SCALANCE S e SOFTNET Security Client - Siemens...3.4.3 Configurazione delle impostazioni IP dei...

�SCALANCE S e SOFTNET Security

Client�

___________________

___________________

___________________

___________________

___________________

___________________

______________________________

___________________

___________________

___________________

___________________

___________________

___________________

SIMATIC NET

SCALANCE S e SOFTNET Security Client

Istruzioni operative

02/2011 C79000-G8972-C196-07

Prefazione

Introduzione e nozioni di base

1

Proprietà del prodotto e messa in servizio

2

GETTING STARTED 3

Progettazione con Security Configuration Tool

4

Firewall, router e altre proprietà del modulo

5

Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613)

6

SOFTNET Security Client (S612/S613)

7

Funzioni online - Test, diagnostica e logging

8

Suggerimenti e assistenza A

Avvertenze relative al marchio CE

B

Bibliografia C

Disegno quotato D

Cronologia documento E

Avvertenze di legge

Avvertenze di legge Concetto di segnaletica di avvertimento

Questo manuale contiene delle norme di sicurezza che devono essere rispettate per salvaguardare l'incolumità personale e per evitare danni materiali. Le indicazioni da rispettare per garantire la sicurezza personale sono evidenziate da un simbolo a forma di triangolo mentre quelle per evitare danni materiali non sono precedute dal triangolo. Gli avvisi di pericolo sono rappresentati come segue e segnalano in ordine descrescente i diversi livelli di rischio.

PERICOLO questo simbolo indica che la mancata osservanza delle opportune misure di sicurezza provoca la morte o gravi lesioni fisiche.

AVVERTENZA il simbolo indica che la mancata osservanza delle relative misure di sicurezza può causare la morte o gravi lesioni fisiche.

CAUTELA con il triangolo di pericolo indica che la mancata osservanza delle relative misure di sicurezza può causare lesioni fisiche non gravi.

CAUTELA senza triangolo di pericolo indica che la mancata osservanza delle relative misure di sicurezza può causare danni materiali.

ATTENZIONE indica che, se non vengono rispettate le relative misure di sicurezza, possono subentrare condizioni o conseguenze indesiderate.

Nel caso in cui ci siano più livelli di rischio l'avviso di pericolo segnala sempre quello più elevato. Se in un avviso di pericolo si richiama l'attenzione con il triangolo sul rischio di lesioni alle persone, può anche essere contemporaneamente segnalato il rischio di possibili danni materiali.

Personale qualificato Il prodotto/sistema oggetto di questa documentazione può essere adoperato solo da personale qualificato per il rispettivo compito assegnato nel rispetto della documentazione relativa al compito, specialmente delle avvertenze di sicurezza e delle precauzioni in essa contenute. Il personale qualificato, in virtù della sua formazione ed esperienza, è in grado di riconoscere i rischi legati all'impiego di questi prodotti/sistemi e di evitare possibili pericoli.

Uso conforme alle prescrizioni di prodotti Siemens Si prega di tener presente quanto segue:

AVVERTENZA I prodotti Siemens devono essere utilizzati solo per i casi d’impiego previsti nel catalogo e nella rispettiva documentazione tecnica. Qualora vengano impiegati prodotti o componenti di terzi, questi devono essere consigliati oppure approvati da Siemens. Il funzionamento corretto e sicuro dei prodotti presuppone un trasporto, un magazzinaggio, un’installazione, un montaggio, una messa in servizio, un utilizzo e una manutenzione appropriati e a regola d’arte. Devono essere rispettate le condizioni ambientali consentite. Devono essere osservate le avvertenze contenute nella rispettiva documentazione.

Marchio di prodotto Tutti i nomi di prodotto contrassegnati con ® sono marchi registrati della Siemens AG. Gli altri nomi di prodotto citati in questo manuale possono essere dei marchi il cui utilizzo da parte di terzi per i propri scopi può violare i diritti dei proprietari.

Esclusione di responsabilità Abbiamo controllato che il contenuto di questa documentazione corrisponda all'hardware e al software descritti. Non potendo comunque escludere eventuali differenze, non possiamo garantire una concordanza perfetta. Il contenuto di questa documentazione viene tuttavia verificato periodicamente e le eventuali correzioni o modifiche vengono inserite nelle successive edizioni.

Siemens AG Industry Sector Postfach 48 48 90026 NÜRNBERG GERMANIA

N. di ordinazione documentazione: C79000-G8972-C196-07 Ⓟ 02/2011

Copyright © Siemens AG 2006, 2007, 2008, 2010, 2011. Con riserva di eventuali modifiche tecniche

SCALANCE S e SOFTNET Security Client Istruzioni operative, 02/2011, C79000-G8972-C196-07 3

Prefazione

Questo manuale... ...fornisce un supporto durante la messa in servizio del Security Module SCALANCE S602 / S612 / S613 e del SOFTNET Security Client. Le varianti SCALANCE S602 / S612 / S613 vengono di seguito indicate con SCALANCE S.

Prefazione

SCALANCE S e SOFTNET Security Client 4 Istruzioni operative, 02/2011, C79000-G8972-C196-07

Nuovo in questa edizione In questa edizione sono inoltre incluse le seguenti nuove funzioni:

● Security Configuration Tool V2.3

Per un semplice utilizzo e per ottenere una migliore panoramica sui diversi tipi di moduli, la gestione dell'integrazione dei moduli e la sostituzione dei moduli ha una nuova concezione.

Un SOFTNET Security Client V3.0 può essere configurato insieme ad un MD741-1 e possono essere creati i dati di configurazione corrispondenti (vedere GETTING STARTED Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client (Pagina 89)).

Per la modalità IKE (fase 1) possono essere parametrizzati algoritmi di codifica AES-128, AES-192 e AES-256.

Oltre ai sistemi operativi Windows XP SP2 e Windows XP SP3 viene supportato il sistema operativo Windows 7 (non la versione Home).

● SOFTNET Security Client V3.0

Per una migliore visualizzazione e diagnostica degli stati dei collegamenti sono state implementate nuove icone ed è stata aggiunta una panoramica supplementare della diagnostica ("Diagnostica estesa").

Per la consolle log nella panoramica del tunnel è possibile eseguire impostazioni in previsione dei messaggi da visualizzare e della dimensione dei file Log.

Per risparmiare i costi in caso di collegamenti basati sui volumi, esiste la possibilità di disattivare il testo di raggiungibilità a discapito della funzionalità di diagnostica del SOFTNET Security Client V3.0.

Durante la diagnostica della raggiungibilità del partner del tunnel, nei tunnel con percorsi di trasmissione più lenti (UMTS, GPRS, ecc.) può verificarsi che la raggiungibilità venga visualizzata come negativa nonostante la comunicazione funzioni. In questo caso il tempo di attesa della risposta ping (test di raggiungibilità) può generalmente aumentare.

La realizzazione del collegamento ad un MD741-1 viene supportata. In questo caso può essere configurato un indirizzo DNS dinamico (vedere GETTING STARTED Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client (Pagina 89)).


● Dati di configurazione per modulo MD 741-1

Per configurare un MD741-1 esterno per un accesso con il SOFTNET Security Client V3.0, tramite il Security Configuration Tool V2.3 è possibile esportare i dati di configurazione in un file di testo. (GETTING STARTED Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client (Pagina 89)).

Prefazione


F1

Validità di questo manuale Questo manuale è valido per i seguenti apparecchi e componenti:

● SIMATIC NET SCALANCE S602 6GK5 602-0BA00-2AA3 - con versione FW da V2.3

● SIMATIC NET SCALANCE S612 V2 6GK5 612-0BA00-2AA3 - con versione FW da V2.3

● SIMATIC NET SCALANCE S613 V2 6GK5 613-0BA00-2AA3 - con versione FW da V2.3

● SIMATIC NET SOFTNET Security Client 6GK1 704-1VW02-0AA0 - a partire dalla versione 2008

● Security Configuration Tool - Versione V2.3

Destinatari Questo manuale è rivolto al personale che esegue la messa in servizio del Security Module SCALANCE S e del SOFTNET Security Client in una rete.

Ulteriore documentazione Nel manuale "SIMATIC NET Reti Industrial Ethernet Twisted Pair e Fiber Optic“ si trovano ulteriori avvertenze sui prodotti SIMATIC NET che possono essere utilizzati insieme al Security Module SCALANCE S in una rete Industrial Ethernet.

Questo manuale di rete in formato elettronico può essere scaricato dal Customer Support in internet al seguente indirizzo:

http://support.automation.siemens.com/WW/view/it/1172207 (http://support.automation.siemens.com/WW/view/de/1172207)

Norme e omologazioni L'apparecchio SCALANCE S risponde ai requisiti richiesti dal marchio CE. Avvertenze dettagliate su questo argomento si trovano nell'appendice del presente manuale operativo.

Simboli ricorrenti

In queste istruzioni questo simbolo rimanda a suggerimenti particolari.

Il simbolo rimanda ad una particolare bibliografia raccomandata.

Questo simbolo rimanda ad una guida dettagliata nella guida in base al contesto. Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo.

http://support.automation.siemens.com/WW/view/de/1172207�

Prefazione


Rimandi bibliografici /.../ I rimandi ad ulteriori documentazioni sono indicati con un numero bibliografico riportato tra due barre /.../. In base a questi numeri è possibile rilevare dalla bibliografia riportata alla fine del presente manuale la parte di documentazione.


Indice

Prefazione ................................................................................................................................................. 3

1 Introduzione e nozioni di base ................................................................................................................. 11

1.1 Impiego di SCALANCE S612, S613 e SOFTNET Security Client...............................................11

1.2 Impiego di SCALANCE S602.......................................................................................................14

1.3 Progettazione e amministrazione.................................................................................................16

2 Proprietà del prodotto e messa in servizio ............................................................................................... 17

2.1 Proprietà del prodotto ..................................................................................................................17 2.1.1 Caratteristiche hardware e panoramica delle funzioni.................................................................17 2.1.2 Fornitura.......................................................................................................................................18 2.1.3 Apertura della confezione e controllo ..........................................................................................19 2.1.4 Collegamento a Ethernet .............................................................................................................19 2.1.5 Tensione di alimentazione ...........................................................................................................20 2.1.6 Contatto di segnalazione .............................................................................................................21 2.1.7 Tasto Reset - Ripristino della configurazione all'impostazione di fabbrica..................................22 2.1.8 Indicatori.......................................................................................................................................23 2.1.9 Dati tecnici....................................................................................................................................25

2.2 Montaggio ....................................................................................................................................27 2.2.1 Montaggio su una guida ad U......................................................................................................28 2.2.2 Montaggio su una guida profilata.................................................................................................30 2.2.3 Montaggio a parete ......................................................................................................................31 2.2.4 Collegamento a terra ...................................................................................................................31

2.3 Messa in servizio .........................................................................................................................32 2.3.1 Operazione 1: Collegamento del modulo SCALANCE S ............................................................34 2.3.2 Operazione 2: Progettazione e caricamento ...............................................................................34

2.4 C-PLUG (Configuration Plug) ......................................................................................................36

2.5 Trasferimento del firmware ..........................................................................................................39

3 GETTING STARTED ............................................................................................................................... 41

3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S613 ....................42 3.1.1 Informazioni generali....................................................................................................................42 3.1.2 Configurazione di SCALANCE S e rete.......................................................................................44 3.1.3 Configurazione delle impostazioni IP dei PC...............................................................................45 3.1.4 Creazione del progetto e del modulo...........................................................................................46 3.1.5 Progettazione del collegamento del tunnel..................................................................................47 3.1.6 Caricamento della configurazione in SCALANCE S....................................................................48 3.1.7 Test della funzione di tunnel (test Ping).......................................................................................49

3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall .....................................................51 3.2.1 Informazioni generali....................................................................................................................51 3.2.2 Configurazione di SCALANCE S e della rete ..............................................................................53 3.2.3 Configurazione delle impostazioni IP dei PC...............................................................................54 3.2.4 Creazione del progetto e del modulo...........................................................................................55

Indice


3.2.5 Progettazione del firewall ............................................................................................................ 57 3.2.6 Caricamento della configurazione in SCALANCE S................................................................... 58 3.2.7 Test della funzione firewall (test Ping) ........................................................................................ 59 3.2.8 Registrazione del traffico di dati del firewall (Logging) ............................................................... 61

3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router.......................... 62 3.3.1 Informazioni generali................................................................................................................... 62 3.3.2 Configurazione di SCALANCE S e della rete ............................................................................. 64 3.3.3 Configurazione delle impostazioni IP dei PC.............................................................................. 65 3.3.4 Creazione del progetto e del modulo .......................................................................................... 66 3.3.5 Progettazione dell’esercizio NAT router...................................................................................... 68 3.3.6 Progettazione del firewall ............................................................................................................ 70 3.3.7 Caricamento della configurazione in SCALANCE S................................................................... 73 3.3.8 Test della funzione del NAT router (test Ping) ............................................................................ 73

3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client ........................................................................................................... 76

3.4.1 Informazioni generali................................................................................................................... 76 3.4.2 Configurazione di SCALANCE S e della rete ............................................................................. 78 3.4.3 Configurazione delle impostazioni IP dei PC.............................................................................. 79 3.4.4 Creazione del progetto e del modulo .......................................................................................... 81 3.4.5 Progettazione del collegamento del tunnel ................................................................................. 84 3.4.6 Caricamento della configurazione in SCALANCE S e salvataggio della configurazione

SOFTNET Security Client ........................................................................................................... 85 3.4.7 Realizzazione del tunnel con il SOFTNET Security Client ......................................................... 86 3.4.8 Test della funzione di tunnel (test Ping)...................................................................................... 87

3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client ............................................................................................................................. 89

3.5.1 Informazioni generali................................................................................................................... 89 3.5.2 Configurazione di MD741-1 e reti ............................................................................................... 91 3.5.3 Configurazione di impostazioni IP dei PC................................................................................... 92 3.5.4 Creazione di un progetto e di moduli .......................................................................................... 93 3.5.5 Progettazione del collegamento via tunnel ................................................................................. 95 3.5.6 Salvataggio della configurazione dell'MD741-1 e del SOFTNET Security Client....................... 97 3.5.7 Esecuzione della configurazione dell'MD741-1 .......................................................................... 98 3.5.8 Realizzazione del tunnel con il SOFTNET Security Client ....................................................... 105 3.5.9 Test della funzione tunnel (test ping) ........................................................................................ 107

4 Progettazione con Security Configuration Tool ...................................................................................... 109

4.1 Insieme di funzioni e tipo di funzionamento.............................................................................. 109

4.2 Installazione .............................................................................................................................. 111

4.3 Superficie operativa e voci di menu .......................................................................................... 112

4.4 Gestione dei progetti ................................................................................................................. 115 4.4.1 Informazioni generali................................................................................................................. 115 4.4.2 Creazione e modifica di progetti ............................................................................................... 117 4.4.3 Configurazione utenti ................................................................................................................ 120 4.4.4 Controlli di coerenza ................................................................................................................. 122 4.4.5 Impostazione di nomi simbolici per indirizzi IP/MAC. ............................................................... 123

4.5 Caricamento della configurazione in SCALANCE S................................................................. 126

4.6 Dati di configurazione per MD 740 / MD 741............................................................................ 128

Indice


5 Firewall, router e altre proprietà del modulo........................................................................................... 131

5.1 Panoramica / Nozioni di base ....................................................................................................132 5.1.1 SCALANCE S come firewall ......................................................................................................132 5.1.2 SCALANCE S come Router.......................................................................................................133 5.1.3 SCALANCE S come server DHCP ............................................................................................133

5.2 Creazione di moduli e impostazione dei parametri di rete.........................................................134

5.3 Firewall - Proprietà del modulo in modalità Standard................................................................137 5.3.1 Progettazione del firewall...........................................................................................................137 5.3.2 Preimpostazione del firewall ......................................................................................................140

5.4 Firewall - Proprietà del modulo in modalità Advanced ..............................................................142 5.4.1 Progettazione del firewall...........................................................................................................143 5.4.2 Regole firewall globali ................................................................................................................144 5.4.3 Impostazione delle regole del filtro pacchetto IP locali ..............................................................147 5.4.4 Regole del filtro pacchetto IP .....................................................................................................149 5.4.5 definizione dei servizi IP ............................................................................................................153 5.4.6 definizione dei servizi ICMP.......................................................................................................155 5.4.7 Impostazione di regole del filtro pacchetto MAC .......................................................................157 5.4.8 Regole del filtro pacchetto MAC ................................................................................................158 5.4.9 definizione dei servizi MAC........................................................................................................160 5.4.10 configurazione di gruppi di servizi..............................................................................................162

5.5 Sincronizzazione dell'ora ...........................................................................................................163

5.6 Creazione di certificati SSL........................................................................................................165

5.7 Modalità Routing ........................................................................................................................166 5.7.1 Routing.......................................................................................................................................166 5.7.2 NAT/NAPT Routing....................................................................................................................167 5.7.3 NAT/NAPT Routing - Esempi per la configurazione parte 1......................................................172 5.7.4 NAT/NAPT Routing - Esempi per la configurazione parte 2......................................................174

5.8 Server DHCP .............................................................................................................................176

6 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613)................................................... 181

6.1 VPN con SCALANCE S .............................................................................................................181

6.2 Gruppi ........................................................................................................................................184 6.2.1 Creazione di gruppi e assegnazione di moduli ..........................................................................184 6.2.2 Tipi di moduli all'interno di un gruppo ........................................................................................186

6.3 Configurazione del tunnel nella modalità Standard ...................................................................187

6.4 Configurazione del tunnel in modalità Advanced.......................................................................188 6.4.1 Progettazione delle proprietà dei gruppi ....................................................................................188 6.4.2 Assunzione di SCALANCE S nel gruppo configurato................................................................191 6.4.3 SOFTNET Security Client ..........................................................................................................192 6.4.4 Configurazione delle proprietà VPN specifiche per il modulo....................................................193

6.5 Configurazione di nodi di rete interni .........................................................................................196 6.5.1 Tipo di funzionamento della modalità di programmazione ........................................................196 6.5.2 Visualizzazione dei nodi di rete interni trovati............................................................................199 6.5.3 Configurazione manuale dei nodi di rete ...................................................................................200

Indice


7 SOFTNET Security Client (S612/S613) ................................................................................................. 203

7.1 Impiego del SOFTNET Security Client ..................................................................................... 203

7.2 Installazione e messa in servizio del SOFTNET Security Client .............................................. 206 7.2.1 Installazione e avvio del SOFTNET Security Client.................................................................. 206 7.2.2 Disinstallazione del SOFTNET Security Client ......................................................................... 207

7.3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool..................................................................................................................... 207

7.4 Comando del SOFTNET Security Client................................................................................... 210

7.5 Configurazione e modifica del tunnel........................................................................................ 213

8 Funzioni online - Test, diagnostica e logging ......................................................................................... 223

8.1 Panoramica delle funzioni della finestra di dialogo online ........................................................ 224

8.2 Registrazione di eventi (logging)............................................................................................... 226 8.2.1 Impostazioni Log locale nella configurazione ........................................................................... 227 8.2.2 Network Syslog - Impostazioni nella configurazione ................................................................ 230 8.2.3 Progettazione del loggig pacchetti ............................................................................................ 232

A Suggerimenti e assistenza..................................................................................................................... 235

A.1 Il modulo SCALANCE S non si avvia correttamente ................................................................ 235

A.2 Il modulo SCALANCE S non è raggiungibile ............................................................................ 235

A.3 Sostituzione di un modulo SCALANCE S................................................................................. 235

A.4 Il modulo SCALANCE S è compromesso ................................................................................. 235

A.5 Codice dai dati di progettazione compromesso o perso........................................................... 236

A.6 Comportamento di esercizio generale ...................................................................................... 237

B Avvertenze relative al marchio CE......................................................................................................... 239

C Bibliografia............................................................................................................................................. 241

D Disegno quotato..................................................................................................................................... 243

E Cronologia documento........................................................................................................................... 245

E.1 Cronologia documento .............................................................................................................. 245

Glossario / indice delle abbreviazioni..................................................................................................... 247

Indice analitico....................................................................................................................................... 259


Introduzione e nozioni di base 1

SIMATIC NET SCALANCE S e SIMATIC NET SOFTNET Security Client rappresentano il concetto di sicurezza SIEMENS, mirato a soddisfare le richieste di sicurezza di comunicazione nella tecnica di automazione industriale.

Questo capitolo fornisce informazioni generali sulle funzioni di sicurezza degli apparecchi e dei componenti

● Security Module SCALANCE S

● SOFTNET Security Client

Suggerimento: l'approccio rapido a SCALANCE S è descritto nel capitolo 3 "GETTING STARTED".

1.1 Impiego di SCALANCE S612, S613 e SOFTNET Security Client

Protezione totale - compito di SCALANCE S612 / S613 Grazie alla combinazione di diverse misure di sicurezza come firewall, router NAT/NAPT e VPN (Virtual Private Network) tramite IPsec Tunnel, gli apparecchi SCALANCE S612 / S613 proteggono apparecchi singoli o intere celle di automazione:

● spionaggio dei dati

● manipolazione dei dati

● accessi non autorizzati;

SCALANCE S612 / S613 consente questa protezione flessibile, senza retroeffetti, indipendente dal protocollo (dal layer 2 secondo IEEE 802.3) e senza utilizzo complicato.

SCALANCE S612 / S613 e SOFTNET Security Client vengono configurati con lo strumento di progettazione Security Configuration Tool.

Introduzione e nozioni di base 1.1 Impiego di SCALANCE S612, S613 e SOFTNET Security Client


External

Internal

External

Internal

External

Internal

External

Internal

0 1

•

Service Computercon

Scurity Client

rete esterna

HMI

OP 270

IE/PBLink

ET 200X

S7-400 S7-300

Figura 1-1 Configurazione della rete con SCALANCE S612 / S613

Introduzione e nozioni di base 1.1 Impiego di SCALANCE S612, S613 e SOFTNET Security Client


Funzioni di sicurezza ● Firewall

– IP Firewall con Stateful Packet Inspection;

– Firewall anche per telegrammi Ethernet "Non-IP" secondo IEEE 802.3 (telegrammi layer 2; non valido se viene utilizzata la modalità router)

– Limitazione della larghezza di banda

Tutti i nodi di rete che si trovano in un segmento di rete interno di uno SCALANCE S sono protetti da questo Firewall.

● Comunicazione protetta con IPsec Tunnel

SCALANCE S612 / S613 e SOFTNET Security Clients possono essere raggruppati tramite progettazione. Tra tutti gli SCALANCE S612 / S613 e un SOFTNET Security Client di un gruppo vengono realizzati IPsec Tunnel (VPN, Virtual Private Network). Tutti i nodi interni di questo SCALANCE S possono comunicare tra loro in modo sicuro tramite questo tunnel.

● Indipendenza dal protocollo

La realizzazione dei tunnel comprende anche telegrammi Ethernet secondo IEEE 802.3 (telegrammi layer 2; non valido se viene utilizzata la modalità router).

Attraverso il tunnel IPsec vengono trasmessi sia telegrammi IP, sia telegrammi Non-IP.

● Router operation

Utilizzando SCALANCE S come router, si collega la rete interna alla rete esterna. La rete interna collegata tramite SCALANCE S diventa quindi una sotto-rete propria.

● Protezione per apparecchi e segmenti di rete

La funzione di protezione Firewall e VPN può estendersi dal funzionamento di singoli apparecchi, più apparecchi, fino a interi segmenti di rete.

● Senza retroeffetti in caso di montaggio in reti piatte (modalità bridge)

I nodi di rete interni possono essere trovati senza progettazione. In caso di montaggio di uno SCALANCE S612 / S613 in un'infrastruttura di rete esistente non è quindi necessario riconfigurare gli apparecchi terminali.

Il modulo cerca di trovare nodi interni; i nodi interni che non possono essere trovati in questo modo devono perciò essere progettati.

Comunicazione PC/PG in VPN - Compito del SOFTNET Security Client Con il software PC SOFTNET Security Client sono possibili accessi remoti sicuri dal PC/PG agli apparecchi di automazione protetti da SCALANCE S, in tutte le reti pubbliche.

Con il SOFTNET Security Client un PC/PG viene configurato automaticamente in modo che esso possa realizzare una comunicazione sicura tramite tunnel IPsec nella VPN (Virtual Private Network) con uno o diversi SCALANCE S.

Le applicazioni PG/PC come diagnostica NCM o STEP7 possono in questo modo accedere con un collegamento sicuro tramite tunnel ad apparecchi o reti che si trovano in una rete interna protetta con SCALANCE S.

Introduzione e nozioni di base 1.2 Impiego di SCALANCE S602


Anche il software PC SOFTNET Security Client viene configurato con lo strumento di progettazione Security Configuration Tool; in questo modo viene garantita la progettazione completamente integrata che non richiede uno speciale Security Know How.

Nodi di rete interni ed esterni SCALANCE S612 / S613 ripartisce le reti in due aree:

● rete interna: aree protette con "nodi interni"

I nodi interni sono quelli protetti da uno SCALANCE S.

● rete esterna: aree non protette con "nodi esterni"

I nodi esterni sono quelli che si trovano fuori dall'area protetta.

ATTENZIONE

Le reti interne vengono considerate sicure (fidate).

Collegare un segmento di rete interno a segmenti di rete esterni solo tramite SCALANCE S.

Non devono esistere altri percorsi di collegamento tra rete interna ed esterna!

1.2 Impiego di SCALANCE S602

Firewall e Router - Compito di SCALANCE S602 Grazie alla combinazione di diverse misure di sicurezza come firewall e router NAT/NAPT, l'apparecchio SCALANCE S602 protegge singoli apparecchi o intere celle di automazione da:

● spionaggio dei dati

● accessi non autorizzati;

SCALANCE S602 consente questa protezione in modo flessibile e senza trattamenti complessi.

SCALANCE S602 viene configurato con lo strumento di progettazione Security Configuration Tool.

Introduzione e nozioni di base 1.2 Impiego di SCALANCE S602


External

Internal

External

Internal

External

Internal

0 1

•

"interna": Servizio & supervisione "interna": Cella di automazione "interna": Cella di automazione

HMI

SCALANCE S

OP 270

IE/PBLink

ET 200X

S7-400 S7-300

SCALANCE SSCALANCE S

Figura 1-2 Configurazione della rete con SCALANCE S602

Funzioni di sicurezza ● Firewall

– IP Firewall con Stateful Packet Inspection;

– Firewall anche per telegrammi Ethernet "Non-IP" secondo IEEE 802.3 (telegrammi layer 2; non vale per S602 se viene utilizzato il funzionamento router);

– Limitazione della larghezza di banda


● Funzionamento router

Utilizzando SCALANCE S come router, si disaccoppia la rete interna dalla rete esterna. La rete interna collegata da SCALANCE S diventa quindi una sotto-rete propria; SCALANCE S deve essere indirizzato esplicitamente come router tramite il proprio indirizzo IP.

● Protezione per apparecchi e segmenti di rete

La funzione di protezione Firewall può estendersi dal funzionamento di singoli apparecchi, più apparecchi, fino a interi segmenti di rete.

● Senza retroeffetti in caso di montaggio in reti piatte (modalità bridge)

In caso di montaggio di uno SCALANCE S602 in un'infrastruttura di rete esistente non è necessario reimpostare gli apparecchi terminali.

Introduzione e nozioni di base 1.3 Progettazione e amministrazione


Nodi di rete interni ed esterni SCALANCE S602 ripartisce le reti in due aree:

● rete interna: aree protette con "nodi interni"

I nodi interni sono quelli protetti da uno SCALANCE S.

● rete esterna: aree non protette con "nodi esterni"

I nodi esterni sono quelli che si trovano fuori dall'area protetta.

ATTENZIONE

Le reti interne vengono considerate sicure (fidate).

Collegare un segmento di rete interno a segmenti di rete esterni solo tramite SCALANCE S.

Non devono esistere altri percorsi di collegamento tra rete interna ed esterna!

1.3 Progettazione e amministrazione

Riassunto dei punti più importanti L'interazione con lo strumento di progettazione Security Configuration Tool consente un impiego semplice e sicuro dei moduli SCALANCE S:

● Progettazione senza nozioni esperti IT con il Security Configuration Tool

Con il Security Configuration Tool anche non esperti IT possono impostare un modulo SCALANCE S. In una modalità di ampliamento, in caso di necessità, è possibile eseguire impostazioni complicate.

● Comunicazione amministrativa protetta

La trasmissione delle impostazioni verso SCALANCE S vengono eseguite con un collegamento codificato SSL.

● Protezione contro l'accesso nel Security Configuration Tool

Grazie alla gestione utente del Security Configuration Tool, è garantito una protezione contro l'accesso per gli apparecchi SCALANCE S e i dati di progettazione.

● Supporto dati C-PLUG impiegabile

Il C-PLUG è un supporto dati innestabile, sul quale sono salvati i dati di configurazione codificati. In caso di sostituzione di uno SCALANCE S, esso consente la configurazione senza PC/PG.


Proprietà del prodotto e messa in servizio 2

Questo capitolo descrive l'approccio all'utilizzo e a tutte le proprietà più importanti dell'apparecchio SCALANCE S.

Qui vengono descritte le possibilità di montaggio disponibili e la messa in servizio dell'apparecchio in poche operazioni.

Altre informazioni La configurazione dell'apparecchio per applicazioni standard è descritta in modo sintetico nel capitolo "GETTING STARTED".

Le informazioni dettagliate per la progettazione e le funzioni online si trovano nella parte di consultazione di questo manuale.

2.1 Proprietà del prodotto

Nota

Le omologazioni indicate hanno validità solo quando sul prodotto è stata applicata la relativa contrassegnatura.

2.1.1 Caratteristiche hardware e panoramica delle funzioni Tutti i moduli SCALANCE S offrono le seguenti potenzialità fondamentali:

Hardware ● Custodia robusta con grado di protezione IP 30

● Montaggio a scelta su guida ad U S7-300 o DIN di 35 mm

● Alimentazione ridondante

Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto


● Contatto di segnalazione

● Campo di temperatura ampliata (-20 °C ... +70 °C SCALANCE S613)

Panoramica delle funzioni dei tipi di apparecchio Rilevare dalla seguente tabella le funzioni supportate dall'apparecchio.

Nota

In questo manuale vengono descritte tutte le funzioni. Osservare nella tabella le descrizioni che riguardano l'apparecchio utilizzato.

Fare attenzione anche alle indicazioni supplementari nei titoli del capitolo!

Tabella 2- 1 Panoramica delle funzioni

Funzionamento S602 S612 V1 S612 V2 S613 V1 S613 V2 Firewall x x x x x Router NAT/NAPT x - x - x Server DHCP x - x - x Syslog rete x - x - x Tunnel IPsec (VPN, Virtual Private Network) - x x x x SOFTNET Security Client - x x x x

x La funzione è supportata - La funzione non è supportata

2.1.2 Fornitura

Che cosa è compreso nella fornitura di SCALANCE S? ● Apparecchio SCALANCE S

● Morsettiera innestabile a 2 poli



● Morsettiera innestabile a 4 poli

● Informazioni relative al prodotto

● CD con il seguente contenuto:

– Manuale

– Software di progettazione Security Configuration Tool

2.1.3 Apertura della confezione e controllo

Apertura della confezione, controllo 1. Controllare che il pacchetto sia completo.

2. Controllare che i singoli pezzi non presentino danni dovuti al trasporto.

AVVERTENZA

Mettere in servizio solo pezzi non danneggiati!

2.1.4 Collegamento a Ethernet

Possibilità di collegamento SCALANCE S dispone di 2 prese RJ-45 per il collegamento a Ethernet.

Nota

Alla porta TP nella versione RJ–45 possono essere collegati TP-Cord o TP-XP-Cord con una lunghezza massima di 10 m.

In combinazione con Industrial Ethernet FastConnect IE FC Standard Cable e IE FC RJ–45 Plug 180, tra due apparecchi è consentita una lunghezza complessiva del cavo di max. 100 m.



ATTENZIONE I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Porta 1 - Rete esterna

presa RJ45 superiore, contrassegno rosso = area della rete non protetta; Port 2 - Internal Network

presa RJ45 inferiore, contrassegno verde = rete protetta con SCALANCE S;

In caso di scambio delle porte l'apparecchio perde la sua funzione di protezione.

Autonegotiation SCALANCE S supporta l'Autonegotiation.

Autonegotiation significa che i parametri di collegamento e di trasmissione vengono negoziati automaticamente con i nodi di rete interrogati.

Funzione MDI /MDIX autocrossing SCALANCE S supporta la funzione MDI / MDIX Autocrossing.

La funzione MDI /MDIX autocrossing offre il vantaggio di un cablaggio continuo, senza che sia necessario un cavo Ethernet esterno incrociato. Il mancato funzionamento in caso di cavi di trasmissione e ricezione scambiati viene quindi impedito. In questo modo l'installazione viene notevolmente semplificata.

2.1.5 Tensione di alimentazione

AVVERTENZA L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805.

L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2 (campo di tensione 18-32 V, corrente necessaria 250 mA).

L'apparecchio può essere alimentato solo con un'unità di alimentazione che risponde alle richieste della classe 2 per alimentazioni dellla "National Electrical Code,table 11 (b)". In caso di una struttura con alimentazione ridondante (due alimentazioni separate) devono essere soddisfatti entrambi i requisiti.



ATTENZIONE Non collegare mai SCALANCE S a tensione alternata o a tensioni continue superiori a 32 V DC.

Il collegamento dell'alimentazione viene eseguito con una morsettiera innestabile a 4 poli. L'alimentazione può essere collegata in modo ridondante. Entrambi gli ingressi sono disaccoppiati. Non esiste una ripartizione del carico. In caso di alimentazione ridondante, l'alimentatore con la tensione di uscita maggiore fornisce l'alimentazone di SCALANCE S. La tensione di alimentazione è collegata ad alta resistenza alla custodia per consentire un montaggio senza collegamento a terra.

Figura 2-1 Tensione di alimentazione

2.1.6 Contatto di segnalazione

ATTENZIONE Il contatto di segnalazione deve essere caricato al massimo con 100 mA (tensione di sicurezza (SELV), DC 24 V).

Non collegare mai SCALANCE S a tensione alternata o a tensioni continue superiore a 32 V DC.

Il collegamento del contatto di segnalazione viene eseguito con una morsettiera innestabile a 2 poli. Il contatto di segnalazione è un interruttore senza potenziale con il quale vengono segnalati stati di errore tramite interruzione del contatto.

Con il contatto di segnalazione possono essere segnalati i seguenti errori:

● errori nella tensione di alimentazione

● errori interni

In caso di errore o se SCALANCE S è senza tensione, il contatto di segnalazione è aperto. In caso di funzionamento senza errori il contatto è chiuso.



Figura 2-2 Contatto di segnalazione

2.1.7 Tasto Reset - Ripristino della configurazione all'impostazione di fabbrica SCALANCE S dispone di un tasto Reset. Il tasto Reset si trova sul lato posteriore dell'apparecchio, sotto il coperchio a vite, immediatamente di fianco al C-PLUG.

Il tasto Reset è protetto meccanicamente contro l'azionamento accidentale.

ATTENZIONE Assicurarsi che a SCALANCE S acceda solo personale autorizzato.

Che funzione ha il tasto? Con il tasto Reset possono essere attivate due funzioni:

● Riavvio

Il modulo viene riavviato. La configurazione caricata viene mantenuta.

● Ripristino delle impostazioni della fabbrica

Il modulo viene riavviato e riportato allo stato della fornitura. Una configurazione caricata viene cancellata.

Riavvio - Procedimento 1. Smontare eventualmente il modulo SCALANCE S per consentire l'accesso al vano.

2. Rimuovere i tappi M32 sul lato posteriore dell'apparecchio.

Il tasto Reset si trova in un vano sul lato posteriore dello SCALANCE S, direttamente di fianco al posto connettore per il C-PLUG. Questo vano è protetto con un tappo con chiusura a vite. Il tasto si trova in un piccolo foro ed è quindi protetto contro l'azionamento involontario.



3. Premere il tasto Reset per meno di 5 secondi.

Il riavvio dura fino a 2 minuti. Durante il riavvio l'indicatore Fault lampeggia con luce gialla. Fare attenzione che durante questa operazione l'alimentazione non venga interrotta.

Alla conclusione del riavvio l'apparecchio passa automaticamente nel funzionamento produttivo. L'indicatore Fault è successivamente acceso con luce verde permanente.

4. Chiudere il vano con il tappo M32 e montare l'apparecchio.

Ripristino delle impostazioni della fabbrica - Procedimento

ATTENZIONE Se durante il ripristino delle impostazioni di fabbrica è innestato un C-PLUG, il C-PLUG viene cancellato!

1. Smontare eventualmente il modulo SCALANCE S per consentire l'accesso al vano.

2. Rimuovere i tappi M32 sul lato posteriore dell'apparecchio.

Il tasto Reset si trova in un vano sul lato posteriore dello SCALANCE S, direttamente di fianco al posto connettore per il C-PLUG. Questo vano è protetto con un tappo con chiusura a vite. Il tasto si trova in un piccolo foro ed è quindi protetto contro l'azionamento involontario.

3. Premere il tasto Reset e tenerlo premuto - per più di 5 secondi - fino a quando l'indicatore Fault lampeggia con luce gialla-rossa.

Il ripristino dura fino a 2 minuti. Durante il ripristino l'indicatore Fault lampeggia con luce gialla-rossa. Fare attenzione che durante questa operazione l'alimentazione non venga interrotta.

