Nozioni di base e applicazione Security
Contents
1. Parametri Significato Indirizzo IP Indirizzo IP o area di indirizzi IP consentiti Diritti A seconda dell assegnazione eseguita Diritti che non sono abilitati per l indirizzo IP Commento Inserimento supplementare di un commento Logging Se si attiva la casella di controllo vengono registrate le regole nel log filtro pacchetto Attivazione della modalit Se si attiva la casella di controllo vengono convertite le voci nelle se estesa guenti regole firewall Tabella 4 4 Pulsanti Denominazione Significato Effetto Nuovo Creare un nuovo indirizzi IP o una nuova area di indirizzi IP con i relativi diritti Modifica Selezionare una voce e fare clic su questo pulsante per modificare una voce esistente Del Cancellare la voce selezionata con questo pulsante Nozioni di base e applicazione Security 120 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 1 CP in modalit standard 4 1 1 4 Aggiunta di una voce nell elenco di accesso Eseguire le seguenti impostazioni Casella Indirizzo IP o inizio dell area IP Descrizione Inserire l indirizzo IP o il valore iniziare di un area di indirizzo IP Fine dell area IP opzionale Inserire il valore finale di un area di indirizzo IP Commento Inserimenti supplementari di commenti ad es per descrivere il partner di comunicazione o l area di indi rizzi guenti accessi2. nnn 217 6 7 Dati di configurazione per apparecchi VPN nn 220 6 8 Dati di configurazione per NCP VPN Client Android nne 222 6 9 Configurazione di nodi di rete interni ideea eiet r AAEE REEE 224 6 9 1 Configurazione di ulteriori nodi e sottoreti per il tunnel VPN 224 6 9 2 Tipo di funzionamento della modalit di programmazione neren 226 6 9 3 Visualizzazione dei nodi di rete interni trovati rn renne 228 7 Ridondanza router e firewall ii 229 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 11 Indice del contenuto 12 7 1 Informazioni generali 229 7 2 Relazioni di ridondanza e assegnazione di unit Security 230 7 3 Configurazione delle relazioni di ridondanza i 231 SOFTNET Security Glienti i carrara rie IAA VARA AAA aac rt 233 8 1 Impiego del SOFTNET Security Client 233 8 2 Installazione e messa in servizio del SOFTNET Security Client neea 236 8 2 1 Installazione e avvio del SOFTNET Security Client 236 8 2 2 Disinstallazione del SOFTNET Security Client ii 237 8 3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool sueis a Lea ale 237 8 4 Comando del SOFTNET Security Client 240 8 5 C
3. i IE Nodi esterni Unit Security esterna Firewall Figura 4 4 Impostazione standard per filtro pacchetto MAC CP 1628 Sono bloccati tutti i telegrammi dall esterno Sono autorizzati tutti i telegrammi dall esterno del seguente tipo e ARP con limitazione banda larga e PROFINET DCP con limitazione banda larga Sono autorizzati telegrammi dall unit Security all esterno del seguente tipo e PROFINET DCP con limitazione banda larga Sono autorizzati i protocolli MAC che vengono inviati attraverso il tunnel IPsec Nota Nessuna comunicazione al di fuori dal tunnel VPN Inoltre per tutti i partner VPN conosciuti nel progetto viene impedito che possa avvenire una comunicazione tra i punti terminali VPN al di fuori dal tunnel Il comportamento non pu nemmeno essere modificato creando regole firewall corrispondenti in modalit estesa Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 123 Progettazione di firewall 4 1 CP in modalit standard 4 1 2 2 Progettazione di firewall A questa funzione si accede nel modo seguente 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Firewall Tabella 4 5 Servizi e direzioni disponibili Servizio Esterno gt stazione Esterno stazione Porte abilitate Significato Comunicazione IP con x Il traffico IP per le direzion
4. Nota Non possibile una ricommutazione alla modalit standard Non appena stata modificata la configurazione per il progetto attuale non pi possibile annullare una commutazione nella modalit estesa precedentemente eseguita Rimedio SCT Standalone chiudere il progetto senza salvarlo e aprirlo di nuovo 2 Selezionare l unit Security da modificare 3 selezionare la voce di menu Modifica gt Propriet scheda Impostazioni Log La seguente finestra di dialogo illustra le impostazioni standard per l unit Security con Logging attivato per la rete Syslog re o intediacce Frowni Colegamerto intemet ONS Routing NAT NAFT Sincranizzazone delom oostazoni Leg VPN DIHOP Server SNMP Proxy ARP MRP HRP RADIUS Area cian d evert Merroria circolare Memoria ineare Lore Paccheni da registra 7 Evera fio pacches firewall Palet Log Tusipacchen m Aust Log 7 Evers d stero Confgura a Syam Log Syriog 3 rete T Logprg state Syslog Serve dizza nome uertolsco nel logpeg Mome modo iva ciassi di evento tassora Severit sseora facile Evers biro pacchen trensi Event udt Ever unera OK rendia icqanso Realizzazione del collegamento al server Syslog 260 Per SCALANCE S L unit Security utilizza il nome di unit progettato come nome host rispetto al server Syslog Per CP L unit Security utilizza il proprio indirizzo IP come nome host rispetto al server Syslog Inserir
5. Tipo di file File txt in formato ASCII Contiene le informazioni di configurazione esportate per l apparecchio VPN compresa un informazione su ulteriori certificati generati ag Etor n Me I VPN Device_eng Editor Datei Bearbeiten Format Ansicht Enformarion for the configuration of the vPN capable prodcut of a different vendor modul Modul2 in connection with Moduli Phase 1 gt IP address of the ven partner 192 168 10 1 gt This module is configured as Initiator and responder the vPN device must initiate the connection as well as await connection gt authentication method certificare gt Negotiation Method Main mode Identification Local ID UGBES2IIEGAIBI Remote I0 U150200F18GA983 Identification Type user FQON gt Encryption 3065 168 gt Mash Sma 1 gt DH Group Group gt Lifetime 150000000 gt NAT T on off gt Certificates of the VPN partner Konfiguration 1 Gruppet Modull crt gt certificates of the nodul gt PEM format Konfiguration 1 U68r82 98G4983 Modu 2 pem gt PKCS12 format with private key konfiguration 1 u66E629c98Ga963 modul2 p12 e Phase 2 gt Local net address 192 168 9 0 gt Local subnet mask 255 255 255 0 gt Local subnets shared via v gt Remote net address 192 168 3 0 gt Remote subnet mask 255 255 255 0 gt Protocol ESP gt Encryption 3065 168 gt Hash SHA 1 gt Perfect Forward Secrecy PFS No gt Sa Lifetime Typ
6. In modalit estesa possono essere progettate le seguenti propriet del gruppo VPN e Metodo di autenticazione e Impostazioni IKE campo finestra di dialogo Advanced Settings Phase 1 e Impostazioni IPsec campo finestra di dialogo Advanced Settings Phase 2 Nozioni di base e applicazione Security 206 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa A questa funzione si accede nel modo seguente 1 Selezionare il gruppo VPN da modificare nella modalit estesa 2 Selezionare la voce di menu Modifica gt Propriet 37 Propriet del gruppo VPN Gruppel Lor Metodo di autenticazione Preshared Key Certificato Chiave e6SnScuOpUi Nome PBBSF G7244 Data di emissione 22 08 2013 15 22 Nuovo Visualizza Impostazioni estese fase 1 Modalit IKE Man hd Fase 1 gruppo DH Gruppo DH 2 1024 bt X Tipo di durata SA Time Durata SA 2500000 Min Fase 1 codifica 3DES 168 X Fase 1 autenticazione SHAI X Impostazioni estese fase 2 Tipo di durata SA Time sli Durata SA 2880 Min Fase 2 codifica 3DES 168 X Fase 2 autenticazione SHAI Perfect Forward Secrecy Commento ie i 3 Selezionare se per l autenticazione deve essere utilizzata una Preshared Key o un certificato Ulteriori informazioni su questo argomento si trovano nel seguente capitolo Metodo di autenticazione Pagina 200 P
7. Per i set di regole IP Regole del filtro pacchetto IP Pagina 147 Per i set di regole MAC Regole del filtro pacchetto MAC Pagina 157 6 Assegnare il set di regole firewall globali alle unit Security nelle quali deve essere utilizzato questo set di regole Selezionare quindi nell area di navigazione il set di regole firewall globale e trascinarlo sull unit Security nell area di navigazione Drag and Drop In alternativa possibile eseguire l assegnazione nell elenco delle regole locali di un unit Security Security tramite il pulsante Aggiungi set di regole Il set di regole firewall globale viene utilizzato dalle unit Security come set di regole locale e compare automaticamente negli elenchi specifici dell unit delle regole firewall Set di regole firewall globali Accordi Pagina 139 Set di regole IP specifiche per l utente Ai set di regole IP personalizzati vengono dapprima assegnati singoli o diversi utenti Infine i set di regole IP personalizzati vengono assegnati a singole o diverse unit Security In questo modo possibile consentire accessi specifici per l utente Se come standard sono ad es disabilitati tutti gli accessi alle reti dopo un unit Security determinati nodi possono essere abilitati temporaneamente tramite i relativi indirizzi IP per un utente In questo modo per questo utente consentito l accesso mentre per gli altri utenti gli accessi restano disabilitati Le risposte agli accessi person
8. Sostituzione dell unit Security selezionata con un al tra Propriet Apre la finestra di dialogo delle propriet dell oggetto F4 selezionato Diagnostica online Accede alle funzioni di test e di diagnostica Nozioni di base e applicazione Security 48 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 3 Superficie operativa e voci di menu Voce di menu Insert Significato Osservazioni Voci di menu solo in modalit offline Combinazione dei tasti Unit Creazione di una nuova unit Security La voce di menu attiva solo se nell area di naviga zione selezionata un unit Security o un gruppo VPN Ctrl M Group Crea un nuovo gruppo VPN La voce di menu attiva solo se nell area di naviga zione selezionato un oggetto gruppi Ctrl G Set di regole firewall Creazione di un nuovo set di regole IP firewall globa le di un set di regole MAC o di un set di regole IP personalizzato La voce di menu attiva solo se nell area di naviga zione selezionato un oggetto firewall La voce di menu visibile solo in modalit estesa Ctrl F Relazione di ridondanza Creazione di una nuova relazione di ridondanza La voce di menu attiva solo all interno dell area di navigazione se ci si trova nella cartella Relazioni di ridondanza Ctrl R Transfer All unit alle unit
9. Uscire dal SOFTNET Security Client possibile uscire dal SOFTNET Security Client nel modo seguente e Fare clic con il tasto destro del mouse sul simbolo SOFTNET Security Client e selezionare l opzione Esci dal SOFTNET Security Client e Fare clic sul pulsante Esci nell interfaccia aperta Risultato Il SOFTNET Security Client viene chiuso e la direttiva di sicurezza viene disattivata 8 2 2 Disinstallazione del SOFTNET Security Client Durante la disinstallazione vengono ripristinate le propriet Security impostate dal SOFTNET Security Client 8 3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool Configurazione del SOFTNET Security Client nel progetto SCT Il SOFTNET Security Client viene creato nel progetto SCT come unit Rispetto alle altre unit Security non devono essere progettate altre propriet Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 237 SOFTNET Security Client 8 3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool Assegnare il SOFTNET Security Client creato o i gruppi VPN nei quali deve essere configurato il tunnel IPsec con il PC PG In questo caso vengono acquisite le propriet dei gruppi progettate per questi gruppi VPN Nota Osservare le indicazioni relative ai parametri nel seguente capitolo e Acquisizione dell unit nel gruppo VPN conf
10. Configurazione SOFTNET SOFTNET Security Client dispositi vo VPN client VPN NCP Unit A seconda della selezione del tipo di prodotto possibile indica re qui il tipo di unit che viene utilizzato durante la creazione di una nuova unit Selezionare l opzione NCP client VPN per Android per inserire il dispositivo client VPN che sostituisce un dispositivo con soft ware NCP Secure VPN Client for Android installato Selezionare l opzione Dispositivo VPN per inserire un disposi tivo client VPN che sostituisce un dispositivo di un altro produtto re Avvertenza Il file di configurazione trasmesso rappresenta solo un supporto per la configurazione del collegamento VPN ma non una garanzia per una compatibilit con i prodotti di altri produttori Release del firmware Per le unit SCALANCE S e per il SOFTNET Security Client possono essere indicati la versione firmware e software Nome dell unit Nome dell unit a scelta Indirizzo MAC Inserimenti dell indirizzo MAC dell unit Indirizzo IP est Indirizzo IP per l interfaccia esterna L indirizzo IP composta da 4 numeri decimali dell area di valori compresa tra 0 e 255 separati tra loro da un punto ad es 141 80 0 16 Maschera sotto rete est Area dei valori per maschera della sotto rete Viene proposta in base all indirizzo IP inserito La maschera della sotto rete composta da 4 numeri decimali dell area di va
11. Tabella 4 19 Parametri dei servizi MAC Denominazione Name Significato Commento Nome definibile liberamente per il servizio che viene Immissione libera utilizzato per l identificazione nella definizione della rego la o nel raggruppamento Possibilit di selezione campi dei valori Protocollo Nome del tipo di protocollo e ISO ISO contrassegna i telegrammi con le seguenti pro PROFINET IO priet Lengthfield lt 05DC hex DSAP userdefined SSAP userdefined CTRL userdefined e SNAP SNAP contrassegna i telegrammi con le seguenti propriet Lengthfield lt 05DC hex DSAP AA hex SSAP AA hex CTRL 03 hex OUl userdefined OUI Type userdefined e PROFINET IO e ISO e SNAP e 0x immissione codice DSAP Destination Service Access Point Indirizzo destinatario LLC 160 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Denominazione Significato Commento Possibilit di selezione campi dei valori SSAP Source Service Access Point Indirizzo mittente LLC CTRL LLC Control Field QUI Organizationally Unique Identifier i primi 3 byte dell indi rizzo MAC identificazione costruttore Tipo QUI Tipo di protocollo identificazione Le indicazioni del protocollo 0800 hex e 0806 hex non vengono accettate in quanto quest
12. Visualizza o importa esporta certificati Help gt Argomenti della guida Guida alle funzioni e ai parametri che si trovano F1 nell SCT Informazioni Informazioni sulla versione dell SCT Nozioni di base e applicazione Security 50 Manuale di progettazione 12 2014 C79000 G8972 C286 04 2 4 2 4 1 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti Creazione e gestione di progetti Security Configuration Tool variante standalone pl n Progettazione con il Security Configuration Tool Standalone 2 4 2 Progettazione Il Security Configuration Tool Standalone viene utilizzato per la creazione di progetti Security nei quali non vengono progettate unit Security che devono essere create e configurate in STEP 7 Creare un nuovo progetto con la voce di menu Progetto gt Nuovo Esso comprende tutte le informazioni di configurazione e di gestione per uno o diversi SCALANCE S SOFTNET Security Client dispositivi SCALANCE M dispositivi VPN e NCP VPN Client Android Creare un unit nel progetto per ciascun dispositivo o per ciascuna configurazione Security Configuration Tool in STEP 7 Il Security Configuration Tool in STEP 7 viene utilizzato per la creazione di progetti Security nei quali vengono progettate unit Security che devono essere create e configurate in STEP 7 Inoltre vengono supportati tutte le unit Security della variante Standalone Non appena in STEP
13. disattivata autorizzata la comunicazione via tunnel e inoltre il tipo di comunicazione selezionato nelle altre caselle di selezio ne Consenti comunica zione IP dalla rete interna alla rete I nodi interni possono inizializzare un collegamento di comunicazione con nodi in una rete esterna Solo i telegrammi di risposta vengono inoltrati dalla rete esterna alla rete interna esterna Dalla rete esterna non pu essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna Nozioni di base e applicazione Security 134 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 2 SCALANCE S in modalita standard Regola opzione Consenti comunica zione IP con protocol lo S7 dalla rete interna alla rete esterna Porte abilitate Porta TCP 102 Funzionamento I nodi interni possono inizializzare un collegamento di comunicazione S7 con nodi in una rete esterna Solo i telegrammi di risposta vengono inoltra ti dalla rete esterna alla rete interna Dalla rete esterna non pu essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna Consenti accesso al server DHCP dalla rete interna alla rete esterna Porta UDP 67 Porta UDP 68 I nodi interni possono inizializzare un collegamento di comunicazione con un server DHCP in una rete esterna Solo i telegrammi di risposta del server DHCP vengono inoltrati nella rete interna
14. progettato nessun tunnel VPN e La comunicazione si svolge attraverso il tunnel VPN se l indirizzo partner un punto terminale VPN e Se non possibile assegnare in modo univoco se un collegamento deve essere svolto all interno o fuori dal tunnel il collegamento viene assegnato al tunnel VPN e viene visualizzata un avvertenza corrispondente L assegnazione pu essere adattata in modalit estesa ad es modificando la direzione Da Tunnel a Esterno Per evitare che questo adattamento venga sovrascritto durante un nuovo livellamento del sistema necessario selezionare l azione Allow o Drop Nota Se deve essere garantita solo una comunicazione attraverso il tunnel in modalit firewall estesa possibile creare regole firewall corrispondenti ad es per nodi interni o indirizzi NDIS Per consentire esclusivamente una comunicazione via tunnel per un CP inserire una regola con le seguenti impostazioni e Azione Drop Da Any e A Esterno Per il CP 1628 inserire una regola con le seguenti impostazioni e Azione Drop e Da Stazione e A Esterno Inoltre necessario cancellare le regole Firewall gi esistenti che consentono una comunicazione senza tunnel 4 3 5 Impostazione delle regole del filtro pacchetto IP locali Tramite le regole del filtro pacchetto IP possibile filtrare sui telegrammi IP come per esempio telegrammi UDP TCP ICMP All interno di una regola del filtro
15. 156 4 3 10 Regole del filtro pacchetto MAC 157 4 3 11 definizione dei servizi MAC iii 160 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Indice del contenuto 4 3 12 configurazione di gruppi di SErvizi neatenta 162 4 3 13 Adattamento delle regole standard per servizi IP i 163 5 Progettazione di ulteriori propriet dell unit iii 167 5 1 Unit Security come router ii 167 5 1 1 Informazioni generali fiala Ala Rara iaia Ri 167 5 1 2 Definizione del router standard e degli instradamenti i 168 5 1 3 Routing NATINAPT scarna Re NARO ie ana ei 169 5 1 4 Conversione di indirizzi NAT NAPT nnee nnt 172 5 1 5 Conversione di indirizzi con tunnel NAT NAPT nei tunnel VPN 178 5 1 6 Relazione tra router NAT NAPT e firewall e 179 5 1 7 Relazione tra router NAT NAPT e firewall specifico per l utente eenen 182 5 2 Unit Security come server DHCP i 184 5 2 1 Informazioni generali ispiri eiriaa erea E Lesa liti asini lai TA A EAEE EEATT 184 5 2 2 Configurazione del server DHCP isst iani i 185 5 3 Sincronizzazione dell ora tenetere rn ntnsttertntntnnsttttntnntnssenttnn nenen en ennn nn nennt 189 5 3 1 Informazioni gengerali 1 trat ail A aaa paia
16. Comunicazione protetta nella VPN tramite tunnel IPsec 6 9 Configurazione di nodi di rete interni Una sottorete che deve essere abilitata tramite la configurazione pu essere Requisito richiesto una sottorete raggiungibile tramite la rete locale sull interfaccia interna se un tunnel VPN termina sull interfaccia esterna o sull interfaccia DMZ una sottorete raggiungibile tramite l interfaccia DMZ se un tunnel VPN termina sull interfaccia esterna una sottorete raggiungibile tramite l interfaccia esterna se un tunnel VPN termina sull interfaccia DMZ Prima che i nodi o le sottoreti possano essere abilitati per la comunicazione via tunnel devono essere soddisfatti i seguenti requisiti L unit Security si trova in un gruppo VPN Il campo della finestra di dialogo Nodi VPN nella scheda VPN viene visualizzato solo se il progetto si trova in modalit estesa Nota Non possibile una ricommutazione alla modalit standard Non appena stata modificata la configurazione per il progetto attuale non pi possibile annullare una commutazione nella modalit estesa precedentemente eseguita Rimedio SCT Standalone chiudere il progetto senza salvarlo e aprirlo di nuovo A questa funzione modalit Bridge si accede nel modo seguente Osservazione Se i nodi o le sottoreti sull interfaccia DMZ solo SCALANCE S623 5S627 2M sono abilitati seguire la descrizione per la modalit routing 1 2 Selezionare l unit
17. Elemento di comando Casella opzione Attiva apprendimento dei nodi interni dei Se nella configurazione delle unit Security attivata la partner del tunnel Significato modalit di apprendimento essa pu essere attivata anche per il SOFTNET Security Client In questo modo si ottengo no automaticamente le informazioni sui nodi interni delle unit Security nella panoramica dei tunnel In caso contrario la casella di selezione Apprendimento dei nodi interni non attiva e non vengono visualizzate informazioni sui nodi interni delle unit Security nella panoramica dei tunnel Pulsante Delete All Le direttive di sicurezza IP delle voci configurate in SSC vengono cancellate Pulsante Clear Cancella tutte le voci nella consolle Log 246 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 SOFTNET Security Client 8 5 Configurazione e modifica del tunnel Selezione e comando della voce tunnel Opzioni del menu contestuale Selezionare una voce nella finestra di dialogo Panoramica tunnel e aprire altre opzioni con il menu contestuale E SOFTNET Security Client Tunnel Overview e Tunnel List Status Name Logging Console Member IP Subnet T ane SCALA Sel Subnet of B augruppet 2 168 5 255 essa Ji Enable all Members Tunnel Endpoint IP Tunnel over Disable all Members Select Network Device T
18. Ghost Avvertenza Nella scheda Interfacce la modalit Ghost pu essere selezio nata solo se il progetto si trova in modalit estesa Nozioni di base e applicazione Security 96 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Progettazione delle interfacce Se deve essere progettata l interfaccia di un unit essa deve essere attivata tramite la casella di controllo Attiva interfaccia Definire le indicazioni di indirizzo IP per ciascuna interfaccia e le impostazioni delle singole porte solo per SCALANCE S a partire da V3 Per l assegnazione di un indirizzo IP per l interfaccia esterna e per l interfaccia DMZ solo SCALANCE S623 S627 2M sono disponibili le seguenti modalit di assegnazione e Indirizzo IP statico con maschera della sotto rete e Assegnazione di indirizzi tramite PPPoE 6 A 4 L interfaccia interna e l interfaccia tunnel solo per SCALANCE S612 5623 S627 2M a partire da V4 possono essere progettate solo tramite un indirizzo IP fisso Se mediante progettazione di una regola NAT NAPT per un unit SCALANCE S sono stati registrati indirizzi IP Alias su un interfaccia essi vengono visualizzati nella casella Indirizzi IP Alias Nota Interfaccia esterna e interfaccia DMZ solo SCALANCE S623 S627 2M come accesso a Internet Non possibile il funzionamento simultaneo di PPPoE sull interfa
19. SOFTNET Security Client ET 200X Cella di automazione 2 Cella di automazione Comunicazione automatica tramite VPN Per la propria applicazione importante che il SOFTNET Security Client riconosca se avviene l accesso agli indirizzi IP di un nodo VPN Indirizzare il nodo tramite l indirizzo IP come se si trovasse nella sotto rete locale alla quale collegato anche il PC PG con applicazioni Nota Tramite il tunnel IPsec pu essere eseguita solo una comunicazione basata su IP tra SSC e le unit Security nonch i nodi interni dopo le unit Security La comunicazione livello 2 non possibile con I SSC Comando POEN Il software per PC SOFTNET Security Client serve per configurare le propriet Security necessarie per la comunicazione con apparecchi protetti da unit Security Dopo la configurazione il SOFTNET Security Client funziona sullo sfondo visibile da un simbolo nella barra dei simboli sul PG PC Nozioni di base e applicazione Security 234 Manuale di progettazione 12 2014 C79000 G8972 C286 04 SOFTNET Security Client 8 1 Impiego del SOFTNET Security Client Dettagli nella guida in linea dP Le informazioni dettagliate sulle finestre di dialogo e le caselle di immissione si trovano anche nella guida in linea della superficie operativa del SOFTNET Security Client FI La guida in linea si richiama con il pulsante Help o premendo il tasto F1 Come funziona il SOFTNET Security Client Il SO
20. Security ad una relazione di ridondanza una parte delle propriet delle unit viene progettata solo tramite la relazione di ridondanza Questa parte delle propriet delle unit viene disattivata per le singole unit Security ed di nuovo attiva ed editabile dopo la rimozione delle unit Security dalla relazione di sicurezza Le seguenti propriet vengono progettate tramite la relazione di ridondanza e Impostazioni base della relazione di ridondanza parametri di rete unit primaria e Firewall e Routing e Routing NAT NAPT nessun 1 1 NAT Le impostazioni riportate di seguito sono attive anche dopo il collegamento in una relazione di ridondanza per le singole unit Security Queste impostazioni possono ancora essere adattate separatamente per entrambe le unit Security e Impostazioni delle interfacce la disattivazione di interfacce non possibile e Regole standard per servizi IP firewall Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 229 Ridondanza router e firewall 7 2 Relazioni di ridondanza e assegnazione di unit Security e DDNS e Sincronizzazione dell ora e Impostazioni Log e SNMP e MRP HRP e RADIUS 7 2 Relazioni di ridondanza e assegnazione di unit Security Requisiti richiesti Possono essere assegnate solo unit Security di una relazione di ridondanza che soddisfano i seguenti requisiti e L unit Security del tipo S623 V4 o S627 2M
21. non adattabile Regole firmware standard per CP S7 Nella seguente tabella sono riportate le regole firewall standard per i CP S7 Le regole firewall sono impostate solo se il servizio interessato attivato nel Security Configuration Tool Servizio Direzione Esterno GBit Interno PN IO VPN IKE x VPN NAT Traversal x BootP Server in uscita x di BootP Client in ingresso x si x attivato come standard Nozioni di base e applicazione Security 164 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa disattivato come standard non adattabile Entrambi i servizi BootP Server e BootP Client sono attivi insieme rispettivamente o sull interfaccia esterna o sull interfaccia interna Sono attive o entrambe le regole firewall sull interfaccia esterna o entrambe le regole firewall sull interfaccia interna Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 165 Progettazione di firewall 4 3 Firewall in modalit estesa Nozioni di base e applicazione Security 166 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router 5 1 1 Informazioni generali Significato Utilizzando l unit Security come router le reti sull interfaccia interna sull interfaccia esterna e sull interfaccia DMZ solo SCALANCE S623
22. possibile a pi reti di dati differenti con rispettivamente un proprio profilo VPN Sulla base dello standard IPsec i Tablet e gli Smartphone possono realizzare collegamenti di dati con gateway VPN di tutti i pi noti produttori Il client acquistabile in due varianti tramite il Google Play Store e NCP Secure VPN Client for Android autenticazione con Preshared Key e NCP Secure VPN Client Premium for Android autenticazione con Preshared Key o certificato Ulteriori informazioni sui client NCP Secure Android si trovano in NCP Secure VPN Client for Android http www ncp e com en products ipsec vpn client for android html Le informazioni VPN per la parametrizzazione di un client VPN Android possono essere generate con il Security Configuration Tool Con i file generati quindi possibile configurare il software client VPN NCP Vengono generati i seguenti tipi di file e File di esportazione con dati di configurazione Tipo di file File ini in formato UTF 8 Contiene le informazioni di configurazione esportate per client VPN NCP Android compresa un informazione su ulteriori certificati generati e Certificati del gruppo VPN dell unit Tipo di dati della chiave privata File p12 Il file contiene il certificato del gruppo VPN dell unit e il materiale codificato L accesso protetto da password e Certificati CA di gruppi VPN Tipo di file File crt Nozioni di base e applicazione Secu
23. possibile eseguire impostazioni complicate Comunicazione amministrativa protetta La trasmissione delle impostazioni firmata e codificata e pu essere eseguita solo da personale autorizzato Protezione contro l accesso nel Security Configuration Tool Grazie alla gestione utenti del Security Configuration Tool garantita una protezione da accesso per le unit Security e i dati di progettazione Supporto dati C PLUG impiegabile ESEZAI Il C PLUG un supporto dati innestabile sul quale sono salvati i dati di configurazione codificati In caso di sostituzione di un unit Security esso consente la configurazione senza PG PC se l unit Security supporta un mantenimento dei dati sul C PLUG Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 Il Security Configuration Tool lo strumento di progettazione fornito con unit Security Il presente capitolo semplifica l approccio con la superficie operativa e il tipo di funzionamento dello strumenti di progettazione Qui viene descritto come configurare comandare e gestire i progetti Security Altre informazioni Nei seguenti capitoli di questo manuale viene descritto in modo dettagliato come si configurano le unit Security e il tunnel IPsec Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche P nella guida in linea Alla guida p
24. possibile progettare solo le propriet VPN specifiche per il collegamento valori preimpostati sono rilevati dalle propriet VPN specifiche per l unit Parametri Parametri Significato Initiator Responder Definizione dell autorizzazione per l inizializzazione della realizzazione del collegamento Unit partner Indicazione del nome dell unit partner Tipo dei pacchetti trasmessi Indicazione del Layer al quale vengono inviati i pacchetti Interfaccia locale Definizione dell interfaccia che deve essere utilizzata come punto terminale VPN su un unit selezionata Se per l unit progettato un punto accesso WAN indirizzo IP FQDN esso pu essere utilizzato anche in questo caso Interfaccia partner Definizione dell interfaccia che deve essere utilizzata come punto terminale VPN su un unit partner Se per il punto opposto VPN progettato un punto accesso WAN indirizzo IP FQDN esso pu essere utilizzato anche in questo caso Nozioni di base e applicazione Security 216 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 6 Dati di configurazione per le unit SCALANCE M 6 6 Dati di configurazione per le unit SCALANCE M Significato Le informazioni VPN per la parametrizzazione di unit SCALANCE M possono essere generate con il Security Configuration Tool Con i file generati quindi possibile configurare le unit SCALANCE M
25. 12 2014 C79000 G8972 C286 04 2 5 6 2 Definizione del server RADIUS Significato Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Prima che l autenticazione possa essere eseguita mediante un server RADIUS esso deve essere dapprima memorizzato nel progetto SCT Infine necessario assegnare il server RADIUS definito all unit Security per la quale il server RADIUS deve acquisire l autenticazione utente Procedimento 1 Selezionare la voce di menu Opzioni gt Configurazione del server RADIUS 2 Fare clic sul pulsante Aggiungi 3 Inserire il parametri necessari in base alla seguente tabella Parametri Significato Nome Nome a scelta per il server RADIUS Indirizzo IP FQDN Indirizzo IP o FQDN del server RADIUS Porta Porta UDP alla quale raggiungibile il server RADIUS Come standard vengono ricevuti dati di autenticazione sulla porta 1812 Shared Secret Inserimento della password che viene utilizzata per la codifica durante la trasmissione dei dati di connessione tra il server RADIUS e l unit Security Sono consentiti i seguenti caratteri del set di caratteri ANSI X 3 4 1986 0123456789 A Z a z IW 8 amp lt gt NA Lunghezza del Shared Secret 1 31 caratteri Ripetizione di Shared Secret Conferma della password Metodo di autenticazione Indicazione del procedimento che viene utilizza to per il controllo dei dati utente V
26. Caricamento della configurazione nell unit nelle unit Security selezionate o creazione dei dati di configurazione per SOFTNET Security Client SCALANCE M dispositivi VPN NCP VPN Client Android Osservazione possono essere caricati solo dati di progetto coerenti Per CP dati del progetto possono essere caricati solo tramite STEP 7 A tutte le unit Caricamento della configurazione in tutte le unit Security Osservazione possono essere caricati solo dati di progetto coerenti Stato della configurazio ne Visualizza in un elenco lo stato di configurazione delle unit Security progettate Trasferimento del firmware Caricamento del nuovo firmware nell unit Security selezionata Per CP S7 Il firmware viene caricato nel CP tramite il centro di aggiornamento della diagnostica Web View Modalit estesa Commuta dalla modalit standard preimpostazione alla modalit estesa Attenzione Una commutazione nella modalit estesa per il pro getto attuale non pu pi essere annullata Ctrl E Mostra finestra dei dettagli Mostra e nasconde i dettagli supplementari relativi all oggetto selezionato Ctrl Alt D Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 49 Progettazione con Security Configuration Tool 2 3 Superficie operativa e voci di menu Voce di menu Signif
27. Con i telegrammi di test il manager di ridondanza controlla che l anello non presenti interruzioni client di ridondanza inoltrano i telegrammi di test Se in caso di interruzione dell anello i telegrammi di test del manager di ridondanza non pervengono pi sull altra porta dell anello il manager di ridondanza attiva entrambe le sue porte e informa i client della ridondanza del cambio Entrambi i metodi di ridondanza del mezzo MRP e HRP funzionano in base allo stesso principio di funzionamento Essi si differenziano per la durata necessaria agli switch SCALANCE X come manager di ridondanza per attivare le porte dell anello e MRP 200 ms e HRP 300 ms Avvertenza sull impiego di MRP e HRP e MRP e HRP viene supportato in topologie ad anello con fino a 100 dispositivi Un superamento del numero di dispositivi pu comportare l interruzione del traffico di dati e Si raccomanda di impostare le porte dell anello interessate su fullduplex e 100 Mbit s In caso contrario pu verificarsi l interruzione del traffico di dati Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 105 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Possibilit di impiego di MRP HRP sulle porte del modulo mediale MRP HRP viene supportato solo sulle porte del modulo mediale di SCALANCE S627 2M La seguente tabella indica le possibilit di impiego di MRP HRP sulle porte del
28. Dalla rete esterna non pu essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna Consenti accesso al server NTP dalla rete interna alla rete esterna Porta UDP 123 I nodi interni possono inizializzare un collegamento di comunicazione con un server NTP Network Time Protocol in una rete esterna Solo i tele grammi di risposta del server NTP vengono inoltrati nella rete interna Dalla rete esterna non pu essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna Consenti telegrammi dell ora SiClock dalla rete esterna alla rete interna Con questa opzione vengono abilitati i telegrammi dell ora SiClock da una rete esterna in una interna Consenti accesso al server DNS dalla rete interna alla rete esterna Porta TCP 53 Porta UDP 53 I nodi interni possono inizializzare un collegamento di comunicazione con un server DNS in una rete esterna Solo i telegrammi di risposta del server DNS vengono inoltrati nella rete interna Dalla rete esterna non pu essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna Consenti la configu razione di nodi di rete tramite DCP Il protocollo DCP viene utilizzato dal tool PST per eseguire nei compo nenti di rete SIMATIC NET la denominazione dei nodi impostazione dei parametri IP Con questa regola viene consentito ai nodi nella rete esterna di accedere ai nodi nella rete
29. L autenticazione di utenti che si connettono alla pagina Web dell unit Security per attivare un set di regole IP personalizzato pu essere eseguita dall unit Security o da un server RADIUS La definizione del metodo di autenticazione RADIUS per un utente descritta nel seguente capitolo e Crea utente Pagina 67 Le informazioni dettagliate sull autenticazione utente mediante server RADIUS si trova nel seguente capitolo e Autenticazione mediante server RADIUS Pagina 76 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Crea utente Progettazione con Security Configuration Tool 2 5 Gestione degli utenti A questa funzione si accede nel modo seguente Voce di menu SCT Opzioni gt Gestione utenti scheda Utenti pulsante Aggiungi Voce di menu STEP 7 Utenti gt Avvio della gestione utenti pulsante Esegui Inoltre la gestione utenti pu essere richiamata da singole schede Parametri Nome utente Metodo di autenticazione Significato Nome utente liberamente selezionabile e Password Utilizzare questo metodo di autenticazione per utenti che devono modificare e caricare il progetto SCT nonch diagnosticare l unit Security L autenticazione dell utente viene eseguita durante l attivazione dei set di regole IP personalizzate mediante l unit Se curity e RADIUS L autenticazione dell utente viene eseguita durante l attivazione dei set di r
30. Lunghezza della password 1 31 caratteri Tabella 3 5 Impostazioni per il collegamento Funzionamento Descrizione Collegamento duraturo Collegamento Internet permanente Dopo un interruzione da parte del provider il collegamento viene ripristinato automatica mente anche se attualmente non devono essere inviati pacchetti Collegamento On Demand Il collegamento Internet viene realizzato automaticamente se i pacchetti devono essere inviati in Internet In questa impostazione non sono possibili ritardi durante l invio di pacchetti Disconnessione forzata solo con Il provider interrompe il collegamento internet dopo un determi l impostazione Collegamento nato periodo Se nella casella Interruzione forzata si inserisce permanente un ora l unit Security interrompe autonomamente a quest ora il collegamento Internet In questo modo possibile eventualmen te spostare una disconnessione del collegamento dal lato del provider Una disconnessione autoinizializzata possibile solo in caso di esistenza un collegamento permanente Inserimenti consentiti 00 00 23 59 Tempo massimo di inattivit solo Se entro un determinato periodo non vengono inviati pacchetti il con l impostazione Collegamento collegamento Internet viene interrotto automaticamente Inserire On Demand nella casella Tempo massimo di inattivit il tempo in secondi dopo il quale il collegamento deve essere interrotto Valori con sentiti 1
31. Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 211 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa Parametri Impostazione Metodo di autenticazione Preshared Key Durata SA 1440 2500000 minuti Limitazioni supplementari per il SOFTNET Security Client Per il SOFTNET Security Client valgono inoltre le seguenti limitazioni Parametri Impostazione particolarit Fase 1 codifica AES 256 possibile solo con Windows 7 Fase 1 durata SA 1440 2879 minuti Tipo di durata SA Deve essere selezionato identico per entrambe le fasi Fase 2 codifica nessun AES 128 possibile Fase 2 durata SA 60 2879 minuti Fase 2 autenticazione Nessun MD5 possibile 6 5 3 Progettazione delle propriet VPN specifiche per l unit Significato Per lo scambio dei dati tramite IPsec Tunnel nella VPN possibile configurare le seguenti propriet specifiche per l unit e Dead Peer Detection Bea e Autorizzazione per l inizializzazione della realizzazione del collegamento puzza E Indirizzo IP WAN FQDN per la comunicazione tramite Internet Gateway w e Configurazione di nodi VPN ES Requisiti richiesti e Nella scheda VPN le impostazioni possono essere eseguite solo se l unit configurata si trova in un gruppo VPN e campo della finestra di dialogo Nodi VPN nella scheda VPN viene visualizzato s
32. Routing per le porte del modulo mediale dell interfaccia esterna ed inter na visualizzata la stringa di caratteri None in quando esse non possono essere coinvolte in un anello MRP Informazioni generali sulla ridondanza del mezzo con MRP si trovano nel seguente capitolo Ridondanza del mezzo con MRP HRP Pagina 105 Informazioni sulla progettazione di MRP per unit Security si trovano nel seguente capitolo Progettazione MRP HRP per le unit Security Pagina 106 Porta HRP in modalit Routing per le porte del modulo mediale dell interfaccia esterna ed inter na Indicazione se le porte del modulo mediale dell interfaccia sono collegate ad un anello HRP In questo caso le stringhe di caratteri RingportOne e RingportTwo vengono visualizzate nelle righe della tabel la delle porte del modulo mediale Per le porte con IP porta X1 P1 e X2 P1 come standard viene visualizzata la stringa di caratteri None in quando esse non possono essere coinvolte in un anello HRP Informazioni generali sulla ridondanza del mezzo con HRP si trovano nel seguente capitolo Ridondanza del mezzo con MRP HRP Pagina 105 Informazioni sulla progettazione di HRP per unit Security si trovano nel seguente capitolo Progettazione MRP HRP per le unit Security Pagina 106 Commento Commento liberamente selezionabile Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 99 C
33. Selezionare quindi nel menu di scelta rapida di una regola NAT NAPT la voce di menu Converti tutte le regole NAT NAPT in SCT V4 o Converti regola NAT NAPT selezionata in SCT V4 Per le regole NAT NAPT convertite SCT genera quindi automaticamente regole firewall che abilitano la comunicazione nella direzione di conversione di indirizzi progettata Modificare o rimuovere infine le regole firewall generate manualmente per le regole NAT NAPT se esse sono in contraddizione con le regole firewall generate automaticamente Eseguire quindi gli adattamenti desiderati e o le estensioni di regole NAT NAPT e di regole firewall Controllo della coerenza vanno osservate queste regole Per ottenere registrazioni coerenti osservare inoltre le seguenti regole e L indirizzo IP dell interfaccia interna non deve essere utilizzata nella tabella NAT NAPT e Un indirizzo IP che viene utilizzato nell elenco di conversione di indirizzi NAT NAPT non deve essere un indirizzo Multicast e un indirizzo Broadcast e Le porte esterne assegnate per la conversione NAPT si trova nel campo gt 0 e lt 65535 Porta 123 NTP 443 HTTPS 514 Syslog 161 SNMP 67 68 DHCP und 500 4500 IPsec sono escluse se i rispettivi servizi sono attivati sull unit Security e L indirizzo IP esterno dell unit Security o l indirizzo IP dell interfaccia DMZ pu essere utilizzato nella tabella NAT solo per l azione Source NAT e Controllo duplicato nella tabella NAT Un i
34. non viene controllato nessun servizio la regola vale per tutti i servizi Avvertenza Per visualizzare i servizi MAC predefiniti nella casella di riepilogo attivare prima questi servizi in modalit standard Larghezza di banda Mbit s Logging Possibilit di impostazione per una limitazione banda larga Pu essere inserita solo se selezionata nell azio ne Allow Un pacchetto passa dal firewall quando la regola di pass giusta e la larghezza di banda ammessa per questa regola non ancora stata superata Attivazione e disattivazione del log ging per questa regola CP x43 1 Adv e SCALANCE S lt V3 0 0 001 100 CP 1628 e SCALANCE S V3 0 0 001 1000 Per le regole nei set di regole globali e personalizzati 0 001 100 N Numeri assegnati automaticamente per l assegnazione ad una regola firewall progettata Spostando le regole i numero vengono rilevati di nuovo Commento Spazio per la spiegazione della rego la Se un commento contrassegnato con AUTO esso stato creato per una regola di collegamento automatica Direzioni consentite 158 Tabella 4 17 Direzioni firewall CP Possono essere impostate le seguenti direzioni Possibilit di selezione Unit Security Significato campi dei valori Da A CP x43 1 Adv CP 1628 Esterno Stazione x x Accesso da rete esterna a stazione Stazione Esterno x x Accesso dalla stazione alla rete
35. viene superata la configurazione ammessa e creato uno stato di funzionamento non consentito A causa della dinamica nel traffico di rete si verifica inoltre che i nodi interni gi programmati vengano sostituiti con nuovi nodi interni finora sconosciuti Nodi di rete non programmabili 6 9 3 228 Nella rete interna esistono nodi che non possono essere programmati In questo caso si tratta di nodi di sottoreti che si trovano sulla rete interna locale dell unit SCALANCE S ad es router interni Anche queste sottoreti non possono essere apprese nodi apprendibili e le sottoreti devono essere configurati staticamente in modalit estesa Nota Non possibile una ricommutazione alla modalit standard Non appena stata modificata la configurazione per il progetto attuale non pi possibile annullare una commutazione nella modalit estesa precedentemente eseguita Rimedio di SCT Standalone chiudere il progetto senza salvarlo e aprirlo di nuovo Visualizzazione dei nodi di rete interni trovati Tutti i nodi di rete trovati vengono visualizzati nel Security Configuration Tool 1 Passare al modo di funzionamento Online 2 Selezionare la voce di menu Modifica gt Diagnostica online scheda Nodi interni Risultato nodi di rete interni trovati vengono visualizzati Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Ridondanza router e firewall r 7 1 Inform
36. 0 192 168 10 127 128 192 168 10 0 26 192 168 10 0 192 168 10 63 64 192 168 10 0 27 192 168 10 0 192 168 10 31 32 192 168 10 0 28 192 168 10 0 192 168 10 15 16 192 168 10 0 29 192 168 10 0 192 168 10 7 8 192 168 10 0 30 192 168 10 0 192 168 10 3 4 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 153 Progettazione di firewall 4 3 Firewall in modalit estesa 4 3 7 definizione dei servizi IP A questa funzione si accede nel modo seguente e Con il comando di menu Opzioni gt Servizi IP 0 e Dalla scheda Regole IP con il pulsante Servizi IP Significato Con l aiuto delle definizioni del servizio IP possibile definire in modo chiaro e compatto le regole del firewall che vengono utilizzate su determinati servizi Per questo si assegna un nome e si assegnano al nome i parametri del servizio Inoltre possibile riunire in gruppi i servizi definiti in un sottogruppo Per la progettazione delle regole del filtro pacchetto globali o locali utilizzare questo nome Parametri per servizi IP La definizione dei servizi IP viene eseguita con i seguenti parametri Tabella 4 14 Servizi IP Parametri Denominazio ne Name Significato Commento Nome definibile liberamente per il servizio che viene utilizzato per l identificazione nella definizione della regola o nel raggruppamento Possibilit di selezione campi dei valori Immissione l
37. 271 Bibliografia B 5 Per la configurazione e il funzionamento di una rete Industrial Ethernet B 5 Per la configurazione e il funzionamento di una rete Industrial Ethernet ITI SIMATIC NET Manuale reti Twisted Pair e Fiber Optic Siemens AG SIMATIC NET Manual Collection B 6 Nozioni di base SIMATIC e STEP 7 18 SIMATIC Comunicazione con SIMATIC Manuale di sistema Siemens AG ID articolo 25074283 http support automation siemens com WW view it 25074283 19 Pacchetto di documentazione Nozioni fondamentali STEP 7 e Primi passi ed esercitazioni con STEP 7 ID 18652511 http support automation siemens com WW view it 18652511 e Programmazione con STEP 7 ID 18652056 http support automation siemens com WW view it 18652056 e Configurazione hardware e progettazione di collegamenti con STEP 7 ID 18652631 http support automation siemens com WW view it 18652631 e Manuale di conversione da S5 a S7 ID 1118413 http support automation siemens com WW view it 1118413 Siemens AG Numero di ordinazione 6ES7 810 4CA08 8AWO0 Componente della documentazione Online in STEP 7 Nozioni di base e applicazione Security 272 Manuale di progettazione 12 2014 C79000 G8972 C286 04 B 7 110 B 8 111 B 9 112 Bibliografia B 7 Comunicazione industriale volume 2 Comunicazione industriale volume 2 SIMATIC NET Industrial Ethernet Manuale di rete Siemens AG SIMATIC NET Manual
38. 5S627 2M vedere sezione in basso diventano sottoreti separate Esistono le seguenti possibilit e Routing impostabile nella modalit standard e nella modalit estesa e NAT NAPT Routing impostabile nella modalit estesa Tutte le richieste ad una rete che non fanno parte di una sotto rete vengono inoltrate in un altra sotto rete attraverso un router vedere il seguente capitolo e Definizione del router standard e degli instradamenti Pagina 168 Attivare la modalit routing o l interfaccia DMZ scheda Interfacce Se stata attivata la modalit routing o l interfaccia DMZ vengono inoltrati telegrammi destinati ad un indirizzo IP esistente nella rispettiva sotto rete interna esterna DMZ Di conseguenza valgono le regole firewall progettate per la rispettiva direzione di trasmissione Per il modo di funzionamento necessario progettare nella scheda Interfacce un indirizzo IP e una maschera di sottorete per l interfaccia interna e o per l interfaccia DMZ per l indirizzamento del router sulla sottorete interna e o sulla sottorete DMZ Tutte le richieste ad una rete che non fanno parte di una sotto rete vengono inoltrate in un altra sotto rete attraverso il router standard Nota Rispetto ad un funzionamento Bridge dell unit Security nella modalit Routing i tag VLAN vengono persi Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 167 Progettazione di ulteriori
39. 96 167 attivazione 167 Modalit standard 42 Firewall 114 Logging 262 Logging locale 255 Multicast 171 N NAT NAPT Routing 169 NCP VPN Client 88 Certificato del gruppo 222 Certificato del gruppo CA 222 Creazione del file di configurazione 220 222 Network Syslog 256 Nodi attivi 210 Nodi con indirizzo IP sconosciuto 211 Nodi di rete esterni CP x43 1 Adv 37 SCALANCE 602 27 SCALANCE S612 S623 S627 2M 30 Nodi di rete interni Configurazione 224 CP x43 1 Adv 37 SCALANCE 602 27 SCALANCE S612 S623 S627 2M 30 Nome ruoli 69 Nome simbolico 62 261 Nome utente 67 Nomi del gruppo 154 160 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Indice analitico NTP Symbolic Names 63 63 NTP secure 190 NTP Server 135 190 P Panoramica delle funzioni Tipi di unit 18 PAP 101 Parametri di indirizzo 90 Perfect Forward Secrecy 209 Porta 102 protocollo S7 TCP 154 123 NTP 171 20 21 FTP 154 443 HTTPS 171 171 4500 IPsec 171 500 IPsec 171 500 ISAKMP 214 514 Syslog 171 80 HTTP 154 Preimpostazione firewall CP 1628 122 CP x43 Adv 116 SCALANCE S lt V3 0 126 Preshared Keys 200 Prodotto di un altro produttore 88 PROFINET 226 Progetto Valori di inizializzazione 61 Propriet del gruppo 206 Propriet del gruppo VPN 206 Propriet dell unit 87 Protezione contro l accesso 40 Protezione
40. Adv Regole firewall create nodo che Azione Da A Indirizzo IP sorgen Indirizzo IP di Servizio te destinazione Drop Esterno Stazione Servizio_regola NAPT Allow Esterno Any Indirizzo IP del Servizio_regola NAPT stato indicato nella casella di inserimento Indirizzo IP di destinazione Stateful Packet Inspection 5 1 7 Significato 182 Firewall e router NAT NAPT supportano il dispositivo Stateful Packet Inspection Di conseguenza i telegrammi di risposta possono attraversare il router NAT NAPT e il firewall senza che i relativi indirizzi debbano essere ulteriormente acquisiti nella regola firewall e nella conversione di indirizzo NAT NAPT Relazione tra router NAT NAPT e firewall specifico per l utente Dopo la creazione di regole NAT NAPT l SCT genera automaticamente nel firewall specifico per l utente un set di regole IP personalizzato abilita la comunicazione nella direzione di conversione di indirizzi progettata A questo set di regole IP personalizzato quindi possibile assegnare singoli o pi utenti e o singoli o pi ruoli solo per unit SCALANCE S a partire da V4 Le regole firewall possono eventualmente essere spostate ed estese indirizzo IP supplementare servizi larghezza di banda parametri firewall generali da SCT non possono essere adattati Se un set di regole IP personalizzato viene trascinato su un unit Security con NAT NAPT disattivato per
41. Client viene chiuso e tutti i tunnel vengono disattivati Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 241 SOFTNET Security Client 8 5 Configurazione e modifica del tunnel Pulsante Significato Help Richiamo della guida in linea Informazione Informazioni sulla versione del SOFTNET Security Client Dettagli Elenco di tutti i file necessari per il funzionamento del SOFTNET Security Client con messaggi di risposta se questi file sono stati trovati nel sistema 8 5 Configurazione e modifica del tunnel Configurazione di collegamenti protetti con tutti i moduli Security Nella finestra di dialogo per l importazione della configurazione selezionare se il collegamento via tunnel deve essere configurato immediatamente per tutti i nodi interni dell unit Security Di conseguenza risultano le seguenti possibilit e Si Attivazione automatica del tunnel Per gli indirizzi IP inseriti nella configurazione delle unit Security vengono configurati i tunnel con questi indirizzi IP e No lettura della configurazione del tunnel Opzionalmente i tunnel configurati possono essere solo letti e successivamente possibile eseguire la configurazione del tunnel singolarmente nella finestra di dialogo Panoramica tunnel Test Tunnel Delete Entry Enable all Members Disable all Members Select Network Device Extended Diagnostics HE SOFTNET Sec
42. Manuale di progettazione 12 2014 C79000 G8972 C286 04 191 Progettazione di ulteriori propriet dell unit 5 3 Sincronizzazione dell ora Impostazioni per NTP protetto 1 Fare clic sul pulsante Aggiungi 2 Inserire i seguenti dati Parametri Significato ID chiave Valore numerico tra 1 65534 Autenticazione Selezionare la modalit di autenticazione Hex ASCII Selezionare il formato per la chiave NTP Chiave Inserire la chiave NTP della seguente lunghezza Hex 22 40 caratteri ASCII 11 20 caratteri Importazione esportazione di server NTP Con i pulsanti Importa o Esporta possibile esportare l elenco delle chiavi del server NTP attualmente visualizzato e importare il file in un server NTP o viceversa Nozioni di base e applicazione Security 192 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 4 SNMP 5 4 SNMP 5 4 1 Informazioni generali Cos SNMP L unit Security supporta la trasmissione di informazioni di gestione tramite il Simple Network Management Protocol SNMP Per questo motivo sull unit Security installato un SNMP Agent che accetta e risponde alle richieste SNMP Le informazioni sulle propriet degli apparecchi con funzionalit SNMP si trovano nei cosiddetti file MIB Management Information Base per i quali l utente deve disporre dei diritti necessari SNMPv3 Con SNMPv1 la
43. Questo indirizzo IP autorizzato per i se l accesso alla stazione A Access partner di comu nicazione con indirizzi nell area di dati indicata hanno accesso alla stazione appartenente al CP CP CPU Questa autorizzazione di accesso impostata in modo implicito per indirizzi IP indicati nella progettazione del collegamento valida solo per collegamenti specificati Routing IP in un altar sotto rete R Routing partner di comunicazione con indirizzi nell area di dati indicata hanno accesso ad altre sotto reti collegate al CP CP CPU Questa autorizzazione di accesso non impo stata automaticamente per indirizzi IP indicati nella progettazione del collegamento In caso di necessit questa autorizzazione di accesso viene impostata esplicitamente Ulteriori regole per l inserimento e Viene controllato se vi sono indirizzi singoli multipli in questo caso vengono riconosciuti diverse indicazioni singole sovrapposizione di autorizzazioni e Gili indirizzi IP indicati singolarmente possono anche essere presenti all interno di un area valgono quindi le autorizzazione di accesso complessive assegnate ad un indirizzo IP e Non viene controllato se un area contiene indirizzi non validi ad es qui possono essere inseriti indirizzi Broadcast sotto rete nonostante essi non possano utilizzati come indirizzo IP di un trasmettitore Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000
