SCALANCE-Familie, CPx43-1 Advanced (V3), …...• IPsec • WPA • SSL Für die Verschlüsselung sind auf Sender- und Empfängerseite Systeme notwendig, welche die Ver- bzw. Entschlüsselung

Applikationen & Tools

Answers for industry.

Deckblatt

Security mit SIMATIC NET SCALANCE-Familie, CPx43-1 Advanced (V3), SOFTNET Security Client

Kompendium Januar 2013

2 Security SIMATIC NET

V2.0, Beitrags-ID: 27043887

Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Siemens Industry Online Support Dieser Beitrag stammt aus dem Siemens Industry Online Support. Durch den folgenden Link gelangen Sie direkt zur Downloadseite dieses Dokuments: http://support.automation.siemens.com/WW/view/de/27043887 Vorsicht: Die in diesem Beitrag beschriebenen Funktionen und Lösungen beschränken sich überwiegend auf die Realisierung der Automatisierungsaufgabe. Bitte beachten Sie darüber hinaus, dass bei Vernetzung Ihrer Anlage mit anderen Anlagenteilen, dem Unternehmensnetz oder dem Internet entsprechende Schutzmaßnahmen im Rahmen von Industrial Security zu ergreifen sind. Weitere Informationen dazu finden Sie unter der Beitrags-ID 50203404. http://support.automation.siemens.com/WW/view/de/50203404

http://support.automation.siemens.com/WW/view/de/27043887


Security SIMATIC NET V2.0, Beitrags-ID: 27043887 3

Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

s

SIMATIC Security mit SIMATIC NET Industrial Security

Übersicht wichtiger Begriffe und Technologien

1 Risikominimierung durch Security

2 Mögliche Szenarien zur Datensicherung

3 Grundlagen und Prinzipien

4

SIMATIC NET Produkte 5

Abkürzungsverzeichnis 6

Literaturhinweise 7

Historie 8

Gewährleistung und Haftung



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Gewährleistung und Haftung

Hinweis Die Applikationsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Applikationsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Auf-gabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Applikationsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Applikationsbeispielen jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Applikationsbeispiel und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.

Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadens-ersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden. Weitergabe oder Vervielfältigung dieser Applikationsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens Industry Sector zugestanden.

Vorwort


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Vorwort Ziel der Applikation

Mit der steigenden Verwendung von Ethernet bis in die Feldebene gewinnt das Thema Sicherheit auch in der Automatisierungstechnik immer mehr an Bedeutung. Dieses Dokument soll das Thema „Industrial Security“ in Theorie und Praxis näher erläutern.

Kerninhalte dieses Dokuments Folgende Kernpunkte werden dabei berücksichtigt: • Einführung grundlegender, für das Verständnis wichtiger Begriffe aus der

Datenkommunikation und –Sicherheit. • Erörterung der Problematik einer sicheren Datenübertragung. • Darstellung von möglichen Security-Szenarien mit der Produktpalette von

SIMATIC NET. • Beschreibung der Grundlagen zur Kommunikation und der wichtigsten

Sicherheitsmechanismen in der Theorie.

Abgrenzung Dieses Dokument ist ein Übersichtsdokument zum Thema Industrial Security und enthält keine ausführlichen Applikations- bzw. Konfigurationsanleitungen. Eine Auswahl an Beispielkonfigurationen finden Sie auf den-Seiten des Siemens Industry Online Support (http://support.automation.siemens.com).

http://support.automation.siemens.com/

Inhaltsverzeichnis



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Inhaltsverzeichnis Gewährleistung und Haftung ...................................................................................... 4 Vorwort .......................................................................................................................... 5 Inhaltsverzeichnis ........................................................................................................ 6 1 Übersicht wichtiger Begriffe und Technologien ............................................ 8

1.1 Teilnehmer-Adressierung ..................................................................... 8 1.2 Übertragungsprotokolle ........................................................................ 9 1.3 Firewalling ............................................................................................ 9 1.4 Verschlüsselung ................................................................................... 9

2 Risikominimierung durch Security ................................................................ 10 2.1 Problembeschreibung ........................................................................ 10 2.2 Bedingungen und Anforderungen ...................................................... 10 2.3 Das Schutzkonzept von Siemens: „Defense in Depth“ ...................... 11 2.3.1 Die Siemens-Lösung für die Anlagensicherheit ................................. 11 2.3.2 Die Siemens-Lösung für die Netzwerksicherheit ............................... 12 2.3.3 Die Siemens-Lösung für die Systemintegrität .................................... 14

3 Mögliche Szenarien zum Datenschutz .......................................................... 15 3.1 Teilnehmerbeschränkung auf S7-Steuerungen ................................. 15 3.1.1 Schutz im Endgerät ............................................................................ 17 3.1.2 Schutz durch eine Firewall ................................................................. 18 3.1.3 Schutz durch „Segmentierung“ .......................................................... 20 3.1.4 Schutz durch Authentifizierung .......................................................... 21 3.2 Kommunikationsbeschränkung bei Anlagen / Einzelgeräten ............. 22 3.3 Bandbreitenbeschränkung ................................................................. 24 3.4 Sicherer Fernzugriff via Internet ......................................................... 25 3.4.1 Zugriff auf eine Anlage mit DSL-Anschluss........................................ 27 3.4.2 Zugriff auf eine über das Mobilfunknetz erreichbare Anlage ............. 29 3.5 Sichere Datenkommunikation zwischen Anlagenteilen ..................... 31 3.5.1 Datenkommunikation via Internet ....................................................... 31 3.5.2 Datenkommunikation via LAN ............................................................ 34 3.6 WLAN-Szenario mit SCALANCE W ................................................... 39 3.7 WLAN-Szenario mit unsicheren Komponenten ................................. 41

4 Grundlagen und Prinzipien ............................................................................. 43 4.1 Grundlagen von Ethernet und der IP-Protokollfamilie ........................ 43 4.1.1 Das OSI-Modell (7-Schichten-Modell) ................................................ 43 4.1.2 Systemadressierung (MAC- und IP-Adresse) .................................... 44 4.1.3 Adressauflösung mittels ARP ............................................................. 45 4.1.4 Aufbau eines Datenpaketes ............................................................... 47 4.1.5 Bildung von Subnetzen und Routing .................................................. 48 4.1.6 Das Transmission Control Protocol (TCP) ......................................... 49 4.1.7 Das User Datagram Protocol (UDP) .................................................. 50 4.1.8 Portadressierung ................................................................................ 50 4.2 Grundlagen zur Datenübertragung über Funk ................................... 51 4.2.1 Das Funkverfahren Wireless LAN ...................................................... 51 4.2.2 Die Funkverfahren GPRS und EDGE ................................................ 52 4.2.3 Das Funkverfahren UMTS (3G) ......................................................... 53 4.3 Security-Mechanismen für Wireless LAN ........................................... 54 4.3.1 WEP (Wired Equivalent Privacy) ........................................................ 54 4.3.2 WPA (Wi-Fi Protected Access) .......................................................... 54 4.3.3 WPA2 und AES (Advanced Encryption Standard) ............................. 55 4.3.4 EAP (Extensible Authentication Protocol) .......................................... 55 4.3.5 MAC-Filter .......................................................................................... 55

Inhaltsverzeichnis


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.4 Security-Mechanismus: die Firewall ................................................... 56 4.4.1 Paketfilter ........................................................................................... 56 4.4.2 Stateful Inspection Firewalls .............................................................. 57 4.4.3 Application Gateways ......................................................................... 57 4.5 Security-Mechanismus: der VPN-Tunnel ........................................... 58 4.5.1 Virtuelles privates Netzwerk ............................................................... 58 4.5.2 Der Sicherheitsstandard IPsec ........................................................... 59 4.5.3 Schlüsselmanagement ....................................................................... 61 4.5.4 Schlüsselaustauschverfahren ............................................................ 63 4.5.5 Initiierung eines IPsec-VPN-Tunnels ................................................. 64 4.6 Security-Mechanismus: Adressumsetzung mit NA(P)T ..................... 65 4.6.1 Die Adressumsetzung mit NAT .......................................................... 65 4.6.2 Die Adressumsetzung mit NAPT ........................................................ 66 4.6.3 Zusammenhang zwischen NA(P)T und Firewall ................................ 66 4.7 Grundlagen zu (sicheren) IT-Funktionen ........................................... 67 4.7.1 Das File Transfer Protocol (FTP) ....................................................... 67 4.7.2 Das Network Time Protocol (NTP) ..................................................... 69 4.7.3 Das Hypertext Transfer Protocol (HTTP) ........................................... 70 4.7.4 Das Simple Network Management Protocol (SNMP) ........................ 70

5 SIMATIC NET Produkte ................................................................................... 72 5.1 SCALANCE Produktfamilie ................................................................ 72 5.1.1 Industrial Switching – SCALANCE X ................................................. 72 5.1.2 Industrial Wireless LAN – SCALANCE W .......................................... 74 5.1.3 Industrial Security – SCALANCE S .................................................... 75 5.2 Kommunikationsprozessoren ............................................................. 77 5.2.1 CPx43-1 Advanced V3 ....................................................................... 77 5.2.2 CP1628............................................................................................... 79 5.3 SCALANCE M875 .............................................................................. 80 5.4 SOFTNET Security Client .................................................................. 81

6 Abkürzungsverzeichnis .................................................................................. 82 7 Literaturhinweise ............................................................................................. 83

7.1 Literaturangaben ................................................................................ 83 7.2 Internet-Link-Angaben ........................................................................ 84

8 Historie.............................................................................................................. 84

1 Übersicht wichtiger Begriffe und Technologien 1.1 Teilnehmer-Adressierung



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

1 Übersicht wichtiger Begriffe und Technologien Mit dem Vormarsch von Industrial Ethernet und PROFINET in die Fertigung halten auch die Mechanismen und Protokolle der IP-Welt Einzug in die Automatisierung.

Hinweis Dieses Kapitel gibt eine kurze Erklärung zu Begriffen, die für das weitere Verständnis hilfreich sind.

Eine ausführlichere Beschreibung zu diesen und weiteren Begriffen finden Sie im Kapitel 4 (Grundlagen und Prinzipien).

1.1 Teilnehmer-Adressierung

Jedes an ein Ethernet-Netz angeschlossenes System wird durch eine MAC-Adresse eindeutig spezifiziert. Diese MAC-Adresse besteht aus 6 Byte. Die ersten 3 Byte spezifizieren den Hersteller, die letzten 3 Byte werden von den Herstellern fortlaufend vergeben. Die Schreibweise ist überwiegend hexadezimal: Abbildung 1-1

00 1B 1B FA CE 36Spezifiziert den

Hersteller (hier Siemens AG)

Vom Hersteller fortlaufend vergeben

Abhängig von der Struktur des Netzwerkes wird jeder MAC-Adresse eine oder mehrere IP-Adressen zugewiesen. Die IP-Adresse besteht bei IPv4 aus 4 Byte und wird mit vier durch Punkte getrennten Dezimalstellen dargestellt. Der rasante Anstieg netzwerkfähiger Geräte führt dazu, dass die Anzahl der durch IPv4 möglichen IP-Adressen knapp wird. IPv6 soll diesem entgegen wirken. Bei IPv6 stehen für die IP-Adresse 16 Byte zur Verfügung. Dargestellt wird die Adresse durch acht Blöcke aus jeweils vier Hexadezimalzahlen, jeweils durch einen Doppelpunkt getrennt. Abbildung 1-2

IPv4: 157.234.14.87IPv6: 2012:0dc8:89a3:08d3:1219:8f2e:aa70:7364

1 Übersicht wichtiger Begriffe und Technologien 1.2 Übertragungsprotokolle


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

1.2 Übertragungsprotokolle

Die in einem Industrial Ethernet verwendeten Protokolle entstammen der IP-Protokollfamilie. Sie werden unterteilt in verbindungsorientierte TCP-Protokolle und verbindungslose UDP-Protokolle. Die IP-Protokolle verdanken ihre Entwicklung dem Umstand, dass lange Zeit offizielle Normen und Standards zur Integration verschiedener Computer in einem Netz gefehlt haben. Anfang der 70er Jahre beauftragte das amerikanische Verteidigungsministerium eine seiner Abteilungen mit der Entwicklung und Definition eines Kommunikationsprotokolls für Verbindungen und Datenaustausch in herstellerunabhängigen, heterogenen Rechnernetzen. Die experimentelle Plattform für erste Versuche mit diesen Kommunikationsprotokollen stellte das paketorientierte Wide Area Network Arpanet (Advanced Research Projects Agency Network) dar. Die Protokollspezifikationen wurden in sogenannten Request for Comments (RFCs) festgeschrieben und veröffentlicht. Nach Beendigung der Entwicklungsarbeiten erklärte das amerikanische Verteidigungsministerium TCP/IP Anfang der 80er Jahre zu seinem Standard-Kommunikationsprotokoll. Viele der definierten RFCs wurden unverändert als militärische Standards übernommen. Der zivile Durchbruch gelang TCP/IP durch die erste Implementierung im UNIX-System 4.2BSD. Dieser Sourcecode wurde später als PublicDomain-Software von der Universität von Berkeley zur Verfügung gestellt. Alle UNIX-Systeme haben wenig später TCP/IP übernommen, weitere Betriebssysteme sprangen auf.