Alla conclusione del ripristino l'apparecchio si riavvia automaticamente. L'indicatore Fault è successivamente acceso con luce gialla permanente.

4. Chiudere il vano con il tappo M32 e montare l'apparecchio.

2.1.8 Indicatori



Indicatore di errore (Fault LED) Indicatore dello stato operativo:

Stato Significato si accende la luce rossa Il modulo riconosce un errore.

(il contatto di segnalazione è aperto) Vengono riconosciuti i seguenti errori: Errore interno (per esempio: avvio fallito) C-PLUG non valido (formattazione non valida)

si accende la luce verde Il modulo è nel funzionamento produttivo (il contatto di segnalazione è chiuso).

NON si accende Il modulo si è guastato; nessuna tensione di alimentazione (il contatto di segnalazione è aperto).

si accende la luce gialla (luce permanente)

Il modulo è in avvio (il contatto di segnalazione è aperto). Se non esiste nessun indirizzo IP, il modulo rimane in questo stato.

lampeggia ad intermittenza luce gialla-rossa

Il modulo ritorna allo stato della fornitura. (il contatto di segnalazione è aperto).

Indicatore Power (L1, L2) Lo stato della tensione di alimentazione viene segnalato con 2 LED:

Stato Significato si accende la luce verde La tensione di alimentazione L1 e L2 è collegata. non si accende La tensione di alimentazione L1 e L2 non è attiva o <14 V (L+) si accende la luce rossa La tensione di alimentazione L1 e L2 si è guastata durante il

funzionamento o <14 V (L+)

Indicatori dello stato delle porte (P1 e TX, P2 e TX) Lo stato delle interfacce viene segnalato con rispettivamente 2 LED per entrambi i collegamenti:

Stato Significato LED P1 / P2 si accende la luce verde TP-Link presente lampeggia / si accende la luce gialla

Ricezione dei dati su RX

off Nessun TP e nessuna ricezione di dati LED TX



Stato Significato lampeggia / si accende la luce gialla

I dati vengono trasmessi

off Non vengono trasmessi dati

2.1.9 Dati tecnici Collegamenti Collegamenti di terminali o componenti di rete tramite Twisted Pair

2 prese RJ–45 con assegnazione MDI-X 10/100 Mbit/s (halfduplex/fullduplex)

Collegamento per tensione di alimentazione 1 morsettiera innestabile a 4 poli Collegamento per contatto di segnalazione 1 morsettiera innestabile a 2 poli Dati elettrici Tensione di alimentazione Alimentazione DC 24 V (DC 18 ... 32 V)

eseguita in modo ridondante tensione di sicurezza a basso voltaggio

(SELV)

Potenza dissipata con DC 24 V 3,84 W Corrente assorbita con tensione nominale max. 250 mA Lunghezze di cavi ammesse Collegamento tramite cavi Industrial Ethernet FC TP:

0 - 100 m Industrial Ethernet FC TP Standard Cable con IE FC RJ–45 Plug 180 o tramite Industrial Ethernet FC Outlet RJ–45 con 0 - 90 m Industrial Ethernet FC TP Standard Cable + 10 m TP Cord

0 - 85 m Industrial Ethernet FC TP Marine/Trailing Cable con IE FC RJ–45 Plug 180 o 0 - 75 m Industrial Ethernet FC TP Marine/Trailing Cable + 10 m TP Cord

Configurazione software con VPN Numero di IPsec Tunnel SCALANCE S612 SCALANCE S613

max. 64 max. 128

Configurazione software "Firewall" Numero di blocchi di regole SCALANCE S602 SCALANCE S612 SCALANCE S613

max. 256 max. 256 max. 256



Temperature ambiente ammesse/EMC Temperatura di esercizio SCALANCE S602 0 °C ... +60 °C Temperatura di esercizio SCALANCE S612 0 °C ... +60 °C Temperatura di esercizio SCALANCE S613 -20 °C ... +70 °C Temperatura di magazzinaggio/trasporto -40 °C ... +80 °C Umidità relativa in esercizio 95 % (senza condensa) Altitudine d'esercizio fino a 2000 m s.l.m ad una temperatura ambiente

di max. 56 °C fino a 3000 m s.l.m ad una temperatura ambiente di max. 50 °C

Grado di radiodisturbi EN 50081-2 Class A Resistenza a disturbi EN 50082-2 Grado di protezione IP 30 Omologazioni c-UL-us UL 60950 CSA C22.2 N. 60950 c-Ul-us for Hazardous Locations UL 1604, UL 2279Pt.15 FM FM 3611 C-TICK AS/NZS 2064 (Class A). CE EN 50081-2, EN 50082-2 ATEX Zone 2 EN50021 MTBF 81,09 anni Struttura costruttiva Dimensioni (L x A x P) in mm 60 x 125 x 124 Peso in g 780 Possibilità di montaggio Guida ad U

Guida profilata S7-300 Montaggio a parete

Numeri di ordinazione SCALANCE S602 6GK5602-0BA00-2AA3 SCALANCE S612 6GK5612-0BA00-2AA3 SCALANCE S613 6GK5613-0BA00-2AA3 Manuale "Reti Industrial Ethernet TP e Fiber Optic"

6GK1970-1BA10-0AA0

Numeri di ordinazione per accessori IE FC Stripping Tool 6GK1901-1GA00 IE FC Blade Cassettes 6GK1901-1GB00 IE FC TP Standard Cable 6XV1840 2AH10 IE FC TP Trailing Cable 6XV1840-3AH10 IE FC TP Marine Cable 6XV1840-4AH10 IE FC RJ–45 Plug 180 Unità confezione = 1 pezzo

6GK1 901-1BB10-2AA0

Proprietà del prodotto e messa in servizio 2.2 Montaggio


IE FC RJ–45 Plug 180 Unità confezione = 10 pezzi

6GK1 901-1BB10-2AB0

IE FC RJ–45 Plug 180 Unità confezione = 50 pezzi

6GK1 901-1BB10-2AE0

2.2 Montaggio

Nota

I requisiti richiesti secondo EN61000-4-5, Surge controllo dei cavi di alimentazione, vengono soddisfatti solo in caso di impiego di un parafulmine VT AD 24V art. N. 918 402.

Costruttore: DEHN+SÖHNE GmbH+Co.KG Hans Dehn Str.1 Postfach 1640 D-92306 Neumarkt

AVVERTENZA In caso di impiego in aree soggette a pericolo di esplosione (zona 2) SCALANCE S deve essere montato in un contenitore.

Nell'area di validità dell'ATEX 95 (EN 50021) questo contenitore deve corrispondere almeno a IP54 secondo EN 60529.

AVVISO L'APPARECCHIO PUÒ ESSERE COLLEGATO O SCOLLEGATO DALLA TENSIONE DI ALIMENTAZIONE SOLO SE PUÒ ESSERE COMPLETAMENTE ESCLUSO UN PERICOLO DI ESPLOSIONE.



Tipi di montaggio SCALANCE S consente diversi tipi di montaggio:

● Montaggio su una guida ad U DIN di 35 mm

● Montaggio su una guida profilata SIMATIC S7-300

● Montaggio a parete

Nota

Durante l'installazione e l'esercizio rispettare le direttive di montaggio e le avvertenze di sicurezza riportate in questa descrizione e nel manuale SIMATIC NET Reti Industrial Ethernet Twisted Pair e Fiber Optic /1/.

ATTENZIONE

Si raccomanda di proteggere l'apparecchio contro la luce solare diretta con un oscuramento adatto.

Questo evita un riscaldamento indesiderato dell'apparecchio e un invecchiamento precoce dell'apparecchio e del cablaggio.

2.2.1 Montaggio su una guida ad U

Montaggio Montare SCALANCE S su una guida ad U di 35 mm secondo DIN EN 50022.

1. Agganciare la guida a scatto superiore dell'aparecchio nella guida ad U e premerla verso il basso contro la guida ad U fino a quando scatta in posizione.



2. Montare i cavi di collegamento elettrici e la morsettiera per il contatto di segnalazione.

Figura 2-3 SCALANCE S Montaggio su una guida ad U DIN (35mm)

Smontaggio Per smontare SCALANCE S dalla guida ad U:

1. Smontare dapprima i cavi TP e sfilare la morsettiera per la tensione di alimentazione e il contatto di segnalazione.



2. Sbloccare l'apparecchio con un cacciavite dal blocco della guida ad U dal lato inferiore dell'apparecchio e sollevare quindi l'apparecchio in basso dalla guida ad U.

Figura 2-4 SCALANCE S Smontaggio da una guida ad U DIN (35mm)

2.2.2 Montaggio su una guida profilata

Montaggio su una guida profilata SIMATIC S7-300 1. Agganciare la guida del contenitore sul lato superiore del contenitore di SCALANCE S

nella guida profilata S7.



2. Avvitare l'apparecchio SCALANCE S al lato inferiore della guida profilata.

Figura 2-5 SCALANCE S Montaggio su una guida profilata SIMATIC S7-300

2.2.3 Montaggio a parete

Materiale di montaggio Per il fissaggio - per esempio su una parete di cemento armato, utilizzare:

● 4 tasselli da parete con diametro di 6 mm e lunghezza di 30 mm

● Viti con diametro di 3,5 mm e lunghezza di 40 mm

Nota

Il fissaggio a parete deve essere progettato in modo da poter sopportare almeno il peso quadruplo dell'apparecchio.

2.2.4 Collegamento a terra

Montaggio su una guida ad U Il collegamento a terra viene eseguito sulla guida ad U.

Proprietà del prodotto e messa in servizio 2.3 Messa in servizio


Guida profilata S7-300 Il collegamento a terra viene eseguito sul lato poteriore dell'apparecchio e con la vite con collare.

Montaggio a parete Il collegamento a terra viene eseguito con la vite di fissaggio sul foro senza vernice.

ATTENZIONE Fare attenzione che SCALANCE S deve essere collegato a terra possibilmente a bassa resistenza tramite una vite di fissaggio.

2.3 Messa in servizio

ATTENZIONE Prima della messa in servizio leggere assolutamente e con attenzione le indicazioni riportate nei capitoli "Proprietà del prodotto" e "Montaggio" seguire in particolare le istruzioni riportate nelle avvertenze per la sicurezza.

Principio Per l'esercizio di un SCALANCE S è necessario caricare una configurazione progettata con il Security Configuration Tool. Questa operazione viene descritta di seguito.

Una configurazione di uno SCALANCE S comprende i parametri IP e l'impostazione di regole firewall ed eventualmente l'impostazione di IPsec Tunnel (S612 / S613) o funzionamento Router.

Prima della messa in servizio è fondamentalmente possibile progettare offline l'intera configurazione e successivamente caricarla. Alla prima configurazione (impostazioni della fabbrica), per l'indirizzamento utilizzare l'indirizzo MAC stampigliato sull'apparecchio.

A seconda dell'impiego, durante la messa in servizio si carica contemporaneamente la configurazione in uno o più moduli.



External

Internal

External

Internal

Figura 2-6 Grafica panoramica Messa in servizio

Impostazioni della fabbrica Con le impostazioni della fabbrica (alla fornitura o dopo il "ripristino delle impostazioni della fabbrica"), dopo l'inserimento della tensione di alimentazione SCALANCE S ha il seguente comportamento:

● Non è possibile una comunicazione IP in quanto mancano le impostazioni IP; in particolare SCALANCE S non dispone ancora di un indirizzo IP.

Non appena al modulo SCALANCE S è stato assegnato un indirizzo IP valido tramite configurazione, il modulo può essere raggiunto anche tramite router (successivamente è possibile la comunicazione IP).

● L'apparecchio ha un indirizzo MAC preimpostato in modo fisso; l'indirizzo MAC è stampigliato sull'apparecchio; questo indirizzo va inserito durante la progettazione.

● Il Firewall è preconfigurato con le seguenti regole di base del Firewall:

– il traffico di dati non protetto da porta interna a porta esterna e viceversa (esterna ↔ interna) non è possibile;

Lo stato non configurato si riconosce dal F-LED giallo acceso.



Vedere anche Proprietà del prodotto (Pagina 17)

Montaggio (Pagina 27)

2.3.1 Operazione 1: Collegamento del modulo SCALANCE S

Procedimento: 1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano

danneggiati.

2. Collegare la tensione di alimentazione a SCALANCE S.

Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo.

3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di rete nelle porte previste (prese RJ45).

Collegare la porta 1 (porta esterna) alla rete esterna alla quale è collegato il PC/PG di progettazione.

Collegare la porta 2 (porta interna) alla rete interna.

Osservazione: Durante la messa in servizio, in linea di principio è possibile collegare dapprima il PC/PG di progettazione alla porta 1 o alla porta 2 e rinunciare al collegamento di altri nodi di rete fino a quando nell'apparecchio è impostata una configurazione. In caso di collegamento alla porta 2 è tuttavia necessario configurare separatamente ogni singolo modulo SCALANCE S!

4. Proseguire quindi con l'operazione successiva "Progettazione e caricamento".

2.3.2 Operazione 2: Progettazione e caricamento Qui di seguito viene descritto come si progetta il modulo SCALANCE S partendo dalle impostazioni di fabbrica.

Procedimento: 1. Avviare lo strumento di progettazione Security Configuration Tool fornito.

2. Selezionare la voce di menu Project ▶ New.

Viene richiesto di inserire un nome utente e una password. Alla registrazione utente definita qui viene assegnato il ruolo di un amministratore.

3. Inserire un nome utente e una password e confermare l'inserimento; in questo modo si crea un nuovo progetto.



4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o configurazione software". Configurare a questo punto il tipo di prodotto, l'unità e il release del firmware.

5. Inserire nella casella per l'"Indirizzo MAC" nel campo "Configurazione" l'indirizzo MAC stampigliato sul contenitore del modulo nel formato indicato. Questo indirizzo si trova sul lato frontale del modulo SCALANCE S (vedere figura).

6. Inserire l'indirizzo IP esterno e la maschera della sotto-rete esterna nel campo

"Configurazione" nelle caselle previste e confermare la finestra di dialogo con "OK". In questo modo il modulo viene acquisito nell'elenco dei moduli configurati.

7. Selezionare il modulo e inserire eventualmente l'indirizzo IP del router predefinito facendo clic nella colonna "Router predefinito".

opzionale: Progettare eventualmente altre proprietà del modulo e dei gruppi di moduli.

8. Salvare quindi il progetto con la seguente voce di menu con un nome appropriato:

Project ▶ Save As…

Proprietà del prodotto e messa in servizio 2.4 C-PLUG (Configuration Plug)


9. Selezionare la seguente voce di menu:

Transfer ▶ To Module...

Compare la seguente finestra di dialogo del trasferimento.

10. Facendo clic sul pulsante "Start" si trasferisce la configurazione nel modulo SCALANCE

S.

Risultato: a questo punto il modulo SCALANCE S è configurato e può comunicare sul livello IP. Questo stato operativo viene segnalato dal LED di indicazione Fault attraverso luce verde.

2.4 C-PLUG (Configuration Plug)

Campo d'impiego Il C-PLUG è un supporto dati per il salvataggio dei dati di configurazione e di progettazione dell'apparecchio di base (SCALANCE S). Di conseguenza, in caso di sostituzione dell'apparecchio di base i dati di configurazione rimangono a disposizione.

Principio del funzionamento L'alimentazione elettrica viene eseguita dall'apparecchio di base. In assenza di corrente il C-PLUG mantiene i dati in permanenza.

Inserimento nel posto connettore C-PLUG Il posto connettore per il -PLUG si trova sul lato posteriore dell'apparecchio. Per impiegare il C-PLUG procedere nel modo seguente:

1. Rimuovere il coperchio a vite M32.



2. Spostare il C-PLUG nel vano previsto.

3. Chiudere quindi il vano con il coperchio a vite M32.

ATTENZIONE

Osservare lo stato operativo

Il C-PLUG deve essere innestato o sfilato solo in assenza di tensione!

Figura 2-7 Inserire il C-PLUG nell'apparecchio e togliere il C-PLUG dall'apparecchio con l'aiuto

di un cacciavite

Funzionamento Su un C-PLUG non scritto (alla fornitura), durante l'avvio dell'apparecchio vengono salvati automaticamente tutti i dati di configurazione di SCALANCE S. Anche le modifiche della configurazione durante il funzionamento vengono salvate sul C-PLUG senza l'intervento dell'utente.

Un apparecchio di base con C-PLUG innestato utilizza automaticamente durante l'avvio i dati di configurazione di un C-PLUG innestato. Il presupposto è che i dati siano stati scritti da un tipo di apparecchio compatibile.



In questo modo, in caso di guasto viene consentita una sostituzione rapida e semplice dell'apparecchio di base. In caso di sostituzione il C-PLUG viene tolto dal componente guastatosi e innestato nel pezzo di ricambio. Dopo il primo avvio l'apparecchio sostitutivo dispone automaticamente della stessa configurazione dell'apparecchio guastatosi.

Nota Dati di progetto coerenti - Adattamento dell'indirizzo MAC

Dopo la sostituzione dell'apparecchio con uno sostitutivo i dati di progettazione devono essere coerenti. L'indirizzo MAC nella progettazione deve essere adattato all'indirizzo MAC stampigliato sull'apparecchio sostitutivo.

Se nell'apparecchio sostitutivo si utilizza il C-PLUG già configurato dell'apparecchio sostituito, non è strettamente necessario questo provvedimento per l'avvio e il funzionamento dell'apparecchio.

ATTENZIONE Ripristino delle impostazioni della fabbrica

Se durante il ripristino delle impostazioni di fabbrica è innestato un C-PLUG, il C-PLUG viene cancellato!

Utilizzo di un C-PLUG riutilizzato Utilizzare solo C-PLUG formattati per il relativo tipo di modulo SCALANCE S. I C-PLUG utilizzati in altri tipi di apparecchi e formattati per altri tipi di apparecchi non devono essere utilizzati.

Rilevare dalla seguente tabella il C-Plug che può essere utilizzato per il tipo di modulo SCALANCE S:

C-Plug formattato da Tipo di modulo

SCALANCE S S602 S612 S613 S602 x - - S612 - x x *) S613 - x x

x C-Plug utilizzabile con il tipo di modulo - C-Plug non utilizzabile con il tipo di modulo *) La compatibilità dipende dalla struttura d'insieme.

Proprietà del prodotto e messa in servizio 2.5 Trasferimento del firmware


Rimozione del C-PLUG La rimozione del C-PLUG è necessaria solo in caso di guasto (errore hardware) dell'apparecchio di base.

ATTENZIONE Osservare lo stato operativo

Il C-PLUG può essere rimosso solo in assenza di tensione!

Diagnostica L'innesto di un C-PLUG, che contiene la configurazione di un tipo di apparecchio non compatibile e la rimozione involontaria del C-PLUG o funzioni di errore generali del C-PLUG vengono segnalati con i dispositivi di diagnostica dell'apparecchio terminale (Fault-LED rosso).

2.5 Trasferimento del firmware Le nuove versioni di firmware possono essere caricate nel modulo SCALANCE S con lo strumento di progettazione Security Configuration Tool.

Requisiti richiesti Per il trasferimento di un nuovo firmware su un modulo SCALANCE S devono essere soddisfatti i seguenti requisiti:

● Si deve disporre di autorizzazioni di amministratore per il progetto;

● SCALANCE S deve essere progettato con un indirizzo IP.

Il trasferimento è sicuro Il trasferimento del firmware avviene tramite un collegamento protetto e può quindi essere eseguito anche dalla rete non protetta.

Il firmware stesso è contrassegnato e codificato. In questo modo viene assicurato che sul modulo SCALANCE S possa essere caricato solo un firmware autentico.

Il trasferimento può essere eseguito durante il funzionamento Il trasferimento del firmware può essere eseguito durante il funzionamento di un modulo SCALANCE S. La comunicazione viene tuttavia interrotta per la durata dopo il caricamento fino al riavvio concluso automaticamente di SCALANCE S. Un nuovo firmware caricato diventa attivo solo dopo questo riavvio del modulo SCALANCE S.

Se il trasferimento è stato disturbato o interrotto, l'unità si avvia di nuovo con la versione di firmware precedente.

Proprietà del prodotto e messa in servizio 2.5 Trasferimento del firmware


Procedimento per il trasferimento Selezionare la seguente voce di menu:

Transer ▶ Firmware Update...


GETTING STARTED 3

Obiettivo raggiunto velocemente con GETTING STARTED In base ad una semplice rete di test qui si apprende l'utilizzo di SCALANCE S e dello strumento di progettazione Security Configuration Tool. Qui viene descritto come possono essere già realizzate senza complicati lavori di progettazione le funzioni di protezione di SCALANCE S nella rete.

Possono essere realizzate diverse funzioni di base SCALANCE S / SOFTNET Security Client in base a diversi esempi di sicurezza:

● Con SCALANCE S612 / S613:

– Configurazione di un VPN con SCALANCE S come punti terminali di un IPsec Tunnel

– Configurazione di una VPN con SCALANCE S e SOFTNET Security Client come punti terminali di un IPsec Tunnel

● Con tutti i moduli SCALANCE S:

– Configurazione di SCALANCE S come firewall

– Configurazione di SCALANCE S come router NAT/NAPT e firewall

● Con SOFTNET Security Client

– Configurazione di una VPN con SCALANCE S e SOFTNET Security Client come punti terminali di un IPsec Tunnel

– Configurazione di una VPN con MD741-1 e SOFTNET Security Client come punti terminali di un IPsec Tunnel

Se si intende sapere di più Per ulteriori informazioni consultare i capitoli seguenti di questo manuale. In questi capitoli viene descritta dettagliatamente l'intera funzionalità.

Nota

Le impostazioni IP utilizzate negli esempi sono scelte liberamente e funzionano senza conflitti nella rete di test isolata.

Nell'insieme di reti reale queste impostazioni IP devono essere adattate all'ambiente di rete per evitare eventuali conflitti di indirizzo.

GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S613


3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S613

3.1.1 Informazioni generali In questo esempio viene progettata la funzione di tunnel nella visualizzazione di progettazione "Modalità standard". I moduli SCALANCE S Module 1 e SCALANCE Module 2 formano in questo esempio i due punti terminali del tunnel per il collegamento sicuro tramite tunnel.

Con questa configurazione il traffico IP e Layer 2 (solo modalità Bridge) è possibile solo tramite i collegamenti via tunnel configurati tra partner autorizzati.

Realizzazione della rete di test

PC1PC2

PC3

internes Netz 1 internes Netz 2externes Netz



● Rete interna - Collegamento a SCALANCE S porta 2 ("Porta "Internal Network")

Nella rete interna la struttura di test dei nodi di rete viene realizzata rispettivamente con un PC collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S.

– PC1: Rappresenta un nodo della rete interna 1

– PC2: Rappresenta un nodo della rete interna 2

– SCALANCE S-Modul 1: modulo SCALANCE S per la rete interna 1

– SCALANCE S-Modul 2: modulo SCALANCE S per la rete interna 2

● Rete esterna - Collegamento a SCALANCE S porta 1 ("Porta "External Network")

La rete pubblica esterna viene collegata alla porta "External Network" (porta 1, rossa) di un modulo SCALANCE S.

PC3: PC con software di configurazione Security Configuration Tool

Apparecchi/componenti necessari: Per la struttura utilizzare i seguenti componenti:

● 2 moduli SCALANCE S, (opzionalmente: 1 o 2 guide ad U appositamente montate con materiale di montaggio);

● 1 o 2 alimentazioni elettriche di 24V con collegamenti cavi e connettori morsettiera (entrambi i moduli possono essere utilizzati anche con un'alimentazione elettrica comune);

● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool";

● 2 PC nelle reti interne per il test della configurazione;

● 1 hub o switch di rete per la realizzazione di collegamenti di rete con i due SCALANCE S e i PC/PG;

● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per Industrial Ethernet.

Panoramica delle seguenti operazioni:



3.1.2 Configurazione di SCALANCE S e rete

Procedimento: 1. Disimballare dapprima gli apparecchi SCALANCE S e controllare che i componenti non

siano danneggiati.




L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2 (campo di tensione 18-32 V, corrente necessaria ca. 250 mA).

Per il montaggio e il collegamento dei moduli SCALANCE S osservare il capitolo 2 "Proprietà del prodotto e messa in servizio".

1. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di rete nelle porte previste (prese RJ45):

– Collegare il PC1 alla porta 2 del modulo 1 e il PC2 alla porta 2 del modulo 2.

– Collegare la porta 1 del modulo 1 e la porta 1 del modulo 2 all'hub/allo switch.

– Collegare anche il PC3 all'hub/allo switch.

2. Inserire quindi i PC interessati.

ATTENZIONE

I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Port 1 - External Network






3.1.3 Configurazione delle impostazioni IP dei PC Per i test nei PC devono essere impostati i seguenti indirizzi IP:

PC Indirizzo IP Finestra della sotto-rete PC1 191.0.0.1 255.255.0.0 PC2 191.0.0.2 255.255.0.0 PC3 191.0.0.3 255.255.0.0

Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu:

Start ▶ Pannello di controllo

2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di navigazione a sinistra l'opzione "Modifica impostazioni scheda".

3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la casella di opzione "Protocollo internet versione 4 (TCP/IPv4)" e fare clic sul pulsante "Proprietà".



4. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4 (TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" e inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP dei PC" nelle caselle previste.

Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.

3.1.4 Creazione del progetto e del modulo

Procedimento: 1. Avviare il software di progettazione Security Configuration Tool sul PC3.

2. Creare un nuovo progetto con la seguente voce di menu:

Project ▶ New



4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o configurazione software". Configurare quindi il tipo di prodotto, l'unità e il release del firmware e chiudere la finestra di dialogo con "OK".

5. Creare un secondo modulo con la seguente voce di menu: Inserisci ▶ Modulo

Configurare quindi il tipo di prodotto, l'unità e il release del firmware e chiudere la finestra di dialogo con "OK".

Questo modulo ottiene automaticamente un nome in base alle preimpostazioni per il progetto e anche i valori di parametri preimpostati. Rispetto al "Modulo1" l'indirizzo IP è progressivo, quindi diverso.

6. Fare clic nell'area di navigazione su "All Modules" e successivamente nell'area del

contenuto sulla riga "Module1".



7. Fare quindi clic nella colonna "MAC Address" e inserire l'indirizzo nel formato indicato.

Questo indirizzo si trova sul lato frontale del modulo SCALANCE S (vedere figura).

8. Fare quindi clic nella colonna "IP Address ext.", inserire l'indirizzo nel formato indicato e

adattare la maschera della sotto-rete.

– Per modulo 1: Indirizzo IP: 191.0.0.201 Maschera della sotto-rete: 255.255.0.0

– Per modulo 2: Indirizzo IP: 191.0.0.202 Maschera della sotto-rete: 255.255.0.0

9. Ripetere le operazioni da 6. a 8. con "Module 2".

3.1.5 Progettazione del collegamento del tunnel Due SCALANCE S possono realizzare un tunnel IPsec per la comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo.

Procedimento: 1. Selezionare nell'area di navigazione "All Groups" e creare con la seguente voce di menu

un nuovo gruppo:



Insert ▶ Group

Questo gruppo ottiene automaticamente il nome "Group1".

2. Selezionare nell'area del contenuto il modulo SCALANCE S "Module1" e trascinarlo sul

"Group1" nell'area di navigazione.

Il modulo è ora assegnato a questo gruppo e membro di questo gruppo.

Il colore del simbolo di chiave dell'icona del modulo cambia da grigio a blu.

3. Selezionare nell'area del contenuto il modulo SCALANCE S "Module 2" e trascinarlo sul "Group1" nell'area di navigazione.

Anche il modulo è ora assegnato a questo gruppo.

4. Salvare quindi questo progetto con la seguente voce di menu con un nome appropriato:

Project ▶ Save As...

La configurazione del collegamento tramite tunnel è quindi conclusa.

3.1.6 Caricamento della configurazione in SCALANCE S

Procedimento: 1. Richiamare con la seguente voce di menu la seguente finestra di dialogo:



Transfer ▶ To All Modules…

2. Selezionare entrambi i moduli con il pulsante"Select All".

3. Avviare l'operazione di caricamento con il pulsante "Start".

Se l'operazione di caricamento è stata conclusa senza errori, SCALANCE S viene riavviato automaticamente e la nuova configurazione viene attivata.

Risultato: SCALANCE S in esercizio produttivo SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato dal LED di indicazione Fault attraverso luce verde.

La messa in servizio della configurazione è quindi conclusa ed entrambi gli SCALANCE S possono realizzare un tunnel di comunicazione con il quale i nodi della rete possono comunicare in modo protetto da entrambe le reti interne.

3.1.7 Test della funzione di tunnel (test Ping)

Come può essere testata la funzione configurata? Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione Ping.



in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test della configurazione.

ATTENZIONE Con Windows il Firewall può essere impostato come standard in modo che non possano essere eseguite istruzioni PING. Eventualmente i servizi ICMP del tipo Request e Response devono essere abilitati.

Sequenza di test 1 Testare ora il funzionamento del collegamento tramite tunnel tra PC1 e PC2 nel modo seguente:

1. Richiamare sul PC2 nella barra di avvio la seguente voce di menu:

Start ▶Tutti i programmi ▶ Accessori ▶ Prompt dei comandi

2. Immissione dell'istruzione Ping del PC1 sul PC2 (indirizzo IP 191.0.0.2)

Direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla posizione del cursore immettere il comando

ping 191.0.0.2

On

Compare successivamente il seguente messaggio: (risposta positiva del PC2).

Risultato Quando si sono raggiunti i telegrammi IP PC2 , la "Statistica Ping" visualizza per 191.0.0.2 quanto segue:

● Trasmesso = 4

● Ricevuto = 4

● Perso = 0 (0% perdita)

Poiché non era ammessa nessun'altra comunicazione, questi telegrammi possono essere stati trasportati solo tramite tunnel VPN.

GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall


Sequenza di test 2 Ripetere ora il test inserendo un comando Ping dal PC3.


Start ► Tutti i programmi ► Accessori ► Prompt dei comandi

2. Inserire di nuovo lo stesso comando Ping (ping 191.0.0.2) nella finestra del prompt dei comandi da PC3.

Compare successivamente il seguente messaggio: (nessuna risposta del PC2).

Risultato I telegrammi IP del PC3 non possono raggiungere il PC2 in quanto non è configurata una comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP normale.

Nella "Statistica Ping" per 191.0.0.2 viene visualizzato quanto segue:

● Trasmesso = 4

● Ricevuto = 0


3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall

3.2.1 Informazioni generali In questo esempio viene progettato il firewall nella visualizzazione di progettazione "Modalità standard". La modalità standard contiene blocchi di regole predefinite per il traffico di dati.

Con questa configurazione il traffico IP può essere inizializzato solo da rete interna; dalla rete esterna è ammessa solo la risposta.




External

Internal

● Rete interna - Collegamento a SCALANCE S porta 2

Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S.

– PC2: Rappresenta un nodo della rete interna

– SCALANCE S-Modul 1: modulo SCALANCE S per la rete interna

● Rete esterna - Collegamento a SCALANCE S porta 1


– PC1: PC con software di configurazione Security Configuration Tool




● 1 SCALANCE S, (inoltre opzionalmente: una guida ad U appositamente montata con materiale di montaggio)

● 1 alimentazione elettrica di 24V con collegamenti dei cavi e connettori morsettiera;

● 1 PC sul quale è installato lo strumento di progettazione Security Configuration Tool

● 1 PC nella rete interna per il test della configurazione

● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per Industrial Ethernet


3.2.2 Configurazione di SCALANCE S e della rete


danneggiati.







Per il montaggio e il collegamento dei moduli SCALANCE S osservare il capitolo 2 "Proprietà del prodotto e messa in servizio"


– Collegare il PC2 alla porta 2 del modulo 1.



ATTENZIONE

I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Port 1 - External Network





PC Indirizzo IP Finestra della sotto-rete PC1 191.0.0.1 255.255.0.0 PC2 191.0.0.2 255.255.0.0

Per il PC1 e il PC2 procedere quindi nel modo seguente: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu:






4. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4

(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" e inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP dei PC" nelle caselle previste.



Procedimento: 1. Installare e avviare il software di progettazione Security Configuration Tool sul PC1.




Project ▶ New



4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o

configurazione software". Configurare a questo punto il tipo di prodotto, l'unità e il release del firmware.



5. Inserire nella casella per l'"Indirizzo MAC" nel campo "Configurazione" l'indirizzo MAC stampigliato sul contenitore del modulo nel formato indicato. Questo indirizzo si trova sul lato frontale del modulo SCALANCE S (vedere figura).

6. Inserire nel formato indicato l'indirizzo IP esterno (191.0.0.200) e la maschera della sotto-

rete esterna (255.255.0.0) e confermare la finestra di dialogo con "OK". In questo modo il modulo viene acquisito nell'elenco dei moduli configurati.

3.2.5 Progettazione del firewall Nella modalità Standard, i blocchi di regole predefiniti semplificano il comando delle impostazioni del firewall. Questi blocchi di regole possono essere attivati cliccandoli con il mouse.

Procedimento: 1. Selezionare nell'area del contenuto la riga "Modul1".


Edit ▶ Properties…

3. Selezionare nella finestra di dialogo visualizzata la scheda "Firewall".



4. Attivare l'opzione come rappresentato qui di seguito:

In questo modo si ottiene che il traffico IP possa essere inizializzato solo da rete interna; dalla rete esterna è ammessa solo la risposta.

5. Selezionare inoltre le opzioni Log per attivare il traffico di dati.

6. Chiudere la finestra di dialogo con "OK".


Project ▶ Save As…


Procedimento: 1. Selezionare il modulo nell'area del contenuto.




Transfer ▶ To Module…


Se l'operazione di caricamento è stata conclusa senza errori, il modulo SCALANCE S viene riavviato automaticamente e la nuova configurazione viene attivata.


La messa in servizio della configurazione è quindi conclusa e SCALANCE S protegge ora la rete interna (PC 2 tramite il firewall configurato in base alle regole progettate: "Traffico IP consentito dalla rete interna alla rete esterna".

3.2.7 Test della funzione firewall (test Ping)






Sequenza di test 1 Testare ora il funzionamento della configurazione del firewall dapprima per il traffico di dati IP in uscita nel modo seguente:




Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla posizione del cursore, il seguente comando:

ping 191.0.0.1


Risultato Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per 191.0.0.1 quanto segue:

● Trasmesso = 4

● Ricevuto = 4


A causa della progettazione, i telegrammi Ping possono finire dalla rete interna nella rete esterna. Il PC nella rete esterna ha risposto ai telegrammi Ping. Con la funzione "Stateful-Inspection" del firewall i telegrammi di risposta, provenienti solo dalla rete esterna, vengono inoltrati automaticamente nella rete interna.

Sequenza di test 2 Testare ora il funzionamento della configurazione del firewall per il traffico di dati IP in uscita disabilitato nel modo seguente:

1. Richiamare di nuovo la finestra di dialogo del firewall come precedentemente descritto.

2. Disattivare di nuovo nella scheda "Firewall" l'opzione "Consenti traffico IP dalla rete interna alla rete esterna".

Chiudere la finestra di dialogo con "OK".



3. Caricare ora la configurazione modificata di nuovo sul modulo SCALANCE S.

4. Alla conclusione corretta dell'operazione di caricamento immettere lo stesso comando Ping (ping 191.0.0.1) nella finestra del prompt dei comandi del PC2 come precedentemente descritto.

Compare successivamente il seguente messaggio: (nessuna risposta positiva del PC1).

Risultato I telegrammi IP del PC2 non possono ora raggiungere il PC1 in quanto il traffico di dati proveniente dalla "rete interna" (PC2) verso la "rete esterna" (PC1) non è consentito.


● Trasmesso = 4

● Ricevuto = 0


3.2.8 Registrazione del traffico di dati del firewall (Logging) In SCALANCE S è inserita come standard la registrazione locale degli eventi del sistema, audit e del filtro pacchetti.

Inoltre nel corso nell'esempio durante la progettazione del firewell sono state attivate le opzioni Log per l'intero traffico di dati.

Nella modalità online è quindi possibile visualizzare gli eventi attivati.

Procedimento: 1. Passare ora al PC1 nel Security Configuration Tool con la seguente voce di menu nel

modo operativo online:

View ▶ Online


Edit ▶ Online Diagnostics...

3. Selezionare la scheda "Packet Filter Log".

GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router


4. Azionare il pulsante "Start Reading"

5. Confermare la finestra di dialogo visualizzata con OK.

Risultato: le voci Log vengono lette da SCALANCE S e visualizzate.

3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router

3.3.1 Informazioni generali In questo esempio è descritta la progettazione del funzionamento router NAT. La progettazione viene eseguita nella visualizzazione di progettazione "Advanced Mode".

La configurazione qui preimpostata consente ai telegrammi trasmessi dalla sotto-rete interna ai nodi PC1 nella rete esterna di passare attraverso il firewall. I telegrammi vengono inoltrati verso l'esterno con un indirizzo IP trasformato in indirizzi IP dello SCALANCE S e un numero di porta indicato dinamicamente.

Dalla rete esterna viene consentita solo la risposta a questo telegramma.




External

Internal

● Rete interna - Collegamento a SCALANCE S porta 2

Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S.

