Systemhärtung

Firewalls & VPN

Zellenschutz und Perimeternetzwerk

Prozesse & Richtlinien

Physischer Zugangsschutz

Security Guidelines

Defense in depth

Systemintegrität

Netzwerksicherheit

Anlagensicherheit

Industrial Security Services G_I

K10

_XX

_103

36

Industrial Security_022013_DE.fm Seite 3 Mittwoch, 19. Februar 2014 3:16 15

© Siemens AG 2014


Domain Controller

Anlagensicherheit

Systemintegrität

Netzwerksicherheit

Produktionsnetzwerk

Office Netzwerk

Produktion 1

SIMATIC S7-400 mit CP 443-1 Advanced

ES mit CP 1628

OS mit CP 1628

MRP-Ring

Ring-RedundanzManager SCALANCE X308-2M

Sync-Leitung

SIMATIC TP700

Industrial Ethernet (Fiber optic)

SCALANCE X308-2M

SCALANCE S627-2M

SCALANCE S627-2M

SCALANCE S623

SIMATIC ET 200SP

PROFINET

SCALANCEX204-2

SCALANCEX204-2

Industrial SecurityErfolgsfaktor Netzwerksicherheit


© Siemens AG 2014


SSC

Security ManagementObjektsicherung

Produktion nProduktion 3

SIMOTION D4x5 mit SINAMICS S120 (Booksize)

SIMATIC S7-300 mit CP 343-1 Advanced

SIMATIC Field PG mit SOFTNET Security Client

PC mit CP 1628

Server

ZentralerArchiv Server

SIMATIC S7-1500 mit

CP 1543-1

Produktion 2

SIMATIC S7-1200 mit CP 1243-1


WEB Server

Server

SIMATICTP1200 Comfort

SCALANCE M874-3

GPRS/UMTS

Internet

DMZ

SCALANCE S623

G_I

K10

_XX

_103

62

SINAMICS G120

SIMATIC TP700

T

ET 200SIMATICTP700

SIMATIC S7-1200

PROFINET

InternetRouter

InternetRouter

Sichere Kommunikation, Netzzugangsschutz und Netzsegmentierung mit Security Integrated-Komponenten


© Siemens AG 2014

Security Integrated6

Security IntegratedZellenschutzkonzept

Industrielle Kommunikation ist ein Schlüsselfaktor für den Unternehmenserfolg – solange das Netzwerk geschützt ist.

Als Partner bietet Siemens seinen Kunden zur Realisierung des Zellenschutzkonzeptes deshalb Komponenten mit Security Integrated, die neben ihren Kommunikations-funktionen auch spezielle Security-Funktionen wie Firewall- und VPN-Funktionalität integriert haben.

Sichere Kommunikation zwischen Komponenten mit Security Integrated in getrennen Automatisierungszellen

Zellenschutzkonzept

Beim Zellenschutzkonzept wird ein Anlagennetzwerk in ein-zelne geschützte Automatisierungszellen segmentiert, inner-halb derer alle Geräte sicher untereinander kommunizieren können. Die Anbindung der einzelnen Zellen an das Anlagen-netzwerk erfolgt gesichert per VPN und Firewall.

Der Zellenschutz reduziert die Störungsanfälligkeit der gesam-ten Produktionsanlage und erhöht damit deren Verfügbarkeit. Zur Realisierung können Security Integrated-Produkte wie SCALANCE S, SCALANCE M und die SIMATIC S7/PC-Kommuni-kationsprozessoren eingesetzt werden.

SIMATIC S7-1500 mit CP1543-1

SIMATIC S7-300 mit CP343-1

Advanced

Automatisierungszelle 4

SIMATIC S7-400 mit

CP443-1 Advanced

Automatisierungszelle 3Automatisierungszelle 2Automatisierungszelle 1


PROFINETPROFINETPROFINET

Industrial Ethernet

PROFINET

G_I

K10

_XX

_103

73


© Siemens AG 2014

Security Integrated 7

Folgende Security Integrated-Produkte stehen zur Verfügung:

SIMATIC S7-1200 / S7-1500:

■ Schutz der Steuerung durch Zugriffsschutz (Authentifizierung) über die S7-1200/S7-1500 CPU:– Know-How-Schutz– Manipulationsschutz– Kopierschutz– Abgestuftes Sicherheitskonzept für HMI- Anbindung

■ Erweiterbarer Zugriffsschutz für S7-1200/S7-1500 (Firewall) über Security CP 1243-1/CP 1543-1 durch – Integrierte Firewall (Kontrolle des Datenflusses)– Schutz vor Datenmanipulation und Spionage durch

VPN

SIMATIC S7-300 und S7-400

■ Schutz von Steuerungen durch Kommunikationsprozes-soren CP 343-1 Advanced und CP 443-1 Advanced, die sowohl Firewall- als auch VPN-Funktionen (Virtual Private Network) beinhalten.

Security-Module SCALANCE S

■ SCALANCE S Module schützen industrielle Netzwerke und Automatisierungssysteme durch sicherheitstechni-sche Segmentierung (Zellenschutz) mit Firewall vor unbefugten Zugriffen und die Datenübertragung mit

VPN vor Manipulation und Spionage.

Industrie PCs

■ Über den Kommunikationsprozessor CP 1628 werden Industrie-PCs durch Firewall und VPN geschützt – für eine sichere Kommunikation ohne Spezialeinstellungen des Betriebssystems. Auf diesem Wege lassen sich mit der Baugruppe ausgestattete Rechner mit geschützten Zellen verbinden.

Software

■ Die Software SOFTNET Security Client ermöglicht über Internet oder ein firmeninternes Netzwerk den Zugriff über VPN auf Automatisierungszellen oder PCs, die durch SCALANCE S oder eine eine andere Security-Kom-ponente mit VPN-Funktion geschützt sind.

Fernzugriff

■ Industrial Router SCALANCE M für den sicheren Fernzu-griff auf Anlagen über Mobilfunknetze, z.B. M874-3 über UMTS.

Security Integrated-Produkte für den industriellen Einsatz mit speziellen Sicherheitsfunktionen zur Verbesserung des Sicherheitsstandards

SC

ALA

NC

E S

Fa

mili

e

SCAL

ANC

E M

- Fa

milie

CP

343

-1 A

dvC

P 4

43-1

Adv

S7-

1200

CP

U 1

) S

7-15

00 C

PU

CP

124

3-1

1)

CP

154

3-1

CP

162

8

SO

FTN

ET

Sec

urity

Clie

nt

Konfigurierbare Copy Protection ●

Zugriffsschutz (Authentifizierung) ●

Erweiterter Zugriffsschutz (Firewall) ● ● ● ● ●

Virtual Private Network mit IPSec ● ● ● ●

Manipulationsschutz (Kommunikation, Projektierung) ● ● ● ● ● ● ●

● trifft zu 1) ab CPU Firmware V4.0ab STEP 7 Professional V13


© Siemens AG 2014


Mit den Security Modules der SCALANCE S-Familie können alle Geräte eines Ethernet-Netzwerkes vor unbefugten Zugrif-fen geschützt werden. SCALANCE S Module schützen zudem durch Aufbau von VPN-Tunneln auch die Datenübertragung zwischen Geräten oder Netzsegmenten (z.B. Automatisie-rungszellen) vor Datenmanipulation und Spionage und kön-nen für sichere Fernzugriffe über Internet eingesetzt werden.