1.3 Firewalling

Firewalling beschreibt die Filterung des Datenverkehrs anhand von Informationen im sogenannten Headerfeld der Datenpakete. Beim Header handelt es sich um Informationen bezüglich des Senders, des Empfängers, der benutzten Übertragungsprotokolle usw., die den eigentlichen Nutzdaten vorangestellt werden. Eine Filterung des Datenverkehrs kann erfolgen nach: • MAC-Adressen • IP-Adressen • Kommunikationsprotokollen Zusätzlich besteht die Möglichkeit, die syntaktische Korrektheit der verwendeten Kommunikationsprotokolle zu überprüfen.

1.4 Verschlüsselung

Mit der Verschlüsselung der zu übertragenden Daten können die Vertraulichkeit und auch die Integrität während der Datenübertragung sichergestellt werden. Die am häufigsten verwendeten Verschlüsselungsverfahren sind: • IPsec • WPA • SSL Für die Verschlüsselung sind auf Sender- und Empfängerseite Systeme notwendig, welche die Ver- bzw. Entschlüsselung der Datenpakete vornehmen können. Diese können entweder als eigenständige Hardware (z. B. SCALANCE S612) oder softwarebasiert (z. B. SOFTNET Security Client) realisiert sein.

2 Risikominimierung durch Security 2.1 Problembeschreibung



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

2 Risikominimierung durch Security 2.1 Problembeschreibung

In der industriellen Automatisierung zeichnen sich zwei starke Trendthemen ab: • Die kabellose Datenübertragung • Die Sicherheit der Netzwerke innerhalb der Produktion Insbesondere das Thema Sicherheit ist aufgrund des Vormarsches industrieller Ethernet-Lösungen und vieler ungesicherter Schnittstellen von größter Bedeutung. Gerade der Einsatz von Standardkomponenten aus der Informationstechnologie und der Vormarsch ethernetbasierender Kommunikationsstandards bieten Angriffsmöglichkeiten, wie sie bei den in der Vergangenheit häufig physikalisch abgeschotteten Automatisierungsinseln bisher nicht bekannt waren.

2.2 Bedingungen und Anforderungen

Anforderungen Die Anforderungen an die Sicherheit sind unter anderem: • Datenvertraulichkeit: Die Nutzdaten müssen verschlüsselt und vor Unbefugten

geschützt werden. • Teilnehmerberechtigung: Es dürfen nur definierte Teilnehmer an der

Datenkommunikation teilnehmen. Eine Authentifizierung ist erforderlich. • Paketidentifizierung: Es muss sichergestellt werden, dass die Datenpakete

unverändert an ihrer Zieladresse ankommen. • Vertraulichkeit: Netzwerke hinter den VPN-Gateways sollen für Dritte

verborgen bleiben.

Bedingungen der Automatisierungstechnik Die speziellen Erfordernisse der Automatisierungstechnik sind: • Berücksichtigung der Effektivität und Wirtschaftlichkeit durch Nutzung

vorhandener Infrastruktur. • Rückwirkungsfreie Integration: Die bestehende Netzinfrastruktur darf nicht

verändert und vorhandene Komponenten nicht neu konfiguriert werden. • Bewahrung der Datensicherheit durch Schutz vor unbefugten Zugriffen. • Verfügbarkeit: Gerade bei der Fernwirktechnik ist es unerlässlich, dass die

Verbindung zwischen Zentrale und Produktionsanlage robust, sicher und zuverlässig ist.

2 Risikominimierung durch Security 2.3 Das Schutzkonzept von Siemens: „Defense in Depth“


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

2.3 Das Schutzkonzept von Siemens: „Defense in Depth“

Mehrstufiges Sicherheitskonzept Die zunehmende Vernetzung und der Einsatz von bewährten Technologien der „Office-Welt“ in Automatisierungsanlagen führen zu einem erhöhten Bedarf an Sicherheit. Dabei reicht es nicht aus, nur einen oberflächlichen und limitierten Schutz anzubieten, da Angriffe von außen auf mehreren Ebenen erfolgen können. Für einen optimalen Schutz ist ein tiefes Sicherheitsbewusstsein notwendig. Zur Erreichung der geforderten Sicherheitsziele arbeitet Siemens nach der „Defense in Depth“-Strategie. Diese Strategie verfolgt den Ansatz eines mehrschichtigen Sicherheitsmodells bestehend aus folgenden Komponenten: • Anlagensicherheit • Netzwerksicherheit • Systemintegrität Der Vorteil dieser Strategie ist, dass ein Angreifer erst mehrere Sicherheitsmechanismen überwinden muss, um Schaden anrichten zu können. Die Sicherheitsanforderungen der einzelnen Schichten können individuell berücksichtigt werden.

Instrumente der „Defense in Depth“-Strategie Zur Umsetzung dieses Schutzkonzeptes sind z. B. zwei Sicherheitsmittel aus dem Bereich der Netzwerksicherheit erwähnenswert: die Firewall und der VPN-Tunnel. Eine Firewall wird eingesetzt, um den Datenverkehr zu kontrollieren. Dabei können durch Filterung Pakete verworfen und Netzzugänge gesperrt bzw. gewährt werden. Zur Sicherung der Kommunikation gegen Spionage und Manipulation wird VPN (IPsec) eingesetzt.

2.3.1 Die Siemens-Lösung für die Anlagensicherheit

Die Basis für die Planung und Realisierung einer Industrial Security-Lösung ist die Implementierung eines zweckmäßigen, übergreifenden Sicherheitsmanagements. Security-Management ist ein Prozess, der im Wesentlichen vier Schritte umfasst: • Risikoanalyse mit Definition von Risikominderungsmaßnahmen: Diese

Maßnahmen müssen in Abhängigkeit von den ermittelten Bedrohungen und Risiken für die Anlage definiert werden.

• Festlegung von Richtlinien und Koordination organisatorischer Maßnahmen. • Abstimmung technischer Maßnahmen. • Konsequenter Security-Management-Prozess mit regelmäßiger oder

ereignisabhängiger Wiederholung der Risikoanalyse.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

2.3.2 Die Siemens-Lösung für die Netzwerksicherheit

Befinden sich in einem Netzsegment Steuerungen oder andere intelligente Geräte, die über keinen oder nur einen minimalen Eigenschutz verfügen, bleibt nur die Möglichkeit, diesen Geräten eine abgesicherte Netzwerkumgebung zu schaffen. Am einfachsten ist dies mit speziellen Routern oder Gateways. Sie stellen die Sicherheit durch integrierte Firewalls in Industriequalität her und sind dadurch auch selbst geschützt. Zusätzliche Sicherheit bietet die Segmentierung einzelner Teilnetze z. B. mittels Zellenschutzkonzept oder über eine demilitarisierte Zone (DMZ). Die von Siemens konzipierte Sicherheitslösung wurde speziell für die Anforderungen im Automatisierungsumfeld erarbeitet, um dem zunehmenden Bedarf an Netzwerksicherheit gerecht zu werden, die Störanfälligkeit der gesamten Produktionsanlage zu reduzieren und damit deren Verfügbarkeit zu erhöhen.

Das Zellenschutzkonzept Der Kern dieses Konzeptes besteht darin, das Automatisierungsnetzwerk sicherheitstechnisch zu segmentieren und geschützte Automatisierungszellen zu bilden. Zellen sind demnach sicherheitstechnisch abgekoppelte Netzsegmente. Die Netzknoten innerhalb einer Zelle werden durch spezielle Security-Module geschützt, um den Datenverkehr von und zur Zelle zu kontrollieren und die Berechtigungen zu überprüfen. Es werden nur autorisierte Telegramme durchgelassen. Dies kann per VPN (Virtual Private Network) und Firewall erfolgen. Abbildung 2-1

Internes Netzwerk

Unternehmensnetz

Automatisierungszelle 1 Automatisierungszelle n

Security Modul

Security Modul

Erlaubte KommunikationVerbotene / eingeschränkteKommunikation

Vorteile des Zellenkonzeptes Das Konzept des Zellenschutzes dient vor allem dazu, alle Geräte zu schützen, die sich nicht selbst schützen können. Meist sind das Geräte, bei denen eine Aufrüstung mit Security-Funktionen zu kostenintensiv ist. Ein weiterer Grund ist die fehlende technische Realisierbarkeit. Vor allem kleinere Automatisierungsgeräte besitzen nicht die notwendigen Hardwarevoraussetzungen.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Das Security-Modul, welches die komplette Zelle schützt, sichert mehrere Geräte gleichzeitig, was neben geringeren Kosten auch weniger Konfigurationsaufwand bedeutet.

Echtzeit und Security Prinzipiell sind Echtzeitkommunikation und Security zwei gegensätzliche Anforderungen. Die Überprüfung der Telegramme anhand der Regeln oder Konfigurationen kostet Zeit und Performance. Mit dem Zellenschutzkonzept ist es möglich, beide Anforderungen gleichzeitig zu erreichen. Innerhalb einer Zelle kann Echtzeitkommunikation völlig unbeeinflusst von Security-Mechanismen ablaufen. Die Datenkontrolle durch das Security-Modul erfolgt am Zelleneingang.

Security-Komponenten Zur Realisierung des Zellenschutzkonzeptes bietet Siemens Security-Module und -Software sowie Kommunikationsbaugruppen, die neben ihren Kommunikations-funktionen auch spezielle Security-Funktionen integriert haben: • S7 Advanced Communication Processors (VPN, Firewall)

CP443-1 Advanced V3.0 und CP343-1 Advanced V3.0 • Security PC-CP (VPN, Firewall) CP1628 • GPRS/UMTS-Router (VPN, Firewall) SCALANCE M875 • Security-Module SCALANCE S V3.0 • VPN Software Client SOFTNET Security Client (V4)

Demilitarisierte Zone (DMZ) Eine noch höhere Sicherheit bietet die Anbindung über eine demilitarisierte Zone (DMZ). Das Ziel einer DMZ ist die Blockierung der direkten Kommunikation zwischen dem internen Netzwerk (Fertigungsnetzwerk / Automatisierungszelle) und den restlichen Unternehmensnetzen und Internet durch Firewalls. Ein Datenaustausch ist nur indirekt über ein zusätzliches, von den anderen Netzen isoliertes Netz (der DMZ) möglich. Durch diesen kontrollierten Datenverkehr können sensible Unternehmensdaten vor unberechtigten Zugriffen besser geschützt und interne Sicherheitsrichtlinien für die Kommunikation zuverlässig umgesetzt werden.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Abbildung 2-2

Internes Netzwerk

Verwaltungsnetz

Demilitarisierte Zone (DMZ)

Erlaubte KommunikationVerbotene Kommunikation

Security-Modul Zur Realisierung einer demilitarisierten Zone wird der SCALANCE S623 eingesetzt. Mit seinen drei Netzwerkanschlüssen und der integrierten Firewall bietet das Modul die Möglichkeit, die verschiedenen Netzwerke (extern, intern und DMZ) voneinander physikalisch zu trennen.

2.3.3 Die Siemens-Lösung für die Systemintegrität

Zur Wahrung der Systemintegrität ist es wichtig, die Schwachstellen in PC-Systemen und in der Steuerungsebene zu minimieren. Siemens setzt diese Anforderung mit folgenden Lösungen um: • Einsatz von Antivirus- und Whitelisting-Software • Wartungs- und Updateprozesse • Nutzer-Authentifizierung für Maschinen- oder Anlagenbetreiber • Integrierte Zugriffsschutz-Mechanismen in Automatisierungskomponenten • Schutz des Programmcodes durch Know-How-Schutz, Kopierschutz und der

Vergabe von Passwörtern

3 Mögliche Szenarien zum Datenschutz 3.1 Teilnehmerbeschränkung auf S7-Steuerungen


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3 Mögliche Szenarien zum Datenschutz Dieses Kapitel zeigt eine Auswahl an Security-Szenarien, die mit den Produkten aus der SIMATIC NET Produktpalette realisierbar sind. Die jeweiligen Security-Szenarien vermitteln den jeweiligen Anwendungsfall und einen praktischen Lösungsansatz mit Security-Komponenten. Die Szenarien können in folgende Hauptkategorien gegliedert werden: • Kommunikationsbeschränkung auf Anlagen • Sichere Datenkommunikation über unsichere Netze • Sichere Kommunikation über WLAN

3.1 Teilnehmerbeschränkung auf S7-Steuerungen

Netztopologie Abbildung 3-1

Zentrale Panel PC

Roboter-zelle

Roboter-zelle

Mögliche Datenkommunikation




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Anwendungsfall Die S7-Steuerung ist über einen Ethernet-CP an ein Netzwerk gekoppelt. In diesem Netzwerk befinden sich mehrere Teilnehmer. Es soll aber nur bestimmten Teilnehmern erlaubt werden, auf die S7-Steuerung zu zugreifen.

Problematik Im Netzwerk selbst ist kein Schutzmechanismus vor unerlaubtem Zugriff auf die S7-Station vorhanden. Somit kann von jeder Projektierungsstation mit STEP 7 auf die S7-Station zugegriffen und dadurch auch die Projektierung geändert werden. Dieser unberechtigte Zugriff könnte zur Sabotage einer S7-Station führen.