44. Rete interna aree protette con nodi interni I nodi interni sono tutti i nodi protetti da uno SCALANCE S e Rete esterna aree non protette con nodi esterni nodi esterni sono quelli che si trovano fuori dall area protetta e Rete DMZ aree protette con i Nodi DMZ I nodi DMZ sono sono tutti i nodi che si trovano nella DMZ e che sono protetti da uno SCALANCE S Nota Le reti collegate all interfaccia interna vengono considerate sicure accreditate Collegare un segmento di rete interno a segmenti di rete esterni di un altro livello di sicurezza rete esterna rete DMZ solo tramite SCALANCE S Non devono esistere altri percorsi di collegamento tra rete interna e una rete con altri livelli di sicurezza Nozioni di base e applicazione Security 30 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Introduzione e nozioni di base 1 7 Impiego dell interfaccia DMZ di SCALANCE S623 e SCALANCE S627 2M 1 7 Impiego dell interfaccia DMZ di SCALANCE S623 e SCALANCE S627 2M Settori di impiego dell interfaccia DMZ Oltre alle funzioni di SCALANCE S612 SCALANCE S623 e SCALANCE S627 2M equipaggiato con una terza interfaccia DMZ alla quale pu essere collegata un ulteriore rete L interfaccia pu svolgere diverse funzioni non simultaneamente in funzione del settore d impiego e Configurazione di una DMZ e Punto terminale per il collegamento via tunnel VPN e Interfaccia di sincronizzazione per ridondanza router e f
45. S623 S627 2M a partire da V4 Direzioni di conversione di indirizzi supportate per l azione Source NAT Destination NAT L azione Source NAT Destination NAT pu essere eseguita nelle seguenti direzioni e Da esterno a DMZ e Da DMZ a esterno Nella casella Indirizzo IP sorgente non pu essere inserito nessun indirizzo IP Esso viene inserito automaticamente durante il login del nodo all unit Security Direzioni di conversione di indirizzi supportati per NAPT La conversione di indirizzi con NAPT pu essere eseguita nelle seguenti direzioni e Da esterno a interno e Da esterno a DMZ e Da DMZ a interno e Da DMZ a esterno e Tunnel verso l interno solo SCALANCE S612 S623 S627 2M a partire da V4 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 183 Progettazione di ulteriori propriet dell unit 5 2 Unit Security come server DHCP e Tunnel verso l esterno solo SCALANCE S612 S623 S627 2M a partire da V4 e Tunnel verso DMZ solo SCALANCE S612 S623 S627 2M a partire da V4 Conversione di indirizzi NAT NAPT e relativi set di regole IP personalizzati Nelle regole firewall per set di regole IP personalizzati generati sulla base di regole NAT NAPT nella casella Indirizzo IP sorgente non pu essere inserito l indirizzo IP Esso viene inserito automaticamente durante il login del nodo nel modulo Security Le restanti propriet sono identiche alle regole firewall generate localmente
46. STEP 7 possono essere migrati nell SCT In questo caso necessario riassegnare le password Le informazioni dettagliate su questo argomento si trovano nella guida in linea Alla guida possibile accedere con il tasto F1 o con il pulsante Help nella relativa finestra di dialogo SCT Sequenza di inserimento durante la creazione di utenti e di ruoli Selezionare una delle due sequenze di inserimento e Creare dapprima un nuovo utente definire quindi un ruolo e assegnare infine il ruolo all utente e Definire dapprima un nuovo ruolo creare quindi un utente e assegnare infine il ruolo all utente Nota Custodire le password utente in modo sicuro Se si dimenticano le password utente non si dispone pi dell accesso al progetto interessato o alle unit Security interessate In questo caso necessario creare un nuovo progetto ed eseguire un Reset alle impostazioni di fabbrica In questo caso di perdono per le configurazioni Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 65 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Nota Se si modificano le impostazioni di autenticazione necessario caricare di nuovo prima le unit Security in modo che queste impostazioni ad es nuovi utenti modifiche di password diventino attive nelle unit Security Autenticazione utenti durante l attivazione di set di regole IP personalizzati EIA 66
47. Security 274 Indice analitico acciaio 275 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Indice del contenuto Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 13 Introduzione e nozioni di base Indicazioni di sicurezza Siemens commercializza prodotti di automazione e di azionamento per la sicurezza industriale che contribuiscono al funzionamento sicuro di impianti soluzioni macchinari apparecchiature e o reti Questi prodotti sono componenti essenziali di una concezione globale di sicurezza industriale In quest ottica i prodotti Siemens sono sottoposti ad un processo continuo di sviluppo Consigliamo pertanto di controllare regolarmente la disponibilit di aggiornamenti relativi ai prodotti Per il funzionamento sicuro di prodotti e soluzioni Siemens necessario adottare idonee misure preventive ad es un concetto di protezione di cella e integrare ogni componente in un concetto di sicurezza industriale globale all avanguardia In questo senso si devono considerare anche gli eventuali prodotti impiegati di altri costruttori Per ulteriori informazioni sulla sicurezza industriale vedere http www siemens com industrialsecurity Per restare informati sugli aggiornamenti cui vengono sottoposti i nostri prodotti suggeriamo di iscriversi ad una newsletter specifica del prodotto Per ulteriori informazio
48. Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 197 Comunicazione protetta nella VPN tramite tunnel IPsec 6 1 VPN con unit Security e SCALANCE M Service Computer con SOFTNET B T NET A Security Client VPN tramite tunnel IPsec k Computer di gestione della produzione con CP 1628 Rete esterna N S7 400 con S7 300 con CP 343 1 Advanced telai CI A a SCALANCE S I ET 200X A interno Servizio amp supervisione interno Cella di automazione J Firewall CLT Router NATINAPT 7 CS Router I I E o EPB n l HMI SS om i ay TI H i d brp d i ai x ST 300 7 300 Ea j Collegamenti tramite tunnel in atto tra unit dello stesso gruppo VPN Nelle unit le propriet di una VPN vengono riunite in un gruppo VPN per tutti i tunnel IPsec tunnel IPsec vengono realizzati automaticamente tra tutte le unit e i SOFTNET Security Client appartenenti allo stesso gruppo VPN In questo caso un unit in un progetto pu appartenere parallelamente a diversi gruppi VPN Nozioni di base e applicazione Security 198 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 1 VPN con unit Security e SCALANCE M 5 Security Configuration Tool Configuration 4 CASCT Configuration 4 Sto k
49. Security da modificare Selezionare la voce di menu Modifica gt Propriet scheda VPN L abilitazione di nodi e sottoreti si configura nel campo della finestra di dialogo Nodi VPN Se si vogliono abilitare sottoreti complete per la comunicazione via tunnel inserirle nella scheda Sottorete interna Se si vogliono abilitare singoli nodi per la comunicazione via tunnel inserirli nella scheda Nodi IP interni Osservazione Per poter accedere alle sottoreti qui indicate anche per queste necessario inserire un router nella scheda Routing Inoltre il firewall deve consentire la comunicazione con i nodi Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 225 Comunicazione protetta nella VPN tramite tunnel IPsec 6 9 Configurazione di nodi di rete interni A questa funzione modalit Routing si accede nel modo seguente 6 9 2 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda VPN L abilitazione di sottoreti si configura nel campo della finestra di dialogo Nodi VPN 3 Nella scheda Sottoreti raggiungibili via tunnel selezionare l ID di rete e la maschera della sottorete che deve essere inclusa nella comunicazione via tunnel Osservazione Per poter accedere alle sottoreti qui indicate anche per queste necessario inserire un router nella scheda Routing Inoltre il firewall deve consentire la
50. Show SOFTNET Security Client Shut down SOFTNET Security Client B SOFTNET Security Client File Options Help Communication options Load Configuration Tunnel Overview Minimize Help About Nozioni di base e applicazione Security 240 Manuale di progettazione 12 2014 C79000 G8972 C286 04 SOFTINET Security Client 8 4 Comando del SOFTNET Security Client Con i pulsanti si accede alle seguenti funzioni iii SOFTNET Security Client w Lo mi3 File Options Help Communication options Load Configuration Tunnel Overview Disable Minimize Help About Pulsante Caricamento della configura Finestra di dialogo per la selezione di un file di configurazione per l importazione zione Significato Selezionare un file e fare clic sul pulsante Apri Risultato La configurazione viene letta Nella finestra di dialogo viene richiesto se il tunnel deve essere configurato immediatamen te per tutte le unit Security Per gli indirizzi IP inseriti nella configurazione delle unit Secu rity vengono configurati immediatamente i tunnel con questi indirizzi IP Il procedimento particolarmente rapido ed efficiente per grandi configurazioni Nella finestra di dialogo Panoramica tunnel inoltre possibile configurare tutti i tunnel tramite il menu di scelta rapida Osservazione possibile importare in successione i file di configurazione da diversi pro getti creati con SCT vedere
51. V4 e L unit Security si trova in modalit Routing e Tutte le interfacce dell unit Security sono attive e metodo di assegnazione IP Indirizzo statico progettato per tutte le interfacce e L unit Security non un nodo di un gruppo VPN e L unit Security non assegnata a nessuna relazione di ridondanza Procedimento 1 Nell area di navigazione selezionare l oggetto Relazione di ridondanza 2 Selezionare nel menu contestuale tasto destro del mouse dell oggetto la voce di menu Inserisci relazione di ridondanza Risultato La relazione di ridondanza creata viene visualizzata nell area di navigazione Nozioni di base e applicazione Security 230 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Ridondanza router e firewall 7 3 Configurazione delle relazioni di ridondanza 3 Assegnare l unit Security alla relazione di ridondanza selezionandola nell area del contenuto e trascinandola sulla relazione di ridondanza creata nell area di navigazione Drag and Drop 4 Nella finestra di dialogo Configurazione della relazione di ridondanza esistono le seguenti possibilit per la progettazione della relazione di ridondanza Acquisizione della progettazione dalle schede Firewall Routing e NAT NAPT di un unit Security per la relazione di ridondanza Dalla casella di riepilogo possibile selezionare le unit Security delle quali si intende utilizzare la progettazione per la relazione di ridonda
52. a interi segmenti di rete e Interfaccia DMZ supplementare In una zona demilitarizzata DMZ possibile posizionare server per i quali pu essere controllato e limitato l accesso ad altre reti rete esterna non sicura rete interna sicura In Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 29 Introduzione e nozioni di base 1 6 Impiego di SCALANCE S612 S623 e S627 2M questo modo possono essere messe a disposizione entrambe le reti sicure in base ai servizi e ai dati senza consentire una comunicazione diretta tra loro per entrambe le reti e Senza retroeffetti in caso di montaggio in reti piatte modalit bridge I nodi di rete interni possono essere trovati senza progettazione In caso di montaggio di uno SCALANCE S in un infrastruttura di rete esistente non quindi necessario riconfigurare gli apparecchi terminali L unit Security cerca di trovare nodi interni i nodi interni che non possono essere trovati in questo modo devono perci essere progettati e Autenticazione utente mediante server RADIUS 000 Su un server RADIUS possono essere memorizzati centralmente nomi utente password e ruoli di utenti L autenticazione di questi utenti avviene quindi mediante il server RADIUS e NTP protetto LAU Per la sincronizzazione e la trasmissione sicura dell ora Nodi di rete interni nodi di rete esterni nodi di rete DMZ SCALANCE S ripartisce le reti in diverse aree e
53. definito dall utente con il pulsante Inserire nella finestra di dialogo evidenziata il nome del ruolo e assegnare i diritti corrispondenti al ruolo dell elenco dei diritti Vengono visualizzati i diritti del ruolo definito dal sistema selezionato nel modello dei diritti indica zioni standard diagnostics Del Cancellare la voce selezionata con il pulsante Avvertenza e Un ruolo definito dall utente gi creato pu essere cancellato solo se non assegnato a nessun utente Assegnare eventualmente all u tente un altro ruolo e ruoli definiti dal sistema non possono essere cancellati 2 5 4 Gestione dei diritti A questa funzione si accede nel modo seguente Voce di menu SCT Opzioni gt Gestione utenti scheda Ruoli pulsante Propriet e Aggiungi Voce di menu STEP 7 Utenti gt Avvio della gestione utenti pulsante Esegui Inoltre la gestione utenti pu essere richiamata da singole schede Creazione e assegnazione del ruolo definito dall utente 1 Inserire un nome di ruolo 2 Selezionare un ruolo definito dal sistema dal modello dei diritti indicazione standard diagnostics ruoli definiti dall utente non vengono visualizzati nella selezione Risultato In base al ruolo selezionato per ciascuna unit Security utilizzata nel progetto vengono visualizzati i relativi ruoli nell elenco dei diritti diritti delle unit Security non utilizzati nel progetti sono visualizzati in g
54. della password Con le direttive password possibile stabilire predefinizioni specifiche per il progetto per l inserimento della password Dati di progetto coerenti Gi durante l inserimento nelle singole finestra di dialogo vengono eseguiti controlli di coerenza Inoltre possibile effettuare in qualsiasi momento un controllo di coerenza esteso nel progetto in tutte le finestre di dialogo Nelle unit Security possono essere caricati solo dati di progetto coerenti Protezione dei dati del progetto tramite codifica dati del progetto e di configurazione sono protetti da codifica sia nel file del progetto se esistente sia nel C PLUG non per CP 1628 2 2 Installazione del Security Configuration Tool 2 2 1 Sistemi operativi supportati Sistemi operativi supportati Vengono supportati i seguenti sistemi operativi Microsoft Windows XP a 32 bit Service Pack 3 Microsoft Windows 7 Professional a 32 64 bit Microsoft Windows 7 Professional a 32 64 bit Service Pack 1 Microsoft Windows 7 Ultimate a 32 64 bit Microsoft Windows 7 Ultimate a 32 64 bit Service Pack 1 Windows Server 2008 R2 a 64 bit Windows Server 2008 R2 a 64 bit Service Pack 1 Nota Prima dell installazione del Security Configuration Tool leggere assolutamente il file LEGGIMI htm presente nel DVD In questo file sono eventualmente indicate avvertenze importati e le ultime modifiche Nozioni di base e applicazione Security Manuale di progettazione
55. di accesso IP 54 Protocollo 154 Protocollo ESP 116 122 209 Protocollo IP 136 Protocollo ISO 226 Protocollo MAC 136 R Regole del filtro pacchetto IP 147 CP 1628 149 CP x43 1 Adv 149 SCALANCE S 150 Regole del filtro pacchetto MAC 156 157 Regole firewall automatiche 143 2177 Indice analitico Regole firewall globali 137 assegnazione 139 Regole firewall locali 114 137 Regole firewall predefinite CP x43 1 Adv 115 115 SCALANCE S lt V3 0 134 SCALANCE S V3 131 Regole firewall specifiche per l utente 140 Parametro timeout 143 Utente accesso remoto 68 Regole pacchetto filtro globali 139 Regole per il collegamento 143 Rete piatta 96 Rinnovo del certificato del gruppo CA 210 Router NAT NAPT Nome simbolico 62 Router standard 90 168 Routing interfacce 96 Routing interfaccia 88 Ruoli 68 definiti dal sistema 68 definito dall utente 69 Ruoli definiti dall utente 69 Ruolo definito dal sistema administrator 68 diagnostics 68 remote access 68 standard 68 S SCALANCE M 3 Autorit di certificazione 218 Certificato del gruppo 218 Creazione del file di configurazione 217 SCALANCE M875 3 219 SCALANCE S 3 Creazione dell unit 87 Sistemi operativi supportati 43 SCALANCE S602 Funzione 25 SCALANCE 8612 Funzione 28 SCALANCE S623 Funzione 28 SCALANCE S627 2M Funzione 28 Security Configuration Tool 40 41 42 in STEP 7 42 51 Installazione 44 Installazione CP x34 1
56. di indirizzo nella scheda Interfacce indirizzo IP assegnato dinamicamente Se in STEP 7 progettato che l indirizzo IP deve essere assegnato dinamicamente esso viene rappresentato nell SCT in base alle impostazioni nel modo seguente Tabella 3 1 Interfaccia gigabit Moto di funzionamento in STEP 7 Indirizzo IP est maschera della sotto rete est caselle in SCT Rilevamento dell indirizzo IP da un dinamico DHCP Server Tabella 3 2 Interfaccia PROFINET Moto di funzionamento in STEP 7 Indirizzo IP int maschera della sotto rete int caselle in SCT Rilevamento dell indirizzo IP da un dinamico DHCP Server Impostazione dell indirizzo IP nel programma utente Impostazione dell indirizzo IP su un altro percorso Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 91 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce 3 2 3 2 1 Configurazione delle interfacce Panoramica delle possibilit di collegamento Possibilit di collegamento supportate Ciascuna unit Security dispone di un determinato numero di porte alle quali possono essere collegati i nodi di rete In base alla rispettiva interfaccia i nodi di rete vengono trattati in modo diverso Unit Security Interfaccia Indirizzo MAC Porta Tipo di porta Indirizzo MAC de
57. diagnostica della linea in relazio ne alla Severity degli altri eventi di sistema Avvertenza Non assegnare agli eventi di sistema della diagnostica della linea nessuna Severity inferiore al filtraggio dell evento di sistema In caso contrario questi eventi non vengono filtrati e registrati 9 2 2 Network Syslog Impostazioni nella configurazione L unit Security pu essere configurata come client che invia informazioni Logging ad un server Syslog Il server Syslog pu trovarsi in una sotto locale rete interna o esterna L implementazione corrisponde a RFC 3164 Nota Firewall Syslog Server non attivo nella rete esterna Se il Syslog Server non attivo sul computer indirizzato questo computer restituisce telegrammi di risposta ICMP port not reachable Se a causa della configurazione firewall questi telegrammi di risposta vengono registrati come eventi di sistema e inviati al server Syslog questa operazione pu proseguire all infinito valanga di eventi Rimedi e Avviare il Syslog server e Modificare le regole del firewall e Togliere dalla rete il computer con il server Syslog disattivato Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 259 Funzioni online Diagnostica e logging 9 2 Registrazione di eventi logging Eseguire le impostazioni Log 1 Commutare il modo di funzionamento con la voce di menu Visualizza gt Modalit estesa
58. esterna e Interfaccia DMZ Configurazione del DNS dinamico requisito richiesto 102 Requisito richiesto e In uno provider per il DNS dinamico creato un account ed registrato un FQDN Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete Configurazione del DNS dinamico Procedimento 3 2 Configurazione delle interfacce 1 Selezionare nelle propriet dell unit Security la scheda DNS 2 Se l unit Security si trova a valle di un router DSL o di un modem DSL inserire l indirizzo di un server DNS valido Per questa operazioni sono disponibili due opzioni Option Rilevamento automatico dell indirizzo server DNS Utilizzare il seguente indirizzo server DNS Significato L indirizzo del server DNS pu essere rilevato automaticamente tramite PPPoE se l unit Security collegata ad Internet tramite un mo dulo DSL Pu essere impostato solo per l inter faccia esterna e l interfaccia DMZ Inserire manualmente l indirizzo del server DNS preferito e di quello alternativo 3 Attivare la casella di controllo Attiva servizio nell area Servizio DNS din primario ed eseguire le seguenti impostazioni Impostazione Provider Account utente nel provider Significato Selezionare in quale provider stato configura to un account DNS dinamico Inserire il nome utente definito dur
59. importate per aumentare la sicurezza prestare attenzione che i nomi utente e le password siano sufficientemente lunghi e che contengano caratteri speciali caratteri maiuscoli minuscoli e cifre Con le direttive delle password possibile limitare ulteriormente le restrizioni riportate sopra per le password La definizione delle direttive per le password sono descritte nel capitolo Progettazione delle direttive password Pagina 74 Complessit password Durante l inserimento di una nuova password ne viene controllata la complessit Per la complessit password si distinguono i seguenti livelli e poco complessa e non complessa e mediamente complessa Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 21 Introduzione e nozioni di base 1 3 Proprieta del prodotto e sufficientemente complessa e complessa e molto complessa Nota Controllo della complessit password di utenti gi esistenti Verificare la complessit password e diutenti gi esistenti nel progetto e del primo utente creato in STEP 7 e di utenti migrati Selezionando il rispettivo utente nella scheda Utenti della gestione utenti e facendo clic sul pulsante Modifica Nozioni di base e applicazione Security 22 Manuale di progettazione 12 2014 C79000 G8972 C286 04 1 3 4 Sostituzione dell unit Introduzione e nozioni di base 1 3 Proprieta del prodotto A questa funzione si accede
60. interna tramite protocollo DCP Tabella 4 10 Logging per set di regole IP e MAC Impostazioni IP Log Set di regole Operazione in caso di attivazione Registrazione dei pacchetti via tunnel Solo se l unit Security un nodo di un gruppo VPN Viene esegui to il logging di tutti i pacchetti IP che sono stati inoltrati via tunnel Registrazione dei pacchetti in ingresso bloccati Viene effettuato il logging di tutti i pacchetti IP in ingresso che sono stati respinti Registrazione dei pacchetti in uscita bloccati Viene effettuato il logging di tutti i pacchetti IP in uscita che sono stati respinti Impostazioni MAC Log Registrazione dei pacchetti via tunnel Solo se l unit Security un nodo di un gruppo VPN Viene ese guito il logging di tutti i pacchetti MAC che sono stati inoltrati via tunnel Registrazione dei pacchetti in ingresso bloccati Viene effettuato il logging di tutti i pacchetti MAC in ingresso che sono stati respinti Registrazione dei pacchetti in uscita bloccati Viene effettuato il logging di tutti i pacchetti MAC in uscita che sono stati respinti Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 135 Progettazione di firewall 4 3 Firewall in modalit estesa 4 3 Firewall in modalit estesa Nella modalit estesa esistono possibilit di impostazione ampliate che consentono l impostazione
61. lana 189 5 3 2 Configurazione della gestione dell ora ii 190 5 3 3 Definire il server NTPi roo ne o Eni ia Lal liano ana Aida avait 191 5 4 SNMP ancient 193 5 4 1 Informazioni general aeiiae e edile iaia EEEE 193 5 4 2 Ava SNMP n aeea a E a E 193 5 5 Proxy ARP mariane narioa ia a ARIA ALI ei 195 6 Comunicazione protetta nella VPN tramite tunnel IPSec i 197 6 1 VPN con unit Security e SCALANCE M 197 6 2 Metodo di autenticazione i 200 6 3 Gruppi VPNit iz z TE ione iilosicra lieta Safe lil sii aa ine ai ei i EE 201 6 3 1 Regole per la formazione di gruppi VPN nnn 201 6 3 2 Rapporti di comunicazione via tunnel supportati terseret ttnn ne nestnnnnnnennennn nnn 202 6 3 3 Creazione di gruppi VPN e assegnazione e assegnazione di Unit 204 6 4 Configurazione del tunnel nella modalit Standard 205 6 5 Configurazione del tunnel in modalit estesa 206 6 5 1 Progettazione delle propriet del gruppo VPN 206 6 5 2 Acquisizione dell unit nel gruppo VPN configurato nenna 210 6 5 3 Progettazione delle propriet VPN specifiche per l unit nne 212 6 5 4 Progettazione delle propriet VPN specifiche per il collegamento 215 6 6 Dati di configurazione per le unit SCALANCE M
62. modulo selezionare la voce di menu Diagnostica estesa nel menu contestuale di una voce In alternativa possibile richiamare la finestra di dialogo tramite la voce di menu Opzioni gt Diagnostica estesa del modulo nella finestra principale del SOFTNET Security Client La visualizzazione serve solo alla diagnostica dello stato del sistema in relazione alle unit Security configurate e pu essere d aiuto in caso di domande al Customer Support e SCALANCE S MD74x modulo CP Selezionare l unit Security per la quale deve essere diagnosticato lo stato attuale del sistema Osservazione Possono essere selezionate tutte le unit Security che sono state lette tramite la configurazione e Impostazioni routing parametri specifici per il Modulo Indica le impostazioni rilevate dalla configurazione relative alle interfacce e ai nodi interni alle sotto reti interne e Modalit Main attiva modalit Quick attiva Se per l unit selezionata sul PG PC sono configurate la modalit Main o la modalit Quick qui vengono visualizzati i relativi dettagli Ne fa parte anche il numero complessivo di modalit Main e di modalit Quick che vengono trovate per un unit selezionata sul sistema e Impostazioni routing impostazioni di rete del computer Indica le impostazioni routing attuali del computer Tramite l opzione Visualizza tutte le impostazioni routing si ottengono ulteriori indicazioni di routing e Indirizzi IP asseg
63. nel modo seguente 1 2 3 Selezionare l unit Security da modificare o il client SOFTNET Security da modificare Selezionare la voce di menu Modifica gt Sostituisci unit In base al tipo di prodotto del prodotto e al release del firmware dell unit selezionata possibile adattare il tipo di unit e o il release del firmware nella finestra di dialogo Rilevare dalla seguente tabella quali unit possono essere sostituite senza o con eventuale perdita dei dati Nota Sostituzione di CP Le informazioni relative alla sostituzione di CP si trovano nel rispettivo manuale Unit di uscita Possibile sostituzione dell unit S602 S602 S602 S612 S612 S612 S612 S613 S613 S623 S623 S627 V2 V3 V4 VI V2 V3 V4 VI V2 V3 V4 2M V4 S602 V2 x x x x x x x S602 V3 S602 V4 I I S612 V1 I x x x x x x x x S612 V2 l x x x x x x S612 V3 l x x x x S612 V4 I x x x S613 V1 l x x x x x x S613 V2 l x x x x x S623 V3 l I x x S623 V4 x S627 2M V4 I x senza perdite con eventuali perdite Il tipo di unit e la versione firmware non vengono modificati Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 23 Introduzione e
64. nessuna diret tiva di sicurezza IP La comunicazione con questa unit Security non codificata Il tunnel all unit SCALANCE S attivato Nel sistema configurata una direttiva di sicu rezza IP La comunicazione codificata e quindi protetta con questo unit Security Il tunnel all unit SCALANCE M disattivato Nel sistema non configurata nessuna diret tiva di sicurezza IP La comunicazione con questa unit Security non codificata Il tunnel all unit SCALANCE M attivato Nel sistema configurata una direttiva di sicu rezza IP La comunicazione codificata e quindi protetta con questo unit Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 245 SOFTNET Security Client 8 5 Configurazione e modifica del tunnel lcona Significato T Il tunnel al modulo CP343 1 Advanced disattivato Nel sistema non configurata nessu na direttiva di sicurezza IP La comunicazione con questo CP non codificata Wa Il tunnel al modulo CP343 1 Advanced attivato Nel sistema configurata una direttiva di sicurezza IP La comunicazione codificata e quindi protetta con questo CP Un Il tunnel al modulo CP443 1 Advanced disattivato Nel sistema non configurata nessu na direttiva di sicurezza IP La comunicazione con questo CP non codificata Ia Il tunnel al modulo CP443 1 Advanced attivato Nel sis
65. nnne 122 4 1 2 2 Progettazione di firewall ii 124 4 2 SCALANCE S in modalit standard eerttrnenesrrettnr te nesrttnn nennst ntntnn nenne ennen 126 4 2 1 Preimpostazione delifirewWall iae a aa aaa aao aa a aaa aa a aae a aa RE aa 126 4 2 2 Progettazione del firewall per SCALANCE S 2 V3 0 131 4 2 3 Progettazione del firewall per SCALANCE S lt V3 0 134 4 3 Firewall in modalit estesa aaee eae aaia ean aea tadaa a aadatan ians 136 4 3 1 Progettazione del firewall in modalit estesa 136 4 3 2 Set di regole firewall globali i 137 4 3 2 1 Set di regole firewall globali Accordi 139 4 3 2 2 Creazione e assegnazione di set di regole firewall globali ii 139 4 3 3 Set di regole IP specifiche per l utente nennen nenn 140 4 3 3 1 Creazione e assegnazione di set di regole IP personalizzati eene nr nenene eenene 141 4 3 4 Regole firewall automaticamente riferite al collegamento 143 4 3 5 Impostazione delle regole del filtro pacchetto IP locali 145 4 3 6 Regole del filtro pacchetto IP i 147 4 3 7 definizione dei servizi IP iii 154 4 3 8 definizione dei servizi ICMP i 155 4 3 9 Impostazione di regole del filtro pacchetto MAC
66. operativo Siemens AG SIMATIC NET Manual Collection In Internet alla seguente ID articolo 58122394 http support automation siemens com WW view it 58122394 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Indice analitico cer 218 238 dat 238 p12 85 218 238 3 3DES 208 A Accordo di chiave Diffie Hellman 208 Account ISP 100 Advanced Encryption Standard AES 208 AES 194 208 Aggiornamento del firmware 73 Amministratore 68 Applet 72 Area dei valori per indirizzo IP 265 Area del contenuto 90 ARP 199 ARP Proxy 195 Assegnazioni ai gruppi 57 Attivazione della comunicazione via tunnel CP x43 1 Adv 115 SCALANCE S lt V3 0 134 SCALANCE S V3 131 Attivazione firewall CP 1628 115 CP x43 1 Adv 115 SCALANCE S lt V3 0 134 SCALANCE S V3 131 Authentification 66 Autocrossing 99 Autonegotiation 99 Autorit di certificazione 82 83 Autorizzazioni utente 71 B Banda indirizzo 153 Blacklist IP 253 Broadcast 171 Buffer 256 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 C Certificate Authority 81 Certificati FTPS 81 Certificato 82 200 autofirmato 84 Esportazione 81 firmato da un autorit di certificazione 84 Importazione 81 rinnovo 83 sostituzione 85 85 Certificato CA 81 84 85 Certificato del gruppo CA 85 Certificato SSL 84 CHAP 101 Check Consis
67. pacchetto IP possibile accedere alle definizioni del servizio e mantenere quindi la limitazione dei criteri di filtraggio Se non si indicano servizi la regola del filtro pacchetto IP vale per tutti i servizi Si apre la finestra di dialogo delle regole locali del filtro pacchetto IP SCT Contrassegnare l unit Security da modificare e selezionare la voce di menu Modifica gt Propriet scheda Firewall Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 145 Progettazione di firewall 4 3 Firewall in modalit estesa STEP 7 Nella scheda Security di fianco a Avvio della configurazione Security fare clic sul pulsante Esegui scheda Firewall Inserire le regole del filtro pacchetto IP Inserire in sequenza le regole del firewall nell elenco osservare la descrizione dei parametri e gli esempi nel seguente capitolo o nella guida in linea Utilizzo dei set di regole globali e specifiche per l utente I set di regole firewall globali e i set di regole IP personalizzati assegnati all unit vengono registrati automaticamente nell elenco di regole locale Se il set di regole assegnato alla fine dell elenco di regole esso viene modificato con la priorit pi bassa La priorit pu essere modificata modificando la posizione nell elenco delle regole La guida in linea descrive il significato dei singoli pulsanti Nozioni di base e applicazione Security 146 Manuale di proge
68. per i singoli moduli Security Vedere capitolo Relazione tra router NAT NAPT e firewall Pagina 179 5 2 Unit Security come server DHCP 5 2 1 Informazioni generali Informazioni generali L unit Security pu essere utilizzata sulla rete interna e sulla rete DMZ come server DHCP DHCP Dynamic Host Configuration Protocoll In questo modo possibile assegnare automaticamente gli indirizzi IP agli apparecchi collegati possibile il funzionamento simultaneo di server DHCP su entrambe le interfacce Gli indirizzi IP vengono ripartiti dinamicamente da una banda di indirizzi indicata oppure viene assegnato un determinato indirizzo IP di un determinato dispositivo Per consentire che i dispositivi sull interfaccia interna o sull interfaccia DMZ ricevano sempre lo stesso indirizzo IP per la configurazione firewall l assegnazione di indirizzi pu essere solo statica in base all indirizzo MAC e in base all ID client Requisito richiesto Nella rete interna o nella rete DMZ l apparecchio deve essere configurato in modo che esso rilevi l indirizzo IP da un server DHCP Nozioni di base e applicazione Security 184 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 2 Unit Security come server DHCP A seconda del modo di funzionamento l unit Security trasmette ai nodi nella rispettiva sotto rete un indirizzo IP del router standard oppure necessario comunicare ai nodi nell
69. porta Esempio di inserimento di un area della porta 78 99 Significato Un nodo nella rete sorgente pu inviare un telegramma ad un nodo nella rete di destinazione utilizzando questo numero di porta Indirizzo IP di Indirizzo IP nella rete di destinazione telegrammi destinati all indirizzo IP dell unit Security nella destinazione rete sorgente e alla porta TCP UDP indicata nella casella Por ta sorgente vengono inoltrati all indirizzo IP indicato Porta di desti Porta TCP UDP Numeri di porta ai quali vengono inoltrati telegrammi prove nazione nienti dalla rete sorgente Protocollo e TCP UDP Selezione della famiglia di protocolli per i numeri di porta indi TCP cati e UDP N Il numero progressivo assegnato da SCT che viene utilizzato Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 per il riferimento alla regola firewall che viene generata da SCT per la regola NAPT 177 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Vedere anche Regole del filtro pacchetto IP Pagina 147 5 1 5 Conversione di indirizzi con tunnel NAT NAPT nei tunnel VPN Sb Significato Le conversioni di indirizzi con NAT NAPT possono essere eseguite anche per relazioni di comunicazione realizzate mediante tunnel VPN Requisiti richiesti Per un unit SCALANCE S che deve eseguire una conversione di indirizzi con NAT NAPT in un tunne
70. preimpostati Inserire quindi questi apparecchi nell elenco di indirizzi nel campo di immissione Assegnazione di indirizzi statica Questa opzione opportuna in caso di regole firewall con indicazione esplicita di indirizzo sorgente o indirizzo IP di destinazione e Assegnazioni dinamiche di indirizzo I dispositivi il cui indirizzo MAC o ID client non sono stati indicati in modo esplicito ottengono un indirizzo IP qualsiasi dalla banda di indirizzi indicata Questa banda di indirizzi si imposta nel campo di immissione Assegnazione di indirizzi dinamica Nozioni di base e applicazione Security 186 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 2 Unit Security come server DHCP Nota Assegnazione dinamica dell indirizzo Comportamento dopo l interruzione della tensione di alimentazione Fare attenzione che gli indirizzi IP assegnati dinamicamente non vengono salvati se la tensione di alimentazione viene interrotta AI ripristino della tensione di alimentazione i nodi devono richiedere di nuovo un indirizzo IP Di conseguenza necessario prevedere l assegnazione dinamica di indirizzo solo per i seguenti nodi e nodi che vengono usati temporalmente nella sotto rete come per esempio apparecchi di service e nodi che trasmettono al server DHCP un indirizzo IP assegnato una volta come indirizzo primario ad una nuova richiesta come per esempio stazioni PC Per i n
71. progettazione di regole IP senza States firewall supportata solo per unit SCALANCE S a partire dal firmware V3 Campo di validit di questo manuale Questo manuale valido per le seguenti unit SIMATIC NET Unit SCALANCE S602 MLFB 6GK5 602 0BA10 2AA3 SCALANCE S612 6GK5 612 0BA10 2AA3 SCALANCE S623 6GK5 623 0BA10 2AA3 SCALANCE S627 2M 6GK5 627 2BA10 2AA3 CP 343 1 Advanced a partire da V3 6GK7 343 16X31 0XEO CP 443 1 Advanced a partire da V3 CP 1628 6GK7 443 1GX30 0XE0 66K1162 8AA00 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Prefazione Questo manuale valido per i seguenti strumenti di progettazione SIMATIC NET Strumento di progettazione MLFB Versione SOFTNET Security Client 6GK1 704 1VW04 0AA0 V4 0 Hotfix 1 Security Configuration Tool SCT v4 1 Destinatari Il presente manuale rivolto a persone che configurano le funzionalit Industrial Ethernet Security in una rete SIMATIC NET Manual Collection n di orinazione A5E00069051 Marchi Alle unit SCALANCE S al CP S7 e al CP PC 1628 allegato la SIMATIC NET Manual Collection Questa Manual Collection viene aggiornata regolarmente e contiene i manuali e le descrizioni attuali al momento della creazione Le seguenti denominazioni o eventuali altre denominazione non contrassegnate con il marchio relativo alla propriet esclus
72. pulsante Esegui In alternativa alla sincronizzazione dell ora Sono progettabili le seguenti alternative Tabella 5 5 Sincronizzazione dell ora per CP Possibilit di selezione Nessuna sincronizzazione dell ora Significato Effetto Nessuna sincronizzazione dell ora tramite il PC PC o un server NTP Sincronizzazione dell ora con NTP Posizioni automatiche e sincronizzazione periodica dell ora tramite un server NTP ta Sincronizzazione dell ora con NTP protet Posizioni automatiche e sincronizzazione periodica dell ora tramite un server NTP protetto Tabella 5 6 Sincronizzazione dell ora per SCALANCE S V3 0 Possibilit di selezione Nessuna sincronizzazione dell ora Imposta ora per ciascun caricamento Significato Effetto Nessuna sincronizzazione dell ora Posizioni automatiche dell ora dell unit con l ora del PC durante il caricamento di una configurazione Sincronizzazione dell ora con NTP Posizioni automatiche dell ora tramite un server NTP ta Sincronizzazione dell ora con NTP protet Posizioni automatiche e sincronizzazione periodica dell ora tramite un server NTP protetto 190 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 3 Sincronizzazione dell ora Selezione della modalit per la sincronizzazione dell ora Procedere nel modo s
73. scheda ICMP o e Dalla scheda Regole IP con il pulsante Servizi IP scheda ICMP 3 Definizione dei servizi IP olo lE Servizi IP ICMP Gruppi di servizi Management gruppi Nome Tipo Code icmp Echo Reply No Code Aggiungi servizio ICMP OK Annulla Parametri per servizi ICMP La definizione dei servizi ICMP viene eseguita con i seguenti parametri Tabella 4 15 Servizi ICMP Parametri Denomina Significato Commento Possibilit di selezione campi zione dei valori Name Nome definibile liberamente per il servizio che Immissione libera viene utilizzato per l identificazione nella definizio ne della regola o nel raggruppamento Typ Tipo del messaggio ICMP Vedere la visualizzazione della finestra di dialogo Code Codice del tipo ICMP I valori sono in base al tipo selezionato Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 155 Progettazione di firewall 4 3 Firewall in modalit estesa 4 3 9 Impostazione di regole del filtro pacchetto MAC Con le regole del filtro pacchetto MAC possibile filtrare i telegrammi MAC Nota Nessuna regola MAC con la modalit Routing attivata Se per l unit SCALANCE S stata attivata la modalit Routing le regole MAC non vengono utilizzate Finestra di dialogo scheda Selezionare l unit Security da modificare Per configurare il firewall selezionare la voce di menu Modi
74. schede e Interfacce e Firewall e Sincronizzazione dell ora e Impostazioni Log e SNMP Poich in modalit Ghost non possono essere progettati server DNS non possibile una risoluzione FQDN Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete Presupposto per il riconoscimento di un nodo interno 3 2 Configurazione delle interfacce L unit Security pu rilevare l indirizzo IP del nodo interno solo se il nodo interno ha inizializzato una comunicazione di dati con un partner di comunicazione della rete esterna L unit Security non offre inoltre servizi server durante il rilevamento dell indirizzo IP Solo dopo che dal nodo interno sono stati inviati pacchetti di dati all unit Security l unit Security pu rispondere alle richieste dall esterno Assegnazione della porta per i collegamenti di dati in ingresso e in uscita Poich l interfaccia esterna dell unit Security e il nodo interno dispongono dello stesso indirizzo IP deve essere eseguito un indirizzamento mirato dei componenti di rete tramite le porte TCP UDP Le porte sono quindi assegnate o all unit Security o al nodo interno Nelle seguenti tabelle sono rappresentate le assegnazioni delle porte ai rispettivi apparecchi per i collegamenti di dati in ingresso e in uscita Tabella 3 6 Assegnazione della porta per collegamenti in ingresso dall esterno all unit
75. selezionati i seguenti diritti dell unit Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 71 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Tabella 2 5 Diritti dell unit CP x43 1 Adv Diritto all interno del servizio Web Formattazione del sistema di file CP administrator x standard diagnostics FTP Lettura dei file dal sistema di file CP x FTP Scrittura dei file sul sistema di file CP FTP Lettura dei file DB dalla CPU S7 FTP Scrittura dei file DB nella CPU S7 Applet Lettura di variabili tramite i simboli progetta ti Applet Scrittura di variabili tramite i simboli proget tati x gt Xx Xx xX X X X x Applet Lettura di variabili tramite indirizzi assoluti Applet Scrittura di variabili tramite indirizzi assoluti Applet Lettura dello stato delle unit nel rack Applet Lettura del numero di ordinazione delle unit nel rack x x Servizio Sistema di file SPS SNMP Lettura MIB Il SNMP Scrittura MIB II SNMP Lettura MIB di automazione SNMP Lettura MIB LLDP SNMP Lettura MIB SNMPv2 SNMP Lettura MIB MRP SNMP Scrittura MIB MRP SNMP SCT Esecuzione della diagnostica dell unit Secu rity FATA x X X X X X X x xX X X X X X X x Web Estensione dell elenco IP Access Control Web Accesso alla diag
76. stinazione Destination Drop Esterno Stazione NAT Allow Esterno Any z Indirizzo IP del nodo che stato indicato nella ca sella di inserimento Conversione de stinazione NAT sorgente Allow Any Esterno Indirizzo IP che stato indicato nel campo di immis sione Conversione sorgente Source NAT Allow Any Esterno Indirizzo IP che Destination stato indicato nel NAT campo di immis sione Conversione sorgente Drop Esterno Stazione Allow Esterno Any Indirizzo IP del nodo che stato indicato nella ca sella di inserimento Conversione de stinazione Nella tabella seguente riportato lo schema delle regole firewall generate per le unit SCALANCE S per le regole NAPT Tabella 5 3 Conversioni NAPT e regole firewall create per le unit SCALANCE S Regola firewall creata Azione Da A Indirizzo IP sorgen Indirizzo IP di Servizio te destinazione Allow Rete sorgente Rete di destinazio Indirizzo IP Servizio_regola Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 ne dell unit Secu rity nella rete sorgente NAPT 181 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Nella tabella seguente riportato lo schemi delle regole firewall che vengono generate per il CP x43 1 Adv per le regole NAPT Tabella 5 4 Conversioni NAPT e regole firewall create per il CP x43 1
77. un progetto Durante la creazione di un nuovo progetto SCT per il progetto viene generato un certificato CA Da questo certificato vengono trasmessi i certificati SSL per le singole unit Security e Autorit di certificazione di un gruppo VPN Durante la creazione di un nuovo gruppo VPN per il gruppo VPN viene generato un certificato CA Per questo certificato vengono trasmessi i certificati dei gruppi VPN che si trovano nel gruppo VPN corrispondente Nozioni di base e applicazione Security 82 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 6 Gestione dei certificati Scheda Certificato degli apparecchi Visualizzazione dei certificati specifici per il dispositivo generati dal SCT per un unit Security Ne fanno parte e Certificato SSL di un unit Security Per ciascuna unit Security creata viene generato un certificato SSL che deriva dal certificato CA del progetto Per l autenticazione i certificati SSL vengono inclusi nella comunicazione tra PG PC e unit Security nel caricamento della configurazione non per CP e nel logging e Certificato del gruppo SSL di un unit Security Inoltre per ciascuna unit Security per ogni gruppo VPN nel quale si trova viene generato un certificato del gruppo VPN Scheda Certificati e autorit di certificazione accreditati Visualizzazione dei certificati di terzi importati nell SCT Possono essere importati ad es certificati s
78. unit Security tramite progettazione Tra tutte le unit Security di un gruppo VPN vengono realizzati IPsec Tunnel VPN Virtual Private Network Tutti i nodi interni di queste unit Security possono comunicare tra loro in modo sicuro tramite questo tunnel e Indipendenza dal protocollo La realizzazione dei tunnel comprende anche telegrammi Ethernet secondo IEEE 802 3 telegrammi layer 2 non valido se viene utilizzata la modalit router Attraverso il tunnel IPsec vengono trasmessi sia telegrammi IP sia telegrammi Non IP e PPPoE Point to Point Protocol over Ethernet RFC 2516 per il rilevamento automatico di indirizzi IP dal provider in modo che non sia necessario l impiego di un router DSL separato e Client per DNS dinamico client DDNS Domain Name Service dinamico per l impiego di indirizzi IP dinamici se in ambiti di manutenzione remota uno SCALANCE S viene utilizzato in combinazione con il SOFTNET Security Client unit SCALANCE M unit SCALANCE S o altri clienti VPN come server VPN e SNMPv3 Per la trasmissione continua sicura delle informazioni di analisi della rete e Router operation Utilizzando SCALANCE S come router si collega la rete interna alla rete esterna La rete interna collegata tramite SCALANCE S diventa quindi una sotto rete propria e Protezione per apparecchi e segmenti di rete La funzione di protezione Firewall e VPN pu estendersi dal funzionamento di singoli apparecchi pi apparecchi fino
79. valori riportati nel telegramma iniziale come indirizzo IP di destinazione o porta di destinazione La differenza da NAT consiste nella possibilit di convertire anche le porte in questo protocollo Non vi nessuna conversione 1 1 dell indirizzo IP Inoltre esiste ancora solo un indirizzo IP pubblico che con l aggiunta di numero di porta viene convertito in una serie di indirizzi IP provati Conversione di indirizzi nei tunnel VPN Le conversioni di indirizzi con NAT NAPT possono essere eseguite anche per relazioni di comunicazione realizzate mediante tunnel VPN Questa funzione viene supportata per i partner di collegamento del tipo SCALANCE M solo 1 1 NAT e SCALANCE S612 S623 S627 2M V4 Ulteriori informazioni sulle conversioni di indirizzi nei tunnel VPN si trovano nei seguenti capitoli e Conversione di indirizzi NAT NAPT Pagina 172 e Conversione di indirizzi con tunnel NAT NAPT nei tunnel VPN Pagina 178 Nozioni di base e applicazione Security 170 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Conversione di regole NAT NAPT da progetti precedenti Con SCT V4 0 la modalit di progettazione delle regole NAT NAPT e delle rispettive regole firewall stata modificata Se SCT V4 0 si vogliono adattare o estendere regole NAT NAPT di un progetto creato con SCT V3 0 V3 1 necessario dapprima convertire le regole NAT NAPT in SCT V4 0
80. 0 3600 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 101 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Progettazione della conversione dell indirizzo nella rete PPPoE La casella di controllo Consenti NAT dall interno alla rete PPPoE disponibile solo se il progetto non si trova in modalit estesa Se si attiva la casella di controllo tramite SCT viene creata una regola NAT con la quale gli indirizzi IP sorgente di tutti i nodi nella rete interna vengono convertiti in indirizzo IP dell unit nella rete PPPoE Questa regola NAT nonch la relativa regola firewall visibile dopo l attivazione della casella di controllo in modalit estesa 3 2 4 DNS dinamico DDNS Significato Tipo di funzione Con il DNS dinamico possibile accedere ad un indirizzi IP che cambia continuamente con un nome definito in modo fisso FQDN Questo necessario se ad es si vuole accedere ad un server raggiungibile tramite un indirizzo IP pubblico variabile L unit Security segnala ad un provider per il DNS dinamico ad es DynDNS org no ip com l indirizzo IP WAN attuale con il quale raggiungibile l unit Security Il provider garantisce che alle richieste DNS sull FQDN dell unit Security pervenga l indirizzo IP WAN attuale dell unit Security come risposta Il DNS dinamico ammesso sulle seguenti interfacce e Interfaccia
81. 0 Ein dA Gros nose e Falezioni di adendanza Pronto Ruolo attuale admnistrator Modalit standard Otfine 2 Assegnare l unit SSC ai gruppi VPN nei quali il PG PC deve comunicare tramite tunnel IPsec 3 Security Configuratica Tool Kenfiguratien 1 CASCTKenfiguratson 1 Progetto Modifica Inserisci Trasferisci Visualizza Opzioni DE atx JAH S TIA oo N A Autenticazione Aopartenenza algruppofin Tipo Commento pr RM _ Baugrupoet Certficato 23 08 2097 9627 2M Va Baugcoe pai ac 1 x FTNET I tayo Gao en Gapel Guppe Reason d rdondanca Baugruppe s collega con le urit nportaie som ramie quesie impostazioni PSec Fase 1 Main modisit SHALGDES e fase 2 SHAISDES Intator Responder Unit partner Tipo di pacchet da tasme ihtertacca locale Imertaccsa partner ninatore Baugruppe Layer 2lLayer 3 Esterno Esterno 192 168 10 1 Pronto Utente attuale admin Ruolo attuale administrator Modalit standard Otin s 3 Selezionare la voce di menu Progetto gt Salva 4 Selezionare l unit del tipo SOF TNET Security Client e successivamente la voce di menu Trasferisci gt Alla alle unit 5 Selezionare la posizione di memorizzazione per i file di configurazione 6 Inserire nella seguente finestra di dialogo se per il certificato dei gruppi VPN dell unit deve essere generata una propria password Se si seleziona No come password viene assegnato il nome della progettaz
82. 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 4 Configurazione del tunnel nella modalit Standard Visualizzazione di tutti i gruppi VPN progettati con relative propriet e Selezionare l oggetto Gruppi VPN nell area di navigazione Le seguenti propriet dei gruppi vengono visualizzate per colonne Propriet colonna Significato Commento selezione Name Nome del gruppo Selezionabile liberamente Authentification Tipo di autenticazione e Preshared Key e Certificato Appartenenza al gruppo fino a Durata dei certificati Vedere sezione Impostazione della durata dei certificati Comment Commento Selezionabile liberamente Creazione della durata dei certificati Aprire la finestra di dialogo nella quale possibile inserire la data di scadenza del certificato nel modo seguente 1 Selezionare nell area di navigazione il relativo gruppo VPN per il quale si vuole configurare un certificato 2 Fare clic con il tasto destro del mouse sull unit nell area del contenuto e selezionare il comando Nuovo certificato nel menu di scelta rapida Nota Scadenza di un certificato Allo scadere del certificato la comunicazione attraverso il VPN prosegue fino a quando il tunnel viene interrotto o la durata SA scaduta Ulteriori informazioni sui certificati si trovano nel seguente capitolo e Gestione dei certificati Pagina 81 6 4 Configurazione del tunnel nella modalit Standard Apertura
83. 1 Selezionare nell area del contenuto il client VPN NCP Android da modificare 2 Selezionare la voce di menu Trasferisci gt Alla alle unit 3 Nella finestra di salvataggio successiva indicare il percorso e il nome del file di configurazione e fare clic sul pulsante Salva 4 Indicare nella seguente finestra di dialogo se per i due file di certificati generati deve essere creata una password propria Se si seleziona No come password viene assegnato il nome della progettazione ad es NCP Projekt_02 non la password del progetto Se si seleziona S raccomandato necessario inserire una password nella finestra successiva Risultato file vengono salvati nella directory specificata Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 223 Comunicazione protetta nella VPN tramite tunnel IPsec 6 9 Configurazione di nodi di rete interni 6 9 Configurazione di nodi di rete interni Configurazione di nodi di rete interni SCALANCE S Ogni unit Security deve conoscere i nodi di rete nell intera rete interna per poter definire l autenticit di un telegramma L unit Security deve conoscere sia i propri nodi interni sia i nodi interni delle unit Security con i quali in un gruppo VPN Questa informazione viene impiegata su un unit Security per determinare quale pacchetto dati deve essere trasmesso in quale tunnel Oltre alla configurazione statica de
84. 12 2014 C79000 G8972 C286 04 43 Progettazione con Security Configuration Tool 2 2 Installazione del Security Configuration Tool SCALANCE S Procedimento Lo strumento di progettazione Security Configuration Tool si installa dal DVD del prodotto fornito e Inserire il DVD del prodotto nel drive DVD ROM Con la funzione Autorun attivata l interfaccia utente dalla quale possibile eseguire l installazione viene avviata automaticamente 0 e Avviare l applicazione start exe presente sul DVD del prodotto fornito CP x43 1 Adv Procedimento Lo strumento di progettazione Security Configuration Tool si installa dal supporto dati STEP 7 II file di installazione si trova nel supporto dati STEP 7 nella cartella per i componenti software opzionali CP 1628 Procedimento Lo strumento di progettazione Security Configuration Tool si installa dal supporto dati fornito che contiene i dati driver del CP 1628 e Inserire il supporto dati nel drive DVD ROM Con la funzione Autorun attivata l interfaccia utente dalla quale possibile eseguire l installazione viene avviata automaticamente o e Avviare l applicazione setup exe presente sul supporto dati fornito Nozioni di base e applicazione Security 44 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 3 Superficie operativa e voci di menu 2 3 Superficie operativa e voci di menu Struttura dell interfaccia di comando i
85. 4 93 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Porte del modulo mediale dell interfaccia esterna e interna Oltre alle funzioni di SCALANCE S623 SCALANCE S627 2M dispone di due slot modulo mediale nei quali pu essere inserito rispettivamente un modulo mediale elettrico o ottico a 2 porte In questo modo l interfaccia esterna ed interna pu essere ampliata rispettivamente di due porte Se per un interfaccia viene utilizzato il modulo mediale MM992 2SFP nel modulo mediale di questa interfaccia possibile inserire fino a due transceiver SFP elettrici o ottici Small Form factor Pluggable Transceiver Le porte supplementari possono essere utilizzate per il collegamento dell interfaccia esterna ed interna di SCALANCE S627 2M ad anelli MRP HRP Le porte del modulo mediale sono collegate alle porte fisse della relativa interfaccia tramite un blocco switch Tra le porte collegate tramite un blocco switch non garantita la funzionalit firewall livello 2 livello 3 Tutte le porte collegate tramite un blocco switch sono raggiungibili tramite lo stesso indirizzi IP Funzioni delle singole interfacce Le seguenti funzioni possono essere utilizzate sulle singole interfacce Funzionamento Verde interna Rossa esterna Gialla DMZ Indirizzo IP statico x Accesso WAN con router DSL Accesso WAN con x x modem DSL PPPOE In caso contrario In caso contrario i IP din
86. 64 max 128 SbR Regole firewall per ciascuna unit Security max 256 Server NTP creabili per tutto il progetto 32 4 20 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Introduzione e nozioni di base 1 3 Proprieta del prodotto Regole per nome utente ruoli e password Quali regole valgono per il nome utente il nome di ruolo e le password Durante la creazione o la modifica di un utente un ruolo o una password osservare le seguenti regole Caratteri ammessi Sono consentiti i seguenti caratteri del set di caratteri ANSI X 3 4 1986 0123456789 A Z a Z 1 amp lt gt K_ l Caratteri non consentiti 0g Lunghezza del nome utente meto do di autenticazione Password Lunghezza del nome utente meto do di autenticazione RADIUS 1 32 caratteri 1 255 caratteri Lunghezza della password 8 32 caratteri Lunghezza del nome del ruolo 1 32 caratteri Numero massimo di utenti per ogni progetto 128 Numero massimo di utenti su un u nit Security 32 1 amministratore per la creazione del progetto Numero massimo di ruoli per ogni progetto 128 122 ruoli definiti dall utente 6 ruoli definiti dal sistema Numero massimo di ruoli su un uni t Security 37 31 ruoli definiti dall utente 6 ruoli definiti dal sistema Nota Nomi utente e password Come misura pi