Die Sicherheitsmodule SCALANCE S können sowohl im Bridge-Modus, d.h. innerhalb eines IP-Subnetzes, als auch im Router-Modus, d.h. an den IP-Subnetzgrenzen betrieben werden.

SCALANCE S ist für den Einsatz im Automatisierungsumfeld bzw. im industriellen Bereich optimiert und erfüllt die speziel-len Anforderungen der Automatisierungstechnik, wie bei-spielsweise leichte Hochrüstbarkeit bestehender Anlagen, einfache Installierbarkeit oder minimale Stillstandszeiten im Fehlerfall.

Produktvarianten

SCALANCE S602 • Schützt Netzsegmente mittels Stateful Inspection Firewall

vor unbefugtem Zugriff;• Anschluss über 10/100/1000 Mbit/s Ports; • "Ghost-Mode" zum Schutz einzelner, auch wechselnder

Geräte durch dynamische Übernahme der IP-Adresse

SCALANCE S612• Schützt Netzsegmente mittels Stateful Inspection Firewall

vor unbefugtem Zugriff; • Bis zu 128 VPN-Tunnel können gleichzeitig betrieben

werden;• Anschluss über 10/100/1000 Mbit/s Ports

SCALANCE S623 • Schützt Netzsegmente mittels Stateful Inspection Firewall

vor unbefugtem Zugriff; • Bis zu 128 VPN-Tunnel können gleichzeitig betrieben

werden;• Anschluss über 10/100/1000 Mbit/s Ports;• Zusätzlicher RJ45 DMZ-Port (DMZ: „demilitarisierte Zone“)

für den sicheren Anschluss, z.B. von Fernwartungsmo-dems, Laptops oder einem zusätzlichen Netz. Dieser gelbe Port ist mittels Firewalls zum roten und grünen Port hin abgesichert und kann ebenfalls VPNs terminieren;

• Redundanter Schutz von Automatisierungszellen durch Router- und Firewallredundanz und Stand-by-Betrieb des redundanten Gerätes und Status Abgleich über Synchroni-sationsleitung zwischen den gelben Ports

SCALANCE S627-2M• Schützt Netzsegmente mittels Stateful Inspection Firewall

vor unbefugtem Zugriff;• Bis zu 128 VPN-Tunnel können gleichzeitig betrieben

werden; • Anschluss über 10/100/1000 Mbit/s Ports; • Zusätzlicher RJ45 DMZ-Port (DMZ: „demilitarisierte Zone“)

für den sicheren Anschluss, z.B. von Fernwartungsmo-dems, Laptops oder einem zusätzlichen Netz. Dieser gelbe Port ist mittels Firewalls zum roten und grünen Port hin abgesichert und kann ebenfalls VPNs terminieren;

• Redundanter Schutz von Automatisierungszellen durch Router- und Firewallredundanz und Stand-by-Betrieb des redundanten Gerätes und Status Abgleich über Synchroni-sationsleitung zwischen den gelben Ports;

• Zwei zusätzliche Steckplätze für 2-Port Medienmodule (von SCALANCE X300) zur direkten Einbindung in Ringstruktu-ren und FO-Netze mit zwei zusätzlichen geswitchten roten bzw. grünen Ports pro Modul;

• Überbrückung größerer Leitungslängen bzw. Nutzung bestehender 2-Drahtleitungen (z.B. PROFIBUS) durch Ein-satz der Medienmodule MM992-2VD (Variable Distance)

Security IntegratedSchutz der Automatisierungszelle mit SCALANCE S Modules


© Siemens AG 2014


Anschluss eines lokalen oder entfernten Service-PCs (mittels Internetzugang) über den DMZ-Port des SCALANCE S623

SCALANCE S Security-Funktionen

VPN (Virtual Private Network) (nur für SCALANCE S612, S623 und SCALANCE S627-2M); zur sicheren Authentifizierung (Identifikation) der Netzteil-nehmer, zur Verschlüsselung der Daten und Überprüfung der Datenintegrität.• Authentifizierung;

Jeder eingehende Datenverkehr wird überwacht und kontrolliert. Da IP-Adressen gefälscht werden können (IP-Spoofing), reicht eine Kontrolle der IP-Adresse (des Client-Zugriffes) nicht aus. Hinzu kommt, dass Client-PCs wechselnde IP-Adressen haben können. Deshalb erfolgt die Authentifizierung mittels bewährter VPN-Mechanismen;

• Datenverschlüsselung; Zum Schutz des Datenverkehrs vor Spionage und Manipu-lation ist eine sichere Verschlüsselung erforderlich. So bleibt der Datenverkehr für jeden Lauscher im Netzwerk unverständlich. Hierzu baut das SCALANCE Security Module VPN-Tunnel zu anderen Security Modules auf.

Firewallkann zur flexiblen Zugriffskontrolle alternativ oder ergänzend zu VPN eingesetzt werden. Die Firewall filtert Datenpakete und sperrt bzw. lässt Kommunikationsverbindungen gemäß Filter-liste zustandsabhängig zu (Stateful Inspection). Sowohl eingehende, als auch ausgehende Kommunikation kann gefiltert werden, nach IP- und MAC-Adressen sowie Kom-munikationsprotokollen (Ports) oder anwenderspezifisch. • Logging;

Zugriffsdaten werden vom Security Module in einem Log-file gespeichert. Sowohl um zu wissen wie, wann und von wem darauf zugegriffen wurde, als auch um Angriffsversu-che zu erkennen und entsprechende vorbeugende Maß-nahmen ergreifen zu können.

Projektierung

Die Projektierung erfolgt mit dem Security Configuration Tool (SCT). Damit können von zentraler Stelle alle SIMATIC NET Security-Produkte konfiguriert und diagnostiziert werden. Die gesamte Projektierung kann auf dem optionalen Wechselme-dium C-PLUG (nicht im Lieferumfang enthalten) gesichert werden, so dass im Fehlerfall das Security Module schnell und ohne Programmiergerät ausgetauscht werden kann.

LokalerService-PC Entfernter

Service-PC mit SOFTNET Security Client

Servicezugang

Anlagennetzwerk/geschützte Automatisierungszelle

Unternehmensnetzwerk

InternetSCALANCES623Industrial Ethernet

G_I

K10

_XX

_103

03

Internet Router

Internet Router

Vorteile auf einen Blick

■ Hohe IT-Sicherheit für Maschinen und Anlagen durch Realisierung des Zellenschutzkonzepts

■ Durchgängige Netzwerkdiagnose durch Einbindung in IT-Infrastrukturen und Netzwerkmanagementsysteme über SNMP

■ Einfache Fernwartung über Internet durch PPPoE und DNS unter Verwendung dynamischer IP-Adressen

■ Problemlose Integration in vorhandene Netzwerke ohne Rekonfiguration von Endteilnehmern oder Einrichtung neuer IP-Subnetze

■ Gerätetausch ohne PG durch Einsatz des Wechselmedi-ums C-PLUG zur Sicherung der Konfigurationsdaten


© Siemens AG 2014


Sicherer Fernzugriff ohne direkte Verbindung zum Automatisierungsnetzwerk mit SCALANCE S623

Aufgabenstellung

Ein Systemintegrator möchte für Servicezwecke gesichert über Internet auf seine Maschine oder einen Anlagenteil beim Endanwender zugreifen. Er soll jedoch keinen Zugriff auf das Anlagennetzwerk bekommen und auch nur auf bestimmte Ge-räte Zugriff haben. Zudem soll eine gesicherte Verbindung von der Anlage zu einer abgesetzten Station über mobile Netze (z. B. UMTS) aufgebaut werden.