Lösungsmöglichkeiten mit SIMATIC NET Komponenten Als Lösungsmöglichkeiten bieten sich mehrere Methoden an: • Schutz im Endgerät durch Zugriffsschutz • Schutz durch eine Firewall • Schutz durch Segmentierung mit VLANs • Schutz durch Authentifizierung



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.1.1 Schutz im Endgerät

Lösungsschema Abbildung 3-2

Beschreibung

Um einen unerlaubten Zugriff auf eine S7-Station zu unterbinden, wird als Netzanschluss aufseiten der S7-Station ein Ethernet-Kommunikationsprozessor (z. B. CP343-1) eingesetzt. Diese CPs können – bei entsprechender Konfiguration – nur ausgewählten IP-Adressen den Zugriff auf die S7-Staton via Ethernet erlauben. Die nötige Konfiguration erfolgt über HW-Konfig von STEP 7 in den Eigenschaften des CPs. Hier befindet sich in der Registerkarte „IP-Zugriffsschutz“ eine editierbare Liste, in der alle die IP-Adressen eingetragen werden, denen der Zugriff auf die S7-Station gewährt wird.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.1.2 Schutz durch eine Firewall


Datenarchiv

Druckserver

Prozess-datenaufzeich-nungBüro-PC

Viren-schutzServer

Testsystem

ET200 mit Roboter S7-300 S7-400

Diagnose-PC

Anlagen-PCAnlagen-PG

Firewall Firewall

Erlaubte ZugriffeVerbotene/ eingeschränkteZugriffe

Beschreibung Eine Firewall ist grundsätzlich in der Lage, ankommende und ausgehende Datenpakete hinsichtlich ausgewählter Kriterien zu filtern. Die Funktion bieten alle Produkte der SCALANCE S und SCALANCE M Familie sowie die Security-Kommunikationsbaugruppen an. Um den Zugriff auf die S7-Steuerungen zu kontrollieren, können sowohl Empfänger- als auch Absenderadresse als Kriterium für die Firewall verwendet werden. Die Firewall lässt die Datenpakete an die S7-Steuerung nur passieren, wenn die Regel zur Weiterleitung entsprechend konfiguriert ist. Stimmt sie nicht überein, wird das Paket verworfen. Die Firewallregeln der SCALANCE S-Familie und der Security-Kommunikationsbaugruppen werden mithilfe des Security Configuration Tools (SCT) erstellt und können wie folgt definiert werden:



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

• global • lokal • benutzerspezifisch (nur SCALANCE S ab V3) Lokale Firewall-Regeln sind jeweils einem Modul zugewiesen und werden direkt im Eigenschaftsdialog des Moduls definiert. Globale Firewall-Regelsätze werden außerhalb der Module auf Projektebene definiert. Der Vorteil liegt darin, dass Regeln, die für mehrere Module gelten, nur einmal konfiguriert werden müssen. Die globalen Firewall-Regelsätze werden einfach durch Drag&Drop auf das Modul gezogen, für die diese Regeln gelten sollen. Globale Firewall-Regelsätze können definiert werden für: • IP-Regeln • MAC-Regeln Benutzerspezifische Regelsätze können einem oder mehreren Benutzern und einzelnen Security-Modulen zugeordnet werden. Dadurch wird es ermöglicht, die Zugriffe von der erfolgreichen Authentifizierung des Benutzers abhängig zu machen. Der Benutzer kann sich dafür auf der Webseite des SCALANCE S V3 anmelden. War die Anmeldung erfolgreich, wird der für diesen Benutzer vorgesehene Firewall-Regelsatz aktiviert.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.1.3 Schutz durch „Segmentierung“


Zentrale Panel PC

Roboter-zelle

Roboter-zelle

Beschreibung Eine weitere Möglichkeit für den Schutz gegen unerlaubte Zugriffe auf eine S7-Steuerung ist der Einsatz von VLANs. Die Switche SCALANCE X-300, X-400 und X-500 erlauben eine entsprechende Konfiguration. Bei dieser Art der Netzwerknutzung wird den einzelnen Ports eines Switches über das Webbased Management eine sogenannte VLAN-ID zugewiesen. Eine Kommunikation ist dann nur noch innerhalb eines VLANs (Ports mit gleicher VLAN-ID) möglich. Das heißt, sowohl die Projektierstationen, als auch die S7-Station müssen sich an Switch-Ports mit der gleichen VLAN-ID befinden.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.1.4 Schutz durch Authentifizierung


Authentifi-zierungs-server

Authentifizierung

Roboter-zelle

Roboter-zelle

Datenkommunikation

Beschreibung Die SCALANCE Switches der X-300, X-400 und X-500 Reihe unterstützen IEEE 802.1x. Dieser Standard ist eine Methode zur Authentifizierung und Authentisierung in Netzwerken. Das Konzept von RADIUS basiert auf einem externen Authentifizierungsserver. Dadurch kann für Endgeräte in der Roboterzelle der Zugang zum Netzwerk über den IE-Switch eingeschränkt werden. Über das Webbased Management kann für jeden Port im IE-Switch individuell festgelegt werden, für welche Endgeräte eine Authentifizierung durchgeführt werden soll. Mittels eines Authentifizierungsservers (RADIUS-Server) verifiziert der IE-Switch die durch das Endgerät übermittelten Anmeldedaten. Stimmen diese mit den im RADIUS-Server hinterlegten Daten überein, wird dem Endgerät der Zugriff über diesen Port in das Netzwerk hinter dem Switch gewährt, andernfalls verweigert. Für diesen Standard muss sowohl der RADIUS-Server, als auch das Endgerät das EAP (Extensive Authentification Protocol) unterstützen.

3 Mögliche Szenarien zum Datenschutz 3.2 Kommunikationsbeschränkung bei Anlagen / Einzelgeräten



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.2 Kommunikationsbeschränkung bei Anlagen / Einzelgeräten


Datenarchiv

DruckserverBüro-PC

Viren-schutzServer

Testsystem


Diagnose-PC

Anlagen-PC Anlagen-PG


Prozess-datenaufzeich-nung

Anwendungsfall In einem Netzwerk befinden sich mehrere Teilnehmer mit unterschiedlichen Funktionen. Mit Hilfe von Firewalls soll jedes Einzelgerät oder jede Zelle die Möglichkeit haben, den Zugriff auf sich oder interne Geräte so einzuschränken, dass nur bestimmte Applikationen für ausgewählte Teilnehmer zur Verfügung stehen.

Problematik Die verschiedenen Funktionen sind oft an bestimmte Protokolle gebunden (z. B. das S7-Protokoll für die S7-Projektierung, DCP für die IP-Adressvergabe, HTTP für das Webbased Management). Das Problem besteht nun darin, dass innerhalb des

3 Mögliche Szenarien zum Datenschutz 3.2 Kommunikationsbeschränkung bei Anlagen / Einzelgeräten


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Netzwerkes keine Filterung auf bestimmte Protokolle stattfindet und somit allen Teilnehmern alle Applikationen zur Verfügung stehen.

Lösungsmöglichkeit mit SIMATIC NET Komponenten Abbildung 3-7

Datenarchiv

Druckserver

Prozess-datenaufzeich-nungBüro-PC

Viren-schutzServer

Testsystem


Diagnose-PC

Anlagen-PCPG

Erlaubte Zugriffe

SCALANCE S602

SCALANCE S602

Verbotene/ Eingeschränkte Zugriffe

Hier bietet sich für den Zellenschutz neben den Security-Modulen SCALANCE S612, S623 und Security-CPs auch das SCALANCE S602-Modul an. Es verfügt über die gleiche Firewallfunktionalität wie die erwähnten Module, besitzt aber keine VPN-Funktionalität. Der SCALANCE S wird als Verbindungspunkt der Zelle mit dem restlichen Netzwerk eingesetzt. Um zu verhindern, dass sich bestimmte Protokolle über das gesamte Netzwerk ausbreiten, sondern nur in der betreffenden Zelle verbleiben, wird ein Filter für das zu sperrende Protokoll konfiguriert. Eine Filterung auf PROFINET-DCP (dient zur Ermittlung aller PROFINET-Teilnehmer) hat z. B. die Wirkung, dass nur die Teilnehmer innerhalb der Zelle, nicht aber die des restlichen Netzwerkes angezeigt werden.

3 Mögliche Szenarien zum Datenschutz 3.3 Bandbreitenbeschränkung



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.3 Bandbreitenbeschränkung

Anwendungsfall Häufig sind mehrere Automatisierungszellen durch ein übergeordnetes Netzwerk miteinander verbunden. Eine in diesem Netzwerk auftretende Netzlast (z. B. Broadcaststurm) soll keinerlei Auswirkung auf die einzelnen Stationen haben.

Problematik Üblicherweise ist im Netzwerk selbst kein Filtermechanismus für solche Überlasten vorhanden. Die Folge ist, dass z. B. ein Broadcaststurm in alle Zellen weitergeleitet wird und dort einen Verbindungsabbruch zwischen allen Kommunikationspartnern innerhalb der Zelle bewirkt. Der Datenaustausch kommt zum Erliegen.

Lösungsmöglichkeiten mit SIMATIC NET Komponenten Abbildung 3-8

Hohe Systemlast

Geringe Systemlast

Last-begrenzer

Roboter-zelle

Roboter-zelle

Panel PCZentrale

3 Mögliche Szenarien zum Datenschutz 3.4 Sicherer Fernzugriff via Internet


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Das Ausbreiten von Netzlasten kann am einfachsten durch einen Lastbegrenzer unterbunden werden, der an dem Verbindungspunkt zwischen einer Zelle und dem restlichen Netzwerk eingesetzt wird. Als Lastbegrenzer kann entweder ein SCALANCE X-300, X-400 bzw. X-500-Switch, ein SCALANCE S-Modul oder ein Security-CP dienen, in dem eine Bandbreitenbeschränkung aktiviert wird. Wenn nun in einem Netzwerk eine hohe Netzlast auftritt, kann innerhalb der Zelle der Datenaustausch problemlos und uneingeschränkt weiterlaufen.

3.4 Sicherer Fernzugriff via Internet


Roboter-zelle

Roboter-zelle

Servicemitarbeiter


Anwendungsfall Häufig besteht der Wunsch, dass sich ein Servicetechniker mithilfe eines Fernzugriffes mit einem Fertigungsnetz verbinden kann, um dann aus der Ferne auf die im Netzwerk angebunden Stationen (z. B. S7-Station, etc.) zu zugreifen. Ist




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

er mit dem Netz verbunden, kann er z. B. neue Programme in eine S7-Steuerung laden oder die Firmware updaten. Aufgrund von gestiegenen Performanceansprüchen wird heute anstelle einer Modem-Lösung über eine analoge Wählleitung eher eine Anbindung über die DSL-Leitung bevorzugt. Dies hat den Vorteil, dass sich der Techniker weltweit zu geringeren Kosten als bei der Modemlösung mit dem Fertigungsnetz verbinden kann.

Problematik Zwei Aspekte der Datensicherheit sind bei diesem Szenario von großem Interesse: Zum einen ist es wichtig, die über das Internet übertragenen Daten zum Schutz vor unbefugten Dritten zu verschlüsseln. Zum anderen ist es wichtig, nur dem Servicepersonal Zugriff auf die Anlage zu gewähren.

Lösungsmöglichkeiten mit SIMATIC NET Komponenten Im Produktportfolio von Siemens sind dafür folgende Security-Komponenten einsetzbar: • Security-Module SCALANCE S612 und S623 • Software SOFTNET Security Client (SSC) • PLC-CPs (CPx43-1 Advanced V3) • PC-CP1628 • UMTS-Router SCALANCE M875 Alle Komponenten sind VPN-fähig und können mit Hilfe von IPsec gesicherte Verbindungen aufbauen. Über die gemeinsame Konfigurationssoftware Security Configuration Tool können die Module so projektiert werden, dass sie Endpunkte eines gemeinsamen VPN-Tunnels (Virtual Private Network) sind. Der Fernzugriff eines Servicetechnikers in ein Automatisierungsnetzwerk unter Beachtung der oben genannten Aspekte der Datensicherheit erfolgt auf Seite des Servicetechnikers softwarebasiert mit dem SSC und auf Anlagenseite hardwarebasiert mit einem der oben genannten Module. Nachdem ein Servicetechniker eine VPN-Verbindung mit der Gegenstelle auf Automatisierungsseite aufgebaut hat, kann er alle Geräte im Automatisierungsnetzwerk erreichen, um z. B. mit STEP 7 eine neue Parametrierung auf eine S7-Station zu laden.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.4.1 Zugriff auf eine Anlage mit DSL-Anschluss