87. 7 si attiva la funzione Security per un unit Security viene creato automaticamente un progetto SCT nel quale possono essere salvati e gestiti i dati della configurazione Security Tutti i dati della configurazione Security vengono modificati internamente dall SCT e il risultato viene ritrasmesso a STEP 7 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 51 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti Interazione di STEP 7 e SCT L interazione di STEP 7 e SCT descritta in base alla seguente rappresentazione STEP 7 classic Progetto STEP 7 Progetto SCT Se con STEP 7 vengono eseguite impostazioni Security SCT viene richiamato in quanto qui vengono modificati e gestiti i dati per Security Se in NetPro sono progettati collegamenti specificati dopo il salvataggio e la compila zione per questi ultimi vengono create automaticamente regole firewall nell SCT Nell SCT eseguire ulteriori impostazioni Security l SCT modifica internamente i dati e rinvia il risultato a STEP 7 Leazioni quali Salva con nome e Compila avvengono all interno di STEP 7 I dati Security vengono salvati come progetto SCT con un altro nome impostato automati camente in una sotto cartella del progetto STEP 7 Il nome e la posizione di memoriz zazione non devono essere modificati Per un progetto STEP 7 possibile creare esattamente un progetto SCT Un pr
88. 9000 G8972 C286 04 97 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce 98 Per utilizzare questo metodo di assegnazione di indirizzi IP inserire le indicazioni relative a ISP nella scheda Collegamento Internet L indirizzo IP la maschera della sottorete il router standard e il server DNS dell interfaccia vengono predefiniti dall ISP Nota Un router standard progettato non viene tenuto in considerazione in caso di utilizzo di PPPOE Esso viene assegnato dinamicamente all unit dall ISP Nota Nessun componente di rete tra SCALANCE S e modem DSL Se l interfaccia di un unit SCALANCE S viene utilizzata tramite PPPOE tra questa interfaccia e il Modem DSL collegato non devono trovarsi altri componenti di rete in quanto i dati di selezione dell Internet Service Provider vengono event trasmessi senza codifica su questo percorso In caso di utilizzo del protocollo di autenticazione CHAP i dati possono essere trasmessi senza codifica Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Impostazioni porta gt 64 Colonna Significato ID porta ID indicata automaticamente per la porta dell interfaccia Tipo di porta Propriet finisca della porta rame FO Modalit porta Autonegotiation La velocit di trasmissione e il metodo dup
89. 92 bit o 256 bit modalit CBC Fase 1 autenticazione Algoritmo di autenticazione e MD5 Message Digest Algorithm 5 e SHA1 Secure Hash Algorithm 1 DES un algoritmo di codifica non sicuro Esse deve essere utilizzato solo per motivi di compatibilit inversa Parametri per impostazioni avanzate fase 2 Fase 2 Negoziazione IKE della Security Association SA per lo scambio di dati IPsec Nozioni di base e applicazione Security 208 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa Impostare qui i parametri per la negoziazione dei parametri di sicurezza che vengono utilizzato per lo scambio di dato IPsec con ESP Encapsulating Security Payload e AH Authentication Header La comunicazione nella 2 avviene gi codificata Parametri Tipo di durata SA Descrizione Phase 2 Security Association SA e Time La limitazione di tempo in minuti La durata utile per il materiale attuale codificato viene limitata a tempo Allo scadere del tempo il mate riale codificato viene di nuovo concordato e Limite Limitazione del volume di dati in Mbyte Durata SA Valore numerico e Campo di valori per time 60 16666666 minuti standard 2880 e Campo di valori per Limit 2000 500000 Mbyte standard 4000 Fase 2 codifica Algoritmo di codifica e DES Data Encryption Standard lunghezza co
90. AC Set di regole Operazione in caso di attiva Regola creata zione Impostazioni IP Log Azione Da A Registrazione dei pacchetti via tunnel Attiva solo se l unit Security Allow Stazio Tunnel un nodo di un gruppo VPN ne Viene eseguito il logging di Allow Tunnel Stazio tutti i pacchetti IP che sono ne stati inoltrati via tunnel Registrazione dei pacchetti in ingresso Viene effettuato il logging di Drop Esterno Stazio bloccati tutti i pacchetti IP in ingresso ne che sono stati respinti Impostazioni MAC Log Azione Da A Registrazione dei pacchetti in ingresso Viene effettuato il logging di Drop Esterno Stazio bloccati tutti i pacchetti MAC in in ne gresso che sono stati respin ti Registrazione dei pacchetti in uscita Viene effettuato il logging di Drop Stazio Esterno bloccati tutti i pacchetti MAC in uscita ne che sono stati respinti Nota Non viene eseguito il loggin del traffico dati tramite i collegamenti progettati Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 125 Progettazione di firewall 4 2 SCALANCE S in modalita standard 4 2 SCALANCE S in modalit standard 4 2 1 Preimpostazione del firewall Comportamento con preimpostazione seguenti diagrammi illustrano le impostazioni standard in dettaglio rispettivamente per il filtro pacchetto IP e il filtro pacchetto MAC Il comportamento pu ess
91. ANCE S in SCALANCE S in CP SSC modalit Bridge modalit Routing SCALANCE M dispositivo VPN NCP client VPN Android SOFTNET Security Client V4 0 x x SCALANCE M apparecchio VPN x NCP VPN Client Android x 6 3 2 Rapporti di comunicazione via tunnel supportati Significato Le seguenti tabelle indicano quali interfacce tunnel possono realizzare tra loro un tunnel Si distingue quindi se l unit SCALANCE S si trova in modalit Routing o in modalit Bridge Indipendentemente dall interfaccia tramite la quale viene realizzato il tunnel VPN come standard i nodi delle sottoreti interne delle unit Security possono comunicare sempre tra loro Se la comunicazione tramite il tunnel VPN deve essere eseguita anche in altre sottoreti esse possono essere abilitate dalla scheda VPN nelle propriet estese dell unit per la comunicazione via tunnel vedere il seguente capitolo e Configurazione di ulteriori nodi e sottoreti per il tunnel VPN Pagina 224 Le sottoreti che devono essere abilitate per la comunicazione via tunnel sono e Sottorete sull interfaccia esterna se l interfaccia esterna non il punto terminale VPN e Sottorete sull interfaccia DMZ se l interfaccia DMZ non il punto terminale VPN e Ulteriori sottoreti raggiungibili tramite router su diverse interfacce se esse non sono punti terminali VPN Nozioni di base e applicazione Security 202 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicaz
92. APT La progettazione della conversione di indirizzi con NAT NAPT per la relazione di ridondanza viene eseguita in base allo stesso schema della progettazione della conversione di indirizzi con NAT NAPT per le singole unit Security Per le relazioni di ridondanza pu essere progettato solo Source NAT e NAPT In Source NAT gli indirizzi IP sorgente nella sottorete interna possono essere scambiati solo con indirizzi IP virtuali esterni della rete di ridondanza Non possono essere registrati indirizzi IP Alias sull interfaccia esterna della relazione di ridondanza In NAPT progettabile solo la direzione di conversione di indirizzi Da esterno a interno Per informazioni generali sulla progettazione delle conversioni di indirizzi con NAT NAPT vedere il seguente capitolo Conversione di indirizzi NAT NAPT Pagina 172 Progettazione del routing Vedere anche 232 La progettazione degli instradamenti per la relazione di ridondanza viene eseguita in base allo stesso schema della progettazione degli instradamenti per le singole unit Security Per informazioni generali sulla progettazione di routing vedere il seguente capitolo Definizione del router standard e degli instradamenti Pagina 168 Regole del filtro pacchetto MAC Pagina 157 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 SOFTNET Security Client Altre informazioni 27 F1 Vedere anche 8 1 Con il software PC SO
93. Adv 44 Installazione del CP 1628 44 278 Modalit di comando 42 Standalone 42 51 Senza retroeffetto 30 Server DHCP 186 Servizi ICMP 155 Servizi IP 154 Servizi MAC 160 Set di regole firewall definite dall utente 140 globali 57 Set di regole firewall globali 157 Set di regole IP 137 specifici per l utente 140 Set di regole IP specifiche per l utente 141 Set di regole MAC 137 Severity 261 SHA1 194 209 SIClock 161 Significato dei simboli 5 Simboli 5 Sincronizzazione dell ora 190 Sistemi operativi supportati SCALANCE S 43 SOFTNET Security Client 235 SNMP 72 SNMPv1 194 SNMPv3 194 SOFTNET Security Client 3 Base dati 238 Comportamento all avvio 237 configurazione nel progetto 237 Creazione del file di configurazione 237 disinstallazione 237 Funzione 24 Programmazione dei nodi interni 246 Sistemi operativi supportati 235 spionaggio dei dati 28 Stateful Packet Inspection 113 STEP 7 51 Dati migrati 52 Migrazione utenti 65 Propriet dell oggetto 52 Strutture d insieme 20 Syslog Eventi Audit 261 Eventi di sistema 262 Eventi filtro pacchetto 261 Symbolic Names 62 Syslog server 59 251 259 Syslog rete 251 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 T TCP 145 154 Telegrammi dell ora SiClock 135 Telegrammi Ethernet Non IP 113 Telegrammi non IP 199 Tunnel 197 Tunnel IPsec 197 U UDP 145 154 Unit Secu
94. C Set di regole Operazione in caso di attivazione Regola creata Impostazioni IP Log Azione Da A Registrazione dei pacchetti via tunnel Attiva solo se l unit Security un Allow Stazione Tunnel nodo di un gruppo VPN Viene Allow Tunnel Stazione eseguito il logging di tutti i pacchetti IP che sono stati inoltrati via tunnel Registrazione dei pacchetti in ingresso bloccati Viene effettuato il logging di tutti i Drop Esterno Stazione pacchetti IP in ingresso che sono stati respinti Impostazioni MAC Log Azione Da A Registrazione dei pacchetti in ingresso bloccati Viene effettuato il logging di tutti i Drop Esterno Stazione verso la stazione pacchetti MAC in ingresso che sono stati respinti Registrazione dei pacchetti in uscita bloccati Viene effettuato il logging di tutti i Drop Stazione Esterno dalla stazione pacchetti MAC in uscita che sono stati respinti 4 1 1 3 Nota Non viene eseguito il loggin del traffico dati tramite i collegamenti progettati Progettazione dell elenco degli accessi Modifica dell elenco degli accessi IP delle voci ACL L elenco compare se nella scheda protezione di accesso IP di STEP 7 attivata la casella opzione Attiva protezione di accesso IP per la comunicazione IP Impostare tramite l elenco di accesso IP la protezione di accesso per determinati indirizzi IP Le voci dell elenco gi create in STEP 7 vengono visualizzate nell SCT con i diritt
95. C286 04 Prefazione Denominazione generale STEP 7 La progettazione delle funzioni Security dei CP possibile a partire da STEP 7 V5 5 SP2 HF1 Per questo motivo nella presente documentazione viene utilizzata la denominazione STEP 7 al posto delle versioni di STEP 7 a partire da V5 5 SP2 HF1 fino alla versione inferiore di STEP 7 V10 La progettazione delle funzioni Security di tutte le unit Security in STEP 7a partire dalla V12 descritta nel sistema informativo in STEP 7 a partire dalla V12 sezione Industrial Ethernet Security Denominazione generale CP x43 1 Adv Nella seguente documentazione i seguenti prodotti vengono raggruppati nella denominazione CP x43 1 Adv CP 343 1 Advanced CP 443 1 Advanced Security Configuration Tool V4 1 Nuove funzioni Con il Security Configuration Tool V4 1 sono considerate le seguenti nuove funzioni e Estensione della funzionalit VPN per le unit SCALANCE M supportata la realizzazione attiva del collegamento VPN da un unit SCALANCE M ad un unit SCALANCE M 800 e Estensione della funzionalit Ridondanza del router e del firewall per unit SCALANCE S623 S627 2M a partire dal firmware V4 0 1 La progettazione di ID del router virtuali per le interfacce virtuali delle relazioni di ridondanza supportata per le unit SCALANCE S623 S627 2M a partire dal firmware V4 0 1 e Estensione della funzionalit firewall per unit SCALANCE S a partire dal firmware V3 La
96. CALANCE S602 Nodi di rete interni ed esterni SCALANCE S602 ripartisce le reti in due aree e rete interna aree protette con nodi interni I nodi interni sono quelli protetti da uno SCALANCE S e rete esterna aree non protette con nodi esterni nodi esterni sono quelli che si trovano fuori dall area protetta Nota Le reti interne vengono considerate sicure fidate Collegare un segmento di rete interno a segmenti di rete esterni solo tramite SCALANCE S Non devono esistere altri percorsi di collegamento tra rete interna ed esterna Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 27 Introduzione e nozioni di base 1 6 Impiego di SCALANCE S612 S623 e S627 2M 1 6 Impiego di SCALANCE S612 S623 e S627 2M Protezione totale compito di SCALANCE S612 SCALANCE S623 e SCALANCE S627 2M Grazie alla combinazione di diverse misure di sicurezza quali firewall router NAT NAPT e VPN Virtual Private Network tramite IPsec Tunnel le unit SCALANCE S612 SCALANCE S623 e SCALANCE S627 2M proteggono singoli dispositivi o intere celle di automazione da e spionaggio dei dati e manipolazione dei dati e accessi indesiderati SCALANCE S consente questa protezione flessibile senza retroeffetti indipendente dal protocollo dal layer 2 secondo IEEE 802 3 e senza utilizzo complicato SCALANCE S e SOFTNET Security Client vengono configurati con lo strumento di progettazione Security C
97. Client CP S7 CP 343 1 Advanced CP 443 1 Advanced CP PC CP 1628 Router rete mobile SCALANCE M875 SCALANCE M 800 Router ADSL SCALANCE M81x Router SHDSL SCALANCE M82x Router rete mobile SCALANCE M874 2 nonch SCALANCE M874 3 Denominazione generale Unit Security Nella seguente documentazione i seguenti prodotti vengono aggruppati nella denominazione Unit Security SCALANCE S602 SCALANCE S612 SCALANCE S623 SCALANCE S627 2M CP 343 1 Advanced CP 443 1 Advanced CP 1628 Le differenze delle funzioni vengono contrassegnate con simboli vedere sezione Spiegazione dei simboli Le descrizioni dell hardware e le avvertenze per l installazione si trovano nelle documentazioni delle singole unit Utilizzo delle denominazioni Interfaccia e Porta Nella presente documentazione vengono utilizzate le seguenti denominazioni per le porte delle unit SCALANCE S Interfaccia esterna La porta esterna in SCALANCE S602 S612 S623 o una porta esterna in SCALANCE S627 2M contrassegno rosso Interfaccia interna La porta interna in SCALANCE S602 S612 S623 o una porta interna in SCALANCE S627 2M contrassegno verde Interfaccia DMZ La porta DMZ in SCALANCE S623 S627 2M contrassegno giallo La denominazione Porta stessa viene quindi utilizzata se una porta specifica di un interfaccia ha la priorit Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972
98. Collection In Internet alla seguente ID articolo 27069465 http support automation siemens com WW view it 27069465 Per la configurazione di stazioni PC PG SIMATIC NET Messa in servizio delle stazioni PC Manuale e guida rapida Manuale di progettazione Siemens AG ID articolo 13542666 http support automation siemens com WW view it 13542666 Per la configurazione CP PC SIMATIC NET Industrial Ethernet CP 1628 Manuale operativo compatto Siemens AG SIMATIC NET Manual Collection In Internet alla seguente ID articolo 56714413 http support automation siemens com WW view it 56714413 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 273 Bibliografia B 10 SIMATIC NET Industrial Ethernet Security B 10 113 114 Vedere anche 115 274 SIMATIC NET Industrial Ethernet Security SIMATIC NET Industrial Ethernet Security SCALANCE S a partire da V3 0 Manuale di installazione e messa in servizio Siemens AG SIMATIC NET Manual Collection In Internet alla seguente ID articolo 56576669 http support automation siemens com WW view it 56576669 SIMATIC NET Industrial Remote Communication SCALANCE M 800 Manuale di progettazione Siemens AG SIMATIC NET Manual Collection In Internet alla seguente ID articolo 78389151 78389151 http support automation siemens com WW view it 78389151 SIMATIC NET Telecontrol SCALANCE M875 Manuale
99. DH 2 1024 NAT T On Zeile 1 Spalte Ti Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 217 Comunicazione protetta nella VPN tramite tunnel IPsec 6 6 Dati di configurazione per le unit SCALANCE M File di esportazione per unit SCALANCE M 800 Konfiguration 1 Baugruppel bt Editor nba esa Datei Bearbeiten Format Ansicht SCALANCE M 800 Configuration of SCALANCE M 800 Baugruppel Baugruppel in connection with Baugruppe Go to system gt Load amp Save gt Passwords and store the Certificate Password in IPSecCert row m Go to system gt Load amp Save gt HTTP and use IPSecCert row to upload the following files Konfiguration 1 U47422A8D GB0F9 Baugruppel p12 Konfiguration 1 Gruppel Baugruppe2 cer Go to Security gt IPSecVPN gt Remote End Create a new table item with the following information Remote Mode Standard Remote Type manual Remote Address Inserire l indirizzo IP o FQDN del responder Treat as DDNS Host Name Attivare la casella di controllo se Remote Address un FQDN Remote Subnet 192 168 8 0 24 Go to Security gt IPSecVPN gt Connections Create a new table item with the following information Keying Protocol IKEVI Remote End choose the Remote End you created Local Subnet 192 168 9 0 24 Go to Security gt IPSecVPN gt Authentication Set for your connection the follow
100. Drag and Drop anche le regole NAT NAPT del firewall specifico per l utente non possono essere utilizzate su questa unit Security Nota L operazione di conversione degli indirizzi Double NAT non viene supportata in relazione al firewall specifico per l utente Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router A questa funzione si accede nel modo seguente Scheda NAT o NAPT nella finestra di dialogo della configurazione per set di regole IP personalizzati vedere il seguente capitolo Set di regole IP specifiche per l utente Pagina 140 Direzioni di conversione di indirizzi supportate per l azione Source NAT L azione Source NAT pu essere eseguita nelle seguenti direzioni e Da esterno a DMZ e Da DMZ a esterno Nella casella Indirizzo IP sorgente non pu essere inserito nessun indirizzo IP Esso viene inserito automaticamente durante il login del nodo all unit Security Direzioni di conversione di indirizzi supportate per l azione Destination NAT L azione Destination NAT pu essere eseguita nelle seguenti direzioni e Da esterno a interno e Da esterno a DMZ e Da DMZ a interno e Da DMZ a esterno e Tunnel verso l interno solo SCALANCE S612 S623 S627 2M a partire da V4 e Tunnel verso l esterno solo SCALANCE S612 S623 S627 2M a partire da V4 e Tunnel verso DMZ solo SCALANCE S612
101. FTNET Security Client legge la configurazione creata dallo strumento di progettazione Security Configuration Tool e trasmette eventualmente dai file i certificati da importare Il certificato Root e le Private Keys vengono importati e memorizzati nel PG PC locale Successivamente con i dati della configurazione vengono eseguite le impostazioni Security in modo che le applicazioni possano accedere ai servizi sulle e dopo le unit Security tramite gli indirizzi IP Se la modalit di programmazione attivata per i nodi o i dispositivi di automazione interni l unit di configurazione imposta dapprima una direttiva di sicurezza per l accesso protetto alle unit Security Successivamente il SOFTNET Security Client rileva gli indirizzi IP dei rispettivi nodi interni e li inserisce in elenchi di filtri specifici della direttiva di sicurezza Risultato Le applicazioni quali ad es es STEP 7 comunicare con gli apparecchi di automazione tramite VPN Nota Su un sistema Windows sono definite in modo specifico per l utente le direttive di sicurezza IP In un utente pu essere valida rispettivamente solo una direttiva di sicurezza IP Se una direttiva di sicurezza IP esistente non deve essere sovrascritta con l installazione del SOFTNET Security Client eseguire l installazione e l utilizzo del SOFTNET Security Client da un utente configurato in modo specifico Sistemi operativi supportati Il SOFTNET Security Client adatto per l impiego nei
102. FTNET Security Client sono possibili accessi remoti sicuri dal PC PG agli apparecchi di automazione protetti da unit Security in tutte le reti pubbliche Questo capitolo descrive come eseguire la progettazione del SOFTNET Security Client nel Security Configuration Tool e la successiva messa in servizio sul PC PG Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea del SOFTNET Security Client Alla guida possibile accedere con il tasto F1 o con il pulsante Help nella relativa finestra di dialogo Comunicazione protetta nella VPN tramite tunnel IPsec Pagina 197 Impiego del SOFTNET Security Client Campo d impiego Accesso tramite VPN Con il SOFTNET Security Client configurare un PC PG in modo che esso possa realizzare un collegamento via tunnel IPsec protetto nella VPN Virtual Private Network con una o diverse unit Security Le applicazioni PG PC come la diagnostica NCM o STEP7 possono accedere con un collegamento via tunnel protetto ad apparecchi o reti che si trovano in una rete interna protetta con l unit Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 233 SOFTNET Security Client 8 1 Impiego del SOFTNET Security Client Computer di gestione della produzione Workstation Computer n i Esportazione della configurazione per SOFTNET Security Client tramite supporto dati
103. G8972 C286 04 121 Progettazione di firewall 4 1 CP in modalit standard 4 1 2 CP 1628 4 1 2 1 Preimpostazione del firewall Comportamento con preimpostazione seguenti diagrammi illustrano dettagliatamente le impostazioni standard rispettivamente per il filtro pacchetto IP e il filtro pacchetto MAC se la casella di controllo Attiva firewall attivata e anche in modalit estesa non esiste nessuna regola Il comportamento pu essere modificato creando regole firewall corrispondenti in modalit estesa Impostazione standard per CP 1628 CP 1628 con interfaccia NDIS e Ta Nodi esterni Unit Security esterna Firewall Figura 4 3 Impostazione standard per filtro pacchetto IP CP 1628 Sono consentiti tutti i telegrammi dall interfaccia NDIS e IE Industrial Ethernet all ester no Sono bloccati tutti i telegrammi dall esterno Sono autorizzati tutti telegrammi dall esterno all unit Security e viceversa del seguente tipo e Protocollo ESP codifica e IKE protocollo per la realizzazione del tunnel IPsec e NAT Traversal protocollo per la realizzazione del tunnel IPsec Nozioni di base e applicazione Security 122 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 1 CP in modalit standard autorizzata la comunicazione IP tramite tunnel IPsec ltelegrammi del tipo Syslog sono autorizzati dall unit Security verso l esterno CP 1628 con interfaccia NDIS e
104. Gestione utenti scheda Ruoli Voce di menu STEP 7 Utenti gt Avvio della gestione utenti pulsante Esegui Inoltre la gestione utenti pu essere richiamata da singole schede Tabella 2 2 Indicazioni nella scheda Ruoli Parametri Significato Nome ruoli Nome ruolo liberamente selezionabile Commento Inserimento supplementare di un commento Inserimento della durata dopo la quale viene disconnesso automatica mente un utente con il ruolo assegnato connesso alla pagina Web per i sessione 56 4 set di regole IP personalizzati delle unit SCALANCE S La durata qui indicata inizia dopo la connessione e dopo una nuova sessione alla pagina Web dell unit Security Durata massima della e Impostazione standard 30 minuti e Valore minimo 5 minuti e Valore massimo 480 minuti Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 69 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Tabella 2 3 Pulsante nella scheda Ruoli Denominazione Significato Effetto Propriet Modifica Selezionare un ruolo definito dall utente nell elenco e fare clic sul pul sante Nella finestra di dialogo evidenziata si modificano le propriet del ruolo quali il nome di ruolo i diritti assegnati al ruolo e la durata mas sima della sessione ruoli definiti dal sistema non possono essere modificati Aggiungi Aggiungere un nuovo ruolo
105. IP secondo IEEE 802 3 telegrammi layer 2 non vale per S602 se viene utilizzato il funzionamento router Limitazione della larghezza di banda Set di regole firewall globali Set di regole IP specifiche per l utente Tutti i nodi di rete che si trovano in un segmento di rete interno di uno SCALANCE S sono protetti da questo Firewall e Funzionamento router Utilizzando SCALANCE S come router si disaccoppia la rete interna dalla rete esterna La rete interna collegata da SCALANCE S diventa quindi una sotto rete propria SCALANCE S deve essere indirizzato esplicitamente come router tramite il proprio indirizzo IP e Protezione per apparecchi e segmenti di rete La funzione di protezione Firewall pu estendersi dal funzionamento di singoli apparecchi pi apparecchi fino a interi segmenti di rete e Senza retroeffetti in caso di montaggio in reti piatte modalit bridge In caso di montaggio di uno SCALANCE S602 in un infrastruttura di rete esistente non necessario reimpostare gli apparecchi terminali e Unit Security e nodo interno come una unit funzionamento Ghost L unit Security viene visto dall esterno con l indirizzo IP del nodo interno e l indirizzo MAC dell unit Security e NTP protetto Per la sincronizzazione e la trasmissione sicura dell ora Nozioni di base e applicazione Security 26 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Introduzione e nozioni di base 1 5 Impiego di S
106. IP sconosciuto I nodi nei quali l indirizzo IP sconosciuto al momento della progettazione Unknown Peers possono essere inseriti in un gruppo VPN esistente Poich per la maggior parte dei casi i nodi si trovano nell impiego mobile e gli indirizzi IP vengono rilevati dinamicamente ad es un SOFTNET Security Client o uno SCALANCE M il tunnel VPN pu essere realizzato solo se le impostazioni dei parametri per la fase 1 vengono eseguite in base ad una delle seguenti tabelle Se si utilizzano altre impostazioni non possibile realizzare un tunnel VPN con il terminale di dati Tabella 6 4 Parametri di codifica 1 Parametri Impostazione Fase 1 codifica AES 256 Fase 1 gruppo DH Group2 Fase 1 autenticazione SHA1 Metodo di autenticazione Certificato Durata SA 1440 2500000 minuti Tabella 6 5 Parametri di codifica 2 Parametri Impostazione Fase 1 codifica 3DES 168 Fase 1 gruppo DH Group2 Fase 1 autenticazione SHA1 Metodo di autenticazione Certificato Durata SA 1440 2500000 minuti Tabella 6 6 Parametri di codifica 3 Parametri Impostazione Fase 1 codifica DES Fase 1 gruppo DH Group2 Fase 1 autenticazione MD5 Metodo di autenticazione Certificato Durata SA 1440 2500000 minuti Tabella 6 7 Parametri di codifica 4 Parametri Impostazione Fase 1 codifica 3DES 168 Fase 1 gruppo DH Group2 Fase 1 autenticazione SHA1
107. Il traffico di dati di eventuali altri nodi esistenti nell area interna della rete viene bloccato partendo dal livello 2 livello MAC in base all indirizzo del mittente Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Caricamento delle configurazioni e della diagnostica dopo la messa in servizio Dopo il rilevamento di un indirizzo IP da un nodo interno l unit Security sull interfaccia esterna dispone di un indirizzo IP che pu essere diverso dall indirizzo IP con il quale l unit Security stata inizialmente progettata Per una modifica della configurazione o per motivi di diagnostica nel Security Configuration Tool per l interfaccia esterna necessario sostituire l indirizzo IP progettato inizialmente che l unit Security ha rilevato dal nodo interno durante l esecuzione Informazioni di routing per le reti gerarchiche sulla porta esterna Se sull interfaccia esterna dell unit Security si trovano reti gerarchiche con accoppiamenti ad altre sottoreti l unit Security deve rilevare le relative informazioni di routing dal nodo interno A tal fine il nodo interno deve rispondere alle richieste ICMP configurate Non sono necessarie risposte a ICMP Broadcast Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 111 Creazione di unit e impostazione
108. LANCE S SCALANCE S SCALANCE M SCALANCE M SCALANCE S e o SCALANCE M SOFTNET Security Client SCALANCE S SOFTNET Security Client SCALANCE S SCALANCE S NCP VPN Client An NCP VPN Client Android SCALANCE S droid Viene supportato solo 1 1 NAT Le unit SCALANCE S del tipo SCALANCE S623 V4 e SCALANCE S627 2M V4 che dispongono di un punto terminale VPN su un interfaccia esterna e sull interfaccia DMZ possono eseguire conversioni di indirizzi simultanee su entrambe le interfacce Comportamento di conversione di indirizzi in caso di partecipazione a pi gruppi VPN Se un unit SCALANCE S un nodo di diversi gruppi VPN per tutti i collegamenti VPN di questa unit SCALANCE S valgono le regole di conversione di indirizzi progettate per l interfaccia tunnel dell unit SCALANCE S Osservare quanto segue Non appena stata configurata una conversione di indirizzo NAT nella o dalla direzione tunnel gli indirizzi IP interessati delle regole di conversione di indirizzi NAT sono ancora raggiungibili tramite il VPN 5 1 6 Relazione tra router NAT NAPT e firewall Significato Dopo la creazione di regole NAT NAPT l SCT genera automaticamente regole firewall che abilitano la comunicazione nella direzione di conversione di indirizzi progettata Le regole firewall possono eventualmente essere spostate ed estese indirizzi IP supplementari area di indirizzi IP banda di indirizzi IP servizi larghezza di banda Inoltre
109. N tag VLAN contenuti nei telegrammi IP vengono persi attraversando le unit in quanto per la trasmissione dei telegrammi IP viene utilizzato IPsec Come standard con IPsec non possono essere trasmessi telegrammi IP Broadcast o IP Multicast attraverso un tunnel VPN layer 3 Attraverso un tunnel VPN layer 2 VPN dell unit Security i telegrammi IP o i telegrammi IP Multicast vengono compressi e trasmessi esattamente come pacchetti MAC compresa l intestazione Ethernet in UDP Di conseguenza in questi pacchetti viene mantenuto il VLAN Tagging Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 3 Gruppi VPN 6 3 Gruppi VPN 6 3 1 Regole per la formazione di gruppi VPN Osservare le seguenti regole e Per SCALANCE S612 S613 S623 S627 2M SCALANCE M dispositivo VPN La prima unit assegnata in un gruppo VPN determina le unit aggiuntive che possono essere inserite Se la prima unit SCALANCE S aggiunta in modalit Routing o se la prima unit un unit SCALANCE M o un dispositivo VPN possono inoltre essere aggiunti solo unit SCALANCE S con Routing attivato o unit SCALANCE M o dispositivi VPN poich le unit SCALANCE M e i dispositivi VPN possono essere utilizzati solo in modalit Routing Se la prima unit SCALANCE S aggiunta in modalit Bridge possibile aggiungere inoltre solo unit SCALANCE S in mo
110. N Una configurazione generica nella quale l interfaccia DMZ viene utilizzata per la configurazione di una DMZ viene eseguita e documentata nel capitolo 4 2 SCALANCE S come firewall tra rete esterna e DMZ del manuale SIMATIC NET Industrial Ethernet Security Configurazione di Security Per poter assegnare anche ai dispositivi nella DMZ un indirizzo IP dinamico sull interfaccia DMZ pu essere attivato un server DHCP Tuttavia in un caso applicativo di questo tipo necessario assicurarsi che gli apparecchi nel DMZ ricevano sempre lo stesso indirizzo IP via DHCP in quanto questi indirizzi IP vanno utilizzati per la configurazione firewall Ci significa che durante la progettazione DHCP non deve essere utilizzata l assegnazione dinamica dell indirizzo ma solo l assegnazione statica dell indirizzo in base all indirizzo MAC o alla ID client L interfaccia DMZ pu essere utilizzata come punto terminale VPN In combinazione con un modem DSL l interfaccia DMZ viene utilizzata in modalit PPPoE o in combinazione con un router DSL inserito a monte con l indirizzo IP statico Una configurazione generica nella quale l interfaccia DMZ viene utilizzata come accesso remoto tramite un tunnel VPN viene eseguita nel capitolo 5 2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612 del manuale SIMATIC NET Industrial Ethernet Security Configurazione di Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 0
111. NMP e quindi di formare successivamente la presente topologia di rete Parametri progettabili L entit di attivit dell unit Security in merito a LLDP pu essere progettata nella scheda Interfacce delle propriet dell unit nel modo seguente e Invio e ricezione di telegrammi LLDP impostazione standard RxTx e Ricezione di telegrammi LLDP Off Nozioni di base e applicazione Security 104 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce 3 2 6 Ridondanza del mezzo nelle topologie ad anello 3 2 6 1 Ridondanza del mezzo con MRP HRP Significato Nel termine Ridondanza del mezzi vengono raggruppati diversi metodi per aumentare la disponibilit di reti Industrial Ethernet nelle quali i dispositivi sono raggiungibili tramite diversi percorsi Questo pu avvenire tramite interconnessione di reti collegamento in parallelo di percorsi di trasmissione o chiusura di una topologia lineare in un anello Metodi di ridondanza del mezzo MRP e HRP La ridondanza del mezzo all interno di una topologia ad anello disponibile per i prodotti SIMATIC NET nel metodo MRP Media Redundancy Protocol e HRP High Speed Redundancy Protocol In entrambi i metodi uno dei nodi viene configurato come manager di ridondanza Gli altri nodi sono client di ridondanza Le unit SCALANCE S627 2M possono assumere solo il ruolo di un client MRP o HRP
112. Opzioni Tempo di attesa impostabile per il ping che deve indicare la raggiungibilit di un partner del tunnel Da impostare soprattutto nei tunnel con percorsi di trasmissione lenti UMTS GPRS ecc peri quali il tempo di esecuzione dei pacchetti di dati decisamente aumentato Influisce quindi direttamente la visualizzazione della raggiungibilit nella panoramica del tunnel Disattivazione globale del test di raggiungibilit Se si attiva questa funzione viene disattivato il test di raggiungibilit globale per tutte le configu razioni contenute nel SOFTNET Security Client Vantaggio Non viene generato nessun volume di dati supplementare Svantaggio Nella panoramica dei tunnel non si riceve nessun messaggio di risposta sul fatto che un nodo partner sia raggiungibile o meno Visualizzazione della finestra della panoramica dei tunnel in caso di modifica di un nodo appreso Attivando questa funzione viene visualizzata automaticamente la finestra di dialogo Panora mica tunnel se stato riconosciuto un nuovo nodo interno Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Funzioni online Diagnostica e logging Per scopi di test e di sorveglianza l unit Security dispone di funzioni di diagnostica e di logging e Funzioni di diagnostica Sono intese diverse funzioni di sistema e di stato che possono essere utilizzate nella modalit online e Fun
113. Per attivare l accesso in scrittura tramite SNMP attivare la casella opzione Consenti accesso in scrittura SNMPv3 Selezionare un metodo di autenticazione o un metodo di autenticazione e codifica Algoritmo di autenticazione nessuno MD5 SHA 1 Algoritmo di codifica nessuno AES 128 DES Nota Evitare l utilizzo di DES DES un algoritmo di codifica non protetto Di conseguenza deve essere utilizzato per motivi di compatibilit inversa Nota In caso di impiego di SNMPv3 non possibile un autenticazione RADIUS 5 Configurare nell area Impostazioni estese i dati specifici per l unit relativi all autore la posizione e l indirizzo e mail che sovrascrivono le indicazioni delle propriet del progetto Se si attiva la casella di controllo Mantieni valori scritti con il set SNMP i valori scritti sull unit Security da uno strumento SNMP tramite un comando SNMP SET non vengono sovrascritti dal caricamento di una configurazione da SCT all unit Security 6 Se deve essere utilizzato SNMPv3 assegnare ad un utente un ruolo per il quale sono attivati i diritti SNMP corrispondenti in modo che esso possa raggiungere l unit Security tramite SNMP Per maggiori informazioni sulla configurazione di utenti diritti e ruoli vedere il seguente capitolo Gestione degli utenti Pagina 65 Nozioni di base e applicazione Security 194 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori
114. SIEMENS SIMATIC NET Industrial Ethernet Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Prefazione Introduzione e nozioni di base Progettazione con Security Configuration Tool Creazione di unit e impostazione dei parametri di rete 6 Progettazione di firewall Progettazione di ulteriori propriet dell unit Comunicazione protetta nella VPN tramite tunnel IPsec Ridondanza router e firewall SOFTNET Security Client Funzioni online Diagnostica e logging Appendice Bibliografia U gt oOo N Oo Ud dA Avvertenze di legge Concetto di segnaletica di avvertimento Questo manuale contiene delle norme di sicurezza che devono essere rispettate per salvaguardare l incolumit personale e per evitare danni materiali Le indicazioni da rispettare per garantire la sicurezza personale sono evidenziate da un simbolo a forma di triangolo mentre quelle per evitare danni materiali non sono precedute dal triangolo Gli avvisi di pericolo sono rappresentati come segue e segnalano in ordine descrescente i diversi livelli di rischio PERICOLO questo simbolo indica che la mancata osservanza delle opportune misure di sicurezza provoca la morte o gravi lesioni fisiche NAVVERTENZA il simbolo indica che la mancata osservanza delle relative misure di sicurezza pu causare la morte o gravi lesioni fisich
115. Security Servizio Porta Protocollo Commento Servizi Web accesso 443 TCP La porta HTTPS sempre di progettazione e di attivata e non modificabile per diagnostica l accesso di progettazione e di diagnostica tramite il Security Configuration Tool SNMP 161 TCP Dopo l attivazione di SNMP nel UDP Security Configuration Tool le richieste SNMP in ingresso vengono trasmesse tramite la porta UDP 161 Una trasmis sione tramite la porta TCP 161 inoltre possibile per poter raggiungere ad es il nodo interno Avvertenza Dopo l attivazione di SNMP la porta SNMP assegnata in modo fisso all unit Security Se SNMP non attivato con l aiuto di una regola firewall possibile accedere al nodo interno tramite SNMP Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 109 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Tabella 3 7 Assegnazione della porta per collegamenti in uscita dall unit Security verso l esterno Servizio Syslog Porta Protocollo Commento 514 UDP Se il servizio Syslog nel Secu rity Configuration Tool attiva to i messaggi Syslog vengono trasmessi dall unit Security tramite la porta UDP 514 Questa assegnazione di porta non pu essere modificata NTP 123 UDP Se per la sincronizzazione dell ora vengono utilizzati ser ver NTP le richieste NTP ven gono t
116. Stringa Community viene inviata insieme La Stringa Community come una password che viene inviata insieme alla richiesta SNMP Se la stringa Community corretta l unit Security risponde con l informazione richiesta Se la stringa errata l unit Security respinge la richiesta e non risponde Con SNMPv3 i dati possono essere trasmessi senza codifica 5 4 2 Attiva SNMP Pit N Requisito richiesto Config HW Nella scheda SNMP delle propriet del CP attivata la casella di controllo Attiva SNMP Se questa casella non attivata SNMP non pu essere configurato nel Security Configuration Tool Configurazione di SNMP Procedimento 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda SNMP 3 Attivare la casella di controllo Attiva SNMP Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 193 Progettazione di ulteriori propriet dell unit 5 4 SNMP 4 Selezionare una delle versioni di protocollo SNMP Nota Trasmissione dei dadi codificata in SNMPv3 Per aumentare la sicurezza necessario utilizzare SNMPv3 in quanto i dati vengono trasmessi codificati SNMPv1 Per controllare i diritti di accesso nell SNMO Agent l unit Security utilizza i seguenti valori standard per le stringhe Community Per l accesso in lettura public Per l accesso in lettura e in scrittura private
117. T Destination NAT pu inoltre essere eseguita nelle seguenti direzioni Da esterno a tunnel Da interno a tunnel e DaDMZa tunnel solo con l interfaccia DMZ attivata Per la direzione Da interno a esterno vale ad esempio Durante l accesso da interno a esterno viene eseguita l azione Source NAT Durante l accesso da esterno a interno viene eseguita l azione Destination NAT La seguente tabella indica lo schema di inserimento per l azione Source NAT Destination NAT Casella Indirizzo IP sorgente Inserimento possibile Indirizzo IP nella rete sorgente Area di indirizzi IP nella rete della sorgen te Conversione sorgente Indirizzo IP nella rete di destinazione Indirizzo IP di destina zione Irrilevante per questa azione Conversione destina zione Irrilevante per questa azione Significato La progettazione viene sempre indicata nella direzio ne Source NAT Gli indirizzi IP della direzione Desti nation NAT vengono quindi inseriti automaticamente da SCT N Il numero progressivo assegnato da SCT che viene utilizzato per il riferimento alla regola firewall che viene generata da SCT per le regole NAT Azione Double NAT L azione Double NAT per le unit SCALANCE S pu essere eseguita nelle seguenti direzioni Da interno a esterno Da esterno a interno Se attivata l interfaccia DMZ dell unit Security solo SCALANCE S623 5S627 2M l azione Doubl
118. TNET Security Client compare il simbolo per il SOFTNET Security Client nella barra delle applicazioni di Windows aj All Programs e Siemens Automation dk SIMATIC i Security EA Security Configuration Tool BE SOFTNET Security Client ATTENZIONE Incompatibilit con altri software client VPN Se nel PC oltre al SOFTNET Security Client installato un altro software client VPN con il SOFTNET Security Client non pu eventualmente pi essere realizzato nessun tunnel VPN Per questo motivo disinstallare dapprima questo software client VPN prima di utilizzare il client SOFTNET Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 SOFTNET Security Client 8 3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool Configurazione del SOFTNET Security Client Una volta attivate le funzioni pi importanti funzionano in background nel proprio PG PC La progettazione del SOFTNET Security Client viene eseguita nel modo seguente e Esportare una configurazione Security dallo strumento di progettazione Security Configuration Tool e Importare la configurazione Security nella propria superficie operativa come descritto nel sotto capitolo successivo Comportamento all avvio Il caricamento delle regole di sicurezze pu durante un certo periodo In questo tempo la CPU del PG PC viene occupata fino al 100
119. Vengono generati i seguenti tipi di file e File di esportazione con dati di configurazione Tipo di file File txt in formato ASCII Contiene le informazioni di configurazione esportate per SCALANCE M compresa un informazione su ulteriori certificati generati File di esportazione per unit SCALANCE M875 7 Konfiguration 1 Baugruppel bt Editor ESS ER Datei Bearbeiten Format Ansicht 2 SCALANCE M875 MD741 1 Configuration of SCALANCE M875 MD741 1 Baugruppel Baugruppel in connection with Baugruppe2 m IPSec VPN gt Certificates Upload Remote Site Certificate konfiguration 1 Gruppel Baugruppe2 cer Upload PKCS12 File p12 Konfiguration 1 U701515CF GE1C4 Baugruppel p12 IPSec VPN gt Connections gt VPN Standard Mode Edit Settings Address of the remote site s VPN gateway 192 168 10 2 Authentication method x 509 Remote Certificate Remote Certificate Konfiguration 1 Gruppel Baugruppe2 cer Remote ID UA65D89FF GE1C4 Local ID U701515CF GElC4 Remote net address 192 168 8 0 Remote subnet mask 255 255 255 0 Local net address 192 168 9 0 Local subnet mask 255 255 255 0 IPSec VPN gt Connections Edit IKE Phase 1 ISAKMP SA ISAKMP SA encryption 3DES 168 ISAKMP SA hash SHA 1 ISAKMP SA mode Main mode ISAKMP SA lifetime 86400 Phase 2 IPSec SA IPSec SA cicyerlone 3DES 168 IPSec SA hash IPSec SA lifetime 8640 Perfect Forward Secrecy NEES No DH PFS group
120. a Progetto Modifica Inserisci Trasferisci Visualizza Opzioni De E Sa Visualizzazione offline Tuteleunt Bauguore Indirizzo IP est 192 168 10 1 255 2552550 Baugruppe2 5623 V4 192 168 10 2 255 255 255 0 Maschera sotto rete Indirizzo IP int Maschera sotio re Routerst Pronto Utente attuale admin Ruolo attuale administrator Modalit standard Offline Nota Se viene modificato il nome di un unit necessario riconfigurare tutte le unit dei gruppi VPN dei quali fa parte l unit modificata voce di menu Trasferisci gt A tutte le unit Se viene modificato il nome di un gruppo VPN necessario riconfigurare tutte le unit di questo gruppo VPN voce di menu Trasferisci gt A tutte le unit Nota telegrammi layer 2 vengono trasmessi anche via tunnel se tra due unit si trova un router A tal proposito gli indirizzi MAC del partner di comunicazione devono tuttavia essere configurati in modo statico nel Security Configuration Tool ed eventualmente le voci APR statiche devono essere inserite negli apparecchi di comunicazione In generale vale quanto segue i telegrammi non IP vengono trasmessi attraverso il tunnel solo se gli apparecchi che inviano e ricevono telegrammi potevano comunicare gi prima senza l impiego di unit Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 199 Comunicazione protetta nella VPN tram
121. a sotto rete un indirizzo IP router e L indirizzo IP del router viene trasmesso Nei seguenti casi dal protocollo DHCP dell unit Security viene trasmesso ai nodi un indirizzo IP del router Il nodo si trova sull interftaccia DMZ solo SCALANCE S623 5627 2M L unit Security trasmette in questo caso il proprio indirizzo IP come indirizzo IP del router I nodo si trova sull interfaccia interna e l unit Security configurata per il funzionamento router L unit Security trasmette in questo caso il proprio indirizzo IP come indirizzo IP del router I nodo si trova sull interfaccia interna e l unit Security non configurata per il funzionamento router ma nella configurazione dell unit Security indicato un router standard L unit Security trasmette in questo caso l indirizzo IP del router standard come indirizzo IP del router e L indirizzo IP del router non viene trasmesso Nei seguenti casi inserire manualmente l indirizzo IP router nel nodo Il nodo si trova sull interfaccia interna e l unit Security non configurata per il funzionamento router Inoltre nella configurazione dell unit Security non indicato nessun router standard Vedere anche Controlli di coerenza Pagina 61 5 2 2 Configurazione del server DHCP Requisito richiesto La scheda Server DHCP viene visualizzata solo se il progetto si trova in modalit estesa Nota Non possibile una ricommutazione alla modalit
122. a casella di controllo Consenti autenticazione RADIUS a utenti non progettati e la casella di controllo L ID filtro necessario per l autenticazione Risultato Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 TI Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Durante la connessione di un utente alla pagina Web dell unit Security la richiesta di autenticazione e di autorizzazione viene inoltrata al server RADIUS Il server RADIUS esegue una verifica della password e invia il risultato all unit Security Caso a Se inoltre progettato il nome del ruolo sul server RADIUS Il server RADIUS restituisce il nome di ruolo assegnato all utente all unit Security Caso b Se il nome del ruolo non progettato sul server RADIUS L unit Security assegna all utente il ruolo definito dal sistema radius Sela verifica della password stata superata il set di regole IP personalizzato viene attivato Accordi per server RADIUS e server RADIUS possono trovarsi in ciascuna rete collegata all unit Security e Per ciascuna unit Security possono essere progettati al massimo due server RADIUS Durante il funzionamento quindi attivo solo uno dei server RADIUS e Perla definizione di un server RADIUS al posto di un indirizzo IP possibile utilizzare anche un FQDN Nozioni di base e applicazione Security 78 Manuale di progettazione
123. a regola vale esattamente per l indirizzo indicato e pi indirizzi IP La regola vale per tutti gli indirizzi indicati Gli indirizzo vengono indicati separati da un punto e virgola e Banda indirizzo La regola vale per tutti indirizzi IP che si trovano nella banda di indirizzi Una banda di indirizzi viene definita indicando il numero di posizioni di bit valide nell indirizzo IP nella seguente forma Indirizzo IP Numero dei bit da considerare Indirizzo IP 24 significa quindi che vengono considerati nella regola del filtro solo i 24 bit con valore maggiore dell indirizzo IP sono le prime tre posizioni dell indirizzo IP Indirizzo IP 25 significa che vengono considerati nella regola del filtro solo le prime tre posizioni e il bit con valore maggiore della quarta posizione dell indirizzo IP e Campo di indirizzi Per gli indirizzi IP sorgente pu essere indicata un area di indirizzi separata da un trattino Indirizzi IP iniziale Indirizzo IP finale Maggiori informazioni si trovano nel seguente capitolo e Aree dei valori indirizzo IP maschera della sottorete indirizzo dell accoppiamento ad altra rete Pagina 265 Tabella 4 13 Esempi per la banda di indirizzi per indirizzi IP Indirizzo IP sorgente e Banda indirizzo Numero indirizzo IP di destina indirizzi zione da a 192 168 0 0 16 192 168 0 0 192 168 255 255 65 536 192 168 10 0 24 192 168 10 0 192 168 10 255 256 192 168 10 0 25 192 168 10
124. a stazione tramite il SIMATIC Manager o NetPro Nota Nessun multiprogetto STEP 7 in combinazione con Security Per ciascun progetto STEP 7 durante l attivazione di Security viene creata una configurazione Security univoca Per questi motivo i multiprogetti STEP 7 non sono supportati in combinazione con Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 17 Introduzione e nozioni di base 1 2 Introduzione e nozioni di base 1 2 1 3 1 3 1 Introduzione e nozioni di base Le unit SIMATIC NET Security e il SIMATIC NET SOFTNET Security Client rappresentano il concetto di sicurezza SIEMENS mirato a soddisfare le richieste di sicurezza di comunicazione nella tecnica di automazione industriale Nota Software antivirus attuali Si raccomanda di installare sempre un software antivirus attuale su tutti i computer di progettazione Questo capitolo fornisce informazioni generali sulle funzioni di sicurezza degli apparecchi e dei componenti e SCALANCES e CPx43 1 Adv e CP 1628 e SOFTNET Security Client Suggerimento Per poter utilizzare rapidamente le unit Security consultare la documentazione SIMATIC NET Security Getting Started Propriet del prodotto Panoramica delle funzioni Panoramica delle funzioni dei tipi di unit 18 Rilevare dalla seguente tabella le funzioni supportate dalle singole unit Security Nota In questo manuale ven
125. abella avviare dalla riga dei comandi un comandi ping sui nodi mancanti Risultato Il nodo viene appreso dall unit Security e inoltrato al SOFTNET Security Client Se esso non viene appreso necessario configurare i nodi in modo statico nella scheda VPN Osservazione Se la finestra di dialogo non aperta essa si apre automaticamente registrando un nodo Questa funzione pu essere disattivata con Opzioni gt Impostazioni Nota Nodi e sotto reti configurati staticamente Se si configurano in seguito staticamente nodi o sotto reti necessario ricaricare anche la configurazione per un SOFTNET Security Client utilizzato nel gruppo VPN Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 SOFTNET Security Client 8 5 Configurazione e modifica del tunnel 8 Attivare i nodi per i quali non ancora realizzato un collegamento via tunnel A realizzazione del collegamento avvenuta avviare l applicazione che deve realizzare il collegamento di comunicazione con uno dei nodi ad es STEP 7 Nota Se sul PG PC esistono diversi adattatori di rete l SSC seleziona automaticamente l adattatore di rete per la realizzazione di un tunnel Eventualmente esso pu non essere l adattatore di rete desiderato Se non esiste nessun adattatore di rete idoneo al progetto l SSC ne inserire uno automaticamente In questo caso adattare l impostazione all adattatore di rete tramite il menu
126. accessi dall esterno all unit Security sono disabilitati In modalit Standard facendo clic sulla casella di controllo corrispondente abilitare i firewall per le rispettive direzioni Impostazioni firewall dettagliate nella modalit estesa In modalit estesa possibile limitare le regole firewall a singoli nodi vedere il seguente capitolo e Firewall in modalit estesa Pagina 136 Progettazione del firewall con VPN Se l unit Security si trova in un gruppo VPN e in modalit standard attivata la casella di controllo Solo comunicazione via tunnel tramite l interfaccia esterna o l interfaccia DMZ ammasso solo il trasferimento dei dati IPsec codificato Sul modulo porta TCP 443 resta possibile solo l accesso HTTPS senza tunnel Se si disattiva la casella di controllo sono autorizzate la comunicazione via tunnel e anche i tipi di comunicazione selezionati nelle altre caselle di selezione Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 131 Progettazione di firewall 4 2 SCALANCE S in modalit standard Tabella 4 7 Regole firewall disponibili e direzioni traffico IP Servizio Interno gt Esterno gt Interno gt DMZ in Dallin Dall ester Porte abili Significato esterno interno terno no tate DMZ terno Comunica x x x x La comunica zione IP zione IP per le consentita direzioni di comun
127. ale per le classi di evento nelle propriet del unit e definire il metodo di memorizzazione Queste impostazioni Log vengono caricate nell unit con la configurazione e attivate all avvio dell unit Security In caso di necessit nelle funzioni online possibile attivare o disattivare il logging locale per gli eventi del filtro pacchetto e gli eventi di sistema Durante questa operazione le impostazioni nella configurazione del progetto non vengono modificate Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Funzioni online Diagnostica e logging 9 2 Registrazione di eventi logging Visualizzazione dello stato di registrazione Le impostazioni online non vengono memorizzate nella configurazione 9 2 1 Logging locale Impostazioni nella configurazione Con le impostazioni Log nel modo di funzionamento Offline possibile attivare le classi di evento e definire il metodo di memorizzazione Queste impostazioni Log vengono caricate nell unit con la configurazione e attivate all avvio dell unit Security In caso di necessit le impostazioni Log progettate possono essere modificate nelle funzioni online Durante questa operazione le impostazioni nella configurazione del progetto non vengono modificate Impostazioni Log nella modalit standard Le impostazioni Log nella modalit standard corrispondono alle preimpostazioni della modalit estesa Nella modalit standard M
128. alisera anaa rail ili 57 2 4 5 Definizione dei valori di inizializzazione standard per un progetto 61 2 4 6 Gontrolli di coerenza staini eri ili ie nisi iena de in ana lina aaar Tatia 61 2 4 7 Impostazione di nomi simbolici per indirizzi IP MAC 62 2 5 Gestione degli tenti seiret eenaa lia i lilla laici 65 2 5 1 Panoramica della gestione utenti 65 2 5 2 Grea utente sadna lella alia la ialilelalali 67 2 5 3 Greazione d i ruoli alici a Ei 68 2 5 4 Gestione delidirittl 4 a faida sii 70 2 5 5 Progettazione delle direttive password 74 2 5 6 Autenticazione mediante server RADIUS nnn 76 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 9 Indice del contenuto 10 2 5 6 1 Informazioni generali i iuie a IILA aa ai iaaa 76 2 5 6 2 Definizione del server ADIUS iii 79 2 5 6 3 Assegnazione del server RADIUS ad un unit Security 80 2 6 Gestione del certificati rrsatali alora tedio lic niondiaia ua sia 81 2 6 1 Informazioni generali s nila alici eine lalla 81 2 6 2 Rinnovo delicertificati spteaa nta Aaa Alia iaia iaia bestie aa ila tibie banali soli icelibasialo usi 83 2 6 3 Sostituzione di certificati eeni an ee aae nai pae aana roia aiea aa 85 Creazione di unit e impostazione dei parametri di ret
129. alizzati vengono gi consentiti automaticamente Devono essere progettate solo le regole IP per la direzione dell iniziativa Login dell utente tramite Internet 140 L utente pu connettersi all interfaccia esterna o all interfaccia DMZ tramite la pagina Web dell unit Security Se l autenticazione riuscita viene attivato il set di regole IP definito per l utente per l indirizzo IP del dispositivo dal quale riuscita la connessione Il collegamento alla pagina Web dell unit Security avviene tramite HTTPS utilizzando l indirizzo IP della porta collegata osservando le regole routing valide Esempio Interfaccia esterna 192 168 10 1 Richiamo della pagina di login tramite https 192 168 10 1 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Gli utenti possono eseguire il login con ciascun ruolo se l utente o il ruolo sono assegnati ad un set di regole personalizzato Possibilit per l autenticazione dell utente A seconda del metodo di autenticazione selezionato durante la creazione dell utente che esegue il login all unit Security l autenticazione viene eseguita da diverse istanze e Metodi di autenticazione Password L autenticazione viene acquisita dall unit Security e Metodo di autenticazione RADIUS L autenticazione viene acquisita da un server RADIUS Assegnazione di ruoli a set di regole IP per