Lösung

Ausgangspunkte sind (z. B. Systemintegrator) mit VPN Client (SOFTNET Security Client, CP 1628, SCALANCE M874-3)

Endpunkt (Automatisierungsanlage): SCALANCE S623 als VPN Server

• Roter Port: Verbindung mit Anlagennetzwerk• Gelber Port: Anschluss von Internet-Modem/Router• Grüner Port: Anschluss an gesicherter Zelle

SSCInternet Router

Anlagennetzwerk

Automatisierungsanwendung

Automatisierungszelle 1

Automatisierungsanlage

Remote-Stationen

Automatisierungszelle n-1Automatisierungszelle n

SIMATIC Field PG mit

SOFTNET Security

Client

VPN-Tunnel

VPN-Tunnel

G_I

K10

_XX

_103

39

SCALANCE S623

PROFINETPROFINETPROFINET

Industrial Ethernet

Security ModuleSCALANCE S

Security ModuleSCALANCE S

...

InternetRouter

SCALANCE M874-3

SIMATIC S7-1200

GPRS/UMTS

Internet


■ Sichere Fernzugriffe über Internet oder mobilen Netzen wie UMTS durch Sicherung der Datenübertragung mit VPN (IPSec)

■ Einschränkung der Zugriffsmöglichkeiten mit integrierter Firewall-Funktion

■ Sicherer Fernzugriff auf Anlagenteile ohne direkten Zugang zum Anlagennetzwerk mit 3-Port Firewall SCALANCE S623

Security IntegratedAnwendungsbeispiele mit SCALANCE S Modules


© Siemens AG 2014


Einrichtung einer Demilitarisierten Zone (DMZ) mit SCALANCE S623

Aufgabenstellung

Netzwerkteilnehmer oder Server (z.B. MES-Server) sollen so-wohl aus dem gesicherten wie aus dem ungesicherten Netz erreichbar sein, ohne dass eine direkte Verbindung zwischen den Netzwerken besteht.

Lösung

Eine DMZ kann am gelben Port mithilfe eines SCALANCE S623 eingerichtet werden. In dieser DMZ können die Server plat-ziert werden.

Unsichere Zone

Datenbank-Server

Server mit Web-Applikation

eingeschränkte Zugriffegeblockte Zugriffeerlaubte Zugriffe

Sichere Zone

DMZ-Zone

Office Netzwerk

G_I

K10

_XX

_103

40

SCALANCE S623

Domain Controller


■ Sicherheit beim Datenaustausch durch Einsatz einer „Demilitarisierten Zone“ für den Datenaus-tausch zwischen Unternehmens- und Anlagennetz durch 3-Port Firewall SCALANCE S623

■ Schutz von Automatisierungsnetzen vor unbefugten Zugriffen bereits an den Netzwerkgrenzen


© Siemens AG 2014


Sichere, redundante Verbindung zweier MRP-Ringe mit SCALANCE S627-2M

Aufgabenstellung

Zwei Ringe sollen sicher und redundant miteinander verbun-den werden.

Lösung

Ring A ist mit den Ports des ersten Medienmoduls (rote Ports) und Ring B mit den Ports des zweiten Medienmoduls (grüne Ports) mit SCALANCE S627-2M verbunden. S627-2M fungiert als Router und Firewall. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zustandes zwi-schen den beiden SCALANCE S erfolgt über eine Synchronisa-tions-Leitung zwischen den gelben Ports.

MRP-Ring A

MRP-Ring B

Ring-Redundanz Manager


CU oder LWL

Sync-Leitung


Industrial Ethernet

SCALANCE S627-2MSCALANCE S627-2M

G_I

K10

_XX

_103

66


■ Sichere redundante Kopplung redundanter Ringe

■ Kontrolle der Datenkommunikation zwischen redundanten Ringen

■ Hohe Verfügbarkeit durch redundante Auslegung der SCALANCE S627-2M



© Siemens AG 2014


Sichere, redundante Verbindung einer Automatisierungszelle an redundanten Ring mit SCALANCE S627-2M

Aufgabenstellung

Eine Automatisierungszelle soll sicher und redundant an einen übergeordneten Ring angebunden werden.

Lösung

Der Ring ist mit den Ports des ersten Medienmoduls (rote Ports) und die unterlagerte Zelle mit den Ports des zweiten Medienmoduls (grüne Ports) mit SCALANCE S627-2M verbun-den. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zustandes zwischen den beiden SCALANCE S erfolgt über eine Synchronisations-Leitung zwischen den gelben Ports.

Alternativ:Der Ring ist mit dem roten RJ45-Port gekoppelt und die unter-lagerte Automatisierungszelle ist mit den Ports des zweiten Medienmoduls (grüne Ports) mit SCALANCE S627-2M verbun-den. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zustandes zwischen den beiden SCALANCE S erfolgt über eine Synchronisations-Leitung zwischen den gelben Ports.

MRP-Ring


MRP-Ring


Automatisierungszelle

Automatisierungszelle

CU oder LWLSync-Leitung

CU oder LWL

Sync-Leitung Industrial Ethernet (Fiber optic)

Industrial Ethernet


MRP-Switch CU


G_I

K10

_XX

_103

67


■ Sichere redundante Anbindung einer Automatisie-rungszelle an einen übergeordneten Ring

■ Kontrolle der Datenkommunikation zwischen einem redundanten Ring und einer unterlagerten Automati-sierungszelle


Industrial Security_022013_DE.fm Seite 13 Donnerstag, 27. Februar 2014 12:25 12

© Siemens AG 2014


Sichere, redundante Anbindung eines redundanten Ringes an Anlagennetz mit SCALANCE S627-2M

Aufgabenstellung

Der Ring soll sicher und redundant an das Anlagennetz verbun-den werden.

Lösung

Der Ring ist mit den Ports des zweiten Medienmoduls (grüne Ports) und Produktionsnetz mit den Ports des ersten Medien-moduls (rote Ports) mit SCALANCE S627-2M verbunden. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zustan-des zwischen den beiden SCALANCE S erfolgt über eine Syn-chronisations-Leitung zwischen den gelben Ports.

Alternativ:Der Ring ist mit den Ports des zweiten Medienmoduls (grüne Ports) und Produktionsnetz am roten RJ45-Port mit SCALANCE S627-2M verbunden. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zu-standes zwischen den beiden SCALANCE S erfolgt über eine Synchronisations-Leitung zwischen den gelben Ports.