Servicemitarbeiter

Internetzugang

Internetzugänge

Roboterzellen

PG inkl. SOFTNET Security Client

SCALANCE S612 / S623

CPx43-1 Adv. V3

VPN-Tunnel




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Beschreibung Verfügt die Anlage über einen DSL-Anschluss, können folgende Module in Kombination mit einem SOFTNET Security Client auf dem Service-PC eingesetzt werden: • SCALANCE S612 bzw. S623. • Security-CPs. Der SOFTNET Security Client ist dabei der aktive Teilnehmer, d. h. er initiiert den Tunnelaufbau zum SCALANCE S-Modul bzw. CP1628 / CPx43-1 Advanced V3 auf Anlagenseite. Das hat den Vorteil, dass sich der Servicetechniker überall mit der Anlage verbinden kann und seine derzeitige IP-Adresse nicht bekannt sein muss (dynamische WAN-IP-Adresse). Im Automatisierungsnetzwerk befindet sich zum Schutz und zur Terminierung des IPsec-Tunnels ein SCALANCE S (S612, S623) oder ein CP1628 / CPx43-1 Advanced V3. Diese Module sind über einen entsprechenden Zugang mit dem Internet verbunden. Der Zugangspunkt in der Anlage erfolgt über eine statische WAN-IP-Adresse oder über einen registrierten FQDN (Fully Qualified Domain Name) bei einem Service-Provider für dynamisches DNS (nur in Kombination mit SCALANCE S). Mithilfe dieser Adresse bzw. dieses Namens kann der SOFTNET Security Client eine Verbindung zur Gegenstelle über das Internet aufbauen.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.4.2 Zugriff auf eine über das Mobilfunknetz erreichbare Anlage


Servicemitarbeiter

Internetzugang

Roboterzellen

PG inkl. SOFTNET Security Client

CPx43-1 Adv. V3

VPN-Tunnel

SCALANCE M873

SCALANCE M875




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Beschreibung Befindet sich die Anlage an einem schwer erreichbaren Ort oder ist kein DSL-Anschluss mit fester IP-Adresse vorhanden, dann besteht die Möglichkeit, die Anlage mit dem Mobilfunknetz zu verbinden. Bei dieser Methode können folgende Module in Kombination mit einem SOFTNET Security Client auf dem Service-PC eingesetzt werden: • UMTS-Router SCALANCE M875 • CPx43-1 Advanced V3 oder CP1628 mit SCALANCE M873 als Zugang zum

Funknetzwerk • SCALANCE S612 / S623 mit SCALANCE M873 als Zugang zum

Funknetzwerk Initiator für den Aufbau des Tunnels zu den Security-Modulen auf Anlagenseite ist der SOFTNET Security Client. Der Servicetechniker kann sich somit überall mit der Anlage verbinden, ohne das seine derzeitige IP-Adresse bekannt sein muss (dynamische WAN-IP-Adresse). Als Gegenstelle zum IPsec-Tunnel wird im Automatisierungsnetzwerk ein SCALANCE M875, SCALANCE S612 / S623 oder Security-CP V3 / CP1628 in Verbindung mit einem SCALANCE M873 integriert. Diese Module wählen sich in das Funknetzwerk ein und stellen darüber eine Verbindung zum Internet her. Der Zugangspunkt in der Anlage erfolgt über eine statische WAN-IP-Adresse oder über einen registrierten FQDN (Fully Qualified Domain Name) bei einem Service-Provider für dynamisches DNS (nur in Kombination mit SCALANCE S). Mithilfe dieser Adresse bzw. dieses Names kann der SOFTNET Security Client eine Verbindung zur Gegenstelle über das Internet aufbauen.

3 Mögliche Szenarien zum Datenschutz 3.5 Sichere Datenkommunikation zwischen Anlagenteilen


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.5 Sichere Datenkommunikation zwischen Anlagenteilen

3.5.1 Datenkommunikation via Internet


Roboter-zelle

Roboter-zelle

Zentrale Panel PC


Anwendungsfall Die weltweite Vernetzung von Anlagenteilen oder der Fernzugriff von einer Zentrale auf Einzelgeräte, z. B. zu Diagnosezwecken über WAN ist heute Standard. Der Austausch sensitiver Fertigungsdaten, wichtiger Produktionsdaten oder vertraulicher Daten etc. zwischen den Anlagenteilen und / oder der Zentrale gehört zur alltäglichen Anwendung. Eine sichere Kommunikation muss also gewährleistet sein.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Problematik Das Internet ist ein unsicheres Übertragungsmedium: • Fehlerhafte Einstellungen am PC und fehlende Sicherheitsupdates führen zu

Sicherheitslücken und bieten damit eine offene Tür für Viren, Trojaner, Würmer.

• Unverschlüsselte Daten können einfach abgehört und auch manipuliert werden.

• Die Daten werden zwischengespeichert. • Hacker können unbemerkte von außen eingreifen. • Etc. Eine ungeschützte Internetverbindung kann zur Sabotage und zum Ausfall ganzer Anlagenteile führen.


Roboterzellen

Zentrale Panel PC

Internetzugänge

Internetzugang


CPx43-1 Adv. V3

VPN-Tunnel

SCALANCE M875




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Beschreibung Um eine sichere Kommunikation zwischen verteilten Anlagen zu ermöglichen, werden statische VPN-Verbindungen etabliert. Dafür befindet sich in jeder Zelle ein VPN-fähiges Security-Modul mit Zugang zum Internet. Für dieses Szenario bieten sich die folgende Security-Module an: • Security-Module SCALANCE S (S612, S623) • PLC-CPs (CPx43-1 Advanced V3) mit Security-Funktionalität • PC-CP1628 mit Security-Funktionalität • UMTS-Router SCALANCE M 875 mit Security-Funktionalität Alle Security-Module werden mithilfe der Konfigurationssoftware Security Configuration Tool so projektiert, dass sie Endpunkte eines gemeinsamen zentralen Security-Modules sind. Ein Modul wird dabei als aktiver Teilnehmer konfiguriert, d. h. es initiiert den Tunnelaufbau zu den anderen Security-Modulen. Beim aktiven Modul reicht eine dynamische IP-Adresse aus. Die anderen Module sind passiv und terminieren den IPsec-Tunnel für das Automatisierungsnetzwerk, in welchem sie sich befinden. Der Zugangspunkt erfolgt über eine statische WAN-IP-Adresse oder über einen registrierten FQDN (Fully Qualified Domain Name) bei einem Service-Provider für dynamisches DNS. Beim Verbindungsaufbau baut die aktive Seite eine VPN-Verbindung zu allen als passiv konfigurierten Modulen auf. Danach verhalten sich die einzelnen Netze / Zellen so, als befänden sie sich in einem gemeinsamen Netzwerk. Dies bedeutet, dass z. B. FTP-Verbindungen wie gewohnt parametriert und betrieben werden können. Auch ist es möglich, sich als Servicetechniker in eine Zelle zu verbinden, um dann auf alle Geräte dieser Zelle zuzugreifen (z. B. mit NCM eine Diagnose von Geräten auszuführen). Die möglichen VPN-Konstellationen für den Einsatz der Security-Module zeigt die folgende Tabelle: Tabelle 3-1

Passiv


CPx43-1 Advanced V3 / CP1628

SCALANCE M875

Akt

iv


ok ok ok

CPx43-1 Advanced V3 /

CP1628

ok ok ok

SCALANCE M875

ok* ok ok*

* die Verwendung dynamischer DNS-Namen ist möglich.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.5.2 Datenkommunikation via LAN


Datenarchiv

Druckserver

Prozessdatenaufzeichnung

Visualisierung

Viren-schutzServer

Engineering Station

Netzwerk-drucker

Büro-PC

ET200 mit Roboter S7-300 Diagnose-PCs


Anwendungsfall In einem modernen Unternehmensnetzwerk sind das Büro- und das Automatisierungsnetzwerk miteinander verbunden. Der Austausch sensitiver Fertigungsdaten, wichtiger Produktionsdaten oder vertraulichen Daten etc. zwischen dem Automatisierungsnetzwerk und der Zentrale gehört hier zur alltäglichen Anwendung.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Problematik Ist die Verbindung der beiden Netze ungesichert, können vertrauliche Produktionsdaten unter Umständen unkontrolliert in das Büronetzwerk gelangen und von Dritten eingesehen oder modifiziert werden.

Lösungsmöglichkeit mit SIMATIC NET Komponenten Zur Lösung bieten sich drei Methoden an: • Schutz über einen sicheren Kommunikationskanal. • Schutz durch DMZ. • Schutz durch eine Firewall zur Regulierung des Datenverkehrs (siehe Kapitel

3.1.2 und 3.2).




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.5.2.1 Schutz über einen sicheren Kommunikationskanal


Datenarchiv

Druckserver

Prozessdatenaufzeichnung

Visualisierung

Viren-schutzServer

Engineering Station mit SOFTNET Security Client

Netzwerk-drucker

Büro-PC

VPN-Tunnel






Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Beschreibung Die Kommunikation zwischen der Automatisierungszelle und der Zentrale erfolgt über ein exklusives unternehmensinternes Netzwerk. Um eine sichere Kommunikation zu ermöglichen, werden statische VPN-Verbindungen etabliert. Dafür befindet sich an jedem Standort ein VPN-fähiges Security-Modul. Für dieses Szenario bieten sich die folgenden Security-Module an: • Security-Module SCALANCE S (S612, S623) • Software SOFTNET Security Client • PLC-CPs (CPx43-1 Advanced V3) mit Security-Funktionalität • PC-CP (CP1628) mit Security-Funktionalität Alle Security-Module werden mithilfe der Konfigurationssoftware Security Configuration Tool so projektiert, dass sie Endpunkte eines gemeinsamen VPN-Tunnels sind. Ein Modul wird dabei als aktiver Teilnehmer konfiguriert, d. h. es initiiert den Tunnelaufbau zu den anderen Modulen. Die anderen Module sind passiv und terminieren den IPsec-Tunnel für das Automatisierungsnetzwerk, in dem sie sich befinden. Beim Verbindungsaufbau baut die aktive Seite eine VPN-Verbindung zu allen als passiv konfigurierten Security-Modulen auf. Danach verhalten sich die einzelnen Netze so, als befänden sie sich in einem gemeinsamen Netzwerk. Dies bedeutet, dass z. B. S7-Verbindungen wie gewohnt parametriert und betrieben werden können. Auch ist es möglich, sich als Servicetechniker in eine Zelle zu verbinden, um dann auf alle Geräte dieser Zelle zuzugreifen (z. B. mit NCM eine Diagnose von Geräten auszuführen). Die möglichen VPN-Konstellationen für den Einsatz der Security-Module zeigt die folgende Tabelle: Tabelle 3-2

Automatisierungszelle


CPx43-1 Advanced V3

Unt

erne

hmen

s-ne

tzw

erk

SOFTNET Security Client

ok * ok

CP1628 ok ok


ok ok

* die Verwendung dynamischer DNS-Namen ist möglich. Der Unterschied zu dem Szenario „Teilnehmerbeschränkung auf S7-Steuerungen“ (Kapitel 3.1) liegt darin, dass hier eine ganze Automatisierungszelle über den VPN-Tunnel vor Dritten geschützt ist und nicht nur eine S7-Steuerung über den CP. Die Daten, die über den Tunnel geschickt werden, sind verschlüsselt.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.5.2.2 Schutz durch DMZ


Datenarchiv

Druckserver

Prozessdaten

Visualisierung

Viren-schutzServer

Netzwerk-drucker

Büro-PC


Erlaubte Zugriffe Verbotene/ eingeschränkte Zugriffe

SCALANCE S623

Beschreibung Mit seinen drei Netzwerkanschlüssen bietet der SCALANCE S623 die Möglichkeit, eine demilitarisierte Zone aufzubauen und die verschiedenen Netzwerke (extern, intern und DMZ) voneinander physikalisch zu trennen. Netzteilnehmer, die sowohl vom internen als auch vom externen Netzwerk erreichbar sein sollen, werden in die DMZ integriert und sind somit gegenüber anderen Netzen isoliert. Diese kontrollierte Trennung ermöglicht es, dass

3 Mögliche Szenarien zum Datenschutz 3.6 WLAN-Szenario mit SCALANCE W


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Netzteilnehmer aus dem externen Netzwerk keinen direkten Zugang auf die Einzelgeräte innerhalb der geschützten Automatisierungszelle (internes Netzwerk) haben, trotzdem aber auf für sie nötige Daten zugreifen können. Die Trennung erfolgt über definierte Firewallregeln.

3.6 WLAN-Szenario mit SCALANCE W


Roboterzelle

Panel-PC

S7-300

SCALANCE W

Datenkommunikation

Anwendungsfall Schwer erreichbare Anlagenteile oder Bereiche mit extremen Anforderungen (hohe Temperatur, raue Umgebung etc.) werden über ein Funkfeld verbunden. Der Austausch geheimer, sensitiver Daten erfolgt über Industrial Wireless LAN. Die Aspekte der Datensicherheit sollen auch bei dieser Übertragung gelten.

Problematik Im Funknetz selbst sind keine Schutzmechanismen vor unerlaubten Zugriffen vorhanden. Ein ungeschütztes Funknetz hat zur Folge, dass sich unberechtigte Dritte als Teilnehmer im WLAN anmelden und andere Endgeräte sabotieren können. Um die Aspekte der Datensicherheit zu gewähren, müssen die WLAN-Komponenten über entsprechende Schutzmechanismen verfügen.

3 Mögliche Szenarien zum Datenschutz 3.6 WLAN-Szenario mit SCALANCE W



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved


Roboterzelle

Panel-PC

S7-300

SCALANCE W

Sicherer Zugang (z. B. WPA 2) Die SCALANCE W Produkte bieten neben einer robusten Bauform auch effektive Mechanismen für die Datensicherheit. Alle zu versendenden Daten werden verschlüsselt und somit vor Spionage, Abhören und Verfälschung geschützt. Die Konfiguration der Access Points und WLAN-Clients erfolgt über das Webbased Management.