130. all indi rizzo IP qui indicato N Il numero progressivo assegnato da SCT che viene utilizzato per il riferimento alla regola firewall che viene generata da SCT per la regola NAT Azione Source NAT Masquerading L azione Source NAT pu essere eseguita nella seguente direzione e Da interno a esterno Se attivata l interfaccia DMZ dell unit Security solo SCALANCE S623 5S627 2M l azione Source NAT pu inoltre essere eseguita nelle seguenti direzioni e Da interno a DMZ e Da esterno a DMZ e Da DMZ a esterno Se l unit SCALANCE S si trova in un gruppo VPN non per SCALANCE S602 l azione Source NAT pu inoltre essere eseguita nelle seguenti direzioni e Da interno a tunnel e Daesterno a tunnel e DaDMZa tunnel solo con l interfaccia DMZ attivata Per la direzione Da interno a esterno vale ad esempio Dell indirizzo IP sorgente di un telegramma proveniente dalla rete interna ne viene controllata la corrispondenza con l indirizzo IP indicato nella casella di inserimento Indirizzo IP sorgente In caso di corrispondenza come nuovo indirizzo IP sorgente viene inoltrato nella rete esterna il Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 173 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router telegramma con l indirizzo IP esterno indicato nella casella di inserimento Rilocazione della sorgente Su
131. alori possibili 01 FF Indirizzo IP Maschera della sottorete Indirizzo IP virtuale dell interfaccia esterna o interna della relazione di ridondanza Maschera della sottorete dell interfaccia virtuale esterna o interna della relazione di ridondanza Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 231 Ridondanza router e firewall 7 3 Configurazione delle relazioni di ridondanza Parametro configurabile Significato Commento Commento opzionale ID router virtuale solo per SCALANCE S623 S627 2M a Tramite una ID del router virtuale viene definito l indirizzo partire dal firmware V4 0 1 MAC virtuale di un interfaccia virtuale Per informazioni generali sulla progettazione dei parametri di rete vedere il seguente capitolo Creazione di unit e impostazione dei parametri di rete Pagina 87 Progettazione del firewall La progettazione delle regole del filtro pacchetto IP per le relazioni di ridondanza viene eseguita in base allo stesso schema della progettazione delle regole filtro pacchetto IP per le singole unit Security Sono a disposizione le direzioni di comunicazione Dall esterno all interno e Dall interno all esterno Per informazioni generali sulla progettazione delle regole filtro pacchetto IP in modalit estesa vedere il seguente capitolo Regole del filtro pacchetto IP Pagina 147 Progettazione della conversione di indirizzi con NAT N
132. amico di sull interfaccia gialla sull interfaccia rossa modalit bridge x Modalit Routing x x x Modalit Ghost x 3 Server DHCP x gt Punto terminale di un x x collegamento via tunnel VPN con modem DSL e router DSL Client MRP HRP in x x modalit routing porte dell anello sui moduli mediali Nozioni di base e applicazione Security 94 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Funzionamento Verde interna Rossa esterna Gialla DMZ LLDP in modalit Rou x x X ting S2V4 0 Listening passivo in x x modalit Routing se sono inseriti moduli mediali x supportato non supportato Metodo Duplex Per una porta pu essere selezionato uno dei due metodi Duplex e Halfduplex L unit Security pu o ricevere o inviare dati e Fullduplex L unit Security pu o ricevere e inviare dati simultaneamente Nota Metodo duplex e velocit di trasmissione con porte ottiche Per le porte con il tipo di porta Ottica la modalit della porta definita in modo fisso dal modulo mediale utilizzato o dall SFP utilizzato e non pu essere adattata Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 95 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce 3 2 2 Int
133. amite l interfaccia esterna non pu passare nessuna comunicazione sul tunnel e che ammesso solo il trasferimenti dei dati IPsec codificato La regola firewall Drop gt Any gt Esterno viene creata automaticamente Se si disattiva la casella di controllo sono autorizzate la comunicazione via tunnel e anche i tipi di comunicazione selezionati nelle altre caselle di selezione Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 115 Progettazione di firewall 4 1 CP in modalit standard 4 1 1 4 1 1 1 CP x43 1 Adv Preimpostazione del firewall Comportamento con preimpostazione seguenti diagrammi illustrano dettagliatamente le impostazioni standard rispettivamente per il filtro pacchetto IP e il filtro pacchetto MAC se la casella di controllo Attiva firewall attivata e anche in modalit estesa non esiste nessuna regola Il comportamento pu essere modificato creando regole firewall corrispondenti in modalit estesa Impostazione standard per CP x43 1 Adv Nodi interni O 1 II A Figura 4 1 116 CP x43 1 Adv Nodi esterni Unit Security esterna W EHE EHHH TumellPsec W A I M MN AE E EHEHEHEH Firewall Impostazione standard per filtro pacchetto IP CP x43 1 Adv Tutti i tipi di telegramma dall interno all esterno sono bloccati Tutti i telegrammi dall int
134. ammi Ethernet Non IP secondo IEEE 802 3 layer 2 Limitazione della larghezza di banda Setdiregole firewall globali Tutti i nodi di rete che si trovano in un segmento di rete interno di un CP x43 1 Adv sono protetti da questo Firewall Comunicazione protetta con IPsec Tunnel Il CP x43 1 Adv pu essere unito in un gruppo con altre unit Security tramite progettazione Tra tutte le unit Security di un gruppo VPN vengono realizzati IPsec Tunnel VPN Tutti i nodi interni di queste unit Security possono comunicare tra loro in modo sicuro tramite questo tunnel Logging Per la trasmissione possibile salvare gli eventi in file Log che possono essere letti con lo strumento di progettazione o inviati automaticamente ad un Syslog Server HTTPS Per la trasmissione codificata di pagine Web ad es durante il controllo del processo FTPS Per la trasmissione codificata di file NTP protetto Per la sincronizzazione e la trasmissione sicura dell ora SNMPv3 Per la trasmissione continua sicura delle informazioni di analisi della rete Protezione per apparecchi e segmenti di rete La funzione di protezione Firewall e VPN pu estendersi dal funzionamento di singoli apparecchi pi apparecchi fino a interi segmenti di rete Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Introduzione e nozioni di base 1 9 Impiego di CP 343 1 Advanced e CP 443 1 Advanced Nodi di rete
135. anche la seguente descrizione del procedimento Panoramica del tunnel Finestra di dialogo per la configurazione e la modifica nonch la diagnostica dello stato del tunnel Con questa finestra di dialogo si esegue la configurazione vera e propria del SOFTNET Security Client Viene visualizzato un elenco dei tunnel protetti con gli indirizzi IP delle unit Security Dalle icone di ciascuna voce dell elenco possibile rilevare lo stato del tunnel delle rispettive unit Security Dal menu di scelta rapida possibile attivare disattivare testare i tunnel nonch cancellare la voce dall elenco Se sul proprio PG PC esistono diversi adattatori di rete il SOFTNET Security Client ne seleziona automaticamente uno con il quale viene eseguito un tentativo di realizzazione del tunnel Se eventualmente il SOFTNET Security Client non trova un adattatore adatto al proprio nodo ne inserisce uno qualsiasi In questo caso necessario adattare manualmen te l impostazione tramite la finestra di dialogo Adattatore di rete Questa finestra di dialogo si richiama nel menu contestuale dei nodi e delle unit Security tramite la voce Seleziona collegamento di rete Disable Tutti i tunnel protetti vengono disattivati Minimize La superficie operativa del SOFTNET Security Client viene chiusa Il simbolo per il SOFTNET Security Client rimane visualizzato nella barra delle applicazioni di Windows Quit Il SOFTNET Security
136. anda Regole firewall globali e Comunicazione protetta con IPsec Tunnel II CP 1628 pu essere unito in un gruppo con altre unit Security tramite progettazione Tra tutte le unit Security di un gruppo VPN vengono realizzati IPsec Tunnel VPN Virtual Private Network e Logging Per la trasmissione possibile salvare gli eventi in file Log che possono essere letti con lo strumento di progettazione o inviati automaticamente ad un Syslog Server e NTP protetto Per la sincronizzazione e la trasmissione sicura dell ora e SNMPv3 Per la trasmissione continua sicura delle informazioni di analisi della rete Informazioni relative alle funzioni generali del CP 1628 Nel presente manuale si trovano informazioni relative alle funzioni Security del CP 1628 Per le descrizioni relative alle funzioni generali vedere e 11 Pagina 273 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 39 Introduzione e nozioni di base 1 11 Progettazione e amministrazione 1 11 Progettazione e amministrazione Riassunto dei punti pi importanti 40 L interazione con lo strumento di progettazione Security Configuration Tool consente un impiego semplice e sicuro delle unit Security Progettazione senza nozioni esperti IT con il Security Configuration Tool Con il Security Configuration Tool anche non esperti IT possono progettare un unit Security In modalit estesa in caso di necessit
137. ante la crea zione dell account Password nel provider Inserire la password definita durante la creazio ne dell account FQDN Inserire il nome host ad es mysecuritydevice e il nome di dominio ad es dyndns org regi strato dal provider separato da un punto Se anche nella scheda VPN inserito un FQDN entrambi devono corrispondere Sorveglianza del cambio di indirizzo IP sul router DSL Se l unit Security collegata ad Internet trami te un router DSL attivando la funzione viene attivato il servizio IP di controllo L unit Securi ty invia periodicamente richieste per determina re l indirizzo IP attuale del router DSL e per rilevare un cambio di indirizzo IP sul router DSL L indirizzo IP cos determinato viene invia to al provider ad ogni riconoscimento di modifi ca Periodo Inserire il ciclo nel quale viene richiamato il servizio IP di controllo Valori consentiti 10 1440 minuti 4 Creare un provider alternativo nel caso non funzionasse il provider primario nella scheda Servizio DNS din secondario impostazione opzionale Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 103 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Configurazione del provider personalizzato Procedimento Selezionare dalla casella di riepilogo Provider la voce Personalizzato ed eseguire inolt
138. anuale di progettazione 12 2014 C79000 G8972 C286 04 59 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti Funzione scheda nella finestra di dialogo delle propriet disponibile nella modalit Standard estesa VPN X X Se l unit Security si trova in un gruppo VPN qui possibile configurare la Dead Peer Detection il tipo di realizzazione del collegamento ed eventualmente un punto di accesso WAN indi rizzo IP o FQDN In base all unit Security eseguire nel campo della finestra di dialogo le impostazioni relative alle sotto reti ai nodi IP MAC e ai nodi NDIS alle quali possibile accedere anche tramite i tunnel VPN Per SCALANCE S L apprendimento di nodi interni pu essere attivato o disattivato Il campo della finestra di dialogo Nodi VPN viene visualizzata solo se il progetto si trova in modalit estesa Server DHCP X Per la rete interna e per la rete DMZ solo SCALANCE S623 S627 2M possibile utilizzare l unit Security come ser ver DHCP SNMP X X Impostare in questa scheda la versione di protocollo SNMP e il metodo di autenticazione codifica Proxy ARP X Impostare in questa scheda le voci statiche per Proxy ARP sull interfaccia esterna MRP HRP X X Impostare in questa scheda i parametri per il collegamento dell unit Security agli anelli MRP HRP RADIUS X X Assegnare all unit Security in questa scheda un server RADIUS c
139. arametri per impostazioni avanzate fase 1 Phase 1 Negoziazione IKE della Security Association SA per fase 2 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 207 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa Impostare qui i parametri per la negoziazione dei parametri di sicurezza che vengono utilizzati nella fase 2 Parametri Descrizione Modalit IKE e Modalit Main e Modalit Aggressive La differenza tra Main Mode e Aggressive Mode la identity protection che viene utilizzata nel Main Mode L identit viene trasmessa codificata nel Main Mode mentre nell Aggressive Mode non viene trasmessa Fase 1 gruppo DH Gruppi selezionabili per lo scambio di chiave Diffie Hellman e Group1 e Group2 e Group 5 e Group 14 Tipo di durata SA Phase 1 Security Association SA e Time Limitazione del tempo in minuti La durata utile per il materiale attuale codificato viene limitata a tempo Allo scadere del tempo il materiale codificato viene di nuovo concordato Durata SA Valore numerico Campo di valori per time 1440 2500000 minuti standard 2500000 Fase 1 codifica Algoritmo di codifica e DES Data Encryption Standard lunghezza codice 56 bit modalit CBC e 3DES 168 DES triplo lunghezza codice 168 bit modalit CBC e AES 128 192 256 Advanced Encryption Standard lunghezza codice 128 1
140. ateway ad es router DSL Configurazione di nodi VPN ES Nell area della finestra di dialogo Nodi VPN abilitare le sottoreti o i nodi per la comunicazione via tunnel VPN I nodi o le sottoreti che devono essere abilitati e come devono essere abilitati per la comunicazione via tunnel VPN sono descritti nei seguenti capitoli Configurazione di ulteriori nodi e sottoreti per il tunnel VPN Pagina 224 Configurazione di nodi di rete interni Pagina 224 6 5 4 Progettazione delle propriet VPN specifiche per il collegamento Significato Mentre le propriet VPN specifiche per l unit sono state progettate in modo specifico per un unit le propriet VPN specifiche per il collegamento si riferiscono ai collegamenti VPN di un unit Se un unit realizza diversi collegamenti via tunnel con altre unit Security possibile configurare quali collegamenti vengono inizializzati o meno dall unit Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 215 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa Requisiti richiesti e L unit un nodo di un gruppo VPN A questa funzione si accede nel modo seguente 1 Selezionare nell area di navigazione il gruppo VPN al quale appartiene l unit da modificare 2 Selezionare nell area del contenuto l unit della quale si vogliono progettare le propriet Nella finestra dei dettagli
141. azione 12 2014 C79000 G8972 C286 04 67 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Tabella 2 1 Pulsante nella scheda Utenti Denominazione Modifica Aggiungi Significato Effetto Selezionare una voce e fare clic sul pulsante Nella finestra di dialogo evidenziata si modificano le impostazioni riportate sopra Aggiungere un nuovo utente con il pulsante Del Cancellare la voce selezionata con il pulsante Avvertenza Nel progetto deve sempre essere presente almeno un utente con il ruolo Amministratore L amministratore creato automaticamente du rante la realizzazione del progetto pu essere cancellato solo se esiste almeno un altro utente con diritti di progettazione completi 2 5 3 Creazione dei ruoli Quali ruoli esistono Ad un utente pu essere assegnato un ruolo definito dal sistema o dall utente diritti dell unit di un ruolo ruoli definito dall utente si definisce per ogni unit Security Ruoli definiti dal sistema Sono predefiniti i seguenti ruoli definiti dal sistema Ai ruoli sono assegnati determinati diritti uguali su tutte le unit e che non possono essere modificati o cancellati dall amministratore Gestione dei diritti Pagina 70 e administrator Ruolo standard per la creazione di un nuovo progetto SCT Diritti di accesso illimitati ai tutti i dati di configurazione e standard Ruolo con diritti di accesso limitati e diagnosti
142. azione alla rete esterna Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 149 Progettazione di firewall 4 3 Firewall in modalit estesa Tabella 4 12 Direzioni SCALANCE S Da Possibilit di selezione campi dei valori A S602 Unit Security S61x S623 S627 2M Interno Esterno x x Tunnel Any x x DMZ Interno Esterno Interno x x Any Tunnel DMZ Tunnel Any Interno Esterno DMZ Interno Esterno DMZ DMZ Interno Esterno Any Tunnel X X X x X X X X X X X x X X x x X X Sequenza per l analisi delle regole con l unit Security 150 Le regole del pacchetto filtro vengono analizzate nel modo seguente e L elenco viene analizzato dall alto verso il basso in caso di regole contradditorie ad es voci con le stesse indicazioni di direzione ma con diverse azioni vale quindi sempre la voce che si trova pi in alto Nelle regole per la comunicazione tra rete interna rete esterna e rete DMZ vale tutti i elegrammi eccetto i telegrammi autorizzati in modo esplicito nell elenco sono disabilitati tel tto i tel t t d licit Il el disabilitat Nelle regole per la comunicazione in direzione di ingresso e di uscita tunnel IPsec vale tutti i telegrammi eccetto i telegrammi disabilitati in modo esplicito nel
143. azioni generali Significato Grazie alla ridondanza router e firewall possibile compensare in modo automatizzato i guasti delle unit Security SCALANCE S623 a partire da V4 e SCALANCE S627 2M a partire da V4 durante il funzionamento Raggruppare quindi due unit Security del tipo SCALANCE S623 o SCALANCE S627 2M in una relazione di ridondanza e determinare quale deve essere l unit Security attiva della relazione di ridondanza nel funzionamento normale Se l unit Security attiva si guasta l unit Security passiva assume automaticamente la sua funzione di firewall e router NAT NAPT Per garantire una configurazione identica di entrambe le unit Security esse vengono collegate tra loro tramite le rispettive interfacce DMZ e la relativa configurazione viene sincronizzata durante il funzionamento In questo caso le interfacce DMZ delle unit Security coinvolte non possono essere utilizzate per altri scopi Ridondanza di indirizzi Oltre ai relativi indirizzi IP dell unit le due unit Security sull interfaccia esterna e sull interfaccia interna si ripartiscono rispettivamente un indirizzo IP comune in modo che in caso di guasto di una unit Security non siano necessarie modifiche di indirizzi IP Per questo motivo per l interfaccia esterna e per l interfaccia interna della relazione di ridondanza necessario progettare un indirizzo IP Progettazione di relazioni di ridondanza e unit Security collegate Dopo aver collegato le unit
144. bella 9 1 Funzioni e logging nella diagnostica online Funzione scheda nella finestra di dialogo online Funzioni di sistema e di stato Significato Status Visualizzazione dello stato dei dispositivi nell unit Security selezionata nel progetto SIO7AMIS Date and time Impostazione di data e ora S2V3 0 S2V3 0 Impostazioni dell interfac cia DNS dinamico Panoramica delle impostazioni delle singole interfacce Panoramica delle impostazioni per il DNS dinamico S2V3 0 Tabella ARP Visualizzazione della tabella ARP dell unit Security SPAVA Utenti connessi Visualizzazione degli utenti che sono connessi alla pagina Internet per i set di regole IP specifici per l utente Stato della comunicazione Visualizzazione dello stato di comunicazione e dei nodi siena interni delle unit Security che si trovano nello stesso grup po VPN dell unit Security selezionata Nodi interni Visualizzazione dei nodi interni dell unit Security bg y Regole firewall aggiornate dinamicamente Visualizzazione degli indirizzi IP abilitati dinamicamente tramite HTTP o HTTPS oppure caricati successivamente da un utente Un aggiornamento degli indirizzi IP in questa scheda pu essere eseguito con i seguenti eventi e Estensione aggiornamento dell elenco IP Access Con trol e Aggiornamento delle regole firewall e Estensioni dinamiche inserite dal CP durante l esecu zione a
145. ccia esterna e sull interfaccia DMZ ISP duale Significato dell indirizzo IP tunnel Era Se si utilizza la funzione NAT NAPT con tunnel VPN necessario assegnare un indirizzo IP tunnel per l unit Security In questo modo viene assicurata la raggiungibilit dell unit Security tramite il tunnel VPN e garantita una possibilit di configurazione e di diagnostica All indirizzo IP tunnel progettato possono essere aggiunti indirizzi IP tunnel Alias utilizzando regole NAT NAPT corrispondenti La maschera della sottorete definita in modo fisso a 32 bit per l indirizzo IP tunnel e non pu essere modificato L indirizzo IP tunnel pu essere progettato solo se vengono soddisfatti i seguenti requisiti e L unit Security si trova in un gruppo VPN e progetto si trova in modalit estesa Ulteriori informazioni sulla conversione di indirizzi con NAT NAPT in tunnel VPN si trovano nel seguente capitolo Conversione di indirizzi con tunnel NAT NAPT nei tunnel VPN Pagina 178 Point to Point Protocol over Ethernet PPPoE Per consentire una connessione a Internet WAN direttamente tramite un modem DSL l assegnazione dell indirizzo IP sull interfaccia esterna o sull interfaccia DMZ avviene tramite PPPoE PPPoE un protocollo di accesso remoto per rilevare indirizzi IP da un Internet Service Provider ISP SCALANCE S in quindi utilizzato in modalit routing Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C7
146. cellati Il logging pu essere attivato e i servizi possono essere assegnati Inoltre possibile inserire una larghezza di banda e un commento e Cambio di azione Se in SCT si cambia l azione da Allow a Drop e viceversa queste impostazioni possono essere sovrascritte di nuovo in caso di un nuovo livellamento del sistema Se le modifiche eseguite devono essere mantenute selezionare come azione Allow o Drop In questo caso viene livellato solo l indirizzo IP indirizzo MAC con STEP 7 l azione e la direzione vengono mantenute come impostate Le impostazioni relative al logging al servizio alla larghezza di banda e al commento vengono mantenute anche in caso di un nuovo livellamento del sistema anche senza modifica dell azione in Allow Se in STEP 7 non esiste il collegamento corrispondente la regola viene x Drop cancellata dall elenco xi o Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Unit Security nel gruppo VPN Come standard la casella di controllo Solo comunicazione via tunnel viene attivata Disattivando la casella di controllo possibile creare oltre alla comunicazione tra i partner del tunnel la comunicazione con nodi di rete non provvisti di tunnel e La comunicazione si svolge fuori dal tunnel se l indirizzo partner fa parte di una stazione conosciuta nell SCT con la quale non
147. ciations SA viene terminate prima dalla fase 2 Con il DPD disattivato la SA viene chiusa solo dopo che trascorsa la durata SA Per l impostazione della durata SA vedere il seguente capitolo Progettazione delle propriet del gruppo VPN Pagina 206 Autorizzazione per l inizializzazione della realizzazione del collegamento L autorizzazione per l inizializzazione di realizzazione del collegamento VPN pu essere limitata a determinate unit nella VPN Per l impostazione del parametro descritto indicativa l assegnazione dell indirizzo per il Gateway dell unit da progettare Con un indirizzo IP statico l unit pu essere trovata dal punto opposto Con un indirizzo IP dinamico e quindi sempre diverso il punto opposto non pu realizzare un collegamento Modalit Significato Avvio del collegamento senza punto Con questa opzione l unit attiva cio tenta di realiz opposto Initiator Responder standard zare un collegamento con un punto opposto inoltre possibile anche l accettazione di richieste per la realizza zione del collegamento VPN Questa opzione si raccomanda se all unit da progettare di ISP viene assegnato un indirizzo IP dinamico L indirizzamento del punto opposto viene eseguito tramite il relativo indirizzo IP WAN progettato il relativo indirizzo IP unit esterno o l FQDN progettato Attesa del punto opposto Responder Con questa opzione l unit passiva cio si attende fino all i
148. comunicazione con le sottoreti Tipo di funzionamento della modalit di programmazione Ricerca automatica dei nodi per la comunicazione via tunnel con SCALANCE S modalit Bridge Requisiti richiesti 226 Un grande vantaggio per la comunicazione e il funzionamento della comunicazione via tunnel consiste nel fatto che le unit SCALANCE S possono trovare autonomamente i nodi nelle reti interne In questo modo non necessario configurare manualmente i nodi di rete interni che devono partecipare alla comunicazione via tunnel I nuovi nodi vengono riconosciuti dall unit SCALANCE S durante il funzionamento nodi riconosciuti vengono segnalati alle unit SCALANCE S appartenenti allo stesso gruppo In questo modo lo scambio dei dati all interno di un tunnel di un gruppo VPN viene garantito in qualsiasi momento in entrambe le direzioni Vengono riconosciuti i seguenti nodi e Nodi di rete con funzione IP I nodi di rete con funzione IP vengono trovati viene trasmessa una risposta ICMP al ICMP Subnet Broadcast I nodi IP a valle dei router possono essere trovati se il router inoltra ICMP Broadcast e Nodi di rete ISO Anche i nodi di rete che non hanno funzione IP ma che sono interrogabili tramite protocolli ISO possono essere programmati Il presupposto che essi rispondano a telegrammi XID o TEST TEST e XID Exchange Identification sono protocolli ausiliari per lo scambio di informazioni sul livello layer 2 Inviando questi t
149. contestuale dei nodi e delle unit Security nella finestra di dialogo Panoramica dei tunnel Significato dei parametri Tabella 8 1 Parametri nella finestra di dialogo Tunnel Overview Parametri Significato Campo dei valori Status Il significato delle indicazioni di stato sono riportate nella seguente tabella Name Nome dell unit o del nodo rilevato dalla configurazione dell SCT IP int nodo sotto rete Se esistono nodi interni sotto reti interne viene visualizzato l indi rizzo IP del nodo interno o dell ID rete della sotto rete interna IP punto terminale del tunnel Indirizzo IP dell unit Security assegnata Tunnel tramite Se il PC viene utilizzato con diverse schede di rete viene visualiz zato l indirizzo IP assegnato con il quale viene realizzato il tunnel VPN Tabella 8 2 Indicatori di stato lcona x Significato Non esiste nessun collegamento con l unit Security o il nodo gt Esistono altri nodi che non vengono visualizzati Fare doppio clic sull icona per visualizza re altri nodi Il tunnel al nodo disattivato Nel sistema non configurata nessuna direttiva di sicurezza IP La comunicazione con questo nodo non codificata Il tunnel al nodo attivato Nel sistema configurata una direttiva di sicurezza IP La co municazione codificata e quindi protetta con questo nodo Il tunnel all unit SCALANCE S disattivato Nel sistema non configurata
150. cs Ruolo standard per la creazione di un nuovo utente Accesso solo in lettura e remote access Nessun diritto tranne connessione alla pagina Web per set di regole IP personalizzate 68 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti e radius Ruolo che pu essere utilizzato per l attivazione di set di regole IP personalizzate Accesso solo in lettura e administrator radius Ruolo che pu essere utilizzato per l attivazione di set di regole IP personalizzate Diritti d accesso ai dati di configurazione tranne ai MIB SNMP Nota Ulteriori informazioni relative ai set di regole IP personalizzate si trovano nel seguente capitolo Set di regole IP specifiche per l utente Pagina 140 Nota Ulteriori informazioni relative all autenticazione tramite server RADIUS si trovano nel seguente capitolo Autenticazione mediante server RADIUS Pagina 76 Ruolo definito dall utente Oltre ai ruoli definiti dal sistema possono essere creati ruoli definiti dall utente Per un ruolo definito dall utente selezionare i diritti di progettazione e dell unit e definire i diritti corrispondenti per ciascuna unit Security utilizzata nel progetto Assegnare manualmente i ruoli definiti dall utente all utente corrispondente A questa funzione si accede nel modo seguente Voce di menu SCT Opzioni gt
151. ct Funzioni per le impostazioni specifiche del progetto nonch caricamento e salvataggio dei file del proget to SD Nuovo Crea un nuovo progetto nta Per CP progetti vengono creati con la progettazione STEP 7 Apri Apre un progetto esistente n Per CP I progetti esistenti possono essere aperti solo tramite i progetti STEP 7 Salva Salva il progetto aperto nel percorso attuale con il Ctrl S nome del progetto SD Salva con nome Salva il progetto aperto nel percorso selezionabile con il nome del progetto Per CP Il progetto parte del progetto STEP 7 II percorso non pu essere modificato Propriet Si apre la finestra di dialogo delle propriet del pro getto SD Progetti aperti per ultimi Possibilit di selezione diretta dei progetti elaborati finora Per CP I progetti esistenti possono essere aperti solo tramite STEP 7 Exit Chiudi progetto Edit Voci di menu solo in modalit offline Avvertenza Nel progetto attivato le funzioni possono essere sele zionate in parte anche tramite il menu contestuale Copy Copia l oggetto selezionato Ctrl C AZ 3 i Paste Riprende e inserisce l oggetto dalla memoria inter Ctrl V media Del Cancella l oggetto selezionato Canc Rename Rinomina l oggetto selezionato F2 Nuovo certificato Creazione di un nuovo certificato del gruppo per l unit selezionata nell area del contenuto dopo la selezione del rispettivo gruppo VPN Sostituisci unit
152. curity durante l esecuzione A seconda della direzione selezionata non possibile eseguire inserimenti nella colonna Indirizzo IP sorgente in caso di direzione Dall interno verso l ester no o nella colonna Indirizzo IP di destinazioneZ in caso di direzione Dall esterno verso l interno AI suo posto viene inserito automaticamente l indirizzo IP nella regola firewall attraverso lo SCALANCE S stesso Nozioni di base e applicazione Security Manuale di progettazion e 12 2014 C79000 G8972 C286 04 147 Progettazione di firewall 4 3 Firewall in modalit estesa Denominazione Service Significato Commento Nome del servizio IP ICMP o del gruppo di servizi utilizzato Grazie alle definizioni del servizio possono essere definite le regole filtro pacchetto Qui si seleziona un servizio definito nella finestra di dialogo dei servizi IP e Servizi IP e Servizi ICMP e Gruppo di servizi con servizi IP e o ICMP contenuti Se non si ancora definito un servi zio o se non si intende definire altri servizi azionare il pulsante Servizi IP nella scheda Regole IP o Servizi MAC nella scheda Rego le MAC Possibilit di selezione campi dei valori La casella di riepilogo a discesa offre per la selezione i servizi progettati e i gruppi dei servizi Nessuna indicazione significa non viene controllato nes sun servizio la regola vale per tutti i servizi Avvertenza Per visualizzar
153. d es PROFINET IO Device Poich in questa scheda vengono visualizzate solo le rego le firmware dinamiche aggiornate nella visione completa dello stato attuale del firmware dell unit devono essere incluse anche le regole firewall progettate offline S602 2V3 1 Modalit Ghost Finestra di dialogo per la modalit Ghost di SCALANCE S602 con informazioni relative all indirizzo IP del nodo in terno identico all indirizzo IP esterno dell unit Security e al cambio di indirizzo IP sul nodo interno S2V4 0 Blacklist IP Visualizzazione degli indirizzi IP che sono stati inseriti nella Blacklist del firewall Funzioni di logging Manuale di progettazione 12 2014 C79000 G8972 C286 04 253 Funzioni online Diagnostica e logging 9 1 Panoramica delle funzioni della finestra di dialogo online Funzione scheda nella finestra di Significato dialogo online System Log Visualizzazione degli eventi di sistema logging nonch avvio e arresto della visualizzazione Audit Log Visualizzazione degli eventi di sicurezza logging nonch avvio e arresto della visualizzazione Log filtro pacchetto Visualizzazione dei pacchetti di dati logging nonch avvio e arresto della visualizzazione ef F1 Informazioni pi dettagliate sulle possibilit di impostazione nelle singole schede si trovano nella guida in linea Requisiti per l accesso Per poter utilizzare le funzione online su un un
154. dalit Bridge Un CP un SSC e un NCP client VPN Android pu essere aggiunto ad un gruppo VPN con uno SCALANCE S in modalit Bridge o Routing e Per CP SSC NCP client VPN Android Se un CP SSC NCP client VPN Android il primo in un gruppo VPN le unit possono essere aggiunte in una modalit qualsiasi tranne un unit SCALANCE S o SCALANCE M A partire da questo momento valgono le regole per unit SCALANCE S e SCALANCE M vedere sopra e Non possibile aggiungere un unit SCALANCE M ad un gruppo VPN che contiene un unit SCALANCE S in modalit Bridge Rilevare dalla seguente tabella quali unit possono essere inclusi in un gruppo VPN Tabella 6 1 Regole per la formazione di gruppi VPN Unit Pu essere acquisita nel gruppo VPN con le seguenti unit contenute SCALANCE S in SCALANCE S in CP SSC modalit Bridge modalit Routing SCALANCE M dispositivo VPN NCP client VPN Android SCALANCE S in modalit Bridge x x SCALANCE S in modalit Routing x x CP x43 1 Adv x x x CP 1628 x x x SOFTNET Security Client 2005 x SOFTNET Security Client 2008 x SOFTNET Security Client V3 0 x x x Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 201 Comunicazione protetta nella VPN tramite tunnel IPsec 6 3 Gruppi VPN Unit Pu essere acquisita nel gruppo VPN con le seguenti unit contenute SCAL
155. dei parametri di rete 3 2 Configurazione delle interfacce Nozioni di base e applicazione Security 112 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall Significato Regole firewall La funzionalit firewall delle unit Security ha il compito di proteggere le reti e le stazioni da influenze esterne e disturbi Ci significa che determinate relazioni di comunicazione precedentemente definite vengono consentite telegrammi non autorizzati che non inviano una risposta vengono respinti dal firewall Per filtrare il traffico dei dati inoltre possibile utilizzare indirizzi IP sotto reti IP numeri di porte o indirizzi MAC La funzionalit firewall pu essere configurata per i seguenti livelli di protocollo e IP Firewall con Stateful Packet Inspection layer 3 e 4 e Firewall anche per telegrammi Ethernet Non IP secondo IEEE 802 3 layer 2 sb Il firewall pu essere utilizzato per il traffico di dati codificato tunnel IPsec e il traffico di dati non codificato Le regole firewall descrivono in quali pacchetti sono consentiti o vietati in quale direzione Le regole IP hanno effetto su tutti i pacchetti IP del livello 3 Le regole MAC hanno effetto solo su frame al di sotto del livello 3 Regole firewall automatiche per collegamenti STEP 7 Per i collegamenti progettati in STEP 7 in SCT vengono create automaticamente regole firewall che abilitano il partner di comunicazione In questa fase v
156. dei valori per indirizzo dell accoppiamento ad altra rete L indirizzo composto da 4 numeri decimali dell area di valori compresa tra 0 e 255 separati tra loro da un punto ad es 141 80 0 1 Relazione indirizzo IP e indirizzo dell accoppiamento ad altra rete L indirizzo IP e l indirizzo dell accoppiamento ad altra rete devono essere diversi solo nelle posizioni nelle quali riportato 0 nella maschera della sotto rete Esempio stato inserito per la maschera della sotto rete 255 255 255 0 per l indirizzo IP 141 30 0 5 e per l indirizzo dell accoppiamento ad altra rete 141 30 128 254 L indirizzo IP e l indirizzo dell accoppiamento ad altra rete possono presentare un valore diverso solo nel 4 numero decimale Nell esempio tuttavia gi diversa la terza posizione Nell esempio deve quindi essere modificato in alternativa la maschera della sotto rete a 255 255 0 0 o l indirizzo IP a 141 30 128 50 l indirizzo dell accoppiamento ad altra rete a 141 30 0 254 A 3 MAC adress Avvertenza relativa alla struttura dell indirizzo MAC Gli indirizzi MAC sono indirizzi hardware per l identificazione di nodi di rete Un indirizzo MAC costituito da sei byte che vengono annotati in modo esadecimale separati da trattini Nozioni di base e applicazione Security 266 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Appendice A 3 MAC adress L indirizzo MAC composto da una parte fissa e una parte variabile La parte fi
157. del tipo SCALANCE S623 o SCALANCE S627 2M il guasto di un unit Security pu essere compensato con la ridondanza router e firewall In questo caso le due unit Security vengono utilizzate in modalit routing e collegate rispettivamente ad una rete esterna ed interna nella quale gi attiva un unit Security Se l unit Security attiva si guasta l unit Security passiva assume la sua funzione come router o firewall Per garantire un comportamento funzionalmente identico di entrambe le unit Security queste ultime vengono collegate tra loro tramite le relative interfacce DMZ e la relativa configurazione viene sincronizzata durante il funzionamento PC Switch SCALANCE X104 2 Rete esterna ennnnnnnnnnu Unit Security attiva SCALANCE S623 a Unit Security passiva SCALANCE S623 b A i uno Sincronizzazione rete interna peas ee Switch SCALANCE X104 2 HA ST 300 Interna Cella di automazione l Figura 1 5 Ridondanza router e firewall Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 33 Introduzione e nozioni di base 1 8 Impiego delle porte dei modulo mediali di SCALANCE S627 2M 1 8 Impiego delle porte dei modulo mediali di SCALANCE S627 2M Integrazione nelle topologie ad anello Oltre alle funzioni di SCALANCE S623 SCALANCE S627 2M dispone di due slot modulo mediale nei qual
158. della finestra di dialogo per la visualizzazione dei valori standard 1 Contrassegnare il gruppo VPN 2 Selezionare la voce di menu Edit gt Properties La visualizzazione delle propriet del gruppo VPN identica alla visualizzazione in modalit estesa i valori non possono tuttavia essere modificati in modalit standard Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 205 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa 6 5 Configurazione del tunnel in modalit estesa La modalit estesa offre le possibilit di impostazioni per la configurazione specifica della comunicazione via tunnel Commutazione nella modalit estesa Attivare il progetto per tutte le funzioni descritte in questo capitolo in modalit estesa Nota Non possibile una ricommutazione alla modalit standard Non appena stata modificata la configurazione per il progetto attuale non pi possibile annullare una commutazione nella modalit estesa precedentemente eseguita Rimedio SCT Standalone chiudere il progetto senza salvarlo e aprirlo di nuovo 6 5 1 Progettazione delle propriet del gruppo VPN Propriet dei gruppi VPN Nota Nozioni IPsec necessarie Per poter impostare questi parametri necessario conoscere IPsec Se non si eseguono o modificano impostazioni valgono le impostazioni standard della modalit standard
159. di regole IP personalizzato in tutto il progetto Il nome compare nell elenco di regole locali dell unit Security dopo l assegnazione del set di regole Descrizione Inserire la descrizione per il set di regole IP personalizzato 4 Fare clic sul pulsante Aggiungi regola Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 141 Progettazione di firewall 4 3 Firewall in modalit estesa 5 Inserire in sequenza le regole firewall nell elenco Osservare la descrizione dei parametri nel seguente capitolo Regole del filtro pacchetto IP Pagina 147 Osservare le particolarit nelle regole firewall che sono state generate automaticamente da SCT per le regole NAT NAPT Relazione tra router NAT NAPT e firewall specifico per l utente Pagina 182 6 Assegnare al set di regole IP personalizzato un utente o pi utenti e o un ruolo o diversi ruoli L assegnazione di ruolo a set di regole IP personalizzati possibile solo per unit SCALANCE S V4 Nota Assegnazione di set di regole IP personalizzate e Ad un unit Security per ciascun utente pu essere assegnato solo un set di regole IP personalizzato e Con l assegnazione per tutti gli utenti o ruoli assegnati al set di regole IP viene attivato implicitamente il diritto L utente il ruolo pu eseguire il login all unit 7 Assegnare il set di regole IP personalizzato alle unit Security nelle quali deve essere util
160. di servizi 162 Gruppo VPN 204 276 H Halfduplex 95 HTTP 154 ICMP 145 ID rete 168 IEEE 802 3 29 113 IKE 116 122 Impostazioni in tutto il progetto 57 Impostazioni IKE 206 Impostazioni IPsec 206 Impostazioni Security 235 Indirizzo dell accoppiamento ad altra rete 266 Indirizzo Gigabit 84 Indirizzo IP 152 265 Indirizzo IP router 169 Indirizzo IP WAN definizione 214 Indirizzo PROFINET 84 Installazione SCALANCE S 43 Interfacce 167 Internet Key Exchange IKE 208 ISAKMP 214 L Larghezza di banda 148 158 Layer 2 113 136 199 Layer 3 113 136 Layer 4 113 LLDP 72 Logging 114 251 Classi di evento 261 CP x43 1 Adv 115 SCALANCE S lt V3 0 134 SCALANCE S V3 131 Logging locale 251 256 258 Eventi Audit 258 Eventi di sistema 258 Eventi filtro pacchetto 258 M M 800 3 219 MAC adress 266 Manager dei certificati 82 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Maschera della sottorete 265 MD5 194 209 Memoria circolare 256 Memoria lineare 256 Metodo di autenticazione 200 206 MIB 72 Modalit Aggressive 208 modalit bridge 96 Modalit di programmazione 226 Modalit estesa 42 Logging 263 Logging locale 255 257 Network Syslog 255 Regole firewall 136 Regole firewall globali 137 Regole firewall specifiche per l utente 140 Server DHCP 185 Modalit Ghost 96 Modalit Main 208 Modalit Routing
161. dice 56 bit modalit CBC e 3DES 168 DES triplo lunghezza codice 168 bit modalit CBC e AES 128 Advanced Encryption Standard lunghezza codice 128 bit modalit CBC Fase 2 autenticazione Algoritmo di autenticazione e MD5 Message Digest Algorithm 5 e SHA1 Secure Hash Algorithm 1 Perfect Forward Secre cy Se si attiva questa casella di controllo per il ricalcolo della chiave vengono scambiati nuovi Diffie Hellmann Public Key Values Se si disattiva la casella di controllo per il ricalcolo della chiave vengono utilizzai i valori gi scam biati nella fase 1 DES un algoritmo di codifica non sicuro Esse deve essere utilizzato solo per motivi di compatibilit inversa Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 209 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa 6 5 2 Acquisizione dell unit nel gruppo VPN configurato Le propriet del gruppo progettate vengono acquisite per le unit inserite in un gruppo VPN esistente Inserimento di nodi attivi in un gruppo VPN Se un nodo attivo viene aggiunto in un gruppo VPN esistente esso pu raggiungere i nodi del gruppo senza dover ricaricare il progetto su tutti i nodi del gruppo VPN Nota Se si rimuove un nodo attivo da un gruppo VPN esistente esso pu sempre realizzare un collegamento con i nodi del gruppo anche se il pr
162. durante l apertura del progetto e prima del caricamento di una configurazione Nota dati di progettazione possono essere caricati solo se il progetto complessivamente coerente Per eseguire un controllo della coerenza in tutto il progetto procedere nel modo seguente 2 4 7 Eseguire il controllo della coerenza per un progetto aperto nel modo seguente Voce di menu Opzioni gt Controlli della coerenza Il risultato del controllo viene visualizzato in un elenco che pu essere filtrato a seconda del tipo di messaggio Errori o Avvertimenti Se il progetto contiene dati incoerenti lo stato viene visualizzato nella riga di stato della finestra SCT Fare clic sulla riga di stato per visualizzare l elenco di controllo Impostazione di nomi simbolici per indirizzi IP MAC A questa funzione si accede nel modo seguente Voce di menu Opzioni gt Nomi simbolici Significato e vantaggio 62 In un progetto Security al posto di indirizzi IP e indirizzi MAC possibile assegnare nomi simbolici in una tabella La progettazione dei singoli servizi pu quindi essere eseguita in modo pi semplice e sicuro Per le seguenti funzioni e relativa progettazione vengono tenuti in considerazione nomi simbolici all interno di un progetto e Firewall e Router NAT NAPT e Syslog Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configurat
163. e 87 3 1 Parametri nell area del contenuto ii 90 3 2 Configurazione delle interfacce 92 3 2 1 Panoramica delle possibilit di collegamento nae 92 3 2 2 Interfacce aiaia eaaet a a aa O A I tO nt 96 3 2 3 Collegamento Internet i 100 3 2 4 DNS dinamico DDNS nigra ola a na nie aE aa A Er EAEE a e ala 102 3 2 5 LLDP reatino Lies nie LL ii aL AN 104 3 2 6 Ridondanza del mezzo nelle topologie ad anello 105 3 2 6 1 Ridondanza del mezzo con MRP HRP nnnm 105 3 2 6 2 Progettazione MRP HRP per le unit Security 106 3 2 7 Particolarit della modalit Ghost nnne 108 Progettazione di firewalli assiicraiiiiccicca ao 113 4 1 CP in modalit standard lhoa nasiassllani nola nie ia zo AS a 115 4 1 1 CPX43 1 AdVis nihil tiinolapl iui poniuz 116 4 1 1 1 Preimpostazione del firewall ii 116 4 1 1 2 Progettazione di firewall i 118 4 1 1 3 Progettazione dell elenco degli accessi nanten nnne enn 119 4 1 1 4 Aggiunta di una voce nell elenco di accesso tssir testtr resten nsstennssen nnee ent 121 4 1 2 iE ka i EP RANEE AEN EA E SA E AIT E EOS SE T IA EE PE RARA 122 4 1 2 1 Preimpostazione del firewall nn ntnesrtttnnenesterrtnnnnnestnrnnnnnnnentennn
164. e NCAUTELA indica che la mancata osservanza delle relative misure di sicurezza pu causare lesioni fisiche non gravi ATTENZIONE indica che la mancata osservanza delle relative misure di sicurezza pu causare danni materiali Nel caso in cui ci siano pi livelli di rischio l avviso di pericolo segnala sempre quello pi elevato Se in un avviso di pericolo si richiama l attenzione con il triangolo sul rischio di lesioni alle persone pu anche essere contemporaneamente segnalato il rischio di possibili danni materiali Personale qualificato Il prodotto sistema oggetto di questa documentazione pu essere adoperato solo da personale qualificato per il rispettivo compito assegnato nel rispetto della documentazione relativa al compito specialmente delle avvertenze di sicurezza e delle precauzioni in essa contenute Il personale qualificato in virt della sua formazione ed esperienza in grado di riconoscere i rischi legati all impiego di questi prodotti sistemi e di evitare possibili pericoli Uso conforme alle prescrizioni di prodotti Siemens Si prega di tener presente quanto segue NAVVERTENZA prodotti Siemens devono essere utilizzati solo per i casi d impiego previsti nel catalogo e nella rispettiva documentazione tecnica Qualora vengano impiegati prodotti o componenti di terzi questi devono essere consigliati oppure approvati da Siemens Il funzionamento corretto e sicuro dei prodotti presuppone un traspo
165. e ressati da una regola firewall progettata modalit standard o modalit estesa Inoltre vengono registrati i pacchetti di risposta ai pacchetti che hanno attraversato il firewall in base alla regola Allow pro gettata e Pacchetti che generano lo stato Vengono registrati solo i pacchetti di dati interessati da una regola firewall proget tata modalit standard o mo dalit estesa Osservazioni I dati Log del filtro pacchetto non sono ritenti vi dati vengono depositati in una memoria volatile dell unit Security per questo motivo essi non sono pi disponibili dopo un disinse rimento della tensione di alimentazione Eventi Audit sempre attivati Il Logging sempre attivato La memorizzazione avviene sempre nel buffer circolare dati Log Audit sono ritentivi dati vengono depositati in una memoria ritentiva dell unit Security per questo motivo essi sono ancora disponibili dopo un disinse rimento della tensione di alimentazione Avvertenza per CP dati Audit Log non sono ritentivi nei CP Per la sicurezza dei dati quindi necessario utilizzare un server Syslog Eventi di sistema L attivazione avviene tramite casella opzionale La selezione del metodo di me morizzazione avviene tramite campi opzione Per la configurazione del filtro evento e della diagnostica del cavo aprire un altra finestra di dialogo con il pulsante Configu re dati Log di sistema n
166. e Time gt SA Lifetime Duration 172800 Figura 6 1 File di esportazione per un dispositivo VPN e Certificati del gruppo VPN del dispositivo VPN e Certificati del gruppo VPN dell unit partner e Chiave privata e Certificati CA di gruppi VPN Configurazione dei tipi di file Per i dispositivi VPN possono essere definiti i tipi di file nei quali vengono memorizzati i dati generati Nozioni di base e applicazione Security 220 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 7 Dati di configurazione per apparecchi VPN Selezionare quindi il dispositivo VPN da modificare e quindi la voce di menu Modifica gt Propriet e Certificati del gruppo VPN del dispositivo VPN File crt Certificato codificato Base64 File pem Certificato codificato Base64 File pem Certificato con codice binario e Certificati del gruppo VPN dell unit partner File crt Certificato codificato Base64 pem Certificato codificato Base64 pem Certificato con codice binario e Chiave privata File p12 Archivio PKCS12 protetto da password con chiave privata key Chiave provata codificata Base64 non protetta e Certificati CA di gruppi VPN File crt Certificato codificato Base64 File pem Certificato codificato Base64 File pem Certificato con codice binario Nota I file di configurazione non vengono trasmessi all apparecchi
167. e Log Dimensione del file che contiene i messaggi che vengono visualizzati nella consolle Log della panoramica dei tunnel Poich i dati Log vengono salvati nel file tramite il buffer circolare selezio nare tramite la dimensione del file per quanto tempo i dati Log restano salvati nel file Numero di messaggi da visualizzare nella consol Numero di messaggi che vengono estratti dal file le logging della panoramica del tunnel Log e visualizzati nella consolle Log della pano ramica dei tunnel Visualizzazione dei seguenti messaggi Log nella Selezione dei tipi di messaggi che vengono vi consolle logging della panoramica del tunnel sualizzati nella consolle Log della panoramica dei e Visualizzazione del test di raggiungibilit tunnel negativo ping e Creazione cancellazione di Security Asso ciations modalit Quick e Creazione cancellazione di modalit Main e Caricamento di file di configurazione e Apprendimento di nodi interni Dimensione file Log file log di debug Dimensione del file Log dei file sorgente per messaggio di debug del SOFTNET Security Client possono essere richiesti dal Customer Support per semplificare l analisi Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 249 SOFTNET Security Client 8 5 Configurazione e modifica del tunnel 250 Funzionamento Test di raggiungibilit tempo di attesa di una risposta Descrizione
168. e NAT pu inoltre essere eseguita nelle seguenti direzioni Da interno a DMZ Da esterno a DMZ Da DMZ a interno Da DMZ a esterno Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 175 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router In ciascuna direzione ha luogo sempre simultaneamente Source NAT e Destination NAT Per la direzione Da esterno a interno vale ad esempio Durante l accesso da esterno a interno viene sostituito l indirizzo IP sorgente del nodo esterno Source NAT Inoltre l accesso alla rete interna viene eseguito tramite l indirizzo IP esterno indicato nella casella di inserimento Indirizzo IP di destinazione Destination NAT Questa azione pu essere ad esempio eseguita se per un dispositivo al quale si accede utilizzando Destination NAT inserito un router standard diverso dall unit Security telegrammi di risposta di questo dispositivo non vengono quindi inviati al router standard inserito ma alla rispettiva interfaccia dell unit Security La seguente tabella indica lo schema di inserimento per l azione Double NAT Casella Indirizzo IP sorgente Indirizzo IP nella rete sorgente Indirizzo IP del nodo nella rete sorgen Conversione sorgente La conversione di indirizzi Source NAT Inserimento possibile Significato te viene eseguita sempre sull indirizzo IP dell unit Security nella rete di destina zione Per
169. e ci si trova nella cartella Gruppi VPN E Creazione di un nuovo set di regole IP globale set di regole MAC o di un set di regole IP personalizzato Il simbolo attivo solo se all interno di un area di navigazione ci si trova in una sotto cartella di Set di regole firewall globali o su una cartella Set di regole IP personalizzate 46 Creazione di una nuova relazione di ridondanza Il simbolo attivo solo all interno dell area di navigazione se ci si trova nella cartella Re lazioni di ridondanza Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 3 Superficie operativa e voci di menu Icona Significato Osservazioni sal Caricamento della configurazione nelle unit Security selezionate o impostazione dei dati di configurazione per SOFTNET Security Client SCALANCE M 9 Commutazione nella modalit offline m Commutazione nella modalit online Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 47 Progettazione con Security Configuration Tool 2 3 Superficie operativa e voci di menu Barra dei menu Qui di seguito riportata una panoramica delle voci di menu selezionabili e del loro significato Voce di menu Significato Osservazioni Combinazione dei tasti Proje
170. e descritta la riga descritta rilevante solo per SCALANCE S623 Il capitolo descritto la sezione descritta la riga descritta rilevante solo per SCALANCE S627 2M Il capitolo descritto la sezione descritta la riga descritta rilevante solo per SCALANCE S623 e SCALANCE S627 2M S62x 2 V4 0 Il capitolo descritto la sezione descritta la riga descritta rilevante solo per SCALANCE S623 a partire da V4 0 e SCALANCE S627 2M a partire da V4 0 Il capitolo descritto la sezione descritta la riga descritta rilevante solo per CP S7 Il capitolo descritto la sezione descritta la riga descritta rilevante per tutte le unit Security tranne i CP S7 PC CP Il capitolo descritto la sezione descritta la riga descritta rilevante solo per CP PC Il capitolo descritto la sezione descritta la riga descritta rilevante per tutte le unit Security tranne i CP PC Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Prefazione Il capitolo descritto la sezione descritta la riga descritta rilevante per tutti i CP S7 e i CP PC D 5 i mn Il capitolo descritto la sezione descritta la riga descritta rilevante per tutte le unit Security tranne i CP v Il simbolo rimanda ad una particolare bibliografia raccomandata P E F i Questo simbolo rimanda ad una guida dettagliata nella guida in base al contesto Alla guida
171. e i servizi IP predefiniti nella casella di riepi logo attivare prima questi servizi in modalit standard Larghezza di banda Mbit s Possibilit di impostazione per una limitazione banda larga Pu essere inserita solo se selezionata nell azio ne Allow Un pacchetto passa dal firewall quando la regola di pass giusta e la larghezza di banda ammessa per questa regola non ancora stata superata CP x43 1 Adv e SCALANCE S lt V3 0 0 001 100 CP 1628 e SCALANCE S V3 0 0 001 1000 Per le regole nei set di regole globali e personalizzati 0 001 100 Logging 148 Attivazione o disattivazione del log ging per questa regola Le informa zioni relative all impostazione logging si trovano nel seguente capitolo Registrazione di eventi logging Pagina 255 Numeri della regola assegnati auto maticamente per l assegnazione dei pacchetti logging alla regola firewall progettata Spostando le regole i numero vengono rilevati di nuovo Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Denominazione Stateful Significato Commento Se questa casella di controllo stata disattivata per una regola IP con l azione Allow tramite i pacchetti ai quali accede la regola Allow non vengono generati States firewall Tramite gli States firewall le risposte ai pacchetti ammessi
172. e l oggetto Tutte le unit nell area di navigazione Per i CP possono essere modificati solo i contenuti della colonna Commento Le seguenti propriet delle unit vengono visualizzate per colonne Ext IP address Propriet colonna Significato Commento selezione N Numero progressivo di unit viene assegnato automaticamente Name Denominazioni univoca dell unit selezionabile liberamente Typ Tipo di apparecchio Avvertenza Indirizzo IP con il quale raggiungi bile il dispositivo nella rete esterna ad es per caricare la configurazione Per i dispositivi del tipo SOFTNET Security Client e NCP client VPN per Android non esiste nessuna finestra di dialogo delle propriet Per i dispositivi VPN nelle propriet dell unit possibile adattare solo i tipi di file dei file di configurazione da esportare assegnazione adatta nell insieme di reti Maschera sotto rete est Maschera della sottorete per l indi rizzo IP esterno assegnazione adatta nell insieme di reti Int IP address Indirizzo IP con il quale raggiungi bile il dispositivo della rete interna se configurato come router assegnazione adatta nell insieme di reti La casella di inserimento pu esse re editata solo se la modalit routing attivata Maschera sotto rete int Maschera della sottorete per l indi rizzo IP interno assegnazione adatta nell insieme di reti La casella di inserimento pu esse
