Mostrar - Service, Support
Contents
1. Introduzca en las fichas aqu seleccionables los par metros de direcci n requeridos en cada caso para todos los nodos de red que deban ser protegidos por el m dulo SCALANCE S seleccionado Ficha Internal IP Nodes s lo en el modo bridge Par metros configurables Direcci n IP y como opci n la direcci n MAC Ficha Internal MAC Nodes s lo en el modo bridge Par metros configurables Direcci n MAC SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 199 Comunicaci n segura en la VPN a trav s de t nel IPsec S672 5613 6 5 Configuraci n de nodos de red internos Ficha Internal Subnets En caso de una subred interna un router en la red interna se tienen que indicar los siguientes par metros de direcci n Par metros Funci n Valor de ejemplo Network ID ID de la subred en base al ID de la subred el router reconoce si 196 80 96 0 una direcci n de destino est en la subred o fuera de la misma Subnet mask M scara de subred la m scara de subred estructura la red y sirve 255 255 255 0 para formar el ID de la subred Router IP Direcci n IP del router 196 80 96 1 Efecto al utilizar SOFTNET Security Client Si al utilizar SCALANCE S612 S613 tiene que configurar estaciones est ticamente tal como se ha descrito tiene que cargar tambi n de nuevo la configuraci n para un SOFTNET Security Client empleado en el grupo VPN SCA2. Cantidad de bloques de reglas de Firewall SCALANCE S602 SCALANCE S612 SCALANCE S613 256 como m ximo 256 como m ximo 256 como m ximo Condiciones ambientales permitidas compatibilidad electromagn tica SCALANCE S612 Temperatura de funcionamiento 0 C a 60 C SCALANCE S602 Temperatura de funcionamiento 0 C a 60 C Temperatura de funcionamiento SCALANCE S613 20 C a 70 C Temperatura de almac n transporte 40 C a 80 C SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 25 Propiedades del producto y puesta en servicio 2 1 Propiedades del producto Humedad relativa en funcionamiento 95 sin condensaci n Altura en funcionamiento hasta 2000 m sobre el nivel del mar con m x 56 C de temperatura ambiente hasta 3000 m sobre el nivel del mar con m x 50 C de temperatura ambiente Grado de radiointerferencias EN 50081 2 Class A Inmunidad a interferencias EN 50082 2 Grado de protecci n IP 30 Homologaciones c UL us UL 60950 CSA C22 2 Nr 60950 c Ul us for Hazardous Locations UL 1604 UL 2279Pt 15 FM FM 3611 C TICK AS NZS 2064 Class A CE EN 50081 2 EN 50082 2 ATEX Zona 2 EN50021 MTBF 81 09 a os Construcci n Medidas An x Al x Prof en mm 60 x 125 x 124 Peso en y 780 Posibilidades de montaje e Riel perfil de sombrero e Riel de perfil S7 300 e M
3. Conecte tambi n PC2 y PC3 al hub switch 2 Encienda los PCs participantes Nota Para el uso de una WAN como red externa p blica las conexiones con el hub switch se tienen que reemplazar por las conexiones con la red WAN acceso a Internet ATENCI N Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCGCE S por lo que no se deben confundir al establecer la conexi n con la red de comunicaci n e Port 1 External Network conector hembra RJ45 superior marca roja rea de red no protegida e Port 2 Internal Network conector hembra RJ45 inferior marca verde red protegida por SCALANCE S Si se permutan los puertos el equipo pierde su funci n de protecci n 3 4 3 Preparar ajustes IP de los PCs Los PCs deber an tener los siguientes ajustes de direcci n IP para el test PC Direcci n IP M scara de subred Gateway est ndar PC1 192 168 0 1 255 255 255 0 192 168 0 201 PC2 191 0 0 2 255 255 0 0 191 0 0 201 PC3 191 0 0 3 255 255 0 0 191 0 0 201 Como Gateway est ndar se han de indicar las direcciones IP que se asignan al m dulo SCALANCE S en la configuraci n subsiguiente para la interfaz interna y la externa e PC1 utiliza la interfaz interna e PC2 y PC3 utilizan la interfaz externa Nota Para el uso de una WAN como red externa p blica se tienen que preparar en PC2 y PC3 los respectivos ajustes IP para
4. Options gt Check Consistency Una vez finalizadas sus entradas realice una prueba de coherencia 5 7 3 Routing NAT NAPT Ejemplos de configuraci n parte 1 Resumen En este cap tulo encontrar los siguientes ejemplos de configuraci n del router NAT NAPT e Ejemplo 1 Conversi n de direcciones NAT External gt Internal e Ejemplo 2 Conversi n de direcciones NAT Internal gt External e Ejemplo 3 Conversi n de direcciones NAT Bidirectional e Ejemplo 4 Conversi n de direcciones NAPT SCALANCE S y SOFTNET Security Client 170 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo Configuraci n 5 7 Routing Modus En la siguiente configuraci n de routing encontrar asignaciones de direcciones seg n la conversi n de direcciones NAT y NAPT ES network Bl Firewall Settings EE SSLCetficte VPN He Routing Modus E Te Synchronization MA loss DHCP Server Routing I Routing active external module IP address 192163101 external subnetmask internal module IP address 192 168 121 internal subnetmask 3 VPN 255 255 255 0 255 255 255 0 M NAPT R NAPT active external IP address 192 163 10 1 192 168 12 3 Externa gt Internal 192 168 123 Internal gt External 192 168 10 101 192 163 124 Bidirectional E Routing Modus ES Network BM Firewall Settings E SSL Cenficate IP Rules MAC Rules inactive Ex
5. e Entras modificar o eliminar reglas Las reglas de Firewall globales no se pueden editar en la lista de reglas de Firewall locales de las propiedades del m dulo All s lo se pueden ver y emplazar seg n la prioridad deseada No es posible eliminar una sola regla de un bloque de reglas asignado S lo se puede eliminar de la lista de reglas locales el bloque de reglas completo con esto no se altera la definici n en la lista de reglas globales Ajustar y asignar reglas globales de filtros de paquetes Si desea definir y asignar un bloque de reglas globales de Firewall proceda del siguiente modo 1 Seleccione una de las siguientes carpetas en el rea de navegaci n Global FW Rulesets FW IP Rulesets Global FW Rulesets FW MAC Rulesets 2 Seleccione el siguiente comando de men para Icrear un bloque de reglas global Insert Firewall rule set SCALANCE S y SOFTNET Security Client 144 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode 3 Introduzca correlativamente las reglas de firewall en la lista observe la siguiente descripci n de par metros y la evaluaci n en el cap tulo siguiente o en la ayuda Online 4 Asigne las reglas de Firewall globales a los m dulos en las que se deban aplicar Seleccione a tal fin un m dulo en el rea de navegaci n y arr strelo al bloque de reglas globales ad
6. 192 168 10 01 192 168 10 100 lemp EX Passed Out ICMP Type 8 Code 01 de 6 25 2010 8 52 02 AM 192 168 10 100 172 10 10 100 lemo Ex Passed In ICMP Type 0 Code 01 4 mm e Buffer Settings Ring Buffer Stop Logging Resultado En las l neas de salida de la autenticaci n ver lo siguiente e L nea de salida 1 Las direcciones IP de los telegramas de PC2 a PC1 se muestran en la interfaz con la red externa con la direcci n IP externa del m dulo SCALANCE S 192 168 10 01 Esto responde a la esperada conversi n de direcciones observaci n aqu no se ve la asignaci n adicional de puerto e L nea de salida 2 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 73 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client Los telegramas de respuesta se muestran con la direcci n de destino de la estaci n de la subred interna PC2 172 10 10 100 Con esto puede reconocer que se ha producido la conversi n de direcciones antes de que el telegrama de respuesta atraviese el firewall 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client 3 4 1 Resumen En este ejemplo se configura la funci n T nel VPN en la vista de configuraci n Standard Mode Un SCALANCE S y el SOFTNET Security Client constituyen en este ejemplo los dos puntos finales del t
7. Est su ordenador en la misma red que el m dulo e El reset de un m dulo puede requerir hasta varios minutos A 3 Sustituci n de un m dulo SCALANCE S La sustituci n de un m dulo SCALANCE S se puede efectuar sin PC sin tener que cargar la configuraci n en el nuevo m dulo El C PLUG del m dulo a sustituir se enchufa simplemente en el nuevo m dulo que se debe poner en servicio ATENCI N Enchufar y desenchufar el C PLUG nicamente en estado sin tensi n A 4 El m dulo SCALANCE S est comprometido Un m dulo SCALANCE S est comprometido si se ha revelado e la clave privada perteneciente al certificado del server e la clave privada de la CA o e la contrase a de un usuario SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 235 Consejos y ayuda A 5 Clave de los datos de configuraci n comprometida o perdida Se conoce la clave privada del certificado del server Si se ha revelado la clave privada perteneciente al certificado del server se tiene que sustituir el certificado del server en el m dulo SCALANCE S Los nombres de usuario almacenados en el m dulo SCALANCE S no se tienen que modificar en este caso Proceda del siguiente modo 1 Marque el m dulo a editar y seleccione el comando de men Edit Properties ficha Certificate 2 Genere un nuevo certificado 3 Cargue la configuraci n en el m dulo SCALANCE S Se conoce la clave
8. Protocol Nombre del tipo de protocolo TCP UDP Any TCP y UDP Source Port Tiene lugar un filtrado en base al n mero de puerto aqu Ejemplos indicado ste define el acceso al servicio para el remitente de los telegramas Puerto no se comprueba 20 21 Servicio FTP Target Port Tiene lugar un filtrado en base al n mero de puerto aqu indicado ste define el acceso al servicio para el destinatario de los telegramas Ejemplos Puerto no se comprueba 80 Web HTTP Service 102 S7 Protocol TCP Port 5 4 6 152 Definir servicios ICMP Con ayuda de definiciones de servicios ICMP se pueden definir de forma compacta y clara reglas de firewall que se aplican a diferentes servicios Para esto se adjudica un nombre y se asignan al mismo los par metros de servicio Adem s los servicios as definidos se pueden reunir a su vez en grupos con un nombre de grupo Para la configuraci n de las reglas de filtrado de paquetes se utiliza entonces simplemente ese nombre SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Cuadro de di logo ficha Forma de abrir el cuadro de di logo e Sobre el comando de men Options IP Service Definition O e Desde la ficha Firewall con el bot n IP Service Definition Ex I
9. Tunnel over Pl SCALANCE S Kommentar SCALANCE S 192 168 10 1 192 168 10 11 o ubie al Member 192 168 10 101 192 168 10 1 192 168 10 11 oei E 192 168 10 102 192 168 10 1 192 168 10 11 l PEL eis 192 168 10 103 192 168 10 1 192 168 10 11 e i Select Network Device 192 168 10 104 192 168 10 1 192 168 10 11 e i 192 168 10 105 192 168 10 1 192 168 10 11 e ei Te Tunel 192 168 10 106 192 168 10 1 192 168 10 11 O Extended Diagnostics 192 168 10 107 192 168 10 1 192 168 10 11 o i Change IP Address DNS Name 192 168 10 108 192 168 10 1 192 168 10 11 O 5 192 168 10 109 192 168 10 1 192 168 10 11 O 5 Delete Entry 192 168 10 110 192 168 10 1 192 168 10 11 FT enable active leaming Delete r Logging Console Aug 05 2010 14 39 30 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 101 32 Aug 05 2010 14 39 30 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 102 32 ATENCI N Si se utilizan varias direcciones IP para un adaptador de red es posible que tenga que asignar en el cuadro de di logo Tunnel para cada una de las entradas la direcci n IP a utilizar en cada caso Bot n Delete All Con l borra por completo la directiva de seguridad IP incluidas entradas adicionales no creadas por el SOFTNET Security Client SCALANCE S y SOFTNET Security Client 216 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 SOFTNET Security Client S612 5
10. 1 Pase ahora al modo online de la Security Configuration Tool Seleccione para ello el siguiente comando de men View Online 2 Marque el m dulo a editar y seleccione para abrir el cuadro de di logo online el comando de men Edit gt Online Diagnostics Seleccione la ficha Packet Filter Log SCALANCE S y SOFTNET Security Client 72 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router 3 Accione el bot n Start Reading 4 Confirme el cuadro de di logo presentado con OK Resultado Las entradas Log se leen del SCALANCE S y se presentan aqu op AA S Paine View Mmodui L Status Date and Time System Log Audit Log Packet Fiter Log Communication Status intemal Nodes Prot 321 6 25 2010 8 51 59 AM 192 168 10 01 192 168 10 100 icmp Et Passed Out ICMP Type 8 Code 0 322 6 25 2010 8 51 59 AM 192 168 10 100 172 10 10 100 icmp Ex Passed in ICMP Type 0 Code 01 323 6 25 2010 8 52 00 AM 192 168 10 01 192 168 10 100 icmp Ex Passed Out ICMP Type 8 Code 01 324 6 25 2010 8 52 00 AM 192 168 10 100 172 10 10 100 lcmpo Ed Passed In ICMP Type 0 Code 01 25 6 25 2010 8 52 01 AM 192 168 10 01 192 168 10 100 icmp Bt Passed Out ICMP Type 8 Code 01 De 6 25 2010 8 52 01 AM 192 168 10 100 172 10 10 100 lemo Ed Passed in ICMP Type 0 Code 0 1 327 6 25 2010 8 52 02 AM
11. 254 Pretty Good Privacy Es un programa para la encriptaci n y la firma de datos Designaci n de un protocolo de test de la familia de protocolos IP Este protocolo se encuentra presente en todo ordenador que trabaje con MS Windows bajo el mismo nombre como aplicaci n de consola a nivel de l nea de comandos Con Ping de puede pedir una respuesta se al de vida a un nodo de red IP dentro del conjunto de redes siempre y cuando se conozca su direcci n IP De este modo se puede constatar si ese nodo de red est accesible a nivel de IP verific ndose as la operatividad de las funciones de SCALANCE S configuradas Public Key Cryptography Standards Son especificaciones para claves criptogr ficas desarrolladas por RSA Security y otros Un certificado vincula datos de una clave criptogr fica o de una pareja de claves formada por clave p blica y clave privada con datos del propietario y de una entidad certificadora Public Key Infrastructure En la criptolog a designa un sistema que permite extender distribuir y comprobar certificados digitales Los certificados extendidos dentro de un PKI se utilizan para asegurar la comunicaci n asistida por ordenador Point of Presence Noto de acceso de un proveedor de Internet Point to Point Protocol Protocolo punto a punto Point to Point Tunneling Protocol Es un protocolo para la creaci n de una red privada virtual Virtual Private Network VPN Permite el tunneling
12. 4i Time Synchronization Hay Routing Modus Configuration Allow access to NTP server from internal to external network Allow IP traffic from internal to Allow SiClock time messages from external network external to internal network Allow IP traffic with S7 protocol from Allow access to DNS server from internal to external network internal to external network Pera lo DECE ares fora Allow configuration of nodes via DCP internal to external network IP Logging MAC Log Settings T Log tunneled packets Log passed packets Log blocked incoming packets Log blocked incoming packets T Log blocked outgoing packets Log blocked outgoing packets OK Cancel Help SCALANCE S y SOFTNET Security Client 136 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 3 Firewall Propiedades del m dulo en el Standard Mode Campo de selecci n Configuration Reglas predefinidas ATENCI N habilitan Tenga en cuenta que el potencial de riesgo se hace mayor cuanto m s opciones se El Standard Mode contiene para el firewall las siguientes reglas predefinidas que puede seleccionar en el rea de entrada Configuration Tabla 5 2 Reglas predefinidas del firewall simple Regla opci n Funci n Ajuste Default vom externen ins interne Netz Allow access to external SiClock server
13. En caso de operar una VPN con t nel IPsec a trav s de Internet se necesitan por regla general direcciones IP adicionales para los Internet Gateways como por ejemplo DSL Router Los distintos m dulos SCALANCE S o MD 740 1 MD 741 1 tienen que conocer las direcciones IP externas de los m dulos interlocutores en la VPN Nota Si utiliza un DSL Router como Internet Gateway tiene que activar en l al menos los puertos siguientes e Port 500 ISAKMP e Port 4500 NAT T Si se descargan configuraciones a trav s del WAN sin t nel activo se tiene que activar adem s el Port 443 HTTPS Para esto se tiene la posibilidad de asignar en la configuraci n del m dulo esta direcci n IP externa como direcci n IP WAN Al cargar la configuraci n del m dulo se comunican entonces a los m dulos estas direcciones IP WAN de los m dulos interlocutores Si no se asigna ninguna direcci n IP WAN se utiliza la direcci n IP externa del m dulo SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 193 Comunicaci n segura en la VPN a trav s de t nel IPsec 8612 5613 6 5 Configuraci n de nodos de red internos La representaci n siguiente aclara la relaci n de las direcciones IP SCALANCE S612 S613 SCALANCE S612 S613 MD 740 1 Direcci n IP interna de un m dulo Direcci n IP externa de un m dulo Direcci n IP interna de un Internet Gateway p ej GPRS Gate
14. Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client Secci n de test 2 Repita ahora el test emitiendo un comando ping desde el PC3 1 En el PC3 llame en la barra de inicio el siguiente comando de men Inicio gt Programas Accesorios S mbolo del sistema 2 Emita de nuevo el mismo comando ping ping 192 168 0 1 en la ventana del s mbolo del sistema de PC3 Aparecer entonces el siguiente mensaje ninguna respuesta del PC1 EN Command Prompt gt a mtm C gt ping 192 168 0 1 192 168 0 1 with 32 bytes of data timed out timed out timed out timed out statistics for 192 168 0 1 Packets Sent 4 Received Lost 4 ALEA Resultado Los telegramas IP del PC3 no pueden llegar al PC1 ya que no hay configurada ninguna comunicaci n t nel entre estos equipos ni tampoco se permite el tr fico de datos IP normal Esto se indica en la estad stica Ping para 192 168 0 1 del siguiente modo e Enviado 4 e Recibido 0 e Perdido 4 100 p rdida 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client 3 5 1 Sinopsis En este ejemplo se configura la funci n T nel VPN en la vista de configuraci n Advanced Mode Un MD741 1 y el SOFTNET Security Client forman los dos puntos finales del t nel para la conexi n de t nel segura a
15. Port 1 rojo de un m dulo SCALANCE S PC1 PC con el software de configuraci n Security Configuration Tool SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 61 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router Dispositivos componentes necesarios Utilice los siguientes componentes para el montaje e 1 SCALANCE S adicionalmente como opci n un riel de perfil de sombrero correspondientemente instalado con material de montaje e 1 alimentaci n el ctrica de 24V con conexiones de cables y conectores de bloque de bornes e 1 PC en el que est instalada la herramienta de configuraci n Security Configuration Tool e 1 PC en la red interna para test de la configuraci n e los necesarios cables de red cables TP Twisted Pair seg n el est ndar IE FC RJ45 para Industrial Ethernet Los pasos siguientes en s ntesis Configuraci n de SCALANCE S y red configurar los ajustes de IP de los PCs Crear proyecto y m dulo Configurar operaci n de NAT Router Configurar firewall Cargar configuraci n en SCALANCE S Probar la funci n del NAT Router prueba Ping Registrar tr fico de datos Logging 3 3 2 Poner a punto los SCALANCE S y la red Proceda del siguiente modo 1 Saque primero el SCALANCE S de su embalaje y compruebe si est en perfecto estado 2 Conecte la alimentaci n de tensi n a SCALANCE S Resultado
16. S lo se pueden cargar datos de proyecto coherentes Configuration Status Mostrar en una lista los estados de configuraci n de los m dulos configurados Firmware Update Cargar nuevo firmware en el SCALANCE S seleccionado View gt Advanced Mode Cambiar del Standard Mode al Advanced Mode Ctrl E Atenci n Una conmutaci n realizada al Advanced Mode para el proyecto actual s lo se puede anular mientras no se hayan efectuado modificaciones Est preajustado el Standard Mode Offline Es preajuste Ctri Shift D Online Ctrl D Options IP Service Definitions Abrir cuadro de di logo para definiciones de los servicios para las reglas IP Firewall Este comando s lo est visible en la vista Advanced Mode MAC Service Definitions Abrir cuadro de di logo para definiciones de los servicios para las reglas MAC Firewall Este comando s lo est visible en la vista Advanced Mode Project Change Funci n para cambiar la contrase a de usuario Password Network Adapters Funci n para seleccionar el adaptador de red local a trav s del que se debe establecer una conexi n con el SCALANCE S Log Files Visualizaci n de archivos Log Se pueden leer archivos Log y se pueden iniciar registros en Log Symbolic Names Asignaci n de nombres simb licos para direcciones IP o MAC 112 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C790
17. SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S612 5613 6 2 Grupos 6 2 Grupos 6 2 1 Crear grupos y asignar m dulos Procedimiento a seguir para configurar una VPN Cree con el comando de men Insert gt Group un grupo Asigne al grupo los m dulos SCALANCE S y SOFTNET Security Client que deban pertenecer a una red interna Para ello arrastre con el rat n el m dulo al grupo deseado arrastrar y colocar L3 Security Configuration Tool Configuration n Project Edit Insert Transfer View Options Help Dlsm gt e al del Sul Offline View Number _ Nas Ippa IP Addressext Subnet Maskext IP Address int Subnet Mask int_ Default Router_ MAC Address Comment 3 BA Modules 3 10 p Modules 192 168 10 3 Module5 S612V2 192 168 10 4 Module6 S612V2 192 168 10 5 3612 V2 Ready Current User Admin Role Admin Standard Mode Offline 9 Configuraci n de propiedades Como en el caso de la configuraci n de m dulos tambi n en la configuraci n de grupos repercuten las dos vistas de operaci n seleccionables en la Security Configuration Tool comando View Advanced Mode e Standard Mode En el Standard Mode se conservan los ajustes predeterminados por el sistema Tambi n como persona no experta en IT puede configurar as t neles IPsec y practicar una comunicaci n de d
18. e Port 1 External Network conector hembra RJ 45 superior marca roja rea de red no protegida e Port 2 Internal Network conector hembra RJ45 inferior marca verde red protegida por SCALANCE S Si se permutan los puertos el equipo pierde su funci n de protecci n SCALANCE S soporta Autonegotiation Por Autonegotiation se entiende que los par metros de conexi n y transmisi n son negociados autom ticamente con el nodo de red interrogado Funci n MDI MDIX Autocrossing 2 1 5 20 SCALANCE S soporta la funci n MDI MDIX Autocrossing La funci n MDI MDIX Autocrossing ofrece la ventaja de un cableado continuo sin que se requieran cables Ethernet externos cruzados Con esto se evitan funciones incorrectas por confusi n de los cables de emisi n y recepci n La instalaci n se simplifica as notablemente Alimentaci n el ctrica N ADVERTENCIA El equipo SCALANCE S est previsto para funcionar con baja tensi n de seguridad En consecuencia a las conexiones de alimentaci n s lo se deben conectar bajas tensiones de seguridad SELV seg n IEC950 EN60950 VDE0805 La fuente de alimentaci n utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 gama de tensi n 18 32 V consumo de corriente 250 mA El equipo se debe abastecer nicamente con una unidad de alimentaci n el ctrica que cumpla los requisitos de la clase 2 para alimentaciones el ctricas seg n National Electrica
19. e Uso en redes planas El rea de la banda libre de direcciones IP tiene que estar en la red definida por SCALANCE S e Modo Router El rea de la banda libre de direcciones IP tiene que estar en la subred interna definida por SCALANCE S La banda libre de direcciones IP se tiene que indicar completa introduciendo la X direcci n IP inicial y la direcci n IP final La direcci n IP final tiene que ser mayor que la direcci n IP inicial Las direcciones IP introducidas en la lista de direcciones en el campo de entrada X Static IP addresses tiene que estar en el rea de direcciones de la subred interna del m dulo SCALANCE S Leyenda 1 Observe las explicaciones del cap tulo Pruebas de coherencia SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 177 Firewall Router y otras propiedades del m dulo 5 8 Servidor DHCP SCALANCE S y SOFTNET Security Client 178 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S8612 8613 El tema tratado en este cap tulo es c mo se unen por arrastrar y colocar las subredes IP protegidas por SCALANCE S para formar una Virtual Private Network Tal como se ha descrito ya en el cap tulo 5 para las propiedades de los m dulos tambi n aqu se pueden conservar los ajustes predeterminados para practicar una comunicaci n segura dentro de su red interna Otras informaci
20. en adelante se incluir su m dulo en la lista de los m dulos configurados Seleccione su m dulo e introduzca la direcci n IP del Default Router haciendo clic en la columna se alada como Default Router j D Securty Configuration Too Contiguratoni 1 gt Project Edit Inset Transfer View Options Help olsa eel 971141 da 5 2al Offline View Number Name Type IP Address ext__ Subnet Maskext IP Addressint__ Subnet Mask int_ Default Router MAC Address Comment J 3 A Modes gI Mode VPN Groups Ready 34 Current User Admin Role Admin Standard Mode Offline 2 opcional Configure eventualmente otras propiedades del m dulo y de los grupos de m dulos 8 Guarde ahora el proyecto con el siguiente comando de men bajo un nombre apropiado Project Save As SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y pues a en servicio 2 4 C PLUG Configuration Plug 9 Seleccione el siguiente comando de men Transfer To Module Aparece el siguiente cuadro de di logo de transferencia Download configuration to security module E Module Name Modulet IP Address 192 168 10 1 MAC Address 00 0E 8C 00 00 00 V Logon as current user Start Details gt gt Close 10 Haciendo clic en el bot n Start se transfiere la configuraci n al m dulo SCALANCE S Resultado El m dulo S
21. estad stica Ping muestra para 191 0 0 1 lo siguiente e Enviado 4 e Recibido 4 e Perdido 0 0 p rdida Debido a la configuraci n los telegramas ping han podido pasar de la red interna a la externa El PC de la red externa ha respondido a los telegramas ping Por la funci n Stateful Inspection del firewall los telegramas de respuesta que llegan ahora de la red externa son transmitidos autom ticamente a la red interna Secci n de test 2 58 Pruebe ahora el funcionamiento de la configuraci n de firewall con el tr fico de datos IP saliente bloqueado 1 Llame de nuevo el di logo Firewall tal como lo ha hecho antes 2 Desactive ahora en la ficha Firewall la opci n Allow outgoing IP traffic de la red interna a la red externa Cierre el cuadro de di logo con OK SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall 3 Cargue ahora de nuevo la configuraci n modificada en el m dulo SCALANCE S 4 Una vez realizada la carga sin errores introduzca de nuevo el mismo comando ping ping 191 0 0 1 en la ventana del s mbolo del sistema del PC2 tal como ya ha hecho antes Aparecer entonces el siguiente mensaje ninguna respuesta del PC1 a EX Command Prompt a gt ping 191 0 0 1 191 0 0 1 with 32 bytes of data timed out timed out timed out timed out P
22. external module IP address 191 0 0 201 external subnetmask 255 255 255 0 internal module IP address 192 168 0 201 internal subnetmask 255 255 255 0 OK Cancel Help 11 Haga clic en el rea de navegaci n en All Modules y a continuaci n en el rea de contenido en la l nea con Module 2 12 Haga clic en la columna Name e introduzca el nombre SSC PC2 El SOFTNET Security Client no necesita m s ajustes Su vista deber a ser ahora similar a la de la ilustraci n siguiente SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 81 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client L3 Security Con Ss Tal E EA 2 poho aE Project Edit Insert Transfer View Options Help lell 10504 pas olsa gt e 914100 del Sa Of ine View Number Name Type IP Address ext Subnet Mask ext IP Address int__ Subnet Mask int Default Router MAC Address Comment A Modulos Si Module S612 V2 19100201 255 255 255 0 192 168 0 201 255 255 255 0 00 0E 8C 00 00 00 5 Mode 72 SSC PC2 SOFTNE Y SSCPC2 1 VPN Groups Ready Current User Admin Role Admin Standard Mode Offine 9 z 7 3 4 5 Configurar conexi n t nel Un SCALANCE S y el SOFTNET Security Client pueden crear exactamente un t nel IPSec para la comunicaci n segura si est n asignados a un mismo grupo en el proyecto Proced
23. la red externa a la interna S lo comunicaci n por t nel S612 ste es el ajuste predeterminado on S613 Con este ajuste s lo se permite la transferencia codificada de Tunnel Communication only datos por IPsec s lo nodos de la red interna de SCALANCE S pueden comunicarse entre s La opci n s lo se puede seleccionar si el m dulo se encuentra en un grupo Si esta opci n est desactivada se permite la comunicaci n por t nel y adicionalmente el tipo de comunicaci n seleccionado en las otras casillas de opci n Erlaube IP Verkehr vom internen ins Nodos internos pueden iniciar una comunicaci n con nodos off externe Netz de la red externa S lo se transmiten a la red interna Allow outgoing IP traffic telegramas de respuesta procedentes de la red externa Desde la red externa no se puede iniciar ninguna comunicaci n con nodos de la red interna Erlaube IP Verkehr mit S7 Protokoll Nodos internos pueden iniciar una comunicaci n S7 off vom internen ins externe Netz protocolo S7 TCP Port 102 con nodos de la red externa Allow outgoing S7 protocol S lo se transmiten a la red interna telegramas de respuesta procedentes de la red externa Desde la red externa no se puede iniciar ninguna comunicaci n con nodos de la red interna Erlaube Zugriff auf DHCP Server vom Nodos internos pueden iniciar una comunicaci n con un off internen ins externe Netz servidor DHCP de la red externa S lo los telegramas de Allow acc
24. 0 201 M scara de subred 255 255 0 0 Nota Para el uso de una WAN como red externa p blica introduzca como IP Adress ext su direcci n IP est tica recibida del proveedor a trav s de la que luego se podr acceder al m dulo SCALANCE S en la WAN Internet Para que el m dulo SCALANCE S pueda enviar paquetes a trav s de la WAN Internet tiene que introducir su router DSL como Default Router Si utiliza un DSL Router como Internet Gateway tiene que activar en l al menos los puertos siguientes Port 500 ISAKMP e Port 4500 NAT T Si se descargan configuraciones no a trav s de un t nel activo se tiene que activar adem s el Port 443 HTTPS Abra ahora el men de propiedades del Module 1 seleccionando la entrada pulsando el bot n derecho del rat n y seleccionando el t pico de men Propiedades SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client 10 Active ahora seg n se muestra en la vista siguiente en la ficha Routing Modus el modo Routing introduzca la direcci n IP interna 192 168 0 201 y la m scara de subred 255 255 255 0 del m dulo SCALANCE S y confirme con OK G Module Properties Modulel Lo JO kE E Network HE Firewall Settings E Time Synchronization 5 Routing Modus Routing Y Routing active
25. 18 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y pues a en servicio 2 1 Propiedades del producto e Bloque de bornes enchufable de 4 polos e Informaciones sobre el producto Produkt e CD con el siguiente contenido Manual software de configuraci n Security Configuration Tool 2 1 3 Desembalaje y comprobaci n Desembalar comprobar 1 Compruebe la integridad del suministro 2 Examinar todas las piezas para ver si han sufrido da os durante el transporte N ADVERTENCIA S lo se deben poner en funcionamiento piezas intactas 2 1 4 Conexi n a Ethernet Posibilidades de conexi n El SCALANCE S cuenta con 2 conectores hembra RJ 45 para la conexi n a Ethernet Nota En el puerto TP en ejecuci n RJ 45 se pueden conectar cables TP o cables TP XP de una longitud m xima de 10 m En combinaci n con el Industrial Ethernet FastConnect IE FC Standard Cable y el IE FC RJ 45 Plug 180 se permite una longitud total de cable de como m ximo 100 m entre dos equipos SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 19 Propiedades del producto y puesta en servicio 2 1 Propiedades del producto Autonegotiation ATENCI N Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCGCE S por lo que no se deben confundir al establecer la conexi n con la red de comunicaci n
26. 3 1 2 Poner a punto los SCALANCE S y la TOO ccccococccccococnccccononcncnnnoncncnanoncccnnnnn cnn cano nn cc naar nn cc nana nnccins 42 3 1 3 Preparar los ajustes de IP de los PCS ooooonccccnnocccccnononccccononcccnnnoncccnnnoncncnnnonnccnnnn nn cc naar a ncr nana 43 3 1 4 Crear proyecto y M dulOS imanol nica 44 3 1 5 Configurar conexi n t nel seseesseeeeestntnstesertr tn nttesttttntn attestant nannten ttrt Ennn neet tnnn Ennn nn tenn nn neet 46 3 1 6 Cargar la configuraci n en SCALANCES S occcoccccccncconnnnnnononnnnnnnnnnnnnnnncnnnnnnnnnnn nn rn cnn rra nnnnnnrnnnnnn 47 3 1 7 Probar la funci n t nel Ping Test oooooooninccnocccccnnccccocononcnncnnnnnnnnnnonnnncnnnnnnnnnnn nn nn cnn rra nan nnnrnnnnn 48 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall ooooooccccnnnccccnonocccccononcccnonanccccnanancninn 50 3 2 1 RESUMEN a a o a ai dao DOE A Dali do EOI dear cd 50 3 2 2 Poner a punto los SCALANCE S y la red cocoococcccconocnccccononcncnanoncncnnnnncccnanonncncnnn nn cc nana n cnc nnnnanccinns 52 3 2 3 Preparar los ajustes de IP de los PCS oooooocccccnnoccccccononccccononcncnnnnnnccnnnoncncnnnn cnc cnn nn nn cc naar a ncc cnn ani 52 3 2 4 Crear proyecto y Mod l senean rina EATE rre 54 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 7 Contenido 3 2 5 Configurar firewall tb aia 55 3 2 6 Cargar la configuraci n en SCALANCES S oooicccnnociccnonconcncnnnoncncnanoncncn
27. 3 5 mm de di metro y 40 mm de longitud Nota La fijaci n a la pared debe estar concebida de forma que pueda soportar al menos un peso cu druple del peso propio del equipo SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y pues a en servicio 2 3 Puesta en servicio 2 2 4 Puesta a tierra Montaje en riel perfil de sombrero Riel de perfil S7 Montaje mural La puesta a tierra se realiza a trav s del riel perfil de sombrero La puesta a tierra tiene lugar a trav s de la parte posterior del aparato y del tornillo de gollete La puesta a tierra se realiza con el tornillo de fijaci n a trav s del orificio exento de pintura o barniz ATENCI N Tenga en cuenta que el SCALANCE S se tiene que poner a tierra con una ohmicidad lo m s baja posible 2 3 Puesta en servicio Principio ATENCI N Antes de la puesta en servicio lea con atenci n las informaciones de los cap tulos Propiedades del producto y Montaje y siga especialmente las instrucciones de seguridad Para trabajar con un SCALANCE S se tiene que cargar una configuraci n realizada con la Security Configuration Tool A continuaci n se describe este procedimiento La configuraci n de un SCALANCE S abarca los par metros IP y el ajuste de reglas de firewall as como si procede el ajuste de t neles IPsec S612 S613 o del modo Router B
28. Al trabajar con una red real se tienen que adaptar estos ajustes de IP al entorno de la red a fin de evitar eventuales conflictos de direcciones SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 39 GETTING STARTED 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE S6 12 S613 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE S612 S613 3 1 1 Resumen En este ejemplo se configura la funci n T nel en la vista de configuraci n Standard Mode SCALANCE S Module 1 y SCALANCE S Module 2 constituyen en este ejemplo los dos puntos finales del t nel para la conexi n de t nel protegida Con esta configuraci n se consigue que el tr fico IP y el tr fico de la Layer 2 s lo en el modo bridge s lo sea posible a trav s de las conexiones de t nel establecidas emtre interlocutores autorizados Construcci n de la red de test Red externa SCALANCE S y SOFTNET Security Client 40 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE S612 S613 e Red interna conexi n a SCALANCE S Port 2 puerto Internal Network En la estructura de test en la red interna cada nodo de red se realiza por medio de un PC que est conectado al puerto Internal Network Port 2 verde de un m dulo SCALANCE S PC1 Representa a una estaci n participante en la red interna
29. Aqu puede hacer los ajustes globales que quedar n tras finalizar y abrir el SOFTNET Security Client Las funciones se pueden ver en la siguiente tabla Funci n Descripci n opciones Tama o del archivo Log consola log Tama alo del archivo log del archivo fuente que contene los mensajes que se emiten en la consola log filtrados y limitados a una cantidad determinada N mero de mensajes que se deben mostrar en la N mero de mensahes que se extraen del archivo consola log de la vista general del t nel log del archivo fuente y que se muestran en la consola log SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 217 SOFTNET Security Client S612 5613 7 5 Configuraci n y edici n de t neles Funci n Se emiten los siguientes mensajes log en la consola log de la vista general del t nel e Visualizaci n del test de accesibilidad negativo Ping e Crear borrar Security Associations Quick Modes e Crear borrar Main Modes e Cargar archivos de configuraci n e Aprendizaje de estaciones participantes internas Descripci n opciones Los mensajes que se visualizan opcionalmente en la consola log pueden conectarse y desconectarse aqu Tama o del archivo log Debug logfile Tama o del archivo log de los archivos fuente para mensajes Debug del SOFTNET Security Client pueden ser reclamados por el Customer Support para facilitar lo
30. C Paste Traer el objeto del portapapeles e insertarlo pegarlo Ctrl V Del Borrar el objeto seleccionado Borr Rename Cambiar de nombre el objeto seleccionado F2 Properties Abrir el di logo de propiedades del objeto seleccionado F4 Online Diagnostics Acceder a las funciones de test y diagn stico Este comando s lo est visible en la vista Online Insert comandos de men disponibles s lo en el modo offline SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 111 Configuraci n con Security Configuration Tool 4 3 Interfaz de usuario y comandos de men Comando de men Significado observaciones Shortcut Module Crear nuevo m dulo Ctrl M Este comando s lo est activo si est seleccionado un objeto Module o Group en el rea de navegaci n Group Crear nuevo grupo Ctrl G Este comando s lo est activo si est seleccionado un objeto Grupos en el rea de navegaci n Firewall rule set Crear un nuevo bloque de reglas IP o MAC de validez global para Ctrl F el firewall Este comando s lo est activo si est seleccionado un objeto Firewall en el rea de navegaci n Transfer To Module Cargar datos en los m dulos seleccionados Observaci n S lo se pueden cargar datos de proyecto coherentes To All Modules Cargar datos en todos los m dulos configurados Observaci n
31. Como alternativa utilice para la carga los comandos de men e Transfer To Module Transfiera con esto la configuraci n a todos los m dulos seleccionados e Transfer To All Modules Transfiera con esto la configuraci n a todos los m dulos configurados en el proyecto Asimilaci n de configuraciones distintas No es posible recargar en el proyecto datos de configuraci n del m dulo SCALANCE S 4 6 Datos de configuraci n para MD 740 MD 741 Transmisi n a un m dulo Puede generar sus informaciones de VPN para la parametrizaci n de un MD 740 1 MD 741 1 con la Security Configuration Tool Con los archivos as generados puede configurar entonces el MD 740 1 MD 741 1 Se generan los siguientes tipos de archivos e Archivo de exportaci n con los datos de configuraci n Tipo de archivo archivo txt en formato ASCII Contiene las informaciones sobre configuraci n exportadas para el MD 740 MD 741 inclusive una informaci n sobre los certificados generados adicionalmente e Certificado de m dulo Tipo de archivo Archivo p12 El archivo contiene el certificado de m dulo y el material de clave El acceso est protegido por contrase a e Certificado de grupo Tipo de archivo Archivo cer Los archivos de configuraci n para el MD 740 1 MD 741 1 se pueden utilizar tambi n para configurar otros tipos de VPN Client no incluidos en la selecci n de m dulos El requisito m nimo para el u
32. Direcciones IP en reglas de filtrado de paquetes IP en este cap tulo Como alternativa puede introducir un nombre simb lico Internal port aludida en la subred interna N mero de puerto de un servicio en la estaci n Puerto no campo de puertos Prueba de coherencia reglas a considerar Observe las reglas siguientes para la asignaci n de direcciones con el fin de obtener entradas coherentes Prueba Regla Comprobaci n realizada El ID de red de la subred interna tiene que ser diferente del ID de red de la subred externa a nivel local a nivel de proyecto xX Las direcciones IP internas no deben ser id nticas a las direcciones IP del m dulo Adopte para el ID de red la parte determinada por la m scara de subred e En el caso de la direcci n IP externa la parte de la direcci n determinada por la m scara de subred externa se tiene que tomar de la direcci n IP externa del SCALANCE S e En el caso de la direcci n IP interna la parte de la direcci n determinada por la m scara de subred interna se tiene que tomar de la direcci n IP interna del SCALANCE S Una direcic n IP utilizada en la lista de conversi n de direcciones NAT NAPT no debe ser direcci n Multicast ni direcci n Broadcast El router predeterminado tiene que estar en una de las dos subredes del SCALANCE S es decir tiene que ser conforme a la direcci n IP externa o a la interna Puer
33. E SSL Cerificate 4I Time Synchronization Logona a Nodes IP Rules MAC Rules SourceIP__ DestinaioniP_ Senice Bandwidti M Log Comment Allow Internal gt External QIP ZIP all Drop Internal gt External all y Ruleset1 Description Ruleset1 Expand Rulesets Collapse Rulesets Add Rule Remove Rule 4 IP Service Definitions OK Cancel Help Registrar reglas de filtrado de paquetes IP Introduzca correlativamente las reglas de firewall en la lista observe la siguiente descripci n de par metros y los ejemplos en el cap tulo siguiente o en la ayuda Online Uso de bloques de reglas globales Los bloques de reglas globales asignados al m dulo se adoptan autom ticamente en el bloque de reglas locales En un principio se encuentran al final de la lista por lo que se tratan con la prioridad m s baja Puede modificar la prioridad cambiando de posici n un bloque de reglas locales o globales en la lista de reglas P La ayuda online le explica el significado de los distintos botones F1 SCALANCE S y SOFTNET Security Client 146 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 Firewall Router y otras propiedades del m dulo 5 4 4 Par metros 5 4 Firewall Propiedades del m dulo en el Advanced Mode Reglas de filtrado de paquetes IP Las reglas de filtrado de paquetes IP se editan seg n las siguientes evaluaciones e Par metros registrados en la regla e Orden y la co
34. Navegue por el siguiente directorio IPSec VPN Conexiones 2 Realice los ajustes del Roadwarrior VPN tal y como se muestra en la siguiente figura y gu rdelos Puede determinar el Remote ID desde su archivo de texto Nombredelproyecto MD741 1 txt La entrada del Remote ID es posible opcionalmente IPSec VPN Connection Settings Authentication method X 509 remote certifikate v Remote certificate SSC MD741 1 Group1 SSC PC2 cer v Remote ID M6362 G9A54 Local ID NONE Save Back SCALANCE S y SOFTNET Security Client 98 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client 3 Realice los ajustes IKE del Roadwarrior VPN tal y como se muestra en el siguiente gr fico y gu rdelos IPSec VPN IKE Settings Phase 1 ISAKMP SA ISAKMP SA encryption 3DES 168 y ISAKMP SA hash SHA 1 y ISAKMP SA mode Main mode y ISAKMP SA lifetime seconds 86400 Phase 2 IPSec SA IPSec SA encryption 3DES 168 y IPSec SA hash SHA 1 X IPSec SA lifetime seconds 86400 DH PFS group DH 2 1024 v NAT T On X Enable dead peer detection Yes v DPD delay seconds 150 DPD timeout seconds 60 DPD maximum failures 5 Save Back SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 99 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SO
35. Para todas las funciones descritas en este cap tulo conmute el modo de funcionamiento con el siguiente comando de men View gt Advanced Mode El modo de operaci n aqu descrito incluye el uso como Standard Router Tenga en cuenta por ello lo dicho en el cap tulo Routing Relaci n entre NAT NAPT Router y Firewall Red externa Telegrama IP externo gt interno Restricciones 166 Para ambos sentido rige la regla de que los telegramas pasan primero por la conversi n de direcciones en el NAT NAPT Router y despu s por el Firewall Los ajustes para el NAT NAPT Router y las reglas de Firewall se tienen que adaptar entre s de manera que telegramas con direcci n convertida traducida puedan pasar el firewall Firewall y NAT NAPT Router dan soporte al mecanismo Stateful Packet Inspection Por esta raz n los telegramas de respuesta pueden pasar el NAT NAPT Router y el Firewall sin que sus direcciones se tengan que adoptar adicionalmente en las reglas de Firewall y en la conversi n de direcciones de NAT NAPT paz SCALANCE S 22222 q Red interna Router NAT NAPT Telegrama IP interno gt externo Conversi n de direcciones e compara la regla de Firewall firewall con la direcci n IP cambiada Observe los ejemplos de los cap tulos siguientes En la lista aqu descrita tiene lugar una conversi n de direcciones definida estad sticamente para las est
36. Security Configuration Tool 4 5 Cargar la configuraci n en SCALANCES S 4 5 Cargar la configuraci n en SCALANCES S Los datos de configuraci n creados offline se cargan con los correspondientes comandos de men en los SCALANCE S accesibles en la red Transferir al m dulo a todos los m dulos SCALANCE S y SOFTNET Security Client 124 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 Configuraci n con Security Configuration Tool 4 5 Cargar la configuraci n en SCALANCES S Requisitos e Conexiones En principio los datos de configuraci n se pueden cargar tanto a trav s del puerto 1 como del puerto 2 del equipo Configure preferentemente los m dulos de un grupo a trav s de la red externa com n de esos m dulos puerto 1 del equipo Si el ordenador de configuraci n se encuentra en una red interna se tienen que liberar expl citamente en el firewall de ese SCALANCE S las direcciones IP de los dem s m dulos del grupo configurando luego el m dulo en cuesti n en primer lugar Se soporta este procedimiento si ya se les ha asignado una direcci n IP a todos los m dulos SCALANCE S Vea Peculiaridades de la primera configuraci n ATENCI N Utilizar m ltiples adaptadores de red durante la primera configuraci n Si utiliza varios adaptadores de red en su PC PG seleccione primero antes de la primera configuraci n el adaptador de red a trav s del que desea acceder al m dulo SCA
37. TP Twisted Pair seg n el est ndar IE FC RJ45 para Industrial Ethernet Los pasos siguientes en s ntesis Y Y Y Y Cargar configuraci n en SCALANCE S Probar la funci n del firewall prueba Ping Logging SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 51 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall 3 2 2 Poner a punto los SCALANCE S y la red Proceda del siguiente modo 1 Saque primero el SCALANCE S de su embalaje y compruebe si est en perfecto estado 2 Conecte la alimentaci n de tensi n a SCALANCE S Resultado Tras conectar la tensi n de servicio brilla el diodo Fault F con luz amarilla N ADVERTENCIA El equipo SCALANCE S est previsto para funcionar con baja tensi n de seguridad En consecuencia a las conexiones de alimentaci n s lo se deben conectar bajas tensiones de seguridad SELV seg n IEC950 EN60950 VDE0805 La fuente de alimentaci n utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 gama de tensi n 18 32 V consumo de corriente aprox 250 mA Para el montaje y la conexi n de los m dulos SCALANCE S tenga en cuenta el cap tulo Propiedades del producto y puesta en servicio 3 Establezca las conexiones f sicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto conectores hembra RJ45 Conecte el PC2 al puerto 2 del Module