3 Mögliche Szenarien zum Datenschutz 3.7 WLAN-Szenario mit unsicheren Komponenten


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

3.7 WLAN-Szenario mit unsicheren Komponenten


Roboterzelle

Panel-PC

S7-300

Datenkommunikation

Standard WLAN-Router

Anwendungsfall Nicht jede WLAN-Infrastrukur verfügt über die notwendigen Security-Mechanismen. Meist ist es nicht möglich, die WLAN-Infrastruktur komplett neu aufzubauen. Die Security-Mechanismen müssen also durch Erweiterungen des bestehenden Netzes nachgerüstet werden. Die Aspekte der Datensicherheit sollen auch bei einem existierenden Funknetz beachtet werden.

Problematik Die Erweiterung eines bestehenden Funknetzes ist nicht trivial. Es muss garantiert sein, dass sich die neuen Module einwandfrei integrieren lassen und keine Störungen verursachen. Ist das nicht der Fall, kann das System instabil werden. In Folge dessen müssen alle bereits bestehenden Modul neu konfiguriert werden, was zusätzliche Kosten und Mehraufwand bedeutet.

3 Mögliche Szenarien zum Datenschutz 3.7 WLAN-Szenario mit unsicheren Komponenten



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved


Roboterzelle

Panel-PC

SCALANCES612 / S623

CPx43-1 Adv. V3

S7-300

SCALANCES612 / S623

VPN-Tunnel Um eine geschützte und sichere Datenverbindung zu schaffen, wird zwischen verteilten Anlagen eine statische VPN-Verbindung geschaffen. Dafür wird zusätzlich in jede Teilanlage ein Security-Modul (z. B. SCALANCE S612 bzw. S623 oder CPx43-1 Advanced V3) integriert. Der Vorteil liegt darin, dass die bereits in Betrieb befindlichen WLAN-Access-Points nicht neu konfiguriert werden müssen. Die neu integrierten Security-Module werden mithilfe der Konfigurationssoftware Security Configuration Tool so projektiert, dass sie Endpunkte eines gemeinsamen VPN-Tunnels sind.

4 Grundlagen und Prinzipien 4.1 Grundlagen von Ethernet und der IP-Protokollfamilie


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved


4.1.1 Das OSI-Modell (7-Schichten-Modell)

Das OSI-Modell (Open Systems Interconnection) wurde von der International Organization for Standardization (ISO) entwickelt und bildet die theoretische Grundlage für die Datenübertragung in Netzwerken. Das Modell beschreibt den Weg einer Datenübertragung zwischen zwei Rechnersystemen. Diese wird dabei in sieben Schichten (auch Layer genannt) unterteilt, wobei jeder Schicht eine bestimmte Aufgabe zugeordnet ist, die sie autonom verrichtet. Abbildung 4-1

Bitübertragungsschicht1

Sicherungsschicht2

Vermittlungsschicht3

Transportschicht4

Sitzungsschicht5

Darstellungsschicht6

Anwendungsschicht7

Durch diesen modularen Systemaufbau können spezifische Programmteile einzelner Schichten beliebig ausgetauscht werden. Dadurch ergibt sich die Möglichkeit, Programme unabhängig von der verwendeten Hardware zu entwickeln. Dies bietet einen erheblichen Vorteil gegenüber einer monolithischen Lösung. Beispielsweise ist es somit möglich, mit der gleichen TELNET-Applikation sowohl über WLAN mit einem anderen Rechner Verbindung aufzunehmen, als auch über eine Modemverbindung, über die serielle Schnittstelle oder über Industrial Ethernet. Das TELNET-Programm (OSI-Layer 7) arbeitet unabhängig von der physikalischen Leitung. Es reicht lediglich die Datenpakete an die TCP-Schicht (OSI-Layer 4) weiter, bzw. empfängt Datenpakete von dieser Schicht.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.1.2 Systemadressierung (MAC- und IP-Adresse)

Jeder Netzteilnehmer eines IP-basierten Ethernet-Netzwerks ist gekennzeichnet durch • seine hardwaretechnisch vorgegebene, eindeutige MAC-Adresse und • eine ihm zugewiesene IP-Adresse. Über die sogenannte Subnetzmaske erhält er die Information, welchen Adressbereich sein IP-Subnetz umfasst. Sind in dem Netzwerk mehrere Subnetze definiert, wird dem Teilnehmer zusätzlich mitgeteilt, über welche Adressen (Systeme) er die Netzteilnehmer in anderen Subnetzen erreicht. Diese Systeme an den Subnetzübergängen werden Router genannt. Aus der SCALANCE Produktfamilie können folgende Komponenten als Router eingesetzt werden: • SCALANCE S-Module (S602, S612, S623) • SCALANCE X414-3E als Layer 3 Router Abbildung 4-2

Subnetz 1

Subnetz 2

MAC:00-0B-1D-8A-96-1AIP:172.16.23.10Subnetzmaske: 255.255.0.0Gateway: 172.16.1.1

MAC:00-0B-1E-76-5D-FFIP:172.16.23.20Subnetzmaske: 255.255.0.0Gateway: 172.16.1.1

MAC:00-1B-1B-E6-24-45IP:172.16.1.1Subnetzmaske: 255.255.0.0


MAC:00-3E-6C-2F-32-B1IP:192.168.1.10Subnetzmaske: 255.255.255.0Gateway: 192.168.1.1

MAC:00-F5-CA-52-DA-A3IP:192.168.1.20Subnetzmaske: 255.255.255.0Gateway: 192.168.1.1



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.1.3 Adressauflösung mittels ARP

Über das Address Resolution Protocol (ARP) erfolgt die eindeutige Zuordnung von MAC-Adresse zu IP-Adresse. Diese Zuordnung wird von jedem Netzteilnehmer in seiner eigenen Tabelle gepflegt. Die folgende Tabelle zeigt beispielhaft die ARP-Adressauflösung: Tabelle 4-1

IP-Adresse MAC-Adresse Type

146.254.249.1 00-07-b4-00-00-02 dynamic 146.254.249.2 00-09-7b-9e-f1-8a dynamic 146.254.249.3 00-09-7b-e0-a0-0a dynamic

Alle Zuordnungen, die über das ARP gelernt werden, sind als ‚dynamic’ gespeichert. Darüber hinaus besteht die Möglichkeit, ‚static’ -Einträge manuell vorzugeben.

Beispiel 1: Adressauflösung im selben Subnetz: Teilnehmer 1 möchte Daten an Teilnehmer 2 senden: Abbildung 4-3

MAC:00-0B-1D-8A-96-1AIP:172.16.23.10Subnetzmaske: 255.255.0.0

MAC:00-0B-1E-76-5D-FFIP:172.16.23.20Subnetzmaske: 255.255.0.0

Teilnehmer 1 Teilnehmer 2

Ablauf: Tabelle 4-2

Schritt Funktionsablauf

1. Teilnehmer 1 schickt an alle im Subnetz (über die Broadcast-Adresse 172.16.255.255): „Wer hat die IP-Adresse 172.16.23.10?“.

2. Rechner 2 erkennt, dass es sich um seine IP-Adresse handelt und antwortet: „Die MAC-Adresse zu 172.16.23.10 ist 00-0B-1D-8A-96-1A“.

3. Damit kann die Verbindung von Teilnehmern 1 zu Teilnehmer 2 aufgebaut werden.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Beispiel 2: Adressauflösung über Subnetzgrenzen hinweg: Wenn Teilnehmer 1 jedoch eine Verbindung zu einem System außerhalb des eigenen Subnetzes aufbauen möchte, dann wird die Adressauflösung etwas komplizierter, da hier am Subnetzübergang ein Router mit ins Spiel kommt. Abbildung 4-4

Subnetz 1

Subnetz 2

MAC:00-0B-1D-8A-96-1AIP:172.16.23.10Subnetzmaske: 255.255.0.0Gateway: 172.16.1.1



MAC:00-3E-6C-2F-32-B1IP:192.168.1.10Subnetzmaske: 255.255.255.0Gateway: 192.168.1.1

Teilnehmer 1

Teilnehmer 2

Router

Ablauf Tabelle 4-3


1. Teilnehmer 1 erkennt anhand der Kombination aus seiner eigenen IP-Adresse und Subnetzmaske, dass Teilnehmer 2 sich in einem anderen Subnetz befindet.

2. In der Routingtabelle von Teilnehmer 1 befindet sich der Eintrag, dass das Subnetz von Teilnehmer 2 über die IP-Adresse 172.16.1.1 zu erreichen ist.

3. Teilnehmer 1 schickt also einen ARP-Request an 172.16.1.1: „Wer hat die IP-Adresse 172.16.1.1?“

4. Teilnehmer 1 bekommt vom Router die Antwort: „Die MAC-Adresse zu 172.16.1.1 lautet 00-1B-1B-E6-24-45.“

5. Daraufhin sendet Teilnehmer 1 das erste für Teilnehmer 2 bestimmte Paket an den Router (hier: SCALANCE S602).

6. Der Router erkennt im Datenpaket, dass es für Teilnehmer 2 bestimmt ist. In seiner Routingtabelle sieht er, dass er direkt mit dem entsprechenden Subnetz verbunden ist.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved


7. Er schickt deshalb einen ARP-Request an das Subnetz von Teilnehmer 2: „Wer hat die IP-Adresse 192.168.1.10?“

8. Er bekommt von Teilnehmer 2 die Antwort: „Die MAC-Adresse zu 192.168.1.10 lautet 00-3E-6C-2F-32-B1.“

9. Die Adressauflösung auf dem Rückweg läuft entsprechend. Dazu benötigt Teilnehmer 2 allerdings einen Eintrag in seiner Routingtabelle, dass er das Subnetz von Teilnehmer 1 über die Adresse 192.168.1.1 erreicht.

4.1.4 Aufbau eines Datenpaketes

Die Übermittlung von Daten erfolgt „paketweise“. Diese Pakete entstehen, indem die entsprechenden Protokolle in den einzelnen OSI-Schichten zusätzlich zu den zu übermittelnden Daten Informationen für die Übertragung anfügen. Diese zusätzlichen Informationen werden auch Header genannt: Abbildung 4-5

Bitübertragungs-schicht

1

Sicherungs-schicht

2

Vermittlungs-schicht

3

Transportschicht

4

Sitzungs-schicht

5

Darstellungs-schicht

6

Anwendungs-schicht

7

Bitübertragungs-schicht

1

Sicherungs-schicht

2

Vermittlungs-schicht

3

Transportschicht

4

Sitzungs-schicht

5

Darstellungs-schicht

6

Anwendungs-schicht

7

CRCDatenTCPHeader

IPHeader

MACHeader

DatenTCPHeader

IPHeader

DatenTCPHeader

DatenDaten

Nachricht

Paket

Frame

Daten

Nachricht

Paket

Frame

Sender Empfänger

Die einzelnen Header, die der Sender beim Verschicken der Daten anfügt, werden auf der Empfängerseite Schicht für Schicht ausgewertet, bis der Applikation auf den oberen Schichten die Daten zur Verfügung stehen.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.1.5 Bildung von Subnetzen und Routing

Die Bildung von Subnetzen sowie das Routing, also das Weiterleiten von Daten über Subnetzgrenzen hinweg, werden der OSI-Schicht 3 zugeordnet. Zur Bildung von Subnetzen ist neben einer Subnetz-ID auch eine Subnetzmaske notwendig. Als Subnetz-ID wird die niedrigste IP-Adresse verwendet. Mithilfe der Subnetzmaske wird festgelegt, wie viele IP-Adressen ab der Subnetz-ID in dem Subnetz enthalten sind. Beispiel: Ein Unternehmen besteht aus vier Fertigungseinheiten mit jeweils 16 Steuerungen. Diese Einheiten sollen als Subnetze in einem Gesamtnetzwerk abgebildet werden. Dem Gesamtnetzwerk wird der Adressbereich 192.168.1.0 – 192.168.1.255 zugewiesen: Tabelle 4-4

Subnetz-ID Adressbereich Netzteilnehmer

Broadcast-adresse

Entsprechende Subnetzmaske

Einheit 1 192.168.1.0 192.168.1.1 bis 192.168.1.30

192.168.1.31 255.255.255.224

Einheit 2 192.168.1.32 192.168.1.33 bis 192.168.1.62

192.168.1.63 255.255.255.224

Einheit 3 192.168.1.64 192.168.1.65 bis 192.168.1.94

192.168.1.95 255.255.255.224

Einheit 4 192.168.1.96 192.168.1.97 bis 192.168.1.126

192.168.1.127 255.255.255.224

Die höchste IP-Adresse in einem Subnetz (bei Einheit 1 192.168.1.31) darf keinem Netzteilnehmer zugeordnet werden. Diese Adresse wird als Broadcast-Adresse bezeichnet und dient als Sammeladresse für alle im Subnetz enthaltenen IP-Adressen. Werden Daten an diese höchste IP-Adresse gesendet, dann sind alle Netzteilnehmer im Subnetz Empfänger.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.1.6 Das Transmission Control Protocol (TCP)