173. e nella casella Server Syslog l indirizzo IP il FQDN del server Syslog L indirizzo IP pu essere inserito in alternativa come nome simbolico o numerico Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Funzioni online Diagnostica e logging 9 2 Registrazione di eventi logging L unit Security deve poter accedere al server Syslog tramite l indirizzo IP indicato o eventualmente tramite la progettazione del router nella scheda Routing Se il server Syslog non viene raggiunto l invio delle informazioni Syslog viene disattivata Questo stato operativo pu essere riconosciuto dai relativi messaggi del sistema Per riattivare l invio delle informazioni Syslog eventualmente necessario aggiornare le informazioni di routing e riavviare il modulo Security Utilizzo del nome simbolico nel Logging D gt rn a Attivare la casella opzione Utilizza nome simbolico nel Logging le indicazioni di indirizzo dei telegrammi Log trasmesse al server Syslog vengono sostituite con nomi simbolici L unit Security verifica la progettazione dei relativi nomi simbolici e li inserisce nei telegrammi Log Nota Maggiore tempo di elaborazione in caso di nomi simbolici Se la casella opzione Utilizza nomi simbolici nel Logging attivata il tempo di elaborazione nell unit Security viene aumentato Per gli indirizzi IP dell unit Security vengono utilizzati automaticamente i nomi delle uni
174. ecurity Pagina 80 e Crea utente Pagina 67 e Creazione dei ruoli Pagina 68 Ulteriori generali relative ai set di regole IP personalizzate si trovano nel seguente capitolo e Set di regole IP specifiche per l utente Pagina 140 Possibilit di progettazione Per l autenticazione dell utente mediante un server RADIUS sono disponibili due possibilit di progettazione e L utente conosciuto con il suo ruolo sull unit Security solo la gestione della password per l utente viene eseguita tramite il server RADIUS Sul server RADIUS configurato l utente con la password corrispondente Viene progettato un utente con il metodo di autenticazione RADIUS Alset di regole IP personalizzate viene assegnato l utente Risultato Durante la connessione di un utente alla pagina Web dell unit Security la richiesta di autenticazione viene inoltrata al server RADIUS Il server RADIUS esegue una verifica della password e invia il risultato all unit Security Sela verifica della password stata superata il set di regole IP personalizzato viene attivato e ruolo conosciuto sull unit Security la gestione utenti viene eseguita tramite il server RADIUS Sul server RADIUS configurato l utente con la password corrispondente Alset di regole IP personalizzato viene assegnato un ruolo personalizzato o un ruolo definito dal sistema Nella scheda RADIUS dell unit Security viene viene attivata l
175. egistrazione Lo stato attuale di registrazione risulta dalla configurazione caricata o dalla configurazione modificata nella finestra di dialogo online Le impostazioni buffer possibili sono memoria circolare o memoria lineare L impostazione attualmente attiva pu essere rilevata nel modo seguente 1 Passare al modo di funzionamento con la voce di menu Visualizza gt Online 2 Selezionare l unit Security da modificare 3 Selezionare la voce di menu Modifica gt Diagnostica online Non appena si apre una delle schede per le funzioni Log nella parte inferiore della scheda si vede lo stato attuale dell impostazione buffer dell unit Security selezionata Le impostazioni online non vengono memorizzate nella configurazione Le impostazioni che si eseguono nel modo di funzionamento online ad es impostazioni buffer nelle funzioni Log non vengono salvate nella configurazione sull unit Security Per questo motivo dopo un nuovo avvio dell unit diventano sempre attive le impostazioni della configurazione offline 9 2 Registrazione di eventi logging Informazioni generali Gli eventi sull unit Security possono essere registrati La registrazione viene eseguita nelle aree del buffer volatili o permanenti a seconda del tipo di evento In alternativa una registrazione pu essere eseguita in un server di rete Configurazione in modalit standard e in modalit estesa Le possibilit di selezione nel Security Configurat
176. egole IP personalizzate mediante il server RADIUS Con questo metodo di autenticazione la password dell utente non viene progettata in SCT ma deve essere memorizzata sul server RADIUS Utilizzare questo metodo di autenticazione esclusivamente per utenti che devono connettersi solo a questa pagina Web di un unit Security Un utente con metodo di autenticazione RADIUS non pu connettersi ai progetti SCT Password solo con il me todo di autenticazione Password Ripeti password solo con il metodo di autenticazione Password Inserimento della password per l utente Durante l inserimento viene controllata la complessit della password Maggiori informazioni relative alla complessit della password si trovano nel seguente capitolo Regole per nome utente ruoli e password Pagina 21 Ripetizione della password inserita Commento Inserimento supplementare di un commento Durata massima della sessione Inserimento della durata dopo la quale viene disconnesso automatica mente un utente collegato alla pagina Web per i set di regole IP perso nalizzati delle unit SCALANCE S La durata qui indicata inizia dopo la connessione e dopo una nuova sessione alla pagina Web dell unit Security e Impostazione standard 30 minuti e Valore minimo 5 minuti e Valore massimo 480 minuti Ruolo assegnato A seconda dell assegnazione eseguita Nozioni di base e applicazione Security Manuale di progett
177. eguente 1 Selezionare la modalit di sincronizzazione 2 Per SCALANCE S lt V3 0 In caso di sincronizzazione attraverso un server NTP inserire l intervallo di aggiornamento in secondi Per SCALANCE S V3 0 viene inoltre definito automaticamente un intervallo di tempo per l interrogazione del server NTP Nota server NTP creati in STEP 7 vengono migrati automaticamente in SCT con l intervallo di aggiornamento L intervallo di aggiornamento pu essere modificato solo in STEP 7 3 Se stata selezionata la modalit di sincronizzazione Sincronizzazione dell ora con NTP o Sincronizzazione dell ora con NTP protetta con il pulsante Aggiungi assegnare all unit Security un server NTP gi creato dello stesso tipo selezionato nella casella Modalit di sincronizzazione Se non esistono ancora server NTP creare un server NTP con il pulsante Configura server 5 3 3 Definire il server NTP Definire un nuovo server NTP nel modo seguente 1 Inserire un nome utente per il server NTP 1 Definizione di un server NTP gt o E Imoostazoni generasi None NTP Server1 indirizzo server 192 163 2005 Tipo NTP fatato Benco chiavi solo con NTP fpratetto chiave Autentcazione Hesad A Chiave SHA ASCII tesmykey 2 SMA 1 ASCII tuesamykey2 MOS ASCII tesame DAD mmeona Esporta ses 2 Inserire l indirizzo IP l FQDN del server NTP 3 Selezionare il tipo Nozioni di base e applicazione Security
178. eguita e documentata nel capitolo 4 2 SCALANCE S come firewall tra rete esterna e DMZ del manuale SIMATIC NET Industrial Ethernet Security Configurazione di Security Punto terminale per il collegamento via tunnel VPN L interfaccia DMZ pu essere utilizzata come punto terminale di un tunnel VPN In questo contesto l interfaccia DMZ collegata a Internet tramite un modem DSL collegato e viene utilizzata tramite PPPOE Il tunnel VPN consente la comunicazione sicura con ad es un unit di automazione collegata all interfaccia interna di un ulteriore unit Security Ethemet Industrial _ _ _ n Router DSL Internet Modem DSL sell S7 300 Interna SCALANCE S612 SCALANCE S623 Cella di automazione J VPN Tunnel _ _ _ ___ Figura 1 4 Punto terminale per il collegamento via tunnel VPN Una configurazione generica nella quale l interfaccia DMZ viene utilizzata come punto terminale di un tunnel VPN viene eseguita nel capitolo 5 2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612 del manuale SIMATIC NET Industrial Ethernet Security Configurazione di Security Nozioni di base e applicazione Security 32 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Introduzione e nozioni di base 1 7 Impiego dell interfaccia DMZ di SCALANCE S623 e SCALANCE S627 2M Interfaccia di sincronizzazione per ridondanza router e firewall Con l impiego di due unit Security
179. eguite altre impostazioni estese a tutte le unit Security quali ad es la crea zione di gruppi VPN o l aggiunta di unit Se curity non progettabili in STEP 7 e Se per l unit Security sono stati progettati utenti in STEP 7 si apre la finestra Migra zione dei dati del progetto rilevati per la sicu rezza con la quale possibile migrare gli utenti STEP 7 nel Security Configuration Tool Avvio della configura L SCT si apre in una modalit panoramica nella zione Security quale possibile configurare le propriet speci fiche per questa unit Security Caricare successiva Le impostazioni firewall adattate vengono gene mente online le regole rate e caricate nel CP senza causare un arresto firewall del CP Caricamento succes Le impostazioni firewall adattate vengono gene sivo online delle rego rate e caricate nel CP le firewall CP 1628 Utenti Avvio della gestione Avvia la gestione utenti SCT nella quale vengo utenti no creati utenti e ruoli e assegnati diritti Protezione di accesso IP Avvio della configura Durante l attivazione di Security un elenco di ani a zione firewall accesso IP esistente viene migrato nel Security Configuration Tool mediante una conversione nelle regole firewall FTP Consenti accesso solo Avvia la gestione utenti SCT nella quale posso tramite FTPS no essere assegnati diritti FTP ad un ruolo Avvio della gestione utenti Web Consenti acce
180. el ne nodo che stato indicato nella ca sella di inserimento Indirizzo IP sor gente Source NAT Allow Rete sorgente Rete di destinazio Indirizzo IP del Destination ne nodo che stato NAT indicato nella ca sella di inserimento Indirizzo IP sor gente Allow Rete di destinazio Rete sorgente Indirizzo IP del ne nodo inserito da SCT nel campo di immissione Indi rizzo IP di destina zione Double NAT Allow Rete sorgente Rete di destinazio Indirizzo IP del Indirizzo IP che ne nodo che stato stato indicato nel indicato nella ca campo di immis sella di inserimento sione Indirizzo IP Indirizzo IP sor di destinazione gente Allow Rete sorgente Rete di destinazio Indirizzo IP del Indirizzo IP del ne nodo che stato nodo che stato indicato nella ca indicato nella ca sella di inserimento sella di inserimento Indirizzo IP sor Conversione de gente stinazione Nozioni di base e applicazione Security 180 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Nella tabella seguente sono riportati gli schemi delle regole firewall che vengono generate per il CP x43 1 Adv per le regole NAT Tabella 5 2 Conversione dell indirizzo NAT e relative regole firewall per il CP x43 1 Adv Azione NAT Regola firewall creata Azione Da A Indirizzo IP sorgen Indirizzo IP di de te
181. elegrammi con un indirizzo Broadcast questi nodi di rete possono essere trovati e Nodi PROFINET DCP Discovery and basic Configuration Protocol consente di trovare nodi PROFINET Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 9 Configurazione di nodi di rete interni I nodi di rete che non soddisfano queste condizioni devono essere configurati in modo statico Nota Nessuna modalit di apprendimento nel tunnel VPN sull interfaccia DMZ P L apprendimento di nodi interni viene supportato solo sulle interfacce che vengono collegate in modalit Bridge L interfaccia DMZ viene gi collegata in modalit routing Alla funzione si accede nel modo seguente 1 Selezionare l unit SCALANCE S da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda VPN 0 Propriet dell unit Esugruppet Interfacce Frewal Collegamento Intemet DNS Routing NAT NAPT Sincronizzazione dell ora Impostazioni Log VPN DHCP Server SNMP Proxy ARP MRP HRP RADIUS Daad Pear Datecton 7 Consenti Desd Peer Detection Intervallo di tempo in secondi 1120 Impostazioni general per collegamenti VPN Autonzzazione per l inizializzazione della realizzazione del collegamento Avvia colegamento al diapostivo opposto InttiatorRespander X Indirizzo IP WAN FQON Se non viene indicato nessun punto di accesso
182. elle propriet dell unit Security Ad un unit Security possono essere assegnate diverse regole firewall locali diversi set di regole firewall globali e diversi set di regole IP personalizzati Set di regole firewall globali set di regole del firewall globali vengono progettati sul livello del progetto in base all unit e sono visibili nell area di navigazione del Security Configuration Tools Un set di regole firewall globale costituito da una o diverse regole firewall e viene assegnato a singole unit Security Per i set di regole firewall globali si distingue tra e Setdi regole IP e Set di regole MAC La seguente rappresentazione descrive la relazione tra set di regole definiti globalmente e set di regole utilizzati localmente Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 137 Progettazione di firewall 4 3 Firewall in modalit estesa Progetto Set di regole globale n Unit Security Set di regole globale 2 SetDiRegoleLocali Set di regole globale 1 Quando si utilizzano set di regole firewall globali I set di regole firewall globali vanno utilizzati se per diverse unit Security si vogliono definire criteri di filtri identici per la comunicazione Nota Assegnare solo set di regole firewall supportati dall unit Security L assegnazione errata di set di regole firewall pu comportare risultati indesiderati Controllare quindi sempre le regole fire
183. ene utilizzato per il riferimento alla regola firewall che viene generata da SCT per la regola NAT Nota Per tutti i telegrammi che vanno da una rete sorgente a una rete di destinazione possibile progettare una conversione di indirizzo in indirizzo IP dell unit nella rete di destinazione Inoltre dall unit Security ad ogni telegramma viene assegnato un numero di porta Si tratta di una conversione di indirizzo NAT n 1 nella quale diversi indirizzi IP della rete sorgente vengono convertiti in un indirizzo IP della rete sorgente Inserire ad esempio per la direzione Da interno a esterno i seguenti parametri Azione Source NAT Da Interno A Esterno Indirizzo IP sorgente man Conversione sorgente Indirizzo IP esterno dell unit Security Azione Source NAT Destination NAT 1 1 NAT L azione Source NAT Destination NAT pu essere eseguita nella seguente direzione 174 Da interno a esterno Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Se attivata l interfaccia DMZ dell unit Security solo SCALANCE S623 5S627 2M l azione Source NAT Destination NAT pu inoltre essere eseguita nelle seguenti direzioni Da interno a DMZ Da esterno a DMZ Da DMZ a esterno Se l unit SCALANCE S si trova in un gruppo VPN non per SCALANCE S602 l azione Source NA
184. engono osservate le direzioni di realizzazione dei collegamenti Le regole sono visibili e possono essere modificate solo in modalit estesa Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 113 Progettazione di firewall Progettazione Vanno distinti le due visualizzazioni di comando e Nella modalit standard si accede a regole firewall semplici predefinite possibile abilitare solo regole specifiche per il servizio servizi abilitati sono ammessi per tutti i nodi e per la direzione indicava viene consentito l accesso completo e Nella modalit estesa possibile eseguire le impostazioni firewall Per un singolo nodo possono essere abilitati singoli servizi o per i nodi possono essere abilitati tutti i servizi per l accesso alla stazione o alla rete In modalit estesa vanno distinte le seguenti regole firewall e i seguenti set di regole firewall Le regole firewall locali sono assegnate rispettivamente ad un unit Security Esse vengono progettate nella finestra di dialogo delle propriet dell unit Security set di regole globali del firewall possono essere assegnati contemporaneamente a diverse unit Security Essi vengono visualizzati e progettati globalmente in modalit estesa nell area di navigazione del Security Configuration Tool lsetdi regole IP pesonalizzati possono essere assegnati contemporaneamente a diverse unit Security Essi vengono visualizza
185. ere modificato creando regole firewall corrispondenti in modalit estesa Impostazione standard per SCALANCE S602 S612 a partire da V3 Nodi interni Unit Security Nodi esterni Unit Security esterna VW TunnellPsec Firewall Figura 4 5 Impostazione standard per filtro pacchetto IP SCALANCE S602 S612 a partire da V3 Tutti i tipi di telegramma dall interno all esterno sono bloccati Tutti i telegrammi dall interno all unit Security sono autorizzati Tutti i telegrammi dall esterno all interno e all unit Security sono bloccati Sono autorizzati telegrammi dall esterno nodi esterni e unit Security esterne all unit Security del seguente tipo e HTTPS SSL e Protocollo ESP codifica e IKE protocollo per la realizzazione del tunnel IPsec e NAT Traversal protocollo per la realizzazione del tunnel IPsec Nozioni di base e applicazione Security 126 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 2 SCALANCE S in modalita standard autorizzata la comunicazione IP tramite tunnel IPsec Ss Sono ammessi telegrammi dall interno verso l esterno DI telegrammi dall esterno sul tunnel all interfaccia esterna e viceversa sono bloccati Nodi interni Unit Security Nodi esterni Unit Security esterne Firewall Figura 4 6 Impostazione standard per filtro MAC SCALANCE S602 612 a partire da V3 Tutti i tipi di telegramma dall interno a
186. erfacce A questa funzione si accede nel modo seguente 1 Selezionare l unit da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Interfacce Routing interfaccia Possibilit di selezione Se l unit SCALANCE S non si trova in nessun gruppo VPN e in nessuna relazione di ridondanza il routing dell interfaccia in questa casella pu essere modificato La selezione vale per il routing tra l interfaccia esterna e l interfaccia interna L interfaccia DMZ solo SCALANCE S623 und SCALANCE S627 2M viene sempre collegata in modalit Routing modalit bridge Per il funzionamento nelle reti piatte L interfaccia esterna e l interfaccia interna si trovano nella stessa sotto rete IP Per S623 S627 2M L interfaccia esterna e quella interna si trovano nella stessa sottorete IP l interfaccia DMZ si trova in un altra sottorete IP o in modalit di funzionamento o disatti vata Modalit Routing Tutte le interfacce si trovano in diverse sotto reti IP Avvertenza Se per l unit SCALANCE S stata attivata la modalit routing non possono essere definite le regole MAC Durante il funzionamento l unit SCALANCE S acquisisce per l interfaccia interna l indirizzo IP del nodo collegato all interfaccia interna dell unit SCALANCE S dati di indirizzo IP da indicare per l interfaccia esterna servono solo per il caricamento della progettazione prima del funzionamento in modalit Ghost Modalit
187. erno all unit Security sono autorizzati Tutti i telegrammi dall esterno all interno e all unit Security sono bloccati anche ICMP Echo Request Sono autorizzati telegrammi dall esterno nodi esterni e unit Security esterni all unit Security del seguente tipo e Protocollo ESP codifica e IKE protocollo per la realizzazione del tunnel IPsec e NAT Traversal protocollo per la realizzazione del tunnel IPsec autorizzata la comunicazione IP tramite tunnel IPsec Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 1 CP in modalit standard telegrammi del tipo Syslog sono autorizzati verso l esterno dall unit Security e non vengono influenzati dal firewall Avvertenza Poich Syslog un protocollo non protetto non possibile garantire che i dati Log ven gano trasmessi in modo protetto Sono autorizzati telegrammi dall unit Security verso l interno e verso l esterno Sono ammesse risposte a richieste dalla rete interna o dal unit Security Nodi interni CP x43 1 Adv Nodi esterni Unit Security esterna Firewall Figura 4 2 Impostazione standard per filtro pacchetto MAC CP x43 1 Adv Tutti i telegrammi dall interno all unit Security sono autorizzati Tutti i telegrammi dall interno all unit Security sono bloccati Sono autorizzati tutti telegrammi dall esterno all unit Security del seguente tip
188. erver da server FTP esterni o certificati di progetto di altri progetti SCT Il certificato di terzi importato viene trasmesso a tutti i CP gestiti nel progetto SCT Con questo certificato l unit Security pu identificarsi durante l accesso ad un server TPS La progettazione SCT stessa non utilizza il certificato importato Visualizzazione delle autorit di certificazione necessarie per la verifica di servizi esterni quali i provider di DNS dyn da parte di unit Security 2 6 2 Rinnovo dei certificati Significato In questa finestra di dialogo si rinnovano i certificati CA e i certificati del dispositivo In caso di necessit ad es con certificati compromessi possibile importare un certificato o generare un nuovo certificato dal Security Configuration Tool Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 83 Progettazione con Security Configuration Tool 2 6 Gestione dei certificati A questa funzione si accede nel modo seguente 1 Fare clic con il tasto destro del mouse su una voce dell elenco nel manager dei certificati 2 Selezionare la voce Rinnova certificato EN Crea nuovo certificato Autorit di certificazione Firma automatica Parametri del certificato Richiedente Valido da Valido fino a Selezionare come deve essere firmato il nuovo certificato Firmato da un autorit di certificazione Nome dell autorit di certificazione Inseri
189. est Tunnel Extended Diagnostics Delete Entry fi Delete Oct 28 2014 13 48 24 icmp Oct 28 2014 13 48 26 icmp Oct 28 2014 13 48 28 icmp Okt 29 2014 11 42 48 confio Okt 29 2014 11 42 53 QuickMode Okt 29 2014 11 42 53 QuickMode Okt 29 2014 11 44 05 QuickMode Okt 29 2014 11 44 05 QuickMode Oct 29 2014 11 44 38 QuickMode Oct 29 2014 11 44 38 QuickMode 192 168 10 1 Request timed out 192 168 10 1 Request timed out 192 168 10 1 Request timed out Loaded Configuration E ASSCKonfiguration 1 Baugruppe2 dat Added Security Association From 192 168 10 100 To 192 168 9 0 24 Added Security Association From 192 168 10 100 To 192 168 10 1 32 Deleted Security Association From 192 168 10 100 To 192 168 9 0 24 Deleted Security Association From 192 168 10 100 To 192 168 10 1 32 Added Security Association From 192 168 10 100 To 192 168 9 0 24 Added Security Association From 192 168 10 100 To 192 168 10 1 32 Clear Help Voce di menu Attiva collegamento con nodi interni Disattiva collegamento con nodi interni Significato collegamenti sicuri configurati si disattivano con con la voce Disattiva collegamento con nodi interni Risultato Sul PC viene disattivata la Security Policy Per annullare la modifica e riattivare i tunnel fare clic sulla voce Attiva colle gamento con i nodi interni Seleziona collegament
190. esterna Tunnel x x Accesso dalla stazione al partner tunnel VPN Tunnel Stazione x x Accesso da partner tunnel VPN a stazione Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Tabella 4 18 Direzioni firewall SCALANCE S Possibilit di selezione campi dei valori Unit Security Da A S602 S61x S623 S627 2M Interno Esterno x x x Tunnel x x Any x x Esterno Interno x x x Any x Tunnel x Tunnel Interno x x Esterno x x Any Interno x x Esterno x Analisi delle regole attraverso l unit Security Esempi Le regole del pacchetto filtro vengono analizzate nel modo seguente e L elenco viene analizzato dall alto verso il basso in caso di regole contrastanti vale la voce pi in alto Nelle regole per la comunicazione in direzione Esterno e dalla direzione Esterno per tutti i telegrammi rilevati in modo non esplicito vale tutti i telegrammi sono disabilitati eccetto i telegrammi autorizzati in modo esplicito nell elenco Nelle regole per la comunicazione in direzione Tunnel e dalla direzione Tunnel per tutti i telegrammi rilevati in modo non esplicito vale tutti i telegrammi sono autorizzati eccetto i telegrammi disabilitati in modo esplicito nell elenco Nota Regole IP applicate ai pacchetti IP regole MAC ap
191. et di regole IP personalizzato al quale assegnato un ruolo I set di regole IP personalizzati consentono la definizione di diritti di accesso capillari specifici per l utente e Relazioni di ridondanza Una relazione di ridondanza viene creata per due unit Security Se una delle due unit Security si guasta durante il funzionamento l altra unit Security assume automaticamente la sua funzione di firewall e router NAT NAPT e Domini MRP Con i domini MRP vengono definiti i nodi di un anello MRP Per le interfacce di tutte le unit che devono essere collegate ad un anello MRP necessario selezionare lo stesso dominio MRP e Definizione del servizio Grazie alla definizione di servizi IP o MAC possibile definire in modo chiaro e compatto le regole del firewall Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 57 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti 58 Server NTP I server NTP vengono progettati per tutto il progetto e possono quindi essere assegnati a diverse unit Security nell SCT Server RADIUS I server RADIUS vengono progettati per tutto il progetto e possono quindi essere assegnati a diverse unit Security nell SCT Manager dei certificati Nel manager dei certificati vengono gestiti tutti i certificati del progetto e delle unit ivi contenuti Gestione utenti Nella gestione utenti possono essere gestit
192. etri Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 45 Progettazione con Security Configuration Tool 2 3 Superficie operativa e voci di menu Finestra dei dettagli La finestra dei dettagli contiene informazioni supplementari relative all oggetto selezionato e consente ad un gruppo VPN nel rispettivo contesto la progettazione di propriet VPN specifi che per il collegamento La finestra dei dettagli pu essere disattivata e attivata mediante il menu Visualizza Riga di stato La riga di stato illustra gli stati di comando e i messaggi di stato attuali Ne fanno parte Barra dei simboli L utente attuale e il tipo di utente La visualizzazione di comando modalit standard modalit estesa Lo stato operativo Online Offline Qui di seguito riportata una panoramica dei simboli selezionabili nella barra dei simboli e del relativo significato Icona Significato Osservazioni Crea un nuovo progetto Apre un progetto esistente Salva il progetto aperto nel percorso attuale con il nome del progetto Copia l oggetto selezionato Inserisci l oggetto dagli appunti Cancella l oggetto selezionato E e e E U ia Crea una nuova unit Il simbolo attivo solo all interno dell area di navigazione se ci si trova nella cartella Tutte le unit DO Crea un nuovo gruppo VPN Il simbolo attivo solo all interno dell area di navigazion
193. fica gt Propriet scheda Firewall gt Regole MAC LI Propriet dell unit Modulel ktefscce Fronal Calegamerto intemet ONS Routeg NAT NAFT Sincromizzarione dell era inpostazoni Log Regole IP ii Fage MAC D Regole standard per servia P VPN DHOP Server SNMP Promy ARP MAP HRP RADIUS Azione C 19 MAC sor Indirizzo MAC d io Langhezzadten La ommen icqanso Inserimento delle regole del filtro pacchetto Inserire in sequenza le regole del firewall nell elenco osservare la descrizione dei parametri e gli esempi nel seguente capitolo o nella guida in linea Nozioni di base e applicazione Security 156 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Utilizzo di set di regole firewall globali I set di regole firewall globali assegnati all unit Security vengono acquisiti automaticamente nell elenco di regole locale Se il set di regole assegnato alla fine dell elenco di regole esso viene modificato con la priorit pi bassa La priorit pu essere modificata modificando la posizione nell elenco delle regole p La guida in linea descrive il significato dei singoli pulsanti F1 4 3 10 Regole del filtro pacchetto MAC L elaborazione delle regole del filtro pacchetto MAC avviene in base alle seguenti analisi e Parametri inseriti nella regola e Priorit della regola all interno del set di regole Regole de
194. gina 253 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 251 Funzioni online Diagnostica e logging Diagnostica in modalit Ghost Dopo il rilevamento di un indirizzo IP da un nodo interno l unit Security sull interfaccia esterna dispone di un indirizzo IP che pu essere diverso dall indirizzo IP con il quale l unit Security stata inizialmente progettata Prima di poter eseguire una diagnostica tramite l interfaccia esterna nel Security Configuration Tool per l interfaccia esterna necessario sostituire l indirizzo IP inizialmente progettato con quello che l unit Security ha rilevato dal nodo interno per il tempo di esecuzione Protezione dei file log esportati da accesso non autorizzato Dai file di log esportati dal Security Configuration Tool possibile ottenere informazioni rilevanti per la sicurezza Per questo motivo assicurarsi che i file siano protetti da accesso non autorizzato Questo va osservato in particolare in caso di inoltro dei file Nozioni di base e applicazione Security 252 Manuale di progettazione 12 2014 C79000 G8972 C286 04 9 1 Nozioni di base e applicazione Security Funzioni online Diagnostica e logging 9 1 Panoramica delle funzioni della finestra di dialogo online Panoramica delle funzioni della finestra di dialogo online L unit Security offre le seguenti funzioni nella finestra di dialogo online del Security Configuration Tool Ta
195. gono create automaticamente regole che abilitano la realizzazione del collegamento Informazioni pi dettagliate su questo argomento si trovano nel seguente capitolo e Regole firewall automaticamente riferite al collegamento Pagina 143 Per i collegamenti non specificati in SCT devono essere configurate regole firewall che abilitano la realizzazione del collegamento Informazioni pi dettagliate su questo argomento si trovano nel seguente capitolo e Firewall in modalit estesa Pagina 136 Esecuzione di impostazioni Security in STEP 7 Le impostazioni Security possono essere eseguite nel modo seguente e Tramite le singole schede nella propriet dell oggetto Nelle singole schede possono essere attivate ed eseguite funzioni Security specifiche per il CP Durante l esecuzione viene aperta la finestra di dialogo SCT corrispondente nella quale possono essere eseguite le impostazioni Security Nelle seguenti schede possono essere eseguire le impostazioni Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 53 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti Scheda Funzionamento Descrizione Security Attivare la Security e Le funzioni Security nelle singole schede si attivano e _ Siattiva il menu Modifica gt Security Con figuration Tool con il quale possibile aprire il Security Configuration Tool Qui possono essere es
196. gono descritte tutte le funzioni In base alla seguente tabella osservare le funzioni che riguardano le unit Security utilizzate Fare attenzione anche alle indicazioni supplementari nei titoli dei capitoli Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Tabella 1 1 Panoramica delle funzioni Introduzione e nozioni di base 1 3 Proprieta del prodotto Funzionamento Progettazione tramite CP x43 1 Adv CP 1628 SCALANCE S V4 0 Security Configuration Tool Security Configuration Tool integrato in STEP 7 Compatibilit con elenchi IP Access Control ACL Generale Router NAT NAPT Routing NAT NAPT nei collegamenti VPN Server DHCP Firewall Regole firewall locali Set di regole firewall globali Set di regole IP specifiche per l utente IPsec Realizzazione di tunnel IPsec Gestione utenti Gestione utenti Migrazione della gestione attuale degli utenti Autenticazione utente mediante server RADIUS Protocollo supportati SNMPv3 Server HTTPS Server FTPS Client FTPS Client NTP Client NTP protetto Client PPPoE Client DDNS client DNS LLDP xX X X X x Client MRP HRP X Logging Registrazione di eventi di sistema Registrazione di eventi Audit Registrazione di eventi filtro pacchetto Nozioni di base e applicaz
197. he autentica gli utenti durante l attivazione dei set di regole IP personalizzati al posto dell unit Security Assegnazione ai gruppi per tunnel VPN Vedere anche 60 Sb FS gruppi VPN definiscono quali unit Security SOFTNET Security Client e unit SCALANCE M dispositivi VPN e client VPN NCP Android devono comunicare tra loro tramite tunnel IPsec Assegnando questo nodo di rete ad un gruppo VPN possibile realizzare un tunnel di comunicazione tramite una VPN Virtual Private Network Solo le unit dello stesso gruppo VPN possono comunicare tra loro in modo protetto tramite tunnel per cui le unit possono far parte simultaneamente di diversi gruppi VPN Progettazione di ulteriori propriet dell unit Pagina 167 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti 2 4 5 Definizione dei valori di inizializzazione standard per un progetto Definizione dei valori di inizializzazione standard per un progetto Con i valori di inizializzazione standard si definiscono le propriet che vengono riprese automaticamente durante la creazione di nuove unit Dalla casella di controllo Salva selezione definire inoltre se durante la creazione di una nuova unit deve aprirsi una finestra per l impostazione delle propriet o se l unit viene inserita direttamente Selezionare
198. i 004 ii iers aa ALt EER 18 1 3 2 Strutture d insiemMe i a a a ae li 20 1 3 3 Regole per nome utente ruoli e password nsetti ttnn nennen nr nennen 21 1 3 4 Sost ne de UN A a a a Lella ale 23 1 4 Impiego del SOFTNET Security Client i 24 1 5 Impiego di SCALANGCE 5602 rica ea la e a 25 1 6 Impiego di SCALANCE S612 S623 e S627 2M renns ene 28 1 7 Impiego dell interfaccia DMZ di SCALANCE S623 e SCALANCE S627 2M 31 1 8 Impiego delle porte dei modulo mediali di SCALANCE S627 2M 34 1 9 Impiego di CP 343 1 Advanced e CP 443 1 Advanced i 35 1 10 Impiego del GP 1628 2 v sirprna WGS una Ina glia LIDO a nie aula nai 38 1 11 Progettazione e amministrazione 40 2 Progettazione con Security Configuration Tool 41 2 1 Panoramica Potenzialit e tipi di funzionamento i 41 2 2 Installazione del Security Configuration Tool ene 43 2 2 1 Sistemi operativi supportati i 43 2 3 Superficie operativa e voci di MENU i 45 2 4 Creazione e gestione di progetti nenna 51 2 4 1 Security Configuration Tool variante standalone nnn 51 2 4 2 Security Configuration Tool in STEP 7 51 2 4 3 Migrazione di datl STEP 7 i i pieni ia ARIAL e aiaa 55 2 4 4 Informazioni gener
199. i corrispondenti Il diritto selezionabile in STEP 7 Modifica dell elenco di accesso M non viene trasmesso dopo I SCT Per poter trasmettere le autorizzazioni di accesso IP supplementari nell SCT Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 119 Progettazione di firewall 4 1 CP in modalit standard necessario assegnare all utente corrispondente il diritto utente Web Estendi elenco IP Access Control Nota Comportamento modificato dopo la migrazione e Dopo la migrazione la protezione di accesso ha ancora effetto solo sull interfaccia esterna Per consentire che la protezione di accesso abbia effetto anche sull interfaccia interna configurare le regole firewall corrispondenti dall SCT nella modalit estesa e L unit Security risponde anche alle richieste ARP di indirizzi IP non abilitati Layer 2 e Se si migra un elenco IP Access Control senza voci il firewall viene attivato e al CP non pi possibile accedere dall esterno Per consentire che il CP sia raggiungibile configurare le regole firewall corrispondenti nell SCT A questa funzione si accede nel modo seguente Voce di menu SCT Contrassegnare l unit Security da modificare e selezionare la voce di menu Modifica gt Propriet scheda Firewall Voce di menu STEP 7 Protezione di accesso IP gt Avvio della configurazione firewall pulsante Esegui Tabella 4 3 Indicazioni
200. i di sentita comunicazione selezionate viene ammesso Protocollo S7 consentito x Porta TCP 102 Viene ammessa la comunica zione dei nodi di rete tramite il protocollo S7 Consenti FTP FTPS mo x Porta TCP 20 Per la gestione dei file e l ac dalit esplicita Porta TCP 21 cesso ai file tra server e client Consenti HTTP x Porta TCP 80 Per la comunicazione con un Web server Consenti HTTPS x Porta TCP 443 Per la comunicazione protetta con un Web Server ad es per la diagnostica Web Consenti DNS x Porta TCP 53 ammesso il collegamento di Porta UDP 53 Comunicazione con un server DNS Consenti SNMP x Porta TCP Per la sorveglianza dei nodi di 161 162 rete con funzione SNMP Porta UDP 161 162 Consenti SMTP x Porta TCP 25 Per lo scambio di e mail tra utenti autenticati e un server SMTP Consenti NTP x Porta UDP 123 Per la sincronizzazione dell ora Consenti comunicazione x Il traffico MAC consentito livello MAC dall esterno alla stazione e viceversa Consenti comunicazione x Il traffico ISO consentito ISO dall esterno alla stazione e viceversa Consenti SICLOCK x telegrammi dell ora SICLOCK sono ammessi dall esterno alla stazione e viceversa 124 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 1 CP in modalit standard Tabella 4 6 Logging per set di regole IP e M
201. i di rete di una rete Ethernet Inoltre la trasmissione dei dati pu essere protetta dalla combinazione di diverse misure di sicurezza quali firewall NAT NAPT Router e VPN Virtual Private Network tramite IPsec Tunnel da e spionaggio dei dati e manipolazione dei dati e accessi indesiderati Le funzioni Security del CP x43 1 Adv vengono configurare con lo strumento di progettazione Security Configuration Tool integrato in STEP 7 Service Computer con SOFTNET a MESSE sorer a Security Client VPN tramite tunnel IPsec Re Computer di gestione della produzione con CP 1628 Rete esterna S7 400 con CP 443 1 Advanced H CI TI Firewall Ta Dl Router S7 300 con CP 343 1 Advanced Industrial SCALANCE S TI NAT NAPT I I Router I l I I T 1E PB W a HM H a iS ET 200S Ri I I BEEEESEE n e I NF I OP 270 E I I I ET 200X l I interno Servizio amp supervisione J interno Cella di automazione J I ra III fee die ceco Ss Figura 1 6 Configurazione della rete con CP x43 1 Adv Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 35 Introduzione e nozioni di base 1 9 Impiego di CP 343 1 Advanced e CP 443 1 Advanced Funzioni di sicurezza 36 Firewall IP Firewall con Stateful Packet Inspection layer 3 e 4 Firewall anche per telegr
202. i nodi di rete un unit SCALANCE S in modalit Bridge offre anche la possibilit di inizializzarli automaticamente La configurazione statica dei nodi di rete descritta nel seguente capitolo Configurazione di ulteriori nodi e sottoreti per il tunnel VPN Pagina 224 Le informazioni relative all apprendimento automatico di nodi interni si trovano nel seguente capitolo Tipo di funzionamento della modalit di programmazione Pagina 226 CP x43 1 Adv e CP 1628 6 9 1 Significato 224 e CPx43 1 Adv Selezionare se la comunicazione via tunnel al CP e o alla sottorete interna per partner del collegamento VPN in modalit Routing SCALANCE S M dispositivo VPN NCP client VPN Android consentita e CP 1628 Inserire i nodi NDIS che devono essere raggiungibili attraverso il tunnel dai partner del collegamento VPN in modalit Routing SCALANCE S M dispositivo VPN NCP client VPN Android Configurazione di ulteriori nodi e sottoreti per il tunnel VPN Aggiungendo un unit Security ad un gruppo VPN vengono abilitati automaticamente i nodi interni le sottoreti locali dell unit Security per la comunicazione via tunnel VPN Per consentire la comunicazione tramite tunnel VPN con altre sottoreti o nodi di altre sottoreti queste sottoreti o nodi devono essere abilitati per la comunicazione VPN tramite la configurazione Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04
203. i progetti Utilizzo di nomi simbolici non definiti Nell ambito della progettazione di unit Security possibile utilizzare anche nomi simbolici che non sono ancora definiti Dopo l inserimento di un nome simbolico non ancora definito e la conferma della relativa finestra di dialogo il nome simbolico selezionato viene inserito nella tabella dei nomi simbolici In questa finestra di dialogo quindi possibile definire il relativo indirizzo IP e o indirizzo MAC per nomi simbolici Se si cancella una voce dalla tabella i nomi simbolici utilizzati nei servizi vengono mantenuti In questo caso il controllo della coerenza riconosce i nomi simbolici non definiti Questo vale indipendentemente dal fatto che si sia definito o meno il nome simbolico in seguito Suggerimento Per la tabella qui descritta particolarmente sensato l impiego del controllo della coerenza in tutto il progetto In base all elenco si possono riconoscere e correggere incoerenze Avviare il controllo della coerenza per un progetto aperto con la voce di menu Opzioni gt Controlli della coerenza Controllo della coerenza vanno osservate queste regole Vedere anche 64 Per l inserimento rispettare le regole riportate qui di seguito e nome simbolico deve essere preceduto da un carattere cancellato e L assegnazione di un nome simbolico ad un indirizzo IP o ad un indirizzo MAC deve essere univoco Il nome simbolico e l indirizzo devono essere inseriti
204. i pu essere inserito rispettivamente un modulo mediale elettrico o ottico con due porte In questo modo l interfaccia esterna ed interna pu essere ampliata rispettivamente di due porte In modalit routing le porte supplementari dell unit Security possono essere utilizzate per il collegamento dell interfaccia esterna e interna alle topologie ad anello Ridondanza dell anello con MRP o HRP 34 SCALANCE S627 2M supporta i protocolli MRP e HRP sulle porte modulo mediale dell interfaccia esterna ed interna come client Come nodo di un anello MRP HRP uno SCALANCE S627 2M pu proteggere una cella di automazione sottostante o un anello sottostante Questa protezione pu essere eseguita anche in modo ridondante guasti di linea vengono riconosciuti da un manager dell anello separato ad es da uno SCALANCE X308 e compensati dalla deviazione del percorso di comunicazione SCALANCE X308 Manager dell anello SCALANCE S627 2M Interna Cella di automazione 2 E iI in wm TENS ataamua amn am amm amn am amn a Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Introduzione e nozioni di base 1 9 Impiego di CP 343 1 Advanced e CP 443 1 Advanced 1 9 Impiego di CP 343 1 Advanced e CP 443 1 Advanced Concetto di protezione della cella compito del CP x43 1 Adv Con Industrial Ethernet Security possibile proteggere singoli apparecchi celle di automazione o segment
205. i tutti gli utenti del progetto e i relativi diritti nonch essere definite le direttive password Nome simbolico In un progetto al posto di indirizzi IP e indirizzi MAC possibile assegnare nomi simbolici in una tabella Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti Impostazioni specifiche per l unit La maggior parte di funzioni vengono configurate nelle schede della finestra di dialogo delle propriet che pu essere richiamata per un unit Security selezionata tramite la voce di menu Modifica gt Propriet Nella finestra di dialogo delle propriet possibile ordinare a piacere le singole finestre tramite Drag amp Drop Nella seguente tabella sono illustrate le descrizioni delle funzioni delle singole schede Funzione scheda nella finestra di dialogo delle propriet disponibile nella modalit Standard estesa Interfacce X X Panoramica delle singole impostazioni delle interfacce e delle porte Per CP Le impostazioni vengono acquisite da STEP 7 e non possono essere modificate Firewall X X Nella modalit standard attivare il firewall con semplici regole standard Inoltre possibile attivare le impostazioni Log Nella modalit estesa possibile definire regole del filtro pac chetto dettagliate Inoltre possibile definire impostazioni di log es
206. i valori valgono per i tele grammi IP e ARP Nota Elaborazione per CP S7 S7 CP Vengono elaborate solo impostazioni relative ai frame ISO con DSAP SSAP FE hex Altri tipi di frame non sono rilevanti per i CP S7 e vengono quindi respinti dal firewall gi prima dell elaborazione Impostazioni specifiche per servizi SIMATIC NET Per il filtraggio di servizi SIMATIC NET specifici utilizzare le seguenti impostazioni SNAP e DCP Primary Setup Tool PROFINET IO e SICLOCK OUI 08 00 06 hex OUI Type 01 00 hex Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 161 Progettazione di firewall 4 3 Firewall in modalit estesa 4 3 12 configurazione di gruppi di servizi Formazioni di gruppi di servizi possibile riunire diversi servizi formando gruppi di servizi In questo modo possibile realizzare servizi complessi che possono essere utilizzati nelle regole del filtro pacchetti selezionando semplicemente il nome Finestre di dialogo scheda La finestra di dialogo si apre con la seguente voce di menu Opzioni gt Servizi IP o Servizi MAC scheda Gruppi di servizi sassi D Definizione dei servizi D Management gupp Servizi iP KCMP_ Gruppi d serva Gra Nome So Group Group Grow Descrizione n 0 Definizione dei servizi gt o o x Semia IP CMP_ Gruppi di servizi Management gupp Gruppi Group Servizi No
207. ialogo Impostazioni IP DNS In base al tipo di unit progettato procedere nel modo seguente Per unit SCALANCE M875 e unit SCALANCE M 800 Selezionare se si intente realizzare il tunnel verso l unit tramite l indirizzo IP rilevato da ISP durante il tempo di esecuzione o alternativamente tramite un altro nome DNS Per CP S7 con DHCP attivato sull interfaccia GBit Inserire l indirizzo IP assegnato tramite DHCP Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 243 SOFTNET Security Client 8 5 Configurazione e modifica del tunnel 244 5 Selezionare se per i nodi interni dell unit Security devono essere attivati collegamenti via tunnel iii SOFTNET Security Client Activation Of Configuration X Activate tunnel connection for all internal members Se non si avvia ancora l attivazione quest ultima pu essere eseguita in qualsiasi momento nella finestra di dialogo Panoramica tunnel descritta di seguito Dopo aver selezionato l attivazione dei collegamenti tramite tunnel vengono realizzati i collegamenti via tunnel tra il SOFTNET Security Client e le unit Security Questa procedura pu durare un certo tempo 6 Aprire quindi la finestra di dialogo Panoramica tunnel Nella tabella vengono visualizzate le unit Security e i nodi interni con le informazioni di stato sui collegamenti via tunnel Se i moduli o i nodi non vengono visualizzati nella t
208. ibera Protocollo Porta sorgen te Nome del tipo di protocollo Viene eseguito un filtraggio in base al numero di porta qui indicato esso definisce l accesso al servi zio nel mittente del telegramma TCP UDP Tutti Nella selezione del protocollo Tutti non possibile una specificazione della porta Esempi La porta non viene controlla ta 20 o 21 FTP Service Porta di desti nazione Viene eseguito un filtraggio in base al numero di porta qui indicato esso definisce l accesso al servi zio nel destinatario del telegramma Nella selezione del protocollo Tutti non possibile una specificazione della porta Esempi La porta non viene controlla ta 80 Web HTTP Service 102 Protocollo S7 TCP Port 154 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa 4 3 8 definizione dei servizi ICMP Con l aiuto delle definizioni del servizio ICMP possibile definire le regole del firewall che vengono utilizzate su determinati servizi ICMP Per questo si assegna un nome e si assegnano al nome i parametri del servizio servizi definiti possono essere riuniti in gruppi con un nome di gruppo Per la progettazione delle regola del filtro pacchetto utilizzare questo nome di gruppo A questa funzione si accede nel modo seguente e Con la voce di menu Opzioni gt Servizi IP
209. ica consentito zione livello dall interno MAC all esterno e viceversa Consenti x x Il traffico ISO comunica consentito zione ISO dall interno all esterno e viceversa Consenti x x telegrammi SICLOCK dell ora SiClock sono ammessi dall interno verso l esterno e viceversa Consenti x x Il traffico DCP DCP per l assegna zione di indirizzi IP ammesso dall interno verso l esterno e viceversa Tabella 4 8 Logging per set di regole IP e MAC Set di regole Impostazioni IP Log Operazione in caso di attivazione Registrazione dei pacchetti via tunnel Attiva solo se l unit Security un nodo di un gruppo VPN Viene eseguito il logging di tutti i pacchetti IP che sono stati inoltrati via tunnel Registrazione dei pacchetti in ingresso bloccati Viene effettuato il logging di tutti i pacchetti IP in ingresso che sono stati respinti Registrazione dei pacchetti in uscita bloccati Viene effettuato il logging di tutti i pacchetti IP in uscita che sono stati respinti Impostazioni MAC Log Registrazione dei pacchetti via tunnel Attiva solo se l unit Security un nodo di un gruppo VPN Viene eseguito il logging di tutti i pacchetti MAC che sono stati inoltrati via tunnel Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 133 Progettazione di firewall 4 2 SCALANCE S in modal
210. icato Osservazioni Combinazione dei tasti Offline Preimpostazione Commutazione nella visualizzazio Ctrl Maiu D ne di progettazione offline Online Commutazione nella visualizzazione di diagnostica Ctrl D online Options Servizi IP Apre la finestra di dialogo per le definizioni dei servizi per le regole IP Firewall La voce di menu visibile solo in modalit estesa Servizi MAC Apre la finestra di dialogo per le definizioni dei servizi per le regole MAC Firewall La voce di menu visibile solo in modalit estesa Adattatore di rete Tramite l adattatore di rete selezionato a SCALANCE S viene assegnato un indirizzo IP Lingua Seleziona la lingua visualizzata nell interfaccia SCT Per il SCT in STEP 7 la lingua dell interfaccia SCT viene definita tramite la selezione della lingua in STEP 7 File Log Visualizzazione dei file Log salvati Symbolic Names Impostazione di nomi simbolici per indirizzi IP o MAC Configurazione del server Imposta e modifica il server NTP NTP Configurazione del server Creazione e modifica del server RADIUS RADIUS Controlli della coerenza Controllare la coerenza dell intero progetto Come risultato viene visualizzato un elenco dei risultati Gestione utenti Creazione e modifica di utenti e ruoli assegnazione di diritti e definizione di direttive password Manager dei certificati
211. icazione selezionate viene autorizza ta Protocollo x x x x Porta TCP Viene ammes S7 consen 102 sa la comuni tito cazione dei nodi di rete tramite il proto collo S7 Consenti x x x x Porta TCP Per la gestione FTP FTPS 20 dei file e l ac modalit Porta TCP CeSS0 ai file tra esplicita 21 server e client Consenti x x x x Porta TCP Per la comuni HTTP 80 cazione con un Web server Consenti x x x x Porta TCP Per la comuni HTTPS 443 cazione protet ta con un Web Server ad es per la diagno stica Web Consenti x x x Xx Porta TCP ammesso il DNS 53 collegamento di Porta UDP comunicazione 53 con un server DNS Consenti x x x x Porta TCP Per la sorve SNMP 161 162 glianza dei nodi Porta UDP direte con 161 162 funzione SNMP Consenti x x x x Porta TCP Per lo scambio SMTP 25 di e mail tra utenti autenti cati e un server SMTP Consenti x x x x Porta UDP Per la sincro NTP 123 nizzazione dell ora Nozioni di base e applicazione Security 132 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 2 SCALANCE S in modalita standard Servizio Interno gt Esterno gt Interno gt DMZ gt in Dallin Dall ester Porte abili Significato esterno interno DMZ teim terno no tate EZ EZS Consenti x x x UDP porta ammessa la DHCP 67 UDP comunicazione porta 68 con un server DHCP Consenti x x Il traffico MAC comun
212. iene suppor tato solo il procedimento PAP Password Authentication Protocol Commento Inserimento opzionale a scelta Risultato stato definito un server RADIUS ed esso pu essere assegnato solo alle unit Security desiderate Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 79 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti 2 5 6 3 Assegnazione del server RADIUS ad un unit Security Requisito richiesto stato definito un server RADIUS Procedimento Vedere anche 80 AA O N gt Selezionare l unit Security che si vuole assegnare ad un server RADIUS Selezionare la voce di menu Modifica gt Propriet Selezionare la scheda RADIUS Attivare la casella di controllo Attiva autenticazione RADIUS Nota Modifica del metodo per l autenticazione con Webserver sull unit Security Se viene attivata l autenticazione RADIUS sull unit Security il metodo di autenticazione con il Webserver viene commutato da Digest Access Authentication a Basic Access Authentication Inserire nella casella di inserimento Timeout RADIUS il tempo in secondi che deve attendere al massimo l unit Security per la risposta del server RADIUS Inserire nella casella di inserimento Ripetizioni RADIUS il numero di tentativi di collegamento con il server RADIUS Attivare la casella di controllo Con
213. igurato Pagina 210 Nota Se si creano pi SOFTNET Security Client all interno di un gruppo non vengono realizzati tunnel tra questi client ma solo dal relativo client alle unit Security File di configurazione per il SOFTNET Security Client L interfaccia tra lo strumento di progettazione Security Configuration Tool e il SOFTNET Security Client viene comandata con i file di configurazione Workstation Computer Ss Esportazione della configurazione per w _ _ T _ _ _T _r _r__l A SOFTNET Security Client mediante PP SOFTNET ud Security Client lt lt La configurazione viene memorizzata nei seguenti tipi di file e dat e p12 e cer Nozioni di base e applicazione Security 238 Manuale di progettazione 12 2014 C79000 G8972 C286 04 SOFTNET Security Client 8 3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool Procedimento Per generare i file di configurazione eseguire le seguenti operazioni in SCT 1 Creare in SCT un unit del tipo client SOFTNET Security J Security Configuratica Tool Kenfiguratien 1 CASCT Kenfiguration 1 Progetto Modifica Inserisci Trasferisci Visualizza Opzioni De ax FAH bS Meuslizzazione offline indirizzo IP est Mascherasotiorete indirizzo IP int Maschera sotto re Teeuw 3 8307001 L 9627 2M v 102 168 10 1 255 255 255 0 bayor Baugr coe 623 V 192 168 102 255 255 255
214. il che modo gli utenti creati in STEP 7 devono essere migrati nella gestione utenti SCT Qui sono disponibile le seguenti azioni per la selezione Azione Acquisisci come Descrizione L utente viene migrato con un altro nome della gestione utenti SCT Inserire il nome nella colonna Nome utente migrato Nell SCT all utente migrato viene assegnato un ruolo generato automatica mente Unisci Se in un progetto SCT gi creato un utente con lo stesso nome entrambi gli utenti vengono uniti Il ruolo dell utente SCT viene esteso ai diritti selezionati dell utente migrato Non acquisire L utente viene dell unit Security non viene migrato nella gestione utenti SCT Non possibile una migrazione successiva Nota seguenti dati non vengono migrati e Password di utenti gi creati in STEP 7 Per questo motivo per ogni utente selezionare in che modo esso deve essere migrato e indicare una nuova password con il pulsante Assegna password e L utente everybody definito dal sistema disponibile in STEP 7 Anche i relativi diritti per gli utenti migrati non vengono acquisiti Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 55 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti Nota Gli utenti e i relativi ruoli possono essere adattati dopo la migrazione nella gestione utente del Security Configuration To
215. ile inserire l indirizzo IP nella casella di inserimento Conversione sorgente in quanto esso viene rilevato dinamicamente nel tempo di esecuzione Possibili azioni di conversione di indirizzi per NAT Nelle seguenti tabelle sono illustrate le possibilit di inserimento per la conversione di indirizzi con NAT Azione Destination NAT Redirect 172 L azione Destination NAT pu essere eseguita nella seguente direzione e Daesterno a interno Se attivata l interfaccia DMZ dell unit Security solo SCALANCE S623 S627 2M l azione Destination NAT pu inoltre essere eseguita nelle seguenti direzioni e Da esterno a DMZ e Da DMZ a interno e Da DMZ a esterno Se l unit SCALANCE S si trova in un gruppo VPN non per SCALANCE S602 l azione Destination NAT pu inoltre essere eseguita nelle seguenti direzioni e Da tunnel a interno e Datunnela esterno e Da tunnel a DMZ solo con l interfaccia DMZ attivata Per la direzione Da esterno a interno vale ad esempio Dell indirizzo IP di destinazione di un telegramma proveniente dalla rete esterna ne viene controllata la corrispondenza con l indirizzo IP indicato nella casella di inserimento Indirizzo IP di destinazione In caso di corrispondenza il telegramma viene inoltrato nella rete interna sostituendo l indirizzo IPO di destinazione del telegramma con l indirizzo IP indicato nella casella di inserimento Conversione destinazione possibile l accesso dall esterno all in