MRP-Ring


MRP-Ring


CU oder LWL

Sync-Leitung

CU oder LWL

Sync-Leitung

MRP-Switch

CU


G_I

K10

_XX

_103

68



Industrial Ethernet


■ Sichere redundante Anbindung eines redundanten Ringes an das Anlagennetz

■ Kontrolle der Datenkommunikation zwischen Anlagennetz und redundanten Ring




© Siemens AG 2014


SCALANCE M874SCALANCE M874-3 und SCALANCE M874-2 sind Mobilfunk-router für die kostengünstige und sichere Anbindung von Ethernet-basierten Subnetzen und Automatisierungsgeräten über UMTS (Mobilfunknetz der 3. Generation) bzw. GSM (Mobilfunknetz der 2. Generation)

SCALANCE M874-3; unterstützt HSPA+ (High Speed Packet Access) und ermöglicht dadurch hohe Übertragungsraten von bis zu 14,4 Mbit/s im Downlink und bis zu 5,76 MBit/s im Uplink (in Abhängigkeit von der Infrastruktur des Mobilfunkproviders).

SCALANCE M874-2; unterstützt GPRS (General Packet Radio Service) und EDGE (Enhanced Data Rates for GSM Evolution).

Schutz vor unbefugten Zugriffen und der Datenübertragung wird durch die integrierten Security Funktionen Firewall und VPN (IPSec) geboten.

SCALANCE M875Der UMTS Router SCALANCE M875 bietet IP-Routing, Stateful Inspection Firewall und ein VPN Gateway zum Schutz unterla-gerter Geräte vor Sicherheitsrisiken wie Manipulation oder Spionage.

SCALANCE M875 hat die Typgenehmigung als Fahrzeugbauteil gemäß der Richtlinie 72/245/EWG in der Fassung 2009/19/EG und Typgenehmigung zur Verwendung auf Bahnfahrzeugen gemäß EN 50155

Sicherer Zugriff auf Anlagenteile über Mobilfunknetze


© Siemens AG 2014


VPN für die gesicherte Fernwartung mit SCALANCE M874

Aufgabenstellung

Ein Servicecenter soll über das Internet angebunden sein und klassische Anwendungen wie Fernprogrammierung, -parame-trierung und -diagnose, aber auch die Überwachung von weltweit installierten Maschinen und Anlagen durchführen können.

Lösung

Es können alle IP-basierten Geräte und vor allem die Automati-sierungsgeräte im lokalen Netzwerk hinter dem SCALANCE M875 oder SCALANCE M874 erreicht werden. Dank der erhöh-ten Bandbreite im Uplink können Multimedia-Anwendungen wie Videostreaming realisiert werden. Durch die VPN-Funktio-nalität ist die weltweit gesicherte Datenübertragung möglich.

S7-1500 mit CP 1543-1 Service Rechner mit

Software SOFTNET Security Client

Smartphone oder Tablet

IP-Kamera

SIMATIC S7-300 mitCPU 315-2DPund CP 343-1Lean

Servicezentrale

VPN-Tunnel 1

VPN-Tunnel 2

Remote Station 1

Remote Station 2Mobilfunk

Industrial Ethernet

InternetPROFIBUS

Industrial Ethernet

G_I

K10

_XX

_301

88

SCALANCE M874-3

SCALANCE M874-2

SCALANCES612

SCALANCE M812-1


■ Geringe Investitions- und Betriebskosten für den sicheren Fernzugriff auf Maschinen und Anlagen.

■ Niedrigere Reisekosten oder Telefongebühren durch Fernprogrammierung und Ferndiagnose über 3G/UMTS

■ Komfortable Diagnose über Web-Interface

■ Kurze Übertragungszeiten durch die hohe Geschwin-digkeit mit HSDPA und HSUPA

■ Schutz durch integrierte Firewall und VPN

■ Nutzung der bestehenden (3G)UMTS-Infrastruktur der Mobilfunkprovider

■ Einfache Planung und Inbetriebnahme von Telecontrol-Unterstationen ohne spezielle Funkkenntnisse

■ Weltweit einsetzbar durch UMTS/GSM (Quadband);Länderspezifische Zulassungen beachten

Security IntegratedSicherer Zugriff auf Anlagenteile über Mobilfunknetze


© Siemens AG 2014


CP 1243-1Der Kommunikationsprozessor CP 1243-1 verbindet die Steu-erung SIMATIC S7-1200 sicher mit Ethernet-Netzwerken.

Mit den integrierten Sicherheitsfunktonen Firewall (Stateful Inspection) und VPN Protokoll (IPSec) schützt der Kommunika-tionsprozessor S7-1200-Stationen und unterlagerte Netze vor unberechtigten Zugriffen, sowie die Datenübertragung durch Verschlüsselung gegen Manipulation und Spionage.

Außerdem kann der CP auch für die Einbindung der S7-1200-Station an die Leitstellensoftware TeleControl Server Basic über IP-basiertes Remote Netzwerke genutzt werden.

Schutz einer S7-1200 und unterlagerter Automatisierungszelle mit CP1243-1

Aufgabenstellung

Die Kommunikation zwischen Automatisierungsnetz und un-terlagerten Netzwerken mit S7-1200 soll kontrolliert und gesi-chert werden.

Lösung

Der CP 1243-1 wird im Rack der S7-1200 vor den zu schützen-den Automatisierungszellen platziert. Dadurch wird die Kom-munikation von und zur S7-1200 und unterlagerter Automati-sierungszelle mithilfe von Firewall-Regeln auf die erlaubten Ver-bindungen eingeschränkt und bei Bedarf durch Aufbau von VPN-Tunneln gegen Manipulation oder Spionage geschützt.


Produktion

Mobiler TeleserviceEngineering Zentrale

Industrial Ethernet

Industrial Ethernet

G_I

K10

_XX

_103

71

Field PG

TIA Portal

Engineering

LAN

ET 200SIMATICTP700

SIMATIC S7-1200

PROFINET


■ Sicherer Anschluss der SIMATIC S7-1200 an Industrial Ethernet mittels integrierter Stateful Inspection Firewall und VPN

■ Einsatz in einer IPv6-basierten Infrastruktur

■ Anschluss an Leitstellen mit TeleControl Server Basic

Schutz von Steuerungen durch Kommunikationsprozessoren


© Siemens AG 2014


CP 1543-1Der Kommunikationsprozessor CP 1543-1 verbindet die Steu-erung SIMATIC S7-1500 sicher mit Ethernet-Netzwerken.

Mit den integrierten Sicherheitsfunktonen Firewall (Stateful Inspection), VPN Protokoll (IPSec) und Protokollen zur Daten-verschlüsselung wie FTPS und SNMPv3 schützt der Kommuni-kationsprozessor S7-1500-Stationen und unterlagerte Netze vor unberechtigten Zugriffen, sowie die Datenübertragung durch Verschlüsselung gegen Manipulation und Spionage.

Segmentierung von Netzwerken und Schutz der S7-1500 mit CP1543-1

Aufgabenstellung

Die Kommunikation zwischen Automatisierungsnetz und un-terlagerten Netzwerken mit S7-1500 soll per Zugriffskontrolle gesichert werden.

Lösung

Der CP 1543-1 wird im Rack der S7-1500 vor den zu schützen-den Automatisierungszellen platziert. Dadurch wird die Kom-munikation von und zur S7-1500 und unterlagerter Automati-sierungszelle mithilfe von Firewall-Regeln auf die erlaubten Verbindungen eingeschränkt und bei Bedarf durch Aufbau von VPN-Tunneln gegen Manipulation oder Spionage ge-schützt.