38. Uso del SCALANCE S como Firewall y Router Observaci n sobre el comando Ping Como alternativa se pueden utilizar otros programas de comunicaci n para el test de la configuraci n ATENCI N En caso de Windows el cortafuegos firewall puede estar ajustado como est ndar de manera que no puedan pasar comandos PING Eventualmente tendr que habilitar los servicios ICMP del tipo Request y Response Secci n de test 1 Enviar comando Ping Pruebe ahora el funcionamiento del modo NAT Router con el tr fico de datos IP de red interna a red externa del siguiente modo 1 En el PC2 llame en la barra de inicio el siguiente comando de men Inicio gt Programas gt Accesorios S mbolo del sistema 2 Entrada del comando Ping de PC2 a PC1 direcci n IP 192 168 10 100 Directamente en la l nea de comandos de la ventana presentada S mbolo del sistema introduzca en la posici n del cursor el siguiente comando ping 192 168 10 100 Aparecer entonces el siguiente mensaje respuesta positiva del PC1 Command Prompt O LE mE gt ping 192 168 180 108 inging 192 168 18 100 with 32 bytes of data Reply from 192 168 10 100B bytes 32 time 8ms TTL 64 32 time lt i ms TTL 64 i TTL 64 TTL 64 statistics for 192 168 180 100 Sent 4 Received 4 Lost z E pproximate round trip times in milli seconds Minimum ms Maximum 8ms Average 2ms EN Secci n de test 2 Evaluar el resultado
39. almacenan en una memoria vol til de SCALANCE S por lo que dejan de estar disponibles tras una desconexi n de la alimentaci n el ctrica Audit events Audit Log siempre activado Logging est siempre activado Se almacena siempre en la memoria b fer circulante Los datos de Audit Log son remanentes Los datos de Audit Log se almacenan en una memoria remanente del SCALANCE S En consecuencia los datos de Audit Log siguen estando disponibles tras una desconexi n de la alimentaci n el ctrica System events System Log configurable La activaci n tiene lugar a trav s de casillas de control La selecci n del m todo de almacenamiento se realiza a trav s de casillas de control Para configurar el filtro de eventos y el digan stico de l neas abra otro cuadro de di logo con el bot n Configure En este subdi logo puede ajustar un nivel de filtrado para los eventos del sistema Est predeterminado el nivel m s alto de modo que s lo se registren eventos cr ticos El diagn stico de l neas genera un evento especial del sistema Con ello en caso de producirse telegramas incorrectos en un porcenteje ajustable se genera un evento del sistema A este evento del sistema se le asigna la prioridad y la importancia Facility ajustables en este subdi logo Los datos de System Log no son remanentes Los datos de System Log se almacenan en una memoria vol til del SCALANCE S Por
40. communication across diverse interconnected networks Obtain DNS server address automatically Use the following DNS server addresses Preferred DNS server Alternate DNS server Validate settings upon exit 4 Seleccione en el di logo Propiedades del protocolo de Internet versi n 4 TCP IPv4 la casilla de verificaci n Usar la siguiente direcci n IP apagado Introduzca ahora en los campos previstos al efecto los valores correspondientes al PC tomados de la tabla Crear configuraci n IP de los PCS Cierre los cuadros de di logo con Aceptar y salga del panel de control 3 5 4 Crear proyecto y m dulos Procedimiento a seguir 1 Inicie el software de configuraci n Security Configuration Tool en PC2 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 91 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client 2 Cree un nuevo proyecto con el siguiente comando de men Project gt New Se le pide que introduzca un nombre de usuario y una contrase a Al usuario que usted introduce aqu se le asigna autom ticamente la funci n de administrador 3 Introduzca un nombre de usuario y una contrase a y confirme la entrada con esto se crea un nuevo proyecto Aparece autom ticamente el di logo Seleccionar un m dulo o configuraci n de software 4 Configure ahora el tipo de produc
41. correcta de m dulos Ya que las pruebas continuas de coherencia de todo el proyecto llevan demasiado tiempo porque durante la creaci n de un proyecto se configuran la mayor a de las veces datos de proyecto inconsistentes se realiza autom ticamente una prueba s lo en las siguientes acciones e al guardar el proyecto e al abrir el proyecto e antes de cargar una configuraci n ATENCI N S lo se pueden cargar datos de proyecto si el proyecto es coherente en su conjunto As puede impulsar una prueba de coherencia a nivel de proyecto 120 Puede impulsar en todo momento una prueba de coherencia para un proyecto abierto a trav s del siguiente comando de men Options gt Check Consistency El resultado de la prueba se presenta en una lista Adicionalmente se hace referencia al resultado de la prueba de coherencia en la barra de estado si el proyecto contiene datos incoherentes Poniendo el puntero del rat n en la barra de estado puede visualizar entonces la lista de pruebas haciendo un clic SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos 44 5 Asignaci n de nombre simb licos para direcciones IP o MAC Significado y ventaja En un proyecto SCALANCE S puede asignar en una tabla de s mbolos nombres simb licos en representaci n de direcciones IP o MAC La configuraci
42. criptogr ficos seleccionables en el protocolo de cambio de claves Oakley HTTPS Secure Hypertext Transfer Protocol o HyperText Transfer Protocol Secured Socket Layer SSL Protocolo para transmisi n de datos codificados Extensi n de HTTP para la transmisi n protegida de datos de car cter confidencial con ayuda de SSL ICMP Internet Control Message Protocol Protocolo auxiliar de la familia de protocolos IP basado en el protocolo IP Sirve para el intercambio de mensajes relativos a informaciones y errores ICMP Echo Request Paquete Ping saliente para la verificaci n de la accesibilidad de un usuario de la red Identity Protection La diferencia entre la modalidad Main y Aggressive es la Identity Protection que se utiliza en el Main Mode La identidad se transmite codificada en el Main Mode en el Aggressive Mode no SCALANCE S y SOFTNET Security Client 250 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Glosario lista de abreviaturas IKE Internet Key Exchange Protocolo para la administraci n autom tica de claves para IPsec IKE trabaja en dos fases En la primera fase se autentican las dos estaciones que se comunican entre s de forma protegida La autenticaci n puede tener lugar por medio de certificados o mediante claves intercambiadas previamente Pre Shared Keys En la segunda fase se intercambian las claves para la comunicaci n de datos y se seleccionan los algoritmos de codificaci n Inte
43. de aplicaci n previstos en el cat logo y la documentaci n t cnica asociada De usarse productos y componentes de terceros stos deber n haber sido recomendados u homologados por Siemens El funcionamiento correcto y seguro de los productos exige que su transporte almacenamiento instalaci n montaje manejo y mantenimiento hayan sido realizados de forma correcta Es preciso respetar las condiciones ambientales permitidas Tambi n deber n seguirse las indicaciones y advertencias que figuran en la documentaci n asociada Marcas registradas Todos los nombres marcados con son marcas registradas de Siemens AG Los restantes nombres y designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilizaci n por terceros para sus propios fines puede violar los derechos de sus titulares Exenci n de responsabilidad Hemos comprobado la concordancia del contenido de esta publicaci n con el hardware y el software descritos Sin embargo como es imposible excluir desviaciones no podemos hacernos responsable de la plena concordancia El contenido de esta publicaci n se revisa peri dicamente si es necesario las posibles las correcciones se incluyen en la siguiente edici n Siemens AG Referencia del documento C79000 G8978 C196 07 Copyright O Siemens AG 2006 Industry Sector O 02 2011 2007 2008 2010 2011 Postfach 48 48 Sujeto a cambios sin previo aviso 90026 N RNBERG ALEMANIA Pr logo Este manu
44. de los PCs Cierre los cuadros de di logo con Aceptar y salga del panel de control SCALANCE S y SOFTNET Security Client 64 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router 3 3 4 Crear proyecto y m dulo Proceda del siguiente modo 1 2 Instala e inicie el software de configuraci n Security Configuration Tool en el PC1 Cree un nuevo proyecto con el siguiente comando de men Project gt New Se le pide que introduzca un nombre de usuario y una contrase a Al usuario que usted entra aqu se le asigna el papel de un administrador Introduzca un nombre de usuario y una contrase a y confirme la entrada con esto crea un nuevo proyecto Aparece autom ticamente el di logo Seleccionar un m dulo o configuraci n de software Configure ahora su tipo de producto el m dulo y la versi n de firmware Introduzca en el campo de la direcci n MAC en la parte de Configuraci n la direcci n MAC impresa en la carcasa del m dulo en el m dulo en el formato preestablecido Encontrar esta direcci n en la cara frontal del m dulo SCALANCE S vea la figura SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 65 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router 6 Introduzca tambi n en el formato preestable
45. de men Inicio gt Programas Accesorios S mbolo del sistema 2 Entrada del comando ping de PC1 a PC2 direcci n IP 191 0 0 2 Directamente en la l nea de comandos de la ventana presentada S mbolo del sistema introduzca en la posici n del cursor el comando ping 191 0 0 2 conectado Aparecer entonces el siguiente mensaje respuesta positiva del PC2 EX Command Prompt o E N gt ping 191 0 0 2 inging 191 0 0 2 with 32 bytes of data eply from 191 0 0 2 bytes 32 time lt ms TTL 64 eply from 191 0 0 2 bytes 32 time lt ms TTL 64 eply from 191 0 0 2 bytes 32 time lt ms TTL 64 eply from 191 0 0 2 bytes 32 time lt i ms TTL 64 ics for 191 0 0 2 Sent 4 Received 4 Lost z loss pproximate round trip times in milli seconds Minimum ms Maximum ms Average ms EN gt SCALANCE S y SOFTNET Security Client 48 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE S612 S613 Resultado Cuando los telegramas IP llegan al PC2 la estad stica Ping muestra para 191 0 0 2 lo siguiente e Enviado 4 e Recibido 4 e Perdido 0 0 p rdida Dado que no estaba permitida ninguna otra comunicaci n esto telegramas s lo se pueden haber transportado por el t nel VPN Secci n de test 2 Repita ahora el test emitiendo un comando ping desde el PC3 1 En el PC3 llame en la
46. dulos SCALANCE S ofrecen las siguientes prestaciones fundamentales Hardware e carcasa robusta con grado de protecci n IP 30 e opcionalmente montaje sobre riel de perfil de sombrero S7 300 o DIN de 35 mm e alimentaci n de tensi n redundante SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 17 Propiedades del producto y puesta en servicio 2 1 Propiedades del producto e contacto de se alizaci n e gama de temperatura ampliada 20 C a 70 C SCALANCE S613 Panor mica de funciones de los tipos de equipos Vea en la tabla siguiente a qu funciones se da soporte en su equipo Nota En este manual se describen todas las funciones Al utilizar la siguiente tabla tenga en cuenta qu descripciones corresponden al equipo utilizado por usted Preste tambi n atenci n a los datos adicionales que aparecen en los t tulos de los cap tulos Tabla 2 1 Panor mica de funciones Funci n S602 S612 V1 S612 V2 S613 V1 S613 V2 Firewall Xx X X X X Router NAT NAPT X X X Servidor DHCP X X X Syslog de red X X X T nel IPsec VPN Virtual Private Network X X X X SOFTNET Security Client X X X X Se soporta a la funci n x No se soporta la funci n 2 1 2 Volumen de suministro Qu se entrega con el SCALANCE S e Equipo SCALANCE S e Bloque de bornes enchufable de 2 polos SCALANCE S y SOFTNET Security Client
47. el SCALANCE S a trav s de una conexi n con codificaci n SSL e Protecci n de acceso en la Security Configuration Tool La administraci n de usuarios de la Security Configuration Tool garantiza una protecci n de acceso para los equipos SCALANCE S y los datos de configuraci n e Medio intercambiable C PLUG El C PLUG es un medio intercambiable enchufable en el que est n almacenados datos de configuraci n en forma codificada Si se sustituye un SCALANCE S gracias a l se puede realizar la configuraci n sin necesidad de PC PG SCALANCE S y SOFTNET Security Client 16 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y puesta en servicio 2 Este cap tulo le familiarizar con el manejo y todas las propiedades importantes del equipo SCALANCE S En l se informa sobre qu posibilidades de montaje existen y sobre c mo se pone el equipo en funcionamiento con unas pocas operaciones Otras informaciones La configuraci n del equipo para aplicaciones est ndar se describe de forma resumida en el cap tulo GETTING STARTED Encontrar detalles sobre la configuraci n y las funciones online en la parte de consulta de este manual 2 1 Propiedades del producto Nota Las homologaciones o autorizaciones indicadas s lo se consideran otorgadas si el producto est provisto del correspondiente distintivo 2 1 1 Caracter sticas de hardware y panor mica de las funciones Todos los m
48. ello estos datos dejan de estar disponibles tras una desconexi n de la alimentaci n el ctrica Filtrado de los eventos del sistema Seleccione como nivel de filtrado Error o superior para impedir el registro de eventos generales no cr ticos Prioridad de los eventos del sistema correspondientes al diagn stico de l neas Cuide de no asignar a los eventos del sistema correspondientes al diagn stico de l neas una prioridad menor a la ajustada para el filtro En caso de tener una prioridad m s baja estos eventos no pasar an el filtro y no se registrar an SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 227 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging 8 2 2 Network Syslog ajustes en la configuraci n Puede configurar SCALANCE S de manera que env e como cliente Syslog informaciones a un servidor Syslog El servidor Syslog puede estar en la subred interna o en la externa La implementaci n es conforme a RFC 3164 Nota Firewall Servidor Syslog no activo en la red externa Si el servidor Syslog no est activo en el ordenador direccionado este ordenador devuelve por regla general telegramas de respuesta ICMP port not reachable Si debido a la configuraci n del firewall se registran estos telegramas de respuesta como eventos del sistema y se env an al servidor Syslog esta operaci n puede continuar indefinid
49. en el cap tulo 6 4 apartado Ajustes compatibles para SOFTNET Security Client Nota Si crea varios SOFTNET Security Clients dentro de un grupo no se establece t nel alguno entre esos Clients sino s lo entre el respectivo Client y los m dulos SCALANCE S SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 205 SOFTNET Security Client 5612 5613 7 3 Crear un archivo de configuraci n con la herramienta de configuraci n Security Configuration Tool Archivos de configuraci n para SOFTNET Security Client La interfaz entre la herramienta de configuraci n Security Configuration Tool y el SOFTNET Security Client es operada a trav s de archivos de configuraci n Workstation Computer MY Exportieren der Konfiguration f r A g I ___ K SOFTNET Security Client mittels Datentr ger SOFTNET Security Client gt Q y La configuraci n se almacena en los siguientes tres tipos de archivos e dat e p12 e cer Procedimiento Realice en la herramienta de configuraci n Security Configuration Tool las siguientes Operaciones para crear los archivos de configuraci n 1 Habilite primero en su proyecto un m dulo del tipo SOFTNET Security Client me Ni Conficcallos Ti Configurationl po lo Project Edit inset Transfer View Options Help olsa el 5714100 den E Sul _ Number
50. este manual Con este s mbolo se hace referencia a consejos especiales en estas instrucciones El s mbolo hace referencia a bibliograf a especialmente recomendada Este s mbolo indica que se puede obtener una ayuda contextual detallada Puede acceder a esta ayuda con la tecla F1 o con el bot n en el respectivo cuadro de di logo SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Pr logo Referencias bibliogr ficas Las referencias a documentaci n adicional se indican a trav s de ndices bibliogr ficos escritos entre barras Por medio de estos n meros se puede localizar el t tulo de la documentaci n en la lista de bibliograf a que aparece al final del manual SCALANCE S y SOFTNET Security Client 6 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Contenido PTOlOJO iia iia 3 1 IntroducCcCi N Y TUNdAMENtOS occooonccccnnoncccnononcncnnnnnn cnn conc nr nn 11 1 1 Uso de SCALANCE S612 S613 y SOFTNET Security CliONt oooooooccccnnnnnnnnococccccnnccnccnanancnncnnnn 11 1 2 Uso de SCALANGE S602 0000 A A ASA A a 14 1 3 Configuraci n y administraci fisie a A E cnn nar c cnn nc cnn rra rr 16 2 Propiedades del producto y puesta en ServiciO ccccconnnccccccccccononancnnncnononnnnnnanonnncnnnnnnnannnn nn ncnnrnrnannnnns 17 2 1 Propiedades del producto a a a ii a ea E a EA N aa 17 2 1 1 Caracter sticas de hardware y panor mica de las funciones oooononc
51. eventos del sistema correspondientes al diagn stico de l neas una prioridad menor a la ajustada para el filtro En caso de tener una prioridad m s baja estos eventos no pasar an el filtro y no llegar an al servidor Syslog 230 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging 8 2 3 La configuraci n del Logging de paquetes El Packet Filter Log registra los paquetes de datos para los que se ha activado el Logging en una regla de filtrado de paquetes firewall en la configuraci n Por lo tanto esta activaci n se tiene que configurar La configuraci n difiere dependiendo de la vista de operaci n ajustada Mientras que en el Standard Mode el logging s lo se puede activar b sicamente para algunos bloques de reglas predefinidos en el Advanced Mode se puede activar para cada regla de filtrado de paquetes a nivel individual Configuraci n en el Standard Mode En el Standard Mode existen los siguientes bloques de reglas para los ajustes de IP y MAC Log para los que se puede activar el Logging Tabla 8 5 Ajustes de IP y MAC Log Bloque de reglas Acci n para activaci n Log passed packets Todos los paquetes MAC que se han transmitido se registran Log dropped incoming packets Todos los paquetes IP MAC entrantes que se han rechazado se registran Log dropped outgoing pack
52. globales asignados al m dulo se adoptan autom ticamente en el bloque de reglas locales En un principio se encuentran al final de la lista por lo que se tratan con la prioridad m s baja Puede modificar la prioridad cambiando de posici n un bloque de reglas locales o globales en la lista de reglas La ayuda online le explica el significado de los distintos botones F1 5 4 8 Reglas para filtrado de paquetes MAC Las reglas de filtrado de paquetes MAC se editan seg n las siguientes evaluaciones e Par metros registrados en la regla e Prioridad de las reglas dentro del bloque de reglas Reglas para filtrado de paquetes MAC La configuraci n de una regla MAC contiene los siguientes par metros Tabla 5 6 Reglas MAC Par metros Denominaci n Significado comentario Posibilidades de selecci n campos de valores Action Definici n de la autorizaci n habilitaci n bloqueo e Allow Autorizar telegramas seg n definici n e Drop Bloquear telegramas seg n definici n Direction Indica la direcci n y el tipo del tr fico de datos e Internal gt External Tunnel Any s lo en S612 S613 e Internal External e Tunnel gt Internal e Tunnel Internal e Internal gt Any e Internal Any Quelle MAC Direcci n MAC de origen Como alternativa a una Ziel MAC Direcci n MAC de destino direcci n MAC puede introducir un nombre simb lico SCALANCE S y SOFTNET Security Client Instruccion
53. la conexi n con la red WAN Internet Proceda del siguiente modo para PC1 PC2 y PC3 1 Abra el panel de control en el respectivo PC con el siguiente comando de men SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 77 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client Inicio gt Panel de control 2 Abra el s mbolo Red y centro de autorizaci n y en el men de navegaci n que se encuentra a la izquierda seleccione la opci n Modificar los ajustes del adaptador 3 Active en el di logo Propiedades de la conexi n LAN la casilla de opci n Protocolo Internet versi n 4 TCP IPv4 y haga clic en el bot n Propiedades Networking Connect using EP Intel R PRO 1000 MT Netzwerkverbindung This connection uses the following items M a PROFINET I0 RT Protocol V1 0 M SIMATIC Industrial Ethemet 150 You can get IP settings assigned automatically if your network supports M PROFINET IO RT Protocol LLDP this capability Otherwise you need to ask your network administrator for the appropriate IP settings YA Intemet Protocol Version 4 TCP IPv4 v Link Layer Topology Discovery Mapper 1 0 Driver M Link Layer Topology Discovery Responder Use the following IP address M mM M Intemet Protocol Version 6 TCP IPv6 Y A Obtain
54. la direcci n IP del router en las estaciones SCALANCE S no est configurado para el modo Router En la configuraci n del SCALANCE S no se ha indicado Default Router Variantes Para la configuraci n tiene las dos posibilidades siguientes e Asignaci n est tica de direcciones A equipos con una direcci n MAC o un Client ID determinados se les asignan direcciones predeterminadas para cada caso Introduzca para ello estos equipos en la lista de direcciones en el campo de entradas Static IP addresses SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 175 Firewall Router y otras propiedades del m dulo 5 8 Servidor DHCP e Asignaci n din mica de direcciones Equipos cuya direcci n MAC o su Client ID no se hayan indicado expl citamente reciben una direcci n IP cualquiera de una banda de direcciones predeterminada Esta banda de direcciones se ajusta en el campo de entrada Dynamic IP addresses ATENCI N Asignaci n din mica de direcciones Comportamiento tras una interrupci n de la alimentaci n el ctrica Tenga en cuenta que las direcciones IP asignadas din micamente no se almacenan si se interrumpe la alimentaci n el ctrica Tras restablecerse la alimentaci n el ctrica tiene que cuidar por tanto de que todas las estaciones soliciten de nuevo una direcci n IP Por esta raz n s lo deber a prever la asignaci n din mica de direcciones para las sigu
55. la parte inferior de la tabla NAT El s mbolo que aparece all en la columna internal IP address indica que se convierten todos los telegramas dirigidos de la red interna a la externa Observaci n Debido a este efecto en la lista de conversi n de direcciones esta opci n est asignada al campo de entrada NAT a pesar de la asignaci n adicional de un n mero de puerto SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 167 Firewall Router y otras propiedades del m dulo 5 7 Routing Modus Tabla 5 9 Tabla NAT Par metros external IP address Significado comentario Para el sentido de telegramas Internal gt External nueva direcci n IP asignada Posibilidades de selecci n campos de valores V ase el apartado Direcciones IP en reglas de filtrado de paquetes IP en este cap tulo e Para el sentido de telegramas External gt Internal direcci n IP reconocida Como alternativa puede introducir un nombre simb lico internal IP adress e Para el sentido de telegramas External gt Internal nueva direcci n IP asignada e Para el sentido de telegramas Internal gt External direcci n IP reconocida Direction Asigne aqu el sentido de transmisi n de los e Internal gt External telegramas e external gt internal Efecto en el ejemplo Internal gt External Telegramas procedentes de la subre
56. modo 1 En el PC2 llame en la barra de inicio el siguiente comando de men Inicio gt Programas gt Accesorios S mbolo del sistema 2 Entrada del comando Ping de PC2 a PC1 direcci n IP 192 168 1 101 Directamente en la l nea de comandos de la ventana presentada S mbolo del sistema introduzca en la posici n del cursor el comando Ping 192 168 1 101 Aparecer entonces el siguiente mensaje respuesta positiva del PC1 Command Prompt ba M gt ping 192 168 1 101 inging 192 168 1 181 with 32 bytes of data eply from 192 168 1 1B1 bytes 32 time 308ms TTL 63 eply from 192 168 1 1B1 bytes 32 time 31 7ms TTL 63 eply from 192 168 1 1B1 bytes 32 time 379 ms TTL 63 eply from 192 168 1 181 bytes 32 time 348ms TTL 63 statistics for 192 168 1 18B1 Packets Sent 4 Received 4 Lost z loss pproximate round trip times in milli seconds Minimum 308ms Maximum 3 7 ms Average END Cuando los telegramas IP llegan al PC1 la estad stica Ping muestra para 192 168 1 101 lo siguiente e Enviado 4 e Recibido 4 e Perdido 0 0 p rdida Dado que no estaba permitida ninguna otra comunicaci n esto telegramas s lo se pueden haber transportado por el t nel VPN SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Configuraci n con Security Configuration Tool 4 Security Configuration Tool es la herramienta de configuraci n suminist
57. n de comunicaci n con una de las estaciones ATENCI N Si en su PG PC existen varios adaptadores de red el SOFTNET Security Client selecciona autom ticamente uno de ellos a trav s del cual se intenta establecer un t nel apropiado para su proyecto en cuyo caso introduce uno cualquiera En tal caso tiene que adaptar manualmente la configuraci n de adaptadores de red a trav s del men contextual de la estaci n y del m dulo SCALANCE S Pero es posible que el SOFTNET Security Client no consiga encontrar uno Significado de los par metros Tabla 7 1 Par metros en el cuadro de di logo Tunnel over Par metros Significado margen de valores Status Encontrar indicaciones de estado posibles en la tabla 7 2 Name Nombre del m dulo o de la estaci n tomado de la configuraci n con Security Configuration Tool IP participante int subred Direcci n IP del nodo interno o ID de red de la subred interna si es que se dispone de participantes subredes internos IP de punto final de t nel Direcci n IP del m dulo SCALANCE S o MD741 1 asignado Tunnel over Si utiliza varias tarjetas de red en su PC se muestra aqu la direcci n IP asignada Tabla 7 2 Indicaciones de estado Icono Significado x No hay conexi n con el m dulo o la estaci n participante Existen otras estaciones participantes que no son visualizadas Haga un doble clic en este icono para ver m s estacione
58. n servicio la regla es v lida para todos los servicios Bandwidth Mbit s Posibilidad de ajuste de una limitaci n del ancho de banda Un paquete pasa el firewall si la regla de paso es correcta y si no se ha sobrepasado a n el ancho de banda permitido para esa regla Campo de valores 0 001 100 MBit s Logging Activaci n o desactivaci n del Logging para esta regla Comentario Espacio para explicaci n propia de la regla SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 147 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Direcciones IP en reglas de filtrado de paquetes IP La direcci n IP consta de 4 n meros decimales en el campo de valores de 0 a 255 separados entre s por un punto ejemplo 141 80 0 16 En la regla de filtrado de paquetes tiene las siguientes posibilidades de indicar direcciones IP e ninguna indicaci n No tiene lugar ninguna comprobaci n la regla es v lida para todas las direcciones IP e una direcci n IP La regla es v lida exactamente para la direcci n indicada e Banda de direcciones La regla es v lida para todas las direcciones IP incluidas en la banda de direcciones Una banda de direcciones se define indicando la cantidad de posiciones de bits v lidas en la direcci n IP a saber en la siguiente forma Direcci n IP Cantidad de bits
59. nticos para la comunicaci n de varias subredes protegidas por m dulos SCALANCE S con la red externa Debe tener en cuenta sin embargo que esta configuraci n simplificada puede conducir a resultados no deseados en caso de una asignaci n incorrecta de los m dulos Por ello deber a comprobar siempre los resultados de las reglas de Firewall locales espec ficas del m dulo Una asignaci n de reglas efectuada por descuido no se puede reconocer en el marco de la prueba autom tica de la coherencia Las reglas de Firewall globales se utilizan localmente convenios Rigen los siguientes convenios para la creaci n de un bloque global de reglas de Firewall as como para la asignaci n a un m dulo e Vista en la Security Configuration Tool Las reglas de Firewall globales s lo se pueden crear en el ajuste del Advanced Mode e Prioridad Reglas definidas localmente tienen como est ndar una mayor prioridad que las reglas globales por ello nuevas reglas globales asignadas se agregan primero al final de la lista de reglas locales La prioridad se puede modificar cambiando el emplazamiento en la lista de reglas SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 143 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode e Granularidad Las reglas de Firewall globales s lo se pueden asignar a un m dulo como bloque de reglas completo
60. reglas por SCALANCE S Las reglas de filtrado de paquetes son analizadas por SCALANCE S de la siguiente forma e La lista se analiza de arriba hacia abajo en caso de reglas contradictorias vale por lo tanto siempre la entrada de m s arriba e Enel caso de reglas para comunicaci n entre la red interna y la externa es v lida la regla siguiente est n bloqueados todos los telegramas excepto los permitidos expl citamente en la lista e Enel caso de reglas para comunicaci n entre red interna y t nel IPsec es v lida la regla siguiente est n permitidos todos los telegramas excepto los bloqueados expl citamente en la lista Ejemplo iia odo Je 59 VPN 5 Routing Modus E DHCP Server E Network Bl Firewall Settings E SSL Certificate Time Synchronization SA Loona S Nodes IP Rules MAC Rules Action Direction Source IP Destination IP Service Bandwidth M L Comment Allow Internal gt External ServiceX1 Allow External gt Internal 196 65 254 2 197 54 199 4 ServiceX2 Drop Tunnel gt Internal ServiceX1 Expand Rulesets Collapse Rulesets Add Rule Remove Rule t IP Service Definitions OK Cancel Help Las reglas de filtrado de paquetes representadas a modo de ejemplo en el cuadro de di logo anterior tienen como consecuencia el siguiente comportamiento SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 149 Firewall Router y otras propiedades del m
61. servicio 02 2011 C79000 G8978 C196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S6 72 5613 6 4 Configuraci n de t nel en el Advanced Mode Tabla 6 3 Par metros de protocolo IPsec grupo de par metros Advanced Settings Phase 2 en el di logo Par metros Valores selecci n Comentario SA Lifetype e Time Phase 2 Security Association SA SA Lifetype e Limitaci n de tiempo min default 2880 Se limita el tiempo de vida til para el material de codificaci n actual Una vez transcurrido ese tiempo se negocia de nuevo el material de codificaci n e Limit e Volumen de datos limitado mByte Default 4000 SA Life Valor num rico Time gt min Limit gt mByte SA Life Rango de valores Time 1440 16 666 666 Rango de valores Limit 2000 500 000 Phase 2 Encryption e 3DES 168 Algoritmo de codificaci n Phase 2 Encryption e DES e DES triple especial longitud de c digo 168 bit modo AES 128 CBC e Data Encryption Standard longitud de c digo 56 bit modo CBC e Advanced Encryption Standard longitud de c digo 128 bit modo CBC Phase 2 Authentication e MD5 Algoritmo de autenticaci n Phase 2 Authentication e SHA1 e Message Digest Version 5 e Secure Hash Algorithm 1 Perfect Forward Secrecy e On Antes de cada negociaci n de una IPsec SA tiene lugr una e Off nueva negociaci n de la clave con ayuda del procedimiento Diffie Hellman 6 4 2 Inclusi n del SCALANCE
62. servicio 02 2011 C79000 G8978 C196 07 Historia del documento E E 1 Historia del documento Esto era nuevo en la edici n 02 de este manual e Nuevo m dulo SCALANCE S602 Con SCALANCE S602 se dispone de otro m dulo en la gama de funcionalidades de seguridad escalables SCALANCE S602 protege con Stateful Inspection Firewall NAT NAPT Routing DHCP Server y Syslog Esto era nuevo en la edici n 03 de este manual e Modo Routing en SCALANCE S612 S613 Los m dulos SCALANCE S612 y S613 est n disponibles con funcionalidades ampliadas ahora se da soporte adicionalmente a NAT NAPT Routing DHCP Server y Syslog e Security Configuration Tool V2 1 Con la nueva versi n de la herramienta de configuraci n puede configurar los m dulos S612 S613 con sus nuevas funciones e Datos de configuraci n para MD 740 1 Para configurar un MD 740 1 externo puede crear datos de configuraci n con la nueva versi n de la Security Configuration Tool Esto era nuevo en la edici n 04 de este manual No se ha publicado la versi n SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 245 Historia del documento E 1 Historia del documento Esto era novedad en la edici n 05 de este manual En esta edici n se han considerado entre otras cosas las siguientes nuevas funciones e Security Configuration Tool V2 2 Se puede configurar un SOFTNET Security Client junto con un SCALANCE S en el mod
63. sicamente antes de la configuraci n se puede realizar primero offline la configuraci n completa carg ndola a continuaci n Para la primera configuraci n ajustes de f brica debe utilizar para el direccionamiento la direcci n MAC impresa sobre el equipo Seg n la aplicaci n al realizar la puesta en servicio se carga la configuraci n en uno o en varios m dulos simult neamente SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 31 Propiedades del producto y pues a en servicio 2 3 Puesta en servicio Offline Datos de configuraci n Comando de men Transfer gt To Module SCALANCE S SCALANCE S Hub Switch Figura 2 6 Gr fica general Puesta en servicio Configuraci n de f brica Con la configuraci n de f brica estado a la entrega o tras reposici n a la configuraci n de f brica el SCALANCE S presenta el siguiente comportamiento tras conectar la tensi n de alimentaci n e No es posible la comunicaci n IP ya que faltan los ajustes IP en especial el SCALANCE S no tiene todav a direcci n IP En cuanto se ha asignado al m dulo SCALANCE S una direcci n IP v lida por configuraci n se puede acceder tambi n al m dulo a trav s de Router entonces es posible la comunicaci n IP e El equipo tiene una direcci n MAC preajustada fija la direcci n MAC est empresa en el equipo y se tiene que introducir para la config
64. sin embargo cada m dulo SCALANCE S por separado 4 Contin e con el siguiente paso Configurar y cargar 2 3 2 Paso 2 Configurar y cargar A continuaci n se describe c mo se configura el m dulo SCALANCE S partiendo de los ajustes de f brica Proceda del siguiente modo 1 Inicie la herramienta de configuraci n Security Configuration Tool adjuntada 2 Seleccione el comando de men Project New Se le pide que introduzca un nombre de usuario y una contrase a Al usuario que usted entra aqu se le asigna el papel de un administrador 3 Introduzca un nombre de usuario y una contrase a y confirme la entrada con esto crea un nuevo proyecto 4 Aparece autom ticamente el di logo Seleccionar un m dulo o configuraci n de software Configure ahora su tipo de producto el m dulo y la versi n de firmware SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 33 Propiedades del producto y pues a en servicio 2 3 Puesta en servicio 5 Introduzca en el campo de la Direcci n MAC en el rea de Configuraci n la direcci n MAC impresa en la carcasa del m dulo en el formato especificado Podr encontrar esta direcci n en la p gina principal del m dulo SCALANCE S v ase la figura Introduzca la direcci n IP externa y la m scara de subred externa en el rea Configuraci n dentro de los campos previstos para ello y confirme el di logo con OK De ah
65. 00 G8978 C196 07 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos Comando de men Significado observaciones Shortcut Pruebas de coherencia Comprobaci n de la coherencia de todo el proyecto Se presenta Check Consistency una lista de resultados Help Contenido Ayuda para las funciones y los par metros que encontrar en la Ctri Shift F1 Security Configuration Tool ndice alfab tico Ayuda para las funciones y los par metros que encontrar en la Ctri Shift F2 Security Configuration Tool Info Informaci n sobre la versi n de la Security Configuration Tool 4 4 Administraci n de proyectos 4 4 1 Resumen Proyecto SCALANCE S En la Security Configuration Tool un proyecto abarca todas las informaciones de configuraci n y administraci n para uno o varios equipos SCALANCE S SOFTNET Security Client y MD74x Para cada equipo SCALANCE S cada SOFTNET Security Client y cada MD74x se crea un m dulo en el proyecto a Ly Security Configuration Too Configurationl Ll o fE Project Edit Insert Transfer View Options Help osla lel 3 del 7 2a O Number_ Name Type IP Address ext Subnet Mask ext IP Address int Subnet Mask int_ Default Router MAC Address Comment EN Module1 192 168 10 1 2 5 0 172 10 10 1 255 255 0 0 D y 32 Module 192 168 10 2 573 Module3 Fa Modules 192 168 10 3 y ModuleS 192 168 104 172 10 104 55 Ready Cur
66. 00 G8978 C196 07 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging 59 VPN F Routing Modus KE DHCP Server E Network BM Firewall Settinos El SSL Cerificate B Time Synchronization MA Loong 5 Nodes aa rro Internal gt External Allow External gt Internal 192 65 254 2 197 54 199 4 Drop Tunnel gt Internal SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 233 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging SCALANCE S y SOFTNET Security Client 234 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Consejos y ayuda A A 1 El m dulo SCALANCE S no se inicializa correctamente Si el indicador Fault del m dulo SCALANCE S brilla con luz roja tras la inicializaci n del m dulo deber a reponer en un principio el m dulo por completo al estado inicial Presione el pulsador Reset hasta que el indicador Fault comience a parpadear con luz amarilla roja El m dulo se ha repuesto entonces a la configuraci n de f brica Para el funcionamiento productivo tiene que cargar a continuaci n de nuevo la configuraci n en el m dulo Si el indicador Fault del m dulo SCALANCE S sigue encendido sin embargo con luz roja el m dulo s lo podr ser reparado en f brica A 2 M dulo SCALANCE S no accesible Si no se puede acceder al m dulo SCALANCE S compruebe u observe los siguientes puntos e
67. 00 G8978 C196 07 201 SOFTNET Security Client S612 5613 7 1 Uso de SOFTNET Security Client producci n Equipo de control de la ENT Workstation Exportaci n de la configuraci n para SOFTNET Security Client mediante soporte de datos SOFTNET Security Client SCALANCE S IE PB Link ET 200X HMI C lula de automatizaci n C lula de automatizaci n Comunicaci n autom tica a trav s de VPN Manejo Sc 202 Importante para su aplicaci n es que el SOFTNET Security Client reconozca por s mismo cu ndo se produce un acceso a la direcci n IP de una estaci n participante en la VPN La estaci n se direcciona simplemente a trav s de la direcci n IP como si se encontrara en la subred local en la que est conectado tambi n el PC PG provisto de la aplicaci n ATENCI N Tenga en cuenta que a trav s del t nel IPSec s lo puede tener lugar comunicaci n basada en IP entre SOFTNET Security Client y SCALANCE S El software de PC SOFTNET Security Client posee una superficie de operaci n de f cil manejo para configuraci n de las propiedades de Security necesarias para la comunicaci n con equipos protegidos por SCALANCE S Tras la configuraci n el SOFTNET Security Client funciona en segundo plano siendo esto visible por un icono en el SYSTRAY del PG PC SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 SOFTNET Securi
68. 011 C79000 G8978 C196 07 Pr logo mbito de validez de este manual El presente manual es v lido para los siguientes equipos y componentes Destinatarios SIMATIC NET SCALANCE S602 6GK5 602 0BA00 2AA3 con versi n de FW a partir de V2 3 SIMATIC NET SCALANCE S612 V2 6GK5 612 0BA00 2AA3 con versi n de FW a partir de V2 3 SIMATIC NET SCALANCE S613 V2 6GK5 613 0BA00 2AA3 con versi n de FW a partir de V2 3 SIMATIC NET SOFTNET Security Client 6GK1 704 1VWO0O2 0AAO a partir de la versi n 2008 Security Configuration Tool versi n V2 3 Este manual est dirigido a personas encargadas de la puesta en servicio del Security Module SCALANCE S as como del SOFTNET Security Client en una red Documentaci n complementaria En el manual SIMATIC NET Industrial Ethernet Redes Twisted Pair y Fiber Optic se hace referencia a otros productos SIMATIC NET que se pueden utilizar junto con el Security Module SCALANCE S en una red Industrial Ethernet Este manual de red se puede obtener en forma electr nica del Customer Support en Internet descarg ndolo de la siguiente direcci n http support automation siemens com WW view es 1172207 http support automation siemens com WW view de 1172207 Normas y homologaciones El equipo SCALANCE S cumple los requisitos exigidos para ser provisto de la marca CE Encontrar informaci n detallada al respecto en el anexo de este manual de instrucciones S mbolos utilizados en
69. 07 Introducci n y fundamentos 1 2 Uso de SCALANCE S602 Red externa SCALANCE S e Firewall e Router NAT NAPT Router gt me Mall S7 400 S7 300 OP 270 A a interna C lula de automatizaci n A 2 l l l l l interna Operar amp Observar Figura 1 2 Configuraci n de red con SCALANCE S602 Funciones de seguridad e Firewall P Firewall con Stateful Packet Inspection Firewall tambi n para telegramas Ethernet Non IP seg n IEEE 802 3 telegramas Layer 2 no es v lido para S602 si se utiliza el modo Router Limitaci n del ancho de banda Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su firewall e Modo Router Utilizando SCALANCE S como router desacopla la red interna de la red externa La red interna conectada por el SCALANCE S se convierte as en una subred propia el SCALANCE S se tiene que direccionar como Router expl citamente a trav s de su direcci n IP e Protecci n para equipos y segmentos de red La funci n de protecci n de Firewall se puede extender al uso de equipos concretos de varios equipos o tambi n de segmentos de red enteros e Ausencia de retroacciones en caso de instalaci n en redes planas modo Bridge Por lo tanto al montar un SCALANCE S602 en una infraestructura de red ya existente no se necesi
70. 0840024A3 CPlug No Firmware Version T02 03 00 02 _03 00 00 01 18 05 2010 Local Time Current Time 6 23 2010 10 39 17 AM Clock Source local Operating time 00 00 42 Configuration Created 6 23 2010 10 33 20 AM Loaded 6 23 2010 10 37 48 AM Name Configuration1 Storage Source Author test File system In use total RAM 153600 3982848 Bytes A Usage in 3 86 Flash 165526 4526320 Bytes E Usagein 1 48 Refresh Ready Advertencia en caso de una configuraci n no actual o de un proyecto distinto Al llamar el di logo online se comprueba si la configuraci n existente actualmente en el m dulo SCALANCE S y la configuraci n del proyecto cargado coinciden Si estas configuraciones difieren se emite un mensaje de advertencia Con esto se se aliza que usted no ha actualizado todav a la configuraci n o bien que utiliza un proyecto equivocado Ajustes online no se almacenan en la configuraci n Los ajustes realizados en el modo online no se almacenan en la configuraci n del m dulo SCALANCE S Tras un rearranque del m dulo act an por ello siempre los ajustes almacenados en la configuraci n SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 223 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging 8 2 Registro de eventos Logging Resumen Se pueden registrar eventos producidos en el SCALANCE S El registro se realiza en reas de memoria b fer loc
71. 1 Conecte el PC1 al puerto 1 del Module 1 4 Encienda los PCs participantes ATENCI N Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCGCE S por lo que no se deben confundir al establecer la conexi n con la red de comunicaci n e Port 1 External Network conector hembra RJ45 superior marca roja rea de red no protegida e Port 2 Internal Network conector hembra RJ45 inferior marca verde red protegida por SCALANCE S Si se permutan los puertos el equipo pierde su funci n de protecci n 3 2 3 Preparar los ajustes de IP de los PCs Los PCs deber an tener los siguientes ajustes de direcci n IP para el test PC Direcci n IP M scara de subred PC1 191 0 0 1 255 255 0 0 PC2 191 0 0 2 255 255 0 0 SCALANCE S y SOFTNET Security Client 52 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall Para ello proceda del siguiente modo en el PC1 y el PC2 1 Abra el panel de control en el respectivo PC con el siguiente comando de men Inicio gt Panel de control 2 Abra el s mbolo Red y centro de autorizaci n y en el men de navegaci n que se encuentra a la izquierda seleccione la opci n Modificar los ajustes del adaptador 3 Active en el di logo Propiedades de la conexi n LAN la casilla de opci n Protocolo Internet versi n 4 TCP
72. 1 PC2 Representa a una estaci n participante en la red interna 2 SCALANCE S Module 1 M dulo SCALANCE S para la red interna 1 SCALANCE S Module 2 M dulo SCALANCE S para la red interna 2 e Red externa conexi n a SCALANCE S Port 1 puerto External Network La red p blica red externa se conecta al puerto External Network Port 1 rojo de un m dulo SCALANCE S PC3 PC con el software de configuraci n Security Configuration Tool Dispositivos componentes necesarios Utilice los siguientes componentes para el montaje e 2 m dulos SCALANCE S opcional uno o dos rieles de perfil de sombrero correspondientemente instalados con material de montaje e 1 2 dispositivos de alimentaci n el ctrica de 24V con conectores de cables y enchufes de bloques de bornes ambos m dulos pueden funcionar tambi n con un dispositivo de alimentaci n el ctrica com n e 1PC en el que est instalada la herramienta de configuraci n Security Configuration Tool e 2 PCs en las redes internas para el test de la configuraci n e 1 hub o switch de red para el establecimiento de conexiones de red con los dos SCALANCE S as como los PCs PGs e los necesarios cables de red cables TP Twisted Pair seg n el est ndar IE FC RJ45 para Industrial Ethernet SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 41 GETTING STARTED 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPs
73. 1 Construcci n del t nel con el SOFTNET Security Client Comprobar funci n de t nel 3 5 2 configurar MD741 1 y la red Procedimiento a seguir 1 Saque primero el aparato MD741 1 de su embalaje y compruebe si est en perfecto estado N Siga la puesta en servicio paso a paso descrita en el manual de sistema MD741 1 hasta llegar al punto en el que deber configurar seg n sus requisitos Utilice para ello PC1 Configuraci n del MD741 v ase el cap tulo Realizar la configuraci n del MD741 1 P gina 96 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 89 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client 3 Establezca las conexiones f sicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto conectores hembra RJ45 Conecte PC1 con el puerto X2 red interna del MD741 1 Conecte PC2 con el DSL Router 4 Ponga en marcha los PCs implicados 3 5 3 Configurar los ajustes de IP de los PCs Los PCs deber an tener los siguientes ajustes de direcci n IP para el test PC Direcci n IP M scara de subred Gateway est ndar PC1 192 168 1 101 255 255 255 0 192 168 1 1 PC2 192 168 2 202 255 255 255 0 192 168 2 1 Como gateway est ndar para PC1 se ha de indicar la direcci n IP que se asigne al m dulo MD741 1 para la interfaz de red interna en la sig