216. inale deve essere maggiore dell indirizzo iniziale e Gili indirizzi IP che si inseriscono nell elenco di indirizzi nel campo di immissione Assegnazione statica di indirizzo devono trovarsi nel campo di indirizzi della sottorete interna o nella rete DMZ dell unit Security Osservare le descrizioni nel capitolo Controlli di coerenza Pagina 61 Nozioni di base e applicazione Security 188 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 3 Sincronizzazione dell ora 5 3 Sincronizzazione dell ora 5 3 1 Informazioni generali Significato Per il controllo della validit dell ora di un certificato e per il timbro dell ora di registrazioni log sull unit Security viene indicata la data e l ora Sono progettabili le seguenti alternative Posizioni automatiche dell ora dell unit con l ora del PC durante il caricamento di una configurazione Si Posizioni automatiche e sincronizzazione periodica dell ora tramite un server Network Time Protocol server NTP Nota Prima che le funzioni Security di un CP vengano utilizzate esse devono ricevere un telegramma di sincronizzazione dell ora valido dal master dell ora Sincronizzazione con un server NTP Per la creazione del server NTP valgono le seguenti regole I server NTP possono essere creati per tutto il progetto tramite il menu SCT Opzioni gt Configurazione del server NTP Assegnare un server NTP ad un
217. indirizzi IP WAN delle unit partner In alternativa ad un indirizzo IP WAN pu essere inserito anche un FQDN Se sull unit Security stato configurato simultaneamente DNS dinamico questo FQDN deve corrispondere all FQDN inserito nella scheda DNS registrato da un provider per il DNS dinamico Nelle propriet VPN specifiche per il collegamento possibile definire se deve essere utilizzato l indirizzo IP esterno l indirizzo IP dell interfaccia DMZ solo SCALANCE S623 S627 2M o l indirizzo IP WAN l FQDN Ulteriori informazioni relative alle propriet VPN specifiche per il collegamento si trovano nel seguente capitolo Progettazione delle propriet VPN specifiche per il collegamento Pagina 215 Se non viene inserito nessun punto di accesso come punto terminale VPN viene utilizzato l indirizzo IP esterno o l indirizzo IP dell interfaccia DMZ solo SCALANCE S623 S627 2M Per le unit SCALANCE M 800 progettate come responder necessario indicare un punto di accesso Nozioni di base e applicazione Security 214 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa GPRS Internet Gateway ni ca ma a SCALANCE M Indirizzo IP interno di un unit Security Indirizzo IP esterno di un unit Indirizzo IP di un Internet Gateway ad es gateway GPRS Indirizzo IP indirizzo IP WAN di un Internet G
218. individuale delle regole del firmware e della funzionalit di sicurezza Commutazione nella modalit estesa Commutare in modalit estesa per tutte le funzioni descritte in questo capitolo Nota Non possibile una ricommutazione alla modalit standard Non appena stata modificata la configurazione per il progetto attuale non pi possibile annullare una commutazione nella modalit estesa precedentemente eseguita Rimedio SCT Standalone Chiudere il progetto senza salvarlo e aprirlo di nuovo Sono supportati i nomi simbolici Nelle funzioni descritte di seguito possibile inserire indirizzi IP o indirizzi MAC anche come nomi simbolici Per ulteriori informazioni relative ai nodi simbolici vedere il capitolo e Impostazione di nomi simbolici per indirizzi IP MAC Pagina 62 4 3 1 Progettazione del firewall in modalit estesa Significato Rispetto alla progettazione di regole del filtro pacchetto preimpostate in modo fisso nella modalit standard nella modalit ampliata possibile progettare regole del filtro pacchetto individuali dal Security Configuration Tool Le regole del filtro pacchetto si impostato nelle schede selezionabili per i seguenti protocolli e Layer 3 4 Protocollo IP servizi IP e Layer 2 Protocollo MAC servizi MAC Nota Nessuna regola MAC con la modalit Routing attivata Se per l unit Security stata attivata la modalit Routing le regole MAC non vengono utilizzate le finest
219. ine dell installazione di STEP 7 sul PG PC si accede tramite il menu di avvio Start gt Tutti i programmi gt Siemens Automation gt Documentazione Vedere anche Link alla documentazione http www automation siemens com simatic portal html_00 techdoku htm Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 269 Bibliografia B 2 CP S7 Perla progettazione la messa in servizio e l utilizzo del CP B 2 CP S7 Per la progettazione la messa in servizio e l utilizzo del CP nI SIMATIC NET CO S7 per Industrial Ethernet Progettazione e messa in servizio Manuale parte A Applicazioni generali Manuale di progettazione Siemens AG SIMATIC NET Manual Collection In Internet alla seguente ID articolo 30374198 http support automation siemens com WW view it 30374198 12 SIMATIC NET CP S7 per Industrial Ethernet Manuale parte B Manuale Siemens AG SIMATIC NET Manual Collection In Internet si trovano i manuali per i singoli CP alla seguente ID articolo CP 343 1 Advanced GX31 28017299 http support automation siemens com WW view it 28017299 CP 443 1 Advanced GX30 59187252 http support automation siemens com WW view it 59187252 B 3 Per la progettazione con STEP 7 NCM S7 RBI SIMATIC NET NCM S7 per Industrial Ethernet Prontuario di esempi applicativi Siemens AG parte integrante della documentazione online in STEP 7 Nozio
220. ing values Authentication Remote Cert Local Certificate Konfiguration 1 U47422A8D GBOF9 Baugruppel_Cert pem Local ID U47422A8D GBOF9 Remote Certificate Konfiguration 1 Gruppel Baugruppe2 cer Remote ID U6B2BC2B5 GBOF9 Zeile 1 Spalte 1 e Certificati del gruppo VPN dell unit Tipo di dati della chiave privata File p12 Il file contiene il certificato del gruppo VPN dell unit e il relativo materiale codificato L accesso protetto da password e Certificati CA di gruppi VPN Tipo di file File cer Nota I file di configurazione non vengono trasmessi all unit Viene generato un file ASCII con il quale possibile configurare le propriet rilevati per la VPN di SCALANCE M A tal fine l unit deve trovarsi almeno in un gruppo VPN con un unit Security o un SOFTNET Security Client a partire dalla versione V3 0 Nota Protezione dei file di configurazione esportati da accesso non autorizzato Dai file di configurazione esportati dal Security Configuration Tool per SCALANCE M possibile ottenere informazioni rilevanti per la sicurezza Per questo motivo assicurarsi che i file siano protetti da accesso non autorizzato Questo va osservato in particolare in caso di inoltro dei file Generazione dei file di configurazione 218 1 Selezionare l unit da modificare 2 Selezionare la voce di menu Trasferisci gt Alla alle unit Nozioni di base e applicazione Securi
221. interni ed esterni Il CP x43 1 Adv ripartisce le reti in due aree e rete interna aree protette con nodi interni nodi interni sono quelli protetti da un CP x43 1 Adv e rete esterna aree non protette con nodi esterni nodi esterni sono quelli che si trovano fuori dall area protetta Nota Le reti interne vengono considerate sicure fidate Collegare un segmento di rete interno a segmenti di rete esterni solo tramite il CP x43 1 Adv Non devono esistere altri percorsi di collegamento tra rete interna ed esterna Informazioni relative alle funzioni generali del CP x43 1 Adv Nel presente manuale si trovano informazioni relative alle funzioni Security del CP x43 1 Adv Per le descrizioni relative alle funzioni generali vedere e 1 Pagina 270 e 2 Pagina 270 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 37 Introduzione e nozioni di base 1 10 Impiego del CP 1628 1 10 Impiego del CP 1628 Concetto di protezione della cella compito del CP 1628 Computer di gestione della produzione con CP 1628 Industrial I meccanismi di sicurezza integrati del CP 1628 consentono la protezione di sistemi di computer compresa la relativa comunicazione dei dati all interno di una rete di automazione o l accesso remoto protetto tramite Internet Il CP 1628 consente l accesso a singoli apparecchi o a intere celle di automazione protette tramite unit Securit
222. ion Tool 2 4 Creazione e gestione di progetti e DHCP e NTP Formazione di nomi simbolici Il nome simbolico deve essere preimpostato sia durante la definizione sia in caso di utilizzo di un carattere cancelletto nomi simbolici stessi devono essere conformi a DNS Validit e univocit La validit dei nomi simbolici indicati nella tabella limitata alla progettazione all interno di un progetto Security All interno del progetto ad ogni nome simbolico deve essere assegnato in modo univoco un solo indirizzo IP e o indirizzo MAC Finestra di dialogo per la definizione di nomi simbolici Per evitare incoerenze tra un assegnazione Indirizzo IP nome simbolico e Indirizzo MAC nome simbolico i nomi simbolici vengono gestiti in una singola tabella Definizione di nomi simbolici 1 Azionare il pulsante Aggiungi per inserire un nuovo nome simbolico nella successiva riga libera della tabella 2 Inserire un carattere cancelletto seguito dal nome simbolico desiderato conforme a DNS 3 Completare la voce con l indirizzo IP e o l indirizzo MAC 3 Nome simoblico aa Inserire in ciascuna riga un nome e un indirizzo IP e o un indirizzo MAC Nome Indirizzo IP Indirizzo MAC 8SPS1 192 168 56 2 SPS2 00 0E 8C 01 23 45 Aggiungi OK Annulla Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 63 Progettazione con Security Configuration Tool 2 4 Creazione e gestione d
223. ion Tool dipendono dalla visualizzazione selezionata e Modalit standard In modalit standard il Logging locale attivato come standard gli eventi del filtro pacchetto possono essere attivati globalmente nella scheda Firewall In questa visualizzazione non possibile il Network Syslog e Modalit estesa Tutte le funzioni di logging possono essere attivate o disattivate nella scheda Impostazioni Log di un unit gli eventi del filtro pacchetto devono inoltre essere attivati in modo selettivo nella scheda Firewall regole locali o globali Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 255 Funzioni online Diagnostica e logging 9 2 Registrazione di eventi logging Metodi di registrazione e classi di evento Nella configurazione possibile definire i dati che devono essere registrati In questo modo la registrazione si attiva gi durante il caricamento della configurazione nell unit Security Inoltre selezionare nella configurazione uno o entrambi i metodi di registrazione possibili e Logging locale e Network Syslog L unit Security conosce i seguenti eventi per entrambi i metodi di registrazione Funzionamento Tipo di funzione Eventi pacchetto filtro firewall Il Log filtro pacchetto registra determinati pacchetti del traffico di dati Vengono regi strati solo pacchetti di dati interessati da una regola filtro pacchetto progettata firewall o sui q
224. ione ad es SCALANCE_SSC_Konfiguration1 non la password del progetto Se si seleziona S raccomandato necessario inserire una password nella finestra successiva 7 Trasferire i file del tipo dat p12 cer nel PG PC nel quale si intende utilizzare il client SOFTNET Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 239 SOFTNET Security Client 8 4 Comando del SOFTNET Security Client 8 4 Comando del SOFTNET Security Client Propriet configurabili In particolare si possono utilizzare i seguenti servizi e Configurazione della comunicazione via tunnel IPsec protetta VPN tra il PC PG e tutte le unit Security o di singole unit Security di un o pi progetti Tramite questo tunnel IPsec il PC PG pu accedere all unit Security e ai nodi interni dell unit Security e Disattivazione e attivazione di collegamenti sicuri gi configurati e Configurare i collegamenti nei terminali di dati aggiunti in seguito A tal proposito deve essere attivata la modalit di apprendimento e Controllo di una configurazione vale a dire quali collegamenti sono configurati o possibili Per la configurazione il SOFTNET Security Client si richiama nel modo seguente Fare doppio clic sul simbolo della barra delle applicazioni di Windows o selezionare dal menu contestuale la voce di menu Ingrandisci SOFTNET Security Client About SOFTNET Security Client Select Language
225. ione IP configurata tramite PPPoE un router standard progettato viene ignorato in quanto l instradamento standard porta automaticamente all interfaccia PPPOE e Se nella scheda Interfacce l assegnazione di indirizzo configurata tramite Indirizzo statico e l unit Security collegata a Internet tramite un router DSL NAPT il router DSL deve essere inserito come router standard e Perle unit Security in modalit Ghost solo SCALANCE S602 V3 1 non sono progettabili router standard in quanto essi vengono rilevati durante il tempo di esecuzione Non sono progettabili instradamenti specifici per unit Security in modalit Ghost 5 1 3 Routing NAT NAPT Requisito richiesto e Il progetto si trova in modalit estesa e L unit Security si trova in modalit Routing o l interfaccia DMZ solo SCALANCE S623 S627 2M attivata A questa funzione si accede nel modo seguente 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda NAT NAPT 3 A seconda dell esigenza attivare una conversione di indirizzo in base a NAT Network Address Translation o NAPT Network Address Port Translation Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 169 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Conversione di indirizzo con NAT Network Address Translation NAT un protocollo
226. ione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 19 Introduzione e nozioni di base 1 3 Proprieta del prodotto nodo interno durante l esecuzione e acquisizione dell indirizzo IP per la porta esterna dell unit Security Funzionamento CP x43 1 Adv CP 1628 SCALANCE S V4 0 Messaggi Audit nei buffer di diagnosti x x ca dell unit Security Accesso tramite Security Configuration x x x Tool al buffer Log dell unit Security Diagnostica tramite Security Configu x x x ration Tool Invio di messaggi al server Syslog x x Diagnostica Web Modalit Ghost Rilevamento dell indirizzo IP di un x Zona demilitarizzata DMZ Configurazione di una DMZ per il di saccoppiamento della rete sicura dalla rete non sicura x Ridondanza router e firewall Versione ridondante delle unit Securi ty per ottenere la funzionalit router e firewall in caso di guasto di unit Secu rity x S62x 2 V4 0 x La funzione supportata La funzione non supportata 1 3 2 Strutture d insieme Nota Una panoramica competa delle strutture d insieme ammesse si trovano in Internet al seguente indirizzo http support automation siemens com WW view it 58217657 Strutture d insieme server NTP assegnabili per ciascuna unit Security Funzionamento CP x43 1 Adv CP 1628 SCALANCE S V4 0 Tunnel VPN per ciascuna unit Security max 32 max
227. ione protetta nella VPN tramite tunnel IPsec 6 3 Gruppi VPN Tabella 6 2 Comunicazione via tunnel tra CP unit SCALANCE M SOFTNET Security Client e unit SCALANCE S in modalit Routing x supportato non supportato Interfaccia Responder Interfaccia Initiator Esterno SCALANCE Esterno SCALANCE GBit IE Esterno DMZ SCALANCE M875 M 800 CP SCALANCE S623 S627 2M S PC PG x x x x x SSC Esterno x x x x SCALANCE M875 Esterno x x x x SCALANCE M 800 GBit IE x x x CP Esterno x x x SCALANCE S DMZ x x x SCALANCE S623 1 S627 2M Tabella 6 3 Comunicazione via tunnel tra CP SOFTNET Security Client e unit SCALANCE S in modalit Bridge Interfaccia Responder Interfaccia Initiator PC PG SSC GBit IE CP GBit IE CP Esterno SCALANCE S DMZ SCALANCE 623 S627 2M Esterno SCALANCE S x gt x x gt DMZ SCALANCE S623 S627 2M x supportato non supportato Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 203 Comunicazione protetta nella VPN tramite tunnel IPsec 6 3 Gruppi VPN 6 3 3 Creazione di gruppi VPN e assegnazione e assegnazione di unit Requisito richiesto Nota Data attuale e ora attuale sulle unit In caso di utilizzo di comunicazione protetta ad es HTTPS VPN fare attenzione che le un
228. irewall Configurazione di una DMZ Con SCALANCE S623 und dem SCALANCE S627 2M possibile configurare una DMZ zona demilitarizzata sull interfaccia supplementare Una DMZ viene spesso utilizzata se devono essere forniti servizi per una rete non protetta e la rete sicura che fornisce dati per questi servizi deve essere disaccoppiata dalla rete non protetta Nella DMZ possono essere ad es essere presenti Terminal Server con software di manutenzione e di diagnostica installati che possono essere utilizzati dalla rete esterna da utenti autorizzati In casi applicativi DMZ caratteristici l utente deve progettare regole firewall in modo che da Internet siano possibili accessi esterni ai server nella DMZ event protetti ulteriormente con un tunnel VPN ma non ad apparecchi nell area protetta interna Service Computer con SOFTNET Security Client Rete esterna he VPN Tunnel y SCALANCE 623 7 i FEDI l DMZ Terminal server Interna Cella di automazione e nun sn l l l Figura 1 3 Configurazione di una DMZ Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 31 Introduzione e nozioni di base 1 7 Impiego dell interfaccia DMZ di SCALANCE S623 e SCALANCE S627 2M Una configurazione generica nella quale l interfaccia DMZ viene utilizzata per la configurazione di una DMZ viene es
229. isponibili solo i dati di configurazione caricati per ultimi Importa e sostituisci Ha senso in caso di dati di configurazione modificati ad esempio modificata solo la configurazione nel progetto a i dati di configurazione del progetto b e c restano invariati e i dati di configurazione modificati vengono sostituiti nel progetto a non importare Ha senso se in un progetto stata aggiunta un unit Security La configurazione SSC esistente con le unit Security gi importate non viene modificata i nodi interni appresi di queste unit verrebbero persi con un altra opzione eey SOFTNET Security Client Configuration Data Already Exists Configuration data already exist for the SOFTNET Security Client Should the stored configuration data be deleted C kept and merged with the new one whereas modules with identical IP addresses shall be C imported and replaced C not imported Cancel 3 Se come metodo di autenticazione in SCT stato selezionato Certificato indicare una password per il certificato della configurazione VPN Se non si indica nessuna password nell SCT come password viene acquisito il nome del progetto non la password del progetto dell utente connesso 4 Se durante la configurazione nel Security Configuration Tool stata progettata un unit SCALANCE M875 un unit SCALANCE M 800 o un CP S7 con DHCP attivato sull interfaccia GBit compare la finestra di d
230. it Security devono essere soddisfatti i seguenti requisiti e in atto un collegamento di rete con l unit selezionata e il progetto con il quale stata configurata l unit aperto e il modo di funzionamento online nel Security Configuration Tool attivo o la diagnostica online specifica per l unit stata aperta tramite il menu di scelta rapida e Peri CP deve essere abilitato l accesso per la diagnostica nel firewall TCP 443 Nota Presupposto per la diagnostica online in modalit Ghost La diagnostica online disponibile in modalit Ghost solo quando l unit Security ha appreso l indirizzo IP del nodo interno e ha acquisito la sua interfaccia esterna Successivamente l unit Security raggiungibile tramite l indirizzo IP dell interfaccia esterna Messaggio di avvertimento in caso di configurazione non attuale o di un altro progetto Se si richiama la finestra di dialogo online si controlla se la configurazione attuale sull unit Security e la configurazione del progetto caricato corrispondono Se le configurazioni sono diverse viene visualizzato un messaggio di avvertimento In questo modo viene segnalato che la configurazione non ancora stata aggiornata o che si utilizza il progetto errato Nozioni di base e applicazione Security 254 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Funzioni online Diagnostica e logging 9 2 Registrazione di eventi logging Visualizzazione dello stato di r
231. it interessate dispongano dell ora e della data attuale certificati utilizzati vengono altrimenti valutati non validi e la comunicazione protetta non funziona A questa funzione si accede nel modo seguente 1 Creare un gruppo VPN dalla voce di menu Inserisci gt Gruppo 2 Assegnare al gruppo VPN le unit i SOFTNET Security Client i dispositivi VPN e i client VPN NCP Android che devono appartenere ad un gruppo VPN Trascinare quindi con il mouse l unit nell area del contenuto sul gruppo VPN desiderato nell area di navigazione Drag and Drop 133 Security Configuration Tool Configuration 4 C SCT Configuration 4 STO a Progetto Modifica Inserisci Trasferisci Visualizza Opzio Pronto Utente attuale admin Ruolo attuale administrator Modalit standard Offline Progettazione delle propriet Come per la configurazione delle unit anche per la configurazione dei gruppi VPN le due visualizzazioni di comando selezionabili hanno effetto nel Security Configuration Tool e Modalit standard In modalit standard lasciare le preimpostazioni eseguite dal sistema Anche come non esperti possibile configurare tunnel IPsec e utilizzare una comunicazione di dati sicura e Modalit estesa La modalit estesa offre le possibilit di impostazione per la configurazione specifica della comunicazione via tunnel Nozioni di base e applicazione Security 204 Manuale di progettazione 12 2014 C79000 G8972 C286
232. it standard ingresso bloccati uscita bloccati Set di regole Operazione in caso di attivazione Registrazione dei pacchetti in Viene effettuato il logging di tutti i pacchetti MAC in ingresso che sono stati respinti Registrazione dei pacchetti in Viene effettuato il logging di tutti i pacchetti MAC in uscita che sono stati respinti 4 2 3 Progettazione del firewall per SCALANCE S lt V3 0 A questa funzione si accede nel modo seguente 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Firewall Nota Impostazioni firewall dettagliate nella modalit estesa In modalit estesa possibile limitare le regole firewall a singoli nodi Nota Non possibile una ricommutazione alla modalit standard Una commutazione nella modalit estesa per il progetto attuale non pu pi essere annullata Rimedio per SCT Standalone Chiudere il progetto senza salvarlo e aprirlo di nuovo Tabella 4 9 Servizi e direzioni disponibili Regola opzione Porte abilitate Solo comunicazione via tunnel Funzionamento Rappresenta l impostazione standard L opzione pu essere selezionata solo se l unit Security si trova in un gruppo VPN Con questa impostazione viene autorizzato solo il traffico di dati IPsec codificato possono comunicare tra loro solo nodi protetti dalle unit Secu rity con meccanismi VPN Se questa opzione
233. ite tunnel IPsec 6 2 Metodo di autenticazione 6 2 Metodo di autenticazione Metodo di autenticazione 200 Il metodo di autenticazione viene definito all interno di un gruppo VPN e determina il tipo di autenticazione utilizzata Vengono supportati metodi di autenticazione basati su codifica o basati su certificato e Preshared Keys L autenticazione avviene tramite una sequenza di caratteri precedentemente elaborata che viene ripartita su tutte le unit che si trovano nel gruppo VPN Inserire quindi nella finestra di dialogo Propriet del gruppo VPN nella casella Chiave una password o generare una nuova password con il pulsante Nuovo Certificato L autenticazione basata sul certificato Certificato l impostazione standard attivata anche in modalit standard Il comportamento il seguente Durante la creazione di un gruppo VPN per il gruppo VPN viene generato automaticamente un certificato CA Ogni unit che si trova nel gruppo VPN riceve un certificato di gruppo VPN firmato con la chiave dell autorit di certificazione del gruppo VPN Tutti i certificati sono basati sullo standard ITU X 509v3 ITU International Telecommunications Union certificati vengono generati da una posizione di certificazione contenuta in un Security Configuration Tool Nota Limitazioni in caso di funzionamento VLAN Nei telegrammi IP attraverso il tunnel VPN dell unit non viene trasmesso nessun tagging VLA
234. ito rispettivamente l indirizzo IP del partner del collegamento CP gt esterno Azione Da A attivo Allow Stazione Esterno Drop Esterno Stazione Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 143 Progettazione di firewall 4 3 Firewall in modalit estesa Accordi per regole firewall create automaticamente 144 CP gt esterno Azione Da A passivo Drop Stazione Esterno Allow Esterno Stazione attivo e passivo Allow Esterno Stazione Allow Stazione Esterno CP gt interno Azione Da A attivo Allow Stazione Interno Drop Interno Stazione passivo Drop Stazione Interno Allow Interno Stazione attivo e passivo Allow Interno Stazione Allow Stazione Interno Per collegamenti sul livello 2 vengono create regole Allow per entrambe le direzioni Se l unit Security si trova in un gruppo VPN la direzione cambia da Esterno a Tunnel Nella colonna Indirizzo MAC sorgente o Indirizzo MAC di destinazione di queste regole Firewall viene inserito rispettivamente l indirizzo MAC del partner del collegamento CP gt esterno attivo passivo attivo e passivo Azione Da A Allow Stazione Esterno Allow Esterno Stazione e Priorit Le regole hanno maggiore priorit e vengono quindi inserire in alto nell elenco di regole locale e Cancella regole I set di regole non possono essere can
235. iva sono marchi registrati di Siemens AG C PLUG CP 343 1 CP 443 1 Industrial Ethernet SCALANCE SIMATIC NET SOFTNET Simboli ricorrenti in queste istruzioni SPAVAO Il capitolo descritto la sezione descritta la riga descritta rilevante solo per SCALANCE S a partire da V3 0 S2V4 0 Il capitolo descritto la sezione descritta la riga descritta rilevante solo per SCALANCE S a partire da V4 0 STOYAMIS Il capitolo descritto la sezione descritta la riga descritta rilevante solo per SCALANCE S SCA M Il capitolo descritto la sezione descritta la riga descritta rilevante solo per SCALANCE M Vi Il capitolo descritto la sezione descritta la riga descritta rilevante per tutte le unit tranne SCALANCE M875 cio IV Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 5 Prefazione Il capitolo descritto la sezione descritta la riga descritta rilevante per tutte le unit tranne SCALANCE M Sb Il capitolo descritto la sezione descritta la riga descritta rilevante per tutte le unit Security tranne SCALANCE S602 AVENI Potter Il capitolo descritto la sezione descritta la riga descritta rilevante per tutte le unit Security tranne S lt V3 0 Il capitolo descritto la sezione descritta la riga descritta rilevante solo per SCALANCE S602 a partire da V3 1 Il capitolo descritto la sezion
236. izzato questo set di regole Selezionare quindi nell area di navigazione il set di regole IP personalizzato e trascinarlo sull unit Security nell area di navigazione Drag and Drop In alternativa possibile eseguire l assegnazione nell elenco delle regole locali di un unit Security Security tramite il pulsante Aggiungi set di regole Risultato e Il set di regole IP personalizzato viene utilizzato dalle unit Security come set di regole locale e compare automaticamente nell elenco specifico per l unit delle regole firewall e L utente pu effettuare il login all unit Security A seconda del metodo di autenticazione l autenticazione dell utente viene eseguita dall unit Security o da un server RADIUS 192168 2501 https 192 168 250 1 Portal Portal mwsi MainSelection USFW amp ci PRA e SCALANCE Benvenuti in SCALANCE S User Specific Firewall Effettuare il login Nome Password Login Nozioni di base e applicazione Security 142 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Aree dei valori per la durata massima della sessione Il tempo dopo il quale l utente viene disconnesso automaticamente pu essere definito durante la creazione o la modifica di un utente ed come standard di 30 minuti La durata della sessione pu essere prolungata del valore assegnato all utente nella pagina Web dell unit Security Ulteriori informazioni su
237. l VPN valgono in generale i seguenti requisiti e L unit SCALANCE S si trova in un gruppo VPN e L unit SCALANCE S si trova in modalit Routing e o l interfaccia DMZ dell unit SCALANCE S attivata e L interfaccia tunnel attivata Direzioni di conversione di indirizzi supportate Vengono supportate le direzioni di conversione di indirizzi descritte nel seguente capitolo Conversione di indirizzi NAT NAPT Pagina 172 Azioni di conversione di indirizzi supportate In caso di relazioni di comunicazione via tunnel vengono supportate le seguenti azioni di conversione di indirizzi e Destination NAT Redirect e Source NAT Masquerading e Source NAT e Destination NAT 1 1 NAT e NAPT Portforwarding Informazioni fondamentali sulle azioni di conversione di indirizzi si trovano nel seguente capitolo Conversione di indirizzi NAT NAPT Pagina 172 Nozioni di base e applicazione Security 178 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Accoppiamenti VPN supportati In combinazione con NAT NAPT vengono supportati i seguenti accoppiamenti VPN Accoppiamento VPN Il collegamento VPN viene inizializza La conversione di indirizzi to da viene eseguita da SCALANCE S a SCALANCE S b SCALANCE S a o SCALANCE S b SCALANCE S a e o SCALANCE S b SCALANCE S CP S7 CP PC SCALANCE S o CP S7 CP PC SCA
238. l elenco sono autorizzati Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Esempio interfacce Firewall Collegamento Intemet DNS_ Routing NAT NAPT Sincronizzazione dell ora impostazioni Log VPN DHCP Server SNMP Proxy ARP MRP HRP RADIUS Regole IP 3 Regole MAC inattive 0 Regole standard per servizi IP Azione Da Dopo Indirizzo IP sorgente Indirizzo IP di destin Servizio Larghezza di ban Logging N Stateful Commento Allow Interno Esterno ServiceX1 IP R_1 v Allow Esterno Interno 196 65 254 2 197 54 199 4 ServiceX2 IP R_2 v Drop Tunnel Interno ServiceX1 IP R3 Aggiungi regola Cancella regola I t Servizi IP Apri set regole Chiudi set regole OK__ Annulla Acquisisci 2 Le regole filtro pacchetto rappresentate causano il seguente comportamento Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 151 Progettazione di firewall 4 3 Firewall in modalit estesa Nodi interni Nodi esterni Unit Security esterne Firewall Tutti i tipi di telegramma dall interno all esterno sono bloccati come standard eccetto quelli autorizzati in modo esplicito Tutti i tipi di telegramma dall esterno all interno sono bloccati come standard eccet
239. l filtro pacchetto MAC La progettazione di una regola MAC comprende i seguenti parametri Tabella 4 16 Regole MAC Parametri Denominazione Significato Commento Possibilit di selezione campi dei valori Azione Definizione delle autorizzazioni abili e Allow tazione disabilitazione Autorizzazione di telegrammi in base alla definizione e Drop Disabilitazione di telegrammi in base alla definizione Per regole del collegamento create automaticamente e Allow e Drop Se si selezionano queste regole non ha luogo nessun livellamento con STEP 7 Le regole modificate non vengono quindi sovrascritte nell SCT Da A Le direzioni di comunicazione am Vengono descritte nella seguente tabella messe Indirizzo MAC sor Indirizzo sorgente dei pacchetti MAC In alternativa possibile inserire nomi simbolici gente Indirizzo MAC di Indirizzo di destinazione dei pacchetti destinazione MAC Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 157 Progettazione di firewall 4 3 Firewall in modalit estesa Denominazione Servizio Significato Commento Nome del servizio MAC o del gruppo di servizi utilizzato Any raggruppa le direzioni ammes se per la singola voce Possibilit di selezione campi dei valori La casella di riepilogo a discesa offre per la selezione i servizi progettati e i gruppi dei servizi Nessuna indicazione significa
240. l interfaccia interna n sull interfaccia esterna Durante il tempo di esecuzione l unit Security invece rileva l indirizzo IP per la propria interfaccia esterna da un nodo collegato all interfaccia interna dell unit Security e i cui parametri di indirizzo IP possono essere sconosciuti al momento della progettazione Non possibile una modifica dell indirizzo IP del nodo interno e una modifica di indirizzo IP correlato sull interfaccia esterna Poich il nodo interno viene identificato in base al suo indirizzo MAC le modifiche di indirizzo IP vengono eseguite solo per gli indirizzi MAC appresi Sull interfaccia interna dell unit Security non viene progettato o rilevato nessun indirizzo IP In base agli indirizzi MAC l unit Security scambia l indirizzo MAC del nodo interno con l indirizzo MAC dell unit Security in tutti i pacchetti di dati in uscita sull interfaccia esterna risposte del nodo interno Attivazione della modalit Ghost Procedimento Requisito richiesto La modalit Ghost pu essere selezionata solo se il progetto si trova in modalit estesa 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet 3 Selezionare la voce Modalit Ghost nella scheda Interfacce dalla casella di riepilogo Routing interfaccia esterno interno Propriet dell unit progettabile 108 In modalit Ghost sono progettabili tutte le propriet dell unit delle seguenti
241. l procedimento dipende dal sistema operativo utilizzato per l assegnazione si raccomanda di utilizzare l indirizzo MAC Per gli indirizzi IP assegnati staticamente necessario indicare l indirizzo IP Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 187 Progettazione di ulteriori propriet dell unit 5 2 Unit Security come server DHCP e seguenti indirizzi IP non devono trovarsi nell area delle assegnazioni dinamiche di indirizzo tutti gli indirizzi IP router nella scheda Routing Syslog server Router standard Indirizzo i dell unit Security e L unit Security supporta DHCP sull interfaccia verso la sottorete interna e sull interfaccia verso la rete DMZ Da questo comportamento di esercizio dell unit Security risultano inoltre i seguenti requisiti per gli indirizzi IP nell area delle assegnazioni dinamiche di indirizzo modalit bridge L area deve trovarsi nella rete definita dall unit Security Modalit Routing L area deve trovarsi nella rete interna definita dall unit Security Avvertenza La rete DMZ rappresenta gi una sottorete separata In caso di utilizzo di DHCP sull interfaccia DMZ necessario osservare che l area di indirizzo IP libera indirizzi IP dinamici si trovi all interno della sottorete DMZ e L area di indirizzi IP libera deve essere indicata completamente inserendo l indirizzo iniziale e l indirizzo finale L indirizzo f
242. l unit Security Significato delle regole firmware standard In questa finestra di dialogo esiste la possibilit di adattare le regole firewall specifiche per il servizio che sono impostate per l impostazione dell unit Security Le impostazioni standard della finestra di dialogo corrispondono alle regole standard del firewall della relativa unit Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 163 Progettazione di firewall 4 3 Firewall in modalit estesa Regole firewall standard per SCALANCE S Nella seguente tabella sono riportate le regole firewall standard per l unit SCALANCE S Le regole firewall sono in parte attive solo se il servizio interessato viene utilizzato dall unit Security ad es SNMP Servizio Direzione Interfaccia Interfaccia X2 Interfaccia Interfaccia tun X1 rosso verde X3 gialla nel EZE Poan Routing interfaccia in uscita x HTTPS x x x x ICMP in ingresso x x ICMP Pathfinder in uscita i x i SNMP in ingresso x x x x Syslog in uscita x x x x NTP in uscita x x x x DNS in uscita x x x x HTTP in uscita x x VPN IKE x x VPN NAT Traversal x x BootP Server in ingresso x x BootP Client in uscita x x RADIUS in uscita x x x carp BEN in uscita x x Pfsync in uscita x x attivato come standard disattivato come standard
243. la voce di menu Progetto gt Propriet scheda Valori di inizializzazione standard Protezione dei dati del progetto tramite codifica dati del progetto e di configurazione salvati sono protetti sia nel file del progetto sia nel C PLUG non per CP 1628 tramite codifica 2 4 6 Controlli di coerenza Informazioni generali Security Configuration Tool distingue e Controlli di coerenza locali e Controlli di coerenza in tutto il progetto Per maggiori informazioni sulle regole da osservare durante l immissione consultare le relative descrizioni delle finestre di dialogo riportate alla voce Controllo della coerenza Controlli di coerenza locali Un controllo della coerenza definito locale quando si pu eseguire direttamente all interno di una finestra di dialogo Con le seguenti azioni possono essere eseguiti controlli e dopo essere usciti da un campo e dopo essere usciti da una riga in una tabella e uscendo dalla finestra di dialogo con OK Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 61 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti Controlli di coerenza in tutto il progetto controlli della coerenza in tutto il progetto forniscono informazioni sulle unit configurate correttamente Nelle seguenti azioni viene eseguito un controllo automatico della coerenza su tutto il progetto e durante il salvataggio del progetto e
244. le di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Parametri Attiva listening passivo Significato Attivare questa casella di controllo se l interfaccia sele zionata deve essere accop piata ad altre reti nelle quali viene utilizzato STP RSTP Spanning Tree Protocol Rapid Spanning Tree Protocol Possibilit di selezione e Attiva listening passivo impostazione standard e Disattiva listening passivo Dominio MRP solo in caso di selezione del ruolo di ridondanza del mezzo Client MRP Con i domini MRP vengono definiti i nodi di un anello MRP Per le interfacce di tutte le unit che devono essere collegate allo stesso anello MRP necessario selezionare lo stesso domi nio MRP Come standard per l interfaccia esterna selezionato il dominio MRP predefinito mrpdomain 1 Tramite i pulsanti Aggiun gi Modifica e Rimuovi possibile aggiungere nuovi domini MRP modificare i nomi di domini MRP esistenti e cancellare domini MRP esistenti Porta anello 1 solo in caso di selezione del ruolo di ridondanza del mezzo Client MRP o Client HRP Denominazione della prima porta dell anello dell interfac cia selezionata in Interfac cia se per essa stato selezionato il ruolo di ridon danza del mezzo Client MRP o Client HRP Porta anello 2 solo in caso di selezione del
245. le non pu essere cancellata una singola regola firewall di un set regole firewall globale Dall elenco delle regole locali pu essere cancellato solo l intero set di regole firewall Un adattamento del set di regole globale possibile in qualsiasi momento tramite la finestra di dialogo del set di regole globale Tutti i dispositivi interessati da questa modifica devono successivamente essere ricaricati 4 3 2 2 Creazione e assegnazione di set di regole firewall globali A questa funzione si accede nel modo seguente 1 Selezionare nell area di navigazione una delle seguenti cartelle Set di regole firewall globali gt Set di regole IP firewall Set di regole firewall globali gt Set di regole MAC firewall 2 Selezionare la voce di menu Inserisci gt Set di regole firewall 3 Inserire i seguenti dati Nome Denominazione univoca del set di regole in tutto il progetto Il nome compare nell elenco di regole locali dell unit Security dopo l assegnazione del set di regole Descrizione Inserire la descrizione per il set di regole globali 4 Fare clic sul pulsante Aggiungi regola Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 139 Progettazione di firewall 4 3 Firewall in modalit estesa Risultato Vedere anche 4 3 3 Significato 5 Inserire nell elenco la riga dopo la regola firewall Osservare la descrizione dei parametri nei seguenti capitoli
246. le regole firewall generate automaticamente devono essere controllate in base alla loro priorit in funzione della posizione Se nell elenco delle regole si trovano anche regole firewall progettate manualmente e con priorit superiore a quella delle regole firewall generate automaticamente eventualmente non vengono eseguiti NAT NAPT parametri firewall generali da SCT non possono essere adattati Dopo la disattivazione di NAT NAPT vengono cancellate le regole firewall generate da SCT Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 179 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Per il semplice riferimento tra regole NAT NAPT e le regole rispettive firewall le regole nelle schede NAT NAPT e Firewall sono contrassegnate con numeri progressivi corrispondenti Nella tabella seguente sono riportati gli schemi delle regole firewall che vengono generate per le unit SCALANCE S per le regole NAT Tabella 5 1 Conversione dell indirizzo NAT e relative regole firewall per le unit SCALANCE S Azione NAT Regola firewall creata Azione Da A Indirizzo IP sorgen Indirizzo IP di de te stinazione Destination Allow Rete sorgente Rete di destinazio Indirizzo IP che NAT ne stato indicato nel campo di immis sione Indirizzo IP di destinazione NAT sorgente Allow Rete sorgente Rete di destinazio Indirizzo IP d
247. lementari in caso di utilizzo del SOFTNET Security Client Il SOFTNET Security Client offre una soluzione per la comunicazione sicura con le celle di automazione tramite VPN Per una protezione intrinseca del PC PG nonch della cellula di automazione collegata si raccomanda di impiegare misure supplementari quali ad es programmi antivirus e firewall Windows In Windows 7 il firewall del sistema operativo deve sempre essere attivo in modo che funzioni la realizzazione del tunnel VPN Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 CP x43 1 Adv STEP 7 Introduzione e nozioni di base 1 1 Avvertenze importanti Nota Impostazioni di sicurezza supplementari Per impedire che dati di progettazione non autorizzati vengano caricati nel CP necessario effettuare impostazioni di sicurezza supplementari sul firewall del CP ad es della comunicazione S7 o autorizzazione della comunicazione solo via tunnel o adottare misure di sicurezza esterne Nota Salva e compila dopo le modifiche Per consentire che le impostazioni Security vengano acquisite nei blocchi di sistema offline corrispondenti dopo aver eseguire le modifiche selezionare il menu Stazione gt Salva e compila nella configurazione HW o Rete gt Salva e compila in NetPro Nota Apertura di una stazione con il Security Configuration Tool aperto Chiudere il Security Configuration Tool prima di aprire un altr
248. lex vengono gestiti automaticamente tra porte conformi a IEEE 802 3 Avvertenza Una velocit di trasmissione di 1000 MBit s e la funzione Autocrossing vengono supportate solo se l Autonegotiation selezionata 10 MBit s halfduplex e fullduplex Velocit di trasmissione di 10 Mbit s 100 MBit s halfduplex e fullduplex Velocit di trasmissione di 100 Mbit s Long Distane Segnalino LDS La velocit di trasmissione e il metodo duplex vengono gestiti automaticamente tra porte conformi a Broda Reach Off solo porta esterna o porta DMZ con SCALANCE S623 e SCALANCE S627 2M La porta viene disattivata Avvertenza Le porte dei moduli mediali che come mezzo trasmissivo utilizzano cavi a fibre ottiche funzionano gi con il metodo fullduplex e la velocit di trasmissione massima La modalit delle porte di moduli mediali ottici non pu quindi essere progettata S gt V4 0 RxTx Invio e ricezione di tele Maggiori informazioni relati grammi LLDP ve a LLDP si trovano nel Modalit LLDP Off Ricezione di telegrammi seguente capitolo in modalit LLDP LLDP Pagina 104 Routing Indicazione se le porte del Modulo mediale dell interfaccia sono collegate ad un anello MRP In questo caso le stringhe di caratteri RingportOne e RingportTwo vengono visualizzate nelle righe della tabel Porta MRP in la delle porte del modulo mediale Per le porte con IP porta X1 P1 e X2 P1 come standard viene modalit
249. ll esterno tranne i seguenti tipi di telegramma sono bloccati e Telegrammi ARP Tutti i telegrammi dall interno all unit Security sono autorizzati Tutti i telegrammi dall esterno all interno tranne i seguenti tipi di telegramma sono blocca ti e Telegrammi ARP con limitazione banda larga Sono autorizzati telegrammi dall esterno all unit Security del seguente tipo e ARP con limitazione banda larga e PROFINET DCP con limitazione banda larga e In modalit Routing Telegrammi LLDP Ethertype 0x88CC In modalit Bridge Sono autorizzati i protocolli MAC che vengono inviati attraverso il tunnel IPsec Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 127 Progettazione di firewall 4 2 SCALANCE S in modalita standard Sono autorizzati telegrammi dall unit Security all esterno del seguente tipo e PROFINET e In modalit Routing Telegrammi LLDP Ethertype 0x88CC Sono autorizzati telegrammi Multicast e Broadcast dall esterno all unit Security del se guente tipo e PROFINET con limitazione della larghezza di banda Nota Abilitazione automatica dei tipi Ether Se PPPOE attivo i tipi Ether 0x8863 e 0x8864 vengono abilitati automaticamente PPPoE Discovery e Session Stage Nozioni di base e applicazione Security 128 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 2 SCALANCE S in modalita standard Impostazione standa
250. ll unit vengono impostati automaticamente per questa unit Security in base al ruolo definito selezionato e in caso di necessit possono essere adattati Se dopo la creazione di un ruolo stata aggiunta un unit Security SCT non imposta nessun diritto In questo caso necessario impostare tutti i diritti di unit per l unit Security stessa I diritti dell unit gi esistenti possono anche essere acquisiti in un altra unit Security mediante copiatura e da qui essere eventualmente modificati Selezionare quindi nel menu di scelta rapida di un unit Security nei diritti dell unit la voce di menu Copia diritti o Inserisci diritti 2 5 5 Progettazione delle direttive password Significato Con le direttive password possibile stabilire predefinizioni che devono essere osservate durante l assegnazione di password al nuovo utente A questa funzione si accede nel modo seguente Selezionare la voce di menu Opzioni gt Gestione utenti scheda Direttive password Dopo l attivazione di una casella di controllo la rispettiva direttiva attiva e pu eventualmente essere adattata tramite la relativa casella di inserimento Parametri Significato Lunghezza minima della password Numero di caratteri minimo che devono contenere le pas sword Come standard la rispettiva casella di controllo attivata e non pu essere disattivata e Valore minimo 8 caratteri e Valore massimo 32 caratteri Numero minim
251. lla creazione di utenti si trovano nel seguente capitolo Gestione degli utenti Pagina 65 4 3 4 Regole firewall automaticamente riferite al collegamento Regole firewall create automaticamente in SCT Per il seguente caso applicativo vengono create automaticamente regole firewall e Collegamenti progettati in STEP 7 Regole firewall per collegamenti progettati Se in STEP 7 sono creati collegamenti per questi ultimi in SCT vengono create automaticamente regole firewall Inoltre ha luogo un reciproco adattamento del sistema tra STEP 7 e SCT nel quale vengono controllati tutti i collegamenti progettati nel progetto Per ogni partner di comunicazione vengono livellati automaticamente l indirizzo IP indirizzo MAC l azione e l interfaccia Per ciascun partner di comunicazione vi sono 2 regole indipendentemente dal numero dei collegamenti Nota Abilitazione manuale di collegamenti UDP Multicast e UDP Broadcast Per i collegamenti UDP Multicast e UDP Broadcast non vengono create regole firewall automatiche Per abilitare i collegamenti aggiungere manualmente le regole firewall corrispondenti in modalit estesa A seconda della configurazione del collegamento progettata in STEP 7 in SCT vengono creati i seguenti livelli di regole firewall 3 Se l unit Security si trova in un gruppo VPN la direzione cambia da Esterno a Tunnel Nella colonna Indirizzo IP sorgente o Indirizzo IP di destinazione di queste regole Firewall viene inser
252. lla linea in re a partire da quale percentuale di relazione alla Severity degli altri eventi di telegrammi errati deve essere gene sistema rato un evento di sistema Assegnare Avvertenza una Facility o una Severity all evento Li Non assegnare agli eventi di sistema dialsiema della diagnostica della linea nessuna Severity inferiore al filtraggio dell evento di sistema In caso contrario questi even ti non vengono filtrati e registrati dal server Syslog 9 2 3 Progettazione del logging pacchetti Progettazione del logging in modalit standard Le informazioni relative al logging di set di regole IP e MAC si trovano nei seguenti capitoli e SCALANCES in modalit standard Pagina 126 e CP in modalit standard Pagina 115 Nozioni di base e applicazione Security 262 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Funzioni online Diagnostica e logging 9 2 Registrazione di eventi logging Nota Correlazione tra le impostazioni Log in modalit standard e regole firewall Le impostazioni Log in modalit standard non hanno effetto per le regole firewall che sono state create automaticamente con una progettazione del collegamento In questo modo non possibile eseguire ad es il logging di telegrammi via tunnel di un collegamento progettato In modalit estesa il logging alle regole firewall generate automaticamente pu essere estesa a ulteriori collegamenti Progettazione del logging in modali
253. lla porta dell interfaccia dell inter faccia SCALANCE Esterno Indirizzo MAC P1 Presa RJ 45 montata Indirizzo MAC 2 S602 S612 vedere stampi in modo fissa rame S613 gliatura Interno Indirizzo MAC 1 P2 Presa RJ 45 montata Indirizzo MAC 3 in modo fissa rame SCALANCE Esterno Indirizzo MAC P1 Presa RJ 45 montata Indirizzo MAC 3 S623 vedere stampi in modo fissa rame gliatura Interno Indirizzo MAC 1 P2 Presa RJ 45 montata Indirizzo MAC 4 in modo fissa rame DMZ Indirizzo MAC 2 P3 Presa RJ 45 montata Indirizzo MAC 5 in modo fissa rame SCALANCE Esterno Indirizzo MAC P1 Presa RJ 45 montata Indirizzo MAC 3 S627 2M vedere stampi in modo fissa rame gliatura P4 Porta modulo mediale Indirizzo MAC 4 rame FO P5 Porta modulo mediale Indirizzo MAC 5 rame FO Interno Indirizzo MAC 1 P2 Presa RJ 45 montata Indirizzo MAC 6 in modo fissa rame P6 Porta modulo mediale Indirizzo MAC 7 rame FO P7 Porta modulo mediale Indirizzo MAC 8 rame FO DMZ Indirizzo MAC 2 P3 Presa RJ 45 montata Indirizzo MAC 9 in modo fissa rame In caso di funzionamento in modalit Bridge sull interfaccia esterna ed interna sempre valido l indirizzo MAC stampigliato Gli indirizzi MAC delle interfacce vengono utilizzate per tutti i servizi tranne LLDP Nozioni di base e applicazione Security 92 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di
254. lla rete esterna ha effetto l indirizzo IP esterno La seguente tabella indica lo schema di inserimento per l azione Source NAT Casella Indirizzo IP sorgente Inserimento possibile Indirizzo IP nella rete sorgente Significato L indirizzo IP sorgente del nodo interno indicato viene sostituito con l indirizzo IP indicato nella casella di inse rimento Rilocazione della sorgente Area di indirizzi IP banda di indirizzi IP nella rete della sorgente Gli indirizzi IP dell area della banda di indirizzi IP ven gono sostituiti dall indirizzo IP indicato nel campo di immissione Conversione sorgente Conversione sorgente Indirizzo IP di destina zione Indirizzo IP nella rete di destinazione Irrilevante per questa azione Inserimento dell indirizzo IP che deve essere utilizzato come nuovo indirizzo IP sorgente Se l indirizzo IP qui indicato non un indirizzo IP dell u nit Security esso diventa un indirizzo Alias Ci signifi ca che l indirizzo indicato viene inoltre registrato come indirizzo IP sull interfaccia selezionata Gli indirizzi Alias vengono inoltre visualizzati nella scheda Interfacce dell unit Security Assicurarsi che con l indirizzo Alias non vi sia nessun conflitto di indirizzo IP nella rete Irrilevante per questa azione Conversione destina zione Irrilevante per questa azione Irrilevante per questa azione N Il numero progressivo assegnato da SCT che vi
255. lori compresa tra 0 e 255 separati tra loro da un punto ad es 255 255 0 0 Routing interfaccia esterno interno Selezione del modo di funzionamento per l unit Security Per SCALANCE S sono disponibili i seguenti modi di funzionamento e modalit bridge e Modalit Routing Se si seleziona la modalit Routing necessario progettare una maschera della sottorete per l interfaccia interna dell unit Secu rity Indirizzo IP int da inserire solo se attivata la modalit routing Indirizzo IP per l interfaccia interna L indirizzo IP composto da 4 numeri decimali dell area di valori compresa tra 0 e 255 separati tra loro da un punto ad es 141 90 10 10 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete Parametri Significato Maschera sotto rete int Area dei valori per maschera della sotto rete La maschera della da inserire solo se attivata la sotto rete viene proposta in base all indirizzo IP inserito modalit routing La maschera della sotto rete composta da 4 numeri decimali dell area di valori compresa tra 0 e 255 separati tra loro da un punto ad es 255 255 0 0 Salvataggio della selezione Se si attiva questa funzione la configurazione attualmente impo stata viene acquisita nei valori di inizializzazione standard Inse rendo nuove unit viene pi aperta la finestra di dial
256. modulo mediale di uno SCALANCE S627 2M Porte dell anello Modulo mediale 1 Modulo mediale 2 P4 P5 P6 P7 Client MRP o client HRP Anello 1 Anello 1 Anello 2 Anello 2 Anello 1 Anello 1 Anello 2 Anello 2 Il collegamento simultaneo dell unit Security ad un anello interno e un anello interno possibile solo se almeno una delle interfacce viene collegata come client MRP In caso di due anelli subordinati per ciascuna unit SCALANCE S possibile una comunicazione livello 3 tra gli anelli 3 2 6 2 Progettazione MRP HRP per le unit Security S627 2M Presupposti e L unit Security si trova in modalit Routing e Perle interfacce che devono essere collegate agli anelli sono progettati diversi moduli mediali A questa funzione si accede nel modo seguente 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda MRP HRP Parametri configurabili Parametri Interfacce MRP HRP Significato Selezione dell interfaccia che deve essere collegata all a nello MRP HRP Possibilit di selezione e Esterno Interno Ruolo di ridondanza del mezzo Selezione del protocollo di ridondanza del mezzo o disattivazione della ridon danza del mezzo per l inter faccia selezionata Non nodo dell anello e Client MRP impostazione standard HRP Client Nozioni di base e applicazione Security 106 Manua
257. n le voci descritte di seguito Dopo la creazione di regole NAPT le relative regole firewall vengono generate e visualizzate in modalit estesa vedere capitolo Relazione tra router NAT NAPT e firewall Pagina 179 La conversione di indirizzi IP con NAPT pu essere eseguita nella seguente direzione e Da esterno a interno Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Se attivata l interfaccia DMZ dell unit Security solo SCALANCE S623 5S627 2M la conversione di indirizzi IP con NATP pu inoltre essere eseguita nelle seguenti direzioni e Daesterno a DMZ e DaDMZa interno e DaDMZa esterno Se l unit SCALANCE S si trova in un gruppo VPN non per SCALANCE S602 la conversione di indirizzi IP con NAPT pu inoltre essere eseguita nelle seguenti direzioni e Daesterno a tunnel e Da tunnel a interno e Da tunnel a esterno e DaDMZa tunnel solo con l interfaccia DMZ attivata e Da tunnel a DMZ solo con l interfaccia DMZ attivata Per la direzione Da esterno a interno vale ad esempio telegrammi destinati all indirizzo IP esterno dell unit Security e alla porta inserita nella colonna Porta sorgente vengono inoltrati all indirizzo IP di destinazione della rete interna e alla porta di destinazione indicata La seguente tabella indica lo schema di inserimento per la conversione di indirizzi con NAPT Casella Porta sorgente Inserimento possibile Porta TCP UDP o area della