Automatisierungszelle SIMATIC S7-1500 mit CP 1543-1

S7-300 mit CP 343-1 Lean

Automatisierungszelle SIMATIC S7-1500 mit CP 1543-1

S7-300 mit CP 343-1 Lean

PROFINET

SINAMICS

ET 200S

Industrial Ethernet

Industrial Ethernet

G_I

K10

_XX

_103

50

TIA Portal Field PG

PROFINET

SINAMICS

ET 200S

Industrial Ethernet


■ Sicherer Anschluss der SIMATIC S7-1500 an Industrial Ethernet mittels integrierter Stateful Inspection Firewall und VPN

■ Zusätzliche Kommunikationsmöglichkeiten: File-Transfer und E-Mail

■ Einsatz in einer IPv6-basierten Infrastruktur

Security IntegratedSchutz von Steuerungen durch Kommunikationsprozessoren


© Siemens AG 2014


CP 343-1 Advanced und CP 443-1 AdvancedDie Industrial Ethernet Kommunikationsprozessoren CP 343-1 Advanced und CP 443-1 Advanced für SIMATIC S7-300 bzw. S7-400 beinhalten neben den bekannten Kommunikations-funktionen, einem integrierten Switch und Layer 3 Routing-Funktionalität auch „Security Integrated“, d.h. eine Stateful Inspection Firewall und ein VPN Gateway zum Schutz der Steu-erung und unterlagerter Geräte gegen Sicherheitsrisiken.

Aufgabenstellung

Die Kommunikation zwischen dem Verwaltungssystem auf Office-Ebene und unterlagerten Netzwerken der Automatisie-rungsebene soll per Zugriffskontrolle gesichert werden.

Lösung

CP 343-1 Advanced und CP 443-1 Advanced werden vor den zu schützenden Automatisierungszellen platziert. Dadurch wird die Kommunikation mithilfe von Firewall-Regeln auf die erlaubten Verbindungen eingeschränkt.


■ Firewall, VPN Gateway und CP in einem Gerät: mit der aktuellen Generation der Advanced-CPs erhält der Anwender ohne Aufpreis gegenüber der Vorgän-gerversion die integrierten Security Funktionen Firewall und VPN zur Realisierung einer geschützten Automatisierungszelle und Schutz der Datenübertra-gung.

■ Durchgängigkeit bei der sicheren Kommunikation: Projektierung der CPs erfolgt einfach mit STEP 7; VPN-Tunnel können zwischen CPs untereinander oder zu der Security Appliance SCALANCE S, der VPN Soft-ware SOFTNET Security Client, der sicheren PC-Bau-gruppe CP 1628 und dem Mobilfunk-Router SCALANCE M aufgebaut werden.

Besonders Anwendern, die heute schon Advanced-CPs einsetzen, wird ein einfacher Einstieg in den Aufbau eines sicheren Netzwerks ermöglicht. Alle Anwender von CP 343-1 Advanced und CP 443-1 Advanced erhalten "Security Integrated" und benötigen zur Projektierung der Sicherheit industrieller Anlagen keine separate Hardware oder spezielle Tools, außerhalb der SIMATIC S7.


© Siemens AG 2014


Segmentierung von Netzwerken und Schutz der Steuerungen S7-300 bzw. S7-400 mit CP 343-1 Advanced bzw. CP 443-1 Advanced

PC mit Management-System und Datenbank (z.B. Oracle)

SIMATIC S7-300 mit

CP 343-1 Advanced

SIMATIC S7-400 mitCP 443-1 Advanced

G_I

K10

_XX

_103

37

Field PG

ET 200S

ET 200S

PROFINET

Industrial Ethernet

PROFINET

Industrial Ethernet



© Siemens AG 2014


CP 1628Über den Industrial Ethernet Kommunikationsprozessor CP 1628 werden Industrie-PCs durch Firewall und VPN geschützt – für eine sichere Kommunikation ohne Spezialeinstellungen des Betriebs-systems. Auf diesem Wege lassen sich mit der Baugruppe ausgestattete Rechner mit geschützten Zellen verbinden.

Der CP 1628 ermöglicht den Anschluss an Industrial Ethernet (10/100/1000 Mbit/s) für SIMATIC PG/PC und PCs mit PCI Express-Steckplatz. Weitere Feldgeräte sind über den integrierten Switch flexibel an Industrial Ethernet anschließbar.

Der Kommunikationsprozessor beinhaltet neben den vom CP 1623 bekannten Automatisierungsfunktionen auch „Security Integrated“, d.h. eine Stateful Inspection Firewall und ein VPN Gateway zum Schutz des PG/PC-Systems gegen Sicherheitsrisiken.


■ Firewall, VPN Gateway und CP in einem Gerät: mit dieser neuen Produktvariante erhält der Anwender ein voll-wertiges integriertes Security-Modul und schützt so den PC vor Manipulation und unberechtigten Zugriffen.

■ Durchgängigkeit bei der sicheren Kommunikation:die Projektierung des CPs erfolgt einfach mit STEP 7/NCM PC (ab V5.5 SP3) bzw. mit TIA Portal (ab V12 SP1).


© Siemens AG 2014


Sichere redundante Kopplung mit CP 1628 und CP 443-1 Advanced

Aufgabenstellung

Schutz für die redundanten Verbindungen zwischen einem PC-System und den S7-400H-Steuerungen in einer hochver-fügbaren Anlage.

Lösung

Zwischen den Security-Kommunikationsprozessoren CP 1628 und CP 443-1 Advanced werden VPN-Tunnel aufgebaut, in denen die H-Kommunikation gesichert übertragen werden kann. Darüberhinaus schützt der CP 1628 mit seiner integrier-ten Firewall das PC-System vor unbefugten Zugriffen.

PC mit 4 x CP 1628 und HARDNET-IE S7-REDCONNECT

(ISO on TCP)

Leitstelle SIMATIC PCS 7 Client

S7-400H mit CP 443-1 Advanced




VPN-Tunnel

Internet Router Internet Router

PROFINET

Industrial Ethernet

Terminalbus (Ethernet)

Industrial Ethernet

G_I

K10

_XX

_103

54

PROFIBUS

Internet



© Siemens AG 2014


Produkttyp-Bezeichnung SCALANCE S602 SCALANCE S612 SCALANCE S623 SCALANCE S627-2M

Artikelnummer 6GK5602-0BA10-2AA3 6GK5612-0BA10-2AA3 6GK5623-0BA10-2AA3 6GK5627-2BA10-2AA3

Übertragungsrate

Übertragungsrate 1 / 2 / 3 10 / 100 / 1000 Mbit/s 10 / 100 / 1000 Mbit/s 10 / 100 / 1000 Mbit/s 10 / 100 / 1000 Mbit/s

Schnittstellen

Eektrischer Anschluss■ für internes Netzwerk■ für externes Netzwerk■ für DMZ■ für Meldekontakt■ für Spannungsversorgung