– PC2: Rappresenta un nodo della rete interna

– SCALANCE S-Modul 1: modulo SCALANCE S per la rete interna

● Rete esterna - Collegamento a SCALANCE S porta 1

La rete pubblica esterna viene collegata alla porta "External Network" (porta 1, rossa) di un modulo SCALANCE S. PC1: PC con software di configurazione Security Configuration Tool


● 1 SCALANCE S, (inoltre opzionalmente: una guida ad U appositamente montata con materiale di montaggio);




● 1 PC sul quale è installato lo strumento di progettazione Security Configuration Tool;

● 1 PC nella rete interna per il test della configurazione;





danneggiati.





Per il montaggio e il collegamento dei moduli SCALANCE S osservare il capitolo 2 "Proprietà del prodotto e messa in servizio"







ATTENZIONE

I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Porta 1 - Rete esterna





PC Indirizzo IP Finestra della sotto-rete Standard gateway PC1 192.168.10.100 255.255.255.0 192.168.10.1 PC2 172.10.10.100 255.255.255.0 172.10.10.1

In Standard gateway vanno indicati gli indirizzi IP che vengono assegnati al modulo SCALANCE S nella seguente progettazione per l'interfaccia interna ed esterna:

● Il PC1 utilizza l'interfaccia esterna.

● Il PC2 utilizza l'interfaccia interna.

Per il PC1 e il PC2 procedere nel modo seguente: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu:










Procedimento: 1. Installare e avviare il software di progettazione Security Configuration Tool sul PC1.




Project ▶ New



4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o configurazione software". Configurare a questo punto il tipo di prodotto, l'unità e il release del firmware.

5. Inserire nella casella per l'"Indirizzo MAC" nel campo "Configurazione" l'indirizzo MAC stampigliato sul contenitore del modulo nel formato indicato.




6. Inserire nel formato indicato l'indirizzo IP esterno (192.168.10.1) e la maschera della sotto-rete esterna (255.255.255.0) e confermare la finestra di dialogo con "OK". In questo modo il modulo viene acquisito nell'elenco dei moduli configurati.

3.3.5 Progettazione dell’esercizio NAT router Il caso di impiego frequente nel quale tutti i nodi interni trasmettono telegrammi nella rete interna e dei quali deve essere nascosto l'indirizzo IP con la funzionalità NAT è preconfigurato nello SCALANCE S. Come indicato qui di seguito, questo comportamento può essere attivato facendo semplicemente clic sulla modalità Routing.

Attivazione della modalità Routing - Procedimento: 1. Commutare dapprima la visualizzazione della progettazione nella modalità Advanced.

2. Selezionare quindi la seguente voce di menu:

View ▶ Advanced Mode

3. Fare doppio clic sul modulo SCALANCE S. In questo modo si apre la finestra di dialogo per l'impostazione delle proprietà del modulo.



4. Selezionare nella finestra di dialogo visualizzata la scheda "Routing Mode".

5. Selezionare nel campo di immissione "Routing" l'opzione "active".

6. Nel campo di immissione "Routing" completare l'inserimento dell'indirizzo per l'interfaccia dello SCALANCE S per la rete interna nel modo seguente:

– Indirizzo IP interno del modulo: 172.10.10.1

– Maschera della sotto-rete interna: 255.255.255.0

Attivazione della modalità NAT router per nodi interni - Procedimento: Si tratta di configurare la conversione di indirizzo richiesta per la modalità NAT.

1. Selezionare quindi nel campo di immissione "NAT" entrambe le opzioni "NAT active" e "Allow Internal -> External for all users".



Si riconosce che nel campo di immissione "NAT" alla fine dell'elenco di conversione degli indirizzi è stata aggiunta una voce. La voce "*" nella colonna "internal IP address" è presente per tutti i nodi nella rete interna.


Ora è necessario consentire al firewall di far passare i telegrammi dall'interno all'esterno.

3.3.6 Progettazione del firewall È necessario definire un blocco di regole che consenta il traffico di telegrammi dal nodo interno (PC2) al nodo nella rete esterna (PC1).

L'esempio illustra inoltre come eseguire la definizione globale di un blocco di regole e l'assegnazione ad un modulo. Se si vogliono configurare altri moduli nello stesso progetto, è sufficiente assegnare il blocco di regole definito agli altri moduli tramite "Drag and Drop"; naturalmente a condizione che debba essere applicata la stessa regola.

Definizione del blocco di regole globale - Procedimento: 1. Aprire nell'area di navigazione l'oggetto "Global FW Rulesets" e selezionare l'oggetto

"FW IP Rulesets".



2. Con il tasto destro del mouse selezionare la seguente voce di menu:

Insert Firewall rule set

3. Inserire nella finestra di dialogo visualizzata un blocco di regole come rappresentato di

seguito:

4. Fare clic nella colonna "Log" sulla riga del nuovo blocco di regole. In questo modo si

attiva l'opzione loggin filtro pacchetto. I telegrammi ai quali viene applicata la regola definita vengono registrati.

Nell'esempio qui riportato questa registrazione viene utilizzata per il successivo test della configurazione.




Assegnazione del blocco di regole globale - Procedimento: 1. Selezionare nell'area di navigazione l'oggetto "Module1" e trascinarlo sul nuovo blocco di

regole globale creato tenendo premuto il tasto sinistro del mouse.

2. L'assegnazione può essere controllata aprendo di nuovo la finestra di dialogo per

l'impostazione delle proprietà del modulo e selezionando la scheda "Firewall".

Qui si può vedere che la regola Firewall globale è stata memorizzata.

3. Azionando il pulsante "Expanded Rulesets" si visualizza il blocco di regola in dettaglio.

In questo modo la configurazione offline è conclusa.




Procedimento: 1. Selezionare il modulo nell'area del contenuto.




Se l'operazione di caricamento è stata conclusa senza errori, il modulo SCALANCE S viene riavviato automaticamente e la nuova configurazione viene attivata.


La messa in servizio della configurazione è quindi conclusa e SCALANCE S protegge ora la rete interna (PC 2 tramite il firewall configurato in base alle regole progettate: "Consenti traffico IP in uscita" dalla rete interna a quella esterna.

3.3.8 Test della funzione del NAT router (test Ping)

Come può essere testata la funzione configurata? Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione Ping. Per poter riconoscere la modalità NAT router utilizzare il logging filtro pacchetto sull'interfaccia Firewall.

Promemoria: Per la definizione della regole globale del firewall è già stata attivata l'opzione per il logging del filtro pacchetto.



Osservazione per il comando Ping: in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test della configurazione.


Sezione di test 1 - Trasmissione del comando ping Testare ora il funzionamento della modalità NAT router per il traffico di dati IP dall'interno all'esterno nel modo seguente:




Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla posizione del cursore, il seguente comando:

ping 192.168.10.100


Sezione di test 2 - Analisi del risultato 1. Nel Security Configuration Tool passare alla modalità Online. Selezionare quindi la

seguente voce di menu:

View ▶ Online

2. Selezionare il modulo da modificare e selezionare la seguente voce di menu per aprire la finestra di dialogo online:


Selezionare la scheda "Packet Filter Log".



3. Azionare il pulsante "Start Reading"

4. Confermare la finestra di dialogo visualizzata con "OK".

Risultato: le voci Log vengono lette da SCALANCE S e visualizzate.

Risultato Nelle righe di visualizzazione della registrazione si riconosce quanto segue:

● Riga di visualizzazione 1

Gli indirizzi IP dei telegrammi da PC2 a PC1 vengono indicati sull'interfaccia verso la rete esterna con l'indirizzo IP esterno del modulo SCALANCE S (192.168.10.01). Questo corrisponde alla conversione ampliata di indirizzo (osservazione: qui non è visibile l'assegnazione di porta supplementare).

● Riga di visualizzazione 2

GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client


I telegrammi di risposta vengono visualizzati con l'indirizzo di destinazione del nodo nella sotto-rete interna (PC2: 172.10.10.100). Da qui si riconosce che la conversione di indirizzo è già avvenuta prima che il telegramma di risposta attraversino il firewall.

3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client

3.4.1 Informazioni generali In questo esempio viene progettata la funzione di tunnel VPN nella visualizzazione di progettazione "Modalità standard". Uno SCALANCE S e il SOFTNET Security Client formano in questo esempio i due punto terminali del tunnel per il collegamento via tunnel protetto tramite una rete pubblica.

Con questa configurazione il traffico IP è possibile solo tramite i collegamenti via tunnel VPN configurati tra partner autorizzati.


External

Internal

Hub / Switch

PC3

PC2PC1



● Rete interna - Collegamento a SCALANCE S porta 2 ("Porta "Internal Network")

Nella rete interna la struttura di test di un nodo di rete viene realizzata con un PC collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S.

– PC1: rappresenta un nodo della rete interna

– SCALANCE S Modul 1: modulo SCALANCE S per la protezione della rete interna

● Rete esterna pubblica - Collegamento a SCALANCE S porta 1 ("Porta "External Network")


– PC2: PC con il software di configurazione Security Configuration Tool e il software SOFTNET Security Client per l'accesso VPN sicuro nella rete interna

– PC3: PC di test per sezione di test 2

Nota

Nell'esempio, al posto di una WAN pubblica esterna, viene illustrata una rete locale per la spiegazione del principio del relativo tipo di funzione.

Le spiegazioni relative all'utilizzo di una WAN vengono indicate nei relativi punti.


● 1 modulo SCALANCE S, (opzionalmente: una guida ad U appositamente montata con materiale di montaggio);


● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool"; e il client VPN "SOFTNET Security Client"

● 1 PC nella rete interna per il test della configurazione;

● 1 PC nella rete esterna per il test della configurazione;

● 1 hub o switch di rete per la realizzazione di collegamenti di rete con il modulo SCALANCE S e i PC;






Procedimento: 1. Disimballare dapprima l'apparecchio SCALANCE S e controllare che i componenti non

siano danneggiati.

2. Collegare la tensione di alimentazione al modulo SCALANCE S.




Per il montaggio e il collegamento dei moduli SCALANCE S osservare il capitolo 2 "Proprietà del prodotto e messa in servizio".





– Collegare la porta 1 del modulo 1 all'hub/allo switch.

– Collegare anche il PC2 e il PC3 all'hub/allo switch.


Nota

Per l'utilizzo di una WAN come rete pubblica esterna, i collegamenti all'hub/allo switch vanno sostituiti con collegamenti alla WAN (accesso internet).

ATTENZIONE

I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Port 1 - "External Network"

presa RJ45 superiore, contrassegno rosso = area della rete non protetta; Port 2 - "Internal Network"



3.4.3 Configurazione delle impostazioni IP dei PC Per i test nei PC devono essere impostati i seguenti indirizzi IP.

PC Indirizzo IP Finestra della sotto-rete Standard gateway PC1 192.168.0.1 255.255.255.0 192.168.0.201 PC2 191.0.0.2 255.255.0.0 191.0.0.201 PC3 191.0.0.3 255.255.0.0 191.0.0.201

In Standard gateway vanno indicati gli indirizzi IP che vengono assegnati al modulo SCALANCE S nella seguente progettazione per l'interfaccia interna ed esterna:

● Il PC1 utilizza l'interfaccia interna.

● PC2 e PC3 utilizzano l'interfaccia esterna.

Nota

Per l'utilizzo di una WAN come rete pubblica esterna, sul PC2 e sul PC3 devono essere configurare le rispettive impostazioni IP per il collegamento con la WAN (Internet).

Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu:



Start ► Pannello di controllo











Project ► New

Viene richiesto di inserire un nome utente e una password. Alla registrazione utente definita qui viene assegnato automaticamente il ruolo di un amministratore.


4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o configurazione software". Configurare quindi il tipo di prodotto, l'unità e il release del firmware e chiudere la finestra di dialogo con "OK".

5. Creare un secondo modulo con la seguente voce di menu:

Insert ► Module

Configurare quindi il tipo di prodotto, "SOFTNET Configuration", l'unità "SOFTNET Security Client" e il release del firmware del SOFTNET Security Client Version e chiudere la finestra di dialogo con "OK".

Questo modulo ottiene automaticamente un nome in base alle preimpostazioni per il progetto.

6. Fare clic nell'area di navigazione su "All Modules" e successivamente nell'area del contenuto sulla riga "Module1".

7. Fare quindi clic nella colonna "MAC Address" e inserire l'indirizzo nel formato indicato.




8. Fare quindi clic nella colonna "IP Address ext.", inserire l'indirizzo nel formato indicato e adattare la maschera della sotto-rete. Per Module1: Indirizzo IP: 191.0.0.201, Maschera della sotto-rete: 255.255.0.0

Nota

Per l'utilizzo di una WAN come rete pubblica esterna, indicare come"IP Address ext." l'indirizzo IP statico rilevato dal proprio provider con il quale è possibile raggiungere il modulo SCALANCE nella WAN (Internet).

Per consentire che il modulo SCALANCE S possa inviare pacchetti tramite la WAN (Internet), come "Default Router" è necessario inserire il proprio router DSL.

Se si utilizza un router DSL come Internet Gateway, a questo devono essere inoltrate almeno le seguenti porte:

• Porta 500 (ISAKMP)

• Porta 4500 (NAT-T)

Nei download di configurazione (non attraverso un tunnel attivo) deve inoltre essere inoltrata la porta 443 (HTTPS).

9. Aprire il menu delle proprietà del "Modul1" selezionando la voce, azionando il tasto destro del mouse e selezionando la voce di menu "Properties…".



10. Attivare in base alla visualizzazione della scheda "Routing Mode" la modalità Routing, inserire l'indirizzo IP interno (192.168.0.201) e la maschera della sotto-rete (255.255.255.0) del modulo SCALANCE S e confermare con "OK".

11. Fare clic nell'area di navigazione su "All Modules" e successivamente nell'area del

contenuto sulla riga "Modul2".

12. Fare clic nella colonna "Name" e inserire il nome "SSC-PC2".

Il SOFTNET Security Client non necessita di altre impostazioni.

A questo punto la visualizzazione dovrebbe essere simile alla seguente figura.



3.4.5 Progettazione del collegamento del tunnel Uno SCALANCE S e il SOFTNET Security Client possono realizzare un tunnel IPsec per la comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo.


un nuovo gruppo:

Insert ► Group


2. Selezionare nell'area del contenuto il modulo SCALANCE S "Modul1" e trascinarlo sul



Il colore del simbolo di chiave dell'icona del modulo cambia da grigio a blu.

3. Selezionare nell'area del contenuto il modulo SOFTNET Security Client e trascinarlo sul "Group1" nell'area di navigazione.



Project ► Save As…




3.4.6 Caricamento della configurazione in SCALANCE S e salvataggio della configurazione SOFTNET Security Client


Transfer ► To All Modules…


3. Salvare il file di configurazione "Projectname.SSC-PC2.dat" nella directory del progetto e assegnare una password per il codice privato del certificato.

Se l'operazione di caricamento è stata conclusa senza errori, SCALANCE S viene riavviato automaticamente e la nuova configurazione viene attivata.

Risultato: SCALANCE S in esercizio produttivo SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato dal LED Fault attraverso luce verde.

La messa in servizio della configurazione è quindi conclusa e il modulo SCALANCE S e il SOFTNET Security Client possono realizzare un tunnel di comunicazione con il quale i nodi della rete possono comunicare in modo protetto dalla rete interna con PC2.

Nota

Per l'utilizzo di una WAN come rete pubblica esterna, non è possibile configurare un modulo SCALANCE S con l'impostazione di fabbrica tramite la WAN. Configurare in questo caso il modulo SCALANCE S fuori dalla rete interna.



3.4.7 Realizzazione del tunnel con il SOFTNET Security Client

Procedimento: 1. Avviare il SOFTNET Security Client su PC2.

2. Azionare il pulsante "Load Configuration", passare alla directory del progetto e caricare il file di configurazione "Projectname.SSC-PC2.dat".

3. Inserire la password per il codice privato del certificato e confermare con "Next".

4. Confermare la finestra di dialogo "Attivazione di tutti i nodi statici configurati?" con "Sì".

5. Azionare il pulsante "Panoramica del tunnel"

Risultato: Collegamenti via tunnel attivi Il tunnel tra SCALANCE S e SOFTNET Security Client è stato realizzato. Questo stato operativo viene segnalato con il cerchio verde nella voce "Module1".

Nella consolle Log della panoramica del tunnel del SOFTNET Security Client si ricevono alcuni messaggi di risposta dal proprio sistema sullo svolgimento del tentativo di collegamento e se è stata creata una Policy per il collegamento di comunicazione.



La messa in servizio della configurazione è quindi conclusa e il modulo SCALANCE S e il SOFTNET Security Client hanno realizzato un tunnel di comunicazione con il quale i nodi della rete possono comunicare in modo protetto dalla rete interna e PC2.

3.4.8 Test della funzione di tunnel (test Ping)






Sequenza di test 1 Testare ora il funzionamento del collegamento tramite tunnel tra PC1 e PC2 nel modo seguente:



2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP 192.168.0.1).

Direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla posizione del cursore immettere il comando

ping 192.168.0.1

On


Risultato Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per 192.168.0.1 quanto segue:

● Trasmesso = 4

● Ricevuto = 4


Poiché non era ammessa nessun'altra comunicazione, questi telegrammi possono essere stati trasportati solo tramite tunnel VPN.

GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client


Sequenza di test 2 Ripetere ora il test inserendo un comando Ping dal PC3.



2. Inserire di nuovo lo stesso comando Ping (ping 192.168.0.1) nella finestra del prompt dei comandi da PC3.

Compare successivamente il seguente messaggio: (nessuna risposta positiva del PC1).

Risultato I telegrammi IP del PC3 non possono raggiungere il PC1 in quanto non è configurata una comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP normale.


● Trasmesso = 4

● Ricevuto = 0


3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client

3.5.1 Informazioni generali In questo esempio viene progettata la funzione di tunnel VPN nella visualizzazione di progettazione "advanced mode". Un MD741-1 e il SOFTNET Security Client formano i due punti terminali del tunnel per il collegamento via tunnel protetto tramite una rete pubblica.



Con questa configurazione il traffico IP è possibile solo tramite il collegamento via tunnel VPN configurato tra partner autorizzati.

Nota

Per la configurazione di questo esempio è assolutamente necessario che per la scheda SIM dell'MD741-1 il proprio Provider (società di telefonia mobile) metta a disposizione un indirizzo IP fisso raggiungibile da Internet.

(In alternativa è possibile operare anche con un indirizzo DynDNS per l'MD741-1.)

Struttura della rete di test:

● Rete interna - Collegamento a MD741-1 porta X2 ("Rete interna")

Nella rete interna la struttura di test di un nodo di rete viene realizzata con un PC collegato alla porta "Internal Network" (porta 2) di un modulo MD741-1.

– PC1: rappresenta un nodo della rete interna

– MD741-1: Modulo MD741-1 per la protezione della rete interna

Rete pubblica esterna - collegamento tramite antenna MD741-1 ("Rete esterna")

La rete pubblica esterna è esclusivamente una rete GSM o una rete mobile che l'utente può scegliere dal provider (società di telefonia mobile) e che viene raggiunta tramite l'antenna del modulo MD741-1.

– PC2: PC con software di configurazione Security Configuration Tool e software SOFTNET Security Client per l'accesso VPN sicuro nella rete interna


● 1 modulo MD741-1 con scheda SIM, (opzionale: una guida ad U appositamente montata con materiale di montaggio);

● 1 alimentazione elettrica di 24V con collegamento del cavo e connettore morsettiera;

● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool" e il client VPN "SOFTNET Security Client";



● 1 PC nella rete interna dell'MD741-1 con un Browser per la progettazione dell'MD741-1 e il test della configurazione;

● 1 DSL Router (collegamento in Internet per il PC con VPN Client (ISDN, DSL, UMTS, ecc.))

● I cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per Industrial Ethernet.

Panoramica delle seguenti operazioni

3.5.2 Configurazione di MD741-1 e reti

Procedimento: 1. Disimballare dapprima l'apparecchio MD741-1 e controllare che i componenti non siano

danneggiati.

2. Seguire la messa in servizio "passo-passo" del manuale di sistema MD741-1 fino al punto nel quale si deve effettuare la configurazione in base alle proprie esigenze. Utilizzare a tal fine PC1, Configurazione dell'MD741, vedere capitolo Esecuzione della configurazione dell'MD741-1 (Pagina 98).


– Collegare il PC1 alla porta X2 ("Rete interna") dell'MD741-1

– Collegare il PC2 al DSL Router




3.5.3 Configurazione di impostazioni IP dei PC Per il test nei PC devono essere impostati i seguenti indirizzi IP.

PC IP address Finestra della sotto-rete Standard gateway PC1 192.168.1.101 255.255.255.0 192.168.1.1 PC2 192.168.2.202 255.255.255.0 192.168.2.1

In standard gateway per PC1 deve essere inserito l'indirizzo IP che si assegna al modulo MD741-1 (per l'interfaccia di rete interna) nella successiva progettazione. Per PC2 inserire l'indirizzo IP del DSL Router (per l'interfaccia di rete interna).

In PC1 e PC2 procedere nel modo seguente per aprire le connessioni di rete sul PC interessato: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu:

Start ► Pannello di controllo

2. Aprire il simbolo "Centro connessioni di rete e condivisione".

3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la casella di opzione "Protocollo internet versione 4 (TCP/IPv4)" e azionare il pulsante "Proprietà".




(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" . Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP dei PC" nelle caselle previste.


3.5.4 Creazione di un progetto e di moduli



Project ► New

Viene richiesto di inserire un nome utente e una password. Alla registrazione utente definita qui viene assegnato automaticamente il ruolo di un amministratore.




La finestra di dialogo "Selezione di un'unità o configurazione software" viene visualizzata automaticamente.

4. Configurare quindi il tipo di prodotto, "SOFTNET Configuration (SOFTNET Security Client, MD74x)", l'unità "SOFTNET Security Client", la versione firmware "V3.0" e indicare il nome di modulo "SSC-PC2"


6. Creare un secondo modulo con la seguente voce di menu:

Insert ► Module

Configurare quindi il tipo di prodotto, "SOFTNET Configuration (SOFTNET Security Client, MD74x)", l'unità "MD74x" e indicare il nome di modulo "MD741-1".

7. Fare quindi clic nella campo "Configuration" nella casella "IP Address (ext.)" e inserire l'indirizzo nel formato indicato. Configurare inoltre la relativa maschera della sotto-rete esterna.

Nota

Per la configurazione di questo esempio è assolutamente necessario che per la scheda SIM dell'MD 741-1 il proprio Provider (società di telefonia mobile) metta a disposizione un indirizzo IP fisso raggiungibile da Internet. Inserire questo indirizzo IP come indirizzo IP esterno per il modulo.

Se si opera con indirizzi dinamici per l'MD741-1, per il modulo è necessario un indirizzo DynDNS. In questo caso non è necessario adattare l'indirizzo IP esterno in questa posizione. L'indirizzo IP inserito serve quindi solo come segnaposto.

Durante la configurazione del SOFTNET Security Client, al posto di un indirizzo IP esterno inserire un nome DNS.

8. Fare quindi clic nella campo "Configuration" nella casella "IP Address (int.)" e inserire l'indirizzo nel formato indicato. (Indirizzo IP: 192.168.1.1) Configurare inoltre la relativa maschera della sotto-rete interna. (Maschera della sotto-rete: 255.255.255.0)

9. Chiudere quindi la finestra di dialogo con "OK".

Si ottiene una visualizzazione in base alla seguente figura.



3.5.5 Progettazione del collegamento via tunnel Un MD741-1 e il SOFTNET Security Client possono realizzare un tunnel IPsec per la comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo.


un nuovo gruppo:

Insert ► Group


2. Selezionare nell'area del contenuto il modulo MD741-1 "MD741-1" e trascinarlo su



Il colore del simbolo di chiave dell'icona del modulo cambia da grigio a blu. Questo indica che per il modulo è stato progettato un collegamento IPsec.

3. Selezionare nell'area del contenuto il modulo SOFTNET Security Client "SSC-PC2" e trascinarlo sul "Group1" nell'area di navigazione.


4. Portare il progetto in "advanced mode" selezionando la seguente voce di menu:


5. Aprire le proprietà del gruppo Group1 selezionando il menu contestuale "Properties...".



6. Modificare la durata SA per Phase 1 e Phase 2 a 1440 minuti e lasciare tutte le altre impostazioni ai valori predefiniti.



ATTENZIONE

Un collegamento via tunnel corretto tra MD741-1 e SOFTNET Security Client può essere realizzato solo se vengono rispettati i parametri riportati di seguito.

L'impiego di parametri diversi può comportare la mancata realizzazione della connessione VPN tra i due partner del tunnel.

Metodo di autentificazione: Certificato

Advanced Settings Phase 1: Modalità IKE: Main Fase 1 gruppo DH: Group2 Fase 1 codifica: 3DES-168 Durata SA (minuti): 1440 Fase 1 autentificazione: SHA1

Advanced Settings Phase 2: Tipo di durata SA: Time Fase 2 codifica: 3DES-168 Durata SA (minuti): 1440 Fase 2 autentificazione: SHA1


Project ► Save As...


3.5.6 Salvataggio della configurazione dell'MD741-1 e del SOFTNET Security Client




Transfer ► To All Modules…


3. Salvare il file di configurazione "Projectname.SSC-PC2.dat" nella directory del progetto e assegnare una password per il codice privato del certificato. Nella directory del progetto vengono salvati i seguenti file:

– "Projectname.SSC-PC2.dat"

– "Projectname.string.SSC-PC2.p12"

– "Projectname.group1.cer"

4. Salvare il file di configurazione "Projectname.MD741-1.txt" nella directory del progetto e assegnare una password per il codice privato del certificato. Nella directory del progetto vengono salvati i seguenti file:

– "Projectname.MD741-1.txt"

– "Projectname.string.MD741-1.p12"

– "Projectname.group1.MD741-1.cer"

A questo punto sono stati salvati tutti i file e i certificati necessari ed è possibile mettere in servizio l'MD741-1 e il SOFTNET Security Client.

3.5.7 Esecuzione della configurazione dell'MD741-1 Grazie al file di testo salvato "Projectname.MD741-1.txt" è possibile eseguire una configurazione in modo semplice in base al Web Based Management dell'MD741-1. Qui di seguito viene illustrato passo per passo un esempio di configurazione dell'MD741-1.

Per la configurazione viene richiesto quanto segue:

● MD741-1 riceve un indirizzo IP pubblico fisso, raggiungibile da Internet;

● al SOFTNET Security Client viene assegnato un indirizzo IP dinamico dal Provider.



Parallelamente, al punto corrispondente viene visualizzata anche l'avvertenza relativa alla progettazione di un nome DynDNS per l'MD741-1.

Procedimento: 1. Collegarsi tramite PC1 alla superficie Web dell'MD741-1.

Osservazione: Se l'MD741-1 presenta le impostazioni di fabbrica, l'interfaccia interna del modulo ha l'indirizzo IP 192.168.1.1

2. Navigare nella seguente directory:

IPSec VPN ► Certificati

3. I certificati necessari sono stati salvati sul PC2 in base al capitolo precedente ed è stata assegnata una password per il codice privato. Trasferire i certificati ("Projectname.string.MD741-1.p12", "Projectname.group1.MD741-1.cer") per l'MD741-1 dapprima al PC1.

4. Caricare quindi il punto opposto certificato "Projectname. group1.MD741-1.cer" e il file PKCS 12 "Projectname.string.MD741-1.p12" sul modulo.



Modalità VPN Roadwarrior dell'MD741-1 Poiché il SOFTNET Security Client dispone di un indirizzo IP dinamico, viene utilizzata la modalità VPN Roadwarrior dell'MD741-1 per realizzare un collegamento protetto.

● Modalità Roadwarrior dell'MD741-1:

– Nella modalità VPN Roadwarrier SINAUT MD741-1 può accettare collegamenti VPN dai punti opposti con indirizzo sconosciuto. Possono ad esempio essere punti opposti in impiego mobile che rilevato il proprio indirizzo IP dinamicamente.

– Il collegamento VPN deve essere realizzato attraverso il punto opposto. È possibile un solo collegamento VPN in modalità Roadwarrier. I collegamenti VPN in modalità standard possono essere utilizzati parallelamente.

Procedimento: 1. Navigare nella seguente directory:

IPSec VPN ► Collegamenti

2. Modificare le impostazioni di Roadwarrior VPN come illustrato nella seguente figura e salvare gli inserimenti.

La "Remote ID" può essere rilevata dal file di testo "Projectname.MD741-1.txt". L'inserimento della "Remote ID" è possibile in modo opzionale.



3. Modificare le impostazioni IKE di Roadwarrior VPN come illustrato nella seguente figura e salvare gli inserimenti.



ATTENZIONE

Un collegamento via tunnel corretto tra MD741-1 e SOFTNET Security Client può essere realizzato solo se vengono rispettati i parametri riportati di seguito.

L'impiego di parametri diversi comporta la mancata realizzazione della connessione VPN tra i due partner del tunnel. Per questo motivo attenersi sempre alle impostazioni elencate nel file di testo (come illustrato anche di seguito).

Metodo di autentificazione:X.509 certificato punto opposto

Phase 1 - ISKAMP SA: ISAKMP-SA codifica:3DES-168 ISAKMP-SA Hash: SHA-1 ISAKMP-SA modalità: Main Mode ISAKMP-SA durata (secondi): 86400

Phase 2 - IPSec SA: IPSec SA codifica: 3DES-168 IPSec SA Hash: SHA-1 IPSec SA durata (secondi): 86400

Gruppo DH/PFS: DH-2 1024



4. Per poter utilizzare la funzione di diagnostica del SOFTNET Security Client per i tunnel VPN realizzati con successo in combinazione con l'MD741-1, è necessario consentire un ping dalla rete esterna dell'MD741-1.

Navigare quindi nella directory:

Security ► Advanced

Impostare la funzione "External ICMP to the MD741-1" sul valore "Allow Ping" e salvare l'inserimento. A tal proposito osservare la seguente figura.

Nota

Se non si abilita questa funzione, non è possibile utilizzare la funzione di diagnostica del SOFTNET Security Client per il tunnel VPN necessario realizzato in combinazione con l'MD741-1. Non si ottiene alcuna risposta se il tunnel è stato realizzato con successo, ma è tuttavia possibile comunicare in modo sicuro tramite il tunnel.

5. Per poter raggiungere la Webinterface del modulo MD741-1 anche tramite l'interfaccia

esterna, abilitare l'accesso remoto HTTPS.

In questo modo si ha la possibilità di configurare e diagnosticare da remoto l'MD741-1 tramite un tunnel realizzato.

Navigare quindi nella directory:

Access ► HTTPS

Impostare la funzione "Enable HTTPS remote access" sul valore "Yes", come illustrato nella seguente figura e salvare l'inserimento.



Nota

Se si vuole raggiungere l'MD741-1 tramite un nome DNS, parametrizzare nella seguente directory il collegamento DynDNS Server:

External Network ► Advanced Settings ►DynDNS 1. Modificare l'impostazione "Log on tu DynDNS server" al valore "Yes". 2. Inserire il nome utente e la password del proprio DynDNS account. 3. Inserire l'indirizzo DynDNS completo nella casella "DynDNS hostname". Fare

attenzione ad inserire anche il dominio per questo indirizzo. (Es.: "mydns.dyndns.org")

A questo punto la messa in servizio del modulo MD741-1 è conclusa. Il modulo e il SOFTNET Security Client possono realizzare un tunnel di comunicazione con il quale dai nodi della rete interna è possibile comunicare in modo sicuro con PC2.



3.5.8 Realizzazione del tunnel con il SOFTNET Security Client

Procedimento: 1. Avviare il SOFTNET Security Client sul PC2.

2. Azionare il pulsante "Load Configuration", passare alla directory del progetto e caricare il file di configurazione "Projectname.SSC-PC2.dat".

3. Per una configurazione MD741-1 il SOFTNET Security Client apre la finestra di dialogo "IP-/DNS settings MD741-1". Inserire in questa finestra di dialogo l'indirizzo IP pubblico del modulo MD741-1 ricevuto dal proprio provider. Confermare la finestra di dialogo con "OK".

Osservazione: Se si utilizza un nome DNS, in questa finestra di dialogo è possibile configurare questo nome al posto di un indirizzo IP.

4. Inserire la password per il certificato e confermare con "Next".



5. Confermare la finestra di dialogo "Enable all statically configured nodes?" con "Yes".

6. Azionare il pulsante "Tunnel Overview".

Nota

Se si vuole raggiungere il modulo MD741-1 tramite un nome DNS, parametrizzare nel passo 3 l'indirizzo DynDNS completo nella casella di inserimento "DNS Name". (Es.: "mydns.dyndns.org")

Risultato: collegamento via tunnel attivo Il tunnel tra MD741-1 e SOFTNET Security Client è stato realizzato.

Dall'icona blu nella voce "MD741-1" si riconosce che è stata creata una Policy per questo collegamento di comunicazione.

Lo stato operativo che indica la raggiungibilità dell'MD741-1, viene segnalato dal "cerchio verde" nella voce "MD741-1".

Nota

Fare attenzione che questa funzione dipende dall'abilitazione della funzione ping sul modulo MD741-1.

Nella consolle logging della panoramica del tunnel del SOFTNET Security Client si ricevono inoltre alcuni messaggi di risposta dal proprio sistema, dai quali è possibile rilevare:



● Come si è svolto il tentativo di collegamento?

● È stata creata la Policy per il collegamento di comunicazione?

La messa in servizio della configurazione è quindi conclusa. Il modulo MD741-1 e il SOFTNET Security Client hanno realizzato un tunnel di comunicazione con il quale dai nodi della rete interna è possibile comunicare in modo sicuro con PC2.

3.5.9 Test della funzione tunnel (test ping)

Come può essere testata la funzione configurata? Eseguire i test della funzione come descritto qui di seguito con un'istruzione ping.




ATTENZIONE Con Windows il Firewall può essere impostato come standard in modo che non possano essere eseguite istruzioni pin. Eventualmente i servizi ICMP del tipo Request e Response devono essere abilitati.

Sezione di test Testare ora il funzionamento del collegamento tramite tunnel tra PC1 e PC2 nel modo seguente:



2. Inserimento dell'istruzione ping da PC2 a PC1 (indirizzo IP 192.168.1.101).

Direttamente nella riga dell'istruzione della finestra visualizzata "Richiesta di inserimento", sulla posizione del cursore, inserire il comando

Ping 192.168.1.101

.

Compare il seguente messaggio: (risposta positiva da PC1).

Risultato Se i telegrammi IP hanno raggiunto PC1, la "Statistica ping" per 192.168.1.101 visualizza quando segue:

● Inviati = 4

● Ricevuti = 4

● Persi = 0 (0 % di perdita)

Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati trasportati solo tramite il tunnel VPN.


F1

Progettazione con Security Configuration Tool 4

Il Security Configuration Tool è lo strumento di progettazione fornito con SCALANCE S.

Il presente capitolo semplifica l'approccio con la superficie operativa e il tipo di funzionamento dello strumenti di progettazione.

Qui viene descritto come configurare, comandare e gestire i progetti SCALANCE S.

Altre informazioni Nei seguenti capitoli di questo manuale viene descritto in modo dettagliato come si configurano i moduli e il tunnel IPsec.

Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea. Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo.

4.1 Insieme di funzioni e tipo di funzionamento

Potenzialità Lo strumento di progettazione Security Configuration Tool si utilizza per i seguenti compiti:

● Progettazione di SCALANCE S

● Progettazione del SOFTNET Security Client (S612 / S613 / MD 741-1)

● Creazione di dati di configurazione per MD 740-1 / MD 741-1

● Funzioni di test e di diagnostica, indicazioni di stato

Progettazione con Security Configuration Tool 4.1 Insieme di funzioni e tipo di funzionamento


Modi operativi Il Security Configuration Tool dispone di due modi operativi:

● Offline - Visualizzazione di progettazione

Nel modo operativo offline viene eseguita la progettazione dei dati di configurazione per i moduli SCALANCE S e SOFTNET Security Client. Prima dell'operazione di caricamento non deve esistere un collegamento con SCALANCE S.

● Online

La modalità online serve al test e alla diagnostica di uno SCALANCE S.

Due visualizzazioni di comando Nel modo operativo offline il Security Configuration Tool mette a disposizione due visualizzazioni di comando:

● Modalità standard

Lo Standard Mode è preimpostato nel Security Configuration Tool. Esso offre una rapida e semplice progettazione per il funzionamento di SCALANCE S.

● Modalità ampliata

Nella modalità ampliata esistono possibilità di impostazione ampliate che consentono l'impostazione individuale delle regole del firmware e della funzionalità di sicurezza.

Progettazione con Security Configuration Tool 4.2 Installazione


Tipo di funzionamento - Sicurezza e coerenza ● Accesso solo per utenti autorizzati

Ciascun progetto può essere protetto contro l'accesso non autorizzato inserendo una password.

● Dati di progetto coerenti

Già durante l'inserimento nelle singole finestra di dialogo vengono eseguiti controlli di coerenza. Inoltre è possibile avviare in qualsiasi momento un controllo di coerenza esteso nel progetto in tutte le finestre di dialogo.

Possono essere caricati solo i dati di progetto coerenti.

● Protezione dei dati del progetto tramite codifica

I dati del progetto e di configurazione memorizzati solo protetti sia nel file del progetto, sia nel C-Plug tramite codifica.

4.2 Installazione Lo strumento di progettazione Security Configuration Tool si installa dal CD SCALANCE S fornito.

Requisiti richiesti I requisiti richiesti per l'installazione e il funzionamento del Security Configuration Tool su un PC/PG sono:

● Sistema operativo Windows XP SP2 o SP3 (non Home), Windows 7 (non Home);

● PC/PG con almeno 128 Mbyte di memoria RAM e una CPU con una frequenza di impulso di almeno 1 GHz.