TCP als Teil der IP-Protokollfamilie wird konzeptionell der OSI-Schicht 4 (Transportschicht) zugeordnet. Jede TCP/IP-Datenverbindung hat einen Sender und einen Empfänger. In der IP-Protokollfamilie übernimmt TCP als verbindungsorientiertes Protokoll die Aufgabe der Datenflusssteuerung und ergreift Maßnahmen bei einem Datenverlust. Die Aufgabe von TCP besteht darin, den Datenstrom der einzelnen Anwendungen aufzuteilen, mit einem Header zu versehen und zur Übermittlung an das Internet Protocol (IP) auf OSI-Schicht 3 (Netzwerkschicht) zu übergeben. Auf der Empfangsseite werden die Daten dann von TCP wieder sortiert und zu einem Datenstrom zusammengesetzt. Verloren gegangene Pakete werden von TCP erkannt und erneut angefordert. Auf der Transportschicht stehen Sender und Empfänger ständig in Kontakt zueinander. Obwohl es sich eher um eine virtuelle Verbindung handelt, werden während der Datenübertragung ständig Kontrollmeldungen ausgetauscht. Mit der SEND/RECEIVE-Schnittstelle über TCP-Verbindungen unterstützt der Ethernet-CP die auf nahezu jedem Endsystem (PC oder Fremdsystem) vorhandene Socket-Schnittstelle (z. B. Winsock.dll) zu TCP/IP. Der Aufbau und Abbau einer TCP-Verbindung geschieht über den sogenannten 3-Way-Handshake:

Aufbau einer TCP-Verbindung: Abbildung 4-6

Anfrage Verbindungsaufbau(SYN-Bit im TCP-Header = 1)

Bestätigung(SYN-/ ACK-Bit im TCP-Header = 1)

Start der Datenübertragung(ACK-Bit im TCP-Header = 1)

Sender Empfänger

Abbau einer TCP-Verbindung: Abbildung 4-7

Anfrage Verbindungsabbau(FIN-Bit im TCP-Header = 1)

Bestätigung(FIN-/ ACK-Bit im TCP-Header = 1)

Ende der Datenübertragung(ACK-Bit im TCP-Header = 1)

Sender Empfänger




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.1.7 Das User Datagram Protocol (UDP)

UDP ist ebenso wie TCP der OSI-Schicht 4 (Transportschicht) zugeordnet. Im Gegensatz zu TCP handelt es sich hier um ein verbindungsloses Protokoll, es werden keine Quittungen über angekommene Pakete verschickt. Features wie Datenflusssteuerung oder das protokollgesteuerte Neuanfordern von verlorenen Datenpaketen entfallen hier zugunsten der Geschwindigkeit. Deshalb eignet sich UDP für Datenübertragungen wie z. B. Videostreaming, wo vereinzelt verschwundene Datenpakete nicht ins Gewicht fallen. UDP wird darüber hinaus als einfaches Transportprotokoll verwendet, wenn höherschichtige Protokolle (in den OSI-Schichten 5-7) eine Fehlerüberprüfung durchführen.

4.1.8 Portadressierung

In jedem TCP- bzw. UDP-Datenpaket ist eine Portnummer hinterlegt, hinter der sich eine Anwendung oder ein Dienst befindet. Diese(r) hört den ihr / ihm zugeordneten Port ab und nimmt die Daten von TCP bzw. UDP entgegen. Die Portnummern beginnen mit 1 und sind bis zur Nummer 1024 fest einer Anwendung zugeordnet. Alle darüber liegenden Portnummern – bis zur maximalen Portnummer 65535 – können frei von anderen Programmen verwendet werden. Bei der STEP 7 Verbindungsprojektierung stehen die Ports ab 2000 zur Verfügung. Durch diese Portstruktur ist es möglich, dass mehrere Anwendungen gleichzeitig über das Netzwerk Verbindungen zu mehreren Kommunikationspartnern aufbauen können.

Anwendungsbeispiele Die folgende Tabelle zeigt anhand ausgewählter Beispiele die Zuordnung einer Anwendung zu dem zugehörigen Port. Tabelle 4-5

Anwendung Transportprotokoll Portnummer

FTP (Datenaustausch) TCP 20 FTP (Kontrolldaten) TCP 21 SSH TCP 22 TELNET TCP 23 SMTP (E-Mail) TCP 25 DNS (Namensauflösung) UDP 53 HTTP TCP 80 ISO_TSAP (SIMATIC Manager) TCP 102 HTTPS (SSL) TCP 443

4 Grundlagen und Prinzipien 4.2 Grundlagen zur Datenübertragung über Funk


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.2 Grundlagen zur Datenübertragung über Funk

Der Vorteil einer drahtlosen Datenübertragung liegt darin, dass keine physika-lischen Leitungen zwischen den Kommunikationspartnern vorhanden sein müssen. So ist es auch ohne größeren Installationsaufwand möglich, Daten von schwer erreichbaren Anlagen oder Produktionsstätten, zu denen kein Festanschluss gelegt werden kann, aus der Ferne abzurufen. Durch den Wegfall der physikalischen Leitungen ist das System über WLAN / UMTS / GSM wartungsfrei und kann auch in rauen Industrieumgebungen problemlos eingesetzt werden. Für die Datenübertragung im eigenen Netzwerk bietet sich das Wireless LAN (WLAN) an. Für die Datenübertragung über öffentliche Netzwerke sind aktuell zwei Systeme erwähnenswert: • Datenübertragung über GPRS bzw. EDGE • Datenübertragung über UMTS Wie die Funkkommunikation funktioniert und welche Unterschiede zwischen den Systemen bestehen, wird in den nächsten Kapiteln kurz erläutert.

4.2.1 Das Funkverfahren Wireless LAN

WLAN bezeichnet eine Funktechnologie nach dem IEEE 802.11-Standard. Die Daten werden naturgemäß nicht über ein Ethernet-Kabel, sondern mittels Funkwellen im 2,4 GHz- bzw. 5 GHz-Frequenzbereich übertragen. Der IEEE 802.11 Standard wird bis heute laufend weiterentwickelt und die Neuauflagen durch zusätzliche Kleinbuchstaben kenntlich gemacht (z. B. IEEE 802.11b). WLAN ermöglicht ohne viel Installationsaufwand mehr Mobilität, eine Einsparung der Verkabelung und weniger Systemausfälle durch Kabelfehler.

Die WLAN-Technologie WLAN ist ein Netzwerk, das praktisch gesehen das Ethernet-Kabel durch eine Funkverbindung ersetzt. Die grundlegendsten Unterschiede finden sich auf der Bitübertragungsschicht (Layer 1) wieder, da die Daten mit Hilfe von elektromagnetischen Wellen über die Luft gesendet werden. Dafür werden je nach Standard verschiedene Modulations- und Kodierungsverfahren festgelegt.

Datenrate bei WLAN Der Ursprungsstandard IEEE 802.11 sieht Datenraten von 1-2 Mbit/s vor. Um der ständigen Nachfrage nach Bandbreite gerecht zu werden, wurde der Standard weiterentwickelt. IEEE 802.11b operiert bereits mit 11 Mbit/s, IEEE 802.11a mit bis zu 54 Mbit/s und als nächste WLAN-Generation IEEE 802.11n mit bis zu 600 Mbit/s.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.2.2 Die Funkverfahren GPRS und EDGE

GPRS (General Packet Radio Service) und EDGE (Enhanced Data Rates for GSM Evolution) sind Mobilfunktechnologien zur schnelleren Datenübertragung und bauen auf dem vorhandenen GSM-Netz (Global System for Mobile Communications) auf. Sie wurden hauptsächlich für den Zugang zu IP-basierten Netzen wie dem Internet entwickelt.

GSM-Technologie Das GSM-Netz Frequenzband ist in mehrere Kanäle unterteilt, die wiederum in acht weitere zyklisch wiederkehrende Nutzkanäle (Zeitschlitze) gesplittet werden. In diesem Zeitschlitz können Nutzdaten übertragen werden. Zur Übertragung der Signale über definierte Frequenzbänder ist eine Modulation (Veränderung) der Signale notwendig. Hierbei wird das zu übertragende Nutzsignal mit einer Trägerschwingung multipliziert. Das Ergebnis der Modulation ist die Verschiebung des Nutzsignals in einen höheren Frequenzbereich. GSM ist verbindungsorientiert, d. h. für die ganze Datenübertragungsphase wird ein durchgängiger Nutzkanal (Zeitschlitz) reserviert, unabhängig davon, ob dieser Kanal für die Datenübertragung genutzt, beziehungsweise die ganze Kapazität verwendet wird.

GPRS-Technologie GPRS ist ein paketorientiertes Verfahren. Zur Datenübertragung wird kein Übertragungskanal dauerhaft reserviert, sondern es nutzt die freien Zeitschlitze des GSM-Netzes, um die Pakete durch das Netzwerk zu leiten. Die Nachricht wird beim Sender in einzelne, mit zusätzlichen Informationen (Paketreihenfolge, Empfängeradresse) versehene Pakete aufgeteilt und unabhängig voneinander durch das Netzwerk geschickt. Der Empfänger hat nun die Aufgabe, die Pakete zwischenzuspeichern und in die richtige Reihenfolge zu sortieren. Bei der Datenübertragung stehen unterschiedliche Kodierungsverfahren (Coding Schemes / CS) zur Fehlerkorrektur und verschiedene Modulationsarten zur Verfügung.

Datenrate bei GPRS Um höhere Datenraten bei der Übertragung zu erzielen, können mehrere Zeitschlitze miteinander kombiniert werden. Durch die höchste Multislot-Klasse (Klasse 12) werden für ein Gerät maximal fünf Zeitschlitze gebündelt, d. h. es können maximal fünf Kanäle in Summe für Uplink und Downlink gleichzeitig verwendet werden (z. B. 3 Kanäle für Uplink und 2 für Downlink oder 1 für Uplink und 4 für Downlink, siehe Tabelle 4-6). Pro Richtung können hierbei aber maximal vier Kanäle gebündelt werden. Tabelle 4-6

Downlink Uplink

1 4 2 3 3 2 4 1

Pro Zeitschlitz lassen sich je nach Kodierungsverfahren bis zu 21,4 kbit/s übertragen. Daraus ergibt sich eine maximale theoretische Datenrate von



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

85,6 kbit/s (4 x 21,4 kbit/s). Im praktischen Betrieb wird dieser theoretische Wert selten erreicht. Das liegt zum einen daran, dass die Anzahl parallel nutzbarer GSM-Kanäle, je nach Netzauslastung und Fähigkeit des Mobilgerätes, unterschiedlich ist. Zum anderen wird durch die Kanalcodierung (Coding Scheme) die Datenrate an die Qualität des Funknetzes angepasst. Für GPRS wird standardmäßig die Datenrate im Einzel-GSM-Kanal auf 13,4 kbit/s festgelegt (CS2).

EGPRS / EDGE Das Enhanced General Packet Radio Service (auch als EDGE, Enhanced Data Rates for GSM Evolution bezeichnet) ist eine Erweiterung von GPRS. EGPRS verwendet ein anderes Modulationsverfahren (8-PSK) als GPRS, das effizienter ist. Damit kann bei EGPRS eine bis zu viermal schnellere Datenrate erreicht werden.

Datenrate bei EGPRS Wie bei GPRS können in EGPRS auch bis zu fünf Zeitschlitze gleichzeitig miteinander kombiniert werden. Die maximale Datenrate pro Zeitschlitz ist 59,2 kbit/s. Wenn vier Zeitschlitze für Uplink oder Downlink verwendet werden, ist die maximale theoretische Datenrate 236,8 kbit/s (4 x 59,2 kbit/s). Im praktischen Betrieb wird dieser theoretische Wert nicht immer erreicht. Für EGPRS wird in Deutschland von den meisten Providern zur Modulation das Coding Scheme MCS8 verwendet. Für Schema MCS8 ist die Datenrate pro Kanal auf 54,4 kbit/s festgelegt. Natürlich ist die Datenrate auch von der Netzauslastung und den Fähigkeiten des Mobilgerätes abhängig.

4.2.3 Das Funkverfahren UMTS (3G)

UMTS (Universal Mobile Telecommunication System) ist der europäische Standard für die dritte Generation der Mobilfunkkommunikation und wurde einerseits entwickelt, um den Bedürfnissen der Nutzer, aber auch den modernen Kommunikationsansprüchen und dem Technikstand gerecht zu werden. Anderseits soll mit dieser neuen Generation ein weltweit einheitlicher Standard geschaffen werden, der mit GSM noch nicht erreicht wurde.

UMTS-Technologie Die Übertragung von Nutzdaten bei UMTS erfolgt auf Basis des Zugriffsverfahrens Codemultiplex (CDMA). Die Grundlage des Codemultiplexverfahrens sind Bandspreizverfahren, die das Ziel haben, die für die Übertragung des Informationssignals benötigte Bandbreite mittels eines Pseudo-Codes zu verlängern (zu spreizen). Der Empfänger arbeitet mit demselben Pseudo-Code und rekonstruiert damit das in der Bandbreite gespreizte Signal.