Wechselmediums C-PLUG

1 x RJ45-Port1 x RJ45-Port–1 x 2-poliger Klemmenblock1 x 4-poliger Klemmenblock

Ja

1 x RJ45-Port1 x RJ45-Port–1 x 2-poliger Klemmenblock1 x 4-poliger Klemmenblock

Ja

1 x RJ45-Port1 x RJ45-Port1 x RJ45-Port1 x 2-poliger Klemmenblock1 x 4-poliger Klemmenblock

Ja

3 x RJ45-Port+Medienmodul3 x RJ45-Port+Medienmodul1 x RJ45-Port1 x 2-poliger Klemmenblock1 x 4-poliger KlemmenblockJa

Versorgungsspannung, Stromaufnahme, Verlustleistung

Versorgungsspannung extern

Bereich

DC 24 V

DC 19,2 V ... 28,8 V

DC 24 V

C 19,2 V ... 28,8 V

DC 24 V

C 19,2 V ... 28,8 V

DC 24 V

C 19,2 V ... 28,8 V

Zulässige Umgebungsbedingungen

Umgebungstemperatur■ während Betrieb■ während Lagerung■ während Transport

Schutzart

-40 °C ... +60 °C-40 °C ... +80 °C-40 °C ... +80 °C

IP20

-40 °C ... +60 °C-40 °C ... +80 °C-40 °C ... +80 °C

IP20

-40 °C ... +60 °C-40 °C ... +80 °C-40 °C ... +80 °C

IP20

-40 °C ... +60 °C-40 °C ... +70 °C-40 °C ... +70 °C

IP20

Bauform, Maße und Gewicht

Bauform

Breite / Höhe / Tiefe

Nettogewicht

kompakt

60 mm / 125 mm / 124 mm

0,8 kg

kompakt

60 mm / 125 mm / 124 mm

0,8 kg

kompakt

60 mm / 125 mm / 124 mm

0,81 kg

kompakt

120 mm / 125 mm / 124 mm

1,3 kg

Produktfunktion Security

Ausführung Firewall

Produktfunktion bei VPN-Verbindung

Produktfunktion■ Passwortschutz■ Bandbreitenbegrenzung■ NAT/NAPT

Verschlüsselungsalgorithmen

Authentifizierungsverfahren

Hashingalgorithmen

stateful inspection

–

JaJaJa

–

–

–

stateful inspection

IPSec

JaJaJa

AES-256, AES-192, AES-128, 3DES-168, DES-56

Preshared Key, X.509v3 Zertifikate

MD5, SHA-1

stateful inspection

IPSec

JaJaJa



MD5, SHA-1

stateful inspection

IPSec

JaJaJa



MD5, SHA-1

Technische Daten im Überblick


© Siemens AG 2014


Produkttyp-Bezeichnung SCALANCE M874-2/M874-3 SCALANCE M875

Artikelnummer 6GK5874-2AA00-2AA26GK5874-3AA00-2AA2

6GK5875-0AA10-1AA2

Übertragungsrate

1 bei Industrial Ethernet / 2 bei Industrial Ethernet

bei GSM-Übertragung

bei GPRS-Übertragung

bei eGPRS-Übertragung

bei UMTS-Übertragung

10 Mbit/s / 100 Mbit/s

–

max. 42,8/85.6 kbit/s Uplink/Downlink

max. 118/236,8 kbit/s Uplink/Downlink

max. 5,76/14,4 Mbit/s Uplink/Downlink(Nur für M874-3)

10 Mbit/s / 100 Mbit/s

9 600 bit/s

max. 42,8/85.6 kbit/s Uplink/Downlink

max. 118/236,8 kbit/s Uplink/Downlink

max. 5,76/14,4 Mbit/s Uplink/Downlink

Schnittstellen

Eektrischer Anschluss■ für Netzkomponenten / Endgeräte■ für externe Antenne(n)■ für Spannungsversorgung

RJ45-Port (10/100 Mbit/s, TP, Auto-Crossover)SMA-Antennenbuchsen (50 Ohm)

RJ45-Port (10/100 Mbit/s, TP, Auto-Crossover)SMA-Antennenbuchsen (50 Ohm)Klemmleiste


Versorgungsspannung

Bereich 12 V ... 28,8 V 12 V ... 30 V


Umgebungstemperatur■ während Betrieb■ während Lagerung

Schutzart

-20 °C ... +60 °C-40 °C ... +85 °C

IP20

-40 °C ... +75 °C-40 °C ... +85 °C

IP20


Bauform


Nettogewicht

kompakt

35 mm / 147 mm / 127 mm

–

kompakt

45 mm / 99 mm / 114 mm

280 g



Produktfunktion■ Passwortschutz■ Packet Filter

Eignung zum Einsatz VPN


Anzahl der möglichen Verbindungen bei VPN-Verbindung

Art der Authentifizierung bei VPN PSK

Protokoll wird unterstützt IPsec Tunnel und Transport Mode

Schlüssellänge■ bei IPsec DES bei VPN■ 1 bei IPsec AES bei VPN■ 2 bei IPsec AES bei VPN■ 3 bei IPsec AES bei VPN

Art des Internet Key Exchange bei VPN Main Mode

Schlüssellänge bei IPsec 3DES bei VPN

Art des Internet Key Exchange bei VPN Quick Mode

Art der Paket-Authentifizierung bei VPN

stateful inspection

JaJa

Ja

Ja

10

Ja

Ja

56 bit128 bit192 bit256 bit

Ja

168 bit

Ja

MD5, SHA-1

stateful inspection

JaJa

Ja

Ja

10

Ja

Ja

56 bit128 bit192 bit256 bit

Ja

168 bit

Ja

MD5, SHA-1

Security IntegratedTechnische Daten im Überblick


© Siemens AG 2014


Produkttyp-Bezeichnung CP 1243-1 CP 1543-1

Artikelnummer 6GK7243-1BX30-0XE0 6GK7543-1AX00-0XE0

Übertragungsrate

■ an der Schnittstelle 1 / 2 10 … 100 Mbit/s / – 10 … 1 000 Mbit/s / –

Schnittstellen

Eektrischer Anschluss■ an Schnittstelle 1 gem. IE■ an Schnittstelle 2 gem. IE■ für Spannungsversorgung


1 x RJ45-Port––

–

1 x RJ45-Port––

–


Versorgungsspannung ■ 1 aus Rückwandbus■ extern

DC 5 V–

DC 15 V–


Umgebungstemperatur■ während Betrieb

- bei senkrechter Installation- bei waagerechter Installation

■ während Lagerung■ während Transport

Schutzart

-20 °C … +60 °C-20 °C … +70 °C-40 °C … +70 °C-40 °C … +70 °C

IP20

0 °C … +40 °C 0 °C … +60 °C-40 °C … +70 °C-40 °C … +70 °C

IP20


Baugruppenformat


Nettogewicht

Kompaktbaugr. S7-1200 einfach breit

30 mm / 110 mm / 75 mm

0,122 kg


35 mm / 142 mm / 129 mm

0,35 kg




Art der Verschlüsselungsalgorithmen bei VPN-Verbindung

Art der der Authentifizierungsverfahren bei VPN-Verbindung

Art der Hashingalgorithmen bei VPN-Verbindung


Produktfunktion■ Passwortschutz für Web-Applikationen■ ACL – IP-based■ ACL – IP-based für PLC/Routing■ Abschaltung nicht benötigter Dienste■ Sperren der Kommunikation über

physikalische Ports■ Logfile für unberechtigten Zugriff

stateful inspection

IPSec

AES-256, AES-192, AES-128, 3DES-168

Preshared Key (PSK), X.509v3 Zertifikate

MD5, SHA-1

8

NeinNeinNeinJaNein

Nein

stateful inspection

IPSec



MD5, SHA-1

16

NeinNeinNeinJaNein

Ja


© Siemens AG 2014


Produkttyp-Bezeichnung CP 343-1 Advanced CP 443-1 Advanced

Artikelnummer 6GK7343-1GX31-0XE0 6GK7443-1GX30-0XE0

Übertragungsrate

■ an der Schnittstelle 1 / 2 10 ...1000 Mbit/s / 10 ...100 Mbit/s 10 ...1000 Mbit/s / 10 ...100 Mbit/s