Procedimento

ATTENZIONE Prima dell'installazione del Security Configuration Tool leggere assolutamente il file "README" presente sul CD. In questo file sono eventualmente indicate avvertenze importati e le ultime modifiche.

● Inserire il CD SCALANCE S nel lettore CD-ROM; in caso di funzione Autorun attivata, la superficie operativa dalla quale si effettua l'installazione viene avviata automaticamente.

o

● Avviare l'applicazione "start.exe" presente sul CD SCALANCE S fornito.

Progettazione con Security Configuration Tool 4.3 Superficie operativa e voci di menu


4.3 Superficie operativa e voci di menu

Struttura della superficie operativa

① L'area di navigazione funge da Project-Explorer con le seguenti cartelle principali:

Regole globali firewall

I nodi contengono i blocchi di regole globali firewall progettati Altre cartelle distinguono tra: – Blocco regole IP – Blocco regole MAC

Tutti i moduli

Il nodo contiene i moduli progettati SCALANCE S o SOFTNET Security Client del progetto. Tutti i gruppi

Il nodo "All Groups" contiene tutte le VPN create. Selezionando un oggetto nell'area di navigazione si ottengono nell'area del contenuto le informazioni dettagliate su questo oggetto.



② Area del contenuto: Selezionando un oggetto nell'area di navigazione, nell'area del contenuto si ottengono informazioni dettagliate su questo oggetto. Qui possono essere inseriti alcuni parametri. Facendo doppio clic sugli oggetti, vengono aperte le finestre di dialogo delle proprietà per l'inserimento di altri parametri.

③ Riga di stato La riga di stato illustra gli stati operativi e i messaggi di stato attuali; di questi fanno parte: L'utente attuale e il tipo di utente La visualizzazione di comando - Standard Mode / Advanced Mode Lo stato operativo - Online / Offline

Barra dei menu Qui di seguito è riportata una panoramica delle voci di menu selezionabili e del loro significato.

Voce di menu Significato / Osservazioni Shortcut Project ▶… Funzioni per le impostazioni specifiche del progetto, nonché

caricamento e salvataggio dei file del progetto.

New Crea un nuovo progetto Open... Apre un progetto esistente. Save Salva il progetto aperto nel percorso attuale con il nome del

progetto.

Save As... Salva il progetto aperto nel percorso selezionabile con il nome del progetto.

Properties… Si apre la finestra di dialogo delle proprietà del progetto. Progetti aperti per ultimi Possibilità di selezione diretta dei progetti elaborati finora. Exit Edit ▶… Nota:

Le funzioni qui indicate possono in parte essere raggiunte nell'oggetto selezionato anche con il menu di scelta rapida del tasto destro del mouse.

Copy Copia l'oggetto selezionato. Ctrl+C Paste Riprende e inserisce l'oggetto dalla memoria intermedia. Ctrl+V Del Cancella l'oggetto selezionato. Del Rename Rinomina l'oggetto selezionato. F2 Properties Apre la finestra di dialogo delle proprietà dell'oggetto selezionato. F4 Online Diagnostics… Accede alle funzioni di test e di diagnostica.

La voce di menu può essere vista solo nella visualizzazione online.

Insert ▶… (Voci di menu in modalità offline)



Voce di menu Significato / Osservazioni Shortcut Module Crea un nuovo progetto

La voce di menu è attiva solo se nell'area di navigazione è selezionato un oggetto modulo o un gruppo.

Ctrl+M

Group Crea un nuovo gruppo. La voce di menu è attiva solo se nell'area di navigazione è selezionato un oggetto gruppi.

Ctrl+G

Firewall rule set Creare un nuovo blocco di regole IP firewall o un blocco di regole MAC von validità globale. La voce di menu è attiva solo se nell'area di navigazione è selezionato un oggetto firewall.

Ctrl+F

Transfer ▶… To Module... Carica i dati nei moduli selezionati.

Osservazione: possono essere caricati solo dati di progetto coerenti.

To All Modules... Carica i dati nei moduli progettati. Osservazione: possono essere caricati solo dati di progetto coerenti.

Configuration Status… Visualizza in una lista lo stato di configurazione dei moduli progettati.

Firmware Update... Carica il nuovo firmware nello SCALANCE S selezionato. View ▶… Advanced Mode Commuta dalla modalità Standard alla modalità Advanced.

Attenzione: è possibile annullare una commutazione nella modalità Advanced per il progetto attuale se non sono state eseguite modifiche. È preimpostata la modalità Standard.

Ctrl+E

Offline Rappresenta la preimpostazione. Ctrl+Shift+D Online Ctrl+D Options ▶… IP Service Definitions ... Apre la finestra di dialogo per le definizioni dei servizi per le

regole IP Firewall. La voce di menu può essere vista solo nella visualizzazione "Advanced Mode".

MAC Service Definitions…

Apre la finestra di dialogo per le definizioni dei servizi per le regole MAC Firewall. La voce di menu può essere vista solo nella visualizzazione "Advanced Mode".

Project Change Password…

Funzione per la modifica della password utente.

Network Adapters... Funzione per la selezione dell'adattatore di rete locale con il quale deve essere realizzato un collegamento con SCALANCE S.

Progettazione con Security Configuration Tool 4.4 Gestione dei progetti


Voce di menu Significato / Osservazioni Shortcut Log Files... Visualizzazione dei file Log.

I file Log possono essere letti e le registrazioni Log possono essere avviate.

Symbolic Names... Impostazione di nomi simbolici per indirizzi IP o MAC. Check Consistency Controllare la coerenza dell'intero progetto. Viene visualizzata

una lista dei risultati.

Help ▶… Contenuto … Guida alle funzioni e ai parametri che si trovano nel Security

Configuration Tool. Ctrl+Shift+F1

Indice … Guida alle funzioni e ai parametri che si trovano nel Configuration Tool.

Ctrl+Shift+F2

Informazione... Informazioni sulla versione del Security Configuration Tool.

4.4 Gestione dei progetti

4.4.1 Informazioni generali

Progetto SCALANCE S Un progetto nel Security Configuration Tool comprende tutte le informazioni di configurazione e di gestione per uno o diversi apparecchi SCALANCE S, SOFTNET Security Client o apparecchi MD74x.

Creare nel progetto un modulo per ciascun apparecchio SCALANCE S, ciascun SOFTNET Security Client e per ciascun apparecchio MD74x.

Le configurazioni di un progetto contengono in generale:

● Impostazioni valide in tutto il progetto

● Impostazioni specifiche per il modulo

● Assegnazione ai gruppi per tunnel IPsec (S612 / S613 / SOFTNET Security Client)



Inoltre una gestione utenti regola le autorizzazioni di accesso ai dati del progetto e quindi agli apparecchi SCALANCE S.

Impostazioni valide in tutto il progetto ● Proprietà del progetto

Oltre all'indicazione di indirizzo e di nome, queste proprietà comprendono indicazioni per i valori di inizializzazione e impostazioni di autorizzazione.

● Blocchi di regole firewall globali

Le regole globali del firewall possono essere assegnate contemporaneamente a diversi moduli. In molti casi questa possibilità semplifica la progettazione rispetto alla progettazioni di blocchi di regole del firewall in caso di impostazioni specifiche per il modulo.

● Definizione del servizio

Con l'aiuto delle definizioni del servizio IP è possibile definire in modo chiaro e compatto le regole del firewall.

Impostazioni specifiche per il modulo La maggior parte di funzioni viene configurata nella finestra di dialogo delle proprietà di un modulo. Panoramica delle schede disponibili e relativa funzione:

disponibile nella modalità … Funzione / scheda nella finestra di dialogo delle proprietà

Standard Advanced Network Qui è possibile indicare eventuali indirizzi del router che si trova nella propria rete.

X

X

Firewall Nella modalità standard attivare il firewall con semplici regole standard. Inoltre qui è possibile attivare le impostazioni Logging. Nella modalità Advanced è possibile definire regole del filtro pacchetto dettagliate. Inoltre è possibile definire impostazioni di logging esplicite per ogni regola del filtro pacchetto.

X

X

Certificati SSL In caso di necessità - per esempio con un certificato compromesso - è possibile importare un certificato o creare un nuovo certificato con il Security Configuration Tool.

X

Sincronizzazione dell'ora Definire il tipo di sincronizzazione per data e ora.

X

X

Impostazioni Log Qui è possibile eseguire indicazioni esatte per la modalità di registrazione e di memorizzazione di eventi Logging.

X



disponibile nella modalità … Funzione / scheda nella finestra di dialogo delle proprietà

Standard Advanced Nodi Per un modulo in modalità Bridge è possibile qui configurare le sotto-reti statiche interne e i nodi IP/MAC e autorizzare o bloccate la programmazione di nodi interni. Per un modulo in modalità Routing è possibile inserire i nodi interni / le sotto-reti complete con le quali deve essere realizzato il tunnel.

X

VPN Se il modulo si trova in un gruppo, qui è possibile configurare la Dead-Peer-Detection, il tipo di realizzazione del collegamento e l'indirizzo IP della WAN.

X

Modalità Routing Nella modalità standard attivare la funzione "Router". Nella modalità Advanced è inoltre possibile attivare la funzione router NAT/NAPT e definire in una lista la conversione di indirizzi.

X

X

Server DHCP Per la rete interna è possibile attivare il modulo come server DHCP.

X

La descrizione dettagliata di queste funzioni si trova nel capitolo "Firmware, router e altre proprietà del modulo".

Assegnazione ai gruppi per tunnel IPsec (S612 / S613 / SOFTNET Security Client) Questo definisce quali moduli SCALANCE S, SOFTNET Security Client e moduli MD74x possono comunicare tra loro tramite il tunnel IPsec.

Assegnando i moduli SCALANCE S, SOFTNET Security Client e i moduli MD74x ad un gruppo, questi moduli possono realizzare il tunnel di comunicazione tramite una VPN (virtual private network).

Solo i moduli dello stesso gruppo possono comunicare tra loro in modo sicuro tramite il tunnel; i moduli SCALANCE S, i SOFTNET Security Client e i moduli MD74x possono far parte simultaneamente di diversi gruppi.

4.4.2 Creazione e modifica di progetti

Creazione di un progetto Selezionare la voce di menu

Project ▶ New...

Viene richiesto di assegnare un nome utente e una password. L'utente che viene creato è del tipo Administrator.



Di conseguenza Security Configuration Tool crea come standard un progetto e apre automaticamente la finestra di dialogo "Selection of a module or software configuration" nella quale è possibile configurare il primo modulo.

Definizione dei valori di inizializzazione per un progetto Con i valori di inizializzazione si definiscono le proprietà che vengono riprese automaticamente durante la creazione di nuovi moduli.

Per l'inserimento dei valori di inizializzazione selezionare la seguente voce di menu:

Project ▶ Properties…, scheda "Dafault Initialization Values"



Protezione dei dati del progetto tramite codifica I dati del progetto e di configurazione memorizzati solo protetti sia nel file del progetto, sia nel C-Plug tramite codifica.

Vedere anche Firewall, router e altre proprietà del modulo (Pagina 131)



4.4.3 Configurazione utenti

Tipi di utente e autorizzazioni L'accesso ai progetti e ai moduli SCALANCE S viene gestito con le impostazioni utente configurabili. SCALANCE S conosce due tipi di utente con diverse autorizzazioni:

● Amministratori

Con il ruolo di utente del tipo "Administrator" si dispone delle autorizzazioni di accesso illimitato a tutti i dati di configurazione e ai moduli SCALANCE S.

● User

Con il ruolo di utente del tipo "user" si dispone delle seguenti autorizzazioni di accesso.

– Accesso in lettura alla configurazione; eccezione: è ammessa la modifica della propria password.

– Accesso in lettura agli SCALANCE S nel modo operativo "Online" per test e diagnostica.

Autentificazione utenti Gli utenti del progetto devono autentificarsi durante l'accesso. Per ogni utente è possibile definire un'autentificazione con password.

ATTENZIONE Le password utente deve essere custodita in modo sicuro.

Se si dimenticano le password utente, non si dispone più dell'accesso al progetto interessato e alle configurazioni, nonché ai moduli SCALANCE S.

L'accesso ai moduli SCALANCE S può essere eseguito solo con il comando "Ripristino delle impostazioni della fabbrica"; tuttavia si perdono le configurazioni.

Finestra di dialogo per la configurazione di utenti Per la configurazione di utenti selezionare la seguente voce di menu:

Project ▶ Properties…, scheda "Authentification Settings".



Protezione da perdita di accesso accidentale Il sistema assicura che nel progetto rimanga configurato sempre almeno un utente del tipo "Administrator". In questo modo si evita che l'accesso al progetto venga perso per sempre in seguito ad "autocancellazione" accidentale.

ATTENZIONE Se si modificano le impostazioni di autentificazione, è necessario ricaricare prima i moduli SCALANCE S in modo che queste impostazioni (ad es. nuovi utenti, modifiche di password) diventino attive nei moduli.



4.4.4 Controlli di coerenza

Informazioni generali Security Configuration Tool distingue:

● Controlli di coerenza locali

● Controlli di coerenza in tutto il progetto

Per maggiori informazioni sulle regole da osservare per l'immissione nelle finestra di dialogo, consultare le descrizioni delle finestre di dialogo riportate alla voce "controllo della coerenza" del manuale.

Controlli di coerenza locali Un controllo della coerenza è definito locale quando si può eseguire direttamente all'interno di una finestra di dialogo. Con le seguenti azioni possono essere eseguiti controlli:

● dopo essere usciti da un campo

● dopo essere usciti da una riga in una tabella

● uscendo dalla finestra di dialogo con "OK"

Controlli di coerenza in tutto il progetto I controlli della coerenza in tutto il progetto forniscono informazioni sui moduli configurati correttamente. Poiché i controlli di coerenza continui in tutto il progetto necessitano di troppo tempo, in quanto durante l'impostazione di un progetto vengono configurati dati di progettazione principalmente incoerenti, un controllo automatico viene effettuato solo con le seguenti azioni:

● durante il salvataggio del progetto

● durante l'apertura del progetto

● prima del caricamento di una configurazione

ATTENZIONE

I dati di progettazione possono essere caricati solo se il progetto è complessivamente coerente.

Per eseguire un controllo della coerenza in tutto il progetto, procedere nel modo seguente Il controllo della coerenza può essere avviato in qualsiasi momento per un progetto aperto selezionando la seguente voce di menu:

Options ▶ Check Consistency



Il risultato del controllo viene visualizzato in un elenco. Se il progetto contiene dati incoerenti, nella riga di stato esiste inoltre un rimando al risultato del controllo della coerenza. Posizionando il puntatore del mouse e facendo clic nella riga di stato è possibile nascondere l'elenco del controllo.

4.4.5 Impostazione di nomi simbolici per indirizzi IP/MAC.

Significato e vantaggio In un progetto SCALANCE S al posto di indirizzi IP e indirizzi MAC è possibile assegnare nomi simbolici in una tabella dei simboli.

La progettazione dei singoli servizi può quindi essere eseguita in modo più semplice e sicuro.

Per le seguenti funzioni e relativa progettazione vengono tenuti in considerazione nomi simbolici all'interno di un progetto:

● Firewall

● Router NAT/NAPT

● Syslog

● DHCP

Validità e univocità La validità dei nomi simbolici indicati nella tabella dei simboli è limitata alla progettazione all'interno di un progetto SCALANCE S.

All'interno del progetto ad ogni nome simbolico deve essere assegnato in modo univoco un solo indirizzo IP o un indirizzo MAC.

Acquisizione automatica di nomi simbolici nella tabella dei simboli È possibile utilizzare nomi simbolici nelle funzioni indicate al posto di indirizzi IP, ad esempio durante la creazione di regole firewall, senza che essi siano già assegnati nella tabella dei simboli qui descritta.

I nomi simbolici assegnati in questo modo vengono ripresi automaticamente nella tabella dei simboli e possono essere assegnati in un secondo momento. Nell'ambito del controllo della coerenza vengono segnalate assegnazioni mancanti.

Finestra di dialogo per l'assegnazione di nomi simbolici Per evitare incoerenze tra un'assegnazione "indirizzo IP - nome simbolico" e "indirizzo MAC - nome simbolico", i nomi simbolici vengono gestiti in una singola tabella dei simboli.

Selezionare la seguente voce di menu per aprire la tabella dei simboli:

Options ▶ Symbolic Names..



Per registrare le voci nella tabella dei simboli procedere nel modo seguente: ● Nuove voci

1. Azionare il pulsante "Add" per inserire un nuovo nome simbolico nella successiva riga libera della tabella.

2. Inserire il nome simbolico conforme a DNS. 1)

3. Completare la voce con l'indirizzo IP o l'indirizzo MAC. Possono essere indicati anche entrambi gli indirizzi.

Legenda: 1) La conformità DNS secondo RFC1035 comprende le seguenti regole: - limitazione a 255 caratteri complessivi (lettere, numeri, trattino o punto); - il nome deve iniziare con una lettera; - il nome può finire con una lettera o un numero; - un componente del nome all'interno del nome, vale a dire una stringa di caratteri tra due punti, può avere una lunghezza di max. 63 caratteri; - nessun carattere speciale come dieresi, parentesi, sottolineature, barre, spazi vuoti ecc.

● Voci automatiche

Se il nome simbolico è già stato indicato nell'ambito di un servizio, nella tabella dei simboli si trova una relativa voce.

1. Fare clic sulla casella d'immissione per l'indirizzo IP o per l'indirizzo MAC.

2. Completare la voce con l'indirizzo IP o l'indirizzo MAC. Possono essere indicati anche entrambi gli indirizzi.

Se si cancella una voce dalla tabella dei simboli, i nomi simbolici utilizzati nei servizi vengono mantenuti. In questo caso il controllo della coerenza riconosce i nomi simbolici non definiti. Questo vale sia per voci create manualmente, sia per voci create automaticamente.

Suggerimento:



Per la tabella dei simboli qui descritta è particolarmente sensato l'impiego del controllo della coerenza in tutto il progetto. In base alla lisa si può riconoscere e correggere ogni incoerenza.

Il controllo della coerenza può essere avviato in qualsiasi momento per un progetto aperto selezionando la seguente voce di menu:


Controllo della coerenza - vanno osservate queste regole Per l'inserimento rispettare le regole riportate qui di seguito.

Controllo eseguito 1) Controllo / Regola

locale in tutto il progetto

L'assegnazione di un nome simbolico ad un indirizzo IP o ad un indirizzo MAC deve essere univoco in entrambe le direzioni.

x

I nomi simbolici devono essere conformi a DNS. 2) x Ciascuna riga nella tabella dei simboli deve contenere un nome simbolico. Deve essere inserito un indirizzo IP, un indirizzo MAC o entrambi gli indirizzi.

x

Agli indirizzi IP del modulo SCALANCE S non devono essere assegnati nomi simbolici.

x

I nomi simbolici utilizzati nel progetto per gli indirizzi IP o gli indirizzi MAC devono essere trovarsi nella tabella dei simboli. Possono verificarsi incoerenze dovute alla cancellazione delle voci nella tabella dei simboli e alla mancata relativa cancellazione o correzione nelle finestre di dialogo di progettazione.

x

Legenda: 1) Osservare le descrizioni nel capitolo "Controlli delle coerenze". 2) La conformità DNS secondo RFC1035 comprende le seguenti regole: - limitazione complessiva a 255 caratteri (lettere, cifre, trattino o punto); - il nome deve iniziare con una lettera; - il nome deve finire con una lettera o una cifra; - una parte integrante del nome all'interno del nome, vale a dire una stringa di caratteri tra due punti, può essere di max. 63 caratteri; - nessun carattere speciale come dieresi, parentesi, sottolineatura, barra, spazio vuoto ecc.

Progettazione con Security Configuration Tool 4.5 Caricamento della configurazione in SCALANCE S


4.5 Caricamento della configurazione in SCALANCE S I dati di configurazione creati offline vengono caricati nello SCALANCE S raggiungibile nella rete tramite relative voci di menu.

Progettazione con Security Configuration Tool 4.5 Caricamento della configurazione in SCALANCE S


Requisiti richiesti ● Collegamenti

In linea di principio i dati di configurazione possono essere caricati sia tramite la porta 1 dell'apparecchio, sia tramite la porta 2 dell'apparecchio.

Configurare i moduli di un gruppo prevalentemente tramite la rete esterna comune di questi moduli (porta apparecchio 1).

Se il computer di configurazione si trova in una rete interna, nel firewall di questo SCALANCE S deve essere abilitato in modo esplicito l'indirizzo IP degli altri moduli del gruppo e questo modulo deve essere configurato per primo. (Questo procedimento viene supportato sol quando a tutti i moduli SCALANCE S è già stato assegnato un indirizzo IP. vedere "Particolarità durante la prima configurazione")

ATTENZIONE

Utilizzo di diversi adattatori di rete durante la prima configurazione

Se si utilizzano diversi adattatore di rete in un PC/PG, prima della prima configurazione selezionare l'adattatore di rete con il quale si può raggiungere il modulo SCALANCE S.

Utilizzare la voce di menu "Options ▶ Network Adapter…"

● Stato operativo

Le configurazioni possono essere caricate durante il funzionamento dell'apparecchio SCALANCE S. Dopo il caricamento viene eseguito automaticamente un riavvio degli apparecchi. Dopo il caricamento può verificarsi una breve interruzione della comunicazione tra rete interna ed esterna.

ATTENZIONE

Particolarità nella prima configurazione

Se un modulo non ha impostato ancora i parametri IP - vale a dire prima della prima configurazione - tra il modulo e il computer di configurazione non deve trovarsi nessun Router o SCALANCE S.

ATTENZIONE

Modifica del collegamento al PC

Se si cambia la posizione di un PC dall'interfaccia interna a quella esterna di SCALANCE S, gli accessi di questo PC a SCALANCE S vengono bloccati per ca. 10 min (funzione di sicurezza per la prevenzione di "ARP-Cache-Spoofing").

ATTENZIONE

Il progetto deve essere coerente

I dati di progettazione possono essere caricati solo se il progetto è complessivamente coerente. In caso di incoerenza viene visualizzato un elenco di controllo dettagliato.

Trasferimento sicuro I dati vengono trasferiti con protocollo protetto.

Progettazione con Security Configuration Tool 4.6 Dati di configurazione per MD 740 / MD 741


Procedimento Per il caricamento utilizzare in alternativa le voci di menu:

● Transfer ▶ To Module...

In questo modo si trasferisce la configurazione a tutti i moduli selezionati.

● Transfer ▶ To All Modules…

In questo modo si trasferisce la configurazione a tutti i moduli configurati nel progetto.

Livellamento della configurazione diversa Non è consentito un ricaricamento dei dati di configurazione dal modulo SCALANCE S al progetto.

4.6 Dati di configurazione per MD 740 / MD 741

Trasmissione ad un modulo Le informazioni VPN per la parametrizzazione di un MD 740-1 / MD 741-1 possono essere generate con il Security Configuration Tool. Con i file così generati è possibile configurare il MD 740-1 / MD 741-1.

Vengono generati i seguenti tipi di file:

● File di esportazione con dati di configurazione

– Tipo di file: file ".txt" in formato ASCII

– Contiene le informazioni di configurazione esportate per il MD 740 / MD 741, compresa un'informazione sui altri certificati creati.

● Certificato modulo

– Tipo di file: File ".p12"

– Il file contiene il certificato del modulo e il materiale di codifica

– L'accesso è protetto da password.

● Certificato gruppi

– Tipo di file: File ".cer"

I file di configurazione per l'MD 740-1 / MD 741-1 possono essere utilizzati anche per configurare altri tipi di client VPN non contenuti nella selezione dei moduli. Il requisito minimo per l'utilizzo di questi client è il supporto di IPsec VPNs nella modalità tunnel.



Figura 4-1 File di esportazione per MD 741-1

Nota

Al modulo non vengono trasmessi file di configurazione. Viene generato solo un file ASCII con il quale si può configurare l'MD 740-1 / MD 741-1. Tuttavia questo è possibile solo se il modulo si trova in almeno un gruppo VPN nel quale si trova anche un modulo SCALANCE S o un SOFTNET Security Client V3.0.

Procedere nel modo seguente 1. Selezionare nel campo del contenuto il modulo "MD 740-1" / "MD 741-1" e selezionare




2. Nella finestra di salvataggio successiva indicare il percorso e il nome del file di configurazione e fare clic su "Save".

3. Alla fine compare la domanda se si vuole creare una password per entrambi i file di certificato creati.

Se si seleziona "No", come password viene assegnato il nome della progettazione (p. es. DHCP_senza_Routing_02), non la password del progetto.

Se si seleziona "Yes" (raccomandato), è necessario inserire la password nella finestra successiva.

Risultato: I file (e i certificati) vengono salvati nella directory specificata.

Nota

Dopo il salvataggio viene segnalata l'incompatibilità successiva del progetto. I progetti salvati p. es. con il Security Configuration Tool V2.1 non possono essere caricati con il Security Configuration Tool V2.

Nota

Ulteriori informazioni per la configurazione dell'MD 740-1 / MD 741-1 si trovano nel manuale di sistema MD 741-1 / MD 740-1.


F1

Firewall, router e altre proprietà del modulo 5

Questo capitolo descrive come vengono creati i moduli e quali impostazioni sono possibili per i singoli moduli in un progetto. Il ruolo principale per queste operazioni lo hanno le impostazioni per la funzione firewall e la funzione router NAT/NAPT di SCALANCE S.

Nota S612/S613

Le impostazioni del firewall che possono essere eseguite per i singoli moduli possono influire anche sulla comunicazione che viene svolta tramite collegamenti via tunnel IPsec nella rete interna (VPN).

Altre informazioni Nei seguenti capitoli di questo manuale viene descritto in modo dettagliato come si configura il tunnel IP.

Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea.

Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo.

ATTENZIONE Potenzialità e tipi di apparecchio

Osservare le funzioni supportate dal tipo di apparecchio utilizzato.

Vedere anche Funzioni online - Test, diagnostica e logging (Pagina 223)

Caratteristiche hardware e panoramica delle funzioni (Pagina 17)

Firewall, router e altre proprietà del modulo 5.1 Panoramica / Nozioni di base


5.1 Panoramica / Nozioni di base

5.1.1 SCALANCE S come firewall

Significato La funzionalità Firewall di SCALANCE S ha il compito di proteggere la rete interna da influssi o disturbi provenienti dalla rete esterna. Questo significa che, a seconda della configurazione, sono consentite solo determinate relazioni di comunicazione precedentemente esistenti tra nodi di rete dalla rete interna e nodi di rete dalla rete esterna.


La funzionalità firewall può essere configurata per i seguenti livelli di protocollo:

● IP Firewall con Stateful Packet Inspection;

● Firewall anche per telegrammi Ethernet "Non-IP" secondo IEEE 802.3 (telegrammi layer 2)

● Limitazione della larghezza di banda

Regole firewall Le regole firewall sono regole per il traffico di dati nelle seguenti direzioni:

● dalla rete interna a quella esterna e viceversa;

● dalla rete interna ad un tunnel IPsec e viceversa (S612/S613).

Progettazione Vanno distinti le due visualizzazioni di comando:

● Nella modalità standard si accede a regole semplici predefinite.

● Nella modalità Advanced è possibile definire regole specifiche.

Inoltre nella modalità Advanced vanno distinte regole firewall e blocchi di regole firewall per moduli:

– Le regole firewall locali sono assegnate rispettivamente ad un modulo. Esse vengono progettate nella finestra di dialogo delle proprietà del modulo.

– Le regole globali del firewall possono essere assegnate contemporaneamente a diversi moduli. Questa possibilità semplifica in molti casi la progettazione.

Inoltre esiste la possibilità di definire in modo chiaro e compatto le regole del firewall con l'aiuto delle definizioni del servizio. A queste definizioni del servizio è possibile fare riferimento sia nelle regole firewall locali, sia nei blocchi di regole firewall globali.

Firewall, router e altre proprietà del modulo 5.1 Panoramica / Nozioni di base


5.1.2 SCALANCE S come Router

Significato Utilizzando SCALANCE S come router, si collega la rete interna alla rete esterna. La rete interna collegata tramite SCALANCE S diventa quindi una sotto-rete propria.

Esistono le seguenti possibilità:

● Routing - impostabile nella modalità Standard e nella modalità Advanced

● NAT/NAPT Routing - impostabile nella modalità Advanced

Routing - impostabile nella modalità Standard e nella modalità Advanced Vengono inoltrati telegrammi destinati ad un indirizzo IP esistente nelle relative sotto-reti (interne o esterne). Di conseguenza valgono le regole firewall definite per la rispettiva direzione di trasmissione.

Per questo modo operativo è inoltre necessario progettare un indirizzo IP per la sotto-rete interna.

Nota: Rispetto ad un funzionamento Bridge di SCALANCE S, nella modalità Routing i tag VLAN vengono persi.

NAT/NAPT Routing - impostabile nella modalità Advanced In questo modo operativo viene inoltre eseguita una trasformazione degli indirizzi IP. Gli indirizzi IP degli apparecchi nella sotto-rete interna vengono rappresentati sugli indirizzi IP esterni e quindi non sono "visibili" sulla rete esterna.

Per questo modo operativo progettare la trasformazione di indirizzo in un elenco. Assegnare rispettivamente un indirizzo IP interno e un indirizzo IP esterno.

A seconda del metodo che si vuole impiegare, per l'assegnazione vale:

● NAT (Network Address Translation)

In questo caso vale: Indirizzo = indirizzo IP

● NAPT (Network Address Port Translation)

In questo caso vale: Indirizzo = indirizzo IP + numero di porta

5.1.3 SCALANCE S come server DHCP

Significato Sulla rete interna SCALANCE S può essere utilizzato come server DHCP. In questo modo è possibile assegnare automaticamente gli indirizzi IP agli apparecchi collegati alla rete interna.

Gli indirizzi IP vengono assegnati dinamicamente da una banda di indirizzi indicata oppure viene assegnato un determinato indirizzo IP di un determinato apparecchio.

Firewall, router e altre proprietà del modulo 5.2 Creazione di moduli e impostazione dei parametri di rete


Progettazione La configurazione come server DHCP è possibile nella visualizzazione "Advanced Mode".

5.2 Creazione di moduli e impostazione dei parametri di rete

Creazione di moduli Creando un nuovo progetto, come standard il Security Configuration Tool apre la finestra di dialogo "Selection of a module or software configuration" nella quale è possibile configurare il primo modulo.

Ulteriori moduli si creano con la seguente voce di menu:

Insert ▶ Module

in alternativa: con il menu contestuale nell'oggetto selezionato "All Modules".

Nella fase successiva, in questa finestra di dialogo selezionare il tipo di prodotto, l'unità e il release del firmware.



Impostazioni di rete di un modulo Le impostazioni di rete di un modulo comprendono:

● Parametri di indirizzo del modulo

● Indirizzi del router esterno

Parametri di indirizzo Alcuni parametri di indirizzo possono essere configurati nella finestra di dialogo "Selection of a module or software configuration" durante la creazione di un modulo.

I parametri di indirizzo possono essere inseriti anche nell'area del contenuto selezionando l'oggetto "All Modules" nell'area di navigazione:

Le seguenti proprietà dei moduli vengono visualizzate per colonne:

Tabella 5- 1 Parametri IP - Selezione di "All Modules"

Proprietà/colonna Significato Commento/selezione Number Numero di modulo progressivo viene assegnato automaticamente Name Denominazione logica tecnologica del

modulo. selezionabile liberamente

Ext. IP address Indirizzo IP con il quale è raggiungibile l'apparecchio della rete esterna, ad esempio per caricare la configurazione.

assegnazione adatta nell'insieme di reti.

Maschera sotto-rete est. Finestra della sotto-rete assegnazione adatta nell'insieme di reti. Int. IP address Indirizzo IP con il quale è raggiungibile

l'apparecchio della rete interna, se configurato come router.

assegnazione adatta nell'insieme di reti. La casella di inserimento può essere editata solo se nelle proprietà del modulo è stato attivato il funzionamento router.

Maschera sotto-rete int. Finestra della sotto-rete assegnazione adatta nell'insieme di reti. La casella di inserimento può essere editata solo se nelle proprietà del modulo è stato attivato il funzionamento router.

Default Router Indirizzo IP del router in una rete esterna. assegnazione adatta nell'insieme di reti. MAC address Indirizzo hardware del modulo L'indirizzo MAC è stampigliato sulla

custodia del modulo. Osservare l'indirizzo MAC

supplementare nella modalità Routing (indicazione alla fine di questa tabella).



Proprietà/colonna Significato Commento/selezione

SCALANCE S602 SCALANCE S612 V1 SCALANCE S612 V2 SCALANCE S613 V1 SCALANCE S613 V2

Typ Tipo di apparecchio

SOFTNET Security Client 2005 SOFTNET Security Client 2008 SOFTNET Security Client V3.0 MD 74x Per questi tipi di moduli non esiste una "finestra di dialogo delle proprietà". Per MD 74x nell'area del contenuto possono essere impostati gli indirizzi IP e le maschere della sotto-rete.

Comment Informazioni tecnologiche utili per il modulo e sotto-rete protetta dal modulo.

selezionabile liberamente

Indirizzo MAC supplementare in modalità Routing In modalità Routing SCALANCE S utilizza un indirizzo MAC supplementare sull'interfaccia verso la sotto-rete interna. Questo secondo indirizzo MAC viene formato dall'indirizzo MAC stampigliato sull'apparecchio nel modo seguente:

● Indirizzo MAC (interno) = indirizzo MAC stampigliato + 1

Nel funzionamento nelle reti piatte (funzionamento Bridge) è sempre valido l'indirizzo MAC stampigliato sia sull'interfaccia interna, sia su quella esterna.

Nella finestra di dialogo online del Security Configuration Tool vengono visualizzati gli indirizzi MAC attualmente validi nella scheda "Status".

Finestra di dialogo "Network / External Routers" A seconda della struttura di rete esistente può essere necessario indicare oltre al router standard altri router.

Selezionare il modulo da modificare e selezionare la seguente voce di menu per configurare router esterni:

Edit ▶ Properties.., scheda "Network"

Firewall, router e altre proprietà del modulo 5.3 Firewall - Proprietà del modulo in modalità Standard


Figura 5-1 Finestra di dialogo "Network"

Vedere anche Panoramica delle funzioni della finestra di dialogo online (Pagina 224)

5.3 Firewall - Proprietà del modulo in modalità Standard

5.3.1 Progettazione del firewall

Protezione da disturbi provenienti dalla rete esterna La funzionalità Firewall di SCALANCE S ha il compito di proteggere la rete interna da influssi o disturbi provenienti dalla rete esterna. Questo significa che sono consentite solo determinate relazioni di comunicazione precedentemente esistenti tra nodi di rete dalla rete interna e nodi di rete dalla rete esterna.



Con le regole del filtro pacchetti si definisce l'abilitazione o la limitazione del traffico di dati continuo in base alle proprietà dei pacchetti di dati.

In SCALANCE S612 / S613 il firewall può essere impiegato per il traffico di dati (via tunnel IPsec) codificato e il traffico di dati non codificato.

Nella modalità standard possono essere eseguite solo impostazioni per il traffico di dati non codificato.

Nota Modalità Routing

Se per il modulo SCALANCE S è stata attivata la modalità Routing, le regole MAC non vengono utilizzate.

Finestra di dialogo Selezionare il modulo da modificare e selezionare la seguente voce di menu per configurare il firewall:

Edit ▶ Properties…, scheda "Firewall"



Area di selezione "Configuration" - Regole predefinite

ATTENZIONE Osservare che il potenziale di pericolo aumenta più si abilitano opzioni.

La modalità Standard comprende per il firewall le seguenti regole predefinite che possono essere selezionate nell'area di immissione "Configuration":

Tabella 5- 2 Regole predefinite del firewall semplice

Regola/opzione Funzionamento Impostazione di default

Solo comunicazione via tunnel (S612/S613) Tunnel Communication only

Rappresenta l'impostazione standard. Con questa impostazione viene autorizzato solo il traffico di dati IPsec codificato; possono comunicare tra loro solo nodi in reti interne di SCALANCE S. Questa opzione può essere selezionata solo se il modulo si trova in un gruppo. Se questa opzione è disattivata, è autorizzata la comunicazione via tunnel e inoltre il tipo di comunicazione selezionato nelle altre caselle delle opzioni.

On

Consenti traffico IP dalla rete interna alla rete esterna Allow outgoing IP traffic

I nodi interni possono inizializzare un collegamento di comunicazione con nodi in una rete esterna. Solo i telegrammi di risposta vengono inoltrati dalla rete esterna alla rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna.

off

Consenti traffico IP con protocollo S7 dalla rete interna alla rete esterna. Allow outgoing S7 protocol

I nodi interni possono inizializzare un collegamento di comunicazione S7 (protocollo S7 - TCP/Port 102) con nodi in una rete esterna. Solo i telegrammi di risposta vengono inoltrati dalla rete esterna alla rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna.

off

Consenti accesso al server DHCP dalla rete interna alla rete esterna. Allow access to external DHCP server

I nodi interni possono inizializzare un collegamento di comunicazione con un server DHCP in una rete esterna. Solo i telegrammi di risposta del server DHCP vengono inoltrati nella rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna.

off

Consenti accesso al server NTP dalla rete interna alla rete esterna. Allow access to external NTP server

I nodi interni possono inizializzare un collegamento di comunicazione con un server NTP (Network Time Protocol) in una rete esterna. Solo i telegrammi di risposta del server NTP vengono inoltrati nella rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna.

off

Consenti telegrammi dell'ora SiClock dalla rete esterna alla rete interna. Allow access to external SiClock server

Con questa opzione vengono abilitati i telegrammi dell'ora SiClock da una rete esterna in una interna.

off (L'opzione non può essere utilizzata in modalità Routing.)