Datenrate bei UMTS UMTS ist ein zellulares Mobilfunksystem und in drei verschiedene Zonen unter-teilt. Jede Zone verfügt über verschiedene Übertragungsgeschwindigkeiten im Downlink. Während in der Picozelle (Gebäude) eine Rate von 2 Mbit/s durchaus erreicht wird, liegt die Datenrate in der Mikrozelle (Stadt) bei 384 kbit/s und in der Makrozelle (Land) bei lediglich 144 kbit/s. Mit UMTS wurden anfänglich Datenraten bis zu 2 Mbit/s prognostiziert. In ländlicheren Gebieten weichen die verfügbaren Datenraten davon weit ab; in diesen Zonen werden aufgrund schlechteren Netzausbaus häufig nicht einmal die

4 Grundlagen und Prinzipien 4.3 Security-Mechanismen für Wireless LAN



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Datenraten von EDGE erreicht. Der neue Standard HSDPA (High Speed Downlink Packet Access) verspricht hier Abhilfe. Durch bessere Codierungen und effizientere Lastverteilung sollen den Teilnehmern höhere Datenraten ermöglicht werden.

4.3 Security-Mechanismen für Wireless LAN

4.3.1 WEP (Wired Equivalent Privacy)

WEP stellt das älteste und zugleich am wenigsten sichere Verschlüsselungs-verfahren dar, mit dem WLAN-Übertragungen nach dem IEEE 802.11-Standard gegen unbefugte Eindringlinge geschützt werden. Bei diesem Verfahren definiert der Anwender bei der WLAN-Konfiguration einen festen Schlüssel (Passwort). Damit wird vom System der WLAN-Komponente eine Folge von Pseudo-Zufallszahlen generiert. Jedes Zeichen des zu übertragenden Telegramms wird dann mit der nächsten Zahl aus dieser Folge ver- bzw. beim Empfänger entschlüsselt. Das Verfahren ist relativ schlicht und kann auf zweierlei Arten vergleichsweise einfach kompromittiert werden: 1. Der für den Verbindungsaufbau zwischen Sender und Empfänger erforderliche

Schlüsselaustausch läuft unverschlüsselt ab. 2. Durch statistische Methoden können aus dem übertragenen

Telegrammverkehr Charakteristika ermittelt werden, die wiederum Rückschlüsse auf den verwendeten Schlüssel erlauben, solange nur hinreichend viele Telegramme für die Analyse vorliegen.

Aus diesen Gründen wird WEP heutzutage im Allgemeinen nicht mehr als hinreichend sicher erachtet.

4.3.2 WPA (Wi-Fi Protected Access)

Da WEP als unsicher eingestuft wurde und sich die Verabschiedung des neuen Verschlüsselungsverfahrens 802.11i der IEEE-Arbeitsgruppe verzögert hatte, empfahl die „Wi-Fi-Alliance“ als Zwischenlösung die Anwendung von WPA als einer Untermenge des 802.11i-Standards. WPA stellt die Weiterentwicklung von WEP dar. Neben technischen Änderungen am eigentlichen Verschlüsselungsalgorithmus wurden auch der Ablauf des Protokolls angepasst und zusätzliche Funktionen integriert: • Passwörter für den Netzwerkzugang (Authentifizierung) können auf einem

zentralen Server („RADIUS“) hinterlegt werden. • Der Schlüssel für die Telegrammübertragung ändert sich dynamisch und

erschwert so statistische Angriffe. • In den Schlüssel eingearbeitet ist die MAC-Adresse (d. h. die eindeutige

Hardware-Identifikation) des Senders, wodurch die Absender-Fälschung von Nachrichten zusätzlich erschwert wird.

Mit der inzwischen erfolgten Verabschiedung des 802.11i-Standards ist dies jedoch hinfällig und WPA2 bzw. AES stehen als Mittel der Wahl zur Verfügung.

4 Grundlagen und Prinzipien 4.3 Security-Mechanismen für Wireless LAN


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.3.3 WPA2 und AES (Advanced Encryption Standard)

Nach der Verabschiedung des kompletten 802.11i-Standards wurde dieser unter der Bezeichnung „WPA2“ von der „Wi-Fi-Alliance“ übernommen. WPA2 unterscheidet sich von WPA im Wesentlichen durch das Verschlüs-selungsverfahren: Die Schwächen, die mittlerweile bei WPA identifiziert wurden, sind im AES-Verfahren, das bei WPA2 eingesetzt wird, nicht mehr vorhanden. Der „Advanced Encryption Standard“ praktiziert wie WEP das „Aufsummieren“ eines Schlüssels auf die Nachricht. Zwar wird hier jeweils ein Block der Rohdaten mit jeweils demselben Schlüssel verarbeitet, dafür finden mehrere Verarbeitungsdurchgänge mit jeweils variierenden Blockgrößen statt. Werden die Passwörter hinreichend lang und komplex gewählt, dann sind AES-verschlüsselte Nachrichten mit den aktuellen technischen Möglichkeiten relativ schwer zu entschlüsseln.

4.3.4 EAP (Extensible Authentication Protocol)

Hinter der Abkürzung EAP verbirgt sich ein verbreitetes Framework für ver-schiedene Authentifizierungsverfahren für den Netzwerkzugang. Mit anderen Worten, EAP selbst stellt keine Authentifizierungsmethode dar, sondern beschreibt den Mechanismus, nach dem sich Client und Server auf eine Methode einigen können. Eine der Methoden, die unter EAP eingesetzt werden können, ist „EAP-TLS“ (EAP-Transport Layer Security), bei der die Netzwerkteilnehmer vor der Zulassung zum Netzwerkverkehr „zertifiziert“, d. h. bei einem zentralen Server beglaubigt werden müssen. Das Verfahren ist mit dem im Internet geläufigen SSL vergleichbar.

4.3.5 MAC-Filter

MAC-Adressen sind Codes, mittels derer Hardware-Elemente (wie z. B. Netzwerkkarten, Baugruppen, Motherboards) weltweit eindeutig identifiziert werden können. Die Adressen umfassen üblicherweise 6 Byte (48 Bit) und sind in den ent-sprechenden Bauteilen „hart verdrahtet“; auf Anfrage identifizieren sich die Bauteile, indem sie ihre MAC-Adresse zurückliefern. Bei der Netzwerkverwaltung können Filtertabellen mit MAC-Adressen aufgestellt werden, die den Zugriff für bestimmte Adressen erlauben oder verbieten. Auf diese Art und Weise kann ein einfacher – wenn auch vergleichsweise unsicherer – Zugriffsschutz für das Netzwerk implementiert werden. Es ist nicht ausgeschlossen, dass MAC-Adressen manipuliert werden („Spoofing“), sodass MAC-Filter nur in Verbindung mit anderen Maßnahmen hinreichende Sicherheit für ein Netzwerk bieten.

4 Grundlagen und Prinzipien 4.4 Security-Mechanismus: die Firewall



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.4 Security-Mechanismus: die Firewall

Eine Firewall ist Teil des Sicherheitskonzepts im Privat- und Unternehmensbereich, welches unerlaubten Zugriff auf Netzwerke bzw. Geräte untersagt oder einschränkt. Firewalls werden in Form einer Hardware-Komponente oder softwarebasiert angeboten.

4.4.1 Paketfilter

Paketfilter-Firewalls sind aus historischer Sicht eine Erweiterung von Netzwerk-Routern. Jeder Router hat meist zwei oder mehrere Schnittstellen zu angeschlossenen Netzwerken und führt Tabellen darüber, welche Netze an welcher Schnittstelle angeschlossen oder darüber erreichbar sind (Routing-Tabellen). Es ist recht einfach, Router in ähnlicher Weise um Regelsätze zu erweitern, die festlegen, ob die vorhandenen Routen von unterschiedlichen IP-Paketen benutzt werden dürfen oder nicht. Router treffen ihre Routing-Entscheidungen ausschließlich auf der Verbindungsschicht (Layer 3) des OSI-Protokolls. Dazu muss lediglich der IP-Header der Pakete analysiert werden, sodass Router auch mit niederwertiger Hardware-Ausstattung ausreichend hohe Durchsatzraten erzielen. In vergleichbarer Weise werden die Filtermechanismen eines klassischen Paketfilters einfach gehalten, um weiterhin die Durchsatzraten gewährleisten zu können. Daher stützen sich diese Paketfilter auch nur auf Informationen, die in den Headern der Datenpakete enthalten sind, und betrachten nicht die Dateninhalte der IP-Pakete auf höheren Protokollebenen. Ein gut ausgerüsteter Paketfilter im TCP/IP-Umfeld trifft seine Entscheidungen daher auf der Basis der folgenden Kenngrößen: • IP-Adressen von Absender und Empfänger • Verwendetes IP-Protokoll • TCP- bzw. UDP-Ports, soweit das IP-Paket eines dieser Protokolle

transportiert • IP- und TCP-Flags, ICMP-Typen • Die Netzschnittstellen, über die das IP-Paket den Paketfilter erreicht und

gegebenenfalls wieder verlässt Nicht alle Paketfilter-Implementierungen benutzen alle diese Kenngrößen. Der Administrator legt einen Satz von Filterregeln fest, der im Betrieb statisch bleibt. Jede Regel legt für eine Kombination der oben aufgeführten Kenngrößen fest, ob ein IP-Paket weitergeleitet wird oder nicht. Bei der Bearbeitung eines bestimmten IP-Pakets wird mit den vorhandenen Filterregeln verglichen, ob eine Regel auf die Paket-Kenngrößen passt. Wenn ja, wird die in der Regel festgelegte Aktion (Weiterleiten oder Blockieren) ausgeführt. Wenn keine Filterregel zum Paket passt, kommt eine Voreinstellung zum Zuge (die im Interesse der Sicherheit zum Blockieren des Pakets führen sollte). Ein klassischer Paketfilter bearbeitet jedes IP-Paket individuell, die Entscheidung über Weiterleitung oder Blockieren ist unabhängig davon, welche IP-Pakete vorher bearbeitet wurden. Viele Paketfilter werden auf der Basis von Routern realisiert. Eine Alternative dazu sind so genannte „Bridging Firewalls“, bei denen die Filterregeln den Datenverkehr über eine Netzwerk-Bridge, also auf OSI-Layer 2, regeln. Sicherheitstechnisch entsprechen sie weitgehend den Paketfiltern auf Routing-Ebene. Ein kleiner Vorteil kann darin gesehen werden, dass sie ohne eigene IP-Adresse konfiguriert werden und daher auf IP-Ebene nicht sichtbar sind. Netztechnisch sind

4 Grundlagen und Prinzipien 4.4 Security-Mechanismus: die Firewall


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

sie nützlich, wenn die angeschlossenen Netzsegmente nicht jeweils eigenständige Subnetze bilden sollen bzw. können oder eine rückwirkungsfreie Integration notwendig ist.

4.4.2 Stateful Inspection Firewalls

Die Filtereigenschaften eines Paketfilters lassen sich deutlich verbessern, wenn die IP-Pakete in ihrem Kontext überprüft werden. So ist es zum Beispiel wünschenswert, ein von einem externen Rechner kommendes UDP-Paket nur dann nach innen weiterzuleiten, wenn kurz zuvor von innen ein anderes UDP-Paket an denselben Rechner geschickt wurde (z. B. bei einer DNS-Anfrage eines Clients im Innennetz an einen externen DNS-Server). Um das zu ermöglichen, muss der Paketfilter zu allen aktuellen Verbindungen einen Status verwalten. Paketfilter, die das leisten, werden dementsprechend als stateful bezeichnet. Sie ahmen im Fall von TCP-Verbindungen die Statusüberwachung eines vollständigen TCP/IP-Protokoll-Stacks nach und simulieren virtuelle Verbindungen im Falle von UDP. Eine andere wichtige Eigenschaft eines Stateful Inspection Filters ist die Fähigkeit, Filterregeln dynamisch zu erzeugen und zu löschen. Im oben genannten Fall muss beispielsweise nach dem Passieren des ersten UDP-Datenpakets von innen nach außen für einen begrenzten Zeitraum eine Regel aktiviert werden, die das „Antwortpaket“ akzeptiert und an den Client weiterleitet. Nach Ablauf des Zeitfensters für die Antwort muss diese Regel dann wieder gelöscht werden. Dem Firewall-Administrator wird damit die Konfiguration erleichtert, da einige Regeldefinitionen nicht mehr explizit eingepflegt werden müssen. Auf der anderen Seite entzieht sich das Verhalten der Firewall teilweise der Kontrolle des Administrators.

Hinweis Die Stateful Inspection Firewall ist in allen Security-Modulen von Siemens implementiert.

4.4.3 Application Gateways

Dieser Firewall-Typ konzentriert seine Überwachungsfunktionen auf die Anwendungsebene (OSI-Layer 7). Für jedes behandelte Anwendungsprotokoll gibt es ein spezielles Prüfprogramm (Proxy), das den Datenstrom dieser Anwendung vollständig analysiert. Daher wird dieser Firewall-Typ auch als Proxy-Firewall bezeichnet. Ein Proxy überprüft auf jeden Fall ausschließlich die Einhaltung des Anwendungsprotokolls, für das er geschrieben wurde. Hinzu kommen protokoll- und konfigurationsabhängig weitere Möglichkeiten: • Filterung von Protokoll-Elementen

Nicht alles, was im Anwendungsprotokoll definiert ist, mag im konkreten Einsatzfall erlaubt sein. Ein denkbares Beispiel ist z. B. die Filterung des PUT-Kommandos im FTP-Protokoll, wenn der angesprochene FTP-Server keine Uploads erhalten darf.