Schnittstellen

Eektrischer Anschluss■ an Schnittstelle 1 gem. IE■ an Schnittstelle 2 gem. IE■ für Spannungsversorgung


1 x RJ45-Port2 x RJ45-Ports2-polige steckbare Klemmleiste

Ja

1 x RJ45-Port4 x RJ45-Ports–

Ja


Versorgungsspannung ■ 1 aus Rückwandbus■ extern

DC 5 VDC 24 V

DC 5 V–


Umgebungstemperatur■ während Betrieb

- bei senkrechter Installation- bei waagerechter Installation

■ während Lagerung■ während Transport

Schutzart

0 °C … +40 °C 0 °C … +60 °C-40 °C ... +70 °C-40 °C ... +70 °C

IP20

0 °C … +60 °C––-40 °C ... +70 °C-40 °C ... +70 °C

IP20


Baugruppenformat


Nettogewicht

Kompaktbaugruppe

80 mm / 125 mm / 120 mm

0,8 kg


25 mm / 290 mm / 210 mm

0,7 kg








Produktfunktion■ Passwortschutz für Web-Applikationen■ ACL – IP-based■ ACL – IP-based für PLC/Routing■ Abschaltung nicht benötigter Dienste■ Sperren der Kommunikation über physikalische

Ports■ Logfile für unberechtigten Zugriff

stateful inspection

IPSec



MD5, SHA-1

32

JaJaJaJaJa

Nein

stateful inspection

IPSec



MD5, SHA-1

32

JaJaJaJaJa

Nein

Security IntegratedTechnische Daten im Überblick


© Siemens AG 2014


Produkttyp-Bezeichnung CP 1628 SOFTNET Security Client

Artikelnummer 6GK1162-8AA00 6GK1704-1VW04-0AA0

Schnittstellen

Eektrischer Anschluss■ an Schnittstelle 1 gem. IE■ des Rückwandbusses■ für Spannungsversorgung

2 x RJ45-PortPCI Express x11 x 2-poliger Klemmenblock


Art der Spannung der Versorgungsspannung

Optionale Fremdeinspeisung

Versorgungsspannung ■ 1 aus Rückwandbus■ 2 aus Rückwandbus■ extern■ Bereich

DC

Ja

3,3 V12 V24 V10,5 V ... 32 V


Umgebungstemperatur■ während Betrieb■ während Lagerung■ während Transport

+5 °C ... +55 °C-20 °C ... +60 °C-20 °C ... +60 °C


Baugruppenformat


Nettogewicht

PCI Express x1 (halbe Länge)

18 mm / 111 mm / 167 mm

0,124 kg








Anzahl nutzbarer IP-Adressen bei VPN-Verbindung maximal

stateful inspection

IPSec



MD5, SHA-1

64

16

–

IPSec



MD5, SHA-1

unbegrenzt bzw. abhängig von der Rechnerkonfiguration

abhängig von Rechnerkonfiguration


© Siemens AG 2014


Das datentechnische Zusammenrücken von Produktion und Office hat viele Prozesse einfacher und schneller gemacht und die Verwendung der gleichen EDV Programme schafft Syner-gien. Durch diese Entwicklung steigen allerdings auch die Risiken.

Viren, Trojaner, Hacker, etc. bedrohen heute nicht mehr nur die Verwaltungsebene, sondern es besteht auch für Anlagen die Gefahr von Störungen und Know-how-Verlust. Viele Secu-rity-Schwachstellen sind nicht auf den ersten Blick zu erken-nen. Deshalb ist es sinnvoll, eine bestehende Anlage bezüg-lich Sicherheit zu überprüfen und zu optimieren, um die Anla-genverfügbarkeit auf einem hohen Level zu halten. Für die Er-höhung der Ausfallsicherheit einer Anlage durch Angriffe steht ein stufenweises Servicekonzept für Industrial Security von Siemens Industry zur Verfügung.

Dabei erfolgt im ersten Schritt der "Beurteilung" - zunächst die Untersuchung der bestehenden Anlage. Eventuelle Schwach-stellen oder Abweichungen zu Standards oder Normen wer-den identifiziert. Das Ergebnis dieser Untersuchung ist ein de-taillierter Bericht über den Ist-Zustand der Anlage mit Be-schreibung der Schwachstellen und Bewertung der Risiken. Ebenfalls enthalten sind hierauf basierende Maßnahmen zur Verbesserung des Sicherheitsniveaus.

Im zweiten Schritt der "Umsetzung" - werden die in der Beurteilung definierten Maßnahmen umgesetzt, d. h.:• Schulung:

Die Mitarbeiter werden zielgerichtet trainiert und verste-hen, was IT- und Infrastruktur-Sicherheit im industriellen Umfeld bedeuten.

• Prozessverbesserung:Security relevante Richtlinien und - Vorschriften bezogen auf die bestehenden Anlagenbedürfnisse werden verfasst und implementiert.

• Sicherheitstechnologien:Schutzmaßnahmen an Hard- und Software sowie im Netz-werk der Anlage werden umgesetzt, ebenso wie der Lang-zeitschutz durch Monitoring.

Die in den ersten beiden Phasen definierten und umgesetzten Maßnahmen werden im dritten Schritt "Betrieb & Manage-ment" kontinuierlich weitergeführt, d.h. Überwachung des Si-cherheitszustandes der Anlage, Überprüfung des Sicherheitsni-veaus, Neudefinition und Optimierung von Maßnahmen, eben-so wie regelmäßige Berichte und Funktionen wie Updates, Backup & Restore. Auch bei Änderungen im Anlagen-netzwerk, der Softwarelandschaft oder der Verwaltung von Zugriffsrech-ten für Nutzer und Administratoren, wird sichergestellt, dass die entsprechenden Daten in der Anlage bleiben und Angreifer wenig Chancen haben die Anlage zu stören. Die Implementie-rungs- und Betrieb- & Management- Phasen werden genau auf die vorhandenen Bedürfnisse zugeschnitten.