74. 1 a nivel a nivel de local proyecto La asignaci n de un nombre simb lico a una direcci n IP o MAC tiene X que ser inequ voca en ambos sentidos Los nombre simb licos han de ser conformes con DNS 3 Xx Cada l nea de la tabla de s mbolos tiene que contener un solo nombre X simb lico Tiene que estar indicada una direcci n IP una direcci n MAC o ambas No se deben asignar nombres simb licos a las direcciones IP de los X m dulos SCALANCE S Nombre simb licos utilizados en el proyecto para direcciones IP o MAC X tienen que estar incluidos en la tabla de s mbolos Se pueden producir incoherencias si se borran entradas de la tabla de s mbolos y no se eliminan o corrigen correspondientemente en los cuadros de di logo del proyecto Leyenda 1 Observe las explicaciones del cap tulo Pruebas de coherencia 2 La conformidad con DNS seg n RFC1035 comprende las siguientes reglas limitaci n a 255 caracteres en total letras cifras gui n o punto el nombre tiene que comenzar con una letra el nombre s lo puede terminar con una letra o una cifra un componente dentro del nombre es decir una cadena de caracteres entre dos puntos debe tener una longitud m xima de 63 caracteres no se permiten caracteres especiales como di resis par ntesis subrayados espacios etc SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 123 Configuraci n con
75. 109 Datos el ctricos 25 DCP Primary Setup Tool 159 Dead Peer Detection DPD 192 Default Router 133 Derechos de Administrador 38 DHCP Nombres simb licos Symbolic Names Direcci n MAC 31 36 133 134 en Routing Modus 134 impresa 134 Distribuci n de carga 21 Duraci n de certificados 184 E Equipo de recambio 36 Espionaje de datos 11 14 Estado a la entrega 32 F Firewall 13 15 135 Nombres simb licos Symbolic Names Preajuste 138 Reglas de Firewall 130 Reglas predefinidas 137 Firewall para telegramas Ethernet Non IP 259 ndice alfab tico seg n IEEE 802 3 Funci n MDI MDIX Autocrossing 20 Funciones de aprendizaje 13 194 Funciones de programaci n por aprendizaje 15 Funciones de t nel 179 G gama de temperatura ampliada 18 Grado de protecci n 17 Grupo 183 Grupo de servicios 159 Grupos de servicios 159 H Hardware 17 Homologaciones 17 Homologaciones ver Normas homologaciones 26 Hora local del PC 161 HTTPS SSL 139 ICMP Services 153 IEEE 802 3 130 IKE 186 187 Independencia de protocolo 13 Indicador Fault F 24 Indicador Power L1 L2 24 Indicadores 24 Indicador de error 24 Indicadores de estado de puerto 24 Interfaces TP 19 IP Firewall con Stateful Packet Inspection 130 L Logging Clases de eventos 230 Longitudes de cables 25 Lugar de enchufe del C PLUG 35 M MAC Rules 155 Manipulaci n de datos 11 M sca
76. 602 El software de PC SOFTNET Security Client se configura tambi n con la herramienta de configuraci n Security Configuration Tool esto garantiza una configuraci n coherente que no necesita conocimientos de seguridad especiales Nodos de red internos y externos SCALANCE S612 S613 divide las redes en dos reas e Red interna reas protegidas con los nodos internos Nodos internos son todos aquellos nodos protegidos por un SCALANCE S e Red externa reas no protegidas con los nodos externos Nodos externos son todos los nodos que se encuentran fuera de las reas protegidas ATENCI N Las redes internas se consideran seguras dignas de confianza Conecte un segmento de red interno con los segmentos de red externos s lo a trav s de SCALANCE S No deben existir otras v as de conexi n entre la red interna y la externa 1 2 Uso de SCALANCE S602 Firewall y Router misi n de SCALANCE S602 Por combinaci n de diversas medidas de seguridad como son Firewall y Router NAT NAPT el SCALANCE S602 protege equipos concretos o tambi n c lulas de automatizaci n completas de e Espionaje de datos e Accesos no autorizados SCALANCE S602 hace posible esta protecci n de forma flexible y con un manejo sin complicaciones SCALANCE S602 se configura con la herramienta de configuraci n Security Configuration Tool SCALANCE S y SOFTNET Security Client 14 Instrucciones de servicio 02 2011 C79000 G8978 C196
77. 613 7 5 Configuraci n y edici n de t neles Desactivaci n y activaci n de conexiones seguras ya configuradas Conexiones seguras configuradas se pueden desactivar con el bot n Disable Al hacer clic en el bot n cambia el texto en el bot n a Connect y se reemplaza el icono en la barra de estado Ahora est desactivada internamente la Security Policy en el PC Con un nuevo clic en el bot n se puede anular la modificaci n anterior y vuelven a estar activos los t neles configurados Consola de Log La consola de Logging se encuentra en la parte inferior del cuadro de di logo Tunnel Overview y proporciona informaci n de diagn stico sobre el establecimiento de la conexi n con los m dulos SCALANCE S MD741 1 configurados y estaciones participantes subredes internas Con sellos de fecha y hora se pueden registrar los momentos en que se producen los eventos correspondientes Se visualiza el establecimiento y la disoluci n de una Security Association Igualmente se visualiza el resultado de un ping de test test de accesibilidad relativo a las estaciones configuradas si es negativo Puede usted configurar las salidas que se deben mostrar en el cuadro de di logo Ajustes Bot n Empty list Usted borra las entradas de la consola log de la vista general del t nel Ajustes globales para SOFTNET Security Client Abra el punto de men en el di logo principal del SOFTNET Security Client Options Settings
78. 9 2010 11 06 44 QuickMode Added Security Association From 192 168 2 202 To 88 128 36 54 32 June 29 2010 11 06 44 QuickMode Added Security Association From 192 168 2 202 To 192 168 1 0 24 June 29 2010 11 06 50 MainkMode Added Security Association From 192 168 2 202 To 88 128 36 54 Con esto ha terminado la puesta en servicio de la configuraci n El m dulo MD741 1 y el SOFTNET Security Client han constituidor un t nel de comunicaci n a trav s del cual pueden comunicarse de forma segura los nodos de red de la red interna con PC2 3 5 9 Probar la funci n del t nel prueba Ping C mo se puede probar la funci n configurada La prueba de la funci n se realiza con un comando ping tal como se describe a continuaci n SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 105 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client Como alternativa se pueden utilizar otros programas de comunicaci n para el test de la configuraci n ATENCI N En caso de Windows el cortafuegos Firewall puede estar ajustado como est ndar de manera que no puedan pasar comandos Ping Eventualmente tendr que habilitar los servicios ICMP del tipo Request y Response Secci n de la prueba Resultado 106 Compruebe ahora el funcionamiento de la conexi n de t nel establecida entre PC1 y PC2 del siguiente
79. 9000 G8978 C196 07 239 Informaciones sobre la identificaci n CE Informaciones para fabricantes de m quinas El producto no es una m quina en el sentido de la directiva de la CE sobre m quinas Por esta raz n no existe para este producto declaraci n de conformidad seg n la directiva de la CE sobre m quinas 89 392 CEE Si el producto forma parte del equipamiento de una m quina el fabricante de la m quina lo ha de tener en cuenta en el procedimiento de declaraci n de conformidad SCALANCE S y SOFTNET Security Client 240 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Bibliograf a C nl SIMATIC NET Industrial Twisted Pair and Fiber Optic Netze edici n 05 2001 N m de referencia 6GK1970 1BA10 0AAO alem n 6GK1970 1BA10 DAA1 ingl s 6GK1970 1BA10 0AA2 franc s 6GK1970 1BA10 0AA4 italiano 12 El manual del sistema de m dem GPRS GSM SINAUT MD740 1 est disponible a trav s de http support automation siemens com WW view de 23940893 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 241 Bibliograf a SCALANCE S y SOFTNET Security Client 242 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Esquema acotado Figura D 4 Plantilla para taladrar SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 243 Esquema acotado SCALANCE S y SOFTNET Security Client 244 Instrucciones de
80. ANCE S Montaje en un riel perfil de sombrero DIN 35mm Desmontaje Para retirar el SCALANCE S del riel perfil de sombrero 1 Desmonte primero los cables TP y desenchufe el bloque de bornes para la alimentaci n el ctrica y el contacto de se alizaci n SCALANCE S y SOFTNET Security Client 28 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y puesta en servicio 2 2 Montaje 2 Desenclave con un destornillador el encastre del riel perfil de sombrero en la parte inferior del equipo y separe luego del riel perfil de sombrero la parte de abajo del equipo Figura 2 4 SCALANCE S Desmontaje de un riel perfil de sombrero DIN 35mm SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 29 Propiedades del producto y pues a en servicio 2 2 Montaje 2 2 2 Montaje en riel de perfil Montaje en un riel de perfil SIMATIC S7 300 2 2 3 1 Enganche la gu a de la parte superior de la carcasa del SCALANCE S en el riel de perfil S7 2 Atornille el equipo SCALANCE S en la parte inferior del riel de perfil SIEMENS SIEMENS Simatic 7 A N A E 6ES7 390 1AE80 0AA0 S 058 Figura 2 5 SCALANCE S Montaje en un riel de perfil SIMATIC S7 300 Montaje mural Material de montaje 30 Utilice para la fijaci n por ejemplo a una pared de hormig n e 4 tacos para pared de 6 mm de di metro y 30 mm de longitud e tornillos de
81. C79000 G8978 C196 07 197 Comunicaci n segura en la VPN a trav s de t nel IPsec 8612 5613 6 5 Configuraci n de nodos de red internos Status Date and Time System Log Audt Log Packet Riter Log Communication Status Intemal Nodes Subnet 1D Subnet mask 192 168 1 82 00 0E 2C C4 1C 58 6 5 3 Configuraci n manual de nodos de red Nodos de red no programables Existen en la red interna nodos que no se pueden programar por aprendizaje Estos nodos se tienen que configurar Aqu tiene que activar el Advanced Mode en la Security Configuration Tool Tambi n se tienen que configurar subredes que se encuentren en la red interna del SCALANCE S SCALANCE S y SOFTNET Security Client 198 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S612 5613 6 5 Configuraci n de nodos de red internos Cuadro de di logo ficha El cuadro de di logo en el que se pueden configurar los nodos de red se abre de la siguiente forma e Con el modo seleccionado a trav s del comando Edit Properties ficha Node 5 Module Properties Modulel EDAD 5 VPN 25 Routing Modus 3 DHCP Server B Network tiit Firewall Settings EJ SSL Certificate E Time Synchronization 3 Logging E Nodes Learning V Enable learning internal nodes Internal Subnets Internal IP Nodes Internal MAC Nodes IP MAC 192 168 1 82 00 0E 8C C4 1C 58
82. CALANCE S como Firewall y Router 3 3 1 Resumen En este ejemplo se configura el modo de Router NAT La configuraci n se realiza en la vista de configuraci n Advanced Mode Con la configuraci n aqu presentada consigue que puedan pasar el firewall cortafuegos todos los telegramas enviados desde la subred interna a estaciones PC1 participantes en la red externa Los telegramas se transmiten al exterior con una direcci n IP transformada a la direcci n IP del SCALANCE S as como con un n mero de puerto asignado din micamente Desde la red externa s lo se permite la respuesta a estos telegramas SCALANCE S y SOFTNET Security Client 60 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router Construcci n de la red de test A SCALANCE S Module 1 Red externa l l l l l PC 2 E l l E l MN l l l AAA l L Red interna Firewall e Red interna conexi n a SCALANCE S Port 2 En la estructura de test en la red interna cada nodo de red se realiza por medio de un PC que est conectado al puerto Internal Network Port 2 verde de un m dulo SCALANCE S PC2 Representa a una estaci n participante en la red interna SCALANCE S Module 1 M dulo SCALANCE S para la red interna e Red externa conexi n a SCALANCE S Port 1 La red p blica red externa se conecta al puerto External Network
83. CALANCE S est ahora configurado y se puede comunicar a nivel de IP Este estado es se alizado por el diodo indicador Fault con luz verde 2 4 C PLUG Configuration Plug Aplicaciones El C PLUG es un medio intercambiable para salvaguardia de datos de configuraci n del equipo b sico SCALANCE S De este modo los datos de configuraci n siguen estando disponibles aunque se cambie el equipo b sico Principio de funcionamiento El suministro de energ a corre a cargo del equipo b sico El C PLUG conserva todos los datos de modo permanente a n sin estar conectado a la alimentaci n de corriente Colocaci n en el lugar de enchufe del C PLUG El lugar de enchufe para el C PLUG se encuentra en la parte posterior del equipo Proceda del siguiente modo para colocar el C PLUG 1 Quite la tapa roscada M32 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 35 Propiedades del producto y pues a en servicio 2 4 C PLUG Configuration Plug Funci n 36 2 Introduzca el C PLUG en el compartimento previsto al efecto 3 Cierre a continuaci n el compartimento con la tapa roscada M32 ATENCI N Observe el estado operativo Enchufar y desenchufar el C PLUG nicamente en estado sin tensi n Figura 2 7 Colocar el C PLUG en el equipo y sacar el C PLUG del equipo con ayuda de un destornillador En un C PLUG no escrito estado de f brica se salvan autom ti
84. Cierre los cuadros de di logo con Aceptar y salga del panel de control SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 53 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall 3 2 4 Crear proyecto y m dulo Proceda del siguiente modo 1 Instala e inicie el software de configuraci n Security Configuration Tool en el PC1 2 Cree un nuevo proyecto con el siguiente comando de men Project gt New Se le pide que introduzca un nombre de usuario y una contrase a Al usuario que usted entra aqu se le asigna el papel de un administrador 3 Introduzca un nombre de usuario y una contrase a y confirme la entrada con esto crea un nuevo proyecto Product Type SCALANCE S C SOFTNET Configuration SOFTNET Security Chent MD74x Device C Ss 12 C S13 Project Edit insert Transter View Optio Dsm lel 21410 de 2 Offline View Number Name AB Modules VPN Groups Firmware Release ev cv Configuration Name of Module Module 1 000 2C 00 00 00 MAC Address IP Address ext 192 168 10 1 Subnet Mask ext 255 255 255 0 T Enable Routing IP Adress int Subnet Mask int Short Description Standard Mode Offline 9 I Remember selechon Carcel Hal 4 Aparece autom ticamente el di logo Seleccionar un
85. Client 220 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Funciones online Test Diagn stico y Logging 8 Con fines de comprobaci n y supervisi n se ha dotado el SCALANCE S de funciones de diagn stico y logging Funciones de diagn stico Por esto se entienden diversas funciones del sistema y de estado que se pueden utilizar en el modo online Funciones de logging Se trata al respecto del registro de eventos del sistema y relacionados con la seguridad Los eventos se registran en reas b fer del SCALANCE S o de un servidor La parametrizaci n y la evaluaci n de estas funciones exigen disponer de una conexi n de red para el m dulo SCALANCE S seleccionado Registrar eventos con funciones logging Otras informaciones si P F1 Usted define qu eventos se deben registrar por medio de los ajustes de log para el respectivo m dulo SCALANCE S A su vez puede configurar las siguientes variantes para el registro Local Log Con esta variante se registran los eventos en el b fer local del m dulo SCALANCE S En el di logo online de la Security Configuration Tool puede recurrir entonces a este registro hacerlo visible y archivarlo en la Service Station Syslog de red En el caso de Network Syslog utiliza un servidor Syslog existente en la red ste registra los eventos para el respectivo m dulo SCALANCE S conforme a la configuraci n de los ajustes de log Encontrar informaciones detalladas sobre l
86. Console June 23 2010 11 19 49 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 1 32 June 23 2010 11 19 49 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 101 32 June 23 2010 11 19 49 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 102 32 7 Si constata ahora que no se visualizan en la tabla nodos o estaciones deseados proceda del siguiente modo Emita a trav s de la l nea de comandos un comando PING al nodo deseado Con esto hace que el nodo sea programado por el SCALANCE S y se transmita al SOFTNET Security Client Observaci n Si el cuadro de di logo no est abierto mientras se registra una estaci n se presenta autom ticamente el cuadro de di logo SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 213 SOFTNET Security Client S612 5613 7 5 Configuraci n y edici n de t neles Nota Estaciones y subredes configuradas est ticamente Si al utilizar SCALANCE S612 S613 tiene que configurar estaciones o subredes est ticamente tiene que cargar tambi n de nuevo la configuraci n para un SOFTNET Security Client empleado en el grupo VPN 8 Active las estaciones para las que se indique como estado que no se ha establecido a n ninguna conexi n de t nel Una vez establecida con xito la conexi n puede iniciar su aplicaci n por ejemplo STEP 7 y establecer una conexi
87. D741 1 p12 Nombredelproyecto Grupo1 MD741 1 cer para el MD741 1 al PC1 Cargue ahora los interlocutores del certificado Nombredeporyecto Grupo1 MD741 1 cer y el archivo PKCS 12 Nombredelproyecto Seriedeletras MD741 1 p12 en el m dulo IPSec VPN Certificates Upload remote certificate Upload Remote certificates cer crt pem SSC MD741 1 Group1 SSC PC2 cer Delete Device certificates p12 Name SSC MD741 1 M7C1989G9A54 MD741 1 p12 CA certificate Delete Device certificate Private key SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 97 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client Modo VPN Roadwarrior del MD741 1 Puesto que el SOFTNET Security Client dispone de una direcci n IP din mica se utiliza el modo VPN Roadwarrior del MD741 1 para establecer una conexi n segura e Modo Roadwarrior del MD741 1 Enel modo VPN Roadwarrier el SINAUT MD741 1 puede aceptar conexiones VPN de interlocutores con direcci n desconocida Se pueden aplicar de forma m vil por ejemplo interlocutores que obtengan de forma din mica su direcci n de IP La conexi n VPN debe ser establecida a trav s de los interlocutores Es posible una conexii n VPN en el modo Roadwarrior Las conexiones VPN en el modo est ndar pueden para ello ser operadas en paralelo Procedimiento a seguir 1
88. ED 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE S612 8613 3 Active en el di logo Propiedades de la conexi n LAN la casilla de opci n Protocolo Internet versi n 4 TCP IPv4 y haga clic en el bot n Propiedades 3 LAN Verbindung Properties Networking Connect using EF Intel R PRO 1000 MT Netzwerkverbindung Internet Protocol Version 4 TCP IPv4 Properties 2 a This connection uses the following items General M PROFINET IO RT Protocol V1 0 Y SIMATIC Industrial Ethemet ISO You can get IP settings assigned automatically if your network supports this capability Otherwise you need to ask your network administrator V El vV a PROFINET IO RT Protocol LLDP Bir e apoak sena V Intemet Protocol Version 6 TCP IPv6 CS Intemet Protocol Version 4 TCP 1Pv4 5 z Obtai IP addr tomaticall V Limk Layer Topology Discovery Mapper 1 0 Driver EN EY Y Link Layer Topology Discovery Responder Use the following IP address 4 m i IP address 191 0 0 instal insta Properties Subnet mask 255 255 0 Description Transmission Control Protocol Intemet Protocol The defa wide area network protocol that provides communication Default gateway across diverse interconnected networks Jbtain DNS server address automatically 1 4 Use the following DNS server addresses Preferred DNS server Alternate DNS server Validate se
89. ES 192 Phase 1 Encryption Phase 1 Authentication No es posible MD5 Phase 1 Authentication Fase 1 duraci n SA Rango de valores 1440 2879 s lo SOFTNET Fase 1 duraci n SA Security Client V3 0 SA Lifetype Se tiene que seleccionar id ntico para ambas SA Lifetype fases Phase 2 Encryption No es posible AES 128 Phase 2 Encryption Fase 2 duraci n SA Rango de valores 1440 2879 s lo SOFTNET Fase 2 duraci n SA Security Client V3 0 Phase 2 Authentication No es posible MD5 Phase 2 Authentication SCALANCE S y SOFTNET Security Client 190 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S6 72 5613 6 4 Configuraci n de t nel en el Advanced Mode ATENCI N Los ajustes de los par metros para una configuraci n de SOFTNET Security Client deben corresponder con las propuestas por defecto o Default Proposals de los m dulos SCALANCE S ya que un SOFTNET Security Client se encuentra la mayor a de las veces en una aplicaci n o uso m vil con lo que su recibe su direcci n IP de forma din mica con lo que el SCALANCE S s lo puede admitir una conexi n a trav s de estas Default Proposals o propuestas por defecto Deber ocuparse igualmente de que sus ajustes de Phase 1 correspondan con una de las dos propuestas siguientes para poder construir un t nel con un SCALANCE S Si utiliza otros ajustes en la Security Configuration Tool e
90. FTNET Security Client ATENCI N S lo se puede crear una conexi n de t nel correcta entre MD741 1 y SOFTNET Security Client si se respectan estrictamente los siguientes par metros El uso de par metros diferentes hace que los dos partner de tunneling no establezcan entre s conexi n VPN alguna At ngase por favor siempre a los ajustes indicados en el archivo de texto recibido como se indica a continuaci n Procedimiento de autenticaci n X 509 certificado de interlocutores Fase 1 ISKAMP SA e SAKMP SA encriptaci n 3DES 168 e SAKMP SA Hash SHA 1 e Modo ISAKMP SA Main Mode e SAKMP SA vida segundos 86400 Fase 2 IPSec SA e Encriptaci n IPSec SA 3DES 168 e IPSec SA Hash SHA 1 e PSec SA vida segundos 86400 Grupo DH PFS DH 2 1024 SCALANCE S y SOFTNET Security Client 100 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client 4 Para poder utilizar la funci n de diagn stico del SOFTNET Security Client para un t nel VPN correctamente establecido en conexi n con el MD741 1 deber admitir un Ping de la red externa del MD741 1 Navege para ello por el directorio Security gt Advanced Ponga la funci n ICMP de externa a MD741 1 en el valor Permitir ping y guarde el cambio Para ello deber observar lo que se expresa en el siguiente gr fico Nota Si no autor
91. IPv4 y haga clic en el bot n Propiedades This connection uses the following items v PROFINET IO RT Protocol V1 0 v SIMATIC Industrial Ethemet ISO 3 ds P li P 7 ou can get IP settings assigned automatically if your network supports vI PROFINET IO RT Pmtocal LDP this capability Otherwise you need to ask your network administrator v Intemet Protocol Version 6 TCP IPv6 for the appropriate IP settings INS Intemet Protocol Version 4 TCP IPv4 Y Link Layer Topology Discovery Mapper 1 0 Driver gt Obtain an IP address automatically Y une i zi ai al E nt a ce Use the following IP address IP address EN AN EA Install Uninstall i Subnet mask 255 255 0 Description Transmission Control Protocol Intemet Protocol The Default gateway wide area network protocol that provides communicatio across diverse interconnected networks E Obtain DNS server address automatically 9 Use the following DNS server addresses 3 Preferred DNS server Alternate DNS server E Validate settings upon exit 4 Seleccione en el di logo Propiedades del protocolo de Internet versi n 4 TCP IPv4 la casilla de verificaci n Usar la siguiente direcci n IP e introduzca en los campos previstos al efecto los valores correspondientes al PC tomados de la tabla Crear configuraci n IP de los PCS
92. Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Glosario lista de abreviaturas Un procedimiento en el que en un Router se reemplaza por otra una direcci n IP en un telegrama NAT Traversal Se trata de un m todo con el que se permite a los datos IPsec pasar por equipos NAT Nodos de red ISO Nodos de red que no sean aptos para IP pero que se puedan interrogar a trav s de protocolo ISO One Shot Buffer El registro se detiene cuando el b fer est lleno Organizationally Unique Identifier Designa los tres primeros bytes de la direcci n MAC identificaci n del fabricante OUI Organizationally Unique Identifier Cifra de 24 bits que es asignada a empresas por la IEEE Registration Authority Las empresas usan la OUI para diversos productos de hardware entre otras cosas como los primeros 24 bits de la direcci n MAC PAP Password Authentication Protocol Protocolo de autenticaci n de contrase a PEM Privacy Enhanced Mail Es un est ndar para la encriptaci n de e mails en Internet Perfect Forward Secrecy Perfect Forward Secrecy Asegura que nuevas negociaciones de claves no est n en conexi n con claves anteriores La desactivaci n de esta opci n hace posible una codificaci n m s r pida pero menos segura SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 253 Glosario lista de abreviaturas PGP Ping PKCS PKI PoP PPP PPTP
93. LANCE S Utilice para ello el comando Options Network Adapter e Estado operativo Configuraciones se pueden cargar durante el funcionamiento normal de los equipos SCALANCE S Tras el proceso de carga tiene lugar autom ticamente un rearranque de los equipos Despu s de la carga se puede producir una breve interrupci n de la comunicaci n entre la red interna y la externa ATENCI N Peculiaridades de la primera configuraci n Mientras en un m dulo no se hayan ajustado par metros IP es decir antes de la primera configuraci n no se debe encontrar ning n router o SCALANCE S entre el m dulo y el ordenador de configuraci n ATENCI N Cambio de la conexi n de PC Si se pasa un PC del puerto interno al externo del SCALANCE S los accesos de este PC al SCALANCE S se bloquean durante un plazo de 10 minutos aproximadamente funci n de seguridad para proteger de ARP Cache Spoofing ATENCI N El proyecto tiene que ser coherente S lo se pueden cargar datos de proyecto si el proyecto es coherente en su conjunto En caso de incoherencia se muestra una lista de pruebas detallada SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 125 Configuraci n con Security Configuration Tool 4 6 Datos de configuraci n para MD 740 MD 741 Transmisi n segura Los datos se transmiten con un protocolo seguro Procedimiento a seguir
94. LANCE S y SOFTNET Security Client 200 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 SOFTNET Security Client S612 5613 T Con el software de PC SOFTNET Security Client son posibles accesos remotos del PC PG a equipos de automatizaci n protegidos por SCALANCE S m s all de los l mites de redes p blicas Este cap tulo describe c mo se realiza la configuraci n del SOFTNET Security Client en la Security Configuration Tool y c mo se pone a continuaci n en servicio en el PC PG Otras informaciones La ayuda online del SOFTNET Security Client le proporcionar tambi n informaci n detallada sobre los di logos y los par metros ajustables Puede acceder a esta ayuda con la tecla F1 o con el bot n en el respectivo cuadro de di logo Consulte tambi n Comunicaci n segura en la VPN a trav s de t nel IPsec S6 12 5613 P gina 179 7 1 Uso de SOFTNET Security Client Campo de aplicaci n acceso a trav s de VPN Mediante el SOFTNET Security Client se configura autom ticamente un PC PG de manera que pueda establecer con uno o varios SCALANCE S una comunicaci n t nel IPsec protegida en la VPN Virtual Private Network Aplicaciones de PG PC como por ejemplo Diagn stico NCM o STEP7 pueden acceder as a trav s de una conexi n t nel protegida a equipos o redes que se encuentren en una red interna protegida por SCALANCE S SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C790
95. Name Type IP Addressext SubnetMaskext_ IP Address int_ Subnet Maskint_ Default Router MAC Address Comment g Module 1 612 V2 192 168 10 1 255 255 255 0 00 0E 8C 00 00 00 32 Module2 S612V2 192 168 10 2 255 255 255 0 00 0E 80 00 00 01 3 Module3 SOFTNE 4 Module4 S612V2 192 168 103 255 255 255 0 00 0E 8C 00 00 02 5 Module5 S612V2 192 168 104 255 255 255 0 00 0E 8C 00 00 03 Ho Module S612V2 192 168 105 255 255 255 0 00 0E 8C 00 00 04 Ready Current User Admin Role Admin Standard Mode Offline 9 SCALANCE S y SOFTNET Security Client 206 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 SOFTNET Security Client S6 12 5613 7 4 Operaci n de SOFTNET Security Client 2 Asigne el m dulo a los grupos de m dulos en los que el PC PG se deba comunicar a trav s de t neles IPsec pa L3 Security Configuration Tool Configuration gt lo Project Edit inset Transfer View Options Help osm aa HA de a Offline n Num Authentica Group membership until_ Type Comment EN Certicate 6 24 2037 5612 V2 18 2 Certificate 6 8612 V2 Na Certificate SOFTNET Security Cli Ov Ready Current User Admin Role Admin Standard Mode Offline 2 3 Seleccione el SOFTNET Security Client deseado con el bot n derecho del rat n y seleccione a continuaci n el comando de men Transfer gt To Module 4 Seleccione en el cuadro de di logo presentado el lugar donde quiere almacenar el archivo de configura
96. OFTNET Security Client Llamada de SOFTNET Security Client para la configuraci n Abra la superficie de operaci n de SOFTNET Security Client haciendo un doble clic en el icono en SYSTRAY o seleccionando con el bot n derecho del rat n el t pico de men Open SOFTNET Security Client SC About SOFTNET Security Client Select Language Show SOFTNET Security Client Shut down SOFTNET Security Client File Options Help Communication options Load Configuration Tunnel Overview Minimize Help About A trav s de los botones se accede a las siguientes funciones Import the configuration Control the tunnels File Options Help Load Configuration Tunnel Overview Disable Minimize About SCALANCE S y SOFTNET Security Client 208 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 SOFTNET Security Client S6 12 5613 7 4 Operaci n de SOFTNET Security Client Bot n Load Configuration Data Cargar por lectura datos de configuraci n Significado Importar la configuraci n Con esto se abre un cuadro de di logo para la selecci n de un archivo de configuraci n Tras cerrar el cuadro de di logo se carga por lectura la configuraci n y se pregunta por una contrase a para cada archivo de configuraci n En el cuadro de di logo se pregunta si el t nel se debe establecer inmediatamente para todos los SCALANCE S Si en la configuraci n est n registradas direcciones IP de SCALANCE S o s
97. OFTNET Security Client 38 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 R pidamente a la meta con GETTING STARTED Por medio de una red de test simple aprender aqu el manejo del SCALANCE S y de la herramienta de configuraci n Security Configuration Tool Ver c mo se pueden implementar ya en la red las funciones de protecci n de SCALANCE S sin grandes trabajos de configuraci n Puede implementar al respecto en diferentes ejemplos de seguridad las funciones fundamentales de SCALANCE S SOFTNET Security Client e Con SCALANCE S612 8613 Configuraci n de una VPN con SCALANCE S como puntos finales de un t nel IPsec Configuraci n de una VPN con SCALANCE S y SOFTNET Security Client como puntos finales de un t nel IPsec e Con todos los m dulos SCALANCE S Configuraci n de SCALANCE S como Firewall Configuraci n de SCALANCE S como Router NAT NAPT y Firewall e Con SOFTNET Security Client Configuraci n de una VPN con SCALANCE S y SOFTNET Security Client como puntos finales de un t nel IPsec Configuraci n de una VPN con MD741 1 y SOFTNET Security Client como puntos finales de un t nel IPsec Si desea saber m s Encontrar m s informaciones en los cap tulos siguientes de este manual En ellos se explican con detalle todas las funciones Nota Los ajustes de IP utilizados en los ejemplos se han elegido libremente y funcionan sin conflictos en la red de test aislada
98. OFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 121 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos Symbolic Names en E Please feed a name for the device and additionally at least an IP Address or a MAC Address in each line You may also feed an IP Address and a MAC Address Name IP Address MAC Address SPS1 192 168 56 2 SPS2 D0 0E 8C 01 23 45 SPS3 192 168 56 3 00 0E 8C 66 77 88 Test 192 168 10 1 SPS4 192 168 56 4 dstiP 192 168 56 5 GloblPsrc 192 168 56 6 GloblPdst 192 168 56 7 srclP 192 168 56 8 Add Remove ok Cancel Help Proceda del siguiente modo para realizar entradas en la tabla de s mbolos 122 e Nuevas entradas 1 Pulse el bot n Add para a adir un nuevo nombre simb lico en la siguiente l nea libre de la tabla 2 Introduzca el nombre simb lico conforme a DNS 1 3 Complete la entrada con la direcci n IP o MAC Tambi n puede introducir ambas direcciones Leyenda 1 La conformidad con DNS seg n RFC1035 comprende las siguientes reglas limitaci n a 255 caracteres en total letras cifras gui n o punto el nombre tiene que comenzar con una letra el nombre s lo puede terminar con una letra o una cifra un componente dentro del nombre es decir una cadena de caracteres entre dos puntos debe tener una longitud m xima de 63 caracteres no se permiten caracteres especi
99. P Service Definitions o 0 eee IP Services ICMP Service Groups Group Management Name Type Code IcmpO Echo Reply No Code Icmp1 Echo Reply y No Code y Destination Unreachable Source Quench Redirect Alternate Host Address Echo Request Router Advertisement Router Solicitation Time Exceeded Parameter Problem Timestamp Request Timestamp Reply Information Request Information Reply Address Mask Request Address Mask Reply Traceroute Conversion Error Mobile Host Redirect LA PE Wlhere Are You IPv6 l Am Here Mobile Registration Request Mobile Registration Reply SKIP Photuris Par metros para servicios ICMP Los servicios ICMP se definen a trav s de los siguientes par metros Tabla 5 5 Servicios ICMP Par metros Denominaci n Significado comentario Posibilidades de selecci n campos de valores Name Nombre de libre definici n para el servicio se utiliza para la Entrada libre identificaci n en la definici n de reglas o en el agrupamiento Type Tipo del mensaje ICMP e ver representaci n del cuadro de di logo Code C digos del tipo ICMP Los valores dependen del tipo seleccionado SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 153 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode 5 4 7 Ajustar reglas para filtra
100. P54 seg n EN 60529 ADVERTENCIA EL EQUIPO S LO SE DEBE CONECTAR A DESCONECTAR DE LA ALIMENTACI N EL CTRICA SI SE PUEDE EXCLUIR CON TODA SEGURIDAD LA EXISTENCIA DE UN RIESGO DE EXPLOSI N Tipos de montaje El SCALANCE S permite varias formas de montaje e Montaje en riel perfil de sombrero DIN de 35 mm e Montaje en un riel de perfil SIMATIC S7 300 e Montaje mural Nota Para la instalaci n y el uso tenga en cuenta las directivas de montaje y las consignas de seguridad que aparecen en esta descripci n as como en el manual SIMATIC NET Industrial Ethernet Redes Twisted Pair y Fiber Optic 1 ATENCI N Se recomienda proteger el equipo de los rayos solares directos con un objeto dispensador de sombra apropiado Esto evita un calentamiento no deseado del equipo y evita un envejecimiento prematuro tanto del equipo como del cableado SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 27 Propiedades del producto y pues a en servicio 2 2 Montaje 2 2 1 Montaje en riel perfil de sombrero Montaje Monte el SCALANCE S sobre un riel de perfil de sombrero de 35 mm seg n DIN EN 50022 1 Enganche la gu a de fijaci n superior del equipo en el riel perfil de sombrero y presi nela hacia abajo contra dicho riel hasta que se encastre 2 Monte los cables de conexi n el ctrica y el bloque de bornes para el contacto de se alizaci n Figura 2 3 SCAL
101. RO 1000 MT Netzwerkverbindung Configure Interet Protocol Version 4 TCP 1Pv4 Properties This connection uses the following items General Y PROFINET IO RT Protocol V1 0 Z a SIMATIC Industrial Ethemet ISO You can get IP settings assigned automatically if your network supports this capability Otherwise you need to ask your network administrator Y PROFINET IO RT Protocol LLDP for the appropriate IP settings MV Intemet Protocol Version 6 TCP IPv6 MIA Intemet Protocol Version 4 TCP IPv4 M Limk Layer Topology Discovery Mapper 1 0 Driver M Link Layer Topology Discovery Responder 4 Obtain an IP address automatically Use the following IP address T IP address 192 168 10 100 C nta TEE Properties Subnet mask 255 255 255 0 Description V Default gateway 192 168 10 1 Transmission Control Protocol Intemet Protocol The default T wide area network protocol that provides communication Obtain DNS s de server address automatically across diverse interconnected networks f Use the following DNS server addresses Preferred DNS server Alternate DNS server Validate settings upon exit 4 Seleccione en el di logo Propiedades del protocolo de Internet versi n 4 TCP IPv4 la casilla de verificaci n Usar la siguiente direcci n IP e introduzca en los campos previstos al efecto los valores correspondientes al PC tomados de la tabla Crear configuraci n IP
102. S en un grupo configurado Las propiedades de grupo configuradas se adoptan para SCALANCE S nuevos que se incluyen en un grupo existente Procedimiento a seguir Dependiendo de que las propiedades de grupo se hayan modificado o no se tiene que prodecer de forma distinta e Caso a No se han modificado las propiedades del grupo 1 Agregue los nuevos SCALANCE S al grupo 2 Cargue la configuraci n en los nuevos m dulos e Caso b Se han modificado las propiedades del grupo 1 Agregue los nuevos SCALANCE S al grupo 2 Cargue la configuraci n en todos los m dulos pertenecientes al grupo SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 189 Comunicaci n segura en la VPN a trav s de t nel IPsec S672 5613 6 4 Configuraci n de t nel en el Advanced Mode Ventaja No es necesario configurar de nuevo ni cargar SCALANCE S ya existentes puestos en servicio No resulta ninguna influenciaci n ni interrupci n de la comunicaci n en curso 6 4 3 SOFTNET Security Client Ajustes compatibles para SOFTNET Security Client Tenga en cuenta las siguientes peculiaridades si incorpora al grupo configurado m dulos del tipo SOFTNET Security Client Par metros Ajuste peculiaridad Phase 1 DH Group DH Group 1 y 5 s lo se puede utilizar para la Phase 1 DH Group comunicaci n entre los m dulos SCALANCE S Phase 1 Encryption No son posibles DES AES 128 ni A
103. SIEMENS SIMATIC NET SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Pr logo Introducci n y fundamentos Propiedades del producto y puesta en servicio GETTING STARTED Configuraci n con Security Configuration Tool Firewall Router y otras propiedades del m dulo 0O A O IN Comunicaci n segura en la VPN a trav s de t nel IPsec 8612 8613 O SOFTNET Security Client 8612 8613 Funciones online Test Diagn stico y Logging Consejos y ayuda Informaciones sobre la identificaci n CE Bibliograf a Esquema acotado Historia del documento M o O U gt O IN Notas jur dicas Filosof a en la se alizaci n de advertencias y peligros Este manual contiene las informaciones necesarias para la seguridad personal as como para la prevenci n de da os materiales Las informaciones para su seguridad personal est n resaltadas con un tri ngulo de advertencia las informaciones para evitar nicamente da os materiales no llevan dicho tri ngulo De acuerdo al grado de peligro las consignas se representan de mayor a menor peligro como sigue NPELIGRO Significa que si no se adoptan las medidas preventivas adecuadas se producir la muerte o bien lesiones corporales graves NADVERTENCIA Significa que si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien
104. Tras conectar la tensi n de servicio brilla el diodo Fault F con luz amarilla SCALANCE S y SOFTNET Security Client 62 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router N ADVERTENCIA El equipo SCALANCE S est previsto para funcionar con baja tensi n de seguridad En consecuencia a las conexiones de alimentaci n s lo se deben conectar bajas tensiones de seguridad SELV seg n 1EC950 EN60950 VDE0805 La fuente de alimentaci n utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 gama de tensi n 18 32 V consumo de corriente aprox 250 mA Para el montaje y la conexi n de los m dulos SCALANCE S tenga en cuenta el cap tulo 2 Propiedades del producto y puesta en servicio 3 Establezca las conexiones f sicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto conectores hembra RJ45 Conecte el PC2 al puerto 2 del Module 1 Conecte el PC1 al puerto 1 del Module 1 4 Encienda los PCs participantes ATENCI N Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCGCE S por lo que no se deben confundir al establecer la conexi n con la red de comunicaci n e Port 1 External Network conector hembra RJ 45 superior marca roja rea de red no protegida e Port 2 Internal Network conector h
105. a activaci n de las conexiones de t nel stas se establecen ahora entre SOFTNET Security Client y los m dulos SCALANCE S Esto puede durar varios segundos SCALANCE S y SOFTNET Security Client 212 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 SOFTNET Security Client S6 12 5613 7 5 Configuraci n y edici n de t neles 6 Abra ahora el cuadro de di logo Tunnel Overview En la tabla que se presenta puede ver los m dulos y las estaciones con informaciones sobre el estado de las conexiones de t neles SOFTNET Security Client Tunnel Overview Eg Tunnel List Status Name IP Address SCALANCE S IP Tunnel over E ih Modulet SCALANCE 192 168 10 1 192 168 10 11 O F Member of Modulel 192 168 10 101 192 168 10 1 192 168 10 11 O 7 Member of Modulel 192 168 10 102 192 168 10 1 192 168 10 11 0 7 Member of Module1 192 168 10 103 192 168 10 1 192 168 10 11 0 7 Member of Modulel 192 168 10 104 192 168 10 1 192 168 10 11 0 7 Member of Module1 192 168 10 105 192 168 10 1 192 168 10 11 7 Member of Modulel 192 168 10 106 192 168 10 1 192 168 10 11 0 7 Member of Module1 192 168 10 107 192 168 10 1 192 168 10 11 0 7 Member of Module1 192 168 10 108 192 168 10 1 192 168 10 11 0 7 Member of Module1 192 168 10 109 192 168 10 1 192 168 10 11 0 7 Member of Module1 192 168 10 110 192 168 10 1 192 168 10 11 V enable active leaming Delete Logging
106. a ati 190 6 4 4 Configurar propiedades VPN espec ficas del m dulo ooooooooccccccccccocococcccccncconnnononcnnnnnnnnnnnn nono 191 6 5 Configuraci n de nodos de red INterMosS oooooconccocccincccconononnoncnnnnnnnnnnnnnnnnnnnnnnnn anar mnnnnnnnnnnnannnnnnn 194 6 5 1 Funcionamiento del modo de aprendizaje cococccccnnnconoccccncncnnnnnononncnnnnnnnnnno nn nnnnnnnnnnnnnnncnnnnn 195 6 5 2 Visualizaci n de los nodos de red internos encontrados cococococccccccccoconononcconcnnnnannononccnnnnnnnnnns 197 6 5 3 Configuraci n manual de nodos de Ted ooocccccccccccccccocccocononononnnnnnnnnnnnnnnnnnnnnnnnnnnn mn nn cnn nn nnnannnnnnns 198 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 9 Contenido mUO0OUuy 10 SOFTNET Security Client 8612 8613 oooooonccconnccinocccioncccnocccnonancnnnccnnnncnnnrn cnn nc cnn cnn 201 7 1 Uso de SOFTNET Security Chente ireo n a E EEE rn 201 7 2 Instalaci n y puesta en servicio del SOFTNET Security Client 204 7 2 1 Instalaci n e inicio de SOFTNET Security CliONt ooonnccccnnnociconncocnnnocannnonnnannnr nano nn r nan rca 204 7 2 2 Desinstalaci n de SOFTNET Security Cli8Nt ooooocccnnnnniccnnoccccnonocnncnnnoncnc nano ncnr nano cnn rnnnn nara 205 7 3 Crear un archivo de configuraci n con la herramienta de configuraci n Security Configuration TOO tirita 205 7 4 Operaci n de SOFTNET Security Client ooooonoccnnnnnccnnnnoccccnnnoncccnanancccnnn
107. a considerar Direcci n 1P 24 significa por consiguiente que s lo los 24 bits de valor m s alto de la direcci n IP se tienen en cuenta en la regla de filtrado se trata de las tres primeras posiciones de la direcci n IP Direcci n IP 25 significa que s lo se tienen en cuenta en la regla de filtrado las tres primeras posiciones y el bit de valor m s alto de la cuarta posici n de la direcci n IP Tabla 5 3 Ejemplos de banda de direcciones IP IP de origen o IP de Banda de direcciones Cantidad de destino direcciones de a 192 168 0 0 16 192 168 0 0 192 168 255 255 65 536 192 168 10 0 24 192 168 10 0 192 168 10 255 256 192 168 10 0 25 192 168 10 0 192 168 10 127 128 192 168 10 0 26 192 168 10 0 192 168 10 63 64 192 168 10 0 27 192 168 10 0 192 168 10 31 32 192 168 10 0 28 192 168 10 0 192 168 10 15 16 192 168 10 0 29 192 168 10 0 192 168 10 7 8 192 168 10 0 30 192 168 10 0 192 168 10 3 4 Nota Tenga en cuenta que los valores de direcci n O y 255 tienen una funci n especial en la direcci n IP 0 representa una direcci n de red 255 representa una direecci n Broadcast Con esto se reduce la cantidad de direcciones realmente disponibles SCALANCE S y SOFTNET Security Client 148 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Orden de la evaluaci n de
108. a que no puedan pasar comandos PING Eventualmente tendr que habilitar los servicios ICMP del tipo Request y Response Compruebe ahora el funcionamiento de la conexi n de t nel establecida entre PC1 y PC2 del siguiente modo 1 En el PC2 llame en la barra de inicio el siguiente comando de men Inicio gt Programas gt Accesorios S mbolo del sistema 2 Entrada del comando Ping de PC2 a PC1 direcci n IP 192 168 0 1 Directamente en la l nea de comandos de la ventana que aparece S mbolo del sistema introduzca en la posici n del cursor el comando ping 192 168 0 1 Aparecer entonces el siguiente mensaje respuesta positiva del PC1 Command Prompt ola En N gt ping 192 168 0 1 inging 192 168 8 1 with 32 bytes of data eply from 192 168 0 1 bytes 32 time lt ms TTL 64 eply from 192 168 0 1 32 time lt ms TTL 64 eply from 192 168 0 1 32 time lt ims TTL 64 eply from 192 168 B 1 32 time lt ims TTL 64 statistics for 192 168 B 1 Sent 4 Received 4 Lost z loss pproximate round trip times in milli seconds Minimum ms Maximum E TS ms gt Cuando los telegramas IP llegan al PC1 la estad stica Ping muestra para 192 168 0 1 lo siguiente e Enviado 4 e Recibido 4 e Perdido 0 0 p rdida Dado que no estaba permitida ninguna otra comunicaci n esto telegramas s lo se pueden haber transportado por el t nel VPN SCALANCE S y SOFTNET Security Client
109. aci n de la conexi n de t nel 3 5 6 Guardar la configuraci n del MD741 1 y del SOFTNET Security Client Procedimiento a seguir 1 Llame el siguiente cuadro de di logo con el comando aqu indicado SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 95 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client Transfer To All Modules Download To All Modules Module Name Status Y SSC PC2 SSC Changed Y MD741 1 MD74 Changed Y Logon as current user Select All l Show only changed modules Deselect All Processing Start Details gt gt Close 2 Inicie el proceso de carga con el bot n Start 3 Guarde el archivo de configuraci n Nombredeproyecto sscPC2 dat en su directorio del proyecto y asigne una contrase a como clave privada del certificado En el directorio del proyecto se guardan los siguientes archivos Projektname SSC PC2 dat Nombredeproyecto Seriedeletras SSC PC2 p12 Nombredelproyecto Grupo1 cer 4 Guarde el archivo de configuraci n Nombredeproyecto MD741 1 txt en su directorio del proyecto y asigne una contrase a como clave privada del certificado En su directorio del proyecto se guardan los siguientes archivos Projektname MD741 1 txt Nombredeproyecto Seriedeletras MD741 1 p12 Nombredeproyecto Grupo1 MD741 1 cer Ha guardado ahora tod