Regola/opzione Funzionamento Impostazione di default

Consenti accesso al server DNS dalla rete interna alla rete esterna. Allow access to external DNS server

I nodi interni possono inizializzare un collegamento di comunicazione con un server DNS in una rete esterna. Solo i telegrammi di risposta del server DNS vengono inoltrati nella rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna.

off

Consenti la configurazione dei nodi di rete interni tramite DCP dalla rete esterna alla rete interna. Allow access from external or internal nodes via DCP server

Il protocollo DCP viene utilizzato dal tool PST, per eseguire nei componenti di rete SIMATIC Net la denominazione dei nodi (impostazione dei parametri IP). Con questa regola viene consentito ai nodi nella rete esterna di accedere ai nodi nella rete interna tramite protocollo DCP.

off (L'opzione non può essere utilizzata in modalità Routing.)

Area di selezione "Log" - Impostazione di registrazioni È possibile consentire una compilazione del protocollo sul traffico di dati in ingresso e in uscita.

5.3.2 Preimpostazione del firewall

Comportamento con preimpostazione La preimpostazione per il firewall è selezionata in modo da non consentire un traffico di dati IP. La comunicazione tra i nodi nelle reti interne dei moduli SCALANCE S è autorizzata solo tramite tunnel IPsec configurati.

I seguenti diagrammi illustrano le impostazioni standard in dettaglio rispettivamente per il filtro pacchetto IP e il filtro pacchetto MAC.



Impostazione standard per filtro pacchetto IP

1

2

3

4

5

① Tutti i tipi di telegramma dall'interno all'esterno sono bloccati. ② Tutti i telegrammi dall'interno a SCALANCE S sono autorizzati (sensato solo HTTPS). ③ Tutti i telegrammi dall'esterno all'interno e a SCALANCE S sono bloccati (anche ICMP Echo Request). ④ Sono autorizzati telegrammi dall'esterno (nodi esterni e SCALANCE S esterni) a SCALANCE S del seguente tipo:

HTTPS (SSL) Protocollo ESP (codifica) IKE (protocollo per la realizzazione del tunnel IPsec) NAT-Traversal (protocollo per la realizzazione del tunnel IPsec)

⑤ È autorizzata la comunicazione IP tramite tunnel IPsec. ⑥ I telegrammi del tipo Syslog e NTP sono autorizzati da SCALANCE S verso l'esterno.

Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced


Impostazione standard per filtro pacchetto MAC

l

1

2

35

6

7

① Tutti i tipi di telegramma dall'interno all'esterno sono bloccati. ② Tutti i telegrammi dall'interno a SCALANCE S sono autorizzati. ③ Sono autorizzati i telegrammi ARP dall'interno all'esterno. ④ Tutti i telegrammi dall'esterno all'interno e a SCALANCE S sono bloccati. ⑤ Sono autorizzati telegrammi dall'esterno all'interno del seguente tipo:

ARP con limitazione banda larga

⑥ Sono autorizzati telegrammi dall'esterno a SCALANCE S del seguente tipo: ARP con limitazione banda larga DCP

⑦ Sono autorizzati i protocolli MAC che vengono inviati attraverso il tunnel IPsec.

5.4 Firewall - Proprietà del modulo in modalità Advanced Nella modalità ampliata esistono possibilità di impostazione ampliate che consentono l'impostazione individuale delle regole del firmware e della funzionalità di sicurezza.

Commutazione nella modalità Advanced Commutare il modo operativo per tutte le funzioni descritte in questo capitolo con la seguente voce di menu:



View ▶ Advanced Mode...

Nota

Non è più possibile annullare una commutazione nella modalità Advanced per il progetto attuale non appena sono state eseguite modifiche.

Sono supportati i nomi simbolici Nelle funzioni descritte di seguito è possibile inserire indirizzi IP o indirizzi MAC anche come nomi simbolici.

5.4.1 Progettazione del firewall Rispetto alla progettazione di regole del filtro pacchetto preimpostate in modo fisso nella modalità standard, nella modalità Advanced Mode è possibile progettare regole del filtro pacchetto individuali di Security Configuration Tool.

Le regole del filtro pacchetto si impostato nelle schede selezionabili per i seguenti protocolli:

● Protocollo IP (livello/layer 3)

● Protocollo MAC (livello/layer 2)

Se nelle finestre di dialogo descritte di seguito non si inseriscono regole, valgono le impostazioni standard in base alla descrizione nel capitolo "Preimpostazione del firewall".


Se per il modulo SCALANCE S è stata attivata la modalità Routing, le regole MAC non vengono utilizzate (le finestre non sono attive).

Definizione globale e locale possibili ● Regole firewall globali

Una regola globale del firewall può essere assegnata contemporaneamente a diversi moduli. Questa possibilità semplifica in molti casi la progettazione.

● Regole firewall locali

Una regola firewall locale è assegnata rispettivamente ad un modulo. Essa viene progettata nella finestra di dialogo delle proprietà del modulo.

Ad un modulo possono essere assegnate diverse regole firewall locali e diverse regole firewall globali.

La definizione delle regole globali e locali viene eseguita allo stesso modo. La segeuente descrizione vale quindi per entrambi e metodi indicati.



5.4.2 Regole firewall globali

Impiego Le regole Firewall globali vengono progettate sul livello del progetto fuori dal modulo. Come i moduli, esse sono visibili nell'area di navigazione del Security Configuration Tool.

Selezionando un modulo progettato e trascinandolo sulla regola firewall globale (Drag and Drop), si assegna al modulo questa regola firewall. Questa regola firewall globale viene quindi visualizzata automaticamente nell'elenco specifico del modulo delle regole firewall.

Le regole firewall globali possono essere definite per:

● Blocchi di regole IP

● Blocchi di regole MAC

La seguente rappresentazione descrive la relazione tra blocchi di regole definiti globalmente e blocchi di regole utilizzati localmente.



Quando vanno utilizzate le regole firewall globali? Le regole firewall globali vanno utilizzate se per diverse sotto-reti protette da moduli SCALANCE S si possono definire criteri di filtraggio identici per la comunicazione con la rete esterna.

È tuttavia necessario fare attenzione che questa progettazione semplificata può comportare risultati indesiderati in caso assegnazione errata del modulo. Di conseguenza è necessario verificare sempre nel risultato le regole firewall locali specifiche per il modulo. Un'assegnazione della regola eseguita inavvertitamente può non essere riconosciuta nell'ambito del controllo automatico della coerenza!

Le regole firewall globali vengono utilizzate localmente - Accordi Per la creazione di un blocco di regole firewall globale e per l'assegnazione ad un modulo valgono i seguenti accordi:

● Visualizzazione nel Security Configuration Tool

Le regole firewall globali possono essere create solo nell'impostazione della modalità Advanced.

● Priorità

Le regole definite localmente hanno come standard priorità superiore rispetto alle regole globali; per questo motivo le regole globali assegnate vengono inserire nell'elenco dopo le regole locali.

La priorità può essere modificata cambiando la posizione nell'elenco delle regole.



● Granularità

Le regole firewall globali possono essere assegnate ad un modulo solo come blocco di regole intero.

● Inserimento, modifica o cancellazione delle regole

Le regole firewall globali non possono essere editate nell'elenco delle regole locali nelle proprietà del modulo. Esse possono essere solo visualizzate e posizionate in base alla priorità desiderata.

Da un blocco di regole assegnato non può essere cancellata una singola regola. Dall'elenco di regole locali può essere ripreso solo un blocco di regole intero; in questo modo la definizione nell'elenco di regole globali non viene modificata.

Creazione e assegnazione di regole globali del filtro pacchetto Se si si vuole definire e assegnare un blocco di regole firewall procedere nel modo seguente:

1. Selezionare nell'area di navigazione una delle seguenti cartelle:

– Blocchi di regole firewall globali / blocchi di regole IP firewall.

– Blocchi di regole firewall globali / blocchi di regole MAC firewall.

2. Per la configurazione di un blocco di regole globali selezionare la seguente voce di menu:

Insert ▶ Firewall rule set



3. Inserire in sequenza le regole del firewall nell'elenco; osservare la descrizione dei parametri e l'analisi nel seguente capitolo o nella guida in linea.

4. Assegnare la regola firewall globale ai moduli nei quali deve essere utilizzata questa regola. Selezionare quindi nell'area di navigazione un modulo e trascinarlo sul blocco di regole globale adatto nell'area di navigazione (Drag and Drop).

Risultato: Il modulo assegnato utilizza il blocco di regole globali come blocco di regole locali.

5.4.3 Impostazione delle regole del filtro pacchetto IP locali Tramite le regole del filtro pacchetto IP è possibile filtrare sui telegrammi IP come per esempio telegrammi UDP, TCP, ICMP.

All'interno di una regola del filtro pacchetto IP è possibile accedere alle definizioni del servizio e mantenere quindi la limitazione dei criteri di filtraggio. Se non si indicano servizi, la regola del filtro pacchetto IP vale per tutti i servizi.

Si apre la finestra di dialogo delle regole locali del filtro pacchetto IP. Selezionare il modulo da modificare e selezionare la seguente voce di menu per configurare il firewall:

Edit ▶ Properties...



F1

Inserire le regole del filtro pacchetto IP Inserire in sequenza le regole del firewall nell'elenco; osservare la descrizione dei parametri e gli esempi nel seguente capitolo o nella guida in linea.

Utilizzo di blocchi di regole globali I blocchi di regole globali assegnati al modulo vengono registrati automaticamente nel blocco di regole locali. Essi si trovano dapprima alla fine dell'elenco delle regole e vengono quindi elaborati con priorità più bassa. La priorità può essere modificata modificando la posizione di un blocco di regole locali o globali nell'elenco delle regole.

La guida in linea descrive il significato dei singoli pulsanti.



5.4.4 Regole del filtro pacchetto IP L'elaborazione delle regole del filtro pacchetto IP avviene in base alle seguenti analisi:

● parametri inseriti nella regola;

● sequenza e priorità della regola ad essa collegata all'interno del blocco di regole.

Parametri La progettazione di una regola IP comprende i seguenti parametri:

Denominazione Significato / Commento Possibilità di selezione / campi

dei valori Action Definizione delle autorizzazioni (abilitazione/disabilitazione) Allow

Autorizzazione di telegrammi in base alla definizione.

Drop

Disabilitazione di telegrammi in base alla definizione.

Direction Indica la direzione del traffico di dati ("Tunnel / Any" solo per S612 / S613)

Internal → External Internal ← External Tunnel → Internal Tunnel ← Internal Internal → any Internal ← any

Source IP Indirizzo IP sorgente Destination IP Indirizzo IP di destinazione

Consultare la sezione "Indirizzi IP nelle regole filtro pacchetto IP" in questo capitolo. In alternativa è possibile inserire nomi simbolici.

Service Nome del servizio IP/ICMP o del gruppo di servizi utilizzato. Con l'aiuto delle definizioni del servizio è possibile definire in modo chiaro e compatto le regole del filtro pacchetto Qui si seleziona un servizio definito nella finestra di dialogo dei servizi IP: Servizi IP o Servizi ICMP Se non si è ancora definito un servizio o se non si intende definire altri servizi, azionare il pulsante "IP/MAC Services Definitions..".

La casella di riepilogo a discesa offre per la selezione i servizi progettati e i gruppi dei servizi. Nessuna indicazione significa: non viene controllato nessun servizio, la regola vale per tutti i servizi.



Denominazione Significato / Commento Possibilità di selezione / campi dei valori

Larghezza di banda (Mbit/s)

Possibilità di impostazione per una limitazione banda larga. Un pacchetto passa dal firewall, quando la regola di pass è giusta e la larghezza di banda ammessa per questa regola non è ancora stata superata.

Campo dei valori: 0.001...100 Mbit/s

Logging Attivazione e disattivazione del logging per questa regola Commento Spazio per la spiegazione della regola

Indirizzi IP nelle regole del filtro pacchetto IP L'indirizzo IP è composto da 4 numeri decimali dell'area di valori da 0 a 255, divisi tra loro da un punto; esempio: 141.80.0.16

Nella regola del filtro pacchetto esistono le seguenti possibilità per indicare gli indirizzi IP:

● nessuna indicazione

Non viene eseguito nessun controllo, la regola vale per tutti gli indirizzi IP.

● un indirizzo IP

La regola vale esattamente per l'indirizzo indicato.

● Banda indirizzo

La regola vale per tutti indirizzi IP che si trovano nella banda di indirizzi.

Una banda di indirizzi viene definita indicando il numero di posizioni di bit valide nell'indirizzo IP nella seguente forma:

[Indirizzo IP]/[Numero dei bit da considerare]

– [Indirizzo IP]/24 significa quindi che vengono considerati nella regola del filtro solo i 24 bit con valore maggiore dell'indirizzo IP; sono le prime tre posizioni dell'indirizzo IP.

– [Indirizzo IP]/25 significa che vengono considerati nella regola del filtro solo le prime tre posizioni e il bit con valore maggiore della quarta posizione dell'indirizzo IP.

Tabella 5- 3 Esempi per la banda di indirizzi per indirizzi IP

IP sorgente e IP di destinazione

Banda indirizzo Numero indirizzi *)

da a 192.168.0.0/16 192.168.0.0 192.168.255.255 65.536 192.168.10.0/24 192.168.10.0 192.168.10.255 256 192.168.10.0/25 192.168.10.0 192.168.10.127 128 192.168.10.0/26 192.168.10.0 192.168.10.63 64 192.168.10.0/27 192.168.10.0 192.168.10.31 32 192.168.10.0/28 192.168.10.0 192.168.10.15 16 192.168.10.0/29 192.168.10.0 192.168.10.7 8



IP sorgente e IP di destinazione

Banda indirizzo Numero indirizzi *)

da a 192.168.10.0/30 192.168.10.0 192.168.10.3 4 *) Nota: Fare attenzione che i valori di indirizzo 0 e 255 nell'indirizzo IP hanno funzioni speciali (0 rappresenta un indirizzo della rete, 255 rappresenta un indirizzo broadcast). Di conseguenza il numero degli indirizzi realmente disponibili si riduce.

Sequenza per l'analisi delle regole con SCALANCE S SCALANCE S analizza le regole del filtro pacchetto nel modo seguente:

● La lista viene analizzata dall'alto verso il basso; in caso di regole contrastanti vale sempre la voce più in alto.

● Per le regole per la comunicazione tra rete interna ed esterna valgono le seguenti regole: tutti i telegrammi, eccetto i telegrammi autorizzati in modo esplicito nella lista, sono disabilitati.

● Per le regole per la comunicazione tra rete interna ed esterna e IPsec Tunnel valgono le seguenti regole: tutti i telegrammi, eccetto i telegrammi disabilitati in modo esplicito nella lista, sono autorizzati.



Esempio

Le regole del filtro pacchetto rappresentate come esempio nella finestra di dialogo riportata sopra provocano il seguente comportamento:



1 2

3

4

5

6

① Tutti i tipi di telegramma dall'interno all'esterno sono bloccati come standard, eccetto quelli autorizzati in modo

esplicito. ② Tutti i tipi di telegramma dall'esterno all'interno sono bloccati come standard, eccetto quelli autorizzati in modo

esplicito. ③ La regola del filtro pacchetto IP 1 consente i telegrammi con la definizione di servizio "Service X1" dall'interno

all'esterno. ④ La regola del filtro pacchetto IP 2 consente i telegrammi dall'esterno all'interno se viene soddisfatta la seguente

condizione: Indirizzo IP del mittente: 196.65.254.2 Indirizzo IP del destinatario: 197.54.199.4 Definizione del servizio: "Service X2"

⑤ La regola del filtro pacchetto IP 3 blocca i telegrammi con la definizione di servizio "Service X2" nella VPN (IPsec Tunnel).

⑥ Come standard la comunicazione IPsec Tunnel è autorizzata, eccetto i tipi di telegrammi bloccati in modo esplicito.

5.4.5 definizione dei servizi IP Con l'aiuto delle definizioni del servizio IP è possibile definire in modo chiaro e compatto le regole del firewall che vengono utilizzate su determinati servizi. Per questo si assegna un nome e si assegnano al nome i parametri del servizio.



Inoltre è possibile riunire in gruppi i servizi definiti in un sottogruppo.

Per la progettazione delle regole del filtro pacchetto globali o locali utilizzare semplicemente questo nome.

Finestra di dialogo / scheda La finestra di dialogo si apre nel modo seguente:

● Con la voce di menu Options ▶ IP Service Definitions...

o

● Dalla scheda "Firewall/IP Rules" con il pulsante "IP Services Definitions."



Parametri per servizi IP La definizione dei servizi IP viene eseguita con i seguenti parametri:

Tabella 5- 4 Servizi IP: Parametri


Name Nome definibile liberamente per il servizio che viene utilizzato per l'identificazione nella definizione della regola o nel raggruppamento.

Immissione libera

Protocollo Nome del tipo di protocollo: TCP UDP Any (TCP e UDP)

Porta sorgente Viene eseguito un filtraggio in base al numero di porta qui indicato; esso definisce l'accesso al servizio nel mittente del telegramma.

Esempi: *: La porta non viene controllata 20 o 21: FTP Service

Porta di destinazione

Viene eseguito un filtraggio in base al numero di porta qui indicato; esso definisce l'accesso al servizio nel destinatario del telegramma.

Esempi: *: La porta non viene controllata 80: Web-HTTP-Service 102: Protocollo S7 - TCP/Port

5.4.6 definizione dei servizi ICMP Con l'aiuto delle definizioni del servizio ICMP è possibile definire in modo chiaro e compatto le regole del firewall che vengono utilizzate su determinati servizi. Per questo si assegna un nome e si assegnano al nome i parametri del servizio.


Per la progettazione delle regola del filtro pacchetto utilizzare semplicemente questo nome.



Finestra di dialogo / scheda La finestra di dialogo si apre nel modo seguente:

● Tramite la voce di menu

Options ▶ IP Service Definitions...

o

● Dalla scheda "Firewall" con il pulsante "IP Services Definitions."

Parametri per servizi ICMP La definizione dei servizi ICMP viene eseguita con i seguenti parametri:

Tabella 5- 5 Servizi ICMP: Parametri


Name Nome definibile liberamente per il servizio che viene utilizzato per l'identificazione nella definizione della regola o nel raggruppamento.

Immissione libera

Typ Tipo del messaggio ICMP vedere la visualizzazione della finestra di dialogo

Code Codice del tipo ICMP I valori sono in base al tipo selezionato.



5.4.7 Impostazione di regole del filtro pacchetto MAC Con le regole del filtro pacchetto MAC è possibile filtrare i telegrammi MAC.


Se per il modulo SCALANCE S è stata attivata la modalità Routing, le regole MAC non vengono utilizzate (le finestre non sono attive).

Finestra di dialogo / scheda Selezionare il modulo da modificare e selezionare la seguente voce di menu per configurare il firewall:

Edit ▶ Properties.., scheda "Firewall", tab "MAC Rules"

Figura 5-2 Finestra di dialogo "MAC Rules" nell'esempio per SCALANCE S602



F1

Inserimento delle regole del filtro pacchetto Inserire in sequenza le regole del firewall nell'elenco; osservare la descrizione dei parametri e gli esempi nel seguente capitolo o nella guida in linea.

Utilizzo di blocchi di regole globali I blocchi di regole globali assegnati al modulo vengono registrati automaticamente nel blocco di regole locali. Essi si trovano dapprima alla fine dell'elenco delle regole e vengono quindi elaborati con priorità più bassa. La priorità può essere modificata modificando la posizione di un blocco di regole locali o globali nell'elenco delle regole.

La guida in linea descrive il significato dei singoli pulsanti.

5.4.8 Regole del filtro pacchetto MAC L'elaborazione delle regole del filtro pacchetto MAC avviene in base alle seguenti analisi:

● Parametri inseriti nella regola;

● Priorità della regola all'interno del blocco di regole.

Regole del filtro pacchetto MAC La progettazione di una regola MAC comprende i seguenti parametri:

Tabella 5- 6 Regole MAC: Parametri


Aktion Definizione delle autorizzazioni (abilitazione/disabilitazione) Allow

Autorizzazione di telegrammi in base alla definizione.

Drop

Disabilitazione di telegrammi in base alla definizione.

Direzione Indica la direzione e il tipo del traffico di dati ("Tunnel / Any" solo per S612 / S613)

Internal → External Internal ← External Tunnel → Internal Tunnel ← Internal Internal → any Internal ← any

Quelle MAC Indirizzo MAC sorgente MAC di destinazione Indirizzo MAC di destinazione

In alternativa all'indicazione dell'indirizzo MAC è possibile inserire nomi simbolici.




Servizio Nome del servizio MAC o del gruppo di servizi utilizzato. La casella di riepilogo a discesa offre per la selezione i servizi progettati e i gruppi dei servizi. Nessuna indicazione significa: non viene controllato nessun servizio, la regola vale per tutti i servizi.

Larghezza di banda (Mbit/s)

Possibilità di impostazione per una limitazione banda larga. Un pacchetto passa dal firewall, quando la regola di pass è giusta e la larghezza di banda ammessa per questa regola non è ancora stata superata.

Campo dei valori: 0.001...100 Mbit/s

Log Attivazione e disattivazione del logging per questa regola Commento Spazio per la spiegazione della regola

Analisi della regola con SCALANCE S SCALANCE S analizza le regole del filtro pacchetto nel modo seguente:

● La lista viene analizzata dall'alto verso il basso; in caso di regole contrastanti vale sempre la voce più in alto.

● Nelle regole per la comunicazione in direzione interno->esterno e interno<-esterno, per tutti i telegrammi rilevati in modo non esplicito vale: tutti i telegrammi sono disabilitati, eccetto i telegrammi autorizzati in modo esplicito nella lista.

● Nelle regole per la comunicazione in direzione interno-> IPsec Tunnel e interno<- IPsec Tunnel, per tutti i telegrammi rilevati in modo non esplicito vale: tutti i telegrammi sono autorizzati, eccetto i telegrammi disabilitati in modo esplicito nella lista.

ATTENZIONE

Nella modalità Bridge: Regole IP applicate ai pacchetti IP, regole MAC applicate ai pacchetti Layer 2

Se un modulo si trova nella modalità Bridge, per il firewall possono essere definite sia regole IP, sia regole MAC. La modifica nel firewall è regolato in base al tipo Ethertype del pacchetto.

I pacchetti IP vengono inoltrato o bloccati in base alle regole IP mentre i pacchetti Layer 2 in base alle regole MAC.

Non è possibile filtrare un pacchetto IP utilizzando una regola firewall MAC, ad es. basato su un indirizzo MAC.

Esempi L'esempio per il filtro pacchetto IP nel capitolo 5.4.3 può essere logicamente utilizzato sulle regole del filtro pacchetto MAC.



5.4.9 definizione dei servizi MAC Con l'aiuto delle definizioni del servizio MAC è possibile definire in modo chiaro e compatto le regole del firewall che vengono utilizzate su determinati servizi. Per questo si assegna un nome e si assegnano al nome i parametri del servizio.


Per la progettazione delle regole del filtro pacchetto globali o locali utilizzare semplicemente questo nome.

Finestra di dialogo La finestra di dialogo si apre nel modo seguente:

● Tramite la seguente voce di menu:

Options ▶ MAC Service Definitions...

o

● Dalla scheda "Firewall/MACRules" con il pulsante "MAC Services Definitions."



Parametri per servizi MAC Una definizione di servizio MAC contiene una categoria di parametri MAC specifici per il protocollo:

Tabella 5- 7 Parametri dei servizi MAC

Denominazione Significato / Commento Possibilità di selezione / campi dei valori Name Nome definibile liberamente per il servizio che viene

utilizzato per l'identificazione nella definizione della regola o nel raggruppamento.

Immissione libera

Protocollo Nome del tipo di protocollo: ISO

ISO contrassegna i telegrammi con le seguenti proprietà:

Lengthfield <= 05DC (hex), DSAP= userdefined SSAP= userdefined CTRL= userdefined

SNAP

SNAP contrassegna i telegrammi con le seguenti proprietà:

Lengthfield <= 05DC (hex), DSAP=AA (hex), SSAP=AA (hex), CTRL=03 (hex), OUI=userdefined, OUI-Type=userdefined

ISO SNAP 0x (immissione codice)

DSAP Destination Service Access Point: Indirizzo destinatario LLC

SSAP Source Service Access Point: Indirizzo mittente LLC CTRL LLC Control Field OUI Organizationally Unique Identifier (i primi 3 byte

dell'indirizzo MAC = identificazione costruttore)

OUI-Type Tipo di protocollo/identificazione *) Le indicazioni del protocollo 0800 (hex) e 0806 (hex) non vengono accettate in quanto questi valori valgono per i telegrammi IP e ICMP. Questi telegrammi vengono filtrati con le regole IP.

Impostazioni specifiche per servizi SIMATIC NET Per il filtraggio di servizi SIMATIC NET specifici utilizzare le seguenti impostazioni SNAP:

● DCP (Primary Setup Tool) :

PROFINET

● SiClock :

OUI= 08 00 06 (hex) , OUI-Type= 01 00 (hex)



5.4.10 configurazione di gruppi di servizi

Formazioni di gruppi di servizi È possibile riunire diversi servizi formando gruppi di servizi. In questo modo è possibile realizzare servizi complessi che possono essere utilizzati nelle regole del filtro pacchetti selezionando semplicemente il nome.

Finestre di dialogo / scheda La finestra di dialogo si apre nel modo seguente:

● Tramite la seguente voce di menu:

Options ▶ IP/MAC Service Definitions...

o

● Dalla scheda "Firewall/IP Rules" e "Firewall/MACRules" con il pulsante "IP/MAC Services Definitions.."

Firewall, router e altre proprietà del modulo 5.5 Sincronizzazione dell'ora


5.5 Sincronizzazione dell'ora

Significato Per il controllo della validità dell'ora di un certificato e per il timbro dell'ora di registrazioni log, sul modulo SCALANCE S viene indicata la data e l'ora.

Nota

La sincronizzazione dell'ora si riferisce solo al modulo SCALANCE S e non può essere utilizzata per la sincronizzazione di apparecchi nella rete interna di SCALANCE S.

In alternativa all'indicazione dell'ora Sono progettabili le seguenti alternative:

● Ora locale del PC

Posizioni automatiche dell'ora del modulo con l'ora del PC durante il caricamento di una configurazione.

● NTP Server

Posizioni automatiche e sincronizzazione periodica dell'ora tramite un server NTP (Network Time Protocol).

Apertura della finestra di dialogo per la configurazione della sincronizzazione dell'ora Selezionare il modulo da modificare e selezionare la seguente voce di menu:

Edit ▶ Properties.., scheda "Time synchronization"

Firewall, router e altre proprietà del modulo 5.5 Sincronizzazione dell'ora


Sincronizzazione con un server dell'ora NTP Per la sincronizzazione con un server dell'ora NTP è necessario indicare i seguenti parametri durante la configurazione:

● Indirizzo IP del server NTP

● l'intervallo di update in secondi

ATTENZIONE

Se il server NTP di Scalance S non è raggiungibile tramite un collegamento via tunnel IPsec, è necessario abilitare in modo esplicito i telegrammi del server NTP nel firewall (UDP, Port 123).

Telegrammi dell'ora esterni I telegrammi dell'ora esterni non sono protetti e possono essere falsificati nella rete esterna. Questo può per esempio compromettere l'ora locale nella rete interna nei moduli SCALANCE S.

Di conseguenza i server NTP dovrebbero essere posizionati possibilmente nelle reti interne.

Firewall, router e altre proprietà del modulo 5.6 Creazione di certificati SSL


5.6 Creazione di certificati SSL

Significato Per l'autentificazione della comunicazione tra un apparecchio e SCALANCE S è necessario includere i certificati SSL nella comunicazione online.

Apertura della finestra di dialogo per la gestione dei certificati SSL Selezionare il modulo da modificare e selezionare la seguente voce di menu:

Edit ▶ Properties.., scheda "SSL certificates"

Firewall, router e altre proprietà del modulo 5.7 Modalità Routing


5.7 Modalità Routing

5.7.1 Routing

Significato Se si è attivata la modalità Routing vengono inoltrati telegrammi destinati ad un indirizzo IP esistente nelle relative sotto-reti (interne o esterne). Di conseguenza valgono le regole firewall interessate dalla relativa direzione di trasmissione.

Per il modo operativo è necessario progettare nella finestra indicata qui di seguito un indirizzo IP interno e una maschera di sotto-rete interna per l'indirizzamento del router sulla sotto-rete interna.

Visualizzazione di comando Questa funzione può essere progettata in modo identico nella modalità Standard e nella modalità Advanced.

Attivazione del funzionamento router 1. Selezionare il modulo da modificare e selezionare la seguente voce di menu:



Edit ▶ Properties..., scheda "Routing Mode"

2. Selezionare l'opzione routing "active".

3. Inserire un indirizzo IP interno e una maschera di sotto-rete interna per l'indirizzamento del router sulla sotto-rete interna nelle caselle di immissione ora attive.

5.7.2 NAT/NAPT Routing

Significato Progettando nella finestra di dialogo "Routing Mode" una conversione di indirizzo, si comanda SCALANCE S come router NAT/NAPT. Grazie a questa tecnica gli indirizzi dei nodi nella rete interna non vengono resi noti all'esterno nella rete esterna; i nodi interni sono visibili nella rete esterna solo tramite gli indirizzi IP esterni definiti nella tabella di conversione indirizzi (tabella NAT e tabella NAPT) e quindi protetti da accesso diretto.

● NAT: Network Adress Translation

● NAPT: Network Address Port Translation



Visualizzazione di comando Questa funzione è disponibile nella modalità Advanced.

Commutare il modo operativo per tutte le funzioni descritte in questo capitolo con la seguente voce di menu:


Il modo operativo qui descritto comprende il funzionamento come router standard. Osservare quindi le indicazioni nel capitolo "Routing".

Relazione tra router NAT/NAPT e firewall Per entrambe le direzioni vale che i telegrammi attraversano dapprima la conversione di indirizzo nel router NAT/NAPT e successivamente il firewall. Le impostazioni per il router NAT/NAPT e le regole firewall devono essere concordi in modo che i telegrammi possano attraversare il firewall con l'indirizzo convertito.

Firewall e router NAT/NAPT supportano il dispositivo "Stateful Packet Inspection". Di conseguenza i telegrammi di risposta possono attraversare il router NAT/NAPT e il firewall, senza che i relativi indirizzi debbano essere ulteriormente acquisiti nella regola firewall e nella conversione di indirizzo NAT/NAPT.

SCALANCE S

Osservare gli esempi nei seguenti capitoli.

Limitazioni Nell'elenco qui descritto viene eseguita una conversione di indirizzo definita in modo statico per i nodi sulla rete interna (sotto-rete).



Modificare la finestra di dialogo per l'attivazione del funzionamento router NAT/NAPT 1. Selezionare il modulo da modificare e selezionare la seguente voce di menu:

Edit ▶ Properties..,, scheda "Routing Mode"

2. A seconda dell'esigenza, attivare una conversione di indirizzo in base a NAT(Network Adress Translation) o NAPT (Network Address Port Translation).

3. Progettare la conversione di indirizzo in base alle seguenti indicazioni.

Campo di immissione "NAT" (Network Adress Translation) In questo caso vale: Indirizzo = indirizzo IP

Tabella 5- 8 Opzioni NAT

Casella opzione Significato NAT active Il campo di immissione per NAT viene attivato.

Le conversioni di indirizzo NAT vengono attivate solo con l'opzione e le registrazioni descritte di seguito nell'elenco di conversione di indirizzi. Inoltre è necessario configurare adeguatamente il firewall (vedere esempi).

Allow Internal->External for all user

Selezionando questa opzione, per tutti i telegrammi dall'interno all'esterno viene eseguita una conversione dell'indirizzo IP interno su un indirizzo IP modulo esterno e una anche conversione del numero di porta indicato dal modulo. Questo comportamento è visibile nella riga evidenziata in basso nella tabella NAT. Qui con un simbolo "*" nella colonna "Internal IP address" viene visualizzato che vengono convertiti tutti i telegrammi direzionati dall'interno all'esterno. Osservazione: A causa di questo effetto sull'elenco delle conversioni di indirizzo, questa opzione è assegnata al campo di immissione NAT nonostante l'assegnazione supplementare di un numero di porta.



Tabella 5- 9 Tabella NAT

Parametri Significato / Commento Possibilità di selezione / campi dei valori

external IP address Per la direzione di telegramma "Interno → esterno": nuovo indirizzo IP assegnato

Per la direzione di telegramma "Esterno → interno": indirizzo IP conosciuto

Internal IP address Per la direzione di telegramma "Esterno → interno": nuovo indirizzo IP assegnato

Per la direzione di telegramma "Interno → esterno": indirizzo IP conosciuto


Direzione Assegnare qui la direzione del telegramma. Effetto nell'esempio "Interno → esterno": Nei telegrammi provenienti dalla sotto-rete interna viene controllato l'indirizzo IP interno indicato e i telegrammi vengono inoltrati alla rete esterna con l'indirizzo IP esterno indicato.

Internal → External Esterno → interno Bidirezionale

Campo di immissione "NAPT" (Network Address Port Translation) In questo caso vale: Indirizzo = indirizzo IP + numero di porta

Tabella 5- 10 Opzioni NAPT

Casella opzione Significato NAPT active Il campo di immissione per NAPT viene attivato.

Le conversioni di indirizzo NAPT diventano efficaci solo con le registrazioni nell'elenco di conversione di indirizzi. Inoltre è necessario configurare adeguatamente il firewall (vedere esempi).

external IP address Visualizzazione dell'indirizzo IP del modulo SCALANCE S che viene utilizzato dai nodi sulla rete esterna come indirizzo router.



Tabella 5- 11 Tabella NAPT

Parametri Significato / Commento Possibilità di selezione / campi dei valori

Porta esterna Un nodo nella rete esterna può rispondere ad un nodo nella sotto-rete interna o inviare un telegramma utilizzando questo numero di porta.

Porta o aree della porta. Esempio per l'inserimento di un'area della porta: 78:99

Internal IP address Indirizzo IP del nodo interrogato sulla sotto-rete interna.


Porta interna Il numero di porta di un servizio nel nodo interrogato sulla sotto-rete interna.

Porta (nessuna area di porta)

Controllo della coerenza - vanno osservate queste regole Per l'assegnazione di indirizzo osservare le seguenti regole per ottenere registrazioni coerenti:

Controllo eseguito Controllo / Regola

locale in tutto il progettoL'ID della sotto-rete interna deve essere diversa dall'ID della sotto-rete esterna. x Gli indirizzi IP interni non devono essere identici agli indirizzi IP del modulo. x Riprendere la parte definita per l'ID di rete dalla maschera della sotto-rete. Nell'indirizzo IP esterno deve essere ripresa la parte di indirizzo determinata

dalla maschera di sotto-rete esterna dall'indirizzo IP SCALANCE S esterno. Nell'indirizzo IP interno deve essere ripresa la parte di indirizzo determinata

dalla maschera di sotto-rete interna dall'indirizzo IP SCALANCE S interno.

x

Un indirizzo IP, che viene utilizzato nell'elenco di conversione di indirizzi NAT/NAPT, non deve essere un indirizzo Multicast e un indirizzo Broadcast.

x

Il router di default deve trovarsi in una delle sotto-reti di SCALANCE S, cioè deve essere corrispondere all'indirizzo IP esterno o a quello interno.

x

Le porte esterne assegnate per la conversione NAPT si trova nel campo > 0 e <= 65535. Port123 (NTP), 443 (HTTPS), 514 (Syslog) e 500+4500 (IPsec; solo per S612 e S613) sono escluse.

x

L'indirizzo IP esterno di SCALANCE S deve essere utilizzato nella tabella NAT solo per la direzione "interno → esterno".

x

L'indirizzo IP interno di SCALANCE S non deve essere utilizzato nella tabella NAT e nella tabella NAPT.

x

Controllo duplicato nella tabella NAT Un indirizzo IP esterno, che viene utilizzato con direzione "esterno → interno" o "bidirezionale" deve comparire una sola volta nella tabella NAT.

x



Controllo eseguito Controllo / Regola

locale in tutto il progettoControllo duplicato nella tabella NAPT Un numero di porta esterno deve essere inserito una sola volta. Poiché viene

sempre utilizzato l'indirizzo IP di SCALANCE S come indirizzo IP esterno, in caso di impiego multiplo non sarebbe garantita l'univocità.

I numeri o le aree delle porte esterne non devono sovrapporsi.

x

Non appena è stata attivata la modalità Routing, a SCALANCE S devono essere assegnati i secondi indirizzi (IP/sotto-rete).

x

Le porte NAPT interne possono trovarsi nel campo > 0 e <= 65535. x

Dopo la conclusione delle immissioni eseguire un controllo della coerenza.