Industrial SecurityIndustrial Security Services


© Siemens AG 2014


Informieren über den Sicherheitsstatus und

Entwickeln eines Security Maßnahmenplans

Schritt 1:Beurteilen

Nachhaltigen Schutz durch pro-aktive Maßnahmen

Schritt 3:Betrieb &

Management

Planen, Entwickeln und Realisieren eines ganz-

heitlichen Cyber Security Programms

Schritt 2:Umsetzen

Cyber Security TrainingEntwicklung von Security Richtlinien und ProzedurenImplementieren von Security Technologien

Global Threat IntelligenceErkennen von Vorfällen und deren BeseitigungFrühzeitige Antworten auf eine sich ändernde Bedrohungslage

Schwachstellen AnalyseÜberprüfung der BedrohungslageRisikoanalyse

G_I

K10

_XX

_103

76


■ Bestimmung des Sicherheitsniveaus und basierend dar-auf Erarbeitung eines Maßnahmenplans zur Reduzie-rung der Risiken

■ Gezieltes Training zum Aufbau von technischem Wissen

■ Erhöhung der Anlagensecurity durch abgestimmte Prozesse und Vorgaben

■ Implementierung einer umfassenden Securitylösung zum Schutz der Automatisierungsanlage

■ Anbindung an ein Managed Service Center zur kontinu-ierlichen Überwachung des Sicherheitszustandes der Anlage

■ Kontinuierliche Überwachung des Securityzustandes der Anlage

■ Erkennen von Vorfällen und Anpassung der Umgebung an die Bedrohungslage

■ Aktuell-halten der Anlage durch Updates (Pattern, Patches, Signaturen).


© Siemens AG 2014


Industrial SecurityBegriffe, Definitionen

DDNS

DDNS (dynamischer Domain-Name-System-Eintrag) ist ein System in der Informationstechnik, das Domain-Name-Ein-träge aktualisieren kann.

Demilitarized Zone (DMZ)

DMZ, auch ent- oder demilitarisierte Zone, bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriff-möglichkeiten auf die daran angeschlossenen Server.

Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) ab-geschirmt. Durch diese Trennung kann der Zugriff auf öffent-lich erreichbare Dienste (z. B. E-Mail) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen geschützt werden. Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet) als auch dem LAN (Intranet) zur Verfügung zu stellen.

Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehreren Netzen.

Firewall

Security-Module, die den Datenaustausch zwischen miteinan-der verbundenen Netzwerken entsprechend gegebener Sicherheitsbeschränkungen ermöglichen oder ausschließen. Hierzu werden Firewall-Regeln projektiert. Somit kann fest-gelegt werden, dass z.B. nur ein bestimmter PC auf eine bestimmte Steuerung zugreifen darf.

Port Security

Mithilfe der Access Control-Funktion lassen sich einzelne Ports für unbekannte Teilnehmer sperren. Ist die Funktion Access Control auf einem Port aktiviert, werden Pakete, die von unbe-kannten MAC-Adressen kommen, sofort verworfen. Lediglich Pakete von bekannten Teilnehmern werden angenommen.

RADIUS: Authentifizierung über einen externen Server

Das Konzept von RADIUS basiert auf einem externen Authen-tifizierungs-Server. Für ein Endgerät ist der Zugang zum Netz-werk erst möglich, nachdem der Industrial Ethernet Switch die Anmeldedaten des Geräts beim Authentifizierungs-Server ve-rifiziert hat. Sowohl das Endgerät als auch der Authentifizie-rungs-Server müssen das EAP-Protokoll (Extensive Authentica-tion Protocol) unterstützen.

System Hardening

Das System Hardening schließt nicht benötigte Schnittstellen und Ports und reduziert so die Anfälligkeit des Netzwerks ge-genüber Angriffen von außen und von innen. Dabei werden alle Ebenen eines Automatisierungssystems betrachtet: Leit-system, Netzwerkkomponenten, PC-basierte Systeme und speicherprogrammierbare Steuerungen.

Virtual Private Network (VPN)

Ein sogenannter VPN-Tunnel verbindet zwei oder mehrere Netz-werkteilnehmer (z.B. Security-Module) und die dahinter liegen-den Netzwerksegmente. Durch die Verschlüsselung der Daten innerhalb dieses Tunnels wird sichergestellt, dass die Daten bei der Übertragung über ein an sich unsicheres Netzwerk (z.B. Inter-net) durch Dritte nicht abgehört und verfälscht werden können.

Virtual LAN (VLAN)

Das besondere Merkmal eines VLANs: Per Projektierung kön-nen Geräte einer Gerätegruppe zugeordnet werden – unab-hängig von ihrer räumlichen Lage. Mehrere dieser Geräte-gruppen nutzen dabei eine physikalisch nur einmal vorhande-ne Netzwerkinfrastruktur. Auf dem physikalisch nur einmal vorhandenen Netz entstehen damit mehrere "virtuelle" Netze. Datenaustausch findet nur innerhalb eines VLAN statt.

Whitelisting

Ob Personen, Unternehmen oder Programme: Eine Weiße Liste – oder auch Positivliste – bezeichnet eine Sammlung gleicher Elemente,die als vertrauenswürdig einge-stuft werden. Whitelisting für PCs sorgt dafür, dass nur erwünschte Programme ausgeführt werden können.


© Siemens AG 2014

31

Folgen Sie uns auf:

www.twitter.com/siemensindustry

www.youtube.com/siemens

Industrial Security auf einen Blick

Erfahren Sie alles über Industrial Security:

■ Unsere Security-Produkte und Leistungenim Überblick

■ Aktuelle Neuigkeiten aus dem Umfeld von Industrial Security


© Siemens AG 2014

Weitere InformationenInformationsmaterial zum Download:www.siemens.de/automation/infocenter

Service & Support:www.siemens.de/automation/servive&support

SIMATIC NET Ansprechpartner:www.siemens.de/automation/partner

Industry Mall zum elektronischen Bestellen:www.siemens.de/industrymall

Die Informationen in dieser Broschüre ent halten lediglich allgemeine Beschreib ungen bzw. Leistungs merk male, welche im konkreten Anwendungsfall nicht immer in der beschriebenen Form zutreffen bzw. welche sich durch Weiterentwicklung der Produkte ändern können. Die gewünschten Leistungs merkmale sind nur dann ver-bindlich, wenn sie bei Vertragsschluss ausdrück lich ver einbart werden. Liefermöglichkeiten und technische Änderungen vorbehalten.Alle Erzeugnisbezeich nungen können Marken oder Erzeugnis namen der Siemens AG oder anderer, zu liefern der Unternehmen sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann.

Siemens AGIndustry SectorIndustrial Automation SystemsPostfach 48 4890026 NÜRNBERGDEUTSCHLAND

Änderungen vorbehaltenArtikel-Nr. 6ZB5530-1AP01-0BA3DR.PN.SC.14.XXBR.95.30 / Dispo 26000BR 0214 2. PES DePrinted in Germany © Siemens AG 2014

www.siemens.com/automation

Security-HinweiseSiemens bietet Produkte und Lösungen mit Indus-trial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheit-lichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren.

Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellen-schutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter:http://www.siemens.com/industrialsecurity

Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter: http://support.automation.siemens.com

01_BR_Titel_NWS_de_02_2014.indd 1601_BR_Titel_NWS_de_02_2014.indd 16 17.02.2014 15:28:0017.02.2014 15:28:00

© Siemens AG 2014

Netzwerksicherheit - siemens.com · Industrial Security 5 SSC Security Management Objektsicherung...

Documents

Transcript of Netzwerksicherheit - siemens.com · Industrial Security 5 SSC Security Management Objektsicherung...