110. aciones participantes en la red subred interna SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 7 Routing Modus Edici n del cuadro de di logo para activaci n del NAT NAPT Routing Mode 1 Marque el m dulo a editar y seleccione el siguiente comando de men Edit gt Properties ficha Routing mode 2 Seg n se requiera active una conversi n de direcciones seg n NAT Network Adress Translation o NAPT Network Address Port Translation 3 Configure la conversi n de direcciones seg n los siguientes datos Campo de entrada NAT Network Adress Translation Aqu rige Direcci n Direcci n IP Tabla 5 8 Opciones NAT Casillas de control Significado NAT active Se activa el campo de entrada para NAT Las conversiones de direcciones NAT s lo pasan a ser efectivas tras seleccionar la opci n descrita a continuaci n y la inscripci n en la lista de conversi n de direcciones Adem s tiene que configurar correspondientemente el firewall vea los ejemplos Allow Internal gt Al seleccionar esta opci n se produce para todos los telegramas que van External for all users de interna a externa una conversi n de la direcci n IP interna en la direcci n IP externa de m dulo y un n mero de puerto asignado adicionalmente por el m dulo Este comportamiento se puede ver en la l nea presentada adicionalmente en
111. ackets Sent 4 Received Lost 4 10 z loss Resultado Los telegramas IP del PC2 no pueden llegar ahora al PC1 ya que no est permitido el tr fico de datos desde la red interna PC2 a la red externa PC1 Esto se indica en la estad stica Ping para 191 0 0 1 del siguiente modo e Enviado 4 e Recibido 0 e Perdido 4 100 p rdida 3 2 8 Registro del tr fico de datos del firewall Logging Como est ndar en el SCALANCE S est activado el registro local de eventos del sistema de Audit y del filtro de paquetes Adem s en el transcurso de este ejemplo ha activado en la configuraci n del firewall las opciones Log para todo el tr fico de datos Por consiguiente puede hacerse mostrar en el modo online los eventos registrados Proceda del siguiente modo 1 Cambie ahora en el PC1 al modo online en la Security Configuration Tool con el siguiente comando de men View Online 2 Seleccione el siguiente comando de men Edit gt Online Diagnostics 3 Seleccione la ficha Packet Filter Log SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 59 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router 4 Accione el bot n Start Reading 5 Confirme el cuadro de di logo presentado con OK Resultado Las entradas Log se leen del SCALANCE S y se presentan aqu 3 3 Ejemplo 3 Firewall y Router Uso del S
112. ados SSL oooonnnniccicnnnnncnnnnnocococnconcnnnnnnnnnnnncnnnnnnnnnn cnn cnn n nan nan nnnnnn nan nannnnnnnnn 163 5 7 ROUND MOUSE 164 5 7 1 ROUINO e cda taa 164 5 7 2 Routing NATINAP Tecer dida 165 5 7 3 Routing NAT NAPT Ejemplos de configuraci n parte 1 ocnnnnnccnnnnanicinnnocccinnnoncccnanorcccnano nn 170 5 7 4 Routing NAT NAPT Ejemplos de configuraci n parte 2 00ocoo nccccnnnnccccnnnocccnnnnorcccnnnorcccnnnn nn 172 5 8 Sendo DACP oiae A A A aa 174 6 Comunicaci n segura en la VPN a trav s de t nel IPsec 8612 8613 ooooocconocccccncooccconooocnconnonnnnnnnno 179 6 1 VPN con SCALANCE Social iii 179 6 2 GTUPOS mirta il tit aa diia EE 183 6 2 1 Crear grupos y asignar M AU OsS ooooococcccnnnococonnnoncccnnnnononnnn nono cnn nano cnn anno cnn nn rra nn 183 6 2 2 Tipos de m dulos dentro de UN grupo occcccccccnnnnonnoncnnnnnnnnnnnononnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnrrnannnmnnn 184 6 3 Configuraci n de t nel en el Standard Mode cooooocccccccccccocoocononccnnccnnnnononcnnnnnnnnnnnn nn nnnnnnnnnnannn manco 185 6 4 Configuraci n de t nel en el Advanced Mode oooooccccnccococccoconoccnonononcnonononcnnnnno nc nrnnnn nan rro rcn ran 186 6 4 1 Configuraci n de propiedades de QrUPO ccoccnconococicoccciconenonnononncnnnnnnnnnnnnnnnnnnnnnnnnn mn nnnnn nan rnannnnnnns 186 6 4 2 Inclusi n del SCALANCE S en Un grupo configurado ooooccccconocccccononcccnonancncnnnanncnnnnancccnnnnnccninns 189 6 4 3 SOFTNET Security Clients tocat
113. adro de di logo online P gina 222 5 3 Firewall Propiedades del m dulo en el Standard Mode 5 3 1 Configurar firewall Protecci n de perturbaciones procedentes de la red externa La funci n Firewall del SCALANCE S tiene la misi n de proteger la red interna de influencias o perturbaciones procedentes de la red externa Esto significa que s lo se permiten determinadas relaciones de comunicaci n previamente definidas entre nodos de la red interna y nodos de la red externa SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 135 Firewall Router y otras propiedades del m dulo 5 3 Firewall Propiedades del m dulo en el Standard Mode Con reglas para filtrado de paquetes se define la liberaci n o la restricci n del tr fico de datos en tr nsito sobre la base de propiedades de los paquetes de datos En SCALANCE S612 S613 el firewall se puede utilizar para el tr fico de datos codificado t nel IPsec y el no codificado En el modo Standard s lo se pueden realizar ajustes para el tr fico de datos no codificado Nota Routing Modus Si ha activado el modo Routing para el m dulo SCALANCE S no tienen aplicaci n las reglas de MAC Cuadro de di logo Marque el m dulo a editar y seleccione el siguiente comando de men para configurar el firewall Edit Properties ficha Firewall 8 Module Properties Modulel eee E Network PE Firewall Settings
114. ajustes predeterminados conforme a lo descrito en el cap tulo Preajuste del Firewall Nota Routing Modus Si ha activado el modo Routing para el m dulo SCALANCE S no tienen aplicaci n las reglas de MAC los di logos est n inactivos SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 141 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Es posible la definici n global y local e Reglas de Firewall globales Una regla global para firewall se puede asignar a varios m dulos a un tiempo Esta posibilidad simplifica en muchos casos la configuraci n e Reglas de Firewall locales Una regla de firewall local est asignada a un m dulo en cada caso Se configura en el di logo de propiedades de un m dulo A un m dulo se le pueden asignar varias reglas de firewall locales y varias reglas de firewall globales La definici n de reglas globales y locales tiene lugar en principio de forma id ntica La descripci n siguiente es v lida pues para los dos m todos citados 5 4 2 Reglas de Firewall globales Aplicaci n Las reglas de firewall globales se configuran fuera de los m dulos a nivel de proyecto An logamente al caso de los m dulos se pueden ver en el rea de navegaci n de la Security Configuration Tool Seleccionando un m dulo configurado y arrastr ndolo a la regla de Firewall global Drag and Dr
115. al le ayuda a poner en servicio el Security Module SCALANCE S602 S612 S613 as como el SOFTNET Security Client Las variantes SCALANCE S602 S612 S613 reciben a partir de ahora la denominaci n SCALANCE S SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 3 Pr logo Nuevo en esta edici n En esta edici n se consideran entre otras cosas las siguientes nuevas funciones e Security Configuration Tool V2 3 Para conseguir un f cil acceso y una mejor visi n de conjunto de los diferentes tipos de m dulos se ha cambiado el concepto de gesti n de la integraci n y el intercambio de m dulos Se puede configurar un SOFTNET Security Client V3 0 junto con un MD741 1 y generar los correspondientes archivos de configuraci n v ase GETTING STARTED Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client P gina 87 En el modo IKE fase 1 se pueden parametrizar los algoritmos de encriptaci n AES 128 AES 192 y AES 256 Adem s de los sistemas operativos Windows XP SP2 y Windows XP SP3 es tambi n compatible el sistema operativo Windows 7 no la versi n Home e SOFTNET Security Client V3 0 Para una mejor visualizaci n y diagn stico de los estados de las conexiones se han implementado nuevos iconos y se ha agregado una vista adicional de diagn stico Diagn stico ampliado Para la consola de log de la vista de t nel se pueden reali
116. ales como di resis par ntesis subrayados espacios etc e Entradas autom ticas Si el nombre simb lico se ha introducido ya en el marco de un servicio encontrar la entrada correspondiente en la tabla de s mbolos 1 Haga clic en el campo de entrada para la direcci n IP o la direcci n MAC 2 Complete la entrada con la direcci n IP o MAC Tambi n puede introducir ambas direcciones Si borra una entrada de la tabla de s mbolos los nombres simb licos utilizados en los servicios siguen existiendo en los mismos En tales casos la prueba de coherencia reconoce nombres simb licos no definidos Esto es v lido tanto para entradas realizadas manualmente como para las generadas de modo autom tico SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos Un consejo Para la tabla de s mbolos aqu descrita es particularmente conveniente la aplicaci n de una prueba de coherencia a nivel de proyecto En base a la lista se pueden detectar y corregir irregularidades Puede impulsar en todo momento una prueba de coherencia para un proyecto abierto a trav s del siguiente comando de men Options gt Check Consistency Prueba de coherencia reglas a considerar Al realizar sus entradas debe tener en cuanta las reglas indicadas a continuaci n Prueba Regla Prueba realizada
117. ales vol tiles o permanentes seg n el tipo de evento Como alternativa puede tener lugar tambi n el registro en un servidor de red Configuraci n en Standard y Advanced Mode Las posibilidades de selecci n en la Security Configuration Tool dependen tambi n para el logging de la vista seleccionada e Standard Mode Local Log est activado como opci n predeterminada en el Standard Mode los eventos de filtro de paquetes se pueden activar globalmente en la ficha Firewall Network Syslog no es posible en esta vista e Advanced Mode Se pueden activar o desactivar directamente todas las funciones de logging los eventos de filtro de paquetes se tienen que activar selectivamente en la ficha Firewall reglas locales o globales M todos de registro y clases de eventos Puede definir en la configuraci n qu datos se deben registrar De este modo activa ya el registro al cargar la configuraci n en el m dulo SCALANCE S Adem s elige en la configuraci n uno de los m todos de registro o ambos e Local Log e Network Syslog El SCALANCE S reconoce para cada m todo de registro los tres tipos de eventos siguientes SCALANCE S y SOFTNET Security Client 224 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging Tabla 8 2 Logging panor mica de eventos seleccionables Funci n ficha en el di logo Funcionamiento online Packet fi
118. amente avalancha de eventos Soluciones e Iniciar el servidor Syslog e Modificar reglas de firewall e Desconectar de la red el ordenador con el servidor Syslog desactivado Conmmutar al Advanced Mode La configuraci n del servidor Syslog puede hacerse en la vista Advanced Mode de la Security Configuration Tool Conmute el modo de funcionamiento con el siguiente comando View gt Advanced Mode Realizar ajustes de logging 228 Marque el m dulo a editar y seleccione el siguiente comando de men Edit Properties ficha Logging El siguiente cuadro de di logo le muestra la configuraci n est ndar para SCALANCE S estando activado el logging para Network Syslog SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging 53 Module Properties Modulel an a VPN E Routing Modus 3 DHCP Server E Network Firewall Settings SSL Certificate Li Time Synchronization A Logging Hay Nodes Local Log Buffers Event Classes to log enable Event Class Ring Buffer One Shot Buffer Log buffer Y Packet Filter Events firewall G c Packet Log a Audit Log V System events Configure G Plr Network Syslog MV Enable logging to Syslog Server Syslog Server Use symbolic names in log Module Hostname Module1 Event Classes to log enable Event Class assign Severity ass
119. ampo de entrada s lo se puede editar si en las propiedades del m dulo se ha activado el modo Router M scara de subred int M scara de subred Asignaci n adecuada para la red Este campo de entrada s lo se puede editar si en las propiedades del m dulo se ha activado el modo Router Default Router Direcci n IP del router en la red externa Asignaci n adecuada para la red Direcci n MAC Direcci n de hardware del m dulo La direcci n MAC est impresa en la carcasa del m dulo e Tenga en cuenta la direcci n MAC adicional en el modo Routing datos a continuaci n de esta tabla SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 133 Firewall Router y otras propiedades del m dulo 5 2 Crear m dulos y ajustar par metros de red Propiedad columna Type Significado Comentario selecci n Tipo de equipo e SCALANCE S602 e SCALANCE S612 V1 e SCALANCE S612 V2 e SCALANCE S613 V1 e SCALANCE S613 V2 e SOFTNET Security Client 2005 e SOFTNET Security Client 2008 e SOFTNET Security Client V3 0 e MD74x Para estos tipos de m dulos no existe ning n di logo de propiedades Para MD 74x se pueden ajustar en la zona del contenido las direcciones IP y las m scaras de subred Comentario Informaci n tecnol gicamente l gica sobre de libre elecci n el m dulo y la subred protegida por el m dulo D
120. an IP address automatically Y 4 m IP address 192 168 0 1 Install asta opertie Subnet mask 255 255 255 0 Description Default gateway 192 168 0 201 Transmission Control Protocol Intemet Protocol The def wide area network protocol that provides communication across diverse interconnected networks Obtain DNS server address automatically Use the following DNS server addresses Preferred DNS server ac Alternate DNS server Validate settings upon exit 4 Seleccione en el di logo Propiedades del protocolo de Internet versi n 4 TCP IPv4 la casilla de verificaci n Usar la siguiente direcci n IP e introduzca en los campos previstos al efecto los valores correspondientes al PC tomados de la tabla Crear configuraci n IP de los PCs Cierre los cuadros de di logo con Aceptar y salga del panel de control SCALANCE S y SOFTNET Security Client 78 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client 3 4 4 Crear proyecto y m dulos Procedimiento a seguir 1 2 Inicie el software de configuraci n Security Configuration Tool en PC2 Cree un nuevo proyecto con el siguiente comando de men Project gt New Se le pide que introduzca un nombre de usuario y una contrase a Al usuario que usted entra aqu se le asigna autom ticamente el papel de un adminis
121. ara esto se adjudica un nombre y se asignan al mismo los par metros de servicio Adem s los servicios as definidos se pueden reunir a su vez en grupos con un nombre de grupo Para la configuraci n de las reglas de filtrado de paquetes globales o locales se utiliza entonces simplemente ese nombre Cuadro de di logo Forma de abrir el cuadro de di logo e Sobre el siguiente comando de men Options gt MAC Service Definition O e Desde la ficha Firewall MAC Rules con el bot n MAC Service Definition 5 Routing Modus 8 DHCP Server E Network BM Firewall Settings E SSL Cerificate E Time Synchronization A Loggng IP Rules MAC Rules Internal gt External SRCMAC3 External gt Internal 00 0E 8C 00 32 06 00 0E 8C 47 8A 08 all SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 157 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Par metros para servicios MAC Una definici n de servicio MAC contiene una categor a de par metros MAC espec ficos del protocolo Tabla 5 7 Par metros de servicios MAC Denominaci n Significado comentario Posibilidades de selecci n campos de valores Name Nombre de libre definici n para el servicio se utiliza para Entrada libre la identificaci n en la definici n de reglas o en el agrupamiento Protocol Nombre del tipo de proto
122. atos de configuraci n ya no es posible acceder al m dulo SCALANCE S con la herramienta de configuraci n La nica posibilidad de volver a tener acceso consiste en borrar los datos de configuraci n y con ello tambi n la clave El borrado se puede activar presionando el pulsador de Reset Despu s de esto se tiene que volver a poner en servicio el m dulo SCALANCE S A 6 Comportamiento operativo general Adaptaci n de la MTU Maximum Transmission Unit La MTU fija el tama o admisible de un paquete de datos para la transmisi n en la red Si esos paquetes de datos son transmitidos entonces por SCALANCE S a trav s del t nel IPsec el paquete de datos original aumenta al agregarle las informaciones de cabecera y eventualmente se tendr que segmentar para continuar su transmisi n Esto depende de las predeterminaciones de la MTU en la red conectada Pero una segmentaci n eventualmente necesaria puede causar p rdidas apreciables de rendimiento o la cancelaci n de la transmisi n de datos Esto se puede evitar adaptando el formato de MTU es decir reduci ndolo de forma que los paquetes de datos que llegan al SCALANCE S se puedan complementar con la informaci n adicional necesaria sin que por ello se requiera una subsiguiente segmentaci n Un tama o razonable est en el intervalo entre 1000 y 1400 Byte SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 237 Consejos y ayuda A 6 Comp
123. atos segura en su red interna e Advanced Mode El Advanced Mode le ofrece posibilidades para configurar de forma espec fica la comunicaci n por t nel Nota Parametrizaci n de MD 740 MD 741 o de otros VPN Clients Para la parametrizaci n de MD 740 MD 741 o de otros VPN Clients se tienen que configurar propiedades VPN espec ficas del m dulo en el modo extendido SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 183 Comunicaci n segura en la VPN a trav s de t nel IPsec 8612 5613 6 2 Grupos Visualizaci n de todos los grupos configurados con sus propiedades Seleccione en el rea de navegaci n All Groups L3 Security Configuration Tool Configuration o aE Project Edit Inset Transfer View Options Help Oea 2181 HAN de Sa Offiine View Group Name Authentication Group membership unt Comment Group Certificate 4 Group2 Certificate Ready Current User Admin Role Admin Standard Mode Offline 9 Se visualizan por columnas las siguientes propiedades de los grupos Tabla 6 1 Propiedades de grupos Propiedad columna Significado Comentario selecci n Group Name Nombre del grupo de libre elecci n Authentication Tipo de autenticaci n e Preshared Key e Certificate Group membership until Duraci n de certificados ver bajo Comment Comentario de libre elecci n Ajustar la duraci n de certificad
124. barra de inicio el siguiente comando de men Inicio gt Programas Accesorios S mbolo del sistema 2 Emita de nuevo el mismo comando ping ping 191 0 0 2 en la ventana del s mbolo del sistema de PC3 Aparecer entonces el siguiente mensaje no hay respuesta del PC2 EX Command Prompt e gt ping 1 1 0 0 2 191 0 0 2 with 32 bytes of data timed out timed out timed out timed out Packets Sent 4 Received Lost 4 100z loss Resultado Los telegramas IP del PC3 no pueden llegar al PC2 ya que no hay configurada ninguna comunicaci n t nel entre estos equipos ni tampoco se permite el tr fico de datos IP normal Esto se indica en la estad stica Ping para 191 0 0 2 del siguiente modo e Enviado 4 e Recibido 0 e Perdido 4 100 p rdida SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 49 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall 3 2 1 Resumen En este ejemplo se configura el firewall en la vista de configuraci n Standard Mode El modo est ndar contiene bloques de reglas definidos para el tr fico de datos Con esta configuraci n se consigue que el tr fico IP s lo pueda ser iniciado por la red interna desde la red externa s lo se permite la respuesta Construcci n de la red de test Ea B SCALANCE S Mod
125. camente todos los datos de configuraci n del SCALANCE S al arrancar el equipo Igualmente se salvan en el C PLUG todas las modificaciones introducidas en la configuraci n durante el funcionamiento del equipo sin que ello requiera una intervenci n del operador Un equipo b sico con C PLUG enchufado utiliza autom ticamente para el arranque los datos de configuraci n disponibles en dicho C PLUG enchufado Condici n para ello es que los datos hayan sido escritos por un tipo de equipo compatible De este modo en caso de aver a se puede sustituir el equipo b sico de forma sencilla y r pida En caso de sustituci n se toma el C PLUG del componente averiado y se enchufa en el componente de recambio Despu s del primer arranque el equipo sustituto tiene autom ticamente la misma configuraci n que el equipo que hab a fallado Nota Datos de configuraci n coherentes Adaptar direcci n MAC Despu s de sustituir el equipo por uno de recambio los datos de configuraci n deber an ser en conjunto coherentes Para ello deber a adaptar en la configuraci n la direcci n MAC a la direcci n MAC impresa en la carcasa del equipo de recambio Si utiliza en el equipo de recambio la C PLUG ya configurado del equipo sustituido esta medida no es sin embargo imprescindible para el arranque y el uso del equipo SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y pues a en s
126. carga que los telegramas de programaci n por aprendizaje suponen para el medio y los nodos Tambi n aumentan en cierta medida las prestaciones del SCALANCE S ya que no est recargado por el procesamiento de los telegramas de programaci n por aprendizaje SCALANCE S y SOFTNET Security Client 196 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S6 12 5613 6 5 Configuraci n de nodos de red internos Observaci n En el modo de aprendizaje se registran todos los nodos de la red interna Los datos relativos a los recursos de la VPN se refieren s lo a los nodos que se comuniquen en la red interna a trav s de VPN ATENCI N Si en la red interna se utilizan m s de 64 para SCALANCE S613 o 32 para SCALANCE S612 nodos internos se sobrepasa con esto la cantidad de recursos admisible y se crea un estado operativo no permitido Debido a la din mica en el tr fico de red ocurre entonces que nodos internos ya programados por aprendizaje son reemplazados por nuevos nodos internos hasta ahora desconocidos 6 5 2 Visualizaci n de los nodos de red internos encontrados Todos los nodos de red encontrados se pueden visualizar en la Security Configuration Tool en el modo Online en la ficha Internal Nodes Llame el siguiente comando de men Edit gt Online Diagnostics SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011
127. cccccnnnnncccccoconccnncnnnnnnnancnnnnnn 17 2 1 2 Volumen de SUMINISTTO iria ia ia te lada 18 2 1 3 Desembalaje y COMproObaci N oooocoooccccnncccncnnnonononncnncnnnnnnnnnnnncnnnnn cnn nnnnnnn nn rn sanan nn nn nn rn nr rnnnnmrn narran 19 2 1 4 Gonexion a Ethernet accion cotiicici iia illa led iaa ibi ica lio dicci n diia ibiab iia 19 2 1 5 Alimentacion electrica tica a dais 20 2 1 6 Gontacto de se aliZaci n iii A dE 21 2 1 7 Pulsador Reset para reponer la configuraci n al ajuste de f briCa ooooonnnniciccnnnnnnininnicoccncnnon 22 2 1 8 AAA ETES EE EEEE E AE A ETE 23 2 1 9 Datos tecnicos a a a a a aa aa a ds 25 2 2 MoOMtAjE erainisueiai isauli a a eha a a a a a ielas 27 2 2 1 Montaje en riel perfil de sombrero oooooccoonocccccconoccccnonononcnanancncnn nono nc nn non ccc nano cnc cnnnn nn cc naar nn nc nnnnnnncnns 28 2 2 2 Montaje en riel de perfil cocinan aai ri id 30 2 2 3 Montaje Mural cti lisa ia iaa did ala iaa Te 30 2 2 4 Puesta a eMac A A ad A A dd A East coi d 31 2 3 Puesta en Se VICO iii iaa ii O ida 31 2 3 1 Paso 1 Conectar el m dulo SCALANCE S ooocccccnccccncnncnncncnccnocncnnnnnnnnnnonnrnnnnnnnanonnnnnrrnnencnenonnznnns 33 2 3 2 Faso a Configurar y CMI id a 33 2 4 C PLUG ConfiguratiOn PlUY eens aa cnn nac aAA rca 35 2 5 BEEE Aaa EE E AEE EPEE A EEE 38 3 GETTING STARTED ocu 39 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE 8612 8613 ooociiicccicicccncno 40 3 1 1 Resumen daa da io io td 40
128. cciones de servicio 02 2011 C79000 G8978 C 196 07 129 Firewall Router y otras propiedades del m dulo 5 1 Vista general principios 5 1 5 1 1 Significado Vista general principios SCALANCE S como firewall La funci n Firewall del SCALANCE S tiene la misi n de proteger la red interna de influencias o perturbaciones procedentes de la red externa Esto significa que dependiendo de la configuraci n s lo se permiten determinadas relaciones de comunicaci n previamente definidas entre nodos de la red interna y nodos de la red externa Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su firewall Las funciones de Firewall se pueden configurar para los siguientes niveles de protocolo e P Firewall con Stateful Packet Inspection e Firewall tambi n para telegramas Ethernet Non IP seg n IEEE 802 3 telegramas Layer 2 e Limitaci n del ancho de banda Reglas de Firewall Configuraci n 130 Las reglas de Firewall son reglas para el tr fico de datos en los siguientes sentidos e dered interna a externa y viceversa e de red interna a un t nel IPsec y viceversa S612 5613 Se deben distinguir los dos vistas de operaci n e En Standard Mode se recurre a reglas sencillas predefinidas e Enel Advanced Mode puede definir reglas espec ficas Adicionalmente en el Advanced Mode se puede distinguir entre reglas de Firewall locales y reglas de Fire
129. ci n Service Computer con SOFTNET E Security Client VPN por T nel IPsec A SCALANCE S u 1 aall interna C lula de automatizaci n NE ES O Las conexiones por t nel se realizan entre m dulos del mismo grupo VPN 180 En el caso de SCALANCE S las propiedades de una VPN se re nen dentro de un grupo de m dulos para todos los t neles IPsec Se establecen autom ticamente t neles IPsec entre todos los m dulos SCALANCE S y los m dulos SOFTNET Security Client pertenecientes al mismo grupo SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S612 5613 6 1 VPN con SCALANCE S 3 Security Configuration Too Configurationi Co 11 0 653 Project Edit inset Transfer View Options Help olsa elx 3 dal 2a om b 4 IP Address int Subnet Mask int Default Router MAC Address Comment Module1 00 0E 8C 00 Module Ready Current User Admin Role Admin Standard Mode Offline 9 M dulos SCALANCE S pueden pertenecer paralelamente a diversos grupos en un proyecto ATENCI N Si se cambia el nombre de un m dulo SCALANCE S se tienen que reconfigurar todos los m dulos SCALANCE S de los grupos a los que pertenezca el m dulo SCALANCE S modificado comando Transfer To All Modules Si se cambia el nombre de un grupo se tienen que reconfigurar todos
130. ci n 5 Si ha elegido Certificate como m todo de autenticaci n en el siguiente paso se le pedir que introduzca una contrase a para el certificado de la configuraci n de VPN Aqu tiene la posibilidad de asignar una contrase a propia Si no asigna ninguna contrase a se adopta el nombre del proyecto como contrase a La entrada de la contrase a se realiza como de costumbre con repetici n Con esto ha concluido la exportaci n de los archivos de configuraci n 6 Transfiera los archivos del tipo dat p12 cer al PC PG en el que desee utilizar el SOFTNET Security Client 7 4 Operaci n de SOFTNET Security Client Propiedades configurables En concreto se pueden utilizar los siguientes servicios e Configuraci n de una comunicaci n segura por t nel IPsec VPN entre el PC PG y todos los m dulos SCALANCE S de un proyecto o m dulos SCALANCE S individuales El PC PG puede acceder a nodos internos de la VPN a trav s de este t nel IPsec e Desactivaci n y activaci n de conexiones seguras ya configuradas e Configuraci n de conexiones en caso de equipos terminales agregados con posterioridad para esto tiene que estar activado el modo de aprendizaje e Comprobaci n de una configuraci n es decir ver qu conexiones est n habilitadas o son posibles SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 207 SOFTNET Security Client S612 5613 7 4 Operaci n de S
131. ci n del MD 740 1 MD 741 1 en el Manual de sistema MD 741 1 MD 740 1 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 El presente cap tulo le familiariza con la creaci n de m dulos y con los ajustes que se pueden efectuar en un proyecto para los distintos m dulos El papel principal lo desempe an al respecto los ajustes correspondientes a la funci n Firewall y la funci n NAT NAPT Router del SCALANCE S Nota 8612 8613 Los ajustes de firewall que se pueden efectuar para los distintos m dulos pueden influir tambi n en la comunicaci n que se desarrolla a trav s de conexiones t nel IPsec en la red interna VPN Otras informaciones La configuraci n de t neles IPsec se describe con detalle en el cap tulo siguiente de este manual P La ayuda online le proporcionar tambi n informaci n detallada sobre los di logos y los E par metros ajustables Puede acceder a esta ayuda con la tecla F1 o con el bot n en el respectivo cuadro de F1 di logo ATENCI N Prestaciones y tipos de equipos Tenga en cuenta cu les son las funciones a las que da soporte el tipo de equipo utilizado por usted Consulte tambi n Funciones online Test Diagn stico y Logging P gina 221 Caracter sticas de hardware y panor mica de las funciones P gina 17 SCALANCE S y SOFTNET Security Client Instru
132. ci n del SOFTNET Security Client Construcci n del t nel con el SOFTNET Security Client Comprobar funci n de t nel 3 4 2 Instalar el SCALANCE S y la red Procedimiento a seguir 1 Saque primero el SCALANCE S de su embalaje y compruebe si est en perfecto estado 2 Conecte la alimentaci n de tensi n al m dulo SCALANCE S Resultado Tras conectar la tensi n de servicio brilla el diodo Fault F con luz amarilla N ADVERTENCIA El equipo SCALANCE S est previsto para funcionar con baja tensi n de seguridad En consecuencia a las conexiones de alimentaci n s lo se deben conectar bajas tensiones de seguridad SELV seg n IEC950 EN60950 VDE0805 La fuente de alimentaci n utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 gama de tensi n 18 32 V consumo de corriente aprox 250 mA Para el montaje y la conexi n de los m dulos SCALANCE S tenga en cuenta el cap tulo Propiedades del producto y puesta en servicio Establezca las conexiones f sicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto conectores hembra RJ45 SCALANCE S y SOFTNET Security Client 76 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client Conecte el PC1 al puerto 2 del Module 1 Conecte el puerto 1 del Module 1 al hub switch
133. cido la direcci n IP externa 192 168 10 1 y la m scara de subred externa 255 255 255 0 y confirme el di logo con OK De ah en adelante se incluir su m dulo en la lista de los m dulos configurados Project Edit inser olsa elel 71410 de Offline View Al Modules VPN Groups Number Name Ready 3 3 5 Product Type SCALANCE S C SOFTNET Configuration SOFTNET Security Chert MD74x Device C S2 S12 C 13 Firmware Release e n Configuration 00 0 2C 00 00 00 Name of Module MAC Address IP Address ext 192 168 101 Subnet Mask ext 255 255 255 0 Enable Routing IP Adress int Subnet Mask int Short Description i Configurar modo NAT Router Router MAC Address Comment Offline 9 Standard Mode La aplicaci n m s frecuente en la que todas las estaciones internas env an telegramas a la red externa ocultando su direcci n IP mediante las funciones de NAT est preconfigurada para el SCALANCE S Tal como se muestra a continuaci n este comportamiento se puede activar haciendo simplemente un clic en el modo Routing Activaci n del modo Router procedimiento 1 Conmute primero la vista de configuraci n al Advanced Mode 2 Seleccione para ello el siguiente comando de men View gt Advanced Mode 3 Haga un doble clic en el m dulo SCALANCE S Con ello se abre el cuadro de
134. cio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall 3 2 6 Cargar la configuraci n en SCALANCES S Proceda del siguiente modo 1 Seleccione el m dulo en el rea de contenido 2 Seleccione el siguiente comando de men Transfer gt To Module Download configuration to security module E Module Name Module1 IP Address 191 0 0200 MAC Address 00 DE 8C 00 00 00 V Logon as current user Start Details gt gt Close 3 Inicie el proceso de carga con el bot n Start Si el proceso de carga se ha concluido sin errores el SCALANCE S arranca de nuevo autom ticamente y se activa la nueva configuraci n Resultado SCALANCE S en modo productivo SCALANCE S se encuentra ahora en el modo productivo Este estado es se alizado por el diodo indicador Fault con luz verde Con esto ha terminado la puesta en servicio de la configuraci n y el SCALANCE S protege ahora con el firewall instalado la red interna PC 2 conforme a la regla configurada Permitir tr fico IP de red interna a externa 3 2 7 Probar la funci n Firewall Ping Test C mo se puede probar la funci n configurada La prueba de la funci n se puede realizar con un comando ping tal como se describe a continuaci n Como alternativa se pueden utilizar otros programas de comunicaci n para el test de la configuraci n ATENCI N En caso de Windows e
135. colo e ISO e ISO e SNAP ISO designa telegramas con las siguientes e Ox entrada de c digo propiedades Lengthfield lt 05DC hex DSAP userdefined SSAP userdefined CTRL userdefined e SNAP SNAP designa telegramas con las siguientes propiedades Lengthfield lt 05DC hex DSAP AA hex SSAP AA hex CTRL 03 hex OUIl userdefined OUI Type userdefined DSAP Destination Service Access Point Direcci n de destinatario LLC SSAP Source Service Access Point Direcci n de remitente LLC CTRL LLC Control Field OUI Organizationally Unique Identifier los 3 primeros bytes de la direcci n MAC identificaci n del fabricante OUl Type Tipo de protocolo identificaci n Las entradas de protocolo 0800 hex y 0806 hex no se aceptan ya que estos valores corresponden a telegramas IP o ICMP Estos telegramas se filtran mediante las reglas IP SCALANCE S y SOFTNET Security Client 158 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Ajustes especiales para servicios SIMATIC NET Utilice para el filtrado de servicios especiales SIMATIC NET los siguientes ajustes de SNAP e DCP Primary Setup Tool PROFINET e SiClock OUI 08 00 06 hex OUI Type 01 00 hex 5 4 10 Configurar grupos de servicios Formaci n de grupos de servicios Varios servicios se p
136. con el servidor deseado autenticaci n y de que los datos sensibles se transmitan a trav s de una conexi n segura cifrada Convenio de codificaci n Diffie Hellmann 248 Procedimiento para el intercambio seguro de claves secretas a trav s de una l nea insegura SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Glosario lista de abreviaturas CTRL El campo Control CTRL contiene informaci n de control para el protocolo LLC Logical Link Control LLC es la denominaci n de un protocolo de red estandarizado por IEEE Se trata de un protocolo cuya finalidad principal es la protecci n de los datos al nivel de conexiones por lo que pertenece al nivel 2 del modelo OSI Data Encryption Standard DCP DES DES3 DHCP DMZ M todo de encriptaci n de datos encriptaci n de 56 bits Discovery and Basic Configuration Protocol Protocolo apropiado para determinar par metros de direcciones de componentes PROFINET Data Encryption Standard Algoritmo de encriptaci n sim trico Data Encryption Standard Procedimiento sim trico de codificaci n lo que significa que se utiliza la misma clave para cifrar y descifrar los datos DES3 significa que el algoritmo se aplica tres veces para incrementar la seguridad Dynamic Host Configuration Protocol Puede utilizar SCALANCE S como DHCP Server en la red interna Esto permite asignar autom ticamente direcciones IP a lo
137. cto y puesta en servicio 2 5 Transferir firmware 2 5 Transferir firmware Nuevas ediciones de firmware se pueden cargar con la herramienta de configuraci n Security Configuration Tool en los m dulos SCALANCE S Requisitos Para la transferencia de un nuevo firmware a un m dulo SCALANCE S se tienen que cumplir los siguientes requisitos e Ha de tener derechos de administrador para el proyecto e SCALANCE S tiene que estar configurado con una direcci n IP La transferencia es segura La transferencia del firmware tiene lugar a trav s de una conexi n segura por lo que se puede realizar tambi n desde la red no protegida El firmware en s est signado y codificado Con esto se garantiza que s lo se pueda cargar firmware aut ntico en el m dulo SCALANCE S La transferencia se puede realizar durante el funcionamiento normal El firmware se puede transferir durante el funcionamiento normal de un m dulo SCALANCE S Sin embargo la comunicaci n se interrumpe durante el tiempo posterior al proceso de carga hasta el transcurso autom tico del rearranque de SCALANCE S Un nuevo firmware cargado s lo est activo tras este rearranque del m dulo SCALANCE S Si la trasferencia ha sufrido una perturbaci n y se ha cancelado el m dulo vuelve a arrancar con la versi n de firmware antigua Procedimiento a seguir para la transferencia Seleccione el siguiente comando de men Transfer Firmware Update SCALANCE S y S
138. cure Server Net Demilitarized Zone Stateful Packet Inspection Syslog TACACS Tr fico IP Stateful Inspection tambi n Stateful Packet Filter o Dynamic Packet Filter es una tecnolog a de firewall y trabaja tanto a nivel de red como a nivel de aplicaci n Los paquetes IP se reciben en el nivel de red son inspeccionados en funci n del estado por un m dulo de an lisis y se comparan con una tabla de estados Para el interlocutor de una comunicaci n un firewall con Stateful Inspection representa una l nea directa por la que s lo se permite el paso de una comunicaci n conforme a las reglas Un servicio que recibe mensajes del sistema en un servidor Syslog Server y los registra por ejemplo en archivos Log Terminal Access Controller Access Control System El Terminal Access Controller Access Control System TACACS es un protocolo AAA Sirve para la comunicaci n Cliente Servidor entre servidores AAA y un Network Access Server NAS Los servidores TACACS proporcionan una instancia de autenticaci n para usuarios remotos que deseen establecer una conexi n IP con un NAS Designa la comunicaci n en redes inform ticas que usa el protocolo IP como protocolo de red SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 257 Glosario lista de abreviaturas T nel Se entiende por t nel o tunneling el uso del protocolo de comunicaci n de un servicio de red como medio de tra
139. d Mode no se pueden modificar los ajustes Ajustes de log en el Advanced Mode Marque el m dulo a editar y seleccione el siguiente comando de men Edit Properties ficha Logging El cuadro de di logo siguiente muestra los ajustes predeterminados para SCALANCE S adem s el cuadro de di logo est abierto para configurar el registro de eventos del sistema 5 VPN E E3 Routing Modus KZ DHCP Server E Network Firewall Settings E SSL Certificate E Time Synchronization SA Logging Local Log Buffers Event Classes to log enable Event Class Ring Buffer One Shot Buffer Log buffer V Packet Filter Events firewall System Event Filtering System Event Properties Line Diagnostic Event I enable Facility 16 local 0 Limit 122 corrupt Packets Severity 4 Waming SCALANCE S y SOFTNET Security Client 226 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Funciones online Test Diagn stico y Logging Configuraci n de clases de eventos Tabla 8 3 Local Log panor mica de funciones 8 2 Registro de eventos Logging Funci n ficha en el di logo online Packet filter events firewall Packet Filter Log configurable Configuraci n La activaci n tiene lugar a trav s de casillas de control La selecci n del m todo de almacenamiento se realiza a trav s de casillas de control Observaciones Los datos de Packet Filter Log no son remanentes Los datos se
140. d interna se comprueban en cuanto a la direcci n IP interna indicada y se transmiten a la red externa con la direcci n IP externa indicada e bidireccional Campo de entrada NAPT Network Address Port Translation Aqu rige Direcci n Direcci n IP N mero de puerto Tabla 5 10 Opciones NAPT Casillas de control NAPT active Significado Se activa el campo de entrada para NAPT Las conversiones de direcciones NAPT s lo resultan efectivas tras la inscripci n en la lista de conversi n de direcciones Adem s tiene que configurar correspondientemente el firewall vea los ejemplos external IP address Visualizaci n de la direcci n IP del m dulo SCALANCE S utilizada como direcci n de router por las estaciones participantes en la red externa 168 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo Tabla 5 11 Tabla NAPT 5 7 Routing Modus Par metros Significado comentario External port Una estaci n de la red externa puede n mero de puerto de la misma responder o enviar un telegrama a una estaci n de la subred interna utilizando el Posibilidades de selecci n campos de valores Puerto o campo de puertos Ejemplo de entrada de un campo de puertos e 78 99 internal IP adress subred interna Direcci n IP de la estaci n aludida en la V ase el apartado
141. del PPP por una red IP SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Glosario lista de abreviaturas Preshared Keys Designa un procedimiento sim trico de claves La clave se ha de dar a conocer a ambas partes antes de la comunicaci n Esta clave se genera tambi n autom ticamente al crear un grupo Sin embargo previamente se tiene que haber introducido en el di logo Group Properties de la Security Configuration Tool en el campo Key una contrase a a partir de la cual se genera esta clave Procedimiento Public Key El sentido de los procedimientos de codificaci n con clave p blica es evitar por completo el riesgo para la seguridad al intercambiar mutuamente claves Cada cual tiene una pareja de claves con una clave p blica y una secreta Para la codificaci n de un mensaje se utiliza la clave p blica del destinatario y s lo ste puede volver a descifrarlo con su clave secreta Protocolo de intercambio de claves Oakley Protocolo MAC PST Tool PSTN El OAKLEY Key Determination Protocol describe la generaci n de material de codificaci n secreto Forma parte del Internet Key Exchange Protocols IKE Control de acceso a un medio de transmisi n Primary Setup Tool Con la herramienta Primary Setup Tool PST se pueden asignar direcciones p ej la direcci n IP a componentes de red SIMATIC NET CPs SIMATIC NET Ethernet y pasos de red Public Switched Tele
142. del par metro aqu descrito es la asignaci n de la direcci n IP para el gateway del m dulo a proyectar aqu En el caso de una direcci n IP asignada est ticamente el m dulo puede ser encontrado por el interlocutor En el caso de una direcci n IP asignada din micamente y por lo tanto constantemente cambiante el interlocutor no puede establecer sin m s una conexi n Modo Iniciando conexi n con interlocutor Con esta opci n el m dulo est activo es decir intenta establecer predeterminado Significado una conexi n con el interlocutor Esta opci n se recomienda si el proveedor asigna una direcci n IP din mica para el gateway del m dulo SCALANCE S que se debe configurar aqu El direccionamiento del interlocutor tiene lugar a trav s de su direcci n WAN IP configurada o de su direcci n IP de m dulo externo Esperando a interlocutor Con esta opci n el m dulo est pasivo es decir espera a que el interlocutor establezca una conexi n Esta opci n se recomienda si el proveedor asigna una direcci n IP est tica para el gateway del m dulo que se debe configurar aqu Con esto se consigue que s lo el interlocutor intente establecer la conexi n ATENCI N No ponga todos los m dulos de un grupo VPN a Esperando al interlocutor pues de hacerlo no se establece ninguna conexi n Direcci n IP WAN direcciones IP de los m dulos y gateways en una VPN v a Internet
143. di logo para ajustar las propiedades del m dulo 66 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router 4 En el cuadro de di logo visualizado seleccione la ficha Routing Modus E Ancla Pron ies Modulel oE nta E Network Firewall Settings El SSL Certificate Li Time Synchronization SA Logging S Nodes 53 VPN Sa Routing Modus e DHCP Server Routing MV Routing active external module IP address 192 168 10 1 external subnetmask internal module IP address 172 10 10 1 internal subnetmask 255 255 0 0 NAT NAPT NAT active T NAPT active z external IP address 192 168 10 1 external IP address intemal IP address internal IP address internal port OK Cancel Help 5 Seleccione la opci n active en el campo de entrada Routing 6 Complemente ahora en el campo de entrada Routing los datos de direcci n para la interfaz del SCALANCE S con la red interna del siguiente modo Direcci n IP del m dulo interno 172 10 10 1 M scara de subred interna 255 255 255 0 Activaci n del modo NAT Router para estaciones internas procedimiento Ahora se trata de configurar la conversi n de direcciones necesaria para el modo NAT 1 Seleccione para ello en el campo de entrada NAT las dos opciones NAT active y Allow Internal gt Ex
144. dia ENE 79 3 4 5 Configurar Conexi n t nel coacciones 82 3 4 6 Cargar la configuraci n en SCALANCE S y guardar la configuraci n de SOFTNET Security Clinic iia e a Ad dt tia 83 3 4 7 Formaci n de t nel con el SOFTNET Security Client oooonnnnninnninicicinnnoccnnnoconnnnnnnannnn nana nnnnnnnn 84 3 4 8 Probar la funci n t nel Ping Test ooonooccnnnnncccnnnnacoccnnnoncccnn nono ncnnnono nan nnnnn cnn ran n nara rca nr 85 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Clint A Ai 87 3 5 1 SINOPSIS iia aia da lili 87 3 5 2 configurar MD741 1 Y lar icon tailandia cian 89 3 5 3 Configurar los ajustes de IP de los PCS ooooonocccccnnnccccccononcnccnnancnccanncncnnnoncnc cano nc nr nano narran rca 90 3 5 4 Crear proyecto y Mol a sac 91 3 5 5 Configurar la CONEXION de tel aieea aS iii 93 3 5 6 Guardar la configuraci n del MD741 1 y del SOFTNET Security Client oooooooocninnnnninnnnoccnccnnss 95 3 5 7 Realizar la configuraci n del MD74 1 1 000cocccccconocccccnnnononcnn nono nc nn nono cnn nano rca r anno rca rra 96 3 5 8 Construcci n del t nel con el SOFTNET Security Client ooonnooccconnnncnnnnncccccnnocccccnnoncccnnnancccnnno 103 3 5 9 Probar la funci n del t nel prueba Ping ooooccconncoccccnonoccncnanonnncnanancnc nano ncnn nano nc nr nana nn rra nn 105 4 Configuraci n con Security Configuration TOOl oooonncccnnnncnnnncnnncconnccnnonccnnoroncnnccnnnnn cnn nn rare 107 4 1 Funciones y funcio
145. do luz verde El m dulo est en servicio productivo El contacto de se alizaci n est cerrado apagado El m dulo ha fallado no hay alimentaci n el ctrica El contacto de se alizaci n est abierto luz amarilla continua El m dulo est en la fase de arranque El contacto de se alizaci n est abierto Si no existe direcci n IP el m dulo permanece en este estado destella alternadamente con luz amarilla roja El m dulo se repone al estado que ten a a la entrega El contacto de se alizaci n est abierto Indicador Power L1 L2 El estado de la alimentaci n el ctrica es se alizado por dos LEDs Estado Significado luz verde Est conectada la alimentaci n el ctrica L1 o L2 apagado La alimentaci n el ctrica L1 o L2 no est conectada o es lt 14 V L luz roja La alimentaci n el ctrica L1 o L2 ha fallado durante el servicio o es lt 14 V L Indicadores de estado de puerto P1 y TX P2 y TX 24 El estado de los puertos es se alizado por respectivamente dos 2 LEDs para las dos conexiones Estado Significado LED P1 P2 luz verde TP Link presente destella brilla con luz amarilla Recepci n de datos en RX apagado No hay TP Link o no se reciben datos LED TX destella brilla con luz amarilla Se env an datos apagado No se env an datos SCALANCE S y SOFTNET Security Clie
146. do OK A este m dulo se le asigna autom ticamente un nombre seg n lo ajustado previamente para el proyecto y los valores de par metros tambi n preajustados La direcci n IP se ha seguido contando respecto a la de Module 1 siendo pues diferente E Securty Configuration Too Configuraioni ET gram FilesiSIEMENS Security Configuration_TooNProjects a oe Project Edit inset Transfer View Options Help olsa lel 514100 de gt al Offiane View Number Name Type IP Address ext__ Subnet Mask ext IP Address int__ Subnet Mask int Default Router MAC Address l Comment gt N Modules g Modulel 612V2 192 168 10 1 255 255 255 0 00 0E 8C 00 00 00 Dh E y Modet 32 Module 8612 V2 192 168 102 255 255 255 0 00 0E 8C 00 00 01 SY Module e VPN Groups Ready Current User Admin Role Admin Standard Mode Offiime 9 6 Haga clic en el rea de navegaci n en All Modules y a continuaci n en el rea de contenido en la l nea con Module 1 7 Haga clic ahora en la columna MAC Address e introduzca sta en el formato predeterminado Encontrar esta direcci n en la cara frontal del m dulo SCALANCE S vea la figura SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 45 GETTING STARTED 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE S612 8613 8 Haga clic ahora en la columna IP Address ext e introduzca sta en el formato predete