258. n modalit estesa Gn g Set d regole IP frewal Tipo indirizzo IP est Maschera sotto rete Indirizzo IP int Maschera sotto re Routerst 623 V3 192 168 10 1 255 255 2550 FRI PR SOFTNET Security Client V4 Group Fetazioni d nidoncanza 4 Redundancy relationship S623 v4 192 168 10 2 255 255 255 0 Maschera sotto sete 255 255 2550 Utente attuale admin Ruolo attuale administrator Modalit estesa Area di navigazione Set di regole firewall globali L oggetto contiene i set di regole globali firewall progettati Altre cartelle distinguono tra Firewall set di regole IP Firewall set di regole MAC Set di regole IP specifiche per l utente 2161 Tutte le unit L oggetto contiene tutte le unit progettate e le configurazioni SOFTNET del progetto Gruppi VPN L oggetto contiene tutti i gruppi VPN generati Relazioni di ridondanza 00 L oggetto contiene tutte le relazioni di ridondanza generate del progetto Area del contenuto Selezionando un oggetto nell area di navigazione nell area del contenuto si ottengono infor mazioni dettagliate su questo oggetto Per alcune unit Security in questa area possibile osservare e adattare gli estratti delle confi gurazioni dell interfaccia Facendo doppio clic sulle unit Security se esse offrono le possibilit di configurazione corri spondenti vengono aperte le finestre di dialogo delle propriet per l inserimento di ulteriori param
259. nati Elenco delle interfacce di rete note al computer in combinazione con gli indirizzi IP configurati o assegnati Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 SOFTNET Security Client 8 5 Configurazione e modifica del tunnel Consolle logging Le voci che vengono visualizzate nella consolle Log vanno selezionate nella finestra di dialogo Impostazioni A questa finestra di dialogo si accede nella finestra di dialogo principale del SOFTNET Security Client con la voce di menu Opzioni gt Impostazioni Vengono visualizzate le seguenti informazioni e Le informazioni di diagnostica per la realizzazione del collegamento con le unit Security e i nodi interni le sotto reti interne configurati e Data e ora al momento degli eventi e Realizzazione e interruzione di una Security Association e Test di raggiungibilit eseguito negativamente ping test con i nodi configurati e Caricamento di file di configurazione e Attiva disattiva apprendimento di nodi interni sottoreti Impostazioni globali per il SOFTNET Security Client 1 Nella finestra di dialogo principale del SOFTNET Security Client aprire la voce di menu Opzioni gt Impostazioni 2 Effettuare le impostazioni globali che devono essere mantenute dopo la chiusura e l apertura del SOFTNET Security Client Le funzioni sono riportate nella seguente tabella Funzionamento Descrizione Opzioni Dimensione fil
260. ndard default con l unit Security si definisce la combinazione di Facility e Severity con la quale viene visualizzato l evento Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 261 Funzioni online Diagnostica e logging 9 2 Registrazione di eventi logging Funzione scheda nella finestra di Progettazione Osservazioni dialogo online Eventi di sistema L attivazione avviene tramite la casel Per la configurazione del filtro evento e la opzione della diagnostica del cavo aprire un altra finestra di dialogo con il pulsante Confi gure Filtraggio degli eventi di sistema Impostare in questa sotto finestra di Selezionare come livello del filtro Error dialogo un livello di filtro per gli eventi o un valore superiore per escludere la di sistema Come standard sono registrazione di eventi generali non criti impostati i seguenti valori ci e SCALANCE S Livello 3 Avvertenza per il CP e CP Livello3 Selezionare per il CP solo il livello 3 o il livello 6 e In caso di selezione del livello 3 ven gono visualizzati i messaggio di erro re dei livelli da 0 a 3 e n caso di selezione del livello 6 ven gono visualizzati i messaggio di erro re dei livelli da 0 a 6 A D La diagnostica del cavo crea un Con la Severity si valutano gli eventi di Diagnostica della linea Ezz 10 A ag i i evento di sistema specifico Imposta sistema della diagnostica de
261. ndirizzo IP esterno o un indirizzo IP nella rete DMZ che viene utilizzato con direzione Destination NAT Source NAT Destination NAT o Double NAT deve comparire una sola volta in ciascuna direzione indicata e Controllo duplicato nella tabella NAPT Un numero di porta sorgente deve essere inserito una sola volta per ciascuna interfaccia numeri di porta o le aree delle porte esterne e delle porte DMZ non devono sovrapporsi e Le porte NAPT interne possono trovarsi nel campo gt 0 e lt 65535 Dopo la conclusione delle immissioni eseguire un controllo della coerenza Selezionare quindi la voce di di menu Opzioni gt Controlli di coerenza Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 171 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router 5 1 4 Conversione di indirizzi NAT NAPT Attivazione NAT Il campo di immissione per NAT viene attivato Le conversioni di indirizzi NAT vengono attivate solo con le voci descritte di seguito nell elenco di conversione di indirizzi Dopo la creazione di regole NAT le relative regole firewall vengono generate e visualizzate in modalit estesa vedere capitolo Relazione tra router NAT NAPT e firewall Pagina 179 Se per l interfaccia esterna o l interfaccia DMZ attivato PPPOE non possibile progettare l azione Destination NAT Durante la progettazione dell azione Source NAT non possib
262. ne 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti 2 4 4 Informazioni generali Contenuti generali Sia nella versione Standalone del Security Configuration Tool sia nella versione integrata in STEP 7 durante la creazione di un nuovo progetto viene richiesto di inserire un nome utente e una password L utente che viene creato del tipo administrator Dopo l inserimento possibile eseguire le configurazioni nel progetto Le configurazioni di un progetto contengono in generale e Impostazioni valide in tutto il progetto e Impostazioni specifiche per l unit e Assegnazione ai gruppi per tunnel IPsec BE Inoltre una gestione utenti regola le autorizzazioni di accesso ai dati del progetto e alle unit Security Impostazioni valide in tutto il progetto e Propriet del progetto Oltre all indicazione di indirizzo e di nome queste propriet comprendono indicazioni per i valori di inizializzazione e Set di regole firewall globali Un set di regole firewall globale pu essere assegnata contemporaneamente a diverse unit Security In molti casi questa possibilit semplifica la progettazione rispetto alla progettazioni di regole firewall nelle impostazioni specifiche per l unit e Set di regole IP personalizzati Un set di regole IP personalizzato viene assegnato ad un utente e ad un unit Security Ad un unit SCALANCE S V4 pu essere assegnato anche un s
263. ne ammessa la comunicazione dei nodi S7 consen 102 di rete tramite il protocollo S7 tito Consenti x x x Porta TCP 20 Perla gestione dei file e l accesso ai file tra FTP FTPS Porta TCP 21 Server e client modalit esplicita Consenti x x x Porta TCP 80 Perla comunicazione con un Web server HTTP Consenti x x x Porta TCP Per la comunicazione protetta con un Web HTTPS 443 Server ad es per la diagnostica Web Consenti x x Porta TCP 53 ammesso il collegamento di comunicazio DNS Porta UDP 53 ne con un server DNS Consenti x x x Porta TCP Per la sorveglianza dei nodi di rete con SNMP 161 162 funzione SNMP Porta UDP 161 162 Consenti x x Porta TCP 25 Per lo scambio di e mail tra utenti autenticati SMTP e un server SMTP Consenti x x Porta UDP Per la sincronizzazione dell ora NTP 123 Nozioni di base e applicazione Security 118 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 1 CP in modalit standard Servizio Stazione lt esterno Interno gt esterno Esterno gt interno Esterno gt stazione Esterno stazione Porte abilitate Significato Consenti x Il traffico MAC consentito dall esterno alla comunica stazione e viceversa zione livello MAC Consenti x Il traffico ISO consentito dall esterno alla comunica stazione e viceversa zione ISO Tabella 4 2 Logging per set di regole IP e MA
264. nella VPN tramite tunnel IPsec Sb z In questo capitolo descritto come collegare sottoreti IP protette dall unit Security o SCALANCE M ad una VPN Virtual Private Network Come gi descritto nel capitolo relativo alle propriet dell unit anche in questo caso possibile consentire impostazioni standard per utilizzare una comunicazione sicura nelle reti interne Altre informazioni 3 F1 Vedere anche 6 1 Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea Alla guida possibile accedere con il tasto F1 o con il pulsante Help nella relativa finestra di dialogo Funzioni online Diagnostica e logging Pagina 251 VPN con unit Security e SCALANCE M Collegamento protetto tramite rete non protetta Per le unit Security e SCALANCE M che proteggono la rete interna i tunnel IPsec mettono a disposizione un collegamento di dati protetto attraverso la rete esterna non sicura Grazie allo scambio di dati tramite IPsec per la comunicazione vengono realizzati i seguenti aspetti di sicurezza e Riservatezza Garantisce che i dati possano essere trasmessi senza codifica e integrit Garantisce che i dati non siano stati modificati e Autenticit Garantisce che i punti terminali VPN siano anche fidati Per la realizzazione dei tunnel l unit utilizza il protocollo IPsec modalit tunnel di IPsec Nozioni di base e applicazione
265. ni vedere http support automation siemens com 1 1 Avvertenze importanti Generale Nota Protezione da accesso non autorizzato Fare attenzione che il computer di progettazione PC PG o il progetto siano protetti da accesso non autorizzato Nota Disattivazione dell account ospite Assicurarsi che l account ospite sul computer di progettazione sia disattivato Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 15 Introduzione e nozioni di base 1 1 Avvertenze importanti 16 Nota Data attuale e ora attuale sulle unit Security In caso di utilizzo di comunicazione protetta ad es HTTPS VPN fare attenzione che le unit Security interessate dispongano dell ora e della data attuale certificati utilizzati vengono altrimenti valutati non validi e la comunicazione protetta non funziona Nota Software antivirus attuali Si raccomanda di installare e aggiornare sempre un software antivirus attuale su tutti i computer di progettazione Nota FTPS Se nella presente documentazione viene utilizzata la denominazione FTPS si intende FTPS in modalit esplicita FTPES Nota Non possibile una ricommutazione alla modalit standard Una commutazione nella modalit estesa per il progetto attuale non pu pi essere annullata Rimedio per SCT Standalone Chiudere il progetto senza salvarlo e aprirlo di nuovo Nota Misure Security supp
266. ni di base e applicazione Security 270 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Bibliografia B 4 CP S7 Per il montaggio e la messa in servizio del CP 14I 15 B 4 16 SIMATIC NET Messa in servizio di stazioni PC Istruzioni e guida rapida Manuale di progettazione Siemens AG SIMATIC NET Manual Collection In Internet alla seguente ID articolo 13542666 http support automation siemens com WW view it 13542666 SIMATIC Configurazione hardware e progettazione di collegamenti con STEP 7 Siemens AG parte del pacchetto di documentazione Nozioni di base STEP 7 parte integrante della documentazione online in STEP 7 CP S7 Per il montaggio e la messa in servizio del CP SIMATIC S7 Sistema di automazione S7 300 e Configurazione della CPU 31xC e 31x Istruzioni operative ID articolo 13008499 http support automation siemens com WW view it 13008499 e Dati dell unit Manuale di riferimento ID articolo 8859629 http support automation siemens com WW view it 8859629 Siemens AG e SIMATIC S7 sistema di automazione S7 400 M7 400 e Configurazione Manuale di installazione ID articolo 1117849 http support automation siemens com WW view it 1117849 e Dati dell unit Manuale di riferimento ID articolo 1117740 http support automation siemens com WW view it 1117740 Siemens AG Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04
267. nizializzazione della realizzazione del collegamento dal punto opposto Questa opzione si raccomanda se all unit da progettare da ISP viene assegnato un indirizzo IP fisso Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 213 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa Nota Non impostare tutte le unit di un gruppo VPN su Attesa del punto opposto in quanto altrimenti non viene realizzato nessun collegamento Indirizzo IP WAN FQDN Indirizzi IP delle unit e Gateway in una VPN tramite Internet Nel funzionamento di una VPN con IPsec Tunnel tramite Internet sono normalmente necessari indirizzi IP supplementari per gli Internet Gateway ad es il router DSL Le singole unit Security o unit SCALANCE M devono conoscere gli indirizzi IP pubblici delle unit partner che devono essere raggiunte tramite Internet nella VPN Nota Se si utilizza un router DSL come Internet Gateway su questo router devono essere abilitate almeno le seguenti porte in base alle indicazioni nella relativa documentazione e inoltrati i pacchetti di dati all unit e Porta 500 ISAKMP e Porta 4500 NAT T Per questo esiste la possibilit di definire un Indirizzo IP WAN nella configurazione delle unit Security o SCALANCE M Durante il caricamento della configurazione dell unit vengono trasmessi ai nodi del gruppo gli
268. nostica Web e al sistema di file CP x Web Invio di una mail di test Sicurezza Web Web Aggiornamento del firmware Web Caricamento successivo di testi della dia gnostica Manutenzione x il diritto attivato il diritto disattivato Li Per utilizzare la funzione deve essere attivato il diritto dell unit Web Accesso alla diagnostica Web e al sistema di file CP Per utilizzare la funzione deve essere attivato anche il diritto dell unit FTP Lettura dei file dal sistema di file CP Per utilizzare la funzione deve essere attivato anche il diritto dell unit FTP Scrittura dei file nel sistema di file CP Per utilizzare la funzione deve essere attivato anche il diritto di progettazione Diagno stica Security 72 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Tabella 2 6 Diritti dell unit del CP 1628 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Diritto all interno del servizio SNMP Lettura MIB II administrator x standard diagnostics x SNMP Scrittura MIB Il SNMP Lettura MIB di automazione x SNMP Lettura MIB SNMPv2 x Servizio SNMP SCT Esecuzione della diagnostica dell unit Security x x x X Sicurezza x il diritto attivato il diritto disattivato Tabella 2 7 Diritti dell uni
269. nozioni di base 1 4 Impiego del SOFTNET Security Client Configurazione Possibile sostituzione iniziale SOFTNET Security SOFTNET Security SOFTNET Security SOFTNET Security Client 2005 Client 2008 Client V3 0 Client V4 0 SOFTNET Security x x x Client 2005 SOFTNET Security x x x Client 2008 SOFTNET Security x x x Client V3 0 SOFTNET Security gt gt osti x Client V4 0 Se il client SOFTNET Security non si trova in un gruppo routing Se il SOFTNET Security Client non si trova in un gruppo VPN con un unit SCALANCE M Vedere anche 1 4 Superficie operativa e voci di menu Pagina 45 2 Pagina 270 Impiego del SOFTNET Security Client Comunicazione PG PC in VPN Compito del SOFTNET Security Client 24 Con il software PC SOFTNET Security Client sono possibili accessi remoti sicuri dal PG PC agli apparecchi di automazione protetti da unit Security in tutte le reti pubbliche Con il SOFTNET Security Client un PG PC viene configurato automaticamente in modo che esso possa realizzare una comunicazione sicura tramite tunnel IPsec nella VPN Virtual Private Network con una o diverse unit Security Le applicazioni PG PC come la diagnostica NCM o STEP7 possono accedere con un collegamento via tunnel protetto a dispositivi o reti che si trovano in una rete interna protetta con unit Security Anche il software PC SOFTNET Security Client viene configurato con lo strumento di
270. nza Una progettazione esistente della relazione di ridondanza viene quindi sovrascritta Generazione di una copia dell unit Security assegnata all interno della relazione di ridondanza Questo possibile solo se ad una relazione di ridondanza creata viene assegnata una sola unit Security In alternativa la relazione di ridondanza pu essere progettata successivamente tramite le propriet della relazione di ridondanza vedere capitolo Configurazione delle relazioni di ridondanza Pagina 231 Risultato stata creata una relazione di ridondanza e questa stata assegnata alle unit Security desiderate 7 3 A questa funzione si accede nel modo seguente Configurazione delle relazioni di ridondanza Selezionare nell area di navigazione la relazione di ridondanza e quindi la voce di menu Modifica gt Propriet Progettazione dei parametri di rete della relazione di ridondanza Tabella 7 1 Parametri nella scheda Impostazioni di base Parametro configurabile Unit primaria Significato Selezione dell unit Security che nel funzionamento norma le deve essere l unit Security attiva Attiva ID router virtuale solo per SCALANCE S623 S627 2M a partire dal firmware V4 0 1 Se si attiva questa casella di controllo possibile adattare le ID del router virtuali delle interfacce virtuali Tramite una ID del router virtuale viene definito l indirizzo MAC virtuale di un interfaccia virtuale V
271. o e ARP con limitazione banda larga e PROFINET DCP con limitazione banda larga e LLDP Sono autorizzati telegrammi dall unit Security all esterno del seguente tipo e ARP con limitazione banda larga e PROFINET DCP con limitazione banda larga Sono autorizzati i seguenti protocolli che vengono inviati attraverso il tunnel IPsec e ISO e LLDP Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 117 Progettazione di firewall 4 1 CP in modalit standard 4 1 1 2 Nota Nessuna comunicazione al di fuori dal tunnel VPN Inoltre per tutti i partner VPN conosciuti nel progetto viene impedito che possa avvenire una comunicazione tra i punti terminali VPN al di fuori dal tunnel II comportamento non pu nemmeno essere modificato creando regole firewall corrispondenti in modalit estesa Progettazione di firewall A questa funzione si accede nel modo seguente 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Firewall Tabella 4 1 Servizi e direzioni disponibili Servizio Stazione Esterno Esterno gt Esterno amp Porte abilitate Significato esterno gt interno stazione stazione Interno gt esterno Comunica x x x Il traffico IP per le direzioni di comunicazio zione IP ne selezionate viene ammesso consentita Protocollo x x x Porta TCP Vie
272. o VPN Trasmesso da CA Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 6 Gestione dei certificati 2 6 3 Sostituzione di certificati Significato In questa finestra di dialogo si sostituisce un certificato CA esistente del progetto o il certificato CA di un gruppo VPN con uno nuovo A questa funzione si accede nel modo seguente 1 Fare clic con il tasto destro del mouse su una voce dell elenco nella scheda Autorit di certificazione 2 Selezionare la voce Sostituisci certificato 3 La finestra di dialogo Sostituzione dell autorit di certificazione viene aperta Tutti i certificati elencati nella casella Certificati interessati vengono trasmessi di nuovo In questo modo il certificato CA di un gruppo VPN gi progettato all interno del progetto SCT pu essere sostituito con il certificato CA del gruppo VPN di un altro progetto SCT certificati del gruppo VPN per i nodi del gruppo VPN vengono quindi trasmessi in entrambi i progetti dallo stesso certificato CA Se durante la chiusura del manager dei certificati compare una finestra di dialogo di avvertenza caricare di nuovo la configurazione modificata nell unit Security Che formato pu avere il certificato Dal certificato CA importato vengono trasmessi altri certificati in SCT Per questo motivo possono essere selezionati solo certificati con chiave p
273. o VPN Viene generato un file ASCII con il quale possibile configurare l apparecchio VPN A tal fine l apparecchio VPN deve trovarsi almeno in un gruppo VPN con una unit Security o un SOFTNET Security Client a partire dalla versione V3 0 Generazione dei file di configurazione 1 Selezionare il dispositivo VPN da modificare 2 Selezionare la voce di menu Trasferisci gt Alla alle unit 3 Nella finestra di salvataggio successiva indicare il percorso e il nome del file di configurazione e fare clic sul pulsante Salva 4 Indicare nella seguente finestra di dialogo se per i due file di certificati generati deve essere creata una password propria Se si seleziona No come password viene assegnato il nome della progettazione ad es VPN Projekt_02 non la password del progetto Se si seleziona S raccomandato necessario inserire una password nella finestra successiva Risultato file e i certificati vengono salvati nella directory specificata Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 221 Comunicazione protetta nella VPN tramite tunnel IPsec 6 8 Dati di configurazione per NCP VPN Client Android 6 8 Dati di configurazione per NCP VPN Client Android NCP Secure VPN Client for Android Significato 222 L NCP Secure Android Client consente un collegamento VPN di elevala sicurezza a reti di dati centrali di ditte e organizzazioni L accesso
274. o di cifre Numero minimo di cifre che devono contenere le password e Valore minimo 1 cifra e Valore massimo 32 cifre Numero minimo di caratteri speciali Numero di caratteri speciali che devono contenere le pas sword Un carattere speciale ciascun carattere che non n una lettera n una cifra e Valore minimo 1 carattere speciale e Valore massimo 32 carattere speciale Nozioni di base e applicazione Security 74 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Parametri Significato Numero di password bloccate per il riutilizzo Numero delle password utilizzate per ultime che non sono disponibili come nuove password per una modifica di pas sword e Valore minimo 1 password e Valore massimo 10 password Almeno una lettera maiuscola e una lettera minuscola Se si attiva questa casella di controllo le password devono contenere almeno una lettera maiuscola e una lettera minu scola Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 75 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti 2 5 6 2 5 6 1 Significato Autenticazione mediante server RADIUS Informazioni generali RADIUS Remote Authentication Dial In User Service un protocollo per l autenticazione di utenti mediante server sui quali possono essere memorizzati dati uten
275. o di rete Per ciascuna unit Security possibile selezionare un adat tatore di rete tramite la voce di menu Seleziona collega mento di rete del menu di scelta rapida Test tunnel Test del collegamento via tunnel Diagnostica estesa Richiama la finestra di dialogo Diagnostica estesa del mo dulo Modifica indirizzo IP nome DNS solo per SCALANCE M Cancella voce Modifica dell indirizzo IP o del nome DNS della voce sele zionata La direttiva di sicurezza IP della voce selezionata viene cancellata Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 247 SOFINET Security Client 8 5 Configurazione e modifica del tunnel Nota Configurazione della Policy durante l attivazione di nodi interni Fare attenzione che in caso di singole attivazioni del nodo interno la Policy nel sistema viene rispettivamente estesa Una disattivazione dell intero sistema tramite il menu contestuale dello SCALANCE S sovraordinato non comporta tuttavia un adattamento della Policy ma solo la sua disattivazione In questo modo in caso di attivazione di un nodo interno viene attivata sempre la policy generale pi il nodo interno Se si vuole essere sicuri che la Policy configurata si riferisca completamente ad un nodo attivato chiudere il SOFTNET Security Client e aprirlo di nuovo Diagnostica del modulo estesa 248 Per richiamare la diagnostica estesa del
276. ode non tuttavia possibile modificare le impostazioni Impostazioni Log nella modalit estesa 1 Selezionare l unit da modificare 2 selezionare la voce di menu Modifica gt Propriet scheda Impostazioni Log La seguente finestra di dialogo illustra le impostazioni standard per l unit Security inoltre aperta la finestra di dialogo per la configurazione della registrazione degli eventi di sistema GI Propriet dell unit Baugruppe ktetacce Fresi Colegamerto intemet ONS Routing NAT NAPT Sincronizzazione dell era Impestazori Log VPN DECP Server SNMP Promy ARP MAP HRP RADIUS ggr locale Mertoria circalzre Meroiaireme Looffie Pacchemidaceciatare Paliet Log Tuihipacchem Corbgaa gt System Log Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 257 Funzioni online Diagnostica e logging 9 2 Registrazione di eventi logging Configurazione delle classi di evento Tabella 9 2 Log locale Panoramica delle funzioni Funzione scheda nella finestra di Progettazione dialogo online Eventi pacchetto filtro firewall L attivazione avviene tramite casella opzionale La selezione del metodo di me morizzazione avviene tramite campi opzione Dalla casella di riepilogo Pac chetti registrati possibile stabi lire la quantit di pacchetti di dati registrati e Tutti i pacchetti Vengono registrati pacchetti di dati int
277. odi in esercizio permanente l assegnazione statica dell indirizzo deve essere eseguita tramite indicazione di un ID client raccomandata per CP S7 a causa della sostituzione semplice dell unit o dell indirizzo MAC Sono supportati i nomi simbolici Nella funzione qui descritta possibile inserire indirizzi IP o MAC anche come nomi simbolici Controllo della coerenza vanno osservate queste regole Per l inserimento rispettare le regole riportate qui di seguito Gli indirizzi IP assegnati nell elenco di indirizzi nel campo di immissione Assegnazioni statiche di indirizzo non devono trovarsi nel campo degli indirizzi IP dinamici I nomi simbolici devono disporre di un assegnazione di indirizzo numerica Se si reinserisce un nome simbolico necessario eseguire ancora l assegnazione di indirizzo nella finestra di dialogo Nome simbolico Gli indirizzi IP gli indirizzi MAC e le ID client devono esistere una sola volta nell area di inserimento Assegnazioni statiche di indirizzo riferiti all unit Security Per gli indirizzi IP assegnati staticamente necessario inserire l indirizzo MAC o l ID client nome computer L ID client una stringa di caratteri con max 63 caratteri Posso essere utilizzati solo i seguenti caratteri a z A Z 0 9 e trattino Avvertenza In SIMATIC S7 agli apparecchi sull interfaccia Ethernet pu essere assegnata un ID client tramite DHCP per il riferimento ad un indirizzo IP Nei PC i
278. ogetto stato di nuovo caricato su tutti i nodi del gruppo VPN Se il nodo attivo remoto non deve pi poter realizzare un collegamento rinnovare il certificato CA del gruppo VPN e caricare di nuovo il progetto sui nodi del gruppo VPN Il certificato CA del gruppo VPN pu essere rinnovato nelle propriet del gruppo VPN o nel manager certificati scheda Autorit di certificazione Procedimento Durante l inserimento necessario distinguere quanto segue e Caso a Se non sono state modificate le propriet dei gruppi e l unit da aggiungere ha realizzato il collegamento in modo attivo con le unit gi configurate 1 Aggiungere la nuova unit al gruppo VPN 2 Caricare la configurazione sulla nuova unit e Caso b Se non sono state modificate le propriet dei gruppi o l unit da aggiungere ha realizzato il collegamento in modo non attivo con le unit Security gi configurate 1 Aggiungere la nuova unit al gruppo VPN 2 Caricare la configurazione in tutte le unit che appartengono al gruppo VPN Vantaggio nel caso a Le unit gi esistenti e messe in servizio non devono essere progettate e caricate di nuovo La comunicazione in atto non viene influenzata o interrotta Nozioni di base e applicazione Security 210 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa Impostazioni per nodi con indirizzo
279. ogetto SCT creato in STEP 7 con il Security Con figuration Tool non pu essere aperto con il Security Configuration Tool in modalit standalone dati Security progettati del CP vengono caricati nell unit tramite STEP 7 Quali dati vengono migrati da STEP 7 a SCT e visualizzati nell area del contenuto seguenti dati di progettazione creati in STEP 7 vengono acquisiti automaticamente dall SCT ma non possono essere modificati e Nome apparecchio e Indirizzo IP PROFINET IO eta gt QE e Indirizzo IP GBit Nozioni di base e applicazione Security 52 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti e Maschera della sotto rete PROFINET 10 ESTA e Maschera della sottorete GBit e Indirizzo MAC dell interfaccia GBit e Router standard e Indirizzo MAC PROFINET IO ZZZ Quali dati possono essere migrati nell SCT e qui modificati m F1 Le seguenti funzioni utilizzate in STEP 7 possono essere migrate in SCT e qui modificate e Elenchi Access Control Pagina 119 e Utenti Pagina 65 gt 54 e Server NTP Pagina 189 Le informazioni dettagliate su questo argomento si trovano nella guida in linea dell SCT Alla guida possibile accedere con il tasto F1 o con il pulsante Help nella relativa finestra di dialogo SCT Regole firewall automatiche per collegamenti progettati Per i collegamenti specificati in STEP 7 in SCT ven
280. ogo Selezione di un unit o di una configurazione software ma viene inserita subito un unit in base alle impostazioni definite nel progetto Per disattivare di nuovo questa funzione e selezionare un altro tipo di unit questa funzione deve essere disattivata dal se guente percorso di menu Progetto gt Propriet gt Valori di inizializzazione standard Nota Impostazioni supplementari Eseguire ulteriori impostazioni dell interfaccia nella scheda Interfacce delle propriet dell interfaccia Informazioni su questo argomento si trovano nel capitolo e Configurazione delle interfacce Pagina 92 Creazione di CP in STEP 7 Vedere anche I CP vengono creati solo in STEP 7 Essi compaiono dopo la creazione e la definizione come unit Security nelle propriet dell unit di STEP 7 nell elenco delle unit configurate nell SCT dati dell indirizzo vengono acquisiti da STEP 7 e non possono essere modificati nell SCT Parametri nell area del contenuto Pagina 90 Aree dei valori indirizzo IP maschera della sottorete indirizzo dell accoppiamento ad altra rete Pagina 265 MAC adress Pagina 266 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 89 Creazione di unit e impostazione dei parametri di rete 3 1 Parametri nell area del contenuto 3 1 Parametri nell area del contenuto Alla visualizzazione si accede nel modo seguente Selezionar
281. ol Migrazione di diritti dell apparecchio STEP 7 nella gestione utenti SCT Vedere anche 56 Vengono migrati i seguenti diritti Diritto in STEP 7 Accesso ai simboli progettati Diritto dopo la migrazione nell SCT Applet Lettura di variabili tramite i simboli progettati Applet Scrittura di variabili tramite i simboli progettati Lettura di variabili tramite indirizzi assoluti Applet Lettura di variabili tramite indirizzi assoluti Scrittura di variabili tramite indiriz zo assoluto Applet Scrittura di variabili tramite indirizzi assoluti Accesso ai file nella stazione S7 con FTP FTP Lettura dei file DB dalla CPU S7 FTP Scrittura dei file DB nella CPU S7 Servizio SPS FTP Lettura dei file dal sistema di file CP FTP Scrittura dei file sul sistema di file CP Web Formattazione del sistema di file CP Sistema di file rack Interrogazione dei numeri di ordi nazione delle unit Applet Lettura del numero di ordinazione delle unit nel rack Sincronizzazione dell ora Pagina 189 Progettazione dell elenco degli accessi Pagina 119 Invio di una mail di test tramite la Web Accesso alla diagnostica Web e al Web pagina del sistema sistema di file CP Web Invio di una mail di test Interrogazione dello stato di unit Applet Lettura dello stato delle unit nel SPS Nozioni di base e applicazione Security Manuale di progettazio
282. olo se il progetto si trova in modalit estesa BST Nozioni di base e applicazione Security 212 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 5 Configurazione del tunnel in modalit estesa A questa funzione si accede nel modo seguente 1 Selezionare l unit da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda VPN Le impostazioni qui eseguite vengono acquisite come standard come impostazioni estese all unit per le impostazioni specifiche per il collegamento Le impostazioni specifiche per il collegamento possono sovrascrivere impostazioni estese all unit e sono configurabili nella finestra dei dettagli Ulteriori informazioni relative alla progettazione di impostazioni specifiche per il collegamento si trovano nel seguente capitolo Progettazione delle propriet VPN specifiche per il collegamento Pagina 215 Dead Peer Detection DPD EST Come standard DPD disattivato Per consentire che DPD funzioni in modo affidabile su entrambe le unit Security essa deve essere attivata Con la DPD attivata le unit Security scambiano ulteriori messaggi ad intervalli impostabili se attualmente non in atto uno scambio di dati tramite tunnel VPN In questo modo possibile riconoscere se il collegamento IPsec ancora valido o se deve eventualmente essere realizzato di nuovo Se non pi in atto nessun collegamento le Security Asso
283. on sono ritentivi dati vengono depositati in una memoria volatile dell unit Security per questo motivo essi non sono pi disponibili dopo un disinse rimento della tensione di alimentazione Nozioni di base e applicazione Security 258 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Funzioni online Diagnostica e logging 9 2 Registrazione di eventi logging Funzione scheda nella finestra di dialogo online Filtraggio degli eventi di sistema Progettazione Impostare in questa sotto finestra di dialogo un livello di filtro per gli eventi di sistema Come standard sono impostati i seguenti valori e SCALANCE S Livello 3 e CP Livello 3 Osservazioni Selezionare come livello del filtro Error o un valore superiore per escludere la registrazio ne di eventi generali non critici Avvertenza per il CP Selezionare per il CP solo il livello 3 o il livel lo 6 e In caso di selezione del livello 3 vengono visualizzati i messaggio di errore dei livelli da 0a3 e In caso di selezione del livello 6 vengono visualizzati i messaggio di errore dei livelli da 0a 6 Diagnostica della linea ESRI La diagnostica del cavo crea un evento di sistema specifico Im postare a partire da quale per centuale di telegrammi errati deve essere generato un evento di sistema Assegnare una Facili ty o una Severity all evento di sistema Con la Severity si valutano gli eventi di si stema della
284. onare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Collegamento Internet Significato Se per un interfacce dell unit Security impostato un collegamento tramite PPPOE eseguire in questa scheda le impostazioni per l Internet Service Provider ISP Tabella 3 3 Impostazioni per l account ISP Funzionamento Descrizione Nome utente Inserire il nome per il login nell account ISP Password Inserire la password per il login nell account ISP Nozioni di base e applicazione Security 100 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Funzionamento Descrizione Conferma password Inserire di nuovo la password per il login nell account ISP Autenticazione Non selezionare nessun protocollo di autenticazione o selezio narne uno dei seguenti e PAP Password Authentication Protocol e CHAP Challenge Handshake Authentication Protocol Avvertenza Entrambi i partner di comunicazione devono utilizzare lo stesso metodo di autenticazione altrimenti non viene realizzato nessun collegamento Tabella 3 4 Regole per nome utente e password Caratteri ammessi Sono consentiti i seguenti caratteri del set di caratteri ANSI X 3 4 1986 0123456789 A Z a Z 8 lt gt NI Lunghezza del nome utente 1 255 caratteri
285. one binaria da sinistra una sequenza di valori senza spazi 1 e da destra una sequenza di valori senza spazi 0 I valori 1 determinano il numero di rete all interno dell indirizzo IP valori 0 determinano l indirizzo Host all interno dell indirizzo IP Esempio Valori corretti 255 255 0 0 decimale 11111111 11111111 00000000 00000000 binario 255 255 128 0 decimale 11111111 11111111 10000000 00000000 binario 255 254 0 0 decimale 11111111 11111110 00000000 00000000 binario Valore errato Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 265 Appendice A 3 MAC adress 255 255 1 0 decimale 11111111 11111111 00000001 00000000 binario Relazione tra indirizzo IP e maschera della sotto rete Il primo numero decimale dell indirizzo IP da sinistra determina la struttura della maschera della sotto rete riguardo al numero dei valori 1 binari nel modo seguente per x sta l indirizzo Host Primo numero decimale dell indirizzo IP Finestra della sotto rete 0 127 255 X X X 128 191 255 255 x x 192 223 255 255 255 x Nota Per il primo numero decimale dell indirizzo IP possibile inserire anche un valore compreso tra 224 e 255 Tuttavia questo non raccomandabile in quanto questa area di indirizzi riservata per altri compiti e in alcuni tool di configurazione ad es STEP 7 per questi valori non viene eseguito nessun controllo Area
286. onfiguration Tool s Service Computer con SOFTNET A Security Client A l RR da PH VPN tramite tunnel IPsec HH HH Computer di gestione della produzione con CP 1628 87 400 con 57 300 con CP 443 1 Advanced CP 343 1 Advanced er SCALANCE 612 SCALANCE 623 SCALANCE S627 2M Verisusaresarasasara Firewall Router NAT NAPT Router HMI pale 23258213 DE OP 270 Link ET 200x m interno Servizio amp supervisione J interno Cella di automazione A r _ l I IE PB l l Figura 1 2 Configurazione di rete con SCALANCE S612 SCALANCE S623 e SCALANCE S627 2M Nozioni di base e applicazione Security 28 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Introduzione e nozioni di base 1 6 Impiego di SCALANCE S612 S623 e S627 2M Funzioni di sicurezza e Firewall IP Firewall con Stateful Packet Inspection layer 3 e 4 Firewall anche per telegrammi Ethernet Non IP secondo IEEE 802 3 telegrammi layer 2 non disponibile se viene utilizzato il funzionamento router Limitazione della larghezza di banda Setdiregole firewall globali Set di regole IP specifiche per l utente Tutti i nodi di rete che si trovano in un segmento di rete interno di uno SCALANCE S sono protetti da questo Firewall e Comunicazione protetta con IPsec Tunnel SCALANCE S pu essere unito in un gruppo con altre
287. onfigurazione e modifica del tunnel 242 Funzioni online Diagnostica e logging iiii 251 9 1 Panoramica delle funzioni della finestra di dialogo online 253 9 2 Registrazione di eventi IOggGing ii 255 9 2 1 Logging locale Impostazioni nella configurazione 257 9 2 2 Network Syslog Impostazioni nella configurazione 259 9 2 3 Progettazione del logging pacchetti ui 262 Ap eNd CE fai i eni a a RIA a a a nei ca 265 A 1 Conformit DNS Qi elia aiuola 265 A 2 Aree dei valori indirizzo IP maschera della sottorete indirizzo dell accoppiamento ad altra rete erreia ei Aaa in ae aan 265 A 3 MAC adrese ar uria eni aprire ati in a NI RENAA 266 ENa le laeti AARE E E T EEEE ET LL 269 B 1 Introduzione senza CD DVD ardar A E EE A EE A A ROA 269 B 2 CP S7 Per la progettazione la messa in servizio e l utilizzo del CP 270 B 3 Per la progettazione con STEP 7 NOM S7 270 B 4 CP S7 Per il montaggio e la messa in servizio del CP 271 B 5 Per la configurazione e il funzionamento di una rete Industrial Ethernet 272 B 6 Nozioni di base SIMATIC e STEP 7 272 B 7 Comunicazione industriale volume 2 273 B 8 Per la configurazione di stazioni PC PG 273 B 9 Per la configurazione CP PG veisteanna ea a aai aii 273 B 10 SIMATIC NET Industrial Ethernet
288. ossibile accedere con il tasto F1 o con il pulsante Help nella relativa finestra di dialogo F1 2 1 Panoramica Potenzialit e tipi di funzionamento Potenzialit Lo strumento di progettazione Security Configuration Tool si utilizza per i seguenti compiti Progettazione delle unit Security Progettazione di SOFTNET Security Client Creazione dei dati di configurazione VPN per SCALANCE M Creazione di file di configurazione VPN per dispositivi VPN di altri produttori Funzioni di test e di diagnostica indicazioni di stato Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 41 Progettazione con Security Configuration Tool 2 1 Panoramica Potenzialit e tipi di funzionamento Due modalit di funzionamento del Security Configuration Tool Il Security Configuration Tool pu essere richiamato nelle seguenti modalit di funzionamento Security Configuration Tool Standalone Pu essere richiamato indipendentemente da STEP 7 Nessuna progettazione Security possibile di CP Security Configuration Tool integrato in STEP 7 Pu essere richiamato solo da STEP 7 Nel progetto deve trovarsi almeno un CP con funzione Security attivata La funzionalit di Security Configuration Tool Standalone viene estesa della possibilit di progettare funzioni Security per CP Visualizzazione di progettazione offline e visualizzazione di diagnostica online Il Security Configu
289. per la conversione di indirizzi tra due aree di indirizzi La funzione principale la conversione di indirizzi IP privati in indirizzi IP pubblici ovvero in indirizzi IP che vengono utilizzati in Internet e anche instradati In questo modo si ottiene che gli indirizzi IP della rete interna non vengono resi noti nella rete esterna nodi interni sono visibili nella rete esterna solo tramite l indirizzo IP esterno definito nell elenco di conversione indirizzi tabella NAT Se l indirizzo IP esterno non un indirizzo dell unit Security e se l indirizzo IP interno univoco esso viene indicato come 1 1 NAT Con 1 1 NAT l indirizzo interno senza conversione porta viene convertito sull indirizzo esterno In caso contrario si tratta di n 1 NAT Conversione di indirizzo con NAPT Network Address Port Translation La conversione di indirizzi con NAPT modifica l indirizzo IP di destinazione e la porta di destinazione in una relazione di comunicazione inoltro della porta Vengono convertiti telegrammi provenienti dalla rete esterna o dalla rete DMZ e destinati all indirizzo IP dell unit Security Se la porta di destinazione del telegramma identica ad uno dei valori indicato nella colonna Porta sorgente l unit Security sostituisce l indirizzo IP di destinazione e la porta di destinazione come indicato nella riga corrispondente della tabella NAPT In caso di risposta l unit Security imposta come indirizzo IP sorgente e come porta sorgente i
290. plicate ai pacchetti Layer 2 Per il firewall possono essere definite sia regole IP sia regole MAC La modifica nel firewall regolato in base al tipo Ethertype del pacchetto pacchetti IP vengono inoltrato o bloccati in base alle regole IP mentre i pacchetti Layer 2 in base alle regole MAC Non possibile filtrare un pacchetto IP utilizzando una regola firewall MAC ad es basato su un indirizzo MAC L esempio per il filtro pacchetto IP nel capitolo 5 4 3 Pagina 147 pu essere logicamente utilizzato sulle regole del filtro pacchetto MAC Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 159 Progettazione di firewall 4 3 Firewall in modalit estesa 4 3 11 A questa funzione si accede nel modo seguente Significato definizione dei servizi MAC e Con il comando di menu Opzioni gt Servizi MAC 0 e Dalla scheda Regole MAC con il pulsante Servizi MAC Con l aiuto delle definizioni del servizio MAC possibile definire le regole del firewall che vengono utilizzate su determinati servizi Si assegna un nome e si assegnano al nome i parametri del servizio Inoltre possibile riunire in gruppi i servizi definiti in un sottogruppo Per la progettazione delle regole del filtro pacchetto globali o locali utilizzare questo nome Parametri per servizi MAC Una definizione di servizio MAC contiene una categoria di parametri MAC specifici per il protocollo
291. plicite per ogni regola del filtro pacchetto Per CP Se stato migrato un elenco Access Control esso viene qui visualizzato e pu essere modificato S gt V3 0 Collegamento Internet X X Se impostato un collegamento tramite PPPoE eseguire qui le impostazioni per l Internet Service Provider S2V3 0 DNS x Impostazioni per DNS dinamico che consentono l accesso a indirizzi IP che variano costantemente tramite nomi definiti in modo fisso FQDN Il DNS dinamico ammesso sull interfaccia esterna e sull interfaccia DMZ SD Routing X X A Inserire qui i dati relativi al router standard e o definire un instra damento specifico per la rete Per CP L indicazione di un router standard viene rilevata da STEP 7 e pu essere modificata solo in STEP 7 La visualizza zione avviene nell area del contenuto dell SCT Di conseguenza la scheda non presente nelle propriet del modulo CLP NAT NAPT X Attivare la funzionalit NAT NAPT e definire la conversione di indirizzi in un elenco Sincronizzazione dell ora X X Definire il tipo di sincronizzazione per data e ora Per CP La sincronizzazione dell ora pu essere configurata nell SCT solo se in STEP 7 stata attivata la configurazione NTP estesa Impostazioni Log X Qui possibile eseguire indicazioni pi esatte relative alla mo dalit di registrazione e di salvataggio di eventi log e progettare la trasmissione ad un server Syslog Nozioni di base e applicazione Security M
292. possibile accedere con il tasto F1 o con il pulsante Help nella relativa finestra di dialogo Rimandi bibliografici rimandi ad ulteriori documentazioni sono indicati con un numero bibliografico riportato tra due barre In base a questi numeri possibile rilevare dalla bibliografia riportata alla fine del presente manuale la parte di documentazione Vedere anche Pagine Customer Support http support automation siemens com WW view it 18701555 130000 Glossario SIMATIC NET Descrizione dei numerosi termini specifici presenti nella documentazione che si trovano nel glossario SIMATIC NET Il glossario SIMATIC NET si trova e SIMATIC NET Manual Collection o DVD del prodotto Il DVD allegato ad alcuni prodotti SIMATIC NET e In Internet alla seguente ID articolo 50305045 http support automation siemens com WW view it 50305045 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 7 Prefazione Nozioni di base e applicazione Security 8 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Indice del contenuto Prefazione svitiscatatiasitsasfisasesSiiabenaba tana babddai ida EARR ideata sioni ET 3 1 Introduzione e nozioni di base iii 15 1 1 Avvertenze Importanti a alain ia A E E 15 1 2 Introduzione e nozioni di base n 18 1 3 Proprieta del pO OT O elia ni ara 18 1 3 1 Panoramica dele funzion
293. progettazione Security Configuration Tool in questo modo viene garantita la progettazione completamente integrata Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Introduzione e nozioni di base 1 5 Impiego di SCALANCE S602 1 5 Impiego di SCALANCE S602 Firewall e Router Compito di SCALANCE S602 Grazie alla combinazione di diverse misure di sicurezza quali firewall e router NAT NAPT l unit SCALANCE S602 protegge singoli dispositivi o intere celle di automazione da e spionaggio dei dati e accessi indesiderati SCALANCE S602 consente questa protezione in modo flessibile e senza trattamenti complessi SCALANCE S602 viene configurato con lo strumento di progettazione Security Configuration Tool A Industrial SCALANCE S SCALANCE S bu Firewall Router NAT INAPT Router Rei o Tre o EEEIEE DE OP 270 HMI S7 400 S7 300 l _ a interna servizio amp supervisione fer SI IZ I A SE E NE Figura 1 1 Configurazione della rete con SCALANCE S602 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 25 Introduzione e nozioni di base 1 5 Impiego di SCALANCE S602 Funzioni di sicurezza e Firewall IP Firewall con Stateful Packet Inspection layer 3 e 4 Firewall anche per telegrammi Ethernet Non
294. propriet dell unit 5 1 Unit Security come router Modalit Bridge e Routing in SCALANCE S623 S627 2M 5 1 2 Nella rete DMZ si tratta di una sottorete separata La differenza tra modalit Bridge e modalit Routing consiste nella suddivisione della rete esterna ed interna e Modo di funzionamento Bridge La rete interna ed esterna si trova nella stessa sottorete la rete DMZ si trova nella sottorete separata e Modo di funzionamento Routing La rete interna la rete esterna si trovano rispettivamente in una propria sottorete la rete DMZ si trova in un ulteriore sottorete separata Definizione del router standard e degli instradamenti A questa funzione si accede nel modo seguente 168 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Routing 3 Se si inserisce l indirizzo IP il FQDN per il router standard tutti gli instradamenti vengono gestiti tramite questo router se non indicato nessun instradamento specifico Gli instradamenti specifici possono essere inseriti nell area di inserimento Instradamenti 4 Fare clic sul pulsante Aggiungi instradamento 5 Inserire i seguenti valori Parametri Funzionamento Valore di esempio ID rete Le richieste ai nodi delle sottoreti con l ID di rete qui 192 168 11 0 indicata e la maschera di sottorete indicata vengono inoltrate nella rete tramite l indirizzo IP router indicato in base all ID di re
295. propriet dell unit 5 5 Proxy ARP 5 5 Proxy ARP Informazioni generali Proxy ARP consente ai router di rispondere alle richieste ARP per host Gli host si trovano quindi nelle reti separate da router ma utilizzano tuttavia la stessa area di indirizzi IP Se il PC1 invia una richiesta ARP al PC2 esso riceve una risposta ARP dall unit Security intermedia e non dal PC2 e l indirizzo hardware dell interfaccia indirizzo MAC della porta sull unit Security sulla quale stata ricevuta la richiesta Il PC1 richiedente invia quindi i suoi dati all unit Security che li inoltra successivamente al PC2 A questa funzione si accede nel modo seguente Questa funziona disponibile solo per l interfaccia interna di un unit Security che un nodo di un gruppo VPN e che si trova in modalit Bridge Inoltre il progetto deve trovarsi in modalit estesa 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda ARP Proxy 3 Se l unit deve rispondere ad una richiesta ARP dalla propria LAN in sostituzione ad un partner specifico del collegamento inserire l indirizzo IP corrispondente Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 195 Progettazione di ulteriori propriet dell unit 5 5 Proxy ARP Nozioni di base e applicazione Security 196 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta
296. protocollo per la realizzazione del tunnel IPSec NAT Traversal protocollo per la realizzazione del tunnel IPsec Unit Securit interno EEY Nodi esterni Unit Security esterne Firewall Nodi nella rete DMZ Tunnel IPsec Unit Security IP nella rete DMZ Figura 4 8 Impostazione standard per filtro pacchetto IP SCALANCE S623 S627 2M traffico tra rete DMZ e rete esterna Nozioni di base e applicazione Security 130 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 2 SCALANCE S in modalita standard Tutti i telegrammi dall esterno alla rete DMZ sono bloccati Sono bloccati tutti i telegrammi dall esterno verso il tunnel sull interfaccia DMZ e vicever sa Tutti i telegrammi dalla rete DMZ al tunnel sull interfaccia esterna e viceversa sono bloc cati Sono bloccati tutti i telegrammi dalla rete DMZ all esterno Nota Abilitazione automatica dei tipi Ether Se PPPOE attivo i tipi Ether 0x8863 e 0x8864 vengono abilitati automaticamente PPPoE Discovery e Session Stage 4 2 2 Progettazione del firewall per SCALANCE S 2 V3 0 A questa funzione si accede nel modo seguente 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Firewall Firewall attivato come standard Come standard la casella di controllo Attiva firewall attivata Il firewall quindi automaticamente attivo e tutti gli
297. questo motivo la casella di inserimento Conversione sorgente non progettabile Indirizzo IP di destinazione Indirizzo IP nella rete sorgente Indirizzo IP di destinazione nella rete sorgente con il quale si deve accedere ad un indirizzo IP nella rete di destina zione Se in un telegramma l indirizzo IP di destinazione corrisponde all indirizzo IP indicato l indirizzo IP viene sostituito con l indirizzo IP indicato nella casella di inserimento Conversione destina zione Se l indirizzo IP qui indicato non un indirizzo IP dell unit Security esso diventa un indirizzo Alias Ci significa che l indirizzo indicato viene inoltre registrato come indirizzo IP sull inter faccia selezionata Gli indirizzi Alias vengono inoltre visualizzati nella sche da Interfacce dell unit Security Assi curarsi che con l indirizzo Alias non vi sia nessun conflitto di indirizzo IP nella rete Conversione destinazione Indirizzo IP nella rete di destinazione L indirizzo IP di destinazione viene N sostituito dall indirizzo IP qui indicato Il numero progressivo assegnato da SCT che viene utilizzato per il riferi mento alla regola firewall che viene generata da SCT per la regola NAT 176 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Attivazione NAPT Il campo di immissione per NAPT viene attivato Le conversioni NAPT vengono attivate nell elenco solo co
298. rasmesse tramite la porta UDP 123 Questa asse gnazione di porta non pu essere modificata Indirizzi IP e maschere della sottorete riconoscibili L unit Security riconosce esclusivamente nodi interni che presentano indirizzi IP nell area delle classi di rete A B o C La maschera della sottorete viene rilevata dall unit Security in base alla relativa classe di rete vedere tabella Classi di rete e relative maschere della sottorete Per poter rilevare in modo corretto la maschera della sottorete per il nodo interno deve essere inserito un router standard I nodi con indirizzi IP delle classi di rete D e E vengono respinti dall unit Security Tabella 3 8 Classi di rete e relative maschere della sottorete Classe di Indirizzi IP Finestra della sotto rete rete Limite inferiore Limite superiore A 0 0 0 0 127 255 255 255 255 0 0 0 B 128 0 0 0 191 255 255 255 255 255 0 0 C 192 0 0 0 223 255 255 255 255 255 255 0 D 224 0 0 0 239 255 255 255 Viene respinto dall unit Security E 240 0 0 0 255 255 255 255 Viene respinto dall unit Security Struttura d insieme 110 Viene riconosciuto al massimo un nodo interno dell unit Security In caso di diversi nodi interni l unit Security si comporta nel modo seguente e primo dispositivo riconosciuto dall unit Security nella rete interna ottiene l accesso al segmento di rete esterno se il firewall configurato in modo corrispondente e
299. ration Tool dispone di una visualizzazione di progettazione offline e di una visualizzazione di diagnostica online Visualizzazione di progettazione offline Nel modo di funzionamento offline la progettazione dei dati di configurazione viene eseguita per l unit corrispondente Prima dell operazione di caricamento non deve esistere un collegamento con questa unit Online La modalit online serve al test e alla diagnostica di un unit Security Due modalit di comando Nella visualizzazione di progettazione offline il Security Configuration Tool mette a disposizione due modalit di comando 42 Modalit standard Lo Standard Mode preimpostato nel Security Configuration Tool Questa modalit consente una rapida e semplice progettazione per il funzionamento delle unit Security Modalit estesa Nella modalit estesa esistono possibilit di impostazione estese che consentono inoltre l impostazione individuale delle regole del firmware delle impostazioni Log delle regole NAT NAPT dei nodi VPN e di funzionalit di sicurezza estese Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 2 Installazione del Security Configuration Tool Tipo di funzionamento Sicurezza e coerenza e Accesso solo per utenti autorizzati Ciascun progetto pu essere protetto contro l accesso non autorizzato mediante inserimento del nome utente e
300. rd per SCALANCE S623 a partire da V3 e S627 2M V4 Le regole firewall standard per l interfaccia esterna ed interna corrispondono a quelle valide per le unit SCALANCE S del tipo S602 e S612 Nei seguenti due grafici sono illustrate solo le regole filtro pacchetto IP che riguardano l interfaccia DMZ Le regole pacchetto filtro MAC non possono essere definite per l interfaccia DMZ in quanto i telegrammi tra la rete esterna o interna e l interfaccia DMZ vengono instradati Nodi interni Unit Security esterno Firewall Firewall Nodi nella rete DMZ Tunnel IPsec j Unit Security IP nella rete DMZ Figura 4 7 Impostazione standard per filtro pacchetto IP SCALANCE S623 S627 2M traffico tra la rete DMZ e la rete interna o la rete DMZ e l unit Security OTUutti i telegrammi dall interno alla rete DMZ sono bloccati Sono autorizzati tutti i telegrammi dall interno verso il tunnel sull interfaccia DMZ e vice versa Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 129 Progettazione di firewall 4 2 SCALANCE S in modalita standard TUutti i telegrammi dalla rete DMZ verso l interno sono bloccati Tutti i telegrammi dalla rete DMZ al tunnel sull interfaccia DMZ e viceversa sono bloccati Sono autorizzati i telegrammi del seguente dalla rete DMZ nodi nella rete DMZ e unit Security nella rete DMZ sull unit Security e HTTPS SSL Protocollo ESP codifica IKE