Selezionare quindi la seguente voce di menu:


5.7.3 NAT/NAPT Routing - Esempi per la configurazione parte 1

Informazioni generali In questo capitolo si trovano i seguenti esempi per la configurazione del router NAT/NAPT:

● Esempio 1: Conversione di indirizzi NAT "esterno → interno"

● Esempio 2: Conversione di indirizzi NAT "interno → esterno"

● Esempio 3: Conversione di indirizzi NAT "bidirezionale"

● Esempio 4: Conversione di indirizzi NAPT



Progettazione Nella seguente progettazione di routing si trovano assegnazioni di indirizzi secondo la conversione di indirizzi NAT e NAPT:

Descrizione



● Esempio 1: Conversione di indirizzi NAT "esterno → interno"

Un nodo nella rete esterna può inviare al nodo con l'indirizzo IP interno 192.168.12.3 un telegramma nella sotto-rete interna utilizzando l'indirizzo IP esterno 192.168.10.123 come indirizzo di destinazione.

● Esempio 2: Conversione di indirizzi NAT "interno → esterno"

I telegrammi di un nodo interno con l'indirizzo IP interno 192.168.12.3 vengono inoltrati alla sotto-rete esterna con l'indirizzo IP esterno 192.168.10.124 come indirizzo sorgente. Nell'esempio il firewall viene impostato in modo che i telegrammi con l'indirizzo IP sorgente 192.168.10.124 vengano autorizzati dall'interno all'esterno e che i nodi con indirizzo IP 192.168.10.11 vengano raggiunti.

● Esempio 3: Conversione di indirizzi NAT "bidirezionale"

In questo esempio la conversione di indirizzo viene eseguita nel modo seguente per telegrammi in arrivo sia internamente, sia esternamente:

– Un nodo nella rete esterna può inviare al nodo con l'indirizzo IP interno 192.168.12.4 un telegramma nella sotto-rete interna utilizzando l'indirizzo IP esterno 192.168.10.101 come indirizzo di destinazione.

– I telegrammi di un nodo interno con l'indirizzo IP interno 192.168.12.4 vengono inoltrati alla sotto-rete esterna con l'indirizzo IP esterno 192.168.10.101 come indirizzo sorgente. Il firewall è impostato in modo che i telegrammi con indirizzo IP sorgente 192.168.10.101 siano ammessi dall'interno all'esterno.

● Esempio 4: Conversione di indirizzi NAPT

Le conversioni di indirizzo vengono eseguite secondo NAPT in modo che vengano assegnati rispettivamente altri numeri di porta. Vengono controllati tutti gli indirizzi IP di destinazione e i numeri di porta di destinazione di tutti i telegrammi TCP UDP inviati alla rete esterna.

– Un nodo nella rete esterna può inviare al nodo con l'indirizzo IP interno 192.168.12.4 e numero di porta 345 un telegramma nella sotto-rete interna utilizzando come indirizzo di destinazione l'indirizzo IP esterno del modulo 192.168.10.1 e il numero di porta esterno 8000.

5.7.4 NAT/NAPT Routing - Esempi per la configurazione parte 2

Informazioni generali In questo capitolo si trovano i seguenti esempi per la configurazione del router NAT/NAPT:

● Esempio 1: Autorizza tutti i nodi interni alla comunicazione esterna

● Esempio 2: Autorizza anche telegrammi indirizzati dall'esterno all'interno.



Progettazione Nella seguente progettazione di routing si trovano assegnazioni di indirizzi secondo la conversione di indirizzi NAT:

Firewall, router e altre proprietà del modulo 5.8 Server DHCP


Descrizione

Esempio 1 - Autorizza tutti i nodi interni alla comunicazione esterna Nel campo della finestra di dialogo "NAT" è attivata la casella opzione "Allow Internal->External for all user".

In questo modo è possibile la comunicazione dall'interno verso l'esterno. La conversione di indirizzi viene qui eseguita in modo che tutti gli indirizzi interni vengano convertiti nell'indirizzo IP esterno di SCALANCE S e rispettivamente di un numero di porta assegnato dinamicamente.

In questo modo non è più rilevante un'indicazione di direzione nell'elenco di conversione di indirizzi NAT. Tutte le altre indicazioni si riferiscono alla direzione di comunicazione dall'esterno all'interno.

Inoltre il firewall è impostato in modo che i telegrammi possano transitare dall'interno all'esterno.

Esempio 2 - Autorizza anche telegrammi indirizzati dall'esterno all'interno. Per consentire la comunicazione dall'esterno all'interno oltre all'esempio 1, vanno inserite le indicazioni nell'elenco di conversione di indirizzi NAT o NAPT. L'inserimento nell'esempio indica che i telegrammi sul nodo con l'indirizzo IP 192.168.10.102 vengono convertiti nell'indirizzo IP interno 192.168.12.3.

Il firewall deve essere rispettivamente impostato. Poiché dapprima viene eseguita la conversione NAT/NAPT e solo nella successiva operazione viene controllato l'indirizzo convertito nel firewall, nell'esempio è inserito l'indirizzo IP interno come indirizzo IP di destinazione nel firewall.

5.8 Server DHCP

Informazioni generali Sulla rete interna SCALANCE S può essere utilizzato come server DHCP. In questo modo è possibile assegnare automaticamente gli indirizzi IP agli apparecchi collegati alla rete interna.

Gli indirizzi IP vengono assegnati dinamicamente da una banda di indirizzi indicata oppure viene assegnato un determinato indirizzo IP di un determinato apparecchio.

Commutazione nella modalità Advanced La configurazione come server DHCP presuppone la visualizzazione "Advanced Mode" nel Security Configuration Tool. Commutare il modo operativo con la seguente voce di menu:




Requisito richiesto Sulla rete interna l'apparecchio deve essere configurato in modo che esso rilevi l'indirizzo IP da un server DHCP.

A seconda del modo operativo, SCALANCE S trasmette ai nodi nella sotto-rete un indirizzo IP router oppure è necessario comunicare ai nodi nella sotto-rete un indirizzo IP router.

● L'indirizzo IP del router viene trasmesso

Nei seguenti casi dal protocollo DHCP di SCALANCE S viene trasmesso ai nodi un indirizzo IP del router:

– SCALANCE S è configurato per la modalità router;

SCALANCE S trasmette in questo caso il proprio indirizzo IP come indirizzo IP del router

– SCALANCE S non è configurato per la modalità Router, ma nella configurazione di SCALANCE S è indicato un router di default;

SCALANCE S trasmette in questo caso l'indirizzo IP router di default come indirizzo IP del router

● L'indirizzo IP del router non viene trasmesso

Nei seguenti casi inserire manualmente l'indirizzo IP router nel nodo:

– SCALANCE S non è configurato per la modalità router;

– Nella configurazione di SCALANCE S non è indicato nessun router di default.



Varianti Per la configurazione esistono le due seguenti possibilità:

● Assegnazione statica dell'indirizzo

Agli apparecchi con un determinato indirizzo MAC o ID client vengono assegnati rispettivamente indirizzi IP preimpostati. Inserire quindi questi apparecchi nell'elenco di indirizzi nel campo di immissione "Indirizzi IP statici".

● Assegnazione dinamica dell'indirizzo

Gli apparecchi il cui indirizzo MAC o ID client non sono stati indicati in modo esplicito ottengono un indirizzo IP qualsiasi da una banda di indirizzi indicata. Questa banda di indirizzi si imposta nel campo di immissione "indirizzi IP dinamici".

ATTENZIONE

Assegnazione dinamica dell'indirizzo - Comportamento dopo l'interruzione della tensione di alimentazione

Fare attenzione che gli indirizzi IP assegnati dinamicamente non vengono salvati se la tensione di alimentazione viene interrotta. Al ripristino della tensione di alimentazione i nodi devono richiedere di nuovo un indirizzo IP.

Di conseguenza è necessario prevedere l'assegnazione dinamica di indirizzo solo per i seguenti nodi: nodi che vengono usati temporalmente nella sotto-rete (come per esempio

apparecchi di service); nodi che trasmettono al server DHCP un indirizzo IP assegnato una volta come

"indirizzo primario" ad una nuova richiesta (come per esempio stazioni PC).

Per i nodi in esercizio permanente l'assegnazione statica dell'indirizzo deve essere eseguita tramite indicazione di un'ID client (raccomandata per CP S7 a causa della sostituzione semplice dell'unità) o dell'indirizzo MAC

Sono supportati i nomi simbolici Nella funzione qui descritta è possibile inserire indirizzi IP o indirizzi MAC anche come nomi simbolici.

Controllo della coerenza - vanno osservate queste regole Per l'inserimento rispettare le regole riportate qui di seguito.


locale In tutto il progetto/modulo

Gli indirizzi IP assegnati nell'elenco di indirizzi nel campo di immissione "Static IP adresses" non devono trovarsi nel campo degli indirizzi IP dinamici.

x

I nomi simbolici devono disporre di un'assegnazione di indirizzo numerica. Se si reinserisce un nome simbolico è necessario eseguire l'assegnazione di indirizzo nella finestra di dialogo "Symbolic Names".

x




locale In tutto il progetto/modulo

Gli indirizzi IP, gli indirizzi MAC e gli ID client devono esistere una sola volta nella tabella "Static IP adresses" (riferiti al modulo SCALANCE S).

x

Per gli indirizzi IP assegnati staticamente è necessario inserire l'indirizzo MAC o l'ID client (nome computer).

x

L'ID client è una stringa di caratteri con max. 63 caratteri. Posso essere utilizzati solo i seguenti caratteri: a-z, A-Z, 0-9 e - (trattino). Avvertenza: In SIMATIC S7 è possibile assegnare un'ID client agli apparecchi sull'interfaccia Ethernet per ottenere un indirizzo IP tramite DHCP. Per i PC il procedimento dipende dal sistema operativo utilizzato; in questo caso si raccomanda di utilizzare per l'assegnazione l'indirizzo MAC.

x

Per gli indirizzi IP assegnati staticamente è necessario indicare l'indirizzo IP. x I seguenti indirizzi IP non devono trovarsi nel campo della banda di indirizzo IP libera (indirizzi IP dinamici): tutti gli indirizzo Router nella scheda "Network" NTP server Syslog server Default router SCALANCE S adress(es)

x

SCALANCE S supporta DHCP sull'interfaccia verso la sotto-rete interna. Da questo comportamento di esercizio dello SCALANCE S risultano inoltre i seguenti requisiti per gli indirizzi IP nel campo della banda di indirizzi IP libera (indirizzi IP dinamici): Funzionamento in reti piatte

Il campo della banda di indirizzi IP libera deve trovarsi nella rete definita da SCALANCE S.

Router operation

Il campo della banda di indirizzi IP libera deve trovarsi nella sotto-rete interna definita da SCALANCE S.

x

La banda di indirizzi IP libera deve essere indicata completamente inserendo l'indirizzi IP iniziale e l'indirizzo IP finale. L'indirizzo IP finale deve essere maggiore dell'indirizzo IP iniziale.

x

Gli indirizzi IP che si inseriscono nel campo di immissione "Static IP adresses" devono trovarsi nel campo di indirizzo della sotto-rete interna del modulo SCALANCE S.

x

Legenda: 1) Osservare le descrizioni nel capitolo "Controlli delle coerenze".




F1

Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6

Questo capitolo tratta il collegamento di sotto-reti IP protette da SCALANCE S con una Virtual Private Network tramite Drag and Drop.

Come già descritto nel capitolo 5 per le proprietà del modulo, anche in questo caso è possibile consentire impostazioni standard per utilizzare una comunicazione sicura nelle reti interne.

Altre informazioni Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea.


Vedere anche Funzioni online - Test, diagnostica e logging (Pagina 223)

6.1 VPN con SCALANCE S

Collegamento protetto tramite rete non protetta Per le reti interne protette da SCALANCE S, i tunnel IPsec mettono a disposizione un collegamento di dati protetto attraverso la rete esterna non sicura.

Lo scambio dei dati degli apparecchi tramite tunnel IPsec nella VPN ha quindi le seguenti proprietà:

● Riservatezza

I dati scambiati sono protetti dall'ascolto;

● Integrità

I dati scambiati sono protetti dalla falsificazione;

● Autenticità

Il tunnel può essere realizzato solo da chi ha l'autorizzazione.

Per la realizzazione dei tunnel SCALANCE S utilizza il protocollo IPsec (modalità tunnel di IPsec).

Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.1 VPN con SCALANCE S


External

Internal

External

Internal

External

Internal

External

Internal

0 1

HMI

SCALANCE S

OP 270

SCALANCE S SCALANCE S

IE/PBLinkET 200X

S7-400 S7-300

Collegamenti tramite tunnel in atto tra moduli dello stesso gruppo (VPN) In SCALANCE S le proprietà di una VPN vengono riunite in un gruppo per tutti i tunnel IPsec.

I tunnel IPsec vengono realizzati automaticamente tra tutti i moduli SCALANCE S e moduli SOFTNET Security Client appartenenti allo stesso gruppo.

Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.1 VPN con SCALANCE S


I moduli SCALANCE S in un progetto possono appartenere parallelamente a diversi gruppi.

ATTENZIONE Se viene modificato il nome di un modulo SCALANCE S, è necessario riconfigurare tutti i moduli SCALANCE S dei gruppi dei quali fa parte il modulo SCALANCE S modificato (voce di menu Transfer ▶ To All Modules...).

Se viene modificato il nome di un gruppo, è necessario riconfigurare tutti i moduli SCALANCE S di questo gruppo (voce di menu Transfer ▶ To All Modules...).

ATTENZIONE I telegrammi layer 2 vengono trasmessi via tunnel se tra due moduli SCALANCE S non si trovano router.

In generale vale quanto segue: i telegrammi non-IP vengono trasmessi attraverso il tunnel solo se gli apparecchi, che inviano e ricevono telegrammi, potevano comunicare già prima senza l'impiego di SCALANCE S.

La possibilità o meno da parte dei nodi della rete di comunicare prima dell'impiego di SCALANCE S viene definita in base alla rete IP nella quale si trovano gli apparecchi SCALANCE S. Se gli SCALANCE S sono nella stessa sotto-rete IP, si parte dal presupposto che gli apparecchi terminali nelle reti protette di SCALANCE S potessero comunicare anche prima dell'impiego di SCALANCE S con telegrammi non-IP. I telegrammi non-IP vengono quindi trasmessi via tunnel.

Metodo di autentificazione Il metodo di autentificazione viene definito all'interno di un gruppo (di una VPN) e determina il tipo di autentificazione utilizzato.

Vengono supportati metodi di autentificazione basati su codifica o basati su certificato:

Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.2 Gruppi


● Preshared Keys

La Preshared Key viene ripartita a tutti i moduli che si trovano in un gruppo.

Per questa operazione inserire dapprima una password nella finestra di dialogo "Group Proprerties" nella casella "Preshared Key".

● Certificato

L'autorizzazione basata sul certificato "Certificate" è l'impostazione di default, attivata anche nel Standard Mode. Il comportamento è il seguente:

– Durante la creazione di un gruppo viene generato automaticamente un certificato del gruppo (certificato del gruppo = certificato CA).

– Ogni SCALANCE S, che si trova nel gruppo, riceve un certificato contrassegnato con il codice del CA del gruppo.

Tutti i certificati sono basati sullo standard ITU X.509v3 (ITU, International Telecommunications Union).

I certificati vengono generati da una posizione di certificazione contenuta in un Security Configuration Tool.

ATTENZIONE

Limitazioni in caso di funzionamento VLAN

All'interno di un tunnel VPN realizzato con SCALANCE S non viene trasmesso nessun VLAN.

Motivo: le contrassegnature VLAN contenute nei telegrammi (VLAN Tags) vengono perse nei telegrammi Unicast durante il passaggio di SCALANCE S, in quanto per la trasmissione dei telegrammi IP viene utilizzato IPsec. In un tunnel IPSec vengono trasmessi solo telegrammi IP (nessun pacchetto Ethernet), di conseguenza viene perso il VLAN Tagging.

Come standard, con IPsec non è possibile trasmettere telegrammi Broadcast o Mulitcast. In SCALANCE S gli IP Broadcast vengono trasmessi "impacchettati" esattamente come pacchetti MAC nell'UDP, completi di Ethernet. Di conseguenza in questi pacchetti viene mantenuto anche il VLAN Tagging.

6.2 Gruppi

6.2.1 Creazione di gruppi e assegnazione di moduli

Per configurare una VPN procedere nel modo seguente Creare con la voce di menu

Insert ▶ Group

un gruppo.



Assegnare al gruppo i moduli SCALANCE S e i moduli SOFTNET Security Client che devono appartenere ad una rete interna. Tirare quindi con il mouse il modulo sul gruppo desiderato (Drag and Drop).

Progettazione delle proprietà Come per la configurazione dei moduli, anche per la configurazione dei gruppi le due visualizzazioni di comando selezionabili hanno effetto nel Security Configuration Tool:

(voce di menu View ▶ Advanced Mode)


Nello Standard Mode lasciare le preimpostazioni eseguite dal sistema. Anche come non esperti IT è possibile configurare tunnel IPsec e utilizzare una comunicazione di dati sicura nelle proprie reti interne.

● Advanced Mode

L'Advanced Mode offre le possibilità di impostazioni per la configurazione specifica della comunicazione via tunnel.

Nota Parametrizzazione di MD 740 / MD 741 e di altri client VPN

Per la parametrizzazione di MD 740 / MD 741 o altri client VPN è necessario configurare le proprietà VPN specifiche del modulo nella modalità Advanced.



Visualizzazione di tutti i gruppi progettati con relative proprietà Selezionare nell'area di navigazione "All Modules"

Le seguenti proprietà dei gruppi vengono visualizzate per colonne:

Tabella 6- 1 Proprietà dei gruppi

Proprietà/colonna Significato Commento/selezione Group name Nome del gruppo selezionabile liberamente Authentification Tipo di autentificazione • Preshared Key

• Certificato Group membership until... Durata dei certificati vedere in basso Comment Commento selezionabile liberamente

Creazione della durata dei certificati Aprire la finestra di dialogo, nella quale è possibile inserire la data di scadenza del certificato, nel modo seguente:

● facendo doppio clic su un modulo della finestra delle proprietà o con il tasto destro del mouse tramite la voce di menu Properties.

ATTENZIONE

Dopo la scadenza del certificato la comunicazione via tunnel viene conclusa.

6.2.2 Tipi di moduli all'interno di un gruppo

Tipi di modulo I seguenti tipi di modulo possono essere progettati in gruppi con il Security Configuration Tool:

● SCALANCE S612

● SCALANCE S613

Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.3 Configurazione del tunnel nella modalità Standard


● SOFTNET Security Client

● MD 74x (sta per MD740-1 o MD741-1)

Regole per la formazione di gruppi Osservare le seguenti regole se si vogliono formare gruppi VPN:

● Il primo modulo assegnato in un gruppo VPN determina i moduli aggiuntivi che possono essere inseriti.

Se il primo apparecchio aggiunto è in modalità Routing, possono essere aggiunti solo moduli con Routing attivato. Se il primo apparecchio è in modalità Bridge, possono essere aggiunti solo moduli in modalità Bridge. Se deve essere modificata la "Modalità" di un gruppo VPN è necessario rimuovere e riaggiungere tutti i moduli contenuti nel gruppo.

● Non è possibile aggiungere un modulo MD 740-1/MD 741-1 ad un gruppo VPN che contiene un modulo in modalità Bridge.

Rilevare dalla seguente tabella quali modulo possono essere racchiusi insieme in un gruppo VPN:

Modo operativo modulo ... Modulo

... in modalità Bridge ... in modalità Routing S612 V1 x - S612 V2 *) x x S613 V1 x - S613 V2 *) x x SOFTNET Security Client 2005 x - SOFTNET Security Client 2008 x x SOFTNET Security Client V3.0 x x MD 74x - x

6.3 Configurazione del tunnel nella modalità Standard

Proprietà del gruppo Nella modalità Standard valgono le seguenti proprietà:

● Tutti i parametri del tunnel IPsec e il metodo di autentificazione sono impostati in modo fisso.

Nella finestra di dialogo delle proprietà per i gruppi è possibile visualizzare i valori standard impostati.

● La modalità di programmazione è attivata per tutti i moduli.

Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.4 Configurazione del tunnel in modalità Advanced


Apertura della finestra di dialogo per la visualizzazione dei valori standard Con il gruppo evidenziato, selezionare la seguente voce di menu:


La visualizzazione è identica alla finestra di dialogo nell'Advanced Mode; i valori non possono tuttavia essere modificati.

6.4 Configurazione del tunnel in modalità Advanced L'Advanced Mode offre le possibilità di impostazioni per la configurazione specifica della comunicazione via tunnel.

Commutazione nella modalità Advanced Commutare il modo operativo per tutte le funzioni descritte in questo capitolo con la seguente voce di menu:


Nota

Non è più possibile annullare una commutazione nella modalità Advanced per il progetto attuale,

oppure si esce dal progetto senza salvare e lo si riapre.

6.4.1 Progettazione delle proprietà dei gruppi

Proprietà del gruppo Nella visualizzazione di comando "Advanced Mode" possono essere impostate le seguenti proprietà dei gruppi:

● Metodo di autentificazione

● Impostazioni IKE (campo finestra di dialogo: Advanced Settings Phase 1)

● Impostazioni IPsec (campo finestra di dialogo: Advanced Settings Phase 2)

ATTENZIONE

Per poter impostare questi parametri è necessario conoscere IPsec.

Se non si eseguono o modificano impostazioni, valgono le impostazioni predefinite della modalità Standard.



Apertura della finestra di dialogo per l'inserimento delle proprietà dei gruppi ● Con il gruppo evidenziato, selezionare la seguente voce di menu:


Parametri per impostazioni ampliate Phase 1 - Impostazioni IKE Phase 1: Scambio delle codifiche (IKE, Internet Key Exchange):

Qui è possibile impostare i parametri per il protocollo del management delle codifiche IPsec. Lo scambio delle codifiche viene eseguito con il metodo standartizzato IKE.

È possibile impostare i seguenti parametri di protocollo IKE,



Tabella 6- 2 Parametri di protocollo IKE (gruppo di parametri "Advanced Settings Phase 1'" nella finestra di dialogo)

Parametri Valori/selezione Commento IKE Mode Main Mode

Aggressive Mode

Metodo di scambio codifiche La differenza tra Main Mode e Aggressive Mode è la "identity protection" che viene utilizzata nel Main Mode. L'identità viene trasmessa codificata nel Main Mode, mentre nell'Aggressive Mode non viene trasmessa.

Fase 1 gruppo DH Phase 1 DH Group

Group 1 Group 2 Group 5

Accordo di codifica Diffie-Hellman Gruppi Diffie-Hellman (algoritmi crittografici selezionabili nel protocollo di scambio codifiche Oakley)

Tipo di durata SA SA Lifetype

Time Phase 1 Security Association (SA) Limitazione di tempo (min., default: 2500000)

La durata utile per il materiale attuale codificato viene limitata a tempo. Allo scadere del tempo il materiale codificato viene di nuovo concordato.

Durata SA SA Life

Valore numerico ("Time"→Min., ) Campo di valori: 1440...2 500 000

Fase 1 codifica Phase 1 Encryption

DES 3DES-168 AES-128 AES-192 AES-256

Algoritmo codifica Data Encryption Standard (lunghezza codice 56 bit,

modalità CBC) DES triplo (lunghezza codice 168 bit, modalità CBC) Advanced Encryption Standard (lunghezza codice 128

bit, 192 bit o 256 bit, modalità CBC)

Fase 1 autentificazione Phase 1 Authentication

MD5 SHA1

Algoritmo di autentificazione Message Digest Version 5 Secure Hash Algorithm 1

Parametri per impostazioni ampliate fase 2 - Impostazioni IPsec Fase 2: Scambio dei dati (ESP, Encapsulating Security Payload)

Qui è possibile impostare i parametri per il protocollo del management dei dati IPsec. Lo scambio dei dati viene eseguito con il protocollo di sicurezza ESP.

È possibile impostare i seguenti parametri di protocollo ESP:



Tabella 6- 3 Parametri di protocollo IPsec (gruppo di parametri "Advanced Settings Phase 2'" nella finestra di dialogo)

Parametri Valori/selezione Commento Tipo di durata SA SA Lifetype

Time Phase 2 Security Association (SA) Limitazione di tempo (min., default: 2880)

La durata utile per il materiale attuale codificato viene limitata a tempo. Allo scadere del tempo il materiale codificato viene di nuovo concordato.

Limit Volume di dati limitato (mByte, default 4000)

Durata SA SA Life

Valore numerico ("Time"→Min., "Limit" → mByte) Campo di valori (Time): 1440...16 666 666 Campo di valori (Limit): 2000...500 000


3DES-168 DES AES-128

Algoritmo codifica DES triplo specifico (lunghezza codice 168 bit, modalità

CBC) Data Encryption Standard (lunghezza codice 56 bit,

modalità CBC) Advanced Encrypting Standard (lunghezza codice 128

bit, modalità CBC)


MD5 SHA1

Algoritmo di autentificazione Message Digest Version 5 Secure Hash Algorithm 1

Perfect Forward Secrecy On Off

Prima di ogni nuovo accordo di un IPsec-SA avviene un nuovo accordo delle codifiche con l'aiuto del metodo Diffie-Hellman.

6.4.2 Assunzione di SCALANCE S nel gruppo configurato Le proprietà dei gruppi progettate, per gli SCALANCE S nuovi, inseriti in un gruppo esistente, vengono riprese.

Procedimento Indipendentemente dal fatto che si siano modificate o meno le proprietà dei gruppi, è necessario procedere nel modo seguente:

● Caso a: se non si sono modificare le proprietà del gruppo

1. Aggiungere i nuovi SCALANCE S del gruppo.

2. Caricare la configurazione nel nuovo modulo.

● Caso b:se si sono modificate le proprietà del gruppo

1. Aggiungere i nuovi SCALANCE S del gruppo.

2. Caricare la configurazione in tutti i moduli che appartengono al gruppo.



Vantaggio Gli SCALANCE S già esistenti e messi in servizio non devono essere riprogettati e caricati. Non risulta nessun influsso o interruzione della comunicazione in atto.

6.4.3 SOFTNET Security Client

Impostazioni compatibili per SOFTNET Security Client Se si includono nel gruppo progettato moduli del tipo SOFTNET Security Client, osservare le seguenti particolarità:

Parametri Impostazione / particolarità Fase 1 gruppo DH Phase 1 DH Group

DH Group1 e 5 può essere utilizzato solo per la comunicazione tra i moduli SCALANCE S.


Nessun DES, AES-128 e AES-192 possibile.


Nessun MD5 possibile.

Fase 1 durata SA Fase 1 lifetime SA

Campo di valori: 1440...2879 (solo SOFTNET Security Client V3.0)

Tipo di durata SA SA Lifetype

Deve essere selezionato identico per entrambe le fasi.


nessun AES-128 possibile.

Fase 2 durata SA Fase 2 lifetime SA

Campo di valori: 1440...2879 (solo SOFTNET Security Client V3.0)


Nessun MD5 possibile.



ATTENZIONE Le impostazioni dei parametri per una configurazione SOFTNET Security Client devono corrispondere ai suggerimenti predefiniti dei moduli SCALANCE S. Poiché un SOFTNET Security Client si trova principalmente in impiego mobile e rileva il suo indirizzo IP dinamicamente, SCALANCE S può consentire un collegamento solo tramite questi suggerimenti predefiniti.

Assicurarsi che la propria fase 1 corrisponda alle impostazione di una delle due seguenti proposte per poter realizzare un tunnel con uno SCALANCE S.

Se nel Security Configuration Tool si utilizzano altre impostazioni, tentando di esportare la configurazione il controllo della coerenza riconosce un errore di coerenza. La configurazione per il SOFTNET Security Client non può quindi essere esportata fino a quando le impostazioni non sono state adattate in modo corrispondente.

Authentification Modalità

IKE Gruppo DH Codifica Hash Durata (min)

Certificato Mainmode Gruppo DH 2 3DES-168 SHA1 1440…2879 Preshared Key Mainmode Gruppo DH 2 3DES-168 SHA1 1440…2879 Certificato Mainmode Gruppo DH 2 AES256 SHA1 1440…2879

6.4.4 Configurazione delle proprietà VPN specifiche per il modulo Per lo scambio dei dati tramite IPsec-Tunnel nella VPN è possibile configurare le seguenti proprietà specifiche per il modulo:

● Dead Peer Detection

● Autorizzazione per l'inizializzazione della realizzazione del collegamento

● Indirizzo IP pubblico per la comunicazione tramite Internet Gateway

Apertura della finestra di dialogo per la configurazione delle proprietà del modulo VPN Selezionare il modulo da modificare e selezionare la seguente voce di menu nella modalità Advanced:

Edit ▶ Properties..., scheda "VPN"

Nota

La scheda "VPN" può essere selezionata solo se il modulo da configurare si trova in un gruppo VPN.



Dead Peer Detection (DPD) Con il DPD attivato i modulo scambiano messaggi supplementari ad intervalli di tempo impostabili. In questo modo è possibile riconoscere se sussiste ancora un collegamento in VPN. Se il collegamento non sussiste più, la "Security Associations" (SA) viene terminata prima. Con DPD disattivato, la "Security Association" (SA) viene conclusa allo scadere della durata dell'SA (impostazione della durata SA: vedere la configurazione delle proprietà dei gruppi).

Come standard DPD è disattivato.

Autorizzazione per l'inizializzazione della realizzazione del collegamento L'autorizzazione per l'inizializzazione di realizzazione del collegamento VPN può essere limitato a determinati moduli nella VPN.

Per l'impostazione del parametro qui descritto è indicativa l'assegnazione dell'indirizzo IP per il Gateway del modulo da progettare. Con un indirizzo IP statico, il modulo può essere trovato dal punto opposto. Con un indirizzo IP dinamico, e quindi sempre diverso, il punto opposto non può realizzare un collegamento.



Modalità Significato Avvio del collegamento senza punto opposto (standard)

Con questa opzione il modulo è "attivo", cioè tenta di realizzare un collegamento con il punto opposto. Questa opzione è raccomandata se viene assegnato un indirizzo IP dinamico dal proprio provider per il gateway del modulo SCALANCE S da progettare. L'indirizzamento del punto opposto viene eseguito tramite il relativo indirizzo IP WAN progettato o il relativo indirizzo IP modulo esterno.

Attesa del punto opposto Con questa opzione il modulo è "passivo", cioè attende fino alla realizzazione del collegamento del punto opposto. Questa opzione è raccomandata se viene assegnato un indirizzo IP statico dal proprio provider per il gateway del modulo da progettare. In questo modo si ottiene che i tentativi di realizzazione del collegamento vengano eseguito solo dal punto opposto.

ATTENZIONE Non impostare tutti i moduli di un gruppo VPN su "Attesa del punto opposto", in quanto altrimenti non viene realizzato nessun collegamento.

Indirizzo IP WAN - Indirizzi IP dei moduli e Gateway in una VPN tramite Internet Nel funzionamento di una VPN con IPsec Tunnel tramite Internet sono normalmente necessari indirizzi IP supplementari per gli Internet Gateway come per esempio il DSL Router. I singoli moduli SCALANCE S o i moduli MD 740-1 / MD 741-1 devono conoscere gli indirizzi IP esterni dei moduli partner nella VPN.

Nota

Se si utilizza un router DSL come Internet Gateway, su questo devono essere abilitate almeno le seguenti porte: Porta 500 (ISAKMP) Porta 4500 (NAT-T)

Nei download di configurazione (tramite WAN senza tunnel attivo) deve inoltre essere abilitata la porta 443 (HTTPS).

Per questo esiste la possibilità di assegnare questo indirizzo IP come "Indirizzo IP WAN" nella configurazione nel modulo. Durante il caricamento della configurazione del modulo vengono trasmessi ai moduli questi indirizzi IP WAN dei moduli partner.

Se non viene assegnato nessun indirizzo WAN IP, viene utilizzato l'indirizzo IP esterno del modulo.

La seguente rappresentazione illustra la relazione degli indirizzi IP.

Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.5 Configurazione di nodi di rete interni


External

Internal

External

Internal

① Indirizzo IP interno - di un modulo ② Indirizzo IP esterno - di un modulo ③ Indirizzo IP interno - di un Internet Gateway (p. es. GPRS-Gateway) ④ Indirizzo IP esterno (indirizzo IP WAN) - di un Internet Gateway (p. es. DSL-Router)

6.5 Configurazione di nodi di rete interni Per poter comunicare al partner del tunnel i propri nodi interni, uno SCALANCE S deve conoscere i propri nodi interni. Inoltre esso deve conosce anche i nodi interni dello SCALANCE S con il quale è in un gruppo. Questa informazione viene impiegata su uno SCALANCE S per determinare quale pacchetto dati deve essere trasmesso in quale tunnel.

SCALANCE S offre la possibilità di programmare automaticamente o configurare staticamente i nodi della rete nelle reti piatte.

Nella modalità Routing viene eseguito un tunnel con sotto-reti complete, qui non è necessaria la programmazione e la configurazione statica dei nodi di rete.

6.5.1 Tipo di funzionamento della modalità di programmazione

Ricerca automatica dei nodi per la comunicazione via tunnel (solo modalità Bridge) Un grande vantaggio per la comunicazione e il funzionamento della comunicazione via tunnel consiste nel fatto che SCALANCE S può trovare autonomamente i nodi nelle reti interne.



I nuovi nodi vengono riconosciuti da SCALANCE S durante il funzionamento. I nodi riconosciuti vengono segnalati ai moduli SCALANCE S, appartenenti allo stesso gruppo. In questo modo lo scambio dei dati all'interno di un tunnel di un gruppo viene garantito in qualsiasi momento in entrambe le direzioni.

Requisiti richiesti Vengono riconosciuti i seguenti nodi:

● Nodi di rete con funzione IP

I nodi di rete con funzione IP vengono trovati se trasmettono una risposta ICMP al ICMP-Subnet-Broadcast.

I nodi IP a valle dei router possono essere trovati se il router inoltra ICMP Broadcast.

● Nodi di rete ISO

Anche i nodi di rete che non hanno funzione IP, ma che sono interrogabili tramite protocolli ISO, possono essere programmati.

Il presupposto è che essi rispondano a telegrammi XID o TEST. TEST e XID (Exchange Identification) sono protocolli ausiliari per lo scambio di informazioni sul livello layer 2. Inviando questi telegrammi con un indirizzo Broadcast, questi nodi di rete possono essere trovati.

● Nodi PROFINET

DCP (Discovery and basic Configuration Protocol) consente di trovare nodi PROFINET.

I nodi di rete che non soddisfano queste condizioni devono essere configurati.

Sotto-reti Devono essere configurate anche le sotto-reti che si trovano a valle di router interni.

Attivazione/disattivazione della modalità di programmazione Come standard la funzione di programmazione è attivata nella configurazione con il software di progettazione Security Configuration Tool per ogni modulo SCALANCE S.

La programmazione può essere anche completamente disattivata. In questo caso tutti i nodi interni che devono partecipare alla comunicazione via tunnel devono essere configurati manualmente.

La finestra di dialogo, nella quale è possibile selezionare questa opzione, si apre nel modo seguente:



● Con il modulo selezionato tramite la voce di menu

Edit ▶ Properties..,, scheda "Nodes"

Quando è consigliabile disattivare la modalità di programmazione automatica? Le impostazioni standard per SCALANCE S presuppongono che le reti interne siano già "sicure"; vale a dire che anche normalmente nella rete interna non vengono attivati nodi di rete che non sono riservati.

La disattivazione della modalità di programmazione può essere sensata se la rete interna è statica, vale a dire se il numero di nodi interni e i relativi indirizzi non si modificano.

Disattivano la modalità di programmazione, nella rete viene eliminato il carico del mezzo e dei nodi dovuto ai telegrammi di programmazione. Anche le prestazioni di SCALANCE S aumentano in quanto esso non viene caricato con l'elaborazione dei telegrammi di programmazione.



Osservazione: nella modalità Learning tutti i nodi vengono registrati nella rete interna. Le indicazioni per la configurazione di VPN si riferiscono solo ai nodi che comunicano nella rete interna tramite VPN.

ATTENZIONE Se nella rete interna vengono elaborati più di 64 (in SCALANCE S613) o 32 (in SCALANCE S612) nodi interni, viene superata la configurazione ammessa e creato uno stato di funzionamento non consentito. A causa della dinamica nel traffico di rete si verifica inoltre che i nodi interni già programmati vengano sostituiti con nuovi nodi interni finora sconosciuti.

6.5.2 Visualizzazione dei nodi di rete interni trovati Tutti i nodi di rete trovati possono essere visualizzati nel Security Configuration Tool, nel modo operativo "Online", scheda "Internal Nodes".

Richiamare la seguente voce di menu:

Edit ▶ Online Diagnostics..



6.5.3 Configurazione manuale dei nodi di rete

Nodi di rete non programmabili Nella rete interna esistono nodi che non possono essere programmati. Questi nodi devono essere configurati. Per configurare i moduli è necessario attivare la modalità Advanced nel Security Configuration Tool.

È anche necessario configurare sotto-reti che si trovano nella rete interna di SCALANCE S.



Finestra di dialogo / scheda La finestra di dialogo, nella quale è possibile configurare i nodi di rete, si apre nel modo seguente:

● Con il modulo selezionato tramite la voce di menu

Edit ▶ Properties..,, scheda "Nodes"

Inserire nelle schede qui selezionabili i relativi parametri di indirizzamento necessari per tutti i nodi di rete che devono essere protetti dal modulo SCALANCE S selezionato.