147. do de paquetes MAC Por medio de reglas para filtrado de paquetes MAC se pueden filtrar telegramas MAC Nota Routing Modus Si ha activado el modo Routing para el m dulo SCALANCE S no tienen aplicaci n las reglas de MAC los di logos est n inactivos Cuadro de di logo ficha Marque el m dulo a editar y seleccione el siguiente comando de men para configurar el firewall Edit gt Properties ficha Firewall tabla MAC Rules 5 VPN S5 Routing Modus ES DHCP Server E Network 1 Firewall Settings E SSL Certificate E Time Synchronization E Logging Sm Nodes IP Rules MAC Rules Drop Internal gt External SRCMAC3 DSTMAC3 all Allow External gt Internal 00 0E 8C 00 32 06 00 0E 8C 47 8A4 08 all Rulesetl1 Description Ruleset1 Expand Rulesets Collapse Rulesets Add Rule Remove Rule 4 MAC Service Definitions OK Cancel Help Figura 5 2 Di logo MAC Rules en el ejemplo para SCALANCE S602 SCALANCE S y SOFTNET Security Client 154 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Introducir reglas de filtrado de paquetes Introduzca correlativamente las reglas de firewall en la lista observe la siguiente descripci n de par metros y los ejemplos en el cap tulo siguiente o en la ayuda Online Uso de bloques de reglas globales Los bloques de reglas
148. dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode 5 4 5 150 Nodos internos Nodos externos SCALANCE S externo Firewall Todos los tipos de telegramas de interno hacia externo est n bloqueados como est ndar excepto los permitidos expl citamente Todos los tipos de telegramas de externo hacia interno est n bloqueados como est ndar excepto los permitidos expl citamente La regla 1 de filtrado de paquetes IP permite telegramas con la definici n de servicio Service X1 de interno hacia externo La regla 2 de filtrado de paquetes IP permite telegramas de externo a interno si se cumple e Direcci n IP del remitente 196 65 254 2 e Direcci n IP del destinatario 197 54 199 4 e Definici n de servicio Service X2 La regla 3 de filtrado de paquetes IP bloquea telegramas con la definici n de servicio Service X2 en la VPN t nel IPsec La comunicaci n por t nel IPsec est permitida como est ndar excepto para los tipos de telegramas bloqueados expl citamente Definir servicios IP Con ayuda de definiciones de servicios IP se pueden definir de forma compacta y clara reglas de firewall que se aplican a diferentes servicios Para esto se adjudica un nombre y se asignan al mismo los par metros de servicio SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 4 Firewal
149. e V NAPT active Allow Internal gt External for all users external IP address internal IP address Direction 192 168 10 123 192 168 12 3 External gt Internal 192 168 10 124 192 168 12 3 Internal gt External 192 168 10 101 192 168 12 4 Bidirectional external IP address 192 168 10 1 internal IP address _ internal port 8000 192 168 12 5 345 2 Seleccione la opci n de Routing activo 3 Introduzca en los campos de entrada ahora activos una direcci n IP interna y una m scara de subred interna para el direccionamiento del router en la subred interna 5 7 2 Routing NAT NAPT Significado Al configurar en el cuadro de di ologo Routing Mode una conversi n traducci n de direcciones utiliza el SCALANCE S como router NAT NAPT Con esta t cnica consigue que las direcciones de las estaciones de la subred no se den a conocer hacia el exterior en la red externa las estaciones internas s lo se ven en la red externa a trav s de las direcciones IP externas definidas en la lista de conversi n de direcciones tabla NAT y tabla NAPT estando as protegidas de acceso directo e NAT Network Adress Translation e NAPT Network Address Port Translation SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 165 Firewall Router y otras propiedades del m dulo 5 7 Routing Modus Vista de operaci n Esta funci n est disponible en el Advanced Mode
150. e objeto Se pueden introducir los par metros uno a uno Haciendo doble clic en los objetos se abren los cuadros de di logo de propiedades para introducir los dem s par metros Barra de estado La l nea de estado puesta los estados operativos y los mensajes de estado actuales a stos pertenecen e Los usuarios actuales y el tipo de usuario e La vista de operaci n Standard Mode Advanced Mode e El tipo de operaci n Online Offline Barra de men s A continuaci n se ofrece un cuadro general de los comandos de men seleccionables y su significado Comando de men Significado observaciones Shortcut Project gt Funciones para ajustes espec ficos del proyecto as como la carga y el almacenamiento del archivo del proyecto New Crear nuevo proyecto Open Abrir un proyecto ya existente Save Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales Save As Guardar un proyecto abierto en una ruta y con un nombre de proyecto seleccionables Properties Abrir un cuadro de di logo para propiedades del proyecto Recent Projects Posibilidad de seleccionar directamente los proyectos procesados hasta el momento Quit Edit Nota A las funciones aqu mencionadas se puede accedeer tambi n en parte para el objeto seleccionado a trav s del men desplegable con el bot n derecho del rat n Copy Copiar el objeto seleccionado Ctrl
151. e se puede utilizar tanto para la encriptaci n como para la firma digital Emplea una pareja de claves formada por una clave privada utilizada para la desencriptaci n o la firma de datos y una clave p blica con la que se encripta o se comprueban firmas de datos La clave privada se mantiene en secreto y su obtenci n a partir de la clave p blica es imposible o al menos extremadamente dif cil Secure Hash Algorithm 1 Algoritmo para la verificaci n de datos Security Configuration Tool Server Servicios SHA1 256 SCT Herramienta de configuraci n para productos SCALANCE S Un server o servidor es un equipo o en general un objeto capaz de prestar determinados servicios a petici n de un gt Client cliente se presta el servicio Servicios ofrecidos por un protocolo de comunicaci n Secure Hash Algorithm 1 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Glosario lista de abreviaturas SIMATIC NET SNAP SOHO SSN DMZ Una funci n criptogr fica de hash muy difundida En el caso del SCALANCE S se puede seleccionar SHA1 para la prueba de integridad de los datos que se transmiten en un t nel Siemens SIMATIC Network and Communication Denominaci n de producto para redes y componentes de red de Siemens antes SINEC Subnetwork Access Protocol Mecanismo para multiplexar protocolos en redes que usen IEEE 802 2 LLC Small Office Home Office Se
152. ec con SCALANCE S612 8613 Los pasos siguientes en s ntesis Configuraci n de SCALANCE S y red configurar los ajustes de IP de los PCs Crear proyecto y m dulo Configurar funci n de t nel Cargar configuraci n en SCALANCE S Probar la funci n del firewall prueba Ping 3 1 2 Poner a punto los SCALANCE S y la red Procedimiento a seguir 1 Saque primero los equipos SCALANCE S de su embalaje y compruebe si est n en perfecto estado 2 Conecte la alimentaci n de tensi n a SCALANCE S Resultado Tras conectar la tensi n de servicio brilla el diodo Fault F con luz amarilla N ADVERTENCIA El equipo SCALANCE S est previsto para funcionar con baja tensi n de seguridad En consecuencia a las conexiones de alimentaci n s lo se deben conectar bajas tensiones de seguridad SELV seg n IEC950 EN60950 VDE0805 La fuente de alimentaci n utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 gama de tensi n 18 32 V consumo de corriente aprox 250 mA Para el montaje y la conexi n de los m dulos SCALANCE S tenga en cuenta el cap tulo Propiedades del producto y puesta en servicio 1 Establezca las conexiones f sicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto conectores hembra RJ45 SCALANCE S y SOFTNET Security Client 42 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 1 Ejemplo 1 T nel VPN Ejem
153. ecuado en el rea de navegaci n Drag and Drop 5 Firewall IP rule set Name Ruleset1 Description Description Ruleset1 IP Rules Action Direction SourceIP___ DestinationiP__ Service _ Bandwidth M Log Comment Drop Internal gt External GloblPsrc GloblPdst all Add Rule Remove Rule IP Service Definuons OK Cancel Help Resultado el bloque de reglas globales es utilizado como bloque de reglas locales por el m dulo asignado 5 4 3 Ajuste de reglas de filtros de paquetes IP locales Por medio de reglas de filtrado de paquetes IP se pueden filtrar telegramas IP como por ejemplo telegramas UDP TCP ICMP Dentro de una regla de filtro de paquetes IP puede recurrir a definiciones de servicios para as delimitar a n m s los criterios de filtrado Si no indica ning n servicio la regla de paquetes IP es v lida para todos los servicios Abrir el cuadro de di logo para reglas locales de filtrado de paquetes IP Marque el m dulo a editar y seleccione el siguiente comando de men para configurar el firewall Edit Properties SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 145 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode E Module Properties Modulel Lolo ea 5 VPN 5 Routing Modus KZ DHCP Server E Network PH Firewall Settinos
154. ed el m dulo para el que desea diagnosticar el estado de sistema actual e Ajustes de rutina par metros espec ficos de m dulos En este caso se le indican los ajustes del m dulo determinados por la configuraci n teniendo en cuenta sus interfaces y nodos subredes internos SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 SOFTNET Security Client S6 12 5613 7 5 Configuraci n y edici n de t neles e Active Main Modes Active Quick Modes Aqu se le muestran en detalle los Main Modes o Quick Modes activos en cuanto stos han sido incorporados para el m dulo seleccionado en el PG PC Adem s puede ver tambi n cu ntos Main Modes o Quick Modes se encontrar an en el sistema adecuados para el m dulo seleccionado e Los ajustes de Routing ajustes de red del ordenador Aqu se le muestran los ajustes de Routing actuales de su ordenador Con la opci n Mostrar todos los ajustes de Routing puede usted mostar los ajustes de routing ocultos por cuestiones de mayor claridad e Direcciones IP asignadas Aqu dispone usted de una lista sobre las interfaces de red de las que dispone conocidas para el ordenador en relaci n con las direcciones IP configuradas o asignadas SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 219 SOFTNET Security Client S612 5613 7 5 Configuraci n y edici n de t neles SCALANCE S y SOFTNET Security
155. el List Status Name IP Address SCALANCE S IP Tunnel over O a Modulet SCALANCE 191 0 0 201 191 0 0 2 Subnet of Module1 192 168 0 0 255 255 255 0 191 0 0 201 191 0 0 2 JE Delete Logging Console June 23 2010 10 02 17 config Loaded Configuration C UsersstestiDesktop Configuration2SConfiguration2 Module2 dat June 23 2010 10 02 18 QuickMode Added Security Association From 191 0 0 2 To 191 0 0 201 32 June 23 2010 10 02 18 QuickMode Added Security Association From 191 0 0 2 To 192 168 0 0 24 Clear Con esto ha concluido la puesta en servicio de la configuraci n y el m dulo SCALANCE S y el SOFTNET Security Client pueden crear un t nel de comunicaci n a trav s del que se pueden comunicar de forma segura los nodos de la red interna y PC2 3 4 8 Probar la funci n t nel Ping Test C mo se puede probar la funci n configurada La prueba de la funci n se puede realizar con un comando ping tal como se describe a continuaci n SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 85 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 8613 y SOFTNET Security Client Secci n de test 1 Resultado 86 Como alternativa se pueden utilizar otros programas de comunicaci n para el test de la configuraci n ATENCI N En caso de Windows el cortafuegos firewall puede estar ajustado como est ndar de maner
156. el siguiente comando de men Transfer gt To Module Download configuration to security module E Module Name Module1 IP Address 192 168 10 1 C MAC Address 00 0E 8C 00 00 00 V Logon as current user Start Details gt gt Close 3 Inicie el proceso de carga con el bot n Start Si el proceso de carga se ha concluido sin errores el SCALANCE S arranca de nuevo autom ticamente y se activa la nueva configuraci n Resultado SCALANCE S en modo productivo SCALANCE S se encuentra ahora en el modo productivo Este estado es se alizado por el diodo indicador Fault con luz verde Con esto ha terminado la puesta en servicio de la configuraci n y el SCALANCE S protege ahora con el firewall instalado la red interna PC 2 conforme a la regla configurada Allow outgoing IP traffic de la red interna a la externa 3 3 8 Probar la funci n NAT Router Ping Test C mo se puede probar la funci n configurada La prueba de la funci n se puede realizar con un comando ping tal como se describe a continuaci n Para poder reconocer las repercusiones del modo NAT Router utilice la posibilidad del Packet Filter Logging en la interfaz de firewall Recuerde Al definir la regla global de firewall ha activado ya la opci n Packet Filter Logging SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 71 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router
157. embra RJ45 inferior marca verde red protegida por SCALANCE S Si se permutan los puertos el equipo pierde su funci n de protecci n 3 3 3 Preparar los ajustes de IP de los PCs Los PCs deber an tener los siguientes ajustes de direcci n IP para el test PC Direcci n IP M scara de subred Gateway est ndar PC1 192 168 10 100 255 255 255 0 192 168 10 1 PC2 172 10 10 100 255 255 255 0 172 10 10 1 Como Gateway est ndar se han de indicar las direcciones IP que se asignan al m dulo SCALANCE S en la configuraci n subsiguiente para la interfaz interna y la externa e PC1 utiliza la interfaz externa e PC2 utiliza la interfaz interna SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 63 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router Proceda del siguiente modo en el PC1 y el PC2 1 Abra el panel de control en el respectivo PC con el siguiente comando de men Inicio gt Panel de control 2 Abra el s mbolo Red y centro de autorizaci n y en el men de navegaci n que se encuentra a la izquierda seleccione la opci n Modificar los ajustes del adaptador 3 Active en el di logo Propiedades de la conexi n LAN la casilla de opci n Protocolo Internet versi n 4 TCP IPv4 y haga clic en el bot n Propiedades LAN Verbindung Properties x Networking Connect using EF Intel R P
158. encial con el que se notifican estados de error a trav s de una interrupci n del contacto A trav s del contacto de se alizaci n se pueden se alizar los siguientes errores o defectos e Fallos en la alimentaci n el ctrica e Fallos internos En caso de fallo o si el SCALANCE S est sin tensi n est abierto el contacto de se alizaci n En caso de funcionamiento sin fallos est cerrado SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 21 Propiedades del producto y pues a en servicio 2 1 Propiedades del producto Figura 2 2 Contacto de se alizaci n 2 1 7 Pulsador Reset para reponer la configuraci n al ajuste de f brica SCALANCE S tiene un pulsador de Reset El pulsador Reset se encuentra en la parte posterior de la carcasa debajo de la tapa roscada directamente junto al C PLUG El pulsador Reset est protegido mec nicamente contra un accionamiento no intencionado ATENCI N Aseg rese de que s lo personal autorizado tenga acceso al SCALANCE S Qu funci n tiene el pulsador Con el pulsador Reset se pueden activar dos funciones e Reinicio El m dulo arranca de nuevo La configuraci n cargada se conserva e Reposici n a la configuraci n de f brica El m dulo arranca de nuevo y se repone al estado que ten a a la entrega Una configuraci n cargada se borra Reinicio Proceda del siguiente modo 1 Sies necesario desmonte el
159. ente en la lista En el caso d ereglas para comunicaci n en direcci n internal gt IPsec Tunnel e internal lt IPsec Tunnel rige para todos los telegramas registrados en forma no expl cita est n permitidos todos los telegramas excepto los bloqueados expl citamente en la lista ATENCI N En el modo Bridge Las reglas de IP sirven para paquetes de IP las reglas MAC sirven para paquetes de nivel 2 Layer 2 Si un m dulo est en el modo Bridge para el Firewall se pueden definir tanto reglas IP como reglas MAC La edici n en el Firewall se regula con el tipo de ethernet del paquete Los paquetes IP se redirigen o se bloquean dependiendo de las reglas de IP y los paquetes de nivel 2 Layer 2 se redirigen o se bloquean dependiendo de las reglas MAC No es posible filtra run paquete IP con la ayuda de una regla de firewall o cortafuegos MAC por rejemplo en lo que se refiere a una direcci n MAC El ejemplo del filtro de paquetes IP del cap tulo 5 4 3 se puede utilizar por analog a para las reglas de filtrado de paquetes MAC SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode 5 4 9 Definir servicios MAC Con ayuda de definiciones de servicios MAC se pueden definir de forma compacta y clara reglas de firewall que se aplican a diferentes servicios P
160. erna p blica se recurre a una red local para explicar los aspectos b sicos del funcionamiento correspondiente En los lugares correspondientes se dan explicaciones relativas al uso de una WAN Dispositivos componentes necesarios Utilice los siguientes componentes para el montaje e 1 m dulo SCALANCE S opcional un riel de perfil de sombrero correspondientemente instalado con material de montaje e 1 alimentaci n el ctrica de 24V con conexiones de cables y conectores de bloque de bornes e 1PC en el que est instalada la herramienta de configuraci n Security Configuration Tool y el VPN Client SOFTNET Security Client e 1 PC en la red interna para test de la configuraci n e 1PC en la red externa para test de la configuraci n e 1 hub o switch de red para el establecimiento de conexiones de red con el m dulo SCALANCE S as como el PC e los necesarios cables de red cables TP Twisted Pair seg n el est ndar IE FC RJ45 para Industrial Ethernet SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 75 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client Los pasos siguientes en s ntesis Configuraci n de SCALANCE S y red configurar los ajustes de IP de los PCs Crear proyecto y m dulos Configurar la funci n de t nel Cargar la configuraci n en SCALANCE S y guardar la configura
161. ervicio 2 4 C PLUG Configuration Plug ATENCI N Reposici n a la configuraci n de f brica Si al restablecer la configuraci n de f brica est conectado un C PLUG se borra el contenido del C PLUG Uso de un C PLUG no nuevo Utilice s lo C PLUGs formateados para el respectivo tipo de m dulo SCALANCE S C PLUGs utilizados ya en equipos de otros tipos y formateados para los mismos no se deben emplear Vea en la tabla siguiente qu C PLUG se puede utilizar para qu tipo de m dulo SCALANCE S Tipo de m dulo C PLUG formateado por SOREANESS s602 s612 S613 S602 X S612 X x S8613 X Xx X C PLUG utilizable con el tipo de m dulo C PLUG no utilizable con el tipo de m dulo La compatibilidad depende de los recursos Extracci n del C PLUG Diagn stico S lo es necesario extraer el C PLUG en caso de fallo aver a de hardware del equipo b sico ATENCI N Observe el estado operativo S lo se debe retirar el C PLUG en estado sin tensi n La conexi n de un C PLUG que contenga la configuraci n de un tipo de equipo no compatible la desconexi n no intencionada del C PLUG o funciones incorrectas en general del C PLUG son se alizadas por los mecanismos de diagn stico del equipo terminal indicador LED Fault SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 37 Propiedades del produ
162. ervidor NTP se tienen que autorizar expl citamente en el firewall UDP Port 123 Telegramas horarios externos Los telegramas horarios externos no est n asegurados y pueden ser falseados en la red externa Esto puede ser causa por ejemplo de que la hora local sea comprometida en la red interna y en los m dulos SCALANCE S Por esta raz n el servidor NTP se deber a emplazar a ser posible en redes internas SCALANCE S y SOFTNET Security Client 162 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 Firewall Router y otras propiedades del m dulo 5 6 Creaci n de certificados SSL 5 6 Creaci n de certificados SSL Significado Los certificados SSL se utilizan para la autenticaci n de la comunicaci n entre un equipo y SCALANCE S para la comunicaci n en l nea Abrir el cuadro de di logo para administraci n de certificados SSL Marque el m dulo a editar y seleccione el siguiente comando de men Edit Properties ficha SSL certificates 5 VPN SE Routing Modus EB DHCP Server E Network PH Firewall Settings E SSL Certficate 1 Time Synchronization A Logging 8 Nodes V Use generated certificate Certificate Properties mporn Certificate Certificate file name in PKCS412 format Serial Number 122 Valid from 6 24 2010 8 39 52 AM Pra Valid to 6 25 2037 1 59 59 AM Subject Module1 Issuer Module1 Generate new certificate SCALANCE S y SOFTNET Security Client Ins
163. es de servicio 02 2011 C79000 G8978 C196 07 155 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Denominaci n Service Significado comentario Posibilidades de selecci n campos de valores Nombre del servicio MAC o del grupo de servicios utilizado La lista desplegable le ofrece los servicios y grupos de servicios configurados para su selecci n Ninguna indicaci n significa no se comprueba ning n servicio la regla es v lida para todos los servicios Bandwidth Mbit s Posibilidad de ajuste de una limitaci n del ancho de banda Campo de valores Un paquete pasa el firewall si la regla de paso es correcta y si no 0 001 100 MBit s se ha sobrepasado a n el ancho de banda permitido para esa regla Logging Activaci n o desactivaci n del Logging para esta regla Comentario Espacio para explicaci n propia de la regla Evaluaci n de reglas por SCALANCE S Ejemplos 156 Las reglas de filtrado de paquetes son analizadas por SCALANCE S de la siguiente forma e La lista se analiza de arriba hacia abajo en caso de reglas contradictorias vale por lo tanto siempre la entrada de m s arriba En el caso de reglas para comunicaci n en direcci n internal gt external e internal lt external rige para todos los telegramas registrados en forma no expl cita est n bloqueados todos los telegramas excepto los permitidos expl citam
164. ess to external DHCP respuesta del servidor DHCP se transmiten a la red interna server Desde la red externa no se puede iniciar ninguna comunicaci n con nodos de la red interna Erlaube Zugriff auf NTP Server vom Nodos internos pueden iniciar una comunicaci n con un off internen ins externe Netz servidor NTP Network Time Protocol de la red externa S lo Allow access to external NTP server lOS telegramas de respuesta del servidor NTP se transmiten a la red interna Desde la red externa no se puede iniciar ninguna comunicaci n con nodos de la red interna Erlaube SiClock Uhrzeittelegramme Con esta opci n se habilitan telegramas horarios SiClock de off Esta opci n no se puede utilzar en el modo Routing SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 137 Firewall Router y otras propiedades del m dulo 5 3 Firewall Propiedades del m dulo en el Standard Mode Regla opci n Funci n Ajuste Default Erlaube Zugriff auf DNS Server vom Nodos internos pueden iniciar una comunicaci n con un off internen ins externe Netz servidor DNS de la red externa S lo los telegramas de Allow access to external DNS server respuesta del servidor DNS se transmiten a la red interna Desde la red externa no se puede iniciar ninguna comunicaci n con nodos de la red interna Erlaube die Konfiguration von El protocolo DOP es utilizado por la PST Tool para realizar of
165. eto Entonces se tienen que configurar manualmente todos los nodos internos que participen en la comunicaci n v a t nel El cuadro de di logo en el que se puede seleccionar la opci n se abre de la siguiente forma SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 195 Comunicaci n segura en la VPN a trav s de t nel IPsec 8612 5613 6 5 Configuraci n de nodos de red internos e Con el modo seleccionado a trav s del comando Edit Properties ficha Node 53 Module Properties Modulel Fs LO eE 3 VPN Za Routing Modus 3 DHCP Server E Network PEI Firewall Settings E SSL Certificate E Time Synchronization E Logging FE Nodes Earning V Enable learning internal nodes Internal Subnets Internal IP Nodes Internal MAC Nodes NetID Subnet Mask Router IP Add Subnet Remove Subnet OK Cancel Help Cu ndo es conveniente desactivar el modo de aprendizaje autom tico Los ajustes est ndar para SCALANCE S parten de que las redes internas son siempre seguras esto significa tambi n que normalmente no se conectan a la red interna nodos de red que no sean dignos de confianza La desactivaci n del modo de aprendizaje puede ser conveniente si la red interna es est tica es decir si no cambian el n mero ni las direcciones de los nodos internos Con la desconexi n del modo de aprendizaje se suprime en la red interna la
166. ets Todos los paquetes IP MAC salientes que se han rechazado se registran Log tunneled packets Todos los paquetes IP que se han transmitido por el t nel se registran SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 231 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging Configuration E Allow access to NTP server from J Tunnel communication only E a pd r Allow IP traffic from internal to r Allow SiClock time messages from external network external to internal network r Allow IP traffic with S7 protocol from r Allow access to DNS server from internal to external network internal to external network E Drow access DECI Sani from I Allow configuration of nodes via DCP IP Logging MAC Log Settings T Log tunneled packets T Log passed packets Log blocked incoming packets I Log blocked incoming packets J Log blocked outgoing packets Log blocked outgoing packets Configuraci n en 232 E Network E Firewall Settings 13 Time Synchronization i Routing Modus odulel jes el Advanced Mode La activaci n del logging es id ntica para los dos tipos de reglas IP o MAC y todas las reglas Para registrar paquetes de datos de determinadas reglas de filtrado de paquetes ponga una marca de selecci n en la columna Log de la ficha Firewall SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C790
167. f internen Netzknoten mittels DCP vom en el caso de componentes de red SIMATIC Net el bautismo Esta opci n no se externen ins interne Netz de nodos ajuste de los par metros IP puede utilzar en el Allow access from external or internal Con esta regla se permite a nodos de la red externa acceder modo Routing nodes via DCP server a nodos de la red interna mediante protocolo DCP Campo de selecci n Log Ajustar registro Puede proveer una protolizaci n a trav s del tr fico de datos entrante o saliente 5 3 2 Preajuste del firewall Comportamiento con preajuste El preajuste del firewall se ha elegido de forma que no sea posible tr fico de datos IP S lo a trav s de un t nel IPsec eventualmente configurado se permite la comunicaci n entre los nodos de la red interna de m dulos SCALANCE S Los diagramas siguientes muestran en detalle los ajustes est ndar para el filtro de paquetes IP y el filtro de paquetes MAC SCALANCE S y SOFTNET Security Client 138 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 3 Firewall Propiedades del m dulo en el Standard Mode Ajuste predeterminado para filtro de paquetes IP Nodos internos SCALANCE S Nodos externos SCALANCE S externo Firewall OOO e HTTPS SSL e Protocolo ESP codificaci n e IKE protocolo para establecer el t nel IPsec Todos los tipos de telegramas de inte
168. figuraciones excepci n se permite modificar la contrase a propia Acceso de lectura a SCALANCE S en el modo Online con fines de test y diagn stico Autenticaci n del usuario El usuario del proyecto se tiene que autenticar para el acceso Para cada usuario se puede fijar una autenticaci n por contrase a ATENCI N Deber a guardar sus contrase as de usuario en un lugar seguro Si olvida sus contrase as de usuario ya no podr acceder al proyecto en cuesti n ni a sus configuraciones ni a los m dulos SCALANCE S Entonces s lo podr acceder a los m dulos SCALANCE S con una Reposici n a la configuraci n de f brica con lo que se pierden las configuraciones Cuadro de di logo para configurar usuarios Seleccione el siguiente comando de men para la configuraci n de usuarios Project Properties ficha Authentication Settings SCALANCE S y SOFTNET Security Client 118 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos Ps a General Default Initialization Values Project Authentication Settings User Name Role Password Changed Admin Admin 6 24 2010 9 06 24 AM User User 6 24 2010 9 10 53 AM Change Password Delete Edit OK Cancel Help Protecci n de p rdida de acceso por descuido El sistema asegura que en el proyecto permanezca con
169. figurado siempre al menos un usuario del tipo Administrator Con esto se evita que el acceso a un proyecto se pueda perder irrecuperablemente por un autoborrado no intencionado ATENCI N Si se modifican los ajustes de la autenticaci n se tienen que cargar de nuevo los m dulos SCALANCE S para que se activen estos ajustes p ej nuevos usuarios cambios de contrase a en los m dulos SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 119 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos 4 4 4 Resumen Check Consistency Security Configuration Tool distingue e Pruebas de coherencia locales e Pruebas de coherencia a nivel de proyecto Encontrar informaci n sobre las reglas comprobadas que debe tener en cuenta al realizar entradas en los cuadros de di logo en las descripciones de los di logos que aparecen en el manual bajo el t rmino clave Check Consistency prueba de coherencia Pruebas de coherencia locales Una prueba de coherencia se considera local si se puede realizar directamente dentro de un di logo Se pueden producir comprobaciones con motivo de las siguientes acciones e al salir de un campo e al salir de una fila en una tabla e al salir del cuadro de di logo con OK Aceptar Pruebas de coherencia a nivel de proyecto Las pruebas de coherencia a nivel de proyecto informan sobre la configuraci n
170. gs for the following MD741 1 Modul please MD741 1 12 5 54 mydns dyndns org Cancel Se ha establecido el t nel entre MD741 1 y SOFTNET Security Client Tomando el icono azul en la entrada MD741 1 est usted reconociendo que se ha establecido una Policy para esta conexi n de comunicaci n El estado operativo de que se puede alcanzar el MD741 1 se se ala mediante el c rculo verde al introducir MD741 1 Nota Tenga en cuenta que esta funci n es independiente de la autorizaci n de la funci n ping en el m dulo MD741 1 En la consola Log de la vista de t nel del SOFTNET Security Client recibir adicionalmente algunos mensajes de su sistema entre los que podr usted elegir SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client e C mo se desarrolla el intento de conexi n e Se ha establecido la Policy para la conexi n de comunicaci n SOFTNET Security Client Tunnel Overview Tunnel List Status Name IP Address SCALANCE S IP Tunnel over O A moza MD74x 88 128 36 54 192 168 2 202 Subnet of MD741 1 192 168 1 0 255 255 255 0 88 128 36 54 192 168 2 202 E Delete Logging Console June 29 2010 11 06 43 config Loaded Configuration C Usersstesti Desktopi SSC MD741 1 55C PC2 dat June 2
171. guas e One Shot Buffer El registro se detiene cuando el b fer est lleno Activaci n y desactivaci n del Logging En el modo offline puede activar a trav s de los ajustes de log Log Settings el logging local para las clases de eventos definiendo entonces el m todo de almacenamiento en memoria Estos ajustes de log se cargan en el m dulo con la configuraci n y se activan al arrancar el SCALANCE S Si es necesario tambi n puede activar o desactivar en las funciones online el logging local para eventos de filtrado de paquetes y eventos del sistema Con esto no se alteran los ajustes de la configuraci n del proyecto 8 2 1 Log local ajustes en la configuraci n En el modo offline puede activar a trav s de los ajustes de log Log Settings las clases de eventos definiendo entonces el m todo de almacenamiento en memoria Estos ajustes de log se cargan en el m dulo con la configuraci n y se activan al arrancar el SCALANCE S Estos ajustes de Log configurados se pueden modificar si es necesario en las funciones online Con esto no se alteran los ajustes de la configuraci n del proyecto SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 225 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging Ajustes de log en el Standard Mode Los ajustes de log en el Standard Mode se corresponden con los preajustes en el Advanced Mode Pero en el Standar
172. gue el archivo de configuraci n Nombredeproyecto SSC PC2 dat 3 Para una configuraci n MD741 1 el SOFTNET Security Client abre el di logo Ajustes IP DNS MD741 1 En este di logo indique la direcci n IP p blica del m dulo MD741 1 que haya recibido de su proveedor Confirme el cuadro de di logo con OK Observaci n Si trabaja con un nombre DNS entonces puede configurarlo en dicho cuadro de di logo en lugar de una direcci n IP SOFTNET Security Client IP DNS Settings MD741 1 DNS IP Settings Configure the settings for the following MD741 1 Modul please Name MD741 1 e IP Adresse 88 128 36 54 C DNS Name 4 Introduzca la contrase a para el certificado y confirme con Next 5 Confirme el di logo Activate static configured members con Yes 6 Accione el bot n Tunnel Overview Nota Si desea llegar al m dulo MD741 1 a trav s de un nombre DNS en el paso 3 puede parametrizar la direcci n DynDNS ntegra en el campo de entrada Nombre DNS Ej mydns dyndns org SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 103 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client Resultado conexi n de t nel activa 104 DNS4IP Settings Name C IP Adresse DNS Name SOFTNET Security Client IP DNS Settings MD741 1 Configure the settin
173. i n IP a un equipo concreto conforme a sus predeterminaciones Conmmutar al Advanced Mode 174 La configuraci n como DHCP Server es posible en la vista Advanced Mode de la Security Configuration Tool Conmute el modo de funcionamiento con el siguiente comando View gt Advanced Mode SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 8 Servidor DHCP Requisito Tiene que configurar los equipos en la red interna de manera que obtengan la direcci n IP de un servidor DHCP Dependiendo del modo de funcionamiento el SCALANCE S transmite a las estaciones participantes en la subred una direcci n IP de router o bien se tiene que comunicar una direcci n IP de router a las estaciones de la subred e Setransmite la direcci n IP del router En los casos siguientes el SCALANCE S transmite a las estaciones una direcci n IP de router a trav s del protocolo DHCP SCALANCE S est configurado para el modo Router SCALANCE S transmite en este caso la direcci n IP propia como direcci n IP del router SCALANCE S no est configurado para el modo Router pero en la configuraci n del SCALANCE S se ha indicado un router predeterminado Default Router SCALANCE S transmite en este caso la direcci n IP del Default Router como direcci n IP del router e No se transmite la direcci n IP del router En estos casos tiene que introducir manualmente
174. i n a trav s de VPN ATENCI N En un sistema Windows las directivas de seguridad IP est n archivadas en forma personalizada Para cada usuario s lo puede ser v lida una nica directiva de seguridad IP Si una directiva de seguridad IP existente no dese ser sobrescrita por la instalaci n del SOFTNET Security Client deber a efectuar por ello la instalaci n y el uso del SOFTNET Security Client bajo un usuario creado ex profeso para ello Entorno de uso El SOFTNET Security Client est previsto para el uso con el sistema operativo Windows XP SP2 y SP3 no Home Edition y Windows 7 no Home Edition Comportamiento en caso de problemas Si se presentan problemas en el PG PC SOFTNET Security Client reacciona del siguiente modo e las directivas de seguridad establecidas se conservan tambi n despu s de desconectar y volver a conectar el PG PC e en caso de una configuraci n incorrecta se emiten mensajes S y SOFTNET Security Client ss de servicio 02 2011 C79000 G8978 C196 07 203 SOFTNET Security Client 5612 5613 7 2 Instalaci n y puesta en servicio del SOFTNET Security Client 7 2 Instalaci n y puesta en servicio del SOFTNET Security Client 7 2 1 Instalaci n e inicio de SOFTNET Security Client El software de PC SOFTNET Security Client se instala desde el CD SCALANCE S 1 Lea primero lo dicho en el archivo README de su CD SCALANCE S y tenga en cuenta eventuales instrucciones adic
175. i est activo el modo de aprendizaje se establecen los t neles para todas las direcciones configuradas o determinadas Este procedimiento es particularmente r pido y eficiente para configuraciones peque as Como opci n en el cuadro de di logo de Vista general de t neles se pueden configurar tambi n todos los t neles Observaci n Se pueden importar consecutivamente los archivos de configuraci n de varios proyectos creados en la Security Configuration Tool vea tambi n la explicaci n siguiente sobre el procedimiento Tunnel Overview Cuadro de di logo para configurar y editar t neles A trav s de este cuadro de di logo se realiza la configuraci n propiamente dicha del SOFTNET Security Client En este cuadro de di logo encontrar una lista de los t neles seguros establecidos All se pueden visualizar y comprobar las direcciones IP para los m dulos SCALANCE S Si en su PG PC existen varios adaptadores de red el SOFTNET Security Client selecciona autom ticamente uno de ellos a trav s del cual se intenta establecer un t nel Pero es posible que el SOFTNET Security Client no consiga encontrar uno apropiado para su estaci n en cuyo caso introduce uno cualquiera En tal caso tiene que adaptar manualmente la configuraci n de adaptadores de red a trav s del cuadro de di logo Network Adapters en el men contextual de la estaci n y del m dulo SCALANCE S Disable Desactivaci n de todos los
176. icio 31 Pulsador Reset 22 R Recursos de software 25 Referencias de pedido 26 Reglas b sicas de Firewall 32 Reglas de filtrado de paquetes IP 147 Reglas de Firewall globales 130 142 Reglas de Firewall locales 130 Reglas para filtrado de paquetes MAC 154 Reposici n a la configuraci n de f brica 23 Riel de perfil 27 30 Riel de perfil S7 31 Riel perfil de sombrero 17 27 28 Router 133 externo 134 Router NAT NAPT 131 Standard 134 Router NAT NAPT Nombres simb licos Symbolic Names Router NAT NAPT 165 Routing Modus 134 S Security Configuration Tool 16 107 Barra de men s 111 Modos de funcionamiento 108 Vistas de operaci n 108 Security Module SCALANCE S 11 Sello horario de entradas en Log 161 Servicios IP 150 Servidor DHCP 131 configuraci n 174 Servidor NTP 161 SiClock 159 SOFTNET Security Client 13 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Base de datos 206 Cargar por lectura datos de configuraci n 209 Comportamiento de arranque 204 desinstalar 205 Enable active learning 215 Entorno de uso 203 SSL Certificate 163 Standard Mode 108 231 Stateful Packet Inspection 130 Syslog Nombres simb licos Symbolic Names T Tabla de s mbolos 121 Tapa roscada M32 35 Telegramas Layer 2 13 15 Telegramas Non IP 181 Tensi n alterna 21 T nel 179 T nel IPsec 13 179 T nel VPN 13 15 U User config
177. ient Instrucciones de servicio 02 2011 C79000 G8978 C196 07 69 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router Asignaci n de bloque de reglas global procedimiento 1 Seleccione en el rea de navegaci n el objeto Module1 y manteniendo pulsado el bot n izquierdo del rat n arr strelo al nuevo bloque de reglas globales de firewall creado Advanced Mode Offline 9 Current User Admin Role Admin 2 Puede controlar la asignaci n abriendo de nuevo el cuadro de di logo para ajuste de las propiedades del m dulo y seleccionando all la ficha Firewall 59 VPN Fa Routing Modus KE DHCP Server ES Network PE Firewall Settings SSL Certificate li Time Synchronization A Losong B Nodes IP Rules MAC Rules Expand Pulse Colapse Ruiesess Add Rule Remove Rule Ed KA IP Service Definitions Puede ver que la regla global de firewall se ha archivado all 3 Pulsando el bot n Expand Rulesets puede visualizar el bloque de reglas en detalle SCALANCE S y SOFTNET Security Client 70 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router Con esto ha concluido la configuraci n offline 3 3 7 Cargar la configuraci n en SCALANCE S Proceda del siguiente modo 1 Seleccione el m dulo en el rea de contenido 2 Seleccione
178. ientes estaciones e estaciones que se utilicen temporalmente en la subred por ejemplo equipos de mantenimiento e estaciones que en caso de una nueva solicitud transmitan al DHCP Server como direcci n preferida una direcci n IP anteriormente asignada por ejemplo estaciones de PC Para las estaciones que est n en servicio permanente se debe preferir la asignaci n est tica de direcciones indicando un Client 1D esto se recomienda para CPs S7 por resultar m s f cil la sustituci n de m dulos o la direcci n MAC Se da soporte a nombres simb licos En las funci n descrita a continuaci n puede introducir tanto direcciones IP o MAC como nombres simb licos Prueba de coherencia reglas a considerar Al realizar sus entradas debe tener en cuanta las reglas indicadas a continuaci n Prueba Regla Prueba realizada 1 a nivel local a nivel de proyecto m dulo Las direcciones IP asignadas en el campo de entradas Static IP addresses de la X lista de direcciones no deben estar en el campo de direcciones IP din micas Los nombres simb licos han de tener una asignaci n de direcci n num rica Si X asigna aqu nuevos nombres simb licos tiene que realizar a n la asignaci n de direcciones en el cuadro de di logo Symbolic names Direcciones IP direcciones MAC y Client IDs s lo deben aparecer una vez en la X tabla Static IP addresses con referencia al m dulo SCALANCE S En el caso de
179. iew Options Help gt Offline View E i Global Fw Rulesets aa a Al Modules Sa Ex Module2 Module3 Ef Modules VPN Groups oem eje lo 522161 sa o 23 Fw IP Rulesets i392 Module2 5602 192 168 10 2 255 255 255 0 192 168 10 10 255 255 0 0 08 00 06 00 00 01 FW MAC Rulesets I3 3 Module3 8612 192 168 10 3 255 255 255 0 08 00 06 00 00 02 Module4 5613 192 168 104 255 255 255 0 08 00 06 00 00 03 Module1 Current User test Role Admin Advanced Mode Offline a 110 El mbito de navegaci n funciona como explorador del proyecto con las siguientes carpetas principales e Reglas globales de Firewall El nodo contiene el juego de reglas de firewall global proyectado Otras carpetas se distinguen en Juego de reglas de IP Juego de reglas MAC e Todos los m dulos El nodo contiene los m dulos proyectados SCALANCE S o SOFTNET Security Clients del proyecto e Todos los grupos El nodo Todos los grupos contiene todos los VPNs producidos Si selecciona un objeto en el rea de navegaci n obtendr en el rea de contenido informaciones detalladas sobre ese objeto SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Configuraci n con Security Configuration Tool O ndice 4 3 Interfaz de usuario y comandos de men Si selecciona un objeto en el rea de navegaci n obtendr en el rea de contenido informaciones detalladas sobre es
180. ign Facility Packet Filter Events firewall default y default m Audit Events default defaut Y System Events oK Cancel Help Establecer la conexi n con el servidor Syslog SCALANCE S utiliza el nombre de m dulo configurado como nombre de host de cara al servidor Syslog Tiene que introducir la direcci n IP del servidor Syslog Como alternativa puede introducir la direcci n IP en forma de nombre simb lico o num rica El servidor Syslog tiene que resultar accesible desde el SCALANCE S a trav s de la direcci n IP indicada ajustando esto si es necesario a trav s de la configuraci n del router en la ficha Network Si no se puede acceder al servidor Syslog se desactiva el env o de informaciones Syslog Tal estado operativo se puede reconocer por los correspondientes mensajes del sistema Para activar de nuevo el env o de informaciones de Syslog tendr que actualizar eventualmente las informaciones de routing e impulsar un rearranque del SCALANCE S Uso de nombres simb licos en el logging Puede sustituir por nombres simb licos las direcciones que aparecen en los telegramas log transmitidos al servidor Syslog Si est activada esta opci n SCALANCE S comprueba si est n configurados los nombres simb licos correspondientes y los inscribe en los telegramas log Tenga en cuenta que esto prolonga el tiempo de procesamiento en el m dulo SCALANCE S SCALANCE S y SOFTNET Securit
181. ility aqu ajustadas El valor elegido para la prioridad y la importancia Facility dependen de la evaluaci n realizada en el servidor Syslog Con esto es posible una adaptaci n a los requisitos del servidor Syslog Ajustes predeterminados Facility 13 log audit Prio 6 Informational System events System Log configurable La activaci n tiene lugar a trav s de casillas de control Para configurar el filtro de eventos y el digan stico de l neas abra otro cuadro de di logo con el bot n Configure En este subdi logo puede ajustar un nivel de filtrado para los eventos del sistema Est predeterminado el nivel m s alto de modo que s lo se registren eventos cr ticos El diagn stico de l neas genera un evento especial del sistema Con ello en caso de producirse telegramas incorrectos en un porcenteje ajustable se genera un evento del sistema A este evento del sistema se le asigna la prioridad y la importancia Facility ajustables en este subdi logo e Filtrado de los eventos del sistema Seleccione como nivel de filtrado Error o superior para impedir el registro de eventos generales no cr ticos e Prioridad de los eventos del sistema correspondientes al diagn stico de l neas A trav s de la prioridad se valoran los eventos del sistema corresponientes al diagn stico de l neas en relaci n a la prioridad de los restantes eventos del sistema Cuide de no asignar a los
182. imiento a seguir 1 Seleccione en el rea de navegaci n All Groups y cree un nuevo grupo con el siguiente comando de men Insert gt Group Este grupo recibe autom ticamente el nombre Group 1 Security Configuration Tool Configuration ole Project Edit Insert Transfer View Options Help olsa alel 24100 de Sal Offline View Group Name Authentication Group membership untl Comment BN Modes A Group Certificate SY Modde O SSCPC2 BE VPN Groups A Group1 Ready Current User Admin Role Admin Standard Mode Offline 2 2 Seleccione en el rea de contenido el m dulo de SCALANCE S Module 1 y arr strelo a Group 1 en el rea de navegaci n El m dulo est asignado ahora a ese grupo o bien es miembro de ese grupo El color del s mbolo de Ilave del icono de m dulo cambia ahora de gris a azul 3 Seleccione en el rea de contenido el m dulo SOFTNET Security Client y arr strelo a Group 1 en el rea de navegaci n El m dulo est asignado ahora tambi n a ese grupo 4 Guarde ahora este proyecto con el siguiente comando de men bajo un nombre apropiado Project Save As Con esto ha terminado la configuraci n de la conexi n de t nel SCALANCE S y SOFTNET Security Client 82 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client 3 4 6 Cargar la c