301. re editata solo se la modalit routing attivata Router standard Indirizzo IP del router standard assegnazione adatta nell insieme di reti MAC address Indirizzo hardware dell unit L indirizzo MAC stampigliato sulla custodia dell unit Comment Informazioni sull unit e sulla sotto selezionabile liberamente rete protetta dall unit Modifica dei parametri di indirizzo per SCALANCE S M Per le unit SCALANCE S M alcuni parametri di indirizzo possono essere inseriti e modificati nell area del contenuto Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete 3 1 Parametri nell area del contenuto Significato dei parametri di indirizzo per CP Per i CP vengono visualizzati i seguenti indirizzi da STEP 7 Casella nell SCT CP x43 1 Adv CP 1628 Indirizzo IP est Indirizzo IP Gigabit Indirizzo IP IE Industrial Ethernet Maschera sotto rete Maschera della sotto rete Gigabit Maschera della sotto rete IE est Indirizzo IP Int Indirizzo IP PROFINET Non viene visualizzato Maschera sotto rete Maschera della sotto rete Non viene visualizzato int PROFINET Router standard Router standard progettato in Router standard progettato in STEP 7 STEP 7 Indirizzo MAC Indirizzo MAC Gigabit se pro Indirizzo MAC IE se progettato gettato Vengono visualizzati anche i dati
302. re i seguenti inserimenti Impostazione Significato URL aggiornamento provider Inserire il rispettivo URL ricevuto dal proprio provider testi segnaposto lt FQDN gt e lt CurrentWanIP gt devono quindi essere posizionati nella relativa posizione dell URL URL servizio IP di controllo Inserire il rispettivo URL ricevuto dal proprio provider Ignora errori durante il controllo Per far s che di dati di autenticazione siano protetti come stan del certificato del server dard il certificato del server update controllato Se il controllo del certificato fallisce il collegamento HTTPS viene chiuso e i dati dell account non vengono trasmessi Se si attiva la casella di controllo la funzione viene disattivata ad es se il certificato del server del servizio DNS din non valido ad es scaduto Si raccomanda di non ignorare il controllo e di non attivare la casella di controllo 3 2 5 LLDP Significato LLDP Link Layer Discovery Protocol un protocollo che viene utilizzato per il riconoscimento delle topologie di rete Un dispositivo con funzione LLDP quindi in grado di inviare ad intervalli regolari informazioni sul proprio stato ai dispositivi adiacenti e di riceve simultaneamente informazioni dai dispositivi adiacenti Le informazioni ricevute vengono salvate su ciascun dispositivo con funzione LLDP in un file MIB LLDP sistemi di gestione della rete possono accedere a questi file MIB LLDP mediante S
303. re i parametri per il nuovo certificato Security Configuration Tool 16 05 2013 09 37 29 Bv 17 05 2037 01 59 59 Bv Nome alternativo del richiedente 3 Selezionare se il nuovo certificato deve essere autofirmato o se deve essere firmato da un autorit di certificazione 4 Se il certificato deve essere firmato da un autorit di certificazione selezionare con il pulsane Seleziona l autorit di certificazione da utilizzare Per la selezione sono disponibili solo le autorit di certificazione memorizzate nella memoria dei certificati del progetto SCT attuale 5 Selezionare un periodo nel quale il certificato valido Come standard nelle caselle Valido da e Valido fino a viene inserito il valore del certificato attuale 6 A seconda del certificato inserire i seguenti valori Certificato da rinnovare Certificato CA del progetto Parametri Richiedente Nome del certificato CA Nome alternativo del richiedente Certificato CA del gruppo VPN Certificato SSL per CP S7 Nome del certificato CA Nome dell unit Security Indirizzi IP dell interfaccia Gigabit e PROFINET separati da una virgola Certificato SSL per CP PC Nome dell unit Security Indirizzo IP dell unit Security Certificato SSL per SCALANCE S SCALANCE M e SOFTNET Security Client Nome dell unit Security Certificato del gruppo SSL di un unit Security Nome del certificato del grup p
304. re non sono attive Nozioni di base e applicazione Security 136 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Se nelle finestre di dialogo descritte di seguito non si inseriscono regole valgono le impostazioni standard del firewall dettagli su questo argomento si trovano nel seguente capitolo e Impostazioni standard di CP x43 1 Adv Preimpostazione del firewall Pagina 116 e Impostazioni standard di CP 1628 Preimpostazione del firewall Pagina 122 e Impostazioni standard di SCALANCE S Preimpostazione del firewall Pagina 126 Definizione globale specifica per l utente e definizione locale possibili 4 3 2 Impiego e lset di regole globali del firewall possono essere assegnati contemporaneamente a diverse unit Security Essi vengono visualizzati e progettati globalmente in modalit estesa nell area di navigazione del Security Configuration Tool e lsetdi regole IP personalizzati possono essere assegnati contemporaneamente a diverse unit Security Essi vengono visualizzati e progettati globalmente in modalit estesa nell area di navigazione del Security Configuration Tool SCALANCE S V4 RADIUS Oltre a singoli o pi utenti ai set di regole IP personalizzati possono essere assegnati anche singoli o diversi ruoli e Le regole firewall locali sono assegnate rispettivamente ad un unit Security Esse vengono progettate nella finestra di dialogo d
305. reazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Configurazione dei moduli mediali 7 Fare clic sul pulsante Configura modulo mediale per richiamare la finestra di dialogo per la configurazione del modulo mediale per l interfaccia corrispondente Per la selezione sono disponibili le seguenti modalit di configurazione e Automatico impostazione standard Il modulo mediale utilizzato viene riconosciuto automaticamente durante il funzionamento La modalit della porta viene impostata per entrambe le porti su Auto Negotiation e Manuale Selezionare il tipo di modulo mediale utilizzato dalla casella di riepilogo Tipo di modulo Se si seleziona il tipo di modulo mediale MM992 2SFP dalle due caselle di riepilogo Tipo SFP possibile selezionare i transceiver ad innesto SFP desiderati Per le porte con il tipo di porta Rame possibile definire manualmente la velocit di trasmissione nonch il metodo duplex tramite la modalit della porta Per le porte con il tipo di porta Ottica la modalit della porta definita in modo fisso dal modulo mediale utilizzato o dall SFP utilizzato e non pu essere adattata Vedere anche Particolarit della modalit Ghost Pagina 108 Panoramica delle possibilit di collegamento Pagina 92 Dati di configurazione per le unit SCALANCE M Pagina 217 3 2 3 Collegamento Internet A questa funzione si accede nel modo seguente 1 Selezi
306. rete 3 2 Configurazione delle interfacce Gli indirizzi MAC delle porte vengono utilizzate per il riconoscimento della topologia con LLDP solo per unit in modalit Routing Nota Le interfacce Ethernet non devono essere scambiate durante il collegamento alla rete di comunicazione e Interfaccia X1 esterna Contrassegno rosso area di rete non protetta e Interfaccia X2 interna Contrassegno verde rete protetta con SCALANCE S e Interfaccia X3 DMZ interfaccia di rete universale Contrassegno giallo area di rete non protetta o area di rete protetta con SCALANCE S In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione Funzioni delle interfacce DMZ Una zona demilitarizzata DMZ viene utilizzata se devono essere forniti servizi per una rete esterna e la rete interna che fornisce dati per questi servizi deve essere disaccoppiata dalla rete esterna Nella DMZ possono trovarsi ad es server terminal sui quali sono installati programma di manutenzione e di diagnostica che consentono accessi definiti a determinati sistemi nella rete protetta Hanno accesso solo utenti o client autorizzati dalla rete non protetta o client collegati tramite VPN Le regole firewall possono essere progettate in modo che da Internet siano possibili accessi a dispositivi nella DMZ ma non alla rete interna Per una maggiore protezione possibile limitare gli accessi consentiti esclusivamente al traffico di dati via VP
307. rigio 3 Attivare o disattivare per ciascuna unit Security i diritti che devono essere assegnati al ruolo definito dall utente 4 Inserire eventualmente un commento e una lunghezza massima della sessione per il ruolo da creare Nozioni di base e applicazione Security 70 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti 5 Fare clic sul pulsante Acquisisci per salvare la selezione o su OK per salvare e chiudere la finestra 6 Assegnare il ruolo ad un utente Copia del diritti del ruolo di un unit Security Selezionare nel menu contestuale di un unit Security dall elenco degli oggetti il comando Copia diritti e assegnarlo tramite il comando Inserisci diritti ad un altra unit Security Diritti di progettazione A seconda del tipo di ruolo per ciascun progetto Security possono essere selezionati i seguenti diritti di progettazione Tabella 2 4 Diritti di progettazione per l accesso al progetto Security Diritto di progettazione administrator standard diagnostics Diagnostica della Security x x x Configurazione della Security x x Gestione utenti e ruoli x x il diritto attivato il diritto disattivato Diritti dell unit Nella colonna Servizio viene visualizzato il sistema sul quale ha effetti il rispettivo diritti A seconda del tipo di ruolo per ciascun progetto Security possono essere
308. rity 3 Unknown Peers 211 Utente accesso remoto 68 Utenti Assegnazione dei ruoli 70 configurazione 67 Creazione dei ruoli 68 Utenti di diagnostica 68 Utenti standard 68 V Valori di inizializzazione standard 61 Versione del firmware 4 Visualizzazione di diagnostica online 42 Visualizzazione di progettazione offline 42 VLAN tagging 200 VPN 24 197 Propriet specifiche per l unit 213 SOFTNET Security Client 233 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Indice analitico 279 Indice analitico Nozioni di base e applicazione Security 280 Manuale di progettazione 12 2014 C79000 G8972 C286 04
309. rity Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 8 Dati di configurazione per NCP VPN Client Android J Konfiguration BaugruppeS ini Editor Datei Bearbeiten Format Ansicht PROFILE1 Name Prof i le 1 Gruppel Baugruppe3 connmedi a 8 Gateway 192 168 10 3 UsePreshkey 0 Pkiconfig Certificate Gruppel BaugruppeS IkeIdType 9 IkeIdStr UBEF9EF79 G9195 IkeLTSec 999 23 59 00 IPsecLTType 1 IPsecLTSec 002 00 00 00 IKE Policy IKEPolicy Gruppel Baugruppe5 Baugruppe3 IPsec Policy IPSECPO icy Gruppel Baugruppe5 Baugruppe3 US XAUTH 0 ExchMode 2 Network1 192 168 9 0 SubMask1 255 255 255 0 IKEPOLICY1 IkeName IKEPolicy Gruppel Baugruppe5 Baugruppe3 IkeAuth 3 IPSecName IPSECPO icy Gruppel Baugruppe5 Baugruppe3 IPsecCrypt 2 IPsecAuth 2 CONFLOCKS1 CERTIFICATE1 iCertName Certificate Gruppel Baugruppe5 CertType 2 CertPinQuest 1 CertP12File C SCT Konfiguration konfiguration UBEF9EF79 G9195 BaugruppeS p12 Figura 6 2 File di esportazione per un client VPN NCP Android Nota I file di configurazione non vengono trasmessi al client VPN NCP Android Viene generato un file ASCII con il quale possibile configurare il client VPN NCP Android A tal proposito il client VPN NCP Android deve trovarsi almeno in un gruppo VPN con un altra unit Security Generazione dei file di configurazione
310. rivata e p12 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 85 Progettazione con Security Configuration Tool 2 6 Gestione dei certificati Nozioni di base e applicazione Security 86 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Creazione di unit e impostazione dei parametri di rete Questo capitolo descrive come vengono create le unit e quali impostazioni sono possibili per le singole unit in un progetto Altre informazioni Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche E nella guida in linea Alla guida possibile accedere con il tasto F1 o con il pulsante Help nella relativa finestra FI di dialogo SCT Nota Potenzialit e tipi di apparecchio Osservare le funzioni supportate dal tipo di apparecchio utilizzato Vedere anche Funzioni online Diagnostica e logging Pagina 251 A questa funzione si accede nel modo seguente 1 Selezionare l oggetto Tutte le unit nell area di navigazione 2 Selezionare la voce di menu Inserisci gt Unit 3 Eseguire le seguenti impostazioni Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 87 Creazione di unit e impostazione dei parametri di rete Parametri Tipo di prodotto Significato Tipo di prodotto che viene utilizzato durante la creazione di una nuova unit SCALANCE S SCALANCE M
311. rtificati SSL necessari per l autenticazione in caso di comunicazione online tra un unit Security e un altro nodo di rete Ulteriori certificati del dispositivo sono i certificati dei gruppi VPN di unit Security che si trovano nei gruppi VPN Le autorit di certificazione possono essere e il SCT stesso Se il Richiedente e I Emittente sono uguali si tratta di un certificato autofirmato emesso dal SCT e Un autorit di certificazione sovraordinata certificati di terzi esterni al progetto vengono importati e salvati nella memoria dei certificati del SCT certificati creati da una delle due autorit di certificazione dispongono sempre di una chiave privata con la quale i certificati degli apparecchi possono essere trasmessi Inoltre nel manager dei certificati sono disponibili le seguenti funzioni per la selezione e Importazione di nuovi certificati e autorit di certificazione e Importazione di certificati FTPS se il CP viene utilizzato come client FTP e Esportazione dei certificati e delle autorit di certificazione utilizzati nel progetto e Sostituzione di certificati scaduti e di autorit di certificazione e Sostituzione di autorit di certificazione esistenti Nota Caricamento del progetto Dopo la sostituzione o il rinnovo di certificati il progetto deve essere caricato nell unit Security corrispondente Dopo la sostituzione o il rinnovo di certificati CA il progetto deve essere caricato in tutte le uni
312. rto un magazzinaggio un installazione un montaggio una messa in servizio un utilizzo e una manutenzione appropriati e a regola d arte Devono essere rispettate le condizioni ambientali consentite Devono essere osservate le avvertenze contenute nella rispettiva documentazione Marchio di prodotto Tutti i nomi di prodotto contrassegnati con sono marchi registrati della Siemens AG Gli altri nomi di prodotto citati in questo manuale possono essere dei marchi il cui utilizzo da parte di terzi per i propri scopi pu violare i diritti dei proprietari Esclusione di responsabilit Abbiamo controllato che il contenuto di questa documentazione corrisponda all hardware e al software descritti Non potendo comunque escludere eventuali differenze non possiamo garantire una concordanza perfetta Il contenuto di questa documentazione viene tuttavia verificato periodicamente e le eventuali correzioni o modifiche vengono inserite nelle successive edizioni Siemens AG N di ordinazione documentazione C79000 G8972 C286 04 Copyright Siemens AG 2012 2014 Division Process Industries and Drives 12 2014 Con riserva di modifiche Tutti i diritti riservati Postfach 48 48 90026 N RNBERG GERMANIA Prefazione Prefazione Questo manuale fornisce un supporto durante la progettazione delle funzionalit Security dei seguenti prodotti Security Integrated SCALANCE S S602 S612 S623 S627 2M SOFTNET Security
313. ruolo di ridondanza del mezzo Client MRP o Client HRP Denominazione della secon da porta dell anello dell inter faccia selezionata in Interfaccia se per essa stato selezionato il ruolo di ridondanza del mezzo Client MRP o Client HRP Nodo MRP solo in caso di selezione del ruolo di ridondanza del mezzo Client MRP Indicazione delle informazio ni su tutte le unit Security che fanno parte dello stesso dominio MRP dell interfaccia selezionata Risultato L interfaccia Security stata collegata all anello MRP HRP tramite l interfaccia selezionata Le porte del modulo mediale la cui interfaccia le cui interfacce sono collegate all anello MRP HRP viene visualizzata inoltre nella scheda Interfacce delle propriet dell unit Controllo della coerenza va osservata questa regola Per l inserimento rispettare la regola riportata qui di seguito e lnomidi domini MRP devono comprendere esclusivamente lettere minuscole numeri e il carattere nomi devono iniziare e finire con una lettera minuscola o un numero Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 107 Creazione di unit e impostazione dei parametri di rete 3 2 Configurazione delle interfacce Vedere anche 3 2 7 Significato Controlli di coerenza Pagina 61 Particolarit della modalit Ghost In modalit Ghost l unit Security non ha un indirizzi IP proprio n sul
314. seguenti sistemi operativi e Microsoft Windows XP a 32 bit Service Pack 3 e Microsoft Windows 7 Professional a 32 64 bit e Microsoft Windows 7 Professional a 32 64 bit Service Pack 1 e Microsoft Windows 7 Ultimate a 32 64 bit e Microsoft Windows 7 Ultimate a 32 64 bit Service Pack 1 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 235 SOFTNET Security Client 8 2 Installazione e messa in servizio del SOFTNET Security Client Comportamento in caso di disturbi 8 2 8 2 1 236 AI verificarsi di disturbi sul proprio PG PC il SOFTNET Security Client presenta il seguente comportamento e Le direttive di sicurezza configurate vengono mantenute tramite disinserimento e inserimento del proprio PG PC e In caso di configurazione errata vengono emessi messaggi Installazione e messa in servizio del SOFTNET Security Client Installazione e avvio del SOFTNET Security Client Il software PC SOFTNET Security Client si installa dal DVD del prodotto 1 Leggere dapprima le indicazioni riportate nel file README del DVD SCALANCE S e osservare eventuali istruzioni di installazione supplementari 2 Eseguire il programma di setup Aprire quindi il sommario del contenuto sul DVD SCALANCE S CD viene avviato automaticamente inserendo il DVD o pu essere aperto con il file start exe Selezionare direttamente la voce Installation SOFTNET Security Client Dopo l installazione e l avvio del SOF
315. senti autenticazione RADIUS di utenti non progettati se al set di regole IP personalizzato da attivare stato assegnato un ruolo anzich un utente Attivare la casella di controllo L ID filtro necessario per l autenticazione se il ruolo assegnato un ruolo personalizzato Fare clic sul pulsante Aggiungi Risultato Il server RADIUS progettato per primo viene assegnato all unit Security 10 Selezionare eventualmente nella casella di riepilogo Nome il server RADIUS che si vuole assegnare all unit Security Le informazioni generali relative all autenticazione mediante server RADIUS si trova nel seguente capitolo Autenticazione mediante server RADIUS Pagina 76 Crea utente Pagina 67 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 6 Gestione dei certificati 2 6 Gestione dei certificati 2 6 1 Informazioni generali Come si gestiscono i certificati Nel manager dei certificati riportato un sommario di tutti i certificati certificati CA utilizzati nel progetto con indicazioni del richiedente dell emittente della validit dell utilizzo in SCT e della presenza di una chiave privata Il certificato CA un certificato emesso da un autorit di certificazione la cosiddetta Certificate Authority dalla quale vengono trasmessi i certificati dell apparecchio Dei certificati del dispositivo parte i ce
316. sonalizzati U Alle unit SCALANCE S a partire da V4 possono essere assegnati anche set di regole IP personalizzati ai quali sono assegnati ruoli In questo modo possibile abilitare un gruppo di utenti per l accesso a determinati indirizzi IP Se un server RADIUS viene utilizzato per l autenticazione dell utente e al set di regole IP personalizzato viene assegnato un ruolo il server RADIUS pu autenticare anche questo tipo di utenti che non sono progettati sull unit Security Questi utenti devono essere memorizzati nel server RADIUS o in una banca dati separata e qui essere assegnati al ruolo assegnato al set di regole IP personalizzato in SCT Questo procedimento ha il vantaggio di poter memorizzare tutti gli utenti solo sul server RADIUS Le ulteriori informazioni generali relative all autenticazione mediante server RADIUS si trova nel seguente capitolo Autenticazione mediante server RADIUS Pagina 76 I set di regole IP personalizzate vengono utilizzati localmente Accordi Valgono gli stessi accordi descritti nel seguente capitolo e Set di regole firewall globali Accordi Pagina 139 4 3 3 1 Creazione e assegnazione di set di regole IP personalizzati A questa funzione si accede nel modo seguente 1 Selezionare nell area di navigazione la cartella Set di regole IP personalizzati 2 Selezionare la voce di menu Inserisci gt Set di regole firewall 3 Inserire i seguenti dati Nome Denominazione univoca del set
317. ssa Indirizzo di base MAC indica il produttore Siemens 3COM La parte variabile dell indirizzo MAC distingue i diversi nodi Ethernet Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 267 Appendice A 3 MAC adress Nozioni di base e applicazione Security 268 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Bibliografia B B 1 Introduzione senza CD DVD Come trovare la documentazione SIMATIC NET e Cataloghi I numeri di ordinazione per i prodotti Siemens qui rilevanti si trovano nei seguenti cataloghi SIMATIC NET Comunicazione industriale identificazione industriale Catalogo IK PI SIMATIC Prodotti per Totally Integrated Automation e Micro Automation Catalogo ST 70 I cataloghi nonch informazioni supplementari possono essere richiesti presso la consulenza Siemens locale Industry Mall si trova in Internet al seguente indirizzo Link a Siemens Industry Mall http www siemens com industrymall e Documentazione in Internet I manuali SIMATIC NET si trovano anche nelle pagine Internet del Siemens Automation Customer Support Link al Customer Support http support automation siemens com WW view it Navigare al gruppo di prodotti desiderato ed eseguire le seguenti impostazioni Scheda Elenco articoli Tipo di articolo Manuali Manuali operativi e Documentazione nell installazione di STEP 7 Ai manuali presenti nella documentazione onl
318. sso solo Avvia la gestione utenti SCT nella quale posso tramite HTTPS no essere assegnati diritti Web ad un ruolo Avvio della gestione utenti Sincronizzazione dell ora Configurazione NTP Avvia l SCT in modalit di configurazione NTP estesa SNMP Avvio della configura Avvia l SCT in modalit di configurazione zione SNMP SNMP E possibile selezionare tra SNMPv1 o SNMPv3 Avvio della gestione Avvia la gestione utenti SCT nella quale posso utenti no essere assegnati diritti SNMP ad un ruolo e Direttamente nell SCT Nozioni di base e applicazione Security 54 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 4 Creazione e gestione di progetti L SCT si richiama in STEP 7 con il menu Modifica gt Security Configuration Tool Oltre alle impostazioni nelle schede delle propriet dell oggetto qui si creano ad es gruppi VPN o si aggiungono unit SCALANCE S Le unit SCALANCE S possono essere progettate e caricate nell SCT ma i dati non vengono rinviati a STEP 7 Dopo aver chiuso I SCT le unit non vengono visualizzate in STEP 7 Nota Indicazioni pi dettagliate si trovano nella guida in linea di STEP 7 e nella guida in linea dell SCT Informazioni generali relative a STEP 7 si trovano in 9 Pagina 272 2 4 3 Migrazione di dati STEP 7 Migrazione di utenti dell apparecchio STEP 7 nella gestione utenti SCT Selezionare nella finestra di dialogo della migrazione
319. standard Non appena stata modificata la configurazione per il progetto attuale non pi possibile annullare una commutazione nella modalit estesa precedentemente eseguita Rimedio SCT Standalone chiudere il progetto senza salvarlo e aprirlo di nuovo Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 185 Progettazione di ulteriori propriet dell unit 5 2 Unit Security come server DHCP A questa funzione si accede nel modo seguente 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Server DHCP TI Prep duri rg ola kg Irtedacce Fremali Collegamento ktemet ONS Routing NAT NAPT Sncsonizzazione dell ora impostasori Log VPN DHOP Server SNMP Praey ARP MRP HRP RADIUS y Aava DHCP Imcostazori per irterlacca Indezzo MAC D chert 02 0309 04 04 13 09 04 45 apro Aasegnanoni dnamche inditzzo ingente l area OTT serora indirizzo iniziale 15236895 Indnzzo tasie 132 168 3 10 OK seria Acqauao 3 Attivare la casella di controllo Attiva DHCP 4 Selezionare per quale interfaccia devono essere eseguite le impostazioni DHCP 5 Eseguire l assegnazione di indirizzi Per la configurazione esistono le due seguenti possibilit e Assegnazioni statiche di indirizzo Agli apparecchi con un determinato indirizzo MAC o ID client vengono assegnati rispettivamente indirizzi IP
320. t come nomi simbolici Nella modalit Routing questi nomi vengono ampliati con una sigla di porta nel modo seguente Nome unit P1 Nome unit P2 ecc Configurazione delle classi di evento Tabella 9 3 Network Syslog Panoramica delle funzioni Funzione scheda nella finestra di dialogo online Eventi pacchetto filtro firewall Progettazione L attivazione avviene tramite la casel la opzione Mediante l impostazione di Facility e Severity i messaggi Syslog possono essere classificati in merito alla loro provenienza e alla loro gravit L as segnazione avviene tramite casella di riepilogo A ciascun evento viene assegnata la Severity e la Facility qui impostata Osservazioni Il valore da selezionare dipende dall ana lisi nel server Syslog Questo consente un adattamento ai requisiti nel server Syslog Se si lascia impostato il valore standard default con l unit Security si definisce la combinazione di Facility e Severity con la quale viene visualizzato l evento Eventi Audit L attivazione avviene tramite la casel la opzione L assegnazione della Severity e Faci lity avviene tramite le caselle di riepi logo A ciascun evento viene assegnata la Severity e la Facility qui impostata Il valore da selezionare per la Severity e la Facility dipende dall analisi nel server Syslog Questo consente un adattamen to ai requisiti nel server Syslog Se si lascia impostato il valore sta
321. t SCALANCE S V3 0 Diritto all interno del servizio SNMP Lettura MIB II administrator standard diagnostics SNMP Scrittura MIB Il SNMP Lettura MIB di automazione SNMP Lettura MIB SNMPv2 SNMP Lettura MIB MRP E xX x X X xX x X X SNMP Scrittura MIB MRP E x x Servizio SNMP SCT Esecuzione della diagnostica dell unit Security Caricamento dei file di configurazione Web Aggiornamento del firmware x x Sicurezza Manuten zione x il diritto attivato il diritto disattivato Tabella 2 8 Diritti dell unit SCALANCE S lt V3 0 Diritto all interno del servizio Caricamento dei file di configurazione administrator standard diagnostics SCT Esecuzione della diagnostica dell unit Security x il diritto attivato il diritto disattivato Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Servizio Sicurezza 73 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Impostazione dei diritti dell unit prima e dopo la creazione di unit Security All interno di un ruolo definito dall utente i diritti dell unit vengono definiti separatamente per ciascuna unit Security Se prima di aggiungere il ruolo stata creata un unit Security per la quale devono essere definiti diritti dell unit all interno di un ruolo i diritti de
322. t Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 81 Progettazione con Security Configuration Tool 2 6 Gestione dei certificati Nota Data attuale e ora attuale sulle unit Security In caso di utilizzo di comunicazione protetta ad es HTTPS VPN fare attenzione che le unit Security interessate dispongano dell ora e della data attuale certificati utilizzati vengono altrimenti valutati non validi e la comunicazione protetta non funziona A questa funzione si accede nel modo seguente Voce di menu SCT Opzioni gt Manager dei certificati Nelle singole schede sono disponibili i seguenti pulsanti Pulsante Descrizione Importa Esporta Importazione esportazione di certificati degli apparecchi o certifi cati CA non creati nell SCT certificati vengono trasmessi all unit Security Sono consentiti i seguenti formati pem solo certificato crt solo certificato p12 certificati con relativa chiave privata Avvertenza e Gli utenti con il ruolo definito dal sistema diagnostics non possono eseguire nessuna esportazione Visualizza Apre la finestra di dialogo dei certificati di Windows nella quale viene visualizzato un sommario di tutti i dati dei certificati Scheda Autorit di certificazione certificati qui visualizzati vengono creati da un autorit di certificazione e Autorit di certificazione di
323. t estesa L attivazione del logging identica per entrambi i tipi di regole IP o MAC e tutte le regole Per registrare i pacchetti di dati di determinate regole del filtro pacchetti impostare nella colonna Logging della scheda Firewall un segno di spunta Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 263 Appendice A A 1 Conformit DNS La conformit DNS secondo RFC1035 comprende le seguenti regole e limitazione a 255 caratteri complessivi lettere numeri trattino o punto e il nome deve iniziare con una lettera alfabetica e il nome deve finire solo con una lettera alfabetica o con un numero e una componente del nome all interno del nome cio una catena di caratteri tra due punti pu essere lunga max 63 caratteri e nessun carattere speciale come dieresi parentesi sottolineatura barra spazio vuoto ecc A 2 Aree dei valori indirizzo IP maschera della sottorete indirizzo dell accoppiamento ad altra rete Area dei valori per indirizzo IP L indirizzo IP composta da 4 numeri decimali dell area di valori compresa tra 0 e 255 separati tra loro da un punto ad es 141 80 0 16 Area dei valori per maschera della sotto rete La maschera della sotto rete composta da 4 numeri decimali dell area di valori compresa tra 0 e 255 separati tra loro da un punto ad es 255 255 0 0 1 4 numeri decimali della maschera della sotto rete devono contenere nella rappresentazi
324. t standard Nota Firewall di SCALANCE S627 2M Le porte del Modulo mediale di SCALANCE S627 2M sono collegate alle porte fisse della relativa interfaccia tramite un blocco switch Tra le porte stesse dell interfaccia esterna e tra le porte stesse dell interfaccia interna non quindi garantita la funzionalit firewall Layer 2 Layer 3 4 1 CP in modalit standard Attivazione delle regole del filtro pacchetto Se in STEP 7 per i CP si attiva la funzione Security sono dapprima ammessi tutti gli accessi al e tramite il CP Per attivare singole regole filtro pacchetto fare clic sulla casella di controllo Attiva firewall Abilitare successivamente i servizi desiderati Le regole firewall create automaticamente a causa di una progettazione del collegamento hanno priorit superiore rispetto ai servizi qui impostati Tutti i nodi hanno accesso ai servizi abilitati Impostazioni firewall dettagliate nella modalit estesa In modalit estesa possibile limitare le regole firewall a singoli nodi Per passare in modalit estesa fare clic sulla casella opzione Modalit estesa Nota Non possibile una ricommutazione alla modalit standard Una commutazione nella modalit estesa per il progetto attuale non pu pi essere annullata Progettazione del firewall con VPN Se l unit Security si trova in un gruppo VPN come standard attivata la casella di controllo Solo comunicazione via tunnel Ci significa che che tr
325. te Impiegando server RADIUS possibile aumentare la protezione di nomi utente ruoli e password assegnati Settore d impiego di server RADIUS 76 L autenticazione mediante server RADIUS pu essere eseguita nell ambito dell attivazione dei set di regole IP personalizzati RADIUS Server PG per accesso alla cella di automazione te esterna Unit Security Ethernet Industrial l l l Interna Cella di automazione a a a NITTI n n 1 Inserimento dei dati utente nella pagina Web dell unit Security 2 Autenticazione mediante server RADIUS e attivazione del set di regole IP personalizzato 3 Accesso alla cella di automazione Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti La configurazione di rete illustrata sopra rappresenta un esempio Il server RADIUS pu trovarsi anche nella rete interna o nella rete DMZ dell unit Security Per le possibilit di progettazione descritte di seguito il presupposto che sia progettato un server RADIUS in SCT e che la relativa unit Security sia stata assegnata Inoltre un utente o un ruolo deve essere progettato con il metodo di autenticazione RADIUS Informazioni su questo argomento si trovano nel seguente capitolo e Definizione del server ADIUS Pagina 79 e Assegnazione del server RADIUS ad un unit S
326. te il router riconosce se un indirizzo di destinazione si trova nella sotto rete o fuori dalla sotto rete L ID di rete indicata non deve trovarsi nella stessa sottorete dell indirizzo IP dell interfaccia Security Finestra della sotto La maschera di sotto rete struttura la rete In base 255 255 255 0 rete all ID di rete e alla maschera di sottorete il router rico nosce se un indirizzo di destinazione si trova all intero o all esterno della sottorete La maschera della sottorete da indicare non pu essere limitata ad un singolo nodo di rete 255 255 255 255 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router Parametri Funzionamento Valore di esempio Indirizzo IP router Indirizzo IP FQDN del router attraverso il quale si 192 168 10 2 my accede alla sottorete router dyndns org L indirizzo IP del router deve essere nella stessa sotto rete dell indirizzo IP dell unit Security Attiva rerouting solo Attivare questa casella opzione se i telegrammi dell in per unit stradamento indicato devono essere in ingresso e in SCALANCE S uscita sulla stessa interfaccia dell unit Security rerou V3 V4 ting Il rerouting supportato solo sull interfaccia inter na dell unit Security Particolarit nel router standard e Se nella scheda Interfacce l assegnaz
327. tema configurata una direttiva di sicurezza IP La comunicazione codificata e quindi protetta con questo CP In Il tunnel al CP1628 disattivato Nel sistema non configurata nessuna direttiva di sicu rezza IP La comunicazione con questo CP non codificata Ba Il tunnel al CP1628 attivato Nel sistema configurata una direttiva di sicurezza IP La comunicazione codificata e quindi protetta con questo CP da Il tunnel alla sottorete interna disattivato Nel sistema non configurata nessuna diretti va di sicurezza IP La comunicazione con questa sottorete non codificata rig Il tunnel alla sottorete interna attivato Nel sistema configurata una direttiva di sicurez za IP La comunicazione codificata e quindi protetta con questa sottorete E L unit il nodo non raggiungibile O L unit il nodo raggiungibile il tunnel all unit al nodo tuttavia disattivato Nel siste ma non configurata nessuna direttiva di sicurezza IP La comunicazione con questa unit con questo nodo non codificata amp L unit il nodo raggiungibile il tunnel all unit al nodo attivato O Test di raggiungibilit disattivato Non possibile fare una dichiarazione sulla raggiungibili t dell unit del nodo La tabella valida per Windows XP In Windows 7 valida la tabella con il firewall Windows attivato Elementi di comando della finestra di dialogo Panoramica dei tunnel
328. tency 107 187 in tutto il progetto 62 locale 61 Codifica 43 61 Collegamenti non specificati 53 Collegamenti specificati 53 113 Comunicazione IP con protocollo S7 135 dalla rete interna a quella esterna 134 Configurazione della gestione dell ora 190 Conformit DNS 265 Controllo della coerenza 64 CP 1628 Funzione 38 CP PC 3 CP S7 3 CP x43 1 Adv Funzione 35 C PLUG 40 61 Creazione dell instradamento 168 D Data Encryption Standard DES 209 DCP 135 DCP Primary Setup Tool 161 Dead Peer Detection DPD 213 DES 194 209 DHCP Configurazione server 184 275 Indice analitico Server 135 Symbolic Names 63 Diagnostica 251 Diagnostica della linea 256 259 262 Diagnostica online 255 Dipendenze dal diritto 72 Diritti dell apparecchio 71 Diritti di progettazione 71 Dispositivo VPN 88 Certificato unit 221 DNS Server 135 Durata dei certificati 205 Durata massima della sessione 67 69 Durata SA 209 DVD del prodotto SCALANCE S 44 E Elenco IP Access Control 72 Esporta server NTP 192 Eventi Audit 256 Eventi di sistema 256 Eventi filtro pacchetto 256 F Facility 261 Filtro pacchetto IP locale 145 Finestra della sotto rete 90 Firewall 29 Modalit estesa 136 Regole firewall 113 Symbolic Names 62 FTP 72 FTP FTPS 54 Fullduplex 95 Funzionalit tunnel 197 Funzionamento VLAN 200 G Gestione utenti 57 65 Glossario 7 Glossario SIMATIC NET 7 Gruppo
329. terno tramite l indirizzo IP esterno Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di ulteriori propriet dell unit 5 1 Unit Security come router La seguente tabella indica lo schema di inserimento per l azione Destination NAT Casella Indirizzo IP sorgente Inserimento possibile Irrilevante per questa azione Significato Conversione sorgente Irrilevante per questa azione Indirizzo IP di destina zione Indirizzo IP nella rete sorgente Indirizzo IP di destinazione nella rete sorgente con il quale si deve accedere ad un indirizzo IP nella rete di destinazione L indirizzo IP di destinazione non deve corrispondere all indirizzo IP dell unit Security nella rete sorgente Se in un telegramma l indirizzo IP di destinazione corrisponde all indirizzo indicato l indirizzo viene sostituito con l indirizzo IP corrispondente nella rete di destinazione L indirizzo IP di destinazione indicato diventa indiriz zo Alias Ci significa che l indirizzo IP indicato viene inoltre registrato come indirizzo IP sull interfaccia selezionata Gli indirizzi Alias vengono inoltre visua lizzati nella scheda Interfacce dell unit Security Assicurarsi che con l indirizzo Alias non vi sia nessun conflitto di indirizzo IP nella rete Conversione destina zione Indirizzo IP nella rete di destinazione L indirizzo IP di destinazione viene sostituito d
330. ti e progettati globalmente in modalit estesa nell area di navigazione del Security Configuration Tool SCALANCE S V4 RADIUS Oltre a singoli o pi utenti ai set di regole IP personalizzati possono essere assegnati anche singoli o diversi ruoli Inoltre esiste la possibilit di definire in modo chiaro e compatto le regole del firewall con l aiuto delle definizioni del servizio Le definizioni di servizi possono essere impiegate in tutti i tipi di regole elencati Attivazione firewall Il firewall viene controllato in modalit standard mediante attivazione della casella opzione Attiva firewall Se si disattiva la casella di controllo le impostazioni firewall inserite continuano ad essere visualizzate nell elenco ma non possono essere modificate Se l unit Security si trova in un gruppo VPN come standard la casella di controllo attivata e non pu essere disattivata Attivazione delle impostazioni di logging In modalit standard possibile attivare il logging globale nella scheda Firewall In questo modo tuttavia non vengono visualizzati tutti i pacchetti che attraversano i firewall In modalit estesa possibile attivare il logging per ciascuna singola regola firewall In questo modo viene eliminata la limitazione riguardo ai pacchetti visualizzati dalla modalit Standard Nozioni di base e applicazione Security 114 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 1 CP in modali
331. to quelli autorizzati in modo esplicito La regola del filtro pacchetto IP 1 consente i telegrammi con la definizione di servizio Service X1 dall interno all e sterno 8 La regola del filtro pacchetto IP 2 consente i telegrammi dall esterno all interno se viene soddisfatta la seguente condizione e Indirizzo IP del mittente 196 65 254 2 e Indirizzo IP del destinatario 197 54 199 4 e Definizione del servizio Service X2 La regola del filtro pacchetto IP 3 blocca i telegrammi con la definizione di servizio Service X1 che vengono inviati dal tunnel VPN alla rete interna Come standard la comunicazione IPsec Tunnel autorizzata eccetto i tipi di telegrammi bloccati in modo esplicito Vedere anche Regole del filtro pacchetto MAC Pagina 157 Aree dei valori indirizzo IP maschera della sottorete indirizzo dell accoppiamento ad altra rete Pagina 265 Indirizzi IP nelle regole del filtro pacchetto IP L indirizzo IP composto da 4 numeri decimali dell area di valori da 0 a 255 divisi tra loro da un punto esempio 141 80 0 16 Nozioni di base e applicazione Security 152 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa Nella regola del filtro pacchetto esistono le seguenti possibilit per indicare gli indirizzi IP e nessuna indicazione Non viene eseguito nessun controllo la regola vale per tutti gli indirizzi IP e un indirizzo IP L
332. ttazione 12 2014 C79000 G8972 C286 04 4 3 6 Regole del filtro pacchetto IP L elaborazione delle regole del filtro pacchetto IP avviene in base alle seguenti analisi Parametri e parametri inseriti nella regola Progettazione di firewall 4 3 Firewall in modalit estesa e Sequenza e priorit delle regole correlata La progettazione di una regola IP comprende i seguenti parametri Denominazione Azione Significato Commento Definizione delle autorizzazioni abili tazione disabilitazione Possibilit di selezione campi dei valori e Allow Autorizzazione di telegrammi in base alla definizione e Drop Disabilitazione di telegrammi in base alla definizione Per regole del collegamento create automaticamente e Allow e Drop Se si selezionano queste regole non ha luogo nessun livellamento con STEP 7 Le regole modificate non vengo no quindi sovrascritte nell SCT Da A Indirizzo IP sorgente Le direzioni di comunicazione am messe Indirizzo sorgente dei pacchetti IP Indirizzo IP di desti nazione Indirizzo di destinazione dei pacchetti IP Viene descritto nella seguente tabella Vedere le seguenti sezioni in questo capitolo e Regole del filtro pacchetto IP Pagina 147 In alternativa possibile inserire nomi simbolici Avvertenza sulla modalit Ghost Con la modalit Ghost attivata viene rilevato dinamicamen te l indirizzo IP del nodo interno dall unit Se
333. ty Manuale di progettazione 12 2014 C79000 G8972 C286 04 Comunicazione protetta nella VPN tramite tunnel IPsec 6 6 Dati di configurazione per le unit SCALANCE M 3 Nella finestra di salvataggio successiva indicare il percorso e il nome del file di configurazione e fare clic sul pulsante Salva 4 Inserire nella seguente finestra di dialogo se per il certificato dei gruppi VPN dell unit deve essere generata una propria password Se si seleziona No come password viene assegnato il nome della progettazione ad es SCALANCE_M_Konfiguration1 non la password del progetto Se si seleziona S raccomandato necessario inserire una password nella finestra successiva Risultato file e i certificati vengono salvati nella directory specificata Nota Ulteriori informazioni relative alla configurazione si trovano nelle istruzioni operative delle rispettive unit SCALANCE M Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 219 Comunicazione protetta nella VPN tramite tunnel IPsec 6 7 Dati di configurazione per apparecchi VPN 6 7 Dati di configurazione per apparecchi VPN Significato Le informazioni VPN per la parametrizzazione di un apparecchio VPN possono essere generate con il Security Configuration Tool Con i file generati quindi possibile configurare l apparecchio VPN Vengono generati i seguenti file e File di esportazione con dati di configurazione
334. uali reagisce la protezione di base pacchetti corrotti o non validi Come pre supposto la registrazione per la regola del filtro pacchetto deve essere attivata Eventi Audit L Audit Log registra automaticamente in modo sequenziale gli eventi rilevanti per la sicurezza quali ad es le azioni dell utente come l inserimento e il disinserimento del logging pacchetto Eventi di sistema Il Log di sistema registra automaticamente gli eventi progressivi quali ad es l avvio di un processo o le azioni per le quali un utente non si autenticato correttamente trami te password La registrazione scalabile in base alle classi di evento Diagnostica della linea Inoltre progettabile una diagnostica del cavo La diagnostica del cavo fornisce messaggi non appena il numero di pacchetti di telegramma errati ha superato il valore limite impostabile rit Metodo di memorizzazione per la registrazione dei dati nel logging locale La memorizzazione per la registrazione dei dati viene eseguita in base a due metodi selezionabili e Memoria circolare AI raggiungimento della fine del buffer la registrazione all inizio del buffer viene proseguita sovrascrivendo le voci meno recenti e Memoria lineare La registrazione di arresta quando il buffer pieno Attivazione e disattivazione del logging 256 In modalit estesa con le impostazioni Log nel modo di funzionamento Offline possibile attivare il logging loc
335. una sola volta e non devono essere utilizzati in un altra voce dell elenco e nomi simbolici devono essere conformi a DNS e Ad un nome simbolico deve essere assegnato un indirizzo IP un indirizzo MAC o entrambi gli indirizzi e Agli indirizzi IP dell unit Security non devono essere assegnati nomi simbolici e nomi simbolici utilizzati nel progetto per gli indirizzi IP o gli indirizzi MAC devono essere trovarsi nella tabella Possono verificarsi incoerenze dovute alla cancellazione delle voci nella tabella e alla mancata relativa cancellazione o correzione nelle finestre di dialogo di progettazione Controlli di coerenza Pagina 61 Conformit DNS Pagina 265 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 2 5 2 5 1 Progettazione con Security Configuration Tool 2 5 Gestione degli utenti Gestione degli utenti Panoramica della gestione utenti Com strutturata la gestione utenti L accesso alla configurazione Security viene gestito con le impostazioni utente configurabili Configurare gli utenti con rispettivamente una password per l autenticazione Assegnare ad un utente un ruolo definito dal sistema o dall utente Ai ruoli sono assegnati diritti specifici per la progettazione o per l unit Durante la creazione fare attenzione alle strutture d insieme Pagina 20 indicate Migrazione di utenti gi esistenti da STEP 7 a SCT m F1 Gli utenti gi creati in
336. unit Security tramite la scheda delle propriet Sincronizzazione dell ora Se diverse unit Security utilizzano lo stesso server NTP nel progetto SCT i loro dati devono essere inseriti solo una volta Per tutto il progetto possono essere creati 32 server NTP Ad un unit Security possono essere assegnati max 4 server NTP I nomi simbolici vengono supportati durante la definizione dei server NTP FQDN vengono vengono supportati durante la definizione dei server NTP server NTP gi creati STEP 7 migrano l indirizzo IP e l intervallo di aggiornamento in SCT In caso di selezione di Sincronizzazione dell ora con NTP protetta l unit Security accetta solo l ora di server NTP protetti configurati in modo corrispondente Non possibile una configurazione combinata di server NTP non protetti e protetti su un unit Security Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 189 Progettazione di ulteriori propriet dell unit 5 3 Sincronizzazione dell ora 5 3 2 Configurazione della gestione dell ora A questa funzione si accede nel modo seguente Voce di menu SCT 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Sincronizzazione dell ora Voce di menu STEP 7 se l opzione Attiva sincronizzazione dell ora nel metodo NTP attivata Sincronizzazione dell ora gt Attiva configurazione NTP estesa
337. urity Client Tunnel Overview lenze Tunnel List Status Name Member IP Subnet Tunnel Endport IP Tunnel over o ES Modul SCALANCE 5612 192 168 101 192 168 10 222 ih Moa S ALA CE 5612 192 168 10 2 192 168 10222 13216810 192 168 15 39 54 QuickMode 15 39 54 QuikMode 15 39 54 QuickMode 192 168 10 1 Request timed aut 192 168 103 Request timed ot 192 168 102 Request timed ok 192168 10 1 Request timed at 192168 10 3 Request timed c 192 168 10 2 Request timed at Loaded Configuration CW sees TIA PataA Desktop PHPH Mods dat Added Securty Association From 192 168 10 222 To 192 16810 1732 Added Security Association From 192 168 10 222 To 192 16810 2732 Added Security Associs on From 192 168 10 222 To 192 168 10 3 32 242 Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 SOFTINET Security Client 8 5 Configurazione e modifica del tunnel Configurazione dei collegamenti tramite tunnel 1 Aprire la finestra di dialogo per l importazione del file di configurazione con il pulsante Carica configurazione 2 Selezionare il file di configurazione creato con SCT formato file dat dati di configurazione possono essere letti simultaneamente da diversi progetti Se nel SOFTNET Security Client esistono gi dati di configurazione selezionare una delle seguenti opzioni Rimuovi Sono d
338. vengono con sentite automaticamente Pu essere adattata solo se selezio nata nell azione Allow La progetta zione di regole IP senza States firewall possibile solo per moduli SCALANCE S a partire dal firmware V3 Se vengono consentite anche le risposte ai pacchetti che devono avere attraversato il firewall secondo le regole IP di questo tipo per queste risposte necessario progettare regole IP supplementari Possibilit di selezione campi dei valori Commento Spazio per la spiegazione della rego la Tabella 4 11 Direzioni CP Se un commento contrassegnato con AUTO esso stato creato automaticamente per una regola di collega mento Possibilit di selezione Unit Security Significato campi dei valori Da A CP x43 1 CP 1628 Adv Interno Stazione x Accesso da rete interna a stazione Any x Accesso da una rete interna ad una esterna al partner tunnel VPN e alla stazione Esterno Stazione x x Accesso da rete esterna a stazione Any x Accesso da rete esterna a rete interna e alla stazione Stazione Interno x Accesso dalla stazione alla rete interna Esterno x x Accesso dalla stazione alla rete esterna Tunnel x x Accesso dalla stazione al partner tunnel VPN Tunnel Stazione x x Accesso da partner tunnel VPN a stazione Any x Accesso da partner tunnel VPN alla rete interna e alla stazione Any Esterno x Accesso dalla rete interna e dalla st
339. viene utilizzato l indirizzo IP esterno o l indinizzo IP della porta ONZ Sotto rete interna 0 Nodi IP interni 0 Nodi MAC interni 0 ID rete Maschera sotto rete Indirizzo IP router Quando consigliabile disattivare la modalit di programmazione automatica Le impostazioni standard per l unit Security presuppongono che le reti interne siano gi sicure vale a dire che anche normalmente nella rete interna non vengono attivati nodi di rete che non sono riservati La disattivazione della modalit di apprendimento va utilizzata se la rete interna statica vale a dire se il numero di nodi interni e i relativi indirizzi non si modificano Disattivano la modalit di programmazione nella rete viene eliminato il carico del mezzo e dei nodi di rete dovuto ai telegrammi di programmazione Anche le prestazioni dell unit Nozioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 227 Comunicazione protetta nella VPN tramite tunnel IPsec 6 9 Configurazione di nodi di rete interni SCALANCE S aumentano in quanto essa non viene caricata con l elaborazione dei telegrammi di apprendimento Osservazione nella modalit di apprendimento tutti i nodi di rete vengono registrati nella rete interna Le indicazioni per la configurazione di VPN si riferiscono solo ai nodi di rete che comunicano nella rete interna tramite VPN Nota Se nella rete interna vengono elaborati pi di 128 nodi interni
340. wall locali specifiche per l unit nel risultato Un assegnazione errata non viene riconosciuta durante il controllo automatico della coerenza Vengono acquisite solo le regole supportate anche dall unit Security Vedere anche Set di regole IP specifiche per l utente Pagina 140 Nozioni di base e applicazione Security 138 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Progettazione di firewall 4 3 Firewall in modalit estesa 4 3 2 1 Set di regole firewall globali Accordi I set di regole firewall globali vengono utilizzati localmente seguenti accordi valgono per la creazione di un set di regole firewall globale e per l assegnazione ad un unit e Visualizzazione della progettazione set di regole firewall globali possono essere creati solo in modalit estesa e Priorit Le regole firewall definite localmente hanno come standard una maggiore priorit rispetto ai set di regole firewall globali assegnati localmente set di regole firewall globali vengono inseriti quindi in basso nell elenco delle regole locali La priorit pu essere modificata cambiando la posizione nell elenco delle regole e Inserimento modifica o cancellazione dei set di regole I set di regole firewall globali non possono essere editati nell elenco delle regole locali delle regole firewall nelle propriet dell unit Esse possono essere solo visualizzate e posizionate in base alla priorit desiderata Nell elenco delle regole loca
341. y e consente collegamenti protetti su strutture di rete non protette Grazie alla combinazione di diverse misure di sicurezza quali il firewall o la VPN Virtual Private Network tramite il tunnel IPsec il CP 1628 protegge da e spionaggio dei dati e manipolazione dei dati e accessi indesiderati Le funzioni Security del CP 1628 vengono configurare con lo strumento di progettazione Security Configuration Tool integrato in STEP 7 Service Computer con IBS sorrner i Security Client G Ej VPN tramite tunnel IPsec Rete esterna S7 400 con S7 300 con CP 343 1 Advanced tia LI SCALANCE S dvanced Firewall hi EI Router E NAT NAPT Router f id o porn FR DLL u RSI EI Me WEI EE MII 3 I st 300 57 300 OP 270 A I ET 200X mi interno Servizio amp supervisione J interno Cella di automazione interno Cella di automazione jj STEES SS TEREE Figura 1 7 Configurazione della rete con il CP 1628 Nozioni di base e applicazione Security 38 Manuale di progettazione 12 2014 C79000 G8972 C286 04 Introduzione e nozioni di base 1 10 Impiego del CP 1628 Funzioni di sicurezza e Firewall IP Firewall con Stateful Packet Inspection layer 3 e 4 Firewall anche per telegrammi Ethernet Non IP secondo IEEE 802 3 layer 2 Limitazione della larghezza di b
342. zioni di base e applicazione Security Manuale di progettazione 12 2014 C79000 G8972 C286 04 162 Progettazione di firewall 4 3 Firewall in modalit estesa 4 3 13 Adattamento delle regole standard per servizi IP A questa funzione si accede nel modo seguente 1 Selezionare l unit Security da modificare 2 Selezionare la voce di menu Modifica gt Propriet scheda Firewall gt scheda Regole standard per servizi IP Significato delle impostazioni avanzate Parametri Significato in caso di attivazione Utilizza opzioni di stato avanzate Se si attiva questa casella di controllo i collegamenti e gli stati del firewall vengono limitati per i nodi della rete Le limitazioni sono e max 200 collegamenti in 5 secondi e max 2000 stati firewall Se un nodo di rete supera una di queste limitazioni il relativi indirizzo IP viene acquisito nella blacklist IP dell unit Secu rity Il nodo non pu pi comunicare tramite l unit Security La blacklist IP dell unit Security pu essere osservata in modalit online Logging di tutte le regole attivate Viene eseguito il logging dei pacchetti che vengono am messi secondo le regole standard per i servizi IP Attiva test ICMP per interfacce Le richieste ping in ingresso su un interfaccia dell unit Se curity possono essere inoltrate ad altre interfacce In questo modo dalla rete esterna possono ad es essere eseguite richieste ping sull interfaccia interna del
343. zioni di logging Si tratta della registrazione degli eventi di sistema e di sicurezza La registrazione degli eventi viene eseguita nelle aree di buffer dell unit Security o su un server Syslog La parametrizzazione e l analisi di queste funzioni presuppone un collegamento di rete sull unit Security selezionata Registrazione di eventi con funzioni Logging Gli eventi che devono essere registrati si definiscono con le impostazioni Log per la relativa unit Security Per la registrazione possibile configurare le seguenti varianti e Logging locale In questa variante si registrano gli eventi nel buffer locale dell unit Security Nella finestra di dialogo Online del Security Configuration Tool possibile quindi accedere a queste registrazioni visualizzarle o archiviarle nella stazione di service e Syslog rete Con Network Syslog si utilizza un server Syslog esistente nella rete al quale vengono inviati eventi Indicare nelle impostazioni Log della rispettiva unit Security gli eventi che vengono inviati Archiviazione di dati Log e lettura dal file Per l archiviazione gli eventi registrati possono essere salvati in un file Log che pu essere aperto in modalit offline A tal fine selezionare la voce di menu Opzioni gt File Log e selezionare tramite il pulsante Apri il file Log da aprire Ulteriori informazioni si trovano nel seguente capitolo e Panoramica delle funzioni della finestra di dialogo online Pa
Download Pdf Manuals
Related Search