• Suche nach Schadsoftware Auf Anwendungsebene liegen die Daten in einem Format vor, das die Überprüfung auf Viren, Trojaner, Würmer und andere Schadsoftware mittels eines üblichen Virenscanners möglich macht.

• Benutzer-Authentisierung Sofern das Anwendungsprotokoll selbst eine Benutzer-Authentisierung vorsieht, kann diese bereits vom Proxy verlangt werden, bevor der eigentlich adressierte Server angesprochen wird. Ein nicht autorisierter Benutzer kann den Server dann gar nicht mehr erreichen.

4 Grundlagen und Prinzipien 4.5 Security-Mechanismus: der VPN-Tunnel



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.5 Security-Mechanismus: der VPN-Tunnel

4.5.1 Virtuelles privates Netzwerk

Beschreibung Ein VPN (virtuelles privates Netzwerk) bezeichnet ein privates Netzwerk, welches zur Übertragung der Daten an ein privates Zielnetz ein öffentliches Netzwerk (z. B. Internet) als Transitnetzwerk benutzt. Die privaten Netze und das Transitnetzwerk müssen dabei untereinander nicht kompatibel sein. Für den Aufbau eines VPN werden VPN-Router benötigt. VPN nutzt dafür zwar die Adressierungsmechanismen des Trägernetzwerks, verwendet aber eigene Netzwerkpakete, um den Transport privater Datenpakete von den anderen zu trennen. Diese Tatsache lässt die privaten Netzwerke wie ein gemeinsames, logisches (virtuelles) Netzwerk erscheinen.

Das Tunnelling-Konzept Basis aller virtuellen, privaten Netzwerke ist das Tunnelling-Konzept. Mit dieser Technologie können Datenpakete eines Netzwerkprotokolls als Nutzlast in Pakete eines anderen Netzwerkprotokolls eingekapselt (Encapsulation) und über dieses Netzwerk transportiert werden. Dieser Vorgang erzeugt einen zusätzlichen Protokollkopf (Header), welcher dem Originalpaket vorangestellt wird. Während der Weiterleitung kann das Originalpaket je nach Tunnelanforderungen auch verschlüsselt werden. Zwischen Sender und Empfänger, den sogenannten Tunnel-Endpunkten, besteht eine Tunnelverbindung. Das folgende Bild zeigt das Prinzip des Layer 3-Tunneling: Abbildung 4-8

IP-Header

TCP-Header

Daten

IP-Header

TCP-Header

Daten

IP-Header

TCP-Header

Daten

NeuerIP-Header

Tunnel-Header

Encapsulation

Tunnel-Endpunkt

Tunnel-Endpunkt

Transitnetz, z. B. InternetPrivates Netz Privates Netz

Nut

zlas

tH

eade

r

Nut

zlas

tH

eade

r

Nut

zlas

tH

eade

r

Decapsulation



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.5.2 Der Sicherheitsstandard IPsec

Beschreibung Ein wichtiger Bestandteil bei der Datenkommunikation über Netzwerkgrenzen hinweg ist IPsec (IP Security). Es ist eine standardisierte Protokollsuite und ermöglicht einen herstellerunabhängigen, sicheren und geschützten Datenaustausch über IP-Netze. IPsec ist eine Erweiterung des IP-Protokolls und somit auf Layer 3 des OSI-Referenzmodells ansässig.

Ziele Das wesentliche Ziel von IPsec ist der Schutz und die Absicherung der Daten während einer Übertragung über ein unsicheres Netzwerk. Alle bekannten Schwächen wie das Abhören und die Veränderung der Datenpakete können mit diesem Sicherheitsstandard unterbunden werden. Verschlüsselte Datenpakete, Authentifizierung und Authentisierung der Teilnehmer machen dies möglich. Die konkreten Aufgaben von IPsec sind: • Gewährleistung der Echtheit des Paketes (Paketauthentifizierung) • Schutz vor unerlaubter und unbemerkter Veränderung der Datenpakete

(Datenintegrität) • Vertraulichkeit der übertragenen Datenpakete • Schutz gegen Replay-Angriffe (verhindert mehrmaliges Empfangen des

gleichen Datenpaketes) • Schlüsselmanagement

Architektur von IPsec Die Architektur von IPsec ist in einer Sammlung verschiedener Standards zusammengefasst. Diese RFCs (Request for Comments) beinhalten Vorschriften und Regeln, wie ein Datenpaket in ein geschütztes Paket gewandelt und ohne Verluste wieder zurücktransformiert werden kann. Die wichtigsten RFCs bei IPsec sind: • Der IP-Authentication-Header (AH) wickelt die Authentifizierung und

Identifizierung der Quelle ab und sorgt damit für die Datenintegrität (RFC 2402).

• Die Encapsulation-Security-Payload (ESP) verschlüsselt die Daten und schützt vor unbefugtem Zugriff (RFC 2406).

• Das Schlüsselmanagement sorgt für die Verschlüsselung der Daten (RFC 2407-2409, RFC 2412).

• Die Security Association (SA) dient als Vereinbarung der Teilnehmer über die Nutzung der gleichen Verschlüsselungstechniken (RFC 2401).

IPsec ist modular aufgebaut, sodass die wichtigen Bestandteile – das AH-Protokoll, das ESP-Protokoll und das Schlüsselmanagement – beliebig zusammen eingesetzt werden können. Darüber hinaus werden für IPsec zwei Betriebsmodi festgelegt. Diese beinhalten Vorschriften, welche Bereiche des Datenpaketes geschützt werden sollen. • Der Transport-Modus wird verwendet, wenn die kryptografischen Endpunkte

auch Kommunikationsendpunkte sind (Rechner-Rechner-Verbindungen). Es wird hier lediglich die Nutzlast des IP-Paketes geschützt, nicht aber der IP-Header.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

• Der Tunnel-Modus wird gewählt, wenn die kryptografischen Endpunkte nur Sicherheits-Gateways sind und entfernte Subnetze miteinander über ein unsicheres Transitnetz gekoppelt werden. Sicherheits-Gateways können spezielle Router oder Firewall-Systeme sein. In diesem Modus wird das gesamte IP-Paket geschützt und als Nutzlast in ein neues IP-Paket eingefügt (siehe Abbildung 4-8). Die Original IP-Adresse ist von außen nicht mehr sichtbar.

Abbildung 4-9

IP-Header TCP-/UDP-Header Daten

Tunnel-IP-Header

ESP-Header DatenIP-Header TCP-/UDP-

Header ESP-Trailer

Datenpaket vor der Verschlüsselung

Nach der Verschlüsselung durch ESP

verschlüsselt

authentifiziert

ESP-Auth-Trailer

Bedeutung und Funktion der jeweiligen Segmente sind: Tabelle 4-7

Segment Funktion

Tunnel-IP-Header Dieser IP-Header enthält die Adresse des kryptografischen Endpunktes (VPN-Gateway).

ESP-Header Durch ESP werden das Original IP-Datenpaket und der ESP-Trailer verschlüsselt. Der ESP-Header bietet Schutz vor Replay-Angriffen und enthält den SPI (Security Parameters Index).

ESP-Trailer Ist die zu übertragene Nutzdatenmenge kleiner als die Blockgröße, füllt der ESP-Trailer die fehlende Anzahl auf und speichert die Anzahl der eingefügten Bits.

ESP-Authentifizierungstrailer

Enthält den Integritätsprüfwert zur Authentifizierung und Überprüfung der Integrität der Nachricht.

Hinweis Einschränkung bei IPsec

Durch die Verwendung von IPsec bei der Übertragung von IP-Telegrammen durch einen (Layer 3-) VPN-Tunnel des Security-Moduls wird kein VLAN-Tagging übertragen. Die in den IP-Telegrammen enthaltenen VLAN-Tags gehen beim Passieren der Security-Module verloren. Standardmäßig können mit IPsec auch keine IP-Broadcast- bzw. IP-Multicast-Telegramme übertragen werden.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.5.3 Schlüsselmanagement

Der Grund für die Einrichtung einer IPsec-Verbindung sind die bei einer Datenübertragung geforderten Sicherheitsanforderungen. Die IPsec-Protokolle AH und ESP setzen kryptografische Algorithmen und Sicherheitsassoziationen (SA) ein, die einen Schlüssel benötigen. Sie fordern, dass alle IPsec-Verbindungspartner bereits die geheimen identischen Schlüssel ausgetauscht haben und das Schlüsselmanagement folgende Anforderungen erfüllt: • Die Schlüssel und SAs müssen für alle eingesetzten Algorithmen und

kryptografischen Verfahren gelten. • Es muss SAs über ein unsicheres Netz verhandeln. • Es muss alle Anforderungen der IPsec-Verbindungspartner in Einklang

bringen.

Internet Key Exchange (IKE) Mit dem Internet-Key-Exchange (IKE) wurde ein Schlüsselaustauschverfahren spezifiziert, das diese Anforderungen erfüllt: • IKE bestimmt, welche Protokolle, Algorithmen und Schlüssel zum Einsatz

kommen. • Es gewährleistet einen Schlüsselaustausch, -wechsel und eine

Schlüsselerneuerung über einen sicheren Weg. • Die Datenübertragung in der Start- und Authentifizierungsphase ist sicher. • Alle Anforderungen der IPsec-Verbindungspartner werden in Einklang

gebracht. IKE initiiert zwei wesentliche Bestandteile: • Internet Security Association and Key Management Protocol (ISAKMP; RFC

2408); ISAKMP steuert die Austauschvorgänge zwischen den beteiligten Gegenstellen und definiert die nötigen Nachrichten zur Erzeugung, Aushandlung und Modifizierung von Security-Associations. ISAKMP legt einzig die Paketformate fest und spezifiziert die Rahmenstruktur, wie ein Schlüsselmanagement erfolgt.

• Oakley-Protokoll (RFC 2412) ist ein Schlüsselaustauschprotokoll und nutzt die von ISAKMP vorgegebenen Schlüsselmanagement-Prozeduren.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Der Schlüsselaustausch erfolgt in zwei Phasen: Phase 1 (Main Mode bzw. Aggressive Mode)

In dieser Phase sind noch keine Sicherheitsdienste wie Verschlüsselung, Authentifizierung und Integritätsprüfung verfügbar, da die notwendigen Schlüssel und die IPsec-SA noch nicht erstellt wurden. Phase 1 dient zum Aufbau eines sicheren Kanals für Phase 2. Dafür verhandeln die Kommunikationspartner eine ISAKMP Security Association (ISAKMP-SA), welche die notwendigen Sicherheitsdienste (verwendete Algorithmen, Authentifizierungsmethoden) definiert. Damit werden die weiteren Nachrichten und Phase 2 abgesichert. Die SAs können entweder im Main Mode oder im Aggressive Mode ausgehandelt werden. Die beiden Varianten unterscheiden sich durch die Anzahl der auszutauschenden Nachrichten und die Verschlüsselung der ausgetauschten Daten.

Phase 2 (Quick Mode) Phase 2 dient zur Aushandlung der benötigten IPsec-SA. Ähnlich wie bei Phase 1 wird durch das wechselseitige Anbieten eine Einigung über die Authentifizierungsmethoden, die Algorithmen und die Verschlüsselungsverfahren getroffen, um die IP-Pakete mit IPsec-AH und IPsec-ESP zu schützen. Geschützt wird der Nachrichtenaustausch über die ISAKMP-SA, die in Phase 1 vereinbart wurde. Durch die in Phase 1 ausgehandelte ISAKMP Security Association ist die Identität der Teilnehmer sowie das Verfahren zur Integritätsprüfung bereits gegeben.

Preshared Key und Zertifikate Für die Verschlüsselung der Daten werden Schlüssel benötigt. Zur Wahl stehen die Methoden Preshared Key und digitale Signaturen (Zertifikate). Preshared Key

Die Verwendung eines Preshared Key ist ein symmetrisches Kryptosystem. Jeder Teilnehmer besitzt nur einen geheimen Schlüssel für die Ent- und Verschlüsselung von Datenpaketen. Die Authentifizierung erfolgt über ein gemeinsames Passwort.

Zertifikate Die Verwendung von Zertifikaten ist ein asymmetrisches Kryptosystem, wobei jeder Teilnehmer über ein Schlüsselpaar verfügt: einen geheimen, privaten Schlüssel und einen öffentlichen Schlüssel der Gegenstelle. Der private Schlüssel ermöglicht es, Daten zu entschlüsseln, digitale Signaturen zu erzeugen und sich zu authentisieren. Der öffentliche Schlüssel ermöglicht das Verschlüsseln von Datenpaketen für die Gegenstelle.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.5.4 Schlüsselaustauschverfahren

Asymmetrische Verfahren Bei asymmetrischen Algorithmen ist die Grundidee die Verwendung eines Schlüsselpaares. Ein Schlüssel dient zur Verschlüsselung der Nachricht. Dieser öffentliche Schlüssel wird jedermann zugänglich gemacht. Der zweite Schlüssel dient zur Entschlüsselung der Nachricht. Dieser Schlüssel muss unbedingt geheim bleiben (privater Schlüssel). Derartige Verfahren werden auch als Public-Key-Algorithmen bezeichnet. Wichtig ist, dass der private Schlüssel nicht aus dem öffentlichen Schlüssel abgeleitet oder