183. ionales para la instalaci n 2 Ejecute el programa Setup Lo m s sencillo es que para ello abra el ndice de su CD SCALANCE S gt se inicia autom ticamente al introducir el CD o bien se puede abrir a trav s del archivo start_exe Seleccione entonces directamente la entrada Installation SOFTNET Security Client Tras la instalaci n y el inicio de SOFTNET Security Client aparce el iconos de SOFTNET Security Client en la barra de tareas de Windows All Programs i Siemens Automation J SIMATIC dy SCALANCE da Security EA Security Configuration Tool s SOFTNET Security Client Configuraci n de SOFTNET Security Client Una vez activadas las funciones m s importantes se desarrollan en segundo plano en el PG PC La configuraci n de SOFTNET Security Client tiene lugar en dos pasos e Exportaci n de una configuraci n de Security desde la herramienta de configuraci n SCALANCE S Security Configuration Tool e Importaci n de la configuraci n de Security en la superficie propia tal como se describe en el apartado siguiente Comportamiento de arranque Para una configuraci n al grado m ximo el SOFTNET Security Client necesita debido al sistema hasta 15 para la carga de las reglas de seguridad La CPU de su PG PC se utiliza al 100 de su rendimiento durante ese tiempo SCALANCE S y SOFTNET Security Client 204 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 SOFTNET Securit
184. irecci n MAC adicional en el modo Routing SCALANCE S utiliza en el modo Routing una direcci n MAC adicional en la interfaz para la subred interna Esta segunda direcci n MAC se deriva del modo aqu descrito de la direcci n MAC impresa en el equipo e Direcci n MAC interna Direcci n MAC impresa 1 Si se trabaja en redes planas modo Bridge la direcci n MAC impresa es v lida siempre tanto en la interfaz interna como en la externa En el di logo Online de la Security Configuration Tool se muestran las direcciones MAC actualmente v lidas en la ficha Status Cuadro de di logo Network External Routers 134 Dependiendo de la estructura de red existente puede suceder que adem s del router predeterminado tenga que indicar otros routers Marque el m dulo a editar y seleccione el siguiente comando de men para configurar routers externos Edit Properties ficha Network SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 3 Firewall Propiedades del m dulo en el Standard Mode F Ef Module Properties Modulel oe a Network PH Firewall Settings E Time Synchronization Routing Modus Router NetID Subnet Mask Router IP 255 255 255 0 Add Router Remove Router OK Cancel Help Figura 5 1 Di logo Network Consulte tambi n Panor mica de funciones del cu
185. iza esta funci n entonces no puede utilizar la funci n de diagn stico del SOFTNET Security Client para un t nel VPN corectamente construido en conexi n con el MD741 1 Entonces no recibir mensaje alguno sobre si el t nel se ha establecido correctamente pero puede comunicarse de forma segura a trav s del t nel Security Advanced Settings Maximum number of parallel connections 4096 Maximum number of new incoming TCP 25 connections per second Maximum number of new outgoing TCP 75 connections per second Advanced gt gt Settings Maximum number of new incoming ping 3 packets per second Maximum number of new outgoing ping 5 packets per second External ICMP to the MD741 4 Allow Ping v Save Reset 5 Para poder llegar a la interfaz web del m dulo MD741 1 tambi n a trav s de la interfaz externa autorice el acceso remoto HTTPS De esta forma tiene la posibilidad de configurar y de diagnosticar a distancia el MD741 1 a trav s de un t nel Navege para ello por el directorio Acceso HTTPS Ponga la funci n Activar el acceso remoto HTTPS en el valor S como se muestra en el siguiente gr fico y guarde los cambios SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 101 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client Access HTTPS Enable HTTPS remote access Yes v HTTPS remote access po
186. je de nodos internos Para un m dulo que est en el modo Routing se pueden introducir participantes internos subredes completas que se deben tunelar VPN Si el m dulo se encuentra en un grupo aqu se puede X configurar la Dead Peer Detection la forma de establecimiento de la conexi n y la direcci n IP para WAN Routing Modus Aqu se activa en el Standard Mode la funci n Router X X En el Advanced Mode se puede activar adicionalmente la funci n NAT NAPT Router y se puede fijar en una lista la conversi n de direcciones Servidor DHCP Puede activar para la red interna el m dulo como DHCP X Server Encontrar la descripci n detallada de estas funciones en el cap tulo Firewall Router y otras propiedades de los m dulos Asignaciones a grupos para t nel IPsec S612 S613 SOFTNET Security Client Con esto se fija qu m dulos SCALANCE S SOFTNET Security Clients y m dulos MD74x pueden comunicarse entre s a trav s de t nel IPsec Al asignar m dulos SCALANCE S SOFTNET Security Clients y m dulos MD74x a un grupo esos m dulos pueden establecer un t nel de comunicaci n a trav s de una VPN virtual private network S lo m dulos del mismo grupo se pueden comunicar entre s de forma segura a trav s de t nel los m dulos SCALANCE S los SOFTNET Security Clients y los m dulos MD74x pueden pertenecer a varios grupos al mismo tiempo 4 4 2 Creaci n y edici n de proyec
187. l Propiedades del m dulo en el Advanced Mode Adem s los servicios as definidos se pueden reunir a su vez en grupos con un nombre de grupo Para la configuraci n de las reglas de filtrado de paquetes globales o locales se utiliza entonces simplemente ese nombre Cuadro de di logo ficha Forma de abrir el cuadro de di logo e Con el comando Options IP MAC Service Definitions o e Desde la ficha Firewall IP Rules con el bot n IP Service Definition A VPN S5 Routing Modus R DHCP Server ES Network BM Firewall Settings E SSL Cerificate E Time Synchronization MA Loong 5 Nodes IP Rules MAC Rules External gt Internal 192 168 12 3 External gt Internal 192 168 12 4 Internal gt External 192 168 10 12 192 168 10 11 Internal gt External 192 168 10 101 External gt Internal 192 168 12 5 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 151 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Par metros para servicios IP Los servicios IP se definen a trav s de los siguientes par metros Tabla 5 4 Servicios IP Par metros Denominaci n Significado comentario Posibilidades de selecci n campos de valores Name Nombre de libre definici n para el servicio se utiliza para la Entrada libre identificaci n en la definici n de reglas o en el agrupamiento
188. l Code table 11 b En caso de estructura con alimentaci n el ctrica redundante es decir con dos dispositivos de alimentaci n el ctrica separados ambos tienen que cumplir estos requisitos SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y pues a en servicio 2 1 Propiedades del producto ATENCI N No conecte nunca el SCALANCE S a tensi n alterna o a tensiones continuas de m s de 32 V DC La alimentaci n el ctrica se conecta a trav s de un bloque de bornes enchufable de 4 polos La alimentaci n el ctrica se puede conectar de forma redundante Ambas entradas est n desacopladas No existe distribuci n de carga En el caso de alimentaci n redundante la fuente de alimentaci n con la tensi n de salida m s alta abastece ella sola al SCALANCE S La alimentaci n el ctrica est conectada a la carcasa con impedancia elevada lo que permite un montaje sin puesta a tierra Figura 2 1 Alimentaci n el ctrica 2 1 6 Contacto de se alizaci n ATENCI N El contacto de se alizaci n se debe someter a una carga m xima de 100 mA tensi n de seguridad SELV DC 24 V No conecte nunca el SCALANCE S a tensi n alterna o a tensiones continuas de m s de 32 VDC El contacto de se alizaci n se conecta a trav s de un bloque de bornes enchufable de 2 polos El contacto de se alizaci n es un interruptor sin pot
189. l IPsec SCALANCE S y SOFTNET Security Client 140 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode 5 4 Firewall Propiedades del m dulo en el Advanced Mode En el Advanced Mode existen otras posibilidades de ajuste que permiten ajustar de forma personalizada las reglas de firewall y las funciones de seguridad Conmmutar al Advanced Mode Para todas las funciones descritas en este cap tulo conmute el modo de funcionamiento con el siguiente comando de men View gt Advanced Mode Nota Una conmutaci n realizada al Advanced Mode para el proyecto actual ya no se puede anular en cuanto se haya modificado la configuraci n Se da soporte a nombres simb licos En las funciones descritas a continuaci n puede introducir tanto direcciones IP o MAC como nombres simb licos 5 4 1 Configurar firewall A diferencia de la configuraci n de reglas de filtrado de paquetes predeterminadas de forma fija en el Standard Mode en el Advanced Mode se pueden configurar con la Security Configuration Tool reglas de filtrado de paquetes peronalizadas Las reglas de filtrado de paquetes se ajustan en fichas seleccionables para los siguientes protocolos e Protocolo IP Nivel Layer 3 e Protocolo MAC Nivel Layer 2 Si no introduce ninguna regla en los cuadros de di logo que se describen a continuaci n rigen los
190. l cortafuegos firewall puede estar ajustado como est ndar de manera que no puedan pasar comandos PING Eventualmente tendr que habilitar los servicios ICMP del tipo Request y Response SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 57 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall Secci n de test 1 Resultado Pruebe ahora el funcionamiento de la configuraci n de firewall primero con el tr fico de datos IP saliente permitido 1 En el PC2 llame en la barra de inicio el siguiente comando de men Inicio gt Programas Accesorios S mbolo del sistema 2 Entrada del comando ping de PC2 a PC1 direcci n IP 191 0 0 1 Directamente en la l nea de comandos de la ventana presentada S mbolo del sistema introduzca en la posici n del cursor el siguiente comando ping 191 0 0 1 Aparecer entonces el siguiente mensaje respuesta positiva del PC1 a Command Prompt cima gt ping 191 0 0 1 Pinging 191 0 0 1 with 32 bytes of data Reply from 191 0 0 1 bytes 32 time lt ims eply from 191 0 0 1 bytes 32 time lt ms eply from 191 0 0 1 byt 32 time lt ms eply from 191 0 0 1 bytes 32 time lt ims cs for 191 0 B 1 z Sent 4 Received 4 Lost z loss pproximate round trip times in milli seconds Minimum ms Maximum ms Average ms END Cuando los telegramas IP llegan al PC1 la
191. la antena del m dulo MD741 1 PC2 PC con elsoftware de configuraci n Security Configuration Tool y el software SOFTNET Security Client para el acceso VPN seguro a la red interna Dispositivos componentes necesarios Utilice los siguientes componentes para el montaje e 1x m dulo MD741 1 con tarjeta SIM opcional un riel de perfil de sombrero correspondientemente instalado con material de montaje e 1x fuente de alimentaci n de 24V con conector de cable y enchufe para bloque de bornes SCALANCE S y SOFTNET Security Client 88 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client 1x PC en el cual va instalada la herramienta de configuraci n Security Configuration Tool y el cliente VPN SOFTNET Security Client 1x PC en la red interna del MD741 1 con un navegador para la configuraci n del MD741 1 y el test de la configuraci n 1x router DSL conexi n a internet para el PC con el cliente VPN ISDN DSL UMTS etc Los cables de red cables TP Twisted Pair necesarios seg n el est ndar IE FC RJ45 para Industrial Ethernet Los pasos siguientes en s ntesis configurar MD741 1 y la red configurar los ajustes de IP de los PCs Crear proyecto y m dulos Configurar la funci n de t nel Guardar la configuraci n del MD741 1 y del SOFTNET Security Client Realizar la configuraci n del MD741
192. la de automatizaci n SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Introducci n y fundamentos 1 1 Uso de SCALANCE S612 S613 y SOFTNET Security Client Funciones de seguridad e Firewall IP Firewall con Stateful Packet Inspection Firewall tambi n para telegramas Ethernet Non IP seg n IEEE 802 3 telegramas Layer 2 no es v lido si se usa el modo de router Limitaci n del ancho de banda Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su firewall e Comunicaci n protegida por t nel IPsec SCALANCE S612 S613 y SOFTNET Security Clients se pueden reunir en grupos a trav s de la configuraci n Entre todos los SCALANCE S612 S613 y un SOFTNET Security Client de un grupo se establecen t neles IPsec VPN Virtual Private Network Todos los nodos internos de estos SCALANCE S se pueden comunicar entre s por estos t neles de forma protegida e Independencia de protocolo El establecimiento de t neles comprende tambi n telegramas Ethernet seg n IEEE 802 3 telegramas Layer 2 no es v lido si se usa el modo de router A trav s de los t neles IPsec se transmiten tanto telegramas IP como tambi n No IP e Modo Router Utilizando SCALANCE S como router conecta la red interna con la red externa La red interna conectada a trav s de SCALANCE S se convierte as en una subred propia e Protecci n pa
193. la estaci n con la direcci n IP interna 192 168 12 4 de la subred interna utilizando la direcci n IP externa 192 168 10 101 como direcci n de destino Telegramas de una estaci n interna con la direcci n IP interna 192 168 12 4 son transmitidas en la red externa con la direcci n IP externa 192 168 10 101 como direcci n de origen El firewall se ha configurado de forma que permita el paso telegramas con la direcci n IP de origen 192 168 10 101 en el sentido de interna a externa Ejemplo 4 Conversi n de direcciones NAPT Las conversiones de direcciones tienen lugar seg n NAPT asign ndose en cada caso adicionalmente n meros de puerto Todos los telegramas TCP y UDP entrantes en la red externa son comprobados en cuanto a su direcci n IP de destino y su n mero de puerto de destino Una estaci n de la red externa puede enviar un telegrama a la estaci n con la direcci n IP interna 192 168 12 4 y el n mero de puerto 345 de la subred interna utilizando como direcci n de destino la direcci n IP externa de m dulo 192 168 10 1 y el n mero de puerto externo 8000 5 7 4 Routing NAT NAPT Ejemplos de configuraci n parte 2 Resumen 172 En este cap tulo encontrar los siguientes ejemplos de configuraci n del router NAT NAPT e Ejemplo 1 Permitir todas las estaciones internas para comunicaci n externa e Ejemplo 2 Permitir telegramas adicionales dirigidos de externa a interna SCALANCE S y SOFTNET Security Client I
194. las direcciones IP asignadas est ticamente tiene que indicar la X direcci n MAC o el Client ID nombre del ordenador SCALANCE S y SOFTNET Security Client 176 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 Firewall Router y otras propiedades del m dulo 5 8 Servidor DHCP Prueba Regla Prueba realizada 1 a nivel local a nivel de proyecto m dulo El Client ID es una secuencia de como m ximo 63 caracteres S lo se permiten X los caracteres siguientes a z A Z 0 9 y gui n Nota En el caso de SIMATIC S7 se puede asignar a los equipos conectados a la interfaz Ethernet un Client ID para obtener una direcci n IP a trav s de DHOP En el caso de PCs el procedimiento depende del sistema operativo utilizado se recomienda utilizar en este caso la direcci n MAC para la asignaci n En el caso de las direcciones IP asignadas est ticamente tiene que indicar la X direcci n IP Las siguientes direcciones IP no deben estar en el rea de la banda de X direcciones IP libres direcciones IP din micas e todas las direcciones de router en la ficha Network e NTP Server e Syslog Server e Default Router e Direcciones de SCALANCE S DHCP es soportado por SCALANCE S en la interfaz con la subred interna De X este comportamiento operativo del SCALANCE S se derivan los siguientes requisitos para direcciones IP en el rea de la banda de direcciones IP libres direcciones IP din micas
195. le agregar un m dulo MD 740 1 MD 741 1 a un grupo VPN que contenga un m dulo con el modo Brdige Vea en la tabla siguiente qu m dulos se pueden reunir en un grupo VPN M dulo Modo de operaci n del m dulo en el modo Bridge en el modo Routing S612 V1 x 8612 V2 x x S613 V1 x S613 V2 xX x SOFTNET Security Client 2005 x SOFTNET Security Client 2008 xX x SOFTNET Security Client V3 0 xX x MD 74x x 6 3 Configuraci n de t nel en el Standard Mode Propiedades de grupo En el Standard Mode son v lidas las siguientes propiedades e Todos los par metros de los t neles IPsec y el m todo de autenticaci n est n predeterminados En el cuadro de di logo para el grupo se pueden visualizar los valores est ndar ajustados e El modo de aprendizaje est activado para todos los m dulos SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 185 Comunicaci n segura en la VPN a trav s de t nel IPsec S672 5613 6 4 Configuraci n de t nel en el Advanced Mode Abrir el cuadro de di logo para visualizaci n de valores est ndar 6 4 Estando seleccionado el grupo seleccione el siguiente comando de men Edit Properties La visualizaci n es id ntica al del cuadro de di logo en el Advanced Mode pero los valores no se pueden modificar Configuraci n de t nel en el Advanced Mode El Advanced Mode le of
196. lesiones corporales graves NPRECAUCI N con tri ngulo de advertencia significa que si no se adoptan las medidas preventivas adecuadas pueden producirse lesiones corporales PRECAUCI N sin tri ngulo de advertencia significa que si no se adoptan las medidas preventivas adecuadas pueden producirse da os materiales ATENCI N significa que puede producirse un resultado o estado no deseado si no se respeta la consigna de seguridad correspondiente Si se dan varios niveles de peligro se usa siempre la consigna de seguridad m s estricta en cada caso Si en una consigna de seguridad con tri ngulo de advertencia se alarma de posibles da os personales la misma consigna puede contener tambi n una advertencia sobre posibles da os materiales Personal cualificado El producto sistema tratado en esta documentaci n s lo deber ser manejado o manipulado por personal cualificado para la tarea encomendada y observando lo indicado en la documentaci n correspondiente a la misma particularmente las consignas de seguridad y advertencias en ella incluidas Debido a su formaci n y experiencia el personal cualificado est en condiciones de reconocer riesgos resultantes del manejo o manipulaci n de dichos productos sistemas y de evitar posibles peligros Uso previsto o de los productos de Siemens Considere lo siguiente NADVERTENCIA Los productos de Siemens s lo deber n usarse para los casos
197. lfe Olsa elel lAl de gt a Ofline Ansicht Gruppenname Authentifizierung Gruppenzugehongkeit Kommentar E Abe Module 2 Gruppe Zertifikat 59 SSc PC2 Ready Aktueller Nutzer Admin Rolle Admin Standard Modus Offline 2 Seleccione en el rea de contenido el m dulo de MD741 1 MD741 1 y arr strelo a Group 1 en el rea de navegaci n El m dulo est asignado ahora a ese grupo o bien es miembro de ese grupo El color del s mbolo de llave del icono de m dulo cambia ahora de gris a azul Lo que expresa es que para el m dulo se ha configurado una conexi n IPsec 3 Seleccione en el rea de contenido el m dulo SOFTNET Security Client SSC PC2 y arr strelo a Group 1 en el rea de navegaci n El m dulo est asignado ahora tambi n a ese grupo 4 Traslade ahora su proyecto al Modo ampliado en el que encontrar el siguiente comando de men View gt Advanced Mode SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 93 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client 5 Abra las propiedades de grupo del Grupo 1 seleccionado en el men de contexto Propiedades 6 Modifique la duraci n SA de la fase 1 y de la fase 2 en 1440 minutos y deje todos los dem s ajustes en sus valores por defecto 94 C Preshared Key Certificate Key e9QS9Moscm1UTRK
198. lo S lo se genera un archivo ASCII con el que se puede configurar el MD 740 1 MD 741 1 Pero esto s lo es posible si el m dulo se encuentra en al menos un grupo VPN en el que exista tambi n un m dulo SCALANCE S o un SOFTNET Security Client V3 0 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 127 Configuraci n con Security Configuration Tool 4 6 Datos de configuraci n para MD 740 MD 741 Proceda del siguiente modo 128 1 2 3 Marque en el m dulo MD 740 1 MD 741 1 y seleccione Transfer To Module Introduzca en el siguiente di logo para almacenamiento la ruta y el nombre del archivo de configuraci n y haga clic en Save A continuaci n se le pregunta si quiere crear una contrase a propia para los dos archivos de certificado generados Si responde No se asigna como contrase a el nombre de la configuraci n p ej DHCP_ohne_Routing_02 y no la contrase a del proyecto Si responde Yes recomendado tiene que introducir su contrase a en el di logo subsiguiente Resultado Los archivos y certificados se guardan en el directorio indicado por usted Nota Despu s de guardar se le advierte de que el proyecto es incompatible hacia abajo Proyectos guardados por ejemplo con la Security Configuration Tool V2 1 no se pueden cargar con la Security Configuration Tool V2 Nota Podr encontrar m s informaci n para la configura
199. los m dulos SCALANCE S de ese grupo comando Transfer To All Modules ATENCI N Telegramas Layer 2 s lo se transmiten v a t nel si entre dos m dulos SCALANCE S no se encuentra ning n router Regla general Telegramas no IP s lo se transmiten a trav s de un t nel si los equipos que transmiten o reciben los telegramas se pod an comunicar ya anteriormente es decir sin el uso de SCALANCE S El que los modos de red se hayan podido comunicar o no antes del uso del SCALANCE S se determina a trav s de las redes IP en que se encuentran los equipos SCALANCE S Si los SCALANCE S est n en la misma subred IP se parte de que los equipos terminales conectados en las redes protegidas de SCALANCE S se pod an comunicar con telegramas no IP tambi n antes del uso de SCALANCE S Los telegramas no IP se transmiten entonces por t nel M todo de autenticaci n El m todo de autenticaci n se fija dentro de un grupo de una VPN y determina la forma de autenticaci n utilizada Son posibles m todos de autenticaci n basados en clave o en certificado SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 181 Comunicaci n segura en la VPN a trav s de t nel IPsec S6 12 5613 6 1 VPN con SCALANCE S 182 e Preshared Keys La Preshared Key se distribuye a todos los m dulos que se encuentren en el grupo Para ello se introduce previamente en el campo Preshared Ke
200. los m dulos SCALANCE S pertenecientes al mismo grupo Con esto est garantizado en todo momento el intercambio de datos en ambos sentidos dentro de los t neles de un grupo Se reconocen los siguientes nodos e Nodos de red aptos para IP Se encuentran nodos de red aptos para IP si env an una respuesta ICMP al ICMP Subnet Broadcast Nodos IP situados detr s de routers se pueden encontrar si los routers transmiten ICMP Broadcasts e Nodos de red ISO Nodos de red que no sean aptos para IP pero que se puedan interrogar a trav s de protocolo ISO tambi n se pueden programar por aprendizaje Condici n para ello es que respondan a telegramas XID o TEST TEST y XID Exchange Identification son protocolos auxiliares para el intercambio de informaciones en el nivel Layer 2 A trav s del env o de estos telegramas con una direcci n Broadcast se pueden localizar estos nodos de red e Nodos PROFINET Con ayuda de DCP Discovery and basic Configuration Protocol se encuentran nodos PROFINET Nodos de red que no cumplan estos requisitos se tienen que configurar Tambi n se tienen que configurar subredes que se encuentren detr s de routers internos Activaci n y desactivaci n del modo de aprendizaje La funci n de aprendizaje est activada como est ndar para cada m dulo SCALANCE S en caso de configuraci n con la herramienta Security Configuration Tool La programaci n por aprendizaje tambi n se puede desactivar por compl
201. lter events Firewall El Packet Filter Log registra determinados paquetes del tr fico de datos S lo se Packet Filter Log registran paquetes de datos para los que sea v lida un regla de filtrado de paquetes firewall configurada o frente a los que reacciona la protecci n b sica paquetes corruptos o no v lidos Condici n para ello es que est activado el registro para la regla de filtrado de paquetes Audit events Audit Log Audit Log registra de forma autom tica y continua eventos relevantes para la seguridad Por ejemplo acciones del usuario xomo activaci n o desactivaci n del logging de paquetes o acciones para las que un usuario no se haya autenticado correctamente con su contrase a System events System Log El System Log registra de forma autom tica y continua eventos del sistema como p ej el inicio de un proceso El registro se puede escalar en base a clases de eventos Adicionalmente se puede configurar un diagn stico de l neas El diagn stico de l neas proporciona mensajes en cuanto la cantidad de paquetes de telegramas incorrectos supera un valor l mite ajustable Procedimiento de almacenamiento para el registro de datos en caso de logging local El almacenamiento relacionado con el registro de datos se realiza seg n dos procedimientos seleccionables e Ring Buffer Cuando se alcanza el final del b fer el registro contin a al principio del b fer sobrescribiendo las entradas m s anti
202. m dulo SCALANCE S para acceder a la cavidad 2 Quite el tap n M32 de la parte posterior del equipo En pulsador Reset est n alojado en una cavidad en la parte posterior del SCALANCE S directamente junto a la ranura para el C PLUG Esta cavidad est protegida por un tap n de rosca El pulsador se encuentra en un orificio de peque o di metro estando as protegido de un accionamiento por descuido SCALANCE S y SOFTNET Security Client 22 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y pues a en servicio 2 1 Propiedades del producto 3 Presione el pulsador Reset durante menos de 5 segundos El proceso de reinicio dura hasta 2 minutos Durante el proceso de reinicio est encendido el indicador Fault con luz amarilla Cuide de que durante ese tiempo no se interrumpa la alimentaci n el ctrica Una vez finalizado el reinicio el equipo pasa autom ticamente al modo productivo El indicador Fault brilla entonces con luz verde constante 4 Cierre la cavidad con el tap n M32 y monte el equipo Reposici n a la configuraci n de f brica Proceda del siguiente modo ATENCI N Si al restablecer la configuraci n de f brica est conectado un C PLUG se borra el contenido del C PLUG 1 Si es necesario desmonte el m dulo SCALANCE S para acceder a la cavidad 2 Quite el tap n M32 de la parte posterior del equipo En pulsador Reset est n alojado en una cavidad en la pa
203. m dulo o configuraci n de software Configure ahora su tipo de producto el m dulo y la versi n de firmware SCALANCE S y SOFTNET Security Client 54 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall 5 Introduzca en el campo de la Direcci n MAC en el rea de Configuraci n la direcci n MAC impresa en la carcasa del m dulo en el formato especificado Podr encontrar esta direcci n en la p gina principal del m dulo SCALANCE S v ase la figura 6 Introduzca tambi n en el formato preestablecido la direcci n IP externa 191 0 0 200 y la m scara de subred externa 255 255 0 0 y confirme el di logo con OK De ah en adelante se incluir su m dulo en la lista de los m dulos configurados Ss curity A Dr o a Project Edit Inset Tramster View Options Help olem el 31 da xl Mimah amt _ Number Name Type IPAddressext Subnet Maskext IP Address int__ Subnet Maskint_ Default Router _ MAC Address Comment AJ Modules 5 1 Module 5612 V2 191 0 0 200 255 255 255 0 00 0E 8C 00 00 00 Y Module VPN Groups Ready Current User Admin Role Admin Standard Mode Offline 9 3 2 5 Configurar firewall En el Standard Mode se peuden manejar f cilmente los ajustes del Firewall gracias a bloques de reglas predefinidos Haciendo clic se pueden activar estos bloques de reglas Proceda del siguiente modo 1 Marque e
204. n de los distintos servicios se puede realizar as de manera sencilla y segura En el caso de las siguientes funciones y su configuraci n se tienen en cuenta nombres simb licos dentro del proyecto e Firewall e Router NAT NAPT e Syslog e DHCP Validez y car cter inequ voco La validez de los nombres simb licos indicados en la tabla de s mbolos est limitada a la configuraci n dentro de un proyecto SCALANCE S Dentro del proyecto cada nombre simb lico ha de estar asignado de forma inequ voca a una nica direcci n IP o MAC Transferencia autom tica de nombres simb licos a la tabla de s mbolos Puede utilizar nombres simb licos en lugar de direcciones IP en las funciones mencionadas por ejemplo al crear reglas de firewall sin que dichos nombres est n asignados ya en la tabla de s mbolos aqu descrita Nombres simb licos as asignados se transfieren autom ticamente a la tabla de s mbolos y se puede establecer la correspondencia en un momento ulterior En el marco de la prueba de la coherencia se advierte de la falta de correspondencia Cuadro de di logo para asignaci n de nombres simb licos Para evitar una incoherencia en ua correspondencia Direcci n IP Nombre simb lico as como Direcci n MAC Nombre simb lico los nombres simb licos se administran en una sola tabla de s mbolos Seleccione el siguiente comando para abrir la tabla de s mbolos Options gt Symbolic Names SCALANCE S y S
205. n el rea de contenido la l nea Module 1 2 Seleccione el siguiente comando de men Edit Properties 3 En el cuadro de di logo visualizado seleccione la ficha Firewall SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 55 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall 4 Active la opci n en la forma aqu representada E Network Bl Frewal Settings 13 Time Synchronization S Routing Modus Configuration T Tunnel communication only A o Toan v Allow IP traffic from internal to C Allow SiClock time messages from external network external to internal network E ie ic a oler E interel o extemal neto Tase et ae ed J Allow configuration of nodes via DCP IP Logging MAC Log Settings T Log tunneled packets Log passed packets Y Log blocked incoming packets J Log blocked incoming packets V Log blocked outgoing packets I Log blocked outgoing packets Con esto se consigue que el tr fico IP s lo pueda ser iniciado por la red interna desde la red externa s lo se permite la respuesta 5 Seleccione adicionalmente las opciones Log para registrar el tr fico de datos 6 Cierre el cuadro de di logo con OK 7 Guarde ahora este proyecto con el siguiente comando de men bajo un nombre apropiado Project Save As SCALANCE S y SOFTNET Security Client 56 Instrucciones de servi
206. n el C Plug 4 2 Instalaci n La herramienta de configuraci n Security Configuration Tool se instala desde el CD SCALANCE S adjuntado Requisitos Los siguientes requisitos se han de cumplir para la instalaci n y el uso de la Security Configuration Tool en un PC PG e Sistema operativo Windows XP SP2 o SP3 no Home Windows 7 no Home e PC PG con al menos 128 MByte de memoria RAM y una CPU con una frecuencia de reloj de al menos 1 GHz Procedimiento a seguir ATENCI N Antes de proceder a la instalaci n de la Security Configuration Tool lea el archivo README del CD adjuntado En este archivo encontrar informaciones importantes as como referencias a las ltimas modificaciones e Introduzca el CD SCALANCE S en la unidad CD ROM si est conectada la funci n Autorun se inicia autom ticamente la superficie de operaci n desde a que puede realizar la instalaci n O e Inicie la aplicaci n start exe existente en el CD SCALANCE S SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 109 Configuraci n con Security Configuration Tool 4 3 Interfaz de usuario y comandos de men 4 3 Interfaz de usuario y comandos de men Estructura de la interfaz de usuario 7 57 Securit ty Configuration Tool Konfiguration 1 G AMtU_ArbeitsverzeichnisiLichtenberger_StudentVl in ArbeitiSCALANCE_S_ProjekteX Project Edit Insert Transfer V
207. n nn nn nnnnnnrnnnnnmnnnnnnnnrrnannnnenns 131 5 2 Crear m dulos y ajustar par metros de red coooinnccccnnnccccnnnonoccnnnnnoncnn nano nn nnnnno nn rro narrar 132 5 3 Firewall Propiedades del m dulo en el Standard Mode ooooooooncccococccncccccnconononccnncnnnnnnnononnnnnnns 135 5 3 1 Configurar firewalls ias id lite 135 5 3 2 Preajuste del firewall a dt 138 5 4 Firewall Propiedades del m dulo en el Advanced Mode ooooccococococccccccccccononcnccnncnncnnnnoncnncnnnn 141 5 4 1 Configurar firewalls sirais a id e dd 141 5 4 2 Reglas de Firewall globales coomoiniticcnnicia miii diri iii 142 5 4 3 Ajuste de reglas de filtros de paquetes IP lOCAles oooononcccconnniccnonncccccononcccnonancccnanancccnnnn cnc 145 5 4 4 Reglas de filtrado de paquetes P oooooonoonnnoccccconcccccoconononccnnnnnnnnnnonnnncnnnnnnnnnnn nn nncnn nan annnnnnnnncnn 147 5 4 5 Definir servici s IP taii e A A AA a A ta eii 150 5 4 6 Definir servicios EMP 2 aii a at 152 5 4 7 Ajustar reglas para filtrado de paquetes MAC oococcccocccccncccococononcnnnnnncnnnnnnonnnnnnnnnnnnnnnnnncnnnnnnnnns 154 5 4 8 Reglas para filtrado de paquetes MAC oooccccoccccccncccccoconononocnncnncnnnnnnnnncnncnnnnnnnnnnnn cn nn nnnnnnnnnnnncnnnns 155 5 4 9 Definir servicios MAC ocio 157 5 4 10 Configurar grupos de servicios oooooconcccccncnnncccnconnononnconnnnnnnnnnnnncnnnnnnnnnnnnnnnnnnnnnnnnnnnnrnnnnnrrnnnnnnenns 159 5 5 SINCTONIZACION OMA a a E a A 161 5 6 Creaci n de certific
208. namiento soraio a aa E nn nr canon narco rr rre rara rra 107 4 2 EE a A A a a E E a a AN a 109 4 3 Interfaz de usuario y comandos de MeN ooocccccoccccnoconncccnonononnnnnnn cnc crono cnn ran n nn nr nnnn nn n nn 110 4 4 Administraci n de proyectos ii A A AA ai 113 4 4 1 RESUMON Add 113 4 4 2 Creaci n y edici n d proyectos ooocccoococccccononcccccnnoncncnnnoncncnnnnnncc nano cnn cnn nn aoaia aiaia 115 4 4 3 Configuraci n de USUa OS ooooocccccnnocccccononcccnononcncnnnonnnccnnnon nn cnn non nn cnn non rr naar nc nn nnn arc rnnnn nn duanan aaan 118 4 4 4 Check CONSISTONCY aa aaia ll A A A ANE id 120 44 5 Asignaci n de nombre simb licos para direcciones IP o MAC cncinocicnococcnononancnnnnnancnnnano 121 4 5 Cargar la configuraci n en SCALANCES S ooonccccnococcconooncncnononcnnnnnoncncnnnnnnncnnnn nn nc nnnn nc rc nnnnnncnnnns 124 4 6 Datos de configuraci n para MD 740 MD 741 ooocccoonoccccnonccccnccnnoncnncnnonnnn nano ncnr nano cnn r rana cnn 126 SCALANCE S y SOFTNET Security Client 8 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Contenido 5 Firewall Router y otras propiedades del M dUIO cccoooococccccnccononononnncnononnonananononcnnnnnonanannnnnnnnnonnnnnos 129 5 1 Vista general p NeT S a A diia 130 5 1 1 SCALANCE S COMO firewall e a a a a a a a aae Ea 130 5 1 2 SGALANCE SicomO ROUTE Peien idas e a n aa a a aa eaaa 131 5 1 3 SCALANCE S como DHCP Servef docccocccccccccocnnoononcnncnncnnnnnnnnnnnncnnnnnnnn
209. ncriptaci n y desencriptaci n de datos confidenciales difundidos v a Internet y otras redes emitiendo por ejemplo certificados digitales y firm ndolos Una autoridad de certificaci n en ingl s Certificate Authority abreviado CA es una organizaci n que expide certificados digitales Para la comunicaci n en redes inform ticas un certificado digital es el equivalente a un documento de identidad Una autoridad de certificaci n otorga certificados a las estaciones de una red y los autentica Con SCALANCE S se genera siempre un certificado CA por cada grupo El grupo otorga certificados a los miembros del grupo y los autentica con el certificado de grupo certificado de grupo certificado CA Se recurre a los certificados SSL para autenticar la comunicaci n entre PG PC y SCALANCE S al cargar la configuraci n y en el registro logging Challenge Handshake Authentication Protocol Protocolo de autenticaci n utilizado en el marco del protocolo punto a punto Point to Point Protocol PPP PPP est ubicado en la capa de seguridad de la familia de protocolos de Internet Se entiende por Client cliente un equipo o en general un objeto que pide a un gt Server servidor que preste un servicio El protocolo SSL est asentado entre el TCP OSI Layer 4 y los servicios de transmisi n como p ej HTTP FTP IMAP etc y sirve para una transacci n protegida SSL cuida al respecto de que el usuario se conecte inequ vocamente
210. nel para la conexi n de t nel protegida a trav s de una red p blica Con esta configuraci n se consigue que el tr fico IP entre dos interlocutores autorizados s lo sea posible a trav s de las conexiones de t nel VPN establecidas Construcci n de la red de test PC3 SCALANCE S O EA M dulo 1 n red interna l a J Jl E Red p blica externa SCALANCE S y SOFTNET Security Client 74 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client e Red interna conexi n a SCALANCE S Port 2 puerto Internal Network En la estructura de test en la red interna un nodo de red se realiza por medio de un PC que est conectado al puerto Internal Network Port 2 verde de un m dulo SCALANCE S PC1 representa a una estaci n participante en la red interna SCALANCE S Module 1 M dulo SCALANCE S para protecci n de la red interna e Red externa p blica conexi n a SCALANCE S Port 1 puerto External Network La red externa p blica se conecta al puerto External Network Port 1 rojo de un m dulo SCALANCE S PC2 PC con el software de configuraci n Security Configuration Tool y el software SOFTNET Security Client para el acceso VPN seguro a la red interna PC3 PC de test para la secci n de test 2 Nota En el ejemplo en representaci n de una red WAN ext
211. nnnnnnnnnos 235 A 5 Clave de los datos de configuraci n comprometida O perdida ooooononccocccinnnccccccoconccnncnnnnnnns 236 A 6 Comportamiento operativo general ooooonooccccnnnnncnccnnononcnncnnncnnnnonononnnnnnnnnnnnnnnncnnnnnnnnnnnnnnncnncnnannes 237 Informaciones sobre la identificaci n CE ooonoconccinnnccinncconnccnnonccnnncnncnncnnn conan nn rn nn 239 Bibliograf a our ni na AEEA crnlsiado learn aia i cido ENERE E TITEN ITRE 241 Es emaacot doie n a tia 243 Historia del JOCUMENtO rsss nadene nane ranae dean atracan aida aeaaaee ai eaa alii sioan 245 E 1 Historia del doc mento isinen anias erani ed did 245 Glosario lista de abreviaturaS siisii eieiei tais cnn nnnnn cnn i aak a idaan iira aika aaa Ta aeda ariaa i 247 A iana n a A A AN OAA S AAEE AAR Eai 259 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Introducci n y fundamentos 1 Con SIMATIC NET SCALANCE S y SIMATIC NET SOFTNET Security Client se ha decidido por el concepto de seguridad SIEMENS que satisface los altos requisitos exigidos a la seguridad de la comunicaci n en la t cnica de automatizaci n industrial Este cap tulo le proporciona una visi n de conjunto de las funciones de seguridad propias de los equipos y los componentes e Security Module SCALANCE S e SOFTNET Security Client A Un consejo Encontrar una descripci n del acceso r pido con SCALANCE S en el cap tulo 3 GETTING STARTED 1 1 Us
212. nnnnnnr nano rca rnnnn rra rra rra 57 3 2 7 Probar la funci n Firewall Ping TesSt ooooonnnncccnnnnniccnnnnocccnnnnonacnnn conocia nn nono cnn nono nn rro rara 57 3 2 8 Registro del tr fico de datos del firewall LOYYIND ooooococnnnnicinnnnnicicnnococnnononannnnnnnancnr nan nnnrnnnn 59 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router oooooo 60 3 3 1 AM e dal E od 60 3 3 2 Poner a punto los SCALANCE S y la red cocccccconcococcconcoccncnonononcnonono na nr nono cnn rro rca r nino rc nnnn rca 62 3 3 3 Preparar los ajustes de IP de los PCS eicciciciocni niiattitelii die 63 3 3 4 Grear proyecto Ymod l ernro O a 65 3 3 5 Configurar modo NAT ROUET nin ra RE E A E rra r rn enc rnnnn rra 66 3 3 6 Configurar irewall ss nonas a ao 68 3 3 7 Cargar la configuraci n en SCALANCE S oononccccnnonccccnononcnnnnnncnnnnnonnnn cano nnnn nano rca rra encarnan rca 71 3 3 8 Probar la funci n NAT Router Ping Test oooooononnccccnnnnnccccnnnocccnnnnono nano nono nano nnno cnn r nano rca rnnnn rra 71 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Contan iarri aa iia a A E Ri 74 3 4 1 RESUMO A A a do 74 3 4 2 Instalar el SCALANCE S y la TOO oooococcccnonococicononcccconcncccnn nn cnn cnn rca narran rr 76 3 4 3 Preparar ajustes IP de los PCS oooonoccninncccinnnnocccnnnoncncnnnononcnnnnn nn anno rn cnn anna rana nn 77 3 4 4 Crear proyecto y M OdUlOS sAr eian a daa ita
213. nsporte para datos no pertenecientes a dicho servicio SCALANCE S y SOFTNET Security Client 258 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 ndice alfab tico A Actualizaci n del firmware 38 Administraci n de usuarios 113 118 Advanced Mode 108 232 Ajuste de f brica 22 ajustes de red de un m dulo 133 Ajustes de Security 203 Ajustes IKE 186 187 Ajustes IPSec 186 188 Alimentaci n de tensi n 17 Alimentaci n el ctrica 20 Aplicaciones est ndar 17 Asignaciones a grupos 113 Ausencia de retroacci n 13 15 Authentication User 118 Autocrossing 20 Autonegotiation 20 B Barra de men s 111 Bloque de bornes 18 bloques de reglas IP 142 bloques de reglas MAC 142 bloques de reglas para firewall globales 114 Broadcast 182 C cable de Ethernet cruzado 20 cargar 124 Caso de recambio 36 CD 19 109 CD SCALANCE S 109 Certificate 182 Codificaci n 109 117 Codificaci n IPSec 13 15 Comandos de men 111 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Condiciones del entorno compatibilidad electromagn tica 25 Conectores RJ 45 19 Conexiones 25 125 configuraci n cargar 31 primera 31 Configuraci n de f brica 32 configurar offline 31 Contacto de se alizaci n 18 21 Conversi n de direcciones 165 C PLUG 16 35 no escrito 36 Reponer 37 retirar 37 D datos de proyecto coherentes
214. nstrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo Configuraci n 5 7 Routing Modus En la siguiente configuraci n de routing encontrar asignaciones de direcciones seg n la conversi n de direcciones NAT E Network SSL Certficate Routing Y Routing active external module IP address internal module IP address 192 168 10 1 192 168 121 external subnetmask internal subnetmask 33 Time Synchrorization Ely Routing Modus 255 255 255 0 255 255 255 0 NAT V NAT active I Allow Internal gt External for all users external IP address t 192 168 10 102 192 168 123 External gt Internal 192 168 101 F rtemal gt Ezemal j NAPT TU NAPT active external IP address El Routing Modus 33 Time Synchonization JE Frewal Settings El SSLCertficate 192 168 123 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 al all 192 168 10 1 173 Firewall Router y otras propiedades del m dulo 5 8 Servidor DHCP Descripci n Ejemplo 1 Permitir todas las estaciones internas para comunicaci n externa En el campo de di logo NAT est activada la casilla de control Allow Internal gt External for all users Con esto es posible la comunicaci n de interna a externa La conversi n de direcciones tiene lugar as de forma que todas las direcciones interna
215. nt Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y pues a en servicio Datos t cnicos 2 1 Propiedades del producto Conexiones Conexi n de equipos terminales o componentes de red a trav s de Twisted Pair 2 conectores hembra RJ 45 con asignaci n MDI X 10 100 Mbit s semid plex d plex completo Conexi n de la alimentaci n el ctrica 1 bloque de bornes enchufable de 4 polos Conexi n para contacto de se alizaci n 1 bloque de bornes enchufable de 2 polos Datos el ctricos Tensi n de alimentaci n Alimentaci n DC 24 V DC 18 hasta 32 V e de ejecuci n redundante e Baja tensi n de seguridad SELV Potencia perdida para DC 24 V 3 84 W Consumo de corriente con la tensi n nominal 250 mA como m ximo Longitudes de cables permitidas Conexi n a trav s de cables Industrial Ethernet FC TP 0 100 m Industrial Ethernet FC TP Standard Cable con IE FC RJ 45 Plug 180 o a trav s de Industrial Ethernet FC Outlet RJ 45 con 0 90 m Industrial Ethernet FC TP Standard Cable 10 m TP Cord 0 85m Industrial Ethernet FC TP Marine Trailing Cable con IE FC RJ 45 Plug 180 o 0 75m Industrial Ethernet FC TP Marine Trailing Cable 10 m TP Cord Recursos de software para VPN Cantidad de t neles IPsec SCALANCE S612 SCALANCE S613 64 como m ximo 128 como m ximo Recursos de software Firewall
216. ntonces la comprobaci n de coherencia detecta un fallo de coherencia al intentar una derivaci n de la configuraci n As no podr usted derivarse de su configuraci n del SOFTNET Security Client hasta que haya adaptado los ajustes seg n corresponda Authentication IKE Mode Grupo DH Codificaci n Hash Duraci n Min Certificado Main mode Grupo DH 2 3DES 168 SHA1 1440 2879 modo principal Preshared Keys Main mode Grupo DH 2 3DES 168 SHA1 1440 2879 modo principal Certificado Main mode Grupo DH 2 AES256 SHA1 1440 2879 modo principal 6 4 4 Configurar propiedades VPN espec ficas del m dulo Para el intercambio de datos a trav s de t nel IPsec en VPN se pueden configurar las siguientes propiedades espec ficas del m dulo e Dead Peer Detection e Permiso para iniciar el establecimiento de la conexi n e Direcci n IP p blica para comunicaci n a trav s de Internet Gateways Abrir el cuadro de di logo para configuraci n de propiedades de m dulo VPN Marque el m dulo a editar y seleccione el siguiente comando de men en el modo Extended SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 191 Comunicaci n segura en la VPN a trav s de t nel IPsec 8612 5613 6 4 Configuraci n de t nel en el Advanced Mode Edit Properties ficha VPN Nota La ficha VPN s lo se puede seleccionar si el m dul
217. o 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 2 Crear m dulos y ajustar par metros de red Ajustes de red de un m dulo Los ajustes de red de un m dulo abarcan e Par metros de direcci n del m dulo e Direcciones de routers externos Par metros de direcci n Puede usted configurar los par metros de direcci n a trav s del cuadro de di logo Selecci n de un m dulo o configuraci n de software al crear un m dulo Los par metros de direcci n se pueden introducir tambi n en el rea de contenido seleccionando para ello en el rea de navegaci n el objeto All Modules Se visualizan por columnas las siguientes propiedades de los m dulos Tabla 5 1 Par metros IP All Modules seleccionado Propiedad columna Nummer Significado N mero de m dulo correlativo Comentario selecci n se asigna autom ticamente Name Denominaci n del m dulo tecnol gicamente razonable de libre elecci n Direcci n IP ext Direcci n IP a trav s de la cual se puede acceder al equipo en la red externa por ejemplo para cargar la configuraci n Asignaci n adecuada para la red M scara de subred ext M scara de subred Asignaci n adecuada para la red Direcci n IP int Direcci n IP a trav s de la cual se puede acceder al equipo en la red interna por ejemplo si est configurado como router Asignaci n adecuada para la red Este c
218. o Routing GETTING STARTED Ejemplo Acceso remoto Adem s d ela subred interna directa conectada al SCALANCE S en el modo Routing se pueden configurar otras subredes con lo que es posible acceder a las mismas SOFTNET Security Client V2 0 En la vista general de t neles Tunnel Overview se ha a adido un campo de texto con informaci n de diagn stico para el establecimiento de conexiones El ajuste de adaptadores de red se ha simplificado con un automatismo En el inicio el SOFTNET Security Client intenta encontrar autom ticamente un ajuste de adaptador de red apropiado Datos de configuraci n para el m dulo Modul MD 741 1 Para configurar un MD 741 1 externo puede crear datos de configuraci n con la nueva versi n de la Security Configuration Tool Esto era nuevo en la edici n 06 de este manual 246 e SOFTNET Security Client V3 0 Adem s de los sistemas operativos Windows XP SP2 y Windows XP SP3 tambi n se soporta el sistema operativo Windows 7 no la versi n Home SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Glosario lista de abreviaturas AES Ancho de banda ARP BDC BRI AAA representa la s ntesis de un concepto de seguridad que incluye los t rminos Authentication Autorization y Accounting Advanced Encryption Standard Un cifrado de bloque sim trico Se puede seleccionar en SCALANCE S para codificar los datos Caudal de tr fico m