Scheda "Nodi IP interni" (solo in modalità Bridge) Parametri progettabili: l'indirizzo IP e opzionalmente l'indirizzo MAC;

Scheda "Nodi MAC interni" (solo in modalità Bridge) Parametri progettabili: MAC adress



Scheda "Internal Subnets" In caso di una sotto-rete interna (un router nella rete interna) è necessario indicare il seguente parametro di indirizzo:

Parametri Funzionamento Valore di esempio ID rete ID di rete della sotto-rete: in base all'ID di rete il router riconosce se

un indirizzo di destinazione si trova nella sotto-rete o fuori dalla sotto-rete.

196.80.96.0

Finestra della sotto-rete Finestra della sotto-rete: La finestra della sotto-rete struttura la rete e serve per la formazione dell'ID della sotto-rete.

255.255.255.0

Router IP Indirizzo IP del router: 196.80.96.1

Effetto durante l'impiego del SOFTNET Security Client Se durante l'impiego di SCALANCE S612 / S613 si devono configurare staticamente nodi come descritto sopra, è necessario ricaricare anche la configurazione per un SOFTNET Security Client utilizzato nel gruppo VPN.


F1

SOFTNET Security Client (S612/S613) 7

Con il software PC SOFTNET Security Client sono possibili accessi remoti sicuri dal PC/PG agli apparecchi di automazione protetti da SCALANCE S, in tutte le reti pubbliche.

Questo capitolo descrive come eseguire la progettazione del SOFTNET Security Client nel Security Configuration Tool e successiva messa in servizio sul PC/PG.

Altre informazioni Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea del SOFTNET Security Client.


Vedere anche Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) (Pagina 181)

7.1 Impiego del SOFTNET Security Client

Campo d'impiego - Accesso tramite VPN Con il SOFTNET Security Client un PC/PG viene configurato automaticamente in modo che esso possa realizzare una comunicazione sicura tramite tunnel IPsec nella VPN (Virtual Private Network) con uno o diversi SCALANCE S.

Le applicazioni PG/PC come diagnostica NCM o STEP7 possono in questo modo accedere con un collegamento sicuro tramite tunnel ad apparecchi o reti che si trovano in una rete interna protetta con SCALANCE S.

SOFTNET Security Client (S612/S613) 7.1 Impiego del SOFTNET Security Client


F1

External

Internal

External

Internal

External

Internal

Comunicazione automatica tramite VPN Per la propria applicazione è importante che il SOFTNET Security Client riconosca autonomamente se avviene l'accesso agli indirizzi IP di un nodo VPN. I nodi si indirizzano semplicemente tramite un indirizzo IP come se si trovassero nella sotto-rete locale alla quale è collegato anche il PC/PG con applicazioni.

ATTENZIONE Fare attenzione che tramite il tunnel IPsec può essere eseguita solo la comunicazione basata su IP tra SOFTNET Security Client e SCALANCE S.

Comando Il software per PC SOFTNET Security Client dispone di una superficie operativa facilmente comandabile per la configurazione delle proprietà Security, necessarie per la comunicazione con apparecchi protetti da SCALANCE S. Dopo la configurazione il SOFTNET Security Client funziona sullo sfondo, visibile da un'icona nel SYSTRAY sul proprio PG/PC.

Dettagli nella guida in linea Le informazioni dettagliate sulle finestre di dialogo e le caselle di immissione si trovano anche nella guida in linea della superficie operativa del SOFTNET Security Client.

SOFTNET Security Client (S612/S613) 7.1 Impiego del SOFTNET Security Client


La guida in linea si richiama con il pulsante "Help" o premendo il tasto F1.

Come funziona il SOFTNET Security Client? Il SOFTNET Security Client legge la configurazione creata dallo strumento di progettazione Security Configuration Tool e trasmette dai file i certificati da importare.

Il certificato Root e le Private Keys vengono importati e memorizzati nel PG/PC locale.

Successivamente con i dati della configurazione vengono eseguite le impostazioni Security in modo che le applicazioni possano accedere agli indirizzi IP a valle dei moduli SCALANCE-S.

Se la modalità di programmazione è attivata per i nodi o gli apparecchi di automazione interni, il modulo di configurazione imposta dapprima una direttiva di sicurezza per l'accesso protetto ai moduli SCALANCE S. Successivamente il SOFTNET Security Client interroga i moduli SCALANCE S per determinare gli indirizzi IP dei relativi nodi interni.

SOFTNET Security Client inserisce questi indirizzi IP nelle liste di filtri specifiche di questa direttiva di sicurezza. Successivamente le applicazioni come, p. es. STEP 7, possono comunicare con gli apparecchi di automazione tramite VPN.

ATTENZIONE Su un sistema Windows sono definite in modo specifico per l'utente le direttive di sicurezza IP. In un utente può essere valida rispettivamente solo una direttiva di sicurezza IP.

Se una direttiva di sicurezza IP esistente non deve essere sovrascritta con l'installazione del SOFTNET Security Client, l'installazione e l'utilizzo del SOFTNET Security Client devono essere eseguiti da un utente configurato in modo specifico.

Ambiente di impiego Il SOFTNET Security Client è previsto per l'impiego nei sistemi operativi Windows XP SP2 e SP3 (non "Home-Edition") e Windows 7 (non "Home-Edition") .

Comportamento in caso di disturbi Al verificarsi di disturbi sul proprio PG/PC, il SOFTNET Security Client presenta il seguente comportamento:

● Le direttive di sicurezza configurate vengono mantenute tramite disinserimento e inserimento del proprio PG/PC;

● In caso di configurazione errata vengono emessi messaggi.

SOFTNET Security Client (S612/S613) 7.2 Installazione e messa in servizio del SOFTNET Security Client


7.2 Installazione e messa in servizio del SOFTNET Security Client

7.2.1 Installazione e avvio del SOFTNET Security Client Il software PC SOFTNET Security Client si installa da SCALANCE S CD.

1. Leggere dapprima le indicazioni riportate nel file README del CD SCALANCE S e osservare eventuali istruzioni di installazione supplementari.

2. Eseguire il programma di setup;

Aprire quindi il sommario del contenuto sul CD SCALANCE S CD → viene avviato automaticamente inserendo il CD o può essere aperto con il file start.exe. Selezionare direttamente la voce "Installation SOFTNET Security Client"

Dopo l'installazione e l'avvio del SOFTNET Security Client compare l'icona per il SOFTNET Security Client nella barra delle applicazioni di Windows:

Configurazione del SOFTNET Security Client Una volta attivate, le funzioni più importanti funzionano in background nel proprio PG/PC.

La progettazione del SOFTNET Security Client viene eseguita in 2 passi:

● Esportare una configurazione Security dallo strumento di progettazione SCALANCE S Security Configuration Tool.

● Importare la configurazione Security nella propria superficie operativa, come descritto nel sotto-capitolo successivo.

Comportamento all'avvio Per una progettazione massima il SOFTNET Security Client necessita, in base al sistema, di max. 15 minuti per il caricamento delle regole di sicurezza. In questo tempo la CPU del proprio PG/PC viene caricata fino al 100%.

Uscire dal SOFTNET Security Client - Effetti Se si esce dal SOFTNET Security Client viene disattivata anche la direttiva di sicurezza.

SOFTNET Security Client (S612/S613) 7.3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool


È possibile uscire dal SOFTNET Security Client nel modo seguente:

● con la voce di menu nello SYSTRAY di Windows; selezionare con il tasto destro del mouse l'icona del SOFTNET Security Client e selezionare l'opzione "Shut Down SOFTNET SEcurity Client".

● con la superficie operativa aperta tramite il pulsante "Quit".

7.2.2 Disinstallazione del SOFTNET Security Client Durante la disinstallazione vengono ripristinate le proprietà Security impostate dal SOFTNET Security Client.

7.3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool

Configurazione del modulo SOFTNET Security Client nel progetto Il SOFTNET Security Client viene creato nel progetto come modulo. Rispetto ai moduli SCALANCE S non vanno progettate altre proprietà.

Si assegna il modulo SOFTNET Security Client solo al o ai gruppi di moduli nei quali deve essere configurato il tunnel IPsec verso il PC/PG.

Sono quindi indicative le proprietà dei gruppi per i gruppi che sono stati progettati.

ATTENZIONE Osservare le indicazioni dei parametri descritti nella sezione "Impostazioni compatibili per SOFTNET Security Client" del capitolo 6.4.

Nota

Se si creano più SOFTNET Security Client all'interno di un gruppo non vengono realizzati tunnel tra questi client, ma solo dal relativo client ai moduli SCALANCE S!



File di configurazione per il SOFTNET Security Client L'interfaccia tra lo strumento di progettazione Security Configuration Tool e il SOFTNET Security Client viene comandata con i file di configurazione.

La configurazione viene memorizzata nei 3 seguenti tipi di file:

● *.dat

● *.p12

● *.cer

Procedimento Eseguire nello strumento di progettazione Security Configuration Tool i seguenti passi per generare i file di configurazione:

1. Creare dapprima nel proprio progetto un modulo del tipo SOFTNET Security Client.



2. Assegnare il modulo ai gruppi di moduli nei quali il PC/PG deve comunicare tramite

tunnel IPsec.

3. Selezionare il SOFTNET Security Client desiderato con il tasto destro del mouse e

successivamente la seguente voce di menu:


4. Selezionare nella finestra di dialogo visualizzata la posizione di memorizzazione per i file di configurazione.

5. Se come metodo di autentificazione è stato selezionato certificato, al passo successivo viene richiesto di indicare una password per il certificato della configurazione VPN. Qui esiste la possibilità di assegnare una password. Se non si assegna nessuna password, come password viene applicato il nome del progetto.

L'inserimento della password viene eseguito come di consueto con ripetizione.

In questo modo l'esportazione dei file di configurazione è conclusa.

6. Riprendere i file del tipo *.dat, *.p12, *.cer sul PC/PG sul quale si intende utilizzare il SOFTNET Security Client.

SOFTNET Security Client (S612/S613) 7.4 Comando del SOFTNET Security Client


7.4 Comando del SOFTNET Security Client

Proprietà configurabili In particolare si possono utilizzare i seguenti servizi:

● Configurazione di comunicazione sicura tramite tunnel IPsec (VPN) tra il PC/PG e tutti i moduli SCALANCES di un progetto o di singoli moduli SCALANCE S. Tramite questo tunnel IPsec il PC/PG può accedere ai nodi interni della VPN.

● Disattivazione e attivazione di collegamenti sicuri già configurati;

● Configurazione di collegamenti per apparecchi terminali aggiunti successivamente; (per questa operazione deve essere attivata la modalità di programmazione)

● Controllo di una configurazione, vale a dire quali collegamenti sono configurati o possibili.

Per la configurazione il SOFTNET Security Client si richiama nel modo seguente Aprire la superficie operativa del SOFTNET Security Client facendo doppio clic sull'icona nel SYSTRAY o selezionare con il tasto destro del mouse la voce di menu "Open SOFTNET Security Client":



Con i pulsanti si accede alle seguenti funzioni:

Pulsante Significato Load Configuration Data Importazione della configurazione

In questo modo si apre una finestra di dialogo per la selezione di un file di configurazione. Dopo la chiusura della finestra di dialogo viene letta la configurazione e richiesta una password per ogni file di configurazione. Nella finestra di dialogo viene richiesto se il tunnel deve essere configurato immediatamente per tutti gli SCALANCE S. Se nella configurazione sono inseriti indirizzi IP di SCALANCE S o se è attiva la modalità di programmazione, vengono configurati i tunnel per tutti gli indirizzi configurati o rilevati. Il procedimento è particolarmente rapido ed efficiente per piccole configurazioni. Nella finestra di dialogo "Tunnel Overview" possono inoltre essere configurati tutti i tunnel. Osservazione: è possibile importare in successione i file di configurazione da diversi progetti creati nel Security Configuration Tool (vedere anche la seguente descrizione del procedimento).

Panoramica del tunnel Finestra di dialogo per la configurazione e la modifica del tunnel. Con questa finestra di dialogo si esegue la configurazione vera e propria del SOFTNET Security Client. In questa finestra di dialogo si trova una lista per i tunnel protetti configurati. Qui è possibile visualizzare/controllare gli indirizzi IP per i moduli SCALANCE S. Se sul proprio PG/PC esistono diversi adattatori di rete, il SOFTNET Security Client ne seleziona automaticamente uno con il quale viene eseguito un tentativo di realizzazione del tunnel. Se eventualmente il SOFTNET Security Client non trova un adattatore adatto al proprio nodo, ne inserisce uno qualsiasi. In questo caso è necessario adattare manualmente l'impostazione dell'adattatore di rete tramite la finestra di dialogo "Network Adapters" nel menu contestuale del nodo e del modulo SCALANCE S

Disable Disattiva tutti i tunnel protetti. Caso di impiego: Se viene modificata e ricaricata la configurazione di un modulo SCALANCE S612 / S613, è necessario disattivare il tunnel verso il SOFTNET Security Client. In questo modo viene accelerata la nuova realizzazione del tunnel.

Minimize La superficie operativa del SOFTNET Security Client viene chiusa. L'icona per il SOFTNET Security Client si trova inoltre nella barra delle applicazioni di Windows.

Quit Annulla configurazione; SOFTNET Security Client viene chiuso; tutti i tunnel vengono disattivati.



Pulsante Significato Help .. Richiama la guida in linea. Informazione Informazioni sulla versione del SOFTNET Security Client

Dettagli: Elenco di tutti i file necessari per il funzionamento del SOFTNET Security Client con messaggi di risposta se questi file sono stati trovati nel sistema

SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel


7.5 Configurazione e modifica del tunnel

Configurazione di collegamenti protetti con tutti i SCALANCE S Nella finestra di dialogo per l'importazione della configurazione è possibile selezionare se il tunnel deve essere configurato immediatamente per tutti gli SCALANCE S. Di conseguenza risultano le seguenti possibilità:

● Attivazione automatica del tunnel

Se nella configurazione sono inseriti indirizzi IP di SCALANCE S o se è attiva la modalità di programmazione, vengono configurati i tunnel per tutti gli indirizzi configurati o rilevati.

● Solo lettura della configurazione del tunnel

Opzionalmente i tunnel configurati possono essere solo letti e successivamente attivati singolarmente nella finestra di dialogo per la configurazione del tunnel.

Configurazione dei collegamenti tramite tunnel



1. Aprire con il pulsante "Load Configuration Data" la finestra di dialogo per l'importazione dei file di configurazione.

2. Selezionare il file di configurazione creato con il Security Configuration Tool.

3. Se nel SOFTNET Security Client esistono già dati di configurazione viene richiesto di decidere il trattamento dei file di configurazione nuovi da assumere. Selezionare dalle opzioni proposte:

Avvertenze relative a questa finestra di dialogo:

In linea di principio i dati di configurazione possono essere letti da diversi progetti. Questa finestra di dialogo tiene in considerazione le condizioni marginali di diversi progetti. Di conseguenza le opzioni hanno il seguente effetto:

– In "deleted" sono presenti solo i dati di configurazione caricati per ultimi.

– Il secondo punto di selezione "imported ad replaced" ha senso in caso di dati di configurazione modificati, ad esempio è modificata solo la configurazione nel progetto a, il progetto b e c vengono mantenuti.

– Il terzo punto di selezione "not imported" ha senso se in un progetto è stato aggiunto uno Scalance S, senza che vengano persi i nodi interni già programmati.

4. Se durante la configurazione nel Security Configuration Tool come metodi di autentificazione è stato selezionato Certificato, viene richiesto di inserire la password.



5. Selezionare se per i nodi progettati nella configurazione (nodi configurati staticamente) devono essere attivati collegamenti tramite tunnel.

Se non si avvia ancora l'attivazione, quest'ultima può essere eseguita in qualsiasi momento nella finestra di dialogo descritta di seguito.

Dopo aver selezionato l'attivazione dei collegamenti tramite tunnel, vengono realizzati i collegamenti tramite tunnel tra il SOFTNET Security Client e i moduli SCALANCE S.

Questa operazione può durare alcuni secondi.



6. Aprire quindi la finestra di dialogo "Tunnel Overview".

Nella tabella visualizzata si possono vedere i moduli e i nodi con le informazioni di stato sui collegamenti tramite tunnel.



7. Se si constata che i nodi desiderati non vengono visualizzati nella tabella, procedere nel modo seguente:

Trasferire nella riga di comando un comando PING sul nodo desiderato.

In questo modo si consente che il nodo venga programmato da SCALANCE S e inoltrato al SOFTNET Security Client.

Osservazione:

Se la finestra di dialogo non è aperta essa si apre automaticamente registrando un nodo.

Nota Nodi e sotto-reti configurati staticamente

Se durante l'impiego di SCALANCE S612 / S613 si devono configurare staticamente nodi o sotto-reti, è necessario ricaricare anche la configurazione per un SOFTNET Security Client utilizzato nel gruppo VPN.

8. Attivare i nodi per i quali viene visualizzata l'indicazione di stato di collegamento tramite tunnel non ancora realizzato.

Dopo la realizzazione del collegamento è possibile avviare solo la propria applicazione - p. es. STEP 7 - e realizzare un collegamento di comunicazione con un nodo.

ATTENZIONE

Se sul proprio PG/PC esistono diversi adattatori di rete, il SOFTNET Security Client ne seleziona automaticamente uno con il quale viene eseguito un tentativo di realizzazione del tunnel. Se eventualmente il SOFTNET Security Client non trova un adattatore adatto al proprio progetto, ne inserisce uno qualsiasi. In questo caso è necessario adattare manualmente l'impostazione dell'adattatore di rete tramite il menu contestuale del nodo e del modulo SCALANCE S.

Significato dei parametri

Tabella 7- 1 Parametri nella finestra di dialogo "Tunnel Overview"

Parametri Significato / Campo dei valori Status Nella tabella 7–2 si trovano gli indicatori di stato possibili Name Nome del modulo o del nodo ripreso dalla configurazione con

Security Configuration Tool. IP int. nodo / sotto-rete Indirizzo IP del nodo interno, o ID rete della sotto-rete interna se

sono presenti nodi interni / sotto-reti IP punto terminale del tunnel Indirizzo IP del modulo SCALANCE S assegnato o del modulo

MD741-1 Tunnel over.. Se nel PC si utilizzano diverse schede di rete, qui viene

visualizzato l'indirizzo IP assegnato.



Tabella 7- 2 Indicatori di stato

Icona Significato Non esiste nessun collegamento con il modulo o il nodo.

Esistono altri nodi che non vengono visualizzati. Fare doppio clic sull'icona per visualizzare altri nodi.

Il nodo non è attivato.

Il nodo è attivato.

Modulo SCALANCE S disattivato.

Modulo SCALANCE S attivato.

Modulo MD741-1 disattivato.

Modulo MD741-1 attivato.

Il modulo / nodo non è raggiungibile.

Il modulo / nodo è raggiungibile.

Casella opzione "enable active learning" Se nella configurazione dei moduli SCALANCE S è attivata la modalità di programmazione, è possibile utilizzare questa modalità anche per il SOFTNET Security Client; si ottengono quindi automaticamente le informazioni dei moduli SCALANCES.

In caso contrario la casella di selezione "Activate learing mode" viene disattivata e rappresentata in grigio.



Selezione e comando della voce tunnel Nella finestra di dialogo "Tunnel" è possibile selezionare una voce e aprire altre voci di menu con il tasto destro del mouse.

ATTENZIONE Se per un adattatore di rete vengono utilizzati diversi indirizzi IP, è eventualmente necessario assegnare per ogni singola voce gli indirizzi IP da utilizzare nella finestra di dialogo "Tunnel".

Pulsante "Delete All" In questo modo si cancellano completamente le direttive di sicurezza IP - comprese le voci supplementari non configurate da SOFTNET Security Client.



Disattivazione e attivazione di collegamenti sicuri già configurati I collegamenti protetti configurati possono essere disattivati con il pulsante "Disable". Se è stato selezionato il pulsante, il testo nel pulsante diventa "Activate" e l'icona nella barra di stato viene sostituita.

Ora sul PC è disattivata la Security Policy.

Facendo di nuovo clic sul pulsante è possibile annullare le modifiche eseguite precedentemente, riattivando così il tunnel configurato.

Consolle logging La consolle logging si trova nella parte inferiore della finestra di dialogo "Tunnel Overview" e fornisce informazioni di diagnostica sulla realizzazione del collegamento con i moduli SCALANCE S / MD741-1 configurati e i nodi interni /sotto-reti.

Con il timbro di data e ora è possibile registrare i momenti dei relativi eventi.

Viene visualizzata una realizzazione e un'interruzione di una Security Association. Allo stesso tempo viene visualizzato l'evento di un ping di test (test di raggiungibilità) per il nodo configurato se questo è negativo.

Nella finestra di dialogo "Settings" è possibile configurare le indicazioni che devono essere visualizzate.

Pulsante "Clear" Azionando questo tasto si cancellano le voci dalla consolle logging della panoramica del tunnel.

Impostazioni globali per il SOFTNET Security Client Nella finestra principale del SOFTNET Security Client aprire la voce di menu:

Options ▶ Settings

Qui è possibile effettuare le impostazioni globali che devono essere mantenute dopo la chiusura e l'apertura del SOFTNET Security Client.

Le funzioni sono riportate nella seguente tabella.

Funzionamento Descrizione / Opzioni Dimensione file Log (consolle logging) La dimensione del file Log sorgente, che contiene

i messaggi che vengono visualizzati filtrati e che vengono limitati ad un determinato numero nella consolle logging

Numero di messaggi da visualizzare nella consolle logging della panoramica del tunnel

Numero di messaggi che vengono estratti dal file Log del file sorgente e visualizzati nella consolle logging



Visualizzazione dei seguenti messaggi Log nella consolle logging della panoramica del tunnel: Visualizzazione del test di raggiungibilità

negativo (ping) Creazione / cancellazione di Security

Associations (modalità Quick) Creazione / cancellazione di modalità Main Caricamento di file di configurazione Apprendimento di nodi interni

I messaggi, che possono essere visualizzati opzionalmente nella consolle logging, possono essere attivati e disattivati

Dimensione file Log (file log di debug) Dimensione del file Log dei file sorgente per messaggio di debug del SOFTNET Security Client (possono essere richiesti dal Customer Support per semplificare l'analisi)

Test di raggiungibilità, tempo di attesa di una risposta

Tempo di attesa impostabile per il ping che deve indicare la raggiungibilità di un partner del tunnel. È importante impostarlo soprattutto nei tunnel su percorsi di trasmissione lenti (UMTS, GPRS, ecc.) per i quali il tempo di esecuzione dei pacchetti di dati è decisamente superiore. Influisce quindi direttamente la visualizzazione della raggiungibilità nella panoramica del tunnel. Avvertenza Nelle reti mobili selezionare un tempo di attesa di almeno 1500 ms.

Disattivazione globale del test di raggiungibilità Se si attiva questa funzione, viene disattivato il test di raggiungibilità globale per tutte le configurazioni contenute nel SOFTNET Security Client. Il vantaggio consiste nel fatto che nessun pacchetto supplementare crei volumi di dati, mentre lo svantaggio è che nella panoramica del tunnel non si ottiene più nessun messaggio di risposta se un partner del tunnel è raggiungibile o meno.

Diagnostica del modulo estesa Nella finestra principale del SOFTNET Security Client aprire la voce di menu:

Options ▶ Advanced Module Diagnostics

Qui è possibile rilevare lo stato attuale del proprio sistema in relazione ad un modulo configurato. Questa panoramica serve solo alla diagnostica dello stato del sistema e può essere d'aiuto in caso di richieste da parte del Customer Support.

● SCALANCE S / modulo MD741-1 Selezionare qui il modulo per il quale si vuole diagnosticare lo stato attuale del sistema.

● Impostazioni routing (parametri specifici per il modulo) Qui vengono visualizzate le impostazioni del modulo rilevate dalla configurazione, riguardanti le interfacce e i nodi interni / sotto-reti.



● Modalità Main attiva / modalità Quick attiva Qui vengono visualizzate dettagliatamente le modalità Main o le modalità Quick attive, non appena queste sono state configurate nel PG/PC per il modulo selezionato. Inoltre viene visualizzato quante modalità Main e modalità Quick relative al modulo selezionato sono state trovate nel sistema.

● Impostazioni routing (impostazioni di rete del computer) Qui vengono visualizzate le impostazioni attuali di routing del computer. Per motivi di chiarezza, con l'opzione "Show all routing settings" è possibile mostrare le impostazioni routing nascoste.

● Indirizzi IP assegnati Qui è disponibile un elenco sulle interfacce di rete conosciute sul computer in combinazione con gli indirizzi IP configurati e assegnati.


F1

Funzioni online - Test, diagnostica e logging 8

Per scopi di test e di sorveglianza SCALANCE S dispone di funzioni di diagnostica e di logging.

● Funzioni di diagnostica

Sono intese diverse funzioni di sistema e di stato che possono essere utilizzate nella modalità online.

● Funzioni di logging

Si tratta della registrazione degli eventi di sistema e di sicurezza.

La registrazione degli eventi viene eseguita nelle aree di buffer dello SCALANCE S o di un server. La parametrizzazione e l'analisi di queste funzioni presuppone un collegamento di rete sul modulo SCALANCE S selezionato.

Registrazione di eventi con funzioni Logging Gli eventi che devono essere registrati si definiscono con le impostazioni Log per il relativo modulo SCALANCE S.

Per la registrazione è possibile configurare le seguenti varianti:

● Local log

In questa variante si registrano gli eventi nel buffer locale del modulo SCALANCE S. Nella finestra di dialogo Online del Security Configuration Tool è possibile quindi accedere a queste registrazioni, visualizzarle o archiviarle nella stazione di service.

● Syslog rete

Con Network Syslog si utilizza un server Syslog esistente nella rete. Esso registra gli eventi in base alla configurazione nelle impostazioni Log del relativo modulo SCALANCE S.

Altre informazioni Per informazioni dettagliate sulle finestre di dialogo e sui parametri contrassegnati nella diagnostica e nel logging consultare la guida in linea del Security Configuration Tool.


Vedere anche Panoramica delle funzioni della finestra di dialogo online (Pagina 224)

Funzioni online - Test, diagnostica e logging 8.1 Panoramica delle funzioni della finestra di dialogo online


8.1 Panoramica delle funzioni della finestra di dialogo online SCALANCE S offre le seguenti funzioni nella finestra di dialogo online del Security Configuration Tool:

Tabella 8- 1 Funzioni e logging nella diagnostica online

Funzione / scheda nella finestra di dialogo online

Significato

Funzioni di sistema e di stato Status Visualizzazione dello stato dell'apparecchio del modulo SCALANCE S

selezionato nel progetto. Comunication status (S612/S613)

Visualizzazione dello stato della comunicazione e nei nodi di rete interni verso altri moduli SCALANCE S appartenenti al gruppo VPN.

Date and time Impostazione di data e ora Internal nodes (S612/S613)

Visualizzazione dei nodi di rete interni del modulo SCALANCE S.

Funzioni di logging System Log Visualizzazione di eventi di sistema registrati. Audit Log Visualizzazione di eventi di sicurezza registrati. Paket Filter Log Visualizzazione del pacchetti di dati logging, avvio e arresto del logging

pacchetto.

Osservazione: Osservare le avvertenze sui tipi di apparecchi.

Requisiti per l'accesso Per poter eseguire le funzione online su un modulo SCALANCE S devono essere soddisfatti i seguenti requisiti:

● il modo operativo Online è attivato nel Security Configuration Tool;

● è in atto un collegamento di rete con il modulo selezionato

● il relativo progetto, con il quale è stato configurato il modulo, è aperto

Apertura della finestra di dialogo online Commutare con la seguente voce di menu il modo operativo del Security Configuration Tool:

View ▶ Online

Selezionare il modulo da modificare e selezionare la seguente voce di menu per aprire la finestra di dialogo online:


Funzioni online - Test, diagnostica e logging 8.1 Panoramica delle funzioni della finestra di dialogo online


Messaggio di avvertimento in caso di configurazione non attuale o di un altro progetto Se si richiama la finestra di dialogo online si controlla se la configurazione attuale sul modulo SCALANCE S e la configurazione del progetto caricato corrispondono. Se le configurazioni sono diverse, viene visualizzato un messaggio di avvertimento. In questo modo viene segnalato che la configurazione non è (ancora) stata aggiornata o che si utilizza il progetto errato.

Le impostazioni online non vengono memorizzate nella configurazione Le impostazioni che si eseguono nel modo operativo online non vengono memorizzate nella configurazione sul modulo SCALANCE S. Per questo motivo dopo un nuovo avvio del modulo diventano sempre attive le impostazioni nella configurazione.

Funzioni online - Test, diagnostica e logging 8.2 Registrazione di eventi (logging)


8.2 Registrazione di eventi (logging)

Informazioni generali Gli eventi sullo SCALANCE S possono essere registrati. La registrazione viene eseguita nelle aree del buffer volatili o permanenti, a seconda del tipo di evento. In alternativa una registrazione può essere eseguita in un server di rete.

Configurazione nella modalità standard e nella modalità Advanced Anche nel logging le possibilità di selezione nel Security Configuration Tool dipendono dalla visualizzazione selezionata:


Nella modalità standard il Log è attivato come standard; gli eventi del filtro pacchetto possono essere attivati globalmente nella scheda "Firewall". In questa visualizzazione non è possibile il Network Syslog.

● Advanced Mode

Tutte le funzione di logging possono essere attivate o disattivate in modo mirato; gli eventi del filtro pacchetto devono essere attivati in modo selettivo nella scheda "Firewall" (regole locali o globali).

Metodi di registrazione e classi di evento Nella configurazione è possibile definire i dati che devono essere registrati. In questo modo la registrazione si attiva già durante il caricamento della configurazione nel modulo SCALANCE S.

Inoltre selezionare nella configurazione uno o entrambi i metodi di registrazione possibili:

● Log locale

● Network Syslog

Per entrambi i metodi di registrazione SCALANCE S conosce rispettivamente i tre seguenti tipi di eventi:



Tabella 8- 2 Logging - Panoramica degli eventi selezionabili

Funzione / scheda nella finestra di dialogo online

Tipo di funzione

Eventi filtro pacchetto (firewall) / Log filtro pacchetto

Il Log filtro pacchetto registra determinati pacchetti del traffico di dati. Vengono registrati solo pacchetti di dati interessati da una regola filtro pacchetto progettata (firewall) o sui quali reagisce la protezione di base (pacchetti corrotti o non validi). Come presupposto la registrazione per la regola del filtro pacchetto deve essere attivata.

Eventi Audit / Audit Log L'Audit Log registra automaticamente eventi sequenziali rilevanti per la sicurezza. Per esempio azioni dell'utente come l'attivazione o la disattivazione del logging pacchetto o azioni nelle quali un utente non si è autentificato tramite password corretta.

Eventi di sistema / Log sistema Il System Log registra automaticamente eventi di sistema progressivi come, ad es. l'avvio di un processo. La registrazione è scalabile in base alle classi di evento. Inoltre è progettabile una diagnostica del cavo. La diagnostica del cavo fornisce messaggi non appena il numero di pacchetti di telegramma errati ha superato il valore limite impostabile.

Metodo di memorizzazione per la registrazione dei dati nel logging locale La memorizzazione per la registrazione dei dati viene eseguita in base a due metodi selezionabili:

● Ring Buffer

Al raggiungimento della fine del buffer la registrazione all'inizio del buffer viene proseguita sovrascrivendo le voci meno recenti.

● One Shot Buffer

La registrazione di arresta quando il buffer è pieno.

Attivazione e disattivazione del logging Con le impostazioni Log, nel modo operativo Offline è possibile attivare il logging locale per le classi di evento e definire il metodo di memorizzazione. Queste impostazioni Log vengono caricate nel modulo con la configurazione e attivate all'avvio di SCALANCE S.

In caso di necessità, nelle funzioni online è possibile attivare o disattivare il logging locale per gli eventi del filtro pacchetto e gli eventi del sistema. Durante questa operazione le impostazioni nella configurazione del progetto non vengono modificate.

8.2.1 Impostazioni Log locale nella configurazione Con le impostazioni Log, nel modo operativo Offline è possibile attivare le classi di evento e definire il metodo di memorizzazione. Queste impostazioni Log vengono caricate nel modulo con la configurazione e attivate all'avvio di SCALANCE S.

In caso di necessità, le impostazioni Log progettate possono essere modificate nelle funzioni online. Durante questa operazione le impostazioni nella configurazione del progetto non vengono modificate.



Impostazioni Log nello Standard Mode Le impostazioni Log nello Standard Mode corrispondono alle preimpostazioni nell'Advanced Mode. Nello Standard Mode non è tuttavia possibile modificare le impostazioni.

Impostazioni Log nello Advanced Mode Selezionare il modulo da modificare e selezionare la seguente voce di menu:

Project ▶ Properties…, scheda "Log Settings".

La seguente finestra di dialogo illustra le impostazioni Standard per SCALANCE S; inoltre è aperta la finestra di dialogo per la configurazione della registrazione degli eventi di sistema:



Configurazione delle classi di evento

Tabella 8- 3 Log locale - Panoramica delle funzioni

Funzione / scheda nella finestra di dialogo

online

Progettazione Osservazioni

Packet filter events (firewall) / packet filter log (progettabile)

L'attivazione avviene tramite casella opzionale. La selezione del metodo di memorizzazione avviene tramite campi opzione.

I dati Log non sono ritentivi

I dati vengono depositati in una memoria volatile di SCALANCE S, per questo motivo essi non sono più disponibili dopo un disinserimento della tensione di alimentazione.

Audit events / Audit log (sempre attivato)

Il Logging è sempre attivato. La memorizzazione avviene sempre nel buffer circolare.

I dati Audit Log sono ritentivi

I dati Audit Log vengono depositati in una memoria ritentiva di SCALANCE S. Per questo motivo, questi dati Audit Log sono disponibili anche dopo un disinserimento della tensione di alimentazione.

System event / System log (progettabile)

L'attivazione avviene tramite casella opzionale. La selezione del metodo di memorizzazione avviene tramite campi opzione. Per la configurazione del filtro evento e della diagnostica del cavo aprire un'altra finestra di dialogo con il pulsante "Configure...". In questa sotto-finestra si imposta un livello di filtro per gli eventi di sistema. Come standard è impostato il livello più alto, in modo che vengano registrati solo eventi critici. La diagnostica del cavo crea un evento di sistema specifico. Viene generato un evento di sistema in una percentuale di telegrammi errati impostabile dall'utente. A questo evento di sistema viene assegnata una priorità e un significato (Facility) impostabili in questa sotto-finestra di dialogo.

I dati System Log non sono ritentivi

I dati System Log vengono depositati in una memoria volatile di SCALANCE S. Per questo motivo, questi dati non sono più disponibili dopo un disinserimento della tensione di alimentazione.

Filtraggio degli eventi di sistema

Selezionare come livello del filtro "Error" o un valore superiore per escludere la registrazione di eventi generali non critici.

Priorità dell'evento di sistema della diagnostica del cavo

Fare attenzione a non assegnare agli eventi di sistema della diagnostica del cavo una priorità più bassa di quella impostata per il filtro. Con una priorità inferiore questi eventi non verrebbero filtrati e registrati.



8.2.2 Network Syslog - Impostazioni nella configurazione SCALANCE S può essere configurato in modo che invii come Client Syslog informazioni ad un Syslog Server. Il Syslog Server può trovarsi in una sotto-rete interna o esterna. L'implementazione corrisponde a RFC 3164.

Nota Firewall - Syslog Server non attivo nella rete esterna

Se il Syslog Server non è attivo sul computer indirizzato, questo computer restituisce telegrammi di risposta ICMP "port not reachable". Se a causa della configurazione firewall questi telegrammi di risposta vengono registrati come eventi di sistema e inviati al server Syslog, questa operazione può proseguire all'infinito (valanga di eventi).

Rimedi: Avviare il Syslog server; Modificare le regole del firewall; Togliere dalla rete il computer con il server Syslog disattivato;

Commutazione nella modalità Advanced La configurazione del server Syslog presuppone la visualizzazione "Advanced Mode" nel Security Configuration Tool. Commutare il modo operativo con la seguente voce di menu:


Eseguire le impostazioni Log Selezionare il modulo da modificare e selezionare la seguente voce di menu:

Project ▶ Properties…, scheda "Log Settings".

La seguente finestra di dialogo illustra le impostazioni standard per SCALANCE S con Logging attivato per la rete Syslog:



Realizzazione del collegamento al server Syslog SCALANCE S utilizza il nome di modulo progettato come nome host rispetto al server Syslog. L'indirizzo IP del server Syslog deve essere indicato. L'indirizzo IP può essere inserito in alternativa come nome simbolico o numerico.

SCALANCE S deve accedere al server Syslog tramite l'indirizzo IP indicato o eventualmente tramite la progettazione del router nella scheda "Network". Se il server Syslog non viene raggiunto, l'invio delle informazioni Syslog viene disattivata. Questo stato operativo può essere riconosciuto dai relativi messaggi del sistema. Per riattivare l'invio delle informazioni Syslog è eventualmente necessario aggiornare le informazioni di routing e riavviare SCALANCE S.

Utilizzo del nome simbolico nel Logging Le indicazioni di indirizzo nei telegrammi Log trasmessi al server Syslog possono essere sostituite con nomi simbolici. Con l'opzione attivata, SCALANCE S verifica la progettazione dei relativi nomi simbolici e li inserisce nel telegramma Log. Fare attenzione che questo non comporti un aumento del tempo di elaborazione nel modulo SCALANCE S.