219. o una conexi n con un SCALANCE S e Online El modo online sirve para comprobar y diagnosticar un SCALANCE S Offline Datos de configuraci n Dos vistas de operaci n En el modo offline la Security Configuration Tool proporciona dos vistas de operaci n e Standard Mode El Standard Mode est preajustado en la Security Configuration Tool Permite una configuraci n r pida y sin complicaciones para el uso de SCALANCE S e Advanced Mode En el Advanced Mode existen otras posibilidades de ajuste que permiten ajustar de forma personalizada las reglas de firewall y las funciones de seguridad SCALANCE S y SOFTNET Security Client 108 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Configuraci n con Security Configuration Tool 4 2 Instalaci n Forma de trabajar Seguridad y coherencia e S lo pueden acceder usuarios autorizados Cada proyecto se puede proteger de acceso no autorizado asignando contrase as e Datos de proyecto coherentes Ya durante la entrada en los distintos cuadros de di logo se realizan comprobaciones de la coherencia Adem s puede iniciar en todo momento una prueba de coherencia a nivel de proyecto en la que se incluyen todos los cuadros de di logo S lo se pueden cargar datos de proyecto coherentes e Protecci n de datos de proyecto por codificaci n Los datos de proyecto y configuraci n almacenados est n protegidos por codificaci n tanto en el archivo de proyecto como e
220. o a configurar se encuentra en un grupo VPN S Module Properties Modulel a E Network Firewall Settings SSL Certificate Li Time Synchronization A Logging 8 Nodes 5 VPN 2 Routing Modus E DHCP Server Dead Peer Detection V Permit Dead Peer Detection Timeinterval in sec 120 2 Permission to initiatethe Start connection to remote VPN gateway X connection WAN IP address lf there is no IP Address specified the external IP Address will be used OK Cancel Help Dead Peer Detection DPD Estando activado DPD los m dulos intercambian mensajes adicionales a intervalos de tiempo ajustables Con esto se puede reconocer si a n existe una conexi n en VPN Si ya no existe se finalizan prematuramente las Security Associations SA Estando desactivado DPD la Security Association SA s lo finaliza tras expirar su duraci n de SA ajuste de la duraci n de SA ver la configuraci n de las propiedades del grupo Como est ndar est activado DPD Permiso para iniciar el establecimiento de la conexi n Puede limitar el permiso para iniciar el establecimiento de la conexi n de VPN a determinados m dulos en VPN SCALANCE S y SOFTNET Security Client 192 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S6 12 5613 6 4 Configuraci n de t nel en el Advanced Mode El factor decisivo para el ajuste
221. o de SCALANCE S612 S613 y SOFTNET Security Client Protecci n completa misi n de SCALANCE S612 S613 Por combinaci n de diversas medidas de seguridad como son Firewall router NAT NAPT y VPN Virtual Private Network a trav s de t nel IPsec los SCALANCE S612 S613 protegen equipos concretos o tambi n c lulas de automatizaci n completas de e Espionaje de datos e Manipulaci n de datos e Accesos no autorizados SCALANCE S612 S613 hace posible una protecci n flexible exenta de retroacciones independiente de protocolos a partir de Layer 2 seg n IEEE 802 3 y con un manejo sin complicaciones SCALANCE S612 S613 y SOFTNET Security Client se configuran con la herramienta Security Configuration Tool SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 11 Introducci n y fundamentos 1 1 Uso de SCALANCE S612 S613 y SOFTNET Security Client ha mm Ordenador de ejecuci n e Firewall e Router e NAT NAPT Router Figura 1 1 12 External Internal A A Red externa Service Computer con SOFTNET Security Client VPN por el t nel IPsec SCALANCE S HMI interna C lula de automatizaci n Configuraci n de red con SCALANCE S612 S613 interna C lu
222. oncncnnnn acc cnnnn nc ncnnnnnccnnns 207 7 5 Configuraci n y edici n de t neles ooooonccccnnnoncccnnnnocccccononcccnononcccnnnnccnnnno cnn cnn nn nc cr naar nn cc nannan nanan 210 Funciones online Test Diagn stico y LOQQING coocccooncconococonoccnoncncnnnccnnonnnonnnnnnnnnnnrnncnnnnrn nr 221 8 1 Panor mica de funciones del cuadro de di logo online ooooooocccinncnccninoniccnnnoccncnanannncnananca rancio 222 8 2 Registro de eventos Logging oooccccnnocccccnnnoccccnononcncnanancncnnno cnn ccnnn cnn rnnnn nn nr ran rra a ANE EAS AAAS 224 8 2 1 Log local ajustes en la configuraci n oconnoccccnonoccccnanconnnccnnoncncnnno conc nnno nc nr ran rca r narrar rara 225 8 2 2 Network Syslog ajustes en la configuraci n ooooocccccnonociccnonocnccnononcncnnnancnn nano nan r nano cnn r rana nara 228 8 2 3 La configuraci n del Logging de paquetes oooccoonooccccnnoccccccononcnccononcncnnno nan c nano nn nr canon narran nara 231 Consejos y ayuda O 235 A 1 El m dulo SCALANCE S no se inicializa CorrectaMente ooooooccccinoniccnnnoccccnnnoncnnnnnancnr nana ncnnnnno 235 A 2 M dulo SCALANCE S NO accesible ooococoonoccccnnnocccccononccnconnoncnccnnancnn cano nc nr cnn rca rnnnn nn rra anar 235 A 3 Sustituci n de un m dulo SCALANCE 3S ooninccccnnnonccccnnnoncncnnnoncncnnnnnnnnnnnnncn naar acc c naar nn nc naar nncninns 235 A El m dulo SCALANCE S est COMproMetidO oooooccccccccocccoococcconcnncnnnnononncnnnnnnnnnnoncnnnnnnn
223. ones La ayuda online le proporcionar tambi n informaci n detallada sobre los di logos y los par metros ajustables Puede acceder a esta ayuda con la tecla F1 o con el bot n en el respectivo cuadro de di logo Consulte tambi n Funciones online Test Diagn stico y Logging P gina 221 6 1 VPN con SCALANCE S Conexi n segura a trav s de red no protegida En las redes internas protegidas por SCALANCE S los t neles IPsec proporcionan a los nodos una conexi n de datos segura a trav s de la red externa no segura El intercambio de datos de los equipos a trav s de t nel IPsec en la VPN tiene con esto las siguientes propiedades e Confidencialidad Los datos intercambiados est n protegidos de escuchas e Integridad Los datos intercambiados est n protegidos de falseamientos e Autenticidad S lo puede establecer un t nel quien cuente con la correspondiente autorizaci n SCALANCE S utiliza el protocolo IPsec modo t nel de IPsec para la formaci n de t neles SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 179 Comunicaci n segura en la VPN a trav s de t nel IPsec 8612 5613 6 1 VPN con SCALANCE S Firewall 4 A o Internal 3 interno operar amp observar OO gt ADO ZO A EXA a a la Red externa SCALANCE S IE PB Link ET 200X l interna C lula de automatiza
224. onfiguraci n en SCALANCE S y guardar la configuraci n de SOFTNET Security Client Procedimiento a seguir 1 Llame el siguiente cuadro de di logo con el comando aqu indicado Transfer To All Modules Download To All Modules E Module Name Status M SSC PC2 SSC Changed Y Module 1 Changed V Logon as current user Select All Show only changed modules Deselect All Processing Start Details gt gt Close 2 Inicie el proceso de carga con el bot n Start 3 Guarde el archivo de configuraci n Nombredeproyecto sscPC2 dat en su directorio del proyecto y asigne una contrase a como clave privada del certificado Si el proceso de carga se ha concluido sin errores el SCALANCE S arranca de nuevo autom ticamente y se activa la nueva configuraci n Resultado SCALANCE S en modo productivo SCALANCE S se encuentra ahora en el modo productivo Este estado es se alizado por el diodo Fault con luz verde Con esto ha concluido la puesta en servicio de la configuraci n y el m dulo SCALANCE S y el SOFTNET Security Client pueden crear un t nel de comunicaci n a trav s del que se pueden comunicar de forma segura los nodos de las redes internas con PC2 Nota Para el uso de una WAN como red externa p blica no se puede configurar un m dulo SCALANCE S con la configuraci n de f brica a trav s de la red WAN Configure en este caso el m dulo SCALANCE S a partir de la red inte
225. ontaje mural Referencias de pedido SCALANCE S602 6GK5602 0BA00 2AA3 SCALANCE S612 6GK5612 0BA00 2AA3 SCALANCE S613 6GK5613 0BA00 2AA3 Manual Industrial Ethernet Redes TP y Fiber 6GK1970 1BA10 0AAO Optic N meros de referencia para accesorios IE FC Stripping Tool 6GK1901 1GA00 IE FC Blade Cassettes 6GK1901 1GB00 IE FC TP Standard Cable 6XV1840 2AH10 IE FC TP Trailing Cable 6XV1840 3AH10 IE FC TP Marine Cable 6XV1840 4AH10 IE FC RJ 45 Plug 180 6GK1 901 1BB10 2AA0 unidad de embalaje 1 pieza IE FC RJ 45 Plug 180 6GK1 901 1BB10 2AB0 unidad de embalaje 10 piezas IE FC RJ 45 Plug 180 6GK1 901 1BB10 2AE0 unidad de embalaje 50 piezas SCALANCE S y SOFTNET Security Client 26 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y pues a en servicio 2 2 Montaje 2 2 Montaje Nota Los requisitos de la norma EN61000 4 5 Comprobaci n de fuentes en l neas de alimentaci n el ctrica s lo se cumplen si se utiliza un descargador de corrientes de rayo Blitzductor VT AD 24V Ref 918 402 Fabricante DEHN S HNE GmbH Co KG Hans Dehn Str 1 Postfach 1640 D 92306 Neumarkt Alemania N ADVERTENCIA Para uso en condiciones de protecci n contra explosi n Zona 2 el producto SCALANCE S se tiene que montar en una carcasa En el mbito de validez de ATEX 95 EN 50021 esta carcasa ha de ser conforme al menos con I
226. op se asigna esa regla de Firewall a ese m dulo Esta regla de Firewall global aparece entonces autom ticamente en la lista de reglas de Firewall espec fica del m dulo Se pueden definir reglas de Firewall globales para e bloques de reglas IP e bloques de reglas MAC i 3 Security Configuration Tool Configuration Eolo Project Edit Insert Transfer View Options Help Dlm lel al al a Offline View Rule set name Description Type HE Ruieseti Descripbon Ruleset IP H Ruleset2 Description Ruleset2 IP 142 R Rulese Description Ruleset3 IP Curent User Admin Role Admin Advanced Mode Offine 9 La representaci n siguiente ilustra la relaci n entre los bloques de reglas de definici n global y los bloques de reglas utilizados a nivel local SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Proyecto juego de reglas globales n M dulo juego de reglas globales 2 juego de reglas local juego de reglas globales 1 Pa de Regla local 11 Regla g1 juego de reglas globales 2 Regla g2 Regla local 12 Regla g3 juego de reglas globales 1 Cu ndo son convenientes reglas de Firewall globales El uso de reglas de Firewall globales tiene sentido si puede definir criterios de filtro id
227. ormato predeterminado Direcci n IP 192 168 1 1 Configure adem s la m scara de subred interna correspondiente M scara de subred 255 255 255 0 9 Cierre ahora el cuadro de di logo con OK Obtendr ahora una vista correspondiente a la siguiente figura SCALANCE S y SOFTNET Security Client 92 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client Project Edit Insert Transfer View Options Help Dls u el 571100 de E a Offline View _ Number Name Type IPAddressext Subnet Maskext IP Addressint_ Subnet Maskint_ Default Router_ MAC Address Comment 5 OUEN Si SSC PC2 SOFINE SSC PC2 52 MD741 1 MD741 1 821283654 255 255 255 0 192 168 1 1 255 255 255 0 Ey MD741 1 VPN Groups Ready Current User Admin Role Admin Standard Mode Offline 2 ER r 3 5 5 Configurar la conexi n de t nel Un MD741 1 y el SOFTNET Security Client pueden crear exactamente un t nel IPSec para la comunicaci n segura si est n asignados a un mismo grupo en el proyecto Procedimiento a seguir 1 Seleccione en el rea de navegaci n All Groups y cree un nuevo grupo con el siguiente comando de men Insert gt Group Este grupo recibe autom ticamente el nombre Group 1 Security Configuration Tool Konfiguration 1 all e Projekt Bearbeiten Einf gen bertragen Ansicht Optionen Hi
228. ortamiento operativo general SCALANCE S y SOFTNET Security Client 238 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Informaciones sobre la identificaci n CE Designaci n del producto SIMATIC NET SCALANCE S602 6GK5602 0BA0O 2AA3 SIMATIC NET SCALANCE S612 6GK5612 0BA00 2AA3 SIMATIC NET SCALANCE S613 6GK5613 0BA00 2AA3 Directiva sobre compatibilidad electromagn tica Directiva 89 336 CEE Compatibilidad electromagn tica Campo de aplicaciones El producto est concebido para usos industriales Campo de aplicaciones Requisitos relativos a Emisi n de interferencias Inmunidad a interferencias Uso industrial EN 61000 6 4 2001 EN 61000 6 2 2001 Observar las directivas para el montaje El producto cumple los requisitos si para la instalaci n y el uso se tienen en cuenta las directivas de montaje y las consignas de seguridad que aparecen en esta descripci n as como en el manual SIMATIC NET Industrial Ethernet Redes Twisted Pair y Fiber Optic ar Declaraci n de conformidad Seg n exigen las directivas CE arriba mencionadas la declaraci n de conformidad CE est a disposici n de las autoridades competentes en Siemens Aktiengesellschaft Bereich Automatisierungs und Antriebstechnik Industrielle Kommunikation A amp D SC IC Postfach 4848 D 90327 N rnberg SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C7
229. os Abra de la forma siguiente el cuadro de di logo en el que puede introducir la fecha de caducidad del certificado e haciendo un doble clic en un m dulo de la ventana de propiedades o bien con el bot n derecho del rat n a trav s del comando Properties ATENCI N Una vez caducado un certificado se finaliza la comunicaci n a trav s del t nel 6 2 2 Tipos de m dulos dentro de un grupo Tipos de m dulos Los siguientes tipos de m dulos se pueden configurar en grupos con la Security Configuration Tool e SCALANCE S612 e SCALANCE S613 SCALANCE S y SOFTNET Security Client 184 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S6 72 5613 6 3 Configuraci n de t nel en el Standard Mode e SOFTNET Security Client e MD 74x sive para MD740 1 o MD741 1 Reglas para la formaci n de grupos Observe las reglas siguientes si desea formar grupos VPN e El primer m dulo asignado a un grupo VPN decide qu otros m dulos se pueden agregar Si el primer equipo agregado est en el modo Routing s lo se pueden agregar adicionalmente m dulos con el Routing activado Si el primer equipo agregado no est en el modo Bridge s lo se pueden agregar adicionalmente m dulos en el modo Bridge Si se debe modificar el modo de un grupo VPN se tienen que quitar todos los m dulos contenidos en el grupo agreg ndolos despu s de nuevo e No es posib
230. os cuadros de di logo y los par metros registrados en el diagn stico en el logging en la ayuda online de la Security Configuration Tool Puede acceder a esta ayuda con la tecla F1 o con el bot n en el respectivo cuadro de di logo Consulte tambi n Panor mica de funciones del cuadro de di logo online P gina 222 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 221 Funciones online Test Diagn stico y Logging 8 1 Panor mica de funciones del cuadro de di logo online 8 1 Panor mica de funciones del cuadro de di logo online SCALANCE S ofrece las siguientes funciones en el cuadro de di logo online Tabla 8 1 Funciones y logging en el diagn stico online Funci n ficha en el di logo online Significado Funciones de sistema y estado Status Visualizaci n del estado del m dulo SCALANCE S seleccionado en el proyecto Communications status S612 S613 Visualizaci n del estado de comunicaci n y de los nodos de red internos hacia otros de los m dulos SCALANCE S pertenecientes al grupo de VPN Date and time Ajuste de la fecha y la hora Internal nodes 8612 8613 Visualizaci n de los nodos de red internos del m dulo SCALANCE S Funciones de logging System Log Visualizaci n de eventos de sistema registrados Audit Log Visualizaci n de eventos de seguridad registrados Packet Filter Log Vis
231. os los archivos y certificados necesarios y puede poner en servicio el MD741 1 y el SOFTNET Security Client 3 5 7 Realizar la configuraci n del MD741 1 Con la ayuda del archivo de texto guardado Nombredelproyecto MD741 1 txt puede llevar a cabo f cilmente la configuraci n con la Web Based Management del MD741 1 A continuaci n tomando este ejemplo se le muestra paso a paso la configuraci n del MD741 1 Para la configuraci n se realiza lo siguiente e el MD741 1 recibe una direcci n IP p blica fija a la que se puede acceder v a internet e el SOFTNET Security Client recibe una direcci n IP din mica del proveedor SCALANCE S y SOFTNET Security Client 96 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client Paralelamente se le indicar donde corresponda que configure un nombre DynDNS para el MD741 1 Procedimiento a seguir 1 Certificates Con ctese por medio del PC1 con la plataforma web del MD741 1 Observaci n Si el MD741 1 tiene ajustes de f brica entonces la interfaz interna del m dulo tiene la direcci n IP 192 168 1 1 Navegue por el siguiente directorio IPSec VPN Certificados Ha guardado los certificados necesarios en el ltimo cap tulo de PC2 y ha indicado una contrase a para la clave privada Transfiera primero los certificados Nombredelproyecto Seriedeletras M
232. phone Network Sistema de comunicaciones p blico para la transmisi n de voz entre abonados alejados Remote Access Service Con el Remote Access Service se tiene la posibilidad de conectar clientes con la red local a trav s de enlaces de m dem RDSI ISDN o X 25 En este caso no s lo se da soporte a diferentes clientes sino que adem s se dispone de una gran flexibilidad para la selecci n y las posibilidades de combinaci n de los protocolos de red utilizados SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 255 Glosario lista de abreviaturas Regla de filtro de paquetes Con las reglas de filtro de paquetes se define si un paquete de datos puede pasar o no el filtro de paquetes La decisi n de si un paquete puede pasar o no se toma en base a campos de protocolo Ejemplos de campos de protocolo son la direcci n IP de origen y la direcci n IP de destino En el SCALANCE S se pueden indicar reglas de filtro para protocolos MAC o IP Regla de filtro de paquetes MAC Por medio de reglas de filtro de paquetes MAC se pueden filtrar telegramas MAC Router NAT NAPT RSA Con esta t cnica se consigue que las direcciones de las estaciones de la subred interna no se conozcan en la red externa en la red externa s lo se pueden ver a trav s de las direcciones IP externas definidas en la lista de conversi n Rivest Shamir 8 Adleman Algorithm Se trata de un sistema criptogr fico qu
233. pl Arima C Preshared Key Certificate Key ly 9 7ul1hzmHI20fy Name P5C79 G9A54 New Properties Advanced Settings Phase 1 IKE Mode Main y Phase 1 DH Group Group2 bd SA Lifetype Time y SA Life 2500000 min Phase 1 Encryption 3DES 168 X Phase 1 Authentication SHA1 y Advanced Settings Phase 2 SA Lifetype Time Bd SA Life 2880 min Phase 2 Encryption 3DES 168 yl Phase 2 Authentication SHA1 y Perfect Forward Secrecy Comment Par metros para ajustes ampliados Fase 1 Ajustes IKE Fase 1 Cambio de clave IKE Internet Key Exchange Aqu puede ajustar par metros para el protocolo de gesti n de claves IPsec El cambio de clave tiene lugar por medio del procedimiento estandarizado IKE Se pueden ajustar los siguientes par metros de protocolo IKE SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 187 Comunicaci n segura en la VPN a trav s de t nel IPsec S6 12 5613 6 4 Configuraci n de t nel en el Advanced Mode Tabla 6 2 Par metros de protocolo IKE grupo de par metros Advanced Settings Phase 1 en el di logo Par metros IKE Mode Valores selecci n e Main Mode e Aggressive Mode Comentario M todo de cambio de clave La diferencia entre la modalidad Main y Aggressive es la Identity Protection que se utiliza en el Main Mode La identidad se transmite codificada en el Main Mode en el Aggressive Mode no Phase 1 DH Group e G
234. plo de t nel IPsec con SCALANCE S612 S613 Conecte PC1 al Port 2 de Module 1 y PC2 al Port 2 de Module 2 Conecte Port 1 de Module 1 y Port 1 de Module 2 al Hub Switch Conecte tambi n PC3 al Hub Switch 2 Encienda los PCs participantes ATENCI N Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCE S por lo que no se deben confundir al establecer la conexi n con la red de comunicaci n e Port 1 External Network conector hembra RJ45 superior marca roja rea de red no protegida e Port 2 Internal Network conector hembra RJ45 inferior marca verde red protegida por SCALANCE S Si se permutan los puertos el equipo pierde su funci n de protecci n 3 1 3 Preparar los ajustes de IP de los PCs Los PCs deber an tener los siguientes ajustes de direcci n IP para el test PC Direcci n IP M scara de subred PC1 191 0 0 1 255 255 0 0 PC2 191 0 0 2 255 255 0 0 PC3 191 0 0 3 255 255 0 0 Proceda del siguiente modo para PC1 PC2 y PC3 1 Abra el panel de control en el respectivo PC con el siguiente comando de men Inicio gt Panel de control 2 Abra el s mbolo Red y centro de autorizaci n y en el men de navegaci n que se encuentra a la izquierda seleccione la opci n Modificar los ajustes del adaptador SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 43 GETTING START
235. privada de la CA Si se ha revelado la clave privada de la CA se tiene que sustituir el certificado de la CA en el m dulo SCALANCE S Los nombres de usuario se pueden dejar inalterados Sin embargo los usuarios necesitan nuevos certificados extendidos por la nueva CA Proceda del siguiente modo 1 Marque el grupo a editar y seleccione el comando de men Edit Properties 2 Genere un nuevo certificado 3 Cargue la configuraci n en todos los m dulos SCALANCE S pertenecientes al grupo Se conoce la contrase a de un usuario perteneciente al grupo de User Si se ha revelado la contrase a de un usuario perteneciente al grupo de User se tiene que cambiar la contrase a de ese usuario Se conoce la contrase a de un usuario perteneciente al grupo de Administrator Si se trata de un usuario perteneciente al grupo de Administrator se deber a modificar tambi n el certificado de servidor del m dulo SCALANCE S A 5 Clave de los datos de configuraci n comprometida o perdida Clave comprometida Si se ha comprometido una clave privada de los datos de configuraci n del m dulo SCALANCE S se tiene que modificar la clave a trav s de la herramienta de configuraci n del m dulo SCALANCE S SCALANCE S y SOFTNET Security Client 236 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Consejos y ayuda A 6 Comportamiento operativo general P rdida de la clave Si se pierde la clave privada que autoriza a acceder a los d
236. r adicionalmente una direcci n IP para la subred interna Nota A diferencia del modo Bridge del SCALANCE S en el modo Routing se pierden VLAN Tags NAT NAPT Routing ajustable en Advanced Mode 5 1 3 Significado En este modo de operaci n tiene lugar adem s una conversi n de las direcciones IP Las direcciones IP de los equipos de la subred interna se representan en direcciones IP de la red externa con lo que no son visibles en la red externa Para este modo de operaci n tiene que configurar la conversi n de dirtecciones en una lista Asigne en cada caso una direcci n IP externa a una direcci n IP interna Dependiendo del m todo que desee utilizar rige para la correspondencia e NAT Network Adress Translation Aqu rige Direcci n Direcci n IP e NAPT Network Address Port Translation Aqu rige Direcci n Direcci n IP N mero de puerto SCALANCE S como DHCP Server Puede utilizar SCALANCE S como DHCP Server en la red interna Esto permite asignar autom ticamente direcciones IP a los equipos conectados a la red interna Las direcciones se asignan en este caso din micamente desde una banda de direcciones definida por usted o bien se asigna una direcci n IP a un equipo concreto conforme a sus predeterminaciones SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 131 Firewall Router y otras propiedades del m dulo 5 2 Crear m dulos y ajustar par me
237. r las siguientes alternativas e Hora local del PC La hora del m dulo se ajusta autom ticamente a la hora del PC al cargar una configuraci n e Servidor NTP Ajuste autom tico y sincronizaci n peri dica de la hora a trav s de un servidor NTP Network Time Protocol Abrir el cuadro de di logo para configuraci n de la sincronizaci n horaria Marque el m dulo a editar y seleccione el siguiente comando de men Edit gt Properties ficha Time synchronization SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 161 Firewall Router y otras propiedades del m dulo 5 5 Sincronizaci n horaria Ef Module Properties Modulel o l 53 VPN Sy Routing Modus 3 DHCP Server E Network H Firewall Settings SSL Certificate 2 Time Synchronization E Logging Fa Nodes General Synchronization mode NTP i Settings for NTP Update Interval 600 seconds List of NTP Servers IP Address Add Server Remove Server OK Cancel Help Sincronizaci n por un servidor de hora NTP En caso de sincronizaci n por medio de un servidor de hora NTP al configurar tiene que indicar los siguientes dos par metros e Direcci n IP del servidor NTP e el intervalo de actualizaci n en segundos ATENCI N Si no es posible acceder al servidor NTP desde el Scalance S a trav s de una conexi n t nel IPsec los telegramas del s
238. ra de subred 133 MD 740 260 Certificado de grupo 126 Certificado de m dulo 126 Crear archivo de configuraci n 126 Medio intercambiable C PLUG 16 M todo de autenticaci n 181 186 Misi n de SOFTNET Security Client 13 Modo de aprendizaje 195 Modo Router 15 Modo VLAN 182 M dulo crear 132 Montaje 27 Desmontaje 28 Montaje en riel de perfil 30 Montaje en riel perfil de sombrero 28 Montaje mural 30 31 Tipos de montaje 27 Montaje mural 27 30 Multicast 182 N NAT NAPT 165 National Electrical Code table 11 b 20 Network Address Port Translation 168 Network Adress Translation 167 Nodos de red no programables 198 Nodos externos 14 16 Nodos internos 14 16 Nombre del grupo 151 157 Nombres simb licos Symbolic Names Normas homologaciones 26 ATEX 95 27 EN 50021 27 ENG61000 4 5 27 1EC950 EN60950 VDE0805 20 O Offline 108 Online 108 P Panor mica de funciones Tipos de equipos 18 Par metros de direcci n 133 Par metros de servicios MAC 157 Posibilidades de conexi n 19 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 ndice alfab tico Preshared Keys 182 Protecci n de acceso 16 Protocolo ESP 139 Proyecto 113 crear 115 valores de inicializaci n 115 prueba de coherencia Check Consistency a nivel de proyecto local Prueba de coherencia Check Consistency Puesta a tierra 31 Puesta en serv
239. ra equipos y segmentos de red La funci n de protecci n de Firewall y VPN se puede extender al uso de equipos concretos de varios equipos o tambi n de segmentos de red enteros e Ausencia de retroacciones en caso de instalaci n en redes planas modo Bridge Nodos de red internos se pueden localizar sin configuraci n Por lo tanto al montar un SCALANCE S612 S613 en una infraestructura de red ya existente no se necesita configurar de nuevo los equipos terminales El m dulo intenta encontrar estaciones internas sin embargo se tienen que configurar las estaciones internas que no se localicen por este procedimento Comunicaci n con PC PG en la tarea VPN del SOFTNET Security Client Con el software de PC SOFTNET Security Client son posibles accesos remotos del PC PG a equipos de automatizaci n protegidos por SCALANCE S m s all de los l mites de redes p blicas Mediante el SOFTNET Security Client se configura autom ticamente un PC PG de manera que pueda establecer con uno o varios SCALANCE S una comunicaci n t nel IPsec protegida en la VPN Virtual Private Network Aplicaciones de PG PC como por ejemplo Diagn stico NCM o STEP7 pueden acceder as a trav s de una conexi n t nel protegida a equipos o redes que se encuentren en una red interna protegida por SCALANCE S SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 13 Introducci n y fundamentos 1 2 Uso de SCALANCE S
240. ra todas las direcciones configuradas o determinadas e S lo lectura de la configuraci n del t nel Como opci n se puede realizar s lo la lectura de los t neles configurados activ ndolos luego individualmente en el cuadro de di logo para la configuraci n de t neles SOFTNET Security Client Tunnel Overview 5 Tunnel List Status Name IP Address SCALANCE S IP Tunnel over O a Module1 SCALANCE 192 168 10 1 192 168 10 11 19 Ha Module2 SCALANCE 192 168 10 2 o HETE SCALANCE S METE 192 168 10 11 Disable all Members Select Network Device Test Tunnel Advanced Module Diagnostics IP Adresse DNS Name ndern Delete Entry iV enable active leaming Delete Logging Console June 23 2010 11 30 38 QuickMode Deleted Security Association From 192 168 10 11 To 192 168 10 1 32 June 23 2010 11 30 38 QuickMode Deleted Security Association From 192 168 10 11 To 192 168 10 2 32 June 23 2010 11 30 44 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 1 32 June 23 2010 11 30 47 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 2 32 June 23 2010 11 30 49 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 3 32 June 23 2010 11 30 49 QuickMode Added Security Association From 192 168 10 11 To 196 80 96 20 32 June 23 2010 11 30 49 config Loaded Configuration C YUsersttestiDesktopiConfiguration24Configuration1 Configura
241. rada junto con el SCALANCE S El presente cap tulo le familiariza con la interfaz de operaci n y el funcionamiento de la herramienta de configuraci n En l se describen la instalaci n el manejo y la administraci n de proyectos SCALANCE S Otras informaciones 4 1 Prestaciones En los cap tulos sucesivos de este manual se explica con detalle la configuraci n de m dulos y de t neles IPsec La ayuda online le proporcionar tambi n informaci n detallada sobre los di logos y los par metros ajustables Puede acceder a esta ayuda con la tecla F1 o con el bot n en el respectivo cuadro de di logo Funciones y funcionamiento La herramienta de configuraci n Security Configuration Tool se utiliza para las siguientes tareas e Configuraci n de SCALANCE S e Configuraci n de SOFTNET Security Client S612 S613 MD 741 1 e Creaci n de datos de configuraci n para MD 740 1 MD 741 1 e Funciones de test y diagn stico indicaciones de estado SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 107 Configuraci n con Security Configuration Tool 4 1 Funciones y funcionamiento Modos de funcionamiento La Security Configuration Tool puede trabajar de dos modos e Offline Vista de configuraci n En el modo offline se ajustan los datos de configuraci n para los m dulos SCALANCE S y SOFTNET Security Client Antes de la carga se tiene que haber establecido para est
242. rece posibilidades para configurar de forma espec fica la comunicaci n por t nel Conmmutar al Advanced Mode 6 4 1 Para todas las funciones descritas en este cap tulo conmute el modo de funcionamiento con el siguiente comando de men View gt Advanced Mode Nota Una conmutaci n realizada al Advanced Mode para el proyecto actual ya no se puede anular A no ser que salga del proyecto sin guardar y lo abra de nuevo Configuraci n de propiedades de grupo Propiedades de grupo 186 En la vista de operaci n Advanced Mode se pueden configurar las siguientes propiedades de grupo e M todo de autenticaci n e Ajustes IKE rea de di logo Advanced Settings Phase 1 e Ajustes IPsec rea de di logo Advanced Settings Phase 2 ATENCI N Para poder ajustar estos par metros necesita tener conocimientos en materia de IPsec Si no efect a o modifica ning n ajuste rigen los ajustes predeterminados del Standard Mode SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S612 5613 6 4 Configuraci n de t nel en el Advanced Mode Abrir el cuadro de di logo para entrada de propiedades de grupo e Estando seleccionado el grupo seleccione el siguiente comando de men Edit gt Properties 3 Group Properties for Grou
243. rent User Admin Role Admin Standard Mode Offline 9 En general las configuraciones de un proyecto contienen e Ajustes v lidos para todo el proyecto e Ajustes espec ficos de los m dulos e Asignaciones a grupos para t nel IPsec S612 S613 SOFTNET Security Client Adem s una administraci n de usuarios regula los derechos de acceso a los datos del proyecto y con ello a los equipos SCALANCE S SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 113 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos Ajustes v lidos para todo el proyecto e Propiedades del proyecto stas comprenden adem s de informaciones generales sobre direcciones y nombres predeterminaciones para valores de inicializaci n y ajustes para autenticaci n e Bloques de reglas globales de Firewall Las reglas globales para firewall se pueden asignar a varios m dulos a un tiempo Esta posibilidad simplifica en muchos casos la configuraci n a diferencia de la configuraci n de bloques de reglas locales para firewall en el caso de ajustes espec ficos de los m dulos e Definiciones de servicios Con ayuda de definiciones de servicios IP se pueden definir reglas de firewall de forma compacta y clara Ajustes espec ficos de los m dulos La mayor a de las funciones se configuran en el cuadro de di logo de propiedades de un m dulo Aqu se presenta una visi n de conjun
244. rent User Admin Role Admin Standard Mode Offime 9 2 Seleccione en el rea de contenido el m dulo de SCALANCE S Module 1 y arr strelo a Group 1 en el rea de navegaci n El m dulo est asignado ahora a ese grupo o bien es miembro de ese grupo El color del s mbolo de llave del icono de m dulo cambia ahora de gris a azul SCALANCE S y SOFTNET Security Client 46 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE S612 S613 3 Seleccione en el rea de contenido el m dulo de SCALANCE S Module 2 y arr strelo a Group 1 en el rea de navegaci n El m dulo est asignado ahora tambi n a ese grupo 4 Guarde ahora este proyecto con el siguiente comando de men bajo un nombre apropiado Project Save As Con esto ha terminado la configuraci n de la conexi n de t nel 3 1 6 Cargar la configuraci n en SCALANCES S Proceda del siguiente modo 1 Llame el siguiente cuadro de di logo con el comando aqu indicado Transfer To All Modules Download To All Modules E Module Name Status Y Module1 Changed Y Module2 Changed V Logon as current user Select All l Show only changed modules Deselect All Processing Start Details gt gt Close 2 Seleccione ambos m dulos por medio del bot n Select All 3 Inicie el proceso de carga con el bot n Sta
245. rminado adapte tambi n la m scara de subred para el m dulo 1 Direcci n IP 191 0 0 201 M scara de subred 255 255 0 0 para el m dulo 2 Direcci n IP 191 0 0 202 M scara de subred 255 255 0 0 Project Edit Insert Transfer View Options Help Disiu oel 714100 del al Ofline View _ Number Name Type IP Addressext _ Subnet Maskext IP Address int__ Subnet Maskint_ Default Router _ MAC Address Comment E DA Modes SN Module S612V2 191001 255 255 0 0 D0 0E 8C 00 00 00 9 Moder 2 Module2 S612V2 191002 255 255 0 0 00 0E 8C 00 00 01 Ey Module 1 VPN Groups Ready Current User Admin Role Admin Standard Mode Offime 9 9 Repita los pasos 6 hasta 8 con Module 2 3 1 5 Configurar conexi n t nel Dos SCALANCE S pueden crear exactamente un t nel IPSec para la comunicaci n segura si est n asignados a un mismo grupo en el proyecto Proceda del siguiente modo 1 Seleccione en el rea de navegaci n All Groups y cree un nuevo grupo con el siguiente comando de men Insert gt Group Este grupo recibe autom ticamente el nombre Group 1 3 Security Configuration Too Config n APrograrn SIEMENS Sec Configuration_ToofPr o Esa Project Edit Insert Transfer View Options Help oleja alel SA del a Ofline View _ Group Name Authentication Group membership until_ Comment R AI Modules Jh Group1 Certificate Module E Modue2 e VPN Groups Jh Group Ready Cur
246. rna SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 83 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client 3 4 7 Formaci n de t nel con el SOFTNET Security Client Procedimiento a seguir 1 Inicie el SOFTNET Security Client en PC2 2 Pulse el bot n Load Configuration cambie a su directorio del proyecto y cargue el archivo de configuraci n Nombredeproyecto SSC PC2 dat 3 Introduzca la contrase a para la contrase a privada del certificado y confirme con Next 4 Confirme el di logo Activate static configured members con Yes 5 Accione el bot n Tunnel Overview Resultado conexi n de t nel activa Se ha establecido el t nel entre SCALANCE S y SOFTNET Security Client Este estado operativo se se aliza con un c rculo verde en la entrada Module1 En la consola de Log de la vista del t nel del SOFTNET Security Client aparecen algunas respuestas de su sistema respecto a c mo se ha desarrollado el intento de conexi n y sobre si se han establecido directivas para su conexi n de comunicaci n SCALANCE S y SOFTNET Security Client 84 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 S613 y SOFTNET Security Client lt sc SOFTNET Security Client Tunnel Overview Tunn
247. rnet Key Exchange IKE IP Subnet ID Protocolo para establecer el t nel IPsec Aqu puede ajustar par metros para el protocolo de la gesti n de claves de IPsec El cambio de clave tiene lugar por medio del procedimiento estandarizado IKE Ajustes IKE ID de la subred En base al ID de la subred el router reconoce si una direcci n de destino est en la subred o fuera de la misma IP MAC Service Definition ISAKMP ISP L2F Con ayuda de definiciones de servicios IP se pueden definir reglas de firewall de forma compacta y clara Para esto se adjudica un nombre y se asignan al mismo los par metros de servicio Adem s los servicios as definidos se pueden reunir a su vez en grupos con un nombre de grupo Para la configuraci n de las reglas de filtrado de paquetes se utiliza entonces simplemente ese nombre Internet Security Association and Key Management Protocol Protocolo para establecer Security Associations SA y para el intercambio de claves criptogr ficas en Internet Internet Service Provider Proveedor de servicios de Internet Layer 2 Forwarding Protocolo de red similar a PPTP compatible con diversos protocolos y varios t neles independientes SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 251 Glosario lista de abreviaturas L2TP Logging Marcado VLAN Layer 2 Tunneling Protocol Protocolo de red que establece t neles para tramas de pro
248. rno a externo est n bloqueados Todos los telegramas de interno a SCALANCE S est n permitidos conveniente s lo para HTTPS Todos los telegramas de externo a interno y a SCALANCE S est n bloqueados tambi n ICMP Echo Request Se permiten telegramas de externo nodo externo y SCALANCE S externo a SCALANCE S del siguiente tipo e NAT Traversal protocolo para establecer el t nel IPsec La comunicaci n IP por el t nel IPsec est permitida Telegramas del tipo Syslog y NTP s lo se permiten de SCALANCE S a externo SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 139 Firewall Router y otras propiedades del m dulo 5 3 Firewall Propiedades del m dulo en el Standard Mode Ajuste predeterminado para filtro de paquetes MAC Nodos internos SCALANCE S Nodos externos SCALANCE S externo T nel IPsec i Firewall Todos los tipos de telegramas de interno a externo est n bloqueados Todos los telegramas de interno a SCALANCE S est n permitidos Los telegramas ARP de interno a externo est n permitidos Todos los telegramas de externo a interno y a SCALANCE S est n bloqueados Se permiten telegramas de externo a interno del siguiente tipo e ARP con limitaci n de ancho de banda OO0QO Se permiten telegramas de externo a SCALANCE S del siguiente tipo e ARP con limitaci n de ancho de banda e DCP Q Se permiten protocolos MAC enviados por t ne
249. roup 1 Convenio de codificaci n Diffie Hellman Phase 1 DH Group e Group2 Grupos Diffie Hellman algoritmos criptogr ficos seleccionables en el protocolo de cambio de claves Oakley e Group5 SA Lifetype e Time Phase 1 Security Association SA SA Lifetype e Limitaci n de tiempo min default 2500000 Se limita el tiempo de vida til para el material de codificaci n actual Una vez transcurrido ese tiempo se negocia de nuevo el material de codificaci n SA Life Valor num rico Time gt min SA Life Rango de valores 1440 2 500 000 Phase 1 Encryption e DES Algoritmo de codificaci n Phase 1 Encryption e 3DES 168 e Data Encryption Standard longitud de c digo 56 bit AES 128 modo CBC e AES 192 e DES triple longitud de c digo 168 bit modo CBC AES 256 e Advanced Encryption Standard longitud de c digo 128 bit 192 Bit o 256 Bit modo CBC Phase 1 Authentication e MD5 Algoritmo de autenticaci n Phase 1 Authentication e SHA1 e Message Digest Version 5 e Secure Hash Algorithm 1 Par metros para Advanced Settings Phase 2 Ajustes IPSec Fase 2 Intercambio de datos ESP Encapsulating Security Payload Aqu puede ajustar par metros para el protocolo de intercambio de datos IPsec El intercambio de datos tiene lugar por medio del protocolo de seguridad estandarizado ESP Se pueden ajustar los siguientes par metros de protocolo ESP 188 SCALANCE S y SOFTNET Security Client Instrucciones de
250. royectos Con este cuadro de di logo se toman en consideraci n las condiciones generales correspondientes a varios proyectos En consecuencia las opciones tienen la siguiente repercusi n Con remove est n disponibles s lo los ltimos datos de configuraci n cargados El segundo punto de selecci n import and replace es conveniente en el caso de datos de configuraci n modificados por ejemplo si s lo se ha modificado la configuraci n en el proyecto a y se conservan inalterados los proyectos b y c El tercer punto de selecci n don t import es conveniente si en un proyecto se ha agregado un SCALANCE S sin que se pierdan nodos internos ya programados 4 Sial configurar en la Security Configuration Tool ha seleccionado Certificate com m todo de autenticaci n se le pide ahora que introduzca una contrase a SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 211 SOFTNET Security Client 5612 5613 7 5 Configuraci n y edici n de t neles 5 Seleccione ahora si se deben activar las conexiones de t nel para las estaciones configuradas en la configuraci n estaciones de configuraci n est tica Si no impulsa aqu todav a la activaci n lo puede hacer en todo momento en el cuadro de di logo para t neles que se describe a continuaci n SOFTNET Security Client Activation Of Configuration Activate static configured members Si ha seleccionado l
251. rrespondiente prioridad de las reglas dentro del bloque de reglas La configuraci n de una regla IP contiene los siguientes par metros Denominaci n Significado comentario Posibilidades de selecci n campos de valores Action Definici n de la autorizaci n habilitaci n bloqueo e Allow Autorizar telegramas seg n definici n e Drop Bloquear telegramas seg n definici n Direction Indica la direcci n del tr fico de datos e Internal gt External Tunnel Any s lo en S612 S613 e Internal lt External e Tunnel gt Internal e Tunnel Internal e Internal gt Any e Internal Any Source IP Direcci n IP de origen V ase el apartado Direcciones Destination IP Direcci n IP de destino IP en reglas de filtrado de paquetes IP en este cap tulo Como alternativa puede introducir un nombre simb lico Service Nombre del servicio IP ICMP o del grupo de servicios utilizado Con ayuda de definiciones de servicios se pueden definir reglas de filtrado de forma compacta y clara Seleccione aqu uno de los servicios definidos por usted en el cuadro de di logo para servicios IP e Servicios IP o e Servicios ICMP Si no ha definido a n ning n servicio o si desea definir otro servicio pulse el bot n IP MAC Service Definitions La lista desplegable le ofrece los servicios y grupos de servicios configurados para su selecci n Ninguna indicaci n significa no se comprueba ning
252. rt Si el proceso de carga se ha concluido sin errores el SCALANCE S arranca de nuevo autom ticamente y se activa la nueva configuraci n Resultado SCALANCE S en modo productivo SCALANCE S se encuentra ahora en el modo productivo Este estado es se alizado por el diodo indicador Fault con luz verde Con esto ha concluido la puesta en servicio de la configuraci n y los dos SCALANCE S pueden crear un t nel de comunicaci n a trav s del que se pueden comunicar de forma segura los nodos de las dos redes internas SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 47 GETTING STARTED 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE S612 8613 3 1 7 Probar la funci n t nel Ping Test C mo se puede probar la funci n configurada La prueba de la funci n se puede realizar con un comando ping tal como se describe a continuaci n Como alternativa se pueden utilizar otros programas de comunicaci n para el test de la configuraci n ATENCI N En caso de Windows el cortafuegos firewall puede estar ajustado como est ndar de manera que no puedan pasar comandos PING Eventualmente tendr que habilitar los servicios ICMP del tipo Request y Response Secci n de test 1 Compruebe ahora el funcionamiento de la conexi n de t nel establecida entre PC1 y PC2 del siguiente modo 1 En el PC2 llame en la barra de inicio el siguiente comando
253. rt 443 Firewall Rules From IP External Action Log New 0 0 0 0 0 Accept v No v Delete Save Reset Nota Si desea llegar al MD741 1 por medio de un nombre DNS parametrice en el siguiente directorio la conexi n del DynDNS Server External Network gt Advanced Settings gt DynDNS 1 Cambie el ajuste Notificar este MD741 en un DynDNS Server al valor S 2 Indique su nombre de usuario y la contrase a de su DynDNS Account 3 Introduzca ntegramente la direcci n DynDNS en el campo DynDNS Hostname Cu dese de indicar tambi n el dominio de esta direcci n Ej mydns dyndns org External Network DynDNS Log on to DynDNS server Yes v DynDNS username MyDnsUsername DynDNS password CITITI DynDNS hostname mydns dyndns org Save Reset De esta forma se concluye la puesta en servicio del m dulo MD741 1 El m dulo y el SOFTNET Security Client pueden constituir un t nel de comunicaci n a trav s del cual pueden comunicarse de forma segura los nodos de red de la red interna con PC2 SCALANCE S y SOFTNET Security Client 102 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client 3 5 8 Construcci n del t nel con el SOFTNET Security Client Procedimiento a seguir 1 Inicie el SOFTNET Security Client en PC2 2 Pulse el bot n Load Configuration cambie a su directorio del proyecto y car
254. rte posterior del SCALANCE S directamente junto a la ranura para el C PLUG Esta cavidad est protegida por un tap n de rosca El pulsador se encuentra en un orificio de peque o di metro estando as protegido de un accionamiento por descuido 3 Presione el pulsador Reset y mant ngalo apretado durante m s de 5 segundos hasta que destelle con luz amarilla roja el indicador Fault El proceso de reposici n dura hasta 2 minutos Durante el proceso de reposici n parpadea el indicador Fault con luz amarilla roja Cuide de que durante ese tiempo no se interrumpa la alimentaci n el ctrica Una vez terminado el proceso de reposici n el equipo rearranca autom ticamente El indicador Fault brilla entonces con luz amarila constante 4 Cierre la cavidad con el tap n M32 y monte el equipo 2 1 8 Indicadores an Indicaci n de estado Port puerto P1 y TX AA Indicaci n de estado Port puerto P2 y TX Visor de defectos y power SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 23 Propiedades del producto y puesta en servicio 2 1 Propiedades del producto Indicador de error Fault LED Indicaci n del estado operativo Estado luz roja Significado El m dulo detecta un fallo El contacto de se alizaci n est abierto Se identifican los siguientes errores o defectos e Fallo interno por ejemplo arranque fracasado e C PLUG no v lido formateado no v li
255. s ez La estaci n participante no est activada ez La estaci n participante est activada a M dulo SCALANCE S desactivado Ha M dulo SCALANCE S activado 214 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 SOFTNET Security Client S6 12 5613 7 5 Configuraci n y edici n de t neles Icono Significado al M dulo MD741 1 desactivado ial M dulo MD741 1 activado El m dulo la estaci n participante no es accesible T El m dulo la estaci n participante es accesible Casilla de control enable active learning Si en la configuraci n de los m dulos SCALANCE S est activado el modo de aprendizaje puede utilizar tambi n dicho modo para el SOFTNET Security Client con esto obtiene autom ticamente informaciones de los m dulos SCALANCE S En otro caso el campo de selecci n Activate learning mode est inactivo y aparece en gris SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 215 SOFTNET Security Client S612 5613 7 5 Configuraci n y edici n de t neles Selecci n y operaci n de la entrada t nel En el cuadro de di logo Tunnel puede seleccionar una entrada y abrir otros comandos de men con el bot n derecho del rat n f sc SOFTNET Security Client Tunnel Overview m Tunnel List Status Member IP Subnet Tunnel Endpoint IP