Per gli indirizzi IP del modulo SCALANCE S vengono utilizzati automaticamente i nomi dei moduli come nomi simbolici. Nella modalità Routing questi nomi vengono ampliati con una sigla di porta nel modo seguente: "Modulename-P1", "Modulename-P2" ecc.



Configurazione delle classi di evento

Tabella 8- 4 Network Syslog - Panoramica delle funzioni

Funzione / scheda nella finestra di dialogo

online

Progettazione Osservazioni

Packet filter events (firewall) / packet filter log (progettabile)

L'attivazione avviene tramite casella opzionale. L'assegnazione della priorità e il significato (Facility) avviene tramite elenco a discesa. A ciascun evento viene assegnata la priorità e il significato (Facility) qui impostato.

Il valore da selezionare per la priorità e il significato (Facility) dipende dall'analisi nel server Syslog. Questo consente un adattamento ai requisiti nel server Syslog. Impostazioni predefinite: Facility: 10 (security/auth) Prio: 5 (Notice)

Audit events / Audit log (sempre attivato)

L'attivazione avviene tramite casella opzionale. L'assegnazione della priorità e il significato (Facility) avviene tramite elenco a discesa. A ciascun evento viene assegnata la priorità e il significato (Facility) qui impostato.

Il valore da selezionare per la priorità e il significato (Facility) dipende dall'analisi nel server Syslog. Questo consente un adattamento ai requisiti nel server Syslog. Impostazioni predefinite: Facility: 13 (log audit) Prio: 6 (Informational)

System event / System log (progettabile)

L'attivazione avviene tramite casella opzionale. Per la configurazione del filtro evento e della diagnostica del cavo aprire un'altra finestra di dialogo con il pulsante "Configure...". In questa sotto-finestra si imposta un livello di filtro per gli eventi di sistema. Come standard è impostato il livello più alto, in modo che vengano registrati solo eventi critici. La diagnostica del cavo crea un evento di sistema specifico. Viene generato un evento di sistema in una percentuale di telegrammi errati impostabile dall'utente. A questo evento di sistema viene assegnata una priorità e un significato (Facility) impostabili in questa sotto-finestra di dialogo.

Filtraggio degli eventi di sistema

Selezionare come livello del filtro "Error" o un valore superiore per escludere la registrazione di eventi generali non critici.

Priorità dell'evento di sistema della diagnostica del cavo

Con la priorità si valutano gli eventi di sistema della diagnostica del cavo in relazione alla priorità degli altri eventi di sistema.

Fare attenzione a non assegnare agli eventi di sistema della diagnostica del cavo una priorità più bassa di quella impostata per il filtro. Con una priorità inferiore questi eventi non verrebbero filtrati e trasferiti al server Syslog.

8.2.3 Progettazione del loggig pacchetti Il log filtro pacchetti registra i pacchetti di dati per i quali è stato attivato il logging in una regola del filtro pacchetti (firewall) nella configurazione. L'attivazione deve quindi essere progettata.

La progettazione si differenzia a seconda del livello di comando impostato. Mentre nello Standard Mode il Logging può essere impostato in modo approssimativo per alcuni blocchi di regole predefiniti, nell'Advanced Mode esso può essere attivato per ogni singola regola del filtro pacchetti.



Progettazione nello Standard Mode Nello Standard Mode esistono i seguenti blocchi di regole per impostazioni IP Log e MAC Log, per le quali può essere attivato il logging:

Tabella 8- 5 Impostazioni IP e MAC Log

Blocco regola Operazione durante l'attivazione Log passed packet Tutti i pacchetti MAC che sono stati inoltrati vengono registrati. Log dropped incoming packet Tutti i pacchetti IP / MAC che sono pervenuti vengono registrati. Log dropped outgoing packet Tutti i pacchetti IP / MAC in uscita che sono stati cancellati

vengono registrati. Registrazione di pacchetti tramite tunnel

Tutti i pacchetti IP che sono stati inoltrati tramite tunnel vengono registrati.

Progettazione nello Advanced Mode L'attivazione del logging è identica per entrambi i tipi di regole (IP o MAC) e tutte le regole.

Per registrare i pacchetti di dati di determinate regole del filtro pacchetti, impostare nella colonna "Log" della scheda "Firewall" un segno di spunta.


Suggerimenti e assistenza AA.1 Il modulo SCALANCE S non si avvia correttamente

Se l'indicatore di errore del modulo SCALANCE S si accende con luce rossa dopo l'avvio del modulo, è necessario dapprima ripristinare completamente il modulo. Premere il tasto di reset fino a quando l'indicatore di errore inizia a lampeggiare con luce gialla-rossa. A questo punto il modulo è stato riportato alle impostazioni di fabbrica. Per l'esercizio produttivo è successivamente necessario caricare di nuovo la configurazione nel modulo.

Se l'indicatore di errore del modulo SCALANCE S dovesse tuttavia riaccendersi con luce rossa, il modulo può essere riparato solo in fabbrica.

A.2 Il modulo SCALANCE S non è raggiungibile

Se il modulo SCALANCE S non è raggiungibile, verificare o osservare i seguenti punti:

● Il computer si trova nella stessa sotto-rete dell'unità?

● Il Reset di un'unità può durare alcuni minuti.

A.3 Sostituzione di un modulo SCALANCE S La sostituzione di un modulo SCALANCE S può essere eseguita senza PC (senza dover caricare la configurazione sul nuovo modulo). Il C-PLUG del modulo da sostituire viene semplicemente innestato sul nuovo modulo che deve essere messo in servizio.

ATTENZIONE Il C-PLUG deve essere innestato o sfilato solo in assenza di tensione!

A.4 Il modulo SCALANCE S è compromesso Un modulo SCALANCE S è compromesso se è stato comunicato quanto segue:

● il codice privato appartenente al certificato del server,

● il codice privato della CA o

● la password di un utente.

Suggerimenti e assistenza A.5 Codice dai dati di progettazione compromesso o perso


Codice privato noto del certificato del server Se il codice privato appartenente al certificato del server è stato comunicato, il certificato del server sul modulo SCALANCE S deve essere sostituito. I nomi utente memorizzati nel modulo SCALANCE S non devono essere modificati.

Procedimento: 1. Selezionare il modulo da modificare e selezionare la voce di menu:

Edit ▶ Properties.., scheda "Certificati"

2. Creare di un nuovo certificato.

3. Caricare la configurazione nel modulo SCALANCE S.

Il codice privato della CA è noto Se il codice privato della CA è stato comunicato, il certificato della CA sul modulo SCALANCE S deve essere sostituito. I nomi utente possono restare invariati. Tuttavia gli utenti necessitano di nuovi certificati creati dalla nuova CA.

Procedimento: 1. Selezionare il gruppo da modificare e selezionare la voce di menu:

Edit ▶ Properties....

2. Creazione di un nuovo certificato.

3. Caricare la configurazione in tutti gli SCALANCE S appartenenti al gruppo.

Password di un utente noto dal gruppo di User Se è stata comunicata la password di un utente da un gruppo User, la password di questo utente deve essere modificata.

Password di un utente nota dal gruppo Administrator Se si tratta di un utente del gruppo di amministratori, è necessario modificare anche il certificato del server del modulo SCALANCE S.

A.5 Codice dai dati di progettazione compromesso o perso

Codice compromesso Se un codice privato, proveniente dai dati di progettazione del modulo SCALANCE S, è stato compromesso, esso deve essere modificato con lo strumento di progettazione del modulo SCALANCE S.

Suggerimenti e assistenza A.6 Comportamento di esercizio generale


Perdita del codice Se un codice privato, che autorizza l'accesso ai dati di progettazione, è stato perso, con lo strumento di progettazione non è più possibile accedere al modulo SCALANCE S. L'unica possibilità di ottenere di nuovo l'accesso consiste nel cancellare i dati di progettazione e di conseguenza anche il codice. La cancellazione può essere attivata premendo il tasto reset. Successivamente il modulo SCALANCE S deve essere rimesso in servizio.

A.6 Comportamento di esercizio generale

Adattamento della MTU (Maximum Transmission Unit) La MTU definisce la grandezza ammessa di un pacchetto di dati per la trasmissione nella rete. Se questi pacchetti di dati vengono trasmessi da SCALANCE S tramite il tunnel IPsec, il pacchetto di dati iniziale diventa più grande a causa delle informazioni supplementari dell'intestazione e deve eventualmente essere segmentato per l'ulteriore trasmissione. Questo dipende dalle indicazioni della MTU nella rete collegata. Una segmentazione necessaria può tuttavia comportare notevoli perdite di performance o l'interruzione del trasferimento dei dati.

Questo può essere evitato adattando il formato della MTU, vale a dire ridurlo in modo che i pacchetti di dati in arrivo in SCALANCE possano essere completati con le informazioni supplementari necessarie, senza che ci sia bisogno di una segmentazione finale. Una grandezza adeguata è compresa tra 1000 e 1400 byte.

Suggerimenti e assistenza A.6 Comportamento di esercizio generale



Avvertenze relative al marchio CE B

Denominazione del prodotto SIMATIC NET SCALANCE S602 6GK5602-0BA00-2AA3 SIMATIC NET SCALANCE S612 6GK5612-0BA00-2AA3 SIMATIC NET SCALANCE S613 6GK5613-0BA00-2AA3

Direttiva EMC Direttiva 89/336/EWG "Compatibilità elettromagnetica"

Campo di impiego Il prodotto è progettato per l'impiego nel settore industriale:

Campo di impiego Requisiti richiesti relativi a Emissione di disturbi Resistenza a disturbi Funzionamento industriale EN 61000-6-4 : 2001 EN 61000-6-2 : 2001

Osservanza delle direttive di montaggio Il prodotto soddisfa le richieste se in fase di installazione e durante il funzionamento si rispettano le direttive di montaggio e le avvertenze di sicurezza contenute in questa descrizione e nel manuale "SIMATIC NET Reti Industrial Ethernet TP e Fiber Optic " /1/.

Dichiarazione di conformità La dichiarazione di conformità CE è tenuta a disposizione delle autorità competenti, conformemente alle direttive CE indicate sopra:

Siemens Aktiengesellschaft Bereich Automatisierungs- und Antriebstechnik Industrielle Kommunikation (A&D SC IC) Postfach 4848 D-90327 Nürnberg

Avvertenze relative al marchio CE


Avvertenze per i costruttori di macchine Ai sensi della direttiva macchine CE, il prodotto non è una macchina. Per questo motivo, per questo prodotto non esiste una dichiarazione di conformità riferita alla direttiva CE macchine 89/392/CEE.

Se il prodotto fa parte dell'equipaggiamento di una macchina, il costruttore della macchina deve includerlo nella dichiarazione di conformità.


Bibliografia C

/1/ SIMATIC NET Reti Industrial Twisted Pair e Fiber Optic, edizione 05/2001

Numeri di ordinazione: 6GK1970-1BA10-0AA0 tedesco 6GK1970-1BA10-0AA1 inglese 6GK1970-1BA10-0AA2 francese 6GK1970-1BA10-0AA4 italiano

/2/ Il modem GPRS/GSM SINAUT MD740-1 Manuale di sistema è disponibile in:

http://support.automation.siemens.com/WW/view/de/23940893

Bibliografia



Disegno quotato D

Figura D-1 Dima di fori

Disegno quotato



Cronologia documento EE.1 Cronologia documento

Nell'edizione 02 di questo manuale era nuovo ● nuovo modulo SCALANCE S602

Con SCALANCE S602 è disponibile un ulteriore modulo nella serie della funzionalità di sicurezza scalabile. SCALANCE S602 protegge con Stateful Inspection Firewall, NAT/NAPT Routing, DHCP Server e Syslog.

Nell'edizione 03 di questo manuale era nuovo ● Modalità Routing in SCALANCE S612 / S613

I moduli SCALANCE S S612 e S613 sono disponibili con funzionalità ampliata; ora vengono supportati anche NAT/NAPT Routing, DHCP Server e Syslog.


Con la nuova versione dello strumento di progettazione è possibile progettare i moduli S612 / S613 con le relative nuove funzioni.

● Dati di configurazione per MD 740-1

Per configurare un MD 740-1 esterno, è possibile creare i dati di configurazione con la nuova versione del Security Configuration Tool.

Nell'edizione 04 di questo manuale era nuovo - L'edizione non è stata pubblicata -

Cronologia documento E.1 Cronologia documento


Nell'edizione 05 di questo manuale era nuovo In questa edizione sono inoltre incluse le seguenti nuove funzioni:


Un SOFTNET Security Client può essere configurato insieme ad uno SCALANCE S in modalità Routing. (GETTING STARTED Esempio – accesso remoto)

Oltre alla sotto-rete interna diretta, che si trova in SCALANCE S, nella modalità Routing è possibile configurare e accedere ad altre sotto-reti.

● SOFTNET Security Client V2.0

Nella panoramica del tunnel è stata aggiunta una casella di testo con informazioni di diagnostica per la realizzazione del collegamento.

L'impostazione dell'adattatore di rete è stato semplificato grazie ad un automatismo. Il SOFTNET Security Client tenta di trovare automaticamente un'impostazione dell'adattatore di rete idonea durante l'avvio.

● Dati di configurazione per modulo MD 741-1

Per configurare un MD 741-1 esterno, è possibile creare i dati di configurazione con la nuova versione del Security Configuration Tool.

Nell'edizione 06 di questo manuale era nuovo ● SOFTNET Security Client V3.0



Glossario / indice delle abbreviazioni

AAA AAA riassume un concetto di sicurezza in cui sono integrati Authentication, Authorization e Accounting.

Accordo di codifica Diffie-Hellmann Metodo per lo scambio sicuro di codifiche tramite un cavo non sicuro.

AES Advanced Encryption Standard

Una cifra simmetrica codificata in blocco. In SCALANCE S può essere selezionata per codificare i dati.

ARP Address Resolution Protocol

Un protocollo che serve per la risoluzione dell'indirizzo. Esso svolge il compito di trovare l'indirizzo hardware della rete (indirizzo MAC) corrispondente all'indirizzo di protocollo esistente. Sugli host, sui quali viene utilizzata la famiglia di protocollo Internet, va spesso trovata anche un'implementazione del protocollo ARP. Con l'IP viene formata una rete virtuale con l'aiuto di indirizzi IP. Durante il trasporto dei dati questi IP devono essere riprodotti sugli indirizzi hardware esistenti. Per eseguire questa riproduzione, viene spesso utilizzato il protocollo ARP.

BDC Backup Domain Controller

I Backup Domain Controller contengono una copia di sicurezza dei dati utente e di registrazione che viene aggiornata ad intervalli regolari.

BRI Basic Rate Interface

Collegamento di rete standard a ISDN.

CA Certification Authority



Posizione di certificazione che serve per l'autentificazione, la codifica e la decodifica di dati riservati diffusi tramite Internet e altre reti, nella quale vengono ad esempio emessi e firmati certificati digitali.

Certificato CA Un punto di certificazione (english Certificate Authority, abbreviato CA) è un'organizzazione che emette certificati digitali. Nella comunicazione in reti di computer un certificato digitale è l'equivalente di una carta d'identità. Un punto di certificazione assegna certificati ai nodi della rete e li autentifica.

In SCALANCE S viene generato rispettivamente un certificato CA per ogni gruppo. Il gruppo assegna certificati ai membri del gruppo e li autentifica con il certificato del gruppo (certificato del gruppo = certificato CA).

Certificato SSL I certificati SSL inclusi per l'autentificazione e la comunicazione tra

PG/PC e SCALANCE S durante la configurazione e il logging.

CHAP Challenge Handshake Authentication Protocol

Protocollo di autentificazione che viene impiegato nell'ambito del Point-to-Point Protocol (PPP). PPP è integrato nel livello di sicurezza della famiglia di protocolli Internet.

Client Per Client si intende un apparecchio, o un oggetto in generale, che richiede ad un -> server di eseguire un servizio.

Collegamento SSL Il protocollo SSL si trova tra il TCP (OSI-Layer 4) e i servizi di trasmissione (come p. es. HTTP, FTP, IMAP ecc.) e serve per una transazione protetta. SSL garantisce che l'utente sia collegato in modo univoco al server desiderato (autentificazione) e che i dati sensibili vengano trasmessi tramite un collegamento protetto (codificato).

CTRL La casella di controllo (CTRL) contiene informazioni di controllo per il protocollo LLC .Logical Link Control (LLC) è la denominazione di un protocollo di rete standardizzato da IEEE. Se un protocollo, il cui scopo principale è la sicurezza dei dati nel livello del collegamento e fa quindi parte del livello 2 del modello OSI.

Data Encryption Standard Metodo per la codifica di dati (codifica a 56 bit)



DCP Discovery and basic Configuration Protocol

Un protocollo adatto per rilevare i parametri di indirizzi dai componenti PROFINET.

Definizione servizio IP/MAC Grazie alle definizioni di servizio IP è possibile definire in modo compatto e chiaro le regole firewall. Per questo si assegna un nome e si assegnano al nome i parametri del servizio.

Inoltre è possibile riunire in gruppi i servizi definiti in un sottogruppo. Per la progettazione della regola del filtro pacchetto utilizzare semplicemente questo nome.

DES Data Encryption Standard

Un algoritmo di codifica simmetrico

DES3 Data Encryption Standard

Un metodo di codifica simmetrico, vale a dire per la codifica e la decodifica di dati viene utilizzata la stessa chiave. DES3 significa che l’algoritmo viene indicato tre volte per aumentare la sicurezza.

DHCP Dynamic Host Configuration Protocol

Sulla rete interna SCALANCE S può essere utilizzato come server DHCP. In questo modo è possibile assegnare automaticamente gli indirizzi IP agli apparecchi collegati alla rete interna. Gli indirizzi IP vengono assegnati dinamicamente da una banda di indirizzi indicata oppure viene assegnato un determinato indirizzo IP di un determinato apparecchio.

DMZ Demilitarized Zone

Rete di computer con possibilità di accesso controllate con tecnica di sicurezza al server ad essa collegato.

Encapsulating Security Payload Protocollo per la trasmissione sicura di dati

ESP Encapsulating Security Payload



Il protocollo ESP assicura che i dati trasmessi siano autentici, integri e riservati. ESP consente anche che venga controllata solo l'autenticità dei dati oppure che vengano codificati solo i dati. In SCALANCE S l'ESP viene sempre utilizzato per il controllo dell'autenticità o per la codifica.

Formato PKCS#12 Questo standard definisce un formato PKCS adatto per lo scambio del codice pubblico e di altri codici provati protetti da password.

Funzione MDI/MDI-X Autocrossing La funzione MDI/MDI-X Autocrossing offre il vantaggio di un cablaggio continuo, senza che sia necessario un cavo Ethernet esterno incrociato. In questo modo vengono evitati funzionamenti errati in caso scambio dei cavi di trasmissione e ricezione. L'installazione viene quindi notevolmente semplificata per l'utente.

Gruppi Diffie-Hellman algoritmi crittografici selezionabili nel protocollo di scambio codifiche Oakley

HTTPS Secure Hypertext Transfer Protocol o HyperText Transfer Protocol Secured Socket Layer (SSL)

Protocollo per la trasmissione di dati codificati. Ampliamento di HTTP per la trasmissione protetta di dati riservati con l'aiuto di SSL.

ICMP Internet Control Message Protocol

è un protocollo ausiliario della famiglia di protocolli IP ed è basato sul protocollo IP. Serve per la sostituzione di messaggio informativi e di errore.

ICMP sotto-rete Broadcast Per trovare i nodi IP nella rete interna SCALANCE S trasmette una ICMP Echo Request con l'indirizzo IP sotto-rete Broadcast, vale a dire un indirizzo rivolto a tutti i nodi IP nella sotto-rete interna di SCALANCE S.

ICMP-Echo-Request Pacchetto ping in uscita per controllare la raggiungibilità di un nodo di rete.



Identity Protection La differenza tra Main Mode e Aggressive Mode è la "identity protection" che viene utilizzata nel Main Mode. L'identità viene trasmessa codificata nel Main Mode, mentre nell'Aggressive Mode non viene trasmessa.

IKE Internet Key Exchange

Protocollo per la gestione automatica delle codifiche per IPsec. IKE funziona in due fasi. Nella prima fase si autentificano i due nodi che comunicano tra loro in modo sicuro. L'autentificazione può essere eseguita tramite certificati o tramite codifiche scambiate precedentemente (Pre Shared Keys). Nella seconda fase vengono scambiate le codifiche per la comunicazione dei dati e selezionati gli algoritmi di codifica.

Internet Key Exchange (IKE) Protocollo per la realizzazione del tunnel IPsec. Qui è possibile impostare i parametri per il protocollo del management dei codici IPsec. Lo scambio delle codifiche viene eseguito con il metodo standardizzato IKE. (Impostazioni IKE)

IP Subnet ID ID di rete della sotto-rete: in base all'ID di rete il router riconosce se un indirizzo di destinazione si trova nella sotto-rete o fuori dalla sotto-rete.

ISAKMP Internet Security Association and Key Management Protocol

Protocollo per la realizzazione di Security Associations (SA) e lo scambio di codici crittografici in Internet.

ISP Internet Service Provider

Fornitori di servizi Internet

L2F Layer 2 Forwarding

Protocollo di rete (simile a PPTP) che supporta diversi protocolli e diversi tunnel indipendenti.

L2TP Layer 2 Tunneling Protocol



Protocollo di rete che effettua un tunnel per il frame di protocolli del livello di sicurezza (livello 2) del modello OSI tra due reti tramite Internet per realizzare una rete privata virtuale (VPN).

Larghezza di banda Media massima di un cavo di collegamento (indicazione normalmente in bps).

Logging Possono essere registrati eventi. La registrazione viene eseguita nei cosiddetti file Log (abbreviati con Log). Già nella configurazione è possibile definire i dati che devono essere registrati e se la registrazione deve essere attivata già al caricamento della configurazione.

Marchio VLAN Un pacchetto Ethernet dispone del marchio VLAN se il campo EtherType nell'intestazione del pacchetto Ethernet presenta un determinato valore. L'intestazione del pacchetto Ethernet contiene in questo caso le informazioni sulla LAN virtuale ed eventualmente anche una priorità di pacchetto.

Maximum Transmission Unit MTU

Definisce la grandezza ammessa di un pacchetto di dati per la trasmissione nella rete.

MD Message Digest

Indica un gruppo di un protocollo crittografico.

MD5 Message Digest Version 5

Una funzione di hash criptografica largamente diffusa. MD5 viene impiegata in numerosissime applicazioni di sicurezza per verificare l'integrità dei dati. In SCALANCE S l'MD5 può essere selezionata per il controllo di integrità dei dati che vengono trasmessi in un tunnel.

Metodo Public Key Il senso del metodo di codifica con codifica pubblica consiste nel fatto che il rischio di sicurezza viene notevolmente ridotto in caso di scambio reciproco della codifica. Ciascuno dispone di una coppia di codifiche con una codifica pubblica e una privata. Per codificare un messaggio si utilizza la codifica pubblica del destinatario, e solo questo può decodificare il messaggio con la propria codifica.



NAPT Network Address Port Translation

un metodo nel quale in un router un indirizzo IP viene sostituito con un altro indirizzo IP e inoltre il numero di porta viene sostituito con un altro numero di porta in un telegramma.

NAT Network Address Translation

un metodo nel quale in un router un indirizzo IP in un telegramma viene sostituito con un altro.

NAT Traversal È un procedimento che consente di attraversare apparecchi NAT con dati IPsec.

Nodi di rete ISO Nodi di rete che non hanno funzione IP, ma che sono interrogabili tramite protocolli ISO.

One Shot Buffer La registrazione si arresta quando il buffer è pieno.

Organizationally Unique Identifier Indica i primi 3 byte dell'indirizzo MAC = identificazione produttore.

OUI Organizationally Unique Identifier

numero a 24 bit che viene assegnato a ditte dall'IEEE Registration Authority. Le ditte utilizzano l'OUI per diversi prodotti hardware, anche come i primi 24 bit dell'indirizzo MAC.

PAP Password Authentication Protocol

Protocollo di autentificazione password

PEM Privacy Enhanced Mail; Privacy Enhanced Mail

uno standard per la codifica di e-mail in Internet



Perfect Forward Secrecy Perfect Forward Secrecy

assicura che le nuove negoziazioni di codifica non siano collegate alle codifiche precedenti. La disattivazione di questa opzione consente una codifica più rapida ma meno sicura.

PGP Pretty Good Privacy

è un programma per la codifica e la firma elettronica di dati.

Ping Contrassegna un protocollo di test della famiglia di protocolli IP. Questo protocollo si trova su ogni computer MS-Windows con lo stesso nome come applicazione di consolle (livello righe di comando). Con "Ping" è possibile richiedere una risposta (segno di attività) ad un nodo IP all'interno di un insieme di reti, a condizione che se ne conosca l'indirizzo IP. In questo modo è possibile determinare se questo nodo di rete è raggiungibile sul livello IP e controllare l'efficacia della funzionalità SCALANCE S configurata.

PKCS Public Key Cryptography Standards

sono specifiche per codici crittografici sviluppate da RSA Security e altri. Un certificato collega dati di un codice crittografico (o coppia di codici, costituita da codici pubblici e provati) a dati del proprietario e di un punto di certificazione.

PKI Public Key Infrastructure

indica la crittografia di un sistema che consente di creare, distribuire e controllare certificati digitali. I certificati creati all'interno di una PKI vengono utilizzati per proteggere la comunicazione supportata dal computer.

PoP Point of Presence

Nodi di selezione di un Internet Provider

PPP Point-to-Point Protocol - Protocollo punto-a-punto

PPTP Point-to-Point Tunneling Protocol



è un protocollo per la realizzazione di una Virtual Private Network (VPN). Consente la realizzazione del tunnel del PPP attraverso una rete IP.

Preshared Keys Contrassegna un metodo di codifica simmetrico. La codifica deve essere nota ai due lati prima della comunicazione. Anche questa codifica viene generata automaticamente alla creazione di un gruppo. Tuttavia, nella finestra di dialogo Security Configuration Tool "Group Properties", casella "Key" è necessario aver immesso precedentemente una password dalla quale viene generata questa codifica.

Protocollo di scambio di codifiche Oakley Il protocollo OAKLEY Key Determination descrive la creazione di materiale di codifica segreto. È una parte dell'Internet Key Exchange Protocol (IKE).

Protocollo MAC Controllo di accesso ad un mezzo di trasmissione

PST (Tool) Primary Setup Tool

Con il Primary Setup Tool (PST) è possibile assegnare un indirizzo (ad es. indirizzo IP) a componenti di rete SIMATIC NET, CP Ethernet SIMATIC NET e ad accoppiamenti ad altre reti.

PSTN Public Switched Telephone Network

sistema di comunicazione pubblico per il traffico telefonico tra nodi remoti.

RAS Remote Access Service

Con il Remote Access Service esiste la possibilità di collegare client ad una rete locale tramite un collegamento modem, ISDN o X.25. Di conseguenza vengono supportati non solo diversi client, ma è disponibile anche un'elevata flessibilità nella scelta e nella possibilità di combinare i protocolli di rete utilizzati.

Regola filtro pacchetti Con le regole filtro pacchetti si definisce se un pacchetto di dati attraversa il filtro pacchetti o meno. Questa decisione viene presa in base ai campi del protocollo. Gli esempi per i campi del protocollo sono gli indirizzi sorgente o di destinazione IP. In SCALANCE S è possibile indicare regole filtro per protocolli MAC o protocolli IP.



Regola filtro pacchetti MAC Con le regole filtro pacchetti MAC è possibile filtrare i telegrammi MAC.

Router NAT/NAPT Questa tecnica consente di ottenere l'anonimato degli indirizzi dei nodi nella sotto-rete interna verso l'esterno nella rete esterna; essi sono visibili nella rete esterna solo tramite gli indirizzi IP esterni definiti nella lista di conversione.

RSA Rivest, Shamir & Adleman Algorithm

è un sistema di crittografia asimmetrico che può essere utilizzato sia per codificare sia per la firma digitale. Esso utilizza una coppia di codici composta da un codice privato, per decodificare o firmare dati, e da un codice pubblico, con il quale si controllano le codifiche e le firme. Il codice privato viene mantenuto segreto e non può essere calcolato oppure può essere calcolato solo con una procedura estremamente complicata dal codice pubblico.

Secure Hash Algorithm 1 Algoritmo per verificare dati

Security Configuration Tool SCT

Strumenti di progettazione per prodotti SCALANCE S.

Server Un server è un apparecchio, o un oggetto in generale, che può eseguire determinati servizi; il servizio viene eseguito in seguito a richiesta da parte di un -> client.

Servizi Potenzialità offerta da un protocollo di comunicazione.

SHA1 Secure Hash Algorithm 1

Funzione di hash criptografica largamente diffusa. In SCALANCE S l'SHA1 può essere selezionata per il controllo di integrità dei dati che vengono trasmessi in un tunnel.

SIMATIC NET Siemens SIMATIC Network and Communication. Denominazione di prodotto per reti e componenti di rete della Siemens. (fino ad ora SINEC)



SNAP Subnetwork Access Protocol

Meccanismo per eseguire il multiplexing di protocolli nelle reti che utilizzano IEEE 802.2.

SOHO Small Office, Home Office

SSN = DMZ Secure Server Net = Demilitarized Zone

Stateful Packet Inspection Stateful Inspection (anche Stateful Packet Filter o Dynamic Packet Filter) è una tecnologia firewall che funziona sia sui livelli di rete, sia sui livelli di utenti. I pacchetti IP vengono ricevuti sul livello di rete, ispezionati da un modulo di analisi e confrontati con una tabella di stato. Per i partner di comunicazione si rappresenta un firewall con Stateful Inspection come cavo diretto, che consente sol una comunicazione in base alle regole.

Syslog Un servizio che riceve messaggi di sistema su un server (server Syslog) e li registra per esempio in file Log.

TACACS Terminal Access Controller Access Control System; il Terminal Access Controller Access Control System (TACACS) è un protocollo AAA. Esso serve per la comunicazione client-server tra server AAA e un Network Access Server (NAS). Il server TACACS mette a disposizione un'istanza di autentificazione centrale per gli utenti remoti che intendono realizzare un collegamento IP con un NAS.

Traffico IP Indica la comunicazione in reti di computer che utilizza il protocollo IP come protocollo di rete.

Tunnel Tunnel o Tunneling indica l'utilizzo del protocollo di comunicazione di un servizio di rete come mezzo di trasporto per dati che non fanno parte di questo servizio.




Indice analitico

A Advanced Mode, 233 Alimentazione, 17 ampliato

campo di temperatura, 18 Apparecchio sostitutivo, 38 Applicazioni standard, 17 Assegnazioni ai gruppi, 115 Authentification

Utenti, 120 Autocrossing, 20 Autonegotation, 20

B Barra dei menu, 113 Blocchi di regole firewall

globali, 116 Blocchi di regole IP, 144 Blocchi di regole MAC, 144 Broadcast, 184

C Caricamento, 126 Caso di sostituzione, 38 CD, 19, 111 CD SCALANCE S, 111 Certicifati SSL, 165 Certificate, 184 Check Consistency, 178

in tutto il progetto ~, 122 locale ~, 122

Codifica, 111, 119 Codifica IPSec, 13, 15 Collegamenti, 25, 127 Collegamento a terra, 31 Compito del SOFTNET Security Client, 13 Configurazione

caricamento della configurazione progettata, 32 prima, 32

Configurazione software, 25 Contatto di segnalazione, 18, 21

Conversione dell'indirizzo, 167 Coperchio a vite M32, 36 C-PLUG, 16, 36

non scritto, 37 rimozione, 39 Ripristino, 38

D Dati del progetto

coerenti, 111 Dati elettrici, 25 DCP (Primary Setup Tool), 161 Dead-Peer-Detection (DPD), 194 DHCP

Symbolic Names, 123 Diritti di amministratore, 39 Durata dei certificati, 186

F Firewall, 13, 15, 137

Preimpostazione, 140 Regole firewall, 132 Regole predefinite, 139 Symbolic Names, 123

Firewall per telegrammi Ethernet-Non-IP secondo IEEE 802.3, 132132

Fornitura, 18 Funzionalità di programmazione, 13, 15, 196 Funzionalità tunnel, 181 Funzionamento router, 15 Funzionamento VLAN, 184 Funzione MDI /MDIX autocrossing, 20

G Gestione utenti, 116, 120 Grado di protezione, 17 Gruppi di servizi, 162 Gruppo, 184 Gruppo di servizi, 162 Guida ad U, 17, 28 Guida profilata, 28, 30 Guida profilata S7-300, 32

Indice analitico


H Hardware, 17 HTTPS (SSL), 141

I ICMP Services, 156 IEEE 802.3, 132 IKE, 141 Impostazione della fabbrica, 22 Impostazioni della fabbrica, 33

di un modulo, 135 Impostazioni IKE, 188, 189 Impostazioni IPSec, 188, 190 Impostazioni Security, 205 incrociato

cavo Ethernet, 20 Indicatore Fault (F), 24 Indicatore Power (L1, L2), 24 Indicatori, 24

Indicatore di errore, 2424 Indicatori dello stato delle porte, 24 Indipendenza dal protocollo, 13 Indirizzo MAC, 136 Interfacce TP, 19 IP Firewall con Stateful Packet Inspection, 132

L Logging

Classi di evento, 232 Lunghezze cavi, 25

M MAC address, 32, 38, 135

in modalità Routing, 136 stampigliato, 136

MAC Rules, 158 manipolazione dei dati, 11 Maschera della sotto-rete, 135 MD 740

Certificato gruppi, 128 Certificato modulo, 128 Creazione del file di configurazione, 128

Messa in servizio, 32 Metodo di autentificazione, 183, 188 Modalità ampliata, 110 Modalità di programmazione, 196 Modalità Routing, 133

Modalità standard, 110, 233 Modulo

creazione, 134 Montaggio, 27, 28 Montaggio

Tipi di montaggio, 2828 Montaggio

Montaggio su una guida ad U, 2828 Montaggio

Smontaggio, 2929 Montaggio

Montaggio su una guida profilata, 3030 Montaggio

Montaggio a parete, 31, 3231, 32 Montaggio

Montaggio a parete, 31, 3231, 32 Montaggio a parete, 31, 32 Morsettiera, 18 Multicast, 184

N NAT/NAPT, 167 National Electrical Code,table 11 (b), 20 Network Address Port Translation, 170 Network Adress Translation, 169 Nodi di rete

non programmabili, 200 Nodi esterni, 14, 16 Nodi interni, 14, 16 Nomi del gruppo, 154, 160 Norme, omologazioni, 26

ATEX 95, 27 EN 50021, 27 EN61000-4-5, 27 IEC950/EN60950/ VDE0805, 20

NTP Server, 163 Numeri di ordinazione, 26

O Offline, 110 Omologazioni, 17 Omologazioni norme marine, omologazioni, 26 Online, 110 Ora locale del PC, 163

P Panoramica delle funzioni

Tipi di apparecchio, 18

Indice analitico


Parametri di indirizzo, 135 Possibilità di collegamento, 19 Posto connettore C-PLUG, 36 Prese RJ-45, 19 Preshared Keys, 184 progettata offline, 32 Progetto, 115

creazione, 117 Valori di inizializzazione, 117

Protezione contro l'accesso, 16 Protocollo ESP, 141

R Regole del filtro pacchetto IP, 149 Regole del filtro pacchetto MAC, 157 Regole di base per il firewall, 33 Regole firewall globali, 132, 144 Regole firewall locali, 132 Ripartizione del carico, 21 Ripristino delle impostazioni della fabbrica, 23 Router, 133

Esterni, 136 Router NAT/NAPT, 133 Standard, 136

Router NAT/NAPT Symbolic Names, 123

Router NAT/NAPT, 167 Router predefinito, 135

S Security Configuration Tool, 16, 109

Barra dei menu, 113 Modi operativi, 110 Visualizzazioni di comando, 110

Security Module SCALANCE S, 11 Senza retroeffetto, 13, 15 Server DHCP, 133

Configurazione, 176 Servizi IP, 153 Servizi MAC, 160 SiClock, 161 SOFTNET Security Client, 13

Ambiente di impiego, 205 Base dati, 208 Comportamento all'avvio, 206 disinstallazione, 207 Load Configuration Data, 211 Programmazione dei nodi interni, 218

spionaggio dei dati, 11, 14

Stateful Packet Inspection, 132 Stato alla fornitura, 33 Supporto dati

C-PLUG, 16 Symbolic Names, 123 Syslog

Symbolic Names, 123

T Tabella dei simboli, 123 Tasto Reset, 22 Telegrammi layer 2, 13, 15 Telegrammi non-IP, 183 Temperature ambiente/EMC, 26 Tensione alternata, 21 Tensione di alimentazione, 20 Timbro dell'ora

di registrazioni Log, 163 Tunnel, 181 Tunnel IPsec, 13, 181

U Update del firmware, 39 Utenti

autorizzati, 111 configurazione, 120

V VLAN tagging, 184 Voci di menu, 113 VPN, 13, 181

Proprietà specifiche per il modulo, 193 SOFTNET Security Client, 203

VPN Tunnel, 13, 15

W Windows 2000, 111 Windows XP / SP1 o SP2, 111

Indice analitico


Date post:	14-Oct-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

SCALANCE S e SOFTNET Security Client - Siemens...3.4.3 Configurazione delle impostazioni IP dei...

Documents