256. s an lisis Test de accesibilidad tiempo de espera para la respuesta Hora de espera ajustable para el ping que debe indicar la accesibilidad de un socio del t nel Sobre todo hay que ajustarlo en t neles a trav s de v as de transmisi n lentas UMTS GPRS etc en las que el tiempo de ejecuci n de los paquetes de datos es notablemente m s largo De esta forma se influye directamente en la visualizaci n de la accesibilidad de la vista del t nel Nota Seleccione en las redes inal mbricas un tiempo de espera de 1500 ms como m nimo Desactivar globalmente el test de accesibilidad Si usted activa esta funci n se desactiva globalmente el test de accesibilidad en todas las configuraciones recibidas del SOFTNET Security Client Este aspecto tiene la ventaja de que no se producen paquetes de vol menes de datos adicionales y la desventaje de que en la vista del t nel no se reciben m s mensajes de respuesta sobre si el socio del t nel es accesible o no Diagn stico de m dulo ampliado 218 Abra el punto de men en el di logo principal del SOFTNET Security Client Opciones Diagn stico de m dulo ampliado Aqu puede usted determinar el estado actual de su sistema compar ndolo con un m dulo configurado Esta vista sirve ntegramente para el diagn stico del estado de su sistema y puede ayudar en las consultas del Customer Support e M dulo SCALANCE S MD741 1 Aqu selecciona ust
257. s equipos conectados a la red interna Las direcciones se asignan en este caso din micamente desde una banda de direcciones definida por usted o bien se asigna una direcci n IP a un equipo concreto conforme a sus predeterminaciones Demilitarized Zone Red inform tica con posibilidades de acceso controladas seguras a los servidores a ella conectados Encapsulating Security Payload Protocolo para la transmisi n segura de datos SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 249 Glosario lista de abreviaturas ESP Encapsulating Security Payload El protocolo ESP asegura que los datos transmitidos sean aut nticos ntegros y confidenciales Con ESP es posible tambi n comprobar s lo la autenticidad de los datos o s lo codificar datos En el caso de SCALANCE S se emplea siempre el ESP con comprobaci n de la autenticidad y codificaci n Formato PKCSH12 Este est ndar define un formato PKCS apropiado para el intercambio de la clave p blica as como adicionalmente de la clave privada protegida por contrase a Funci n MDI MDI X Autocrossing La funci n MDI MDI X Autocrossing ofrece la ventaja de un cableado continuo sin que se requieran cables Ethernet externos cruzados Con esto se evitan funciones incorrectas por confusi n de los cables de env o y recepci n La instalaci n se simplifica as notablemente para el usuario Grupos Diffie Hellmann Algoritmos
258. s se convierten en la direcci n IP externa de SCALANCE S y un n mero de puerto asignado din micamente Ahora ya no es relevante la indicaci n de sentido en la lista de conversi n de direcciones NAT Todos los restantes datos se refieren al sentido de comunicaci n externa hacia interna Adem s el firewall est configurado de manera que puedan pasar los telegramas en el sentido de interna hacia externa Ejemplo 2 Permitir telegramas adicionales dirigidos de externa a interna 5 8 Resumen Para que como complemento del ejemplo 1 se permita la comunicaci n de externa hacia interna se han de introducir informaciones en la lista de conversi n de direcciones NAT o NAPT La entrada del ejemplo indica que telegramas dirigidos a las estaciones con la direcci n IP 192 168 10 102 se convierten a la direcci n IP interne 192 168 12 3 El firewall se tiene que configurar correspondientemente Dado que primero se produce siempre la conversi n NAT NAPT y s lo en un segundo paso se comprueba la direci n convertida en el firewall en el ejemplo la direcci n IP interna est registrada en el firewall como direcci n IP de destino Servidor DHCP Puede utilizar SCALANCE S como DHCP Server en la red interna Esto permite asignar autom ticamente direcciones IP a los equipos conectados a la red interna Las direcciones se asignan en este caso din micamente desde una banda de direcciones definida por usted o bien se asigna una direcc
259. so de estos VPN Clients es la compatibilidad con IPsec VPNs en el modo de t nel SCALANCE S y SOFTNET Security Client 126 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Configuraci n con Security Configuration Tool 4 6 Datos de configuraci n para MD 740 MD 741 Configuration1 Module2 Notepac a l File Edit Format View Help MD741 1 Configuration of MD741 1 Module2 mModule2 in connection with Modulel IPSec VPN gt Certificates Upload Remote Site Certificate Configuration1 Modulel cer upload PkKcs12 File p12 Configurationl MC1E26G9A54 Module2 p12 IPSec VPN gt Conections Edit settings Authentification method X 509 Remote Site Certificate Remote site Certificate Configuration1 Modulel cer Remote ID MF181GG9A54 IPSec VPN gt Connections Edit IKE Local net address 192 168 9 0 Local subnet mask 255 255 255 0 Remote net address 192 168 8 0 Remote subnet mask 255 255 255 0 Address of the remote site s VPN gateway 87 139 119 78 Phase 1 ISAKMP SA ISAKMP SA encryption 3DES 168 ISAKMP SA hash SHA1 ISAKMP SA mode Main Mode ISAKMP SA lifetime 86400 Phase 2 IPSec SA IPSec SA encryption 3DES 168 IPSec SA hash SHA1 IPSec SA lifetime 86400 DH PFS group DH 2 1024 NAT T On DPD delay 150 seconds DPD timeout 60 seconds DPD maximum failures 5 Figura 4 1 Archivo de exportaci n para MD 741 1 Nota No se transmite ning n archivo de configuraci n al m du
260. t neles seguros Aplicaci n si se modifica o se carga de nuevo la configuraci n de un m dulo SCALANCE S612 S613 deber a desactivar el t nel que conduce al SOFTNET Security Client Con esto se acelera el nuevo establecimiento de t neles Minimize Se cierra la interfaz de operador del SOFTNET Security Client El icono para el SOFTNET Security Client sigue estando en la barra de tareas de Windows Quit Cancelaci n de la configuraci n se sale de SOFTNET Security Client se desactivan todos los t neles Help Llamada de la ayuda online Info Informaci n sobre la versi n del SOFTNET Security Client Detalles Lista de todos los archivos necesarios para la funci n del SOFTNET Security Client con notificaci n sobre si stos se podr an encontrar en el sistema SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 209 SOFTNET Security Client 5612 5613 7 5 Configuraci n y edici n de t neles 7 5 Configuraci n y edici n de t neles Configuraci n de conexiones seguras con todos los SCALANCE S En el cuadro de di logo para la importaci n de la configuraci n puede elegir si los t neles se deben configurar inmediatamente para todos los SCALANCE S De esto resultan las siguientes posibilidades e Activaci n autom tica del t nel Si en la configuraci n est n registradas direcciones IP de SCALANCE S o si est activo el modo de aprendizaje se establecen los t neles pa
261. t Initialization Values Project Authentication Settings SOFTNET Configuration SOFTNET Security Client MD74x Device C S602 5612 C S613 Firmware Release ev Cv Default settings Module name prefix MAC Address IP Address ext Enable Routing IP Address int Module 00 0E 8C 00 00 00 192 168 10 1 Subnet Mask ext 255 255 255 0 nooo 7 Subnet Mask int o Remember selection Protecci n de datos de proyecto por codificaci n Los datos de proyecto y configuraci n almacenados est n protegidos por codificaci n tanto en el archivo de proyecto como en el C Plug Consulte tambi n SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo P gina 129 117 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos 4 4 3 Configuraci n de usuarios Tipos de usuarios y derechos El acceso a los proyectos y m dulos SCALANCE S es administrado a trav s de configuraciones de usuarios SCALANCE S conoce dos tipos de usuarios con diferentes derechos o autorizaciones e Administrators Con la categor a de usuario del tipo Administrator est autorizado a acceder sin limitaciones a todos los datos de configuraci n y a los m dulos SCALANCE S e User Con la categor a de usuario del tipo user tiene las siguientes autorizaciones de acceso Acceso de lectura a con
262. ta ajustar de nuevo los equipos terminales SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 15 Introducci n y fundamentos 1 3 Configuraci n y administraci n Nodos de red internos y externos SCALANCE S602 divide las redes en dos reas e Red interna reas protegidas con los nodos internos Nodos internos son todos aquellos nodos protegidos por un SCALANCE S e Red externa reas no protegidas con los nodos externos Nodos externos son todos los nodos que se encuentran fuera de las reas protegidas ATENCI N Las redes internas se consideran seguras dignas de confianza Conecte un segmento de red interno con los segmentos de red externos s lo a trav s de SCALANCE S No deben existir otras v as de conexi n entre la red interna y la externa 1 3 Configuraci n y administraci n Lo m s importante en resumen En combinaci n con la herramienta de configuraci n Security Configuration Tool se logra una aplicaci n sencilla y segura de los m dulos SCALANCE S e Configuraci n sin conocimientos de experto en materia de IT con la Security Configuration Tool Con la Security Configuration Tool pueden ajustar un m dulo SCALANCE S incluso personas que no sean expertas en materia de IT En un modo extendido se pueden realizar ajustes m s complejos si ello es necesario e Comunicaci n administrativa segura La transmisi n de los ajustes se efect a en
263. temnal gt Intemal Internal gt External 192 168 10 124 Extemnal gt Internal Internal gt External 192 168 10 101 External gt Internal SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 192 168 12 3 192 168 10 11 192 168 124 192 168 125 192 168 125 4 171 Firewall Router y otras propiedades del m dulo 5 7 Routing Modus Descripci n Ejemplo 1 Conversi n de direcciones NAT External gt Internal Una estaci n de la red externa puede enviar un telegrama a la estaci n con la direcci n IP interna 192 168 12 3 de la subred interna utilizando la direcci n IP externa 192 168 10 123 como direcci n de destino Ejemplo 2 Conversi n de direcciones NAT Internal gt External Telegramas de una estaci n interna con la direcci n IP interna 192 168 12 3 son transmitidas a la red externa con la direcci n IP externa 192 168 10 124 como direcci n de origen En el ejemplo el firewall se ha configurado de manera que permita el paso de los telegramas con la direcci n IP de origen 192 168 10 124 en el sentido de interna a externa pudiendo alcanzar as la estaci n con la direcci n IP 192 168 10 11 Ejemplo 3 Conversi n de direcciones NAT Bidirectional En este ejemplo la conversi n de direcciones se efect a en la foma descrita a continuaci n para telegramas entrantes tanto internos como externos Una estaci n de la red externa puede enviar un telegrama a
264. terna PC1 El ejemplo le muestra adem s c mo puede definir globalmente un bloque de reglas y c mo puede asignarlo a un m dulo Si configura otros m dulos en el mismo proyecto bastar asignar el bloque de reglas definido a los dem s m dulos por Drag and Drop naturalmente siempre y cuando se deban aplicar para ellos las mismas reglas SCALANCE S y SOFTNET Security Client 68 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router Definici n de bloque de reglas global procedimiento 1 Abra en el rea de navegaci n el objeto Global FW Rulesets y seleccione all FW IP Rulesets 2 Seleccione el siguiente comando con el bot n derecho del rat n Insert gt Firewall rule set Project Edit Faan Tee penay Options Help Djsjal ex 91188 de gt Sal Offline View Curent User Admin Role Admin Advanced Mode Offline 9 3 En el cuadro de di logo presentado introduzca un bloque de reglas de la siguiente forma 4 Haga clic en la columna Log en la fila del nuevo bloque de reglas Con esto se activa la opci n Packet Filter Logging Entonces se registran los telegramas para los que se apliquen las reglas definidas Este registro lo utilizar en el ejemplo aqu mostrado para el test final de la configuraci n 5 Cierre el cuadro de di logo con OK SCALANCE S y SOFTNET Security Cl
265. ternal for all users SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 67 GETTING STARTED 3 3 Ejemplo 3 Firewall y Router Uso del SCALANCE S como Firewall y Router Puede ver que en el campo de entrada NAT se ha completado la lista de conversi n de direcciones agregando una entrada al final La entrada en la columna internal IP address representa ahora a todas las estaciones de la red interna 3 Module Properties Modulel Lo JLo E Network Firewall Settings El SSLCertficate Li Time Synchronization Logging SB Nodes 5 VPN Routing Modus E DHCP Server Routing MV Routing active external module IP address 192 168 10 1 external subnetmask 255 255 255 0 internal module IP address 172 10 10 1 internal subnetmask 255 255 0 0 NAT NAPT IV NAT active T NAPT active M Allow Internal gt External for all users external IP address 192 168 10 1 external IP address internal IP address Direction external port internal IP address internal port 192 168 10 1 E Intemal gt Etemal Add Remove 2 Cierre ahora el cuadro de di logo con OK Ahora s lo tiene que cuidar de que el firewall permita el paso de telegramas de la red interna hacia la externa 3 3 6 Configurar firewall Tiene que definir ahora un bloque de reglas que permita el tr fico de telegramas desde la estaci n interna PC2 hacia la estaci n de la red ex
266. tior SSC PC2 dat June 23 2010 11 30 53 QuickMode Deleted Security Association From 192 168 10 11 To 192 168 10 3 32 June 23 2010 11 30 54 QuickMode Deleted Security Association From 192 168 10 11 To 196 80 96 20 32 June 23 2010 11 30 55 QuickMode Added Security Association From 192 168 10 11 To 192 168 10 3 32 4 Clear SCALANCE S y SOFTNET Security Client 210 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 SOFTNET Security Client S6 12 5613 7 5 Configuraci n y edici n de t neles Establecimiento de conexiones de t nel 1 Abra con el bot n Load Configuration Data el cuadro de di logo para importar el archivo de configuraci n 2 Seleccione el archivo de configuraci n creado con la Security Configuration Tool 3 Si en el SOFTNET Security Client existen ya datos de configuraci n se le pide ahora que decida sobre c mo se debe proceder con los nuevos datos de configuraci n a adoptar Elija entre las opciones ofrecidas SOFTNET Security Client Configuration Data Already Exist z Configuration data already exist for the SOFTNET Security Client Shall the stored configuration data be deleted kept and merged with the new one whereas modules with identical IP addresses shall be C imported and replaced C not imported PE Next FA Cancel Observaciones relativas a este cuadro de di logo B sicamente se pueden cargar los datos de configuraci n de varios p
267. to SOFTNET Configuration SOFTNET Security Client MD74x el m dulo SOFTNET Security Client la versi n de firmware V3 0 y as gnele el nombre de m dulo SSC PC2 5 Cierre el cuadro de di logo con OK 6 Cree un 2 m dulo con el siguiente comando de men Insert gt Module Configure ahora el tipo de producto SOFTNET Configuration SOFTNET Security Client MD74x el m dulo MD74x y as gnele el nombre de m dulo MD741 1 7 Haga clic ahora en el rea Configuraci n dentro del campo IP Address ext e introduzca sta en el formato predeterminado Configure adem s la m scara de subred externa correspondiente Nota Para la configuraci n de este ejemplo es obligatoriamente necesario disponer de una direcci n IP p blica no modificable para la tarjeta SIM del MD 741 1 del propio proveedor de telefon a m vil a la que no se pueda acceder a trav s de internet Introduzca la direcci n IP como direcci n IP externa para su m dulo Si trabaja con direcciones din micas para el MD741 1 necesitar una direcci n DynDNS para el m dulo En este caso no necesita adaptar la direcci n IP externa en este lugar La direcci n IP insertada sirve nicamente como comod n En la configuraci n del SOFTNET Security Client indique posteriormente un nombre DNS en lugar de una direcci n IP externa 8 Haga clic ahora en la zona Configuraci n dentro del campo IP Address int e introduzca sta en el f
268. to de las fichas ofecidas y sus funciones Funci n ficha en el di logo de propiedades se ofrece en el modo Standard Advanced Network Aqu puede indicar si procede direcciones de los router X X existentes en su red Firewall Aqu se activa en el Standard Mode el firewall con reglas X X est ndar sencillas Adem s puede activar aqu ajustes para Logging En el Advanced Mode puede definir reglas detalladas para filtros de paquetes Tambi n puede definir ajustes de Logging expl citos para cada regla de filtro de paquetes SSL Certificate Si es necesario por ejemplo en caso de un certificado X comprometido puede importar un certificado o puede hacer que Security Configuration Tool cree un ceretificado nuevo Time Synchronization Defina aqu el tipo de sincronizaci n para fecha y hora X X Logging Aqu puede definir par metros m s exactos para el modo de X registro y memorizaci n de eventos de Logging SCALANCE S y SOFTNET Security Client 114 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos Funci n ficha en el di logo de propiedades se ofrece en el modo Standard Advanced Nodos Para un m dulo que est en el modo Bridge se pueden X configurar aqu las subredes internas est ticas as como los nodos IP MAC intrnos y se puede permitir o bloquear el aprendiza
269. tocolos de la capa de seguridad capa 2 del modelo OSI entre dos redes v a Internet para crear una red privada virtual VPN Se pueden registrar eventos El registro tiene lugar en as llamados Log denominados de forma abreviada Log Puede fijar ya en la configuraci n qu datos se deben registrar y si el registro se debe activar ya con la carga de la configuraci n Un paquete Ethernet tiene una marca VLAN si el campo EtherType del encabezamiento del paquete Ethernet tiene un valor determinado El encabezamiento del paquete Ethernet contiene en ese caso informaci n sobre LAN virtuales y eventualmente tambi n una prioridad de paquete Maximum Transmission Unit MD MD5 NAPT NAT 252 MTU Define el tama o admisible de un paquete de datos para su transmisi n por la red Message Digest Designa un grupo de protocolos criptogr ficos Message Digest Version 5 Una funci n criptogr fica de hash muy difundida MD5 es empleada por un gran n mero de aplicaciones de seguridad para verificar la integridad de los datos En el SCALANCE S se puede seleccionar MD5 para comprobar la integridad de los datos transmitidos por un t nel Network Address Port Translation Un procedimiento en el que en un Router se reemplaza una direcci n IP por otra direcci n IP y adicionalmente se reemplaza el m mero de puerto por otro n mero de puerto en un telegrama Network Address Translation SCALANCE S y SOFTNET Security Client
270. tos Creaci n de un proyecto Seleccione el comando de men Project gt New Se le pide que introduzca un nombre de usuario y una contrase a El usuario aqu creado es del tipo Administrator SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 115 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos Project Edit Inset Transfer View Options Help ar alm da 5 E Nes administrator olsa ja H E Offine View Group Name aut i User Name Admin Password ERA Password confirmation caca Current User user Role role Standard Mode Offline 9 Ready Security Configuration Tool crea un proyecto est ndar y abre autom ticamente el di logo Selecci n de un m dulo o configuraci n de software en el que puede usted configurar su primer m dulo Definici n de valores de inicializaci n para un proyecto Con los valores de inicializaci n se definen propiedades que se adoptan autom ticamente al crear nuevos m dulos Seleccione el siguiente comando de men para la entrada de valores de inicializaci n Project Properties ficha Valores de incializaci n est ndar SCALANCE S y SOFTNET Security Client 116 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Configuraci n con Security Configuration Tool 4 4 Administraci n de proyectos Product Type SCALANCE S General Defaul
271. tos externos asignados a la conversi n NAPT han de estar en el campo gt 0 y lt 65535 Quedan excluidos el Port123 NTP 443 HTTPS 514 Syslog y 500 4500 IPsec s lo para S612 y S613 SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 169 Firewall Router y otras propiedades del m dulo 5 7 Routing Modus Prueba Regla Comprobaci n realizada a nivel local a nivel de proyecto La direcci n IP externa del SCALANCE S s lo se debe utilizar en la tabla NAT xX para el sentido Internal gt External La direcci n IP interna del SCALANCE S no se debe utilizar en la tabla NAT ni en x la tabla NAPT Control de duplicidad en la tabla NAT xX Una direcci n IP externa utilizada con sentido External gt Internal o Bidireccional s lo debe aparecer una vez en la tabla NAT Control de duplicidad en la tabla NAPT xX e Un n mero de puerto externo s lo debe estar registrado una vez Dado que siempre se utiliza la direcci n IP de SCALANCE S como direcci n IP externa en caso de uso m ltiple no tendr a car cter inequ voco e Los n meros de puerto o los campos de puertos externos no se deben superponer En cuanto se activa el Routing Mode se tienen que asignar al SCALANCE S las xX segundas direcciones IP subred Puertos NAPT internos pueden estar en el campo gt 0 y lt 65535 x A Seleccione para ello el comando de men
272. trador Introduzca un nombre de usuario y una contrase a y confirme la entrada con esto crea un nuevo proyecto Aparece autom ticamente el di logo Seleccionar un m dulo o configuraci n de software Configure ahora el tipo de producto el m dulo y la versi n de firmware cerrando al final el di logo pulsando OK Cree un segundo m dulo con el siguiente comando de men Insert gt Module Configure ahora el tipo de producto SOFTNET Configuration el m dulo SOFTNET Security Client y la versi n de firmware de su SOFTNET Security Client Version cerrando al final el di logo pulsando OK A este m dulo se le asigna autom ticamente un nombre seg n lo ajustado previamente para el proyecto Haga clic en el rea de navegaci n en All Modules y a continuaci n en el rea de contenido en la l nea con Module 1 Haga clic ahora en la columna MAC Address e introduzca sta en el formato predeterminado Encontrar esta direcci n en la cara frontal del m dulo SCALANCE S v ase la figura SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 79 GETTING STARTED 3 4 Ejemplo 4 Acceso remoto Ejemplo de t nel VPN con SCALANCE S612 8613 y SOFTNET Security Client 80 8 Haga clic ahora en la columna IP Address ext introduzca sta en el formato predeterminado y adapte tambi n la m scara de subred Para Module1 Direcci n IP 191 0
273. trav s de una red p blica SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 87 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client Con esta configuraci n se consigue que el tr fico IP entre dos interlocutores autorizados s lo sea posible a trav s de la conexi n de t nel VPN establecida Nota Para la configuraci n de este ejemplo es obligatoriamente necesario tener a disposici n una direcci n IP p blica no modificable para la tarjeta SIM del MD741 1 del propio proveedor proveedor de tel fono m vil a la que no se pueda acceder a trav s de internet Opcionalmente tambi n se puede utilizar una direcci n DynDNS para el MD741 1 Configuraci n de la red de test Red p blica externa red interna e Red interna conexi n a MD741 1 Port X2 Internal Network En la configuraci n de test en la red interna cada nodo de red se realiza por medio de un PC que est conectado al puerto Internal Network Port X2 de un m dulo MD741 1 PC1 representa a una estaci n de la red interna MD741 1 MD741 1 M dulo para la protecci n de la red interna Red p blica externa conexi n a trav s de la antena MD741 1 External Network La red p blica externa es una red GSM o de telefon a m vil que puede ser seleccionada por el abonado del proveedor de telefon a m vil y se alcanza a trav s de
274. tros de red Configuraci n La configuraci n como DHCP Server es posible en la vista Advanced Mode 5 2 Crear m dulos y ajustar par metros de red Crear m dulos Al crear un nuevo proyecto la Security Configuration Tool abre de forma est ndar el cuadro de di logo Selecci n de un m dulo o configuraci n de software en el que usted puede configurar su primer m dulo Con el comando de men siguiente se crean otros nuevos m dulos Insert gt Module alternativa a trav s del men de contexto estando seleccionado el objeto All Modules Seleccione en el siguiente paso de este cuadro de di logos su tipo de producto el m dulo y la versi nde firmware Project Edit Insert Transfer View Optid Djs lel 594100 de gt Ofiine View 3 _ Number Name gt pA EE Module os 2 Module2 due 3 Module3 Modue3 3 ig 1 VPN Gous Ready 132 Product Type SCALANCE S C SOFTNET Configuration SOFTNET Security Client MD74x Device C S e 5512 C S613 Firmware Release cv Cy Configuration Name of Module ode MAC Address 00 0E 2C 000002 IP Address ext 1192 168 10 3 T Enable Routing IP Adress int Subnet Mask int Short Description Subnet Mask ext 255 255 255 0 Router_ MAC Address Comment 00 0E 8C 00 00 00 00 DE 8C 00 00 01 Standard Mode Offime 9 SCALANCE S y SOFTNET Security Client Instrucciones de servici
275. trucciones de servicio 02 2011 C79000 G8978 C196 07 163 Firewall Router y otras propiedades del m dulo 5 7 Routing Modus 5 7 Routing Modus 5 7 1 Routing Significado Si ha activado el modo Routing se transmiten los telegramas dirigidos a una direcci n IP existente en la respectiva subred interna o externa Por lo dem s son v lidas las reglas de Firewall adoptadas para el respectivo sentido de transmisi n Para este modo de operaci n tiene que configurar en el cuadro de di logo mostrado a continuaci n una direcci n IP interna y una m scara de subred interna para el direccionamiento del router en la subred interna Vista de operaci n Esta funci n se puede configurar de forma id ntica en Standard Mode y Advanced Mode Activar el modo Router 1 Marque el m dulo a editar y seleccione el siguiente comando de men SCALANCE S y SOFTNET Security Client 164 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 7 Routing Modus Edit gt Properties ficha Routing mode 3 Module Properties Modulel boa E Network Firewall Settings El SSL Certificate 4f Time Synchronization SA Logging S Nodes 59 VPN S5 Routing Modus 3 DHCP Server Routing MV Routing active external module IP address 192 168 10 1 external subnetmask internal module IP address 192 168 12 1 internal subnetmask 255 255 255 0 NAT NAPT V NAT activ
276. ttings upon exit 4 Seleccione en el di logo Propiedades del protocolo de Internet versi n 4 TCP IPv4 la casilla de verificaci n Usar la siguiente direcci n IP e introduzca en los campos previstos al efecto los valores correspondientes al PC tomados de la tabla Crear configuraci n IP de los PCs Cierre los cuadros de di logo con Aceptar y salga del panel de control Crear proyecto y m dulos Proceda del siguiente modo 44 1 Inicie el software de configuraci n Security Configuration Tool en PC3 2 Cree un nuevo proyecto con el siguiente comando de men Project gt New Se le pide que introduzca un nombre de usuario y una contrase a Al usuario que usted entra aqu se le asigna el papel de un administrador SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 1 Ejemplo 1 T nel VPN Ejemplo de t nel IPsec con SCALANCE S612 S613 3 Introduzca un nombre de usuario y una contrase a y confirme la entrada con esto crea un nuevo proyecto 4 Aparece autom ticamente el di logo Seleccionar un m dulo o configuraci n de software Configure ahora el tipo de producto el m dulo y la versi n de firmware cerrando al final el di logo pulsando OK 5 Cree un segundo m dulo con el siguiente comando de men Insert gt Module Configure ahora el tipo de producto el m dulo y la versi n de firmware cerrando al final el di logo pulsan
277. ty Client S6 12 5613 7 1 Uso de SOFTNET Security Client Detalles en la ayuda online Encontrar tambi n informaciones detalladas sobre los cuadros de di logo y los campos de introducci n en la ayuda online de la interfaz de operaci n del SOFTNET Security Client A la ayuda online se accede por medio del bot n Help o con la tecla F1 C mo funciona el SOFTNET Security Client El SOFTNET Security Client carga por lectura la configuraci n creada con la herramienta de configuraci n Security Configuration Tool y determina sobre la base del archivo los certificados a importar El Root Certificate y las Private Keys se importan y se almacenan en el PG PC local A continuaci n se realizan con los datos de la configuraci n ajustes de Security para que las aplicaciones puedan acceder a direcciones IP que se encuentren detr s de m dulos SCALANCE S Si est activado el modo de aprendizaje para las estaciones o los equipos de automatizaci n internos el m dulo de configuraci n establece primero una directiva de seguridad para el acceso a m dulos SCALANCE S SOFTNET Security Client interroga a continuaci n los m dulos SCALANCE S para determinar las direcciones IP de las respectivas estaciones internas SOFTNET Security Client registra esas direcciones IP en listas de filtros especiales de esa directiva de seguridad Despu s de esto aplicaciones como por ejemplo STEP 7 se pueden comunicar con los equipos de comunicac
278. u Name PEC7HGIABA S New mport Properties Advanced Settings Phase 1 IKE Mode Main X Phase 1 DH Group Group2 X SA Lifetype Mime SA Life hao i Phase 1 Encryption 3Des 168 y Phase 1 Authentication sH y Advanced Settings Phase 2 SA Lifetype Time y SA Life 1440 min Phase 2 Encryption 3DES 168 y Phase 2 Authentication sHar y J Perfect Forward Secrecy Comment PQ Comcel Hop SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client ATENCI N S lo se puede crear una conexi n de t nel correcta entre MD741 1 y SOFTNET Security Client si respecta estrictamente los siguientes par metros El uso de par metros diferentes puede ocasionar que los dos partner de tunneling no puedan establecer entre s conexi n VPN alguna Procedimiento de autenticaci n Certificado Advanced Settings Phase 1 e IKE Mode Main e Phase 1 DH Group Group2 e Phase 1 Encryption 3DES 168 e Duraci n SA minutos 1440 e Phase 1 Authentication SHA1 Advanced Settings Phase 2 e SA Lifetype Time e Phase 2 Encryption 3DES 168 e Duraci n SA minutos 1440 e Phase 2 Authentication SHA1 7 Guarde ahora este proyecto con el siguiente comando de men bajo un nombre apropiado Project gt Save As Con esto ha terminado la configur
279. ualizaci n de los paquetes de datos registrados as como inicio y parada del registro de paquetes Observaci n Tenga en cuenta las observaciones sobre los tipos de equipos Condiciones para el acceso Para poder ejecutar en l nea las funciones online en un m dulo SCALANCE S se tienen que cumplir los siguientes requisitos e est activado el modo Online en la Security Configuration Tool e existe una conexi n de red con el m dulo seleccionado e est abierto el proyecto correspondiente con el que se ha configurado el m dulo Apertura del cuadro de di logo online Conmute el modo de funcionamiento de la Security Configuration Tool con el comando de men siguiente View gt Online Marque el m dulo a editar y seleccione para abrir el cuadro de di logo online el comando de men Edit Online Diagnostics SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Funciones online Test Diagn stico y Logging 8 1 Panor mica de funciones del cuadro de di logo online 3 Online View Module1 oE feta Status Date and Time System Log Audt Log Packet Filter Log Communication Status Intemal Nodes Overview Hardwaretype Scalance S613_V2 Mode bridging IP Address extern E 192 168 10 1 MAC Address extern 00 0E 8C C4 1C 68 IP Address intern MWH 192 168 10 1 MAC Address intern 00 0E 8C C4 1C 68 Serial 1D VPS7050076 HW Release 6 MLFB 6GK5613
280. ueden reunir formando grupos de servicios De este modo se pueden crear servicios m s complejos que entonces se pueden utilizar en las reglas de filtrado de paquetes seleccionando simplemente un nombre SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 159 Firewall Router y otras propiedades del m dulo 5 4 Firewall Propiedades del m dulo en el Advanced Mode Cuadro de di logo ficha Forma de abrir el cuadro de di logo e Sobre el siguiente comando de men Options IP MAC Service Definition O e Desde la ficha Firewall IP Rules o Firewall MAC Rules con el bot n IP MAC Service Definition IP Services ICMP Service Groups Group Management Name Description Remove Update IP Services ICMP Service Groups Group Management Y E SCALANCE S y SOFTNET Security Client 160 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 5 Sincronizaci n horaria 5 5 Sincronizaci n horaria Significado Para comprobar la validez horaria de un certificado y para el sello horario de registros Log se indican la fecha y la hora en el m dulo SCALANCE S Nota La sincronizaci n de tiempo se refiere nicamente al m dulo SCALANCE S y no puede utilizarse para la sincronizaci n de equipos en la red interna del SCALANCE S Alternativas de gesti n de la hora Se pueden configura
281. uiente configuraci n Para PC2 indique la direcci n IP del DSL Router para la interfaz de red interna Con PC1 y PC2 proceda en cada caso de la siguiente manera para abrir las conexiones de red en el PC correspondiente 1 Abra el panel de control en el respectivo PC con el siguiente comando de men Inicio gt Panel de control 2 Abra el icono Red y centro de autorizaci n SCALANCE S y SOFTNET Security Client 90 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 5 Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client 3 Active en el di logo Propiedades de la conexi n LAN la casilla de opci n Protocolo Internet versi n 4 TCP IPv4 y haga clic en el bot n Propiedades Networking Connect using E Intel R PRO 1000 MT Netzwerkverbindung M SIMATIC Industrial Ethemet ISO 0 You can get IP settings assigned automatically if your network supports vi PROFINET lO RT Protocol LLDP this capability Otherwise you need to ask your network administrator M Intemet Protocol Version 6 TCP IPv6 for the appropriate IP settings TRS intemet Protocol Version 4 TCP IPv4 M Link Layer Topology Discovery Mapper 1 0 Driver Obtain an IP address automatically MI Link Layer Topology Discovery Responder Use the following IP address 4 IP address Subnet mask Default gateway wide area network protocol that provides
282. ule 1 n A gt gt l Internal E E PC 2 l Y i i L Red externa AAA Red interna Firewall SCALANCE S y SOFTNET Security Client 50 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 GETTING STARTED 3 2 Ejemplo 2 Firewall Uso del SCALANCE S como Firewall e Red interna conexi n a SCALANCE S Port 2 En la estructura de test en la red interna cada nodo de red se realiza por medio de un PC que est conectado al puerto Internal Network Port 2 verde de un m dulo SCALANCE S PC2 Representa a una estaci n participante en la red interna SCALANCE S Module 1 M dulo SCALANCE S para la red interna e Red externa conexi n a SCALANCE S Port 1 La red p blica red externa se conecta al puerto External Network Port 1 rojo de un m dulo SCALANCE S PC1 PC con el software de configuraci n Security Configuration Tool Dispositivos componentes necesarios Utilice los siguientes componentes para el montaje e 1 SCALANCE S adicionalmente como opci n un riel de perfil de sombrero correspondientemente instalado con material de montaje e 1 alimentaci n el ctrica de 24V con conexiones de cables y conectores de bloque de bornes e 1 PC en el que est instalada la herramienta de configuraci n Security Configuration Tool e 1PC en la red interna para test de la configuraci n e los necesarios cables de red cables
283. uraci n e El firewall est preconfigurado con las siguientes reglas de firewall el tr fico de datos no asegurado del puerto interno al puerto externo y viceversa externo interno no es posible El estado no configurado se reconoce porque el diodo F brilla con luz amarilla SCALANCE S y SOFTNET Security Client 32 Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Propiedades del producto y pues a en servicio 2 3 Puesta en servicio Consulte tambi n Propiedades del producto P gina 17 Montaje P gina 27 2 3 1 Paso 1 Conectar el m dulo SCALANCE S Proceda del siguiente modo 1 Saque primero el SCALANCE S de su embalaje y compruebe si est en perfecto estado 2 Conecte la alimentaci n de tensi n a SCALANCE S Resultado Tras conectar la tensi n de servicio brilla el diodo Fault F con luz amarilla 3 Establezca las conexiones f sicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto conectores hembra RJ45 Conecte el puerto 1 puerto externo a la red externa en la que est conectado el PC PG de configuraci n Conecte el puerto 2 puerto interno a la red interna Observaci n A la puesta en servicio puede conectar por principio el PC PG de configuraci n primero al puerto 1 o al puerto 2 renunciando a la conexi n de otros nodos de red hasta que el equipo est provisto de una configuraci n En caso de conexi n al puerto 2 deber a configurar
284. urar 118 usuarios autorizados 109 V VLAN Tagging 182 Volumen de suministro 18 VPN 13 15 Porpiedades espec ficas del m dulo 191 SOFTNET Security Client 201 W Windows 2000 109 Windows XP SP1 o SP2 109 261 ndice alfab tico SCALANCE S y SOFTNET Security Client 262 Instrucciones de servicio 02 2011 C79000 G8978 C196 07
285. wall globales para m dulos Reglas de Firewall locales est n asignadas a un m dulo en cada caso Se configuran en el di logo de propiedades de los m dulos Las reglas globales para firewall se pueden asignar a varios m dulos a un tiempo Esta posibilidad simplifica en muchos casos la configuraci n Adicionalmente se tiene la posibilidad de definir reglas de firewall de forma compacta y clara con ayuda de definiciones de servicios Estas definiciones de servicios se pueden tomar como referencia tanto para reglas de Firewall locales como para bloques de reglas de Firewall globales SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 Firewall Router y otras propiedades del m dulo 5 1 2 Significado 5 1 Vista general principios SCALANCE S como Router Utilizando SCALANCE S como router conecta la red interna con la red externa La red interna conectada a trav s de SCALANCE S se convierte as en una subred propia Tiene las siguientes posibilidades e Routing ajustable en Standard Mode y Advanced Mode e NAT NAPT Routing ajustable en Advanced Mode Routing ajustable en Standard Mode y Advanced Mode Se transmiten los telegramas dirigidos a una direcci n IP existente en la respectiva subred interna o externa Por lo dem s son v lidas las reglas de Firewall adoptadas para el respectivo sentido de transmisi n Para este modo de operaci n se tiene que configura
286. way Direcci n IP externa direcci n IP WAN de un Internet Gateway p ej DSL Router OOO 6 5 Configuraci n de nodos de red internos Para que los socios de t neles puedan dar a conocer sus propios nodos internos un SCALANCE S debe conocer sus propios nodos internos Adem s debe tambi n conocer los nodos internos del SCALANCE S junto a los cuales se encuentra dentro de un grupo Esta informaci n se utiliza en un SCALANCE S para determinar qu paquete de datos se debe transmitir por qu t nel En redes planas SCALANCE S ofrece la posibilidad de programar los nodos de red autom ticamente por aprendizaje o de configurarlos est ticamente En el modo Routing se dotan de t nel subredes completas all no es necesario aprender ni configurar de forma est tica los nodos de red SCALANCE S y SOFTNET Security Client 194 Instrucciones de servicio 02 2011 C79000 G8978 C 196 07 Comunicaci n segura en la VPN a trav s de t nel IPsec S6 12 5613 6 5 1 6 5 Configuraci n de nodos de red internos Funcionamiento del modo de aprendizaje Localizaci n autom tica de nodos para la comunicaci n v a t nel s lo modo Bridge Requisitos Subredes Una gran ventaja para la configuraci n y el trabajo de la comunicaci n v a t nel es que SCALANCE S puede localizar por s mismo nodos en la red interna Nuevos nodos son reconocidos por SCALANCE S durante el funcionamiento en curso Los nodos detectados se notifican a
287. ximo de una l nea de conexi n se expresa normalmente en bps Address Resolution Protocol Protocolo que sirve para la resoluci n de direcciones Su tarea es encontrar para una direcci n de protocolo dada la correspondiente direcci n de hardware de red direcci n MAC En hosts en los que se utiliza la familia de protocolos de Internet se encuentra tambi n con frecuencia una implementaci n del protocolo ARP A trav s de IP se forma una red virtual con ayuda de las direcciones IP stas se tienen que representar para el transporte de datos en las direcciones de hardware dadas Para realizar esta representaci n se utiliza con frecuencia el protocolo ARP Backup Domain Controller Los Backup Domain Controller mantienen una copia de seguridad de los datos de usuario y entrada al sistema que se actualiza a intervalos regulares Basic Rate Interface Conexi n de red est ndar para la RDSI ISDN Broadcast de subred ICMP Para encontrar los nodos IP en la red interna el SCALANCE S env a una ICMP Echo Request con la direcci n Broadcast de subred IP es decir una direcci n que accede a todos los nodos IP de la subred interna del SCALANCE S SCALANCE S y SOFTNET Security Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 247 Glosario lista de abreviaturas CA Certificado CA Certificado SSL CHAP Client Conexi n SSL Certification Authority Organizaci n para la autenticaci n as como la e
288. y del cuadro de di logo Group Properties una contrase a a partir de la cual se genera esta clave Certificado La autenticaci n basada en certificado denominada Certificate es el ajuste predeterminado que est activado tambi n en el Standard Mode El comportamiento es el siguiente Al crear un grupo se genera autom ticamente un certificado de grupo certificado CA Cada SCALANCE S existente en el grupo recibe un certificado signado con la clave del CA de grupo Todos los certificados se basan en el est ndar ITU X 509v3 ITU International Telecommunications Union Los certificados son generados por una entidad certificadora contenida en la Security Configuration Tool ATENCI N Restricci n para el modo VLAN Dentro de un t nel VPN establecido con SCALANCE S no se transmite VLAN Tagging Raz n Los identificadores de VLAN contenidos en los telegramas VLAN Tags se pierden en el caso de los telegramas Unicast al pasar por los SCALANCE S ya que para la transmisi n de los telegramas IP se utiliza IPSec Por un t nel IPSec se transmiten s lo telegramas IP no paquetes Ethernet por lo que se pierde el tagging de VLAN Como est ndar no se pueden transmitir con IPSec telegramas Broadcast ni Mulitcast En el caso de SCALANCE S los IP Broadcast se empaquetan y transmiten exactamente como paquetes MAC en UDP inclusive con Ethernet Header Por ello se conserva tambi n el VLAN Tagging
289. y Client Instrucciones de servicio 02 2011 C79000 G8978 C196 07 229 Funciones online Test Diagn stico y Logging 8 2 Registro de eventos Logging Para las direcciones IP de los m dulos SCALANCE S se utilizan autom ticamente los nombres de los m dulos como nombres simb licos En el modo Routing a estos nombres se les a ade una extensi n con una designaci n de puerto Nombre_de _m dulo P1 Nombre_de _m dulo P2 etc Configuraci n de clases de eventos Tabla 8 4 Network Syslog panor mica de funciones Funci n ficha en el di logo online Packet filter events firewall Packet Filter Log configurable Configuraci n La activaci n tiene lugar a trav s de casillas de control La prioridad y la importancia Facility se asignan a trav s de listas desplegables A cada evento se le asignan la prioridad y la importancia Facility aqu ajustadas Observaciones El valor elegido para la prioridad y la importancia Facility dependen de la evaluaci n realizada en el servidor Syslog Con esto es posible una adaptaci n a los requisitos del servidor Syslog Ajustes predeterminados Facility 10 security auth Prio 5 Notice Audit events Audit Log siempre activado La activaci n tiene lugar a trav s de casillas de control La prioridad y la importancia Facility se asignan a trav s de listas desplegables A cada evento se le asignan la prioridad y la importancia Fac
290. y Client S6 12 5613 7 3 Crear un archivo de configuraci n con la herramienta de configuraci n Security Configuration Tool Salir de SOFTNET Security Client repercusiones 7 2 2 7 3 Si se sale de SOFTNET Security Client se desactiva tambi n la directiva de seguridad Es posible salir de SOFTNET Security Client del siguiente modo e con el comando de men en el SYSTRAY de Windows seleccione con el bot n derecho del rat n el icono de SOFTNET Security Client y seleccione la opci n Shut Down SOFTNET Security Client e estando abierta la superficie con el bot n Quit Desinstalaci n de SOFTNET Security Client Al realizar la desinstalaci n se reponen al estado original las propiedades de Security ajustadas por el SOFTNET Security Client Crear un archivo de configuraci n con la herramienta de configuraci n Security Configuration Tool Configuraci n del m dulo SOFTNET Security Client en el proyecto El SOFTNET Security Client se habilita en el proyecto como m dulo A diferencia de los m dulos SCALANCE S no se tienen que configurar otras propiedades Simplemente se asigna el m dulo SOFTNET Security Client al grupo o a los grupos de m dulos en los que se deben establecer t neles IPsec para comunicaci n con el PC PG Entonces son determinantes las propiedades de grupo que usted haya configurado para esos grupos ATENCI N Tenga en cuenta las indicaciones relativas a los par metros que se describen
291. zar ajustes teniendo en cuenta los mensajes que se van a mostrar y el tama o de los archivos de log Para ahorrar costes en las conexiones orientadas al volumen cabe la posibilidad de desactivar el test de accesibilidad reduciendo la capacidad diagn stica del SOFTNET Security Client V3 0 En el diagn stico de la accesibilidad de los partner de tunneling en el tunneling por v as m s lentas UMTS GPRS etc puede ocurrir que la accesibilidad se indique como negativa aunque en principio funcione la comunicaci n En este caso se puede elevar globalmente el tiempo de espera a la respuesta ping test de accesibilidad Se soporta el establecimiento de una conexi n con un MD741 1 En este contexto se puede configurar una direcci n DNS din mica vea GETTING STARTED Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client P gina 87 Adem s de los sistemas operativos Windows XP SP2 y Windows XP SP3 tambi n se soporta el sistema operativo Windows 7 no la versi n Home e Datos de configuraci n para el m dulo Modul MD 741 1 Para configurar un MD741 1 externo para un acceso con el SOFTNET Security Client V3 0 se pueden extraer datos de configuraci n a un archivo de texto con el Security Configuration Tool V2 3 GETTING STARTED Ejemplo 5 Acceso remoto ejemplo de t nel VPN con MD741 1 y SOFTNET Security Client P gina 87 SCALANCE S y SOFTNET Security Client 4 Instrucciones de servicio 02 2
Download Pdf Manuals
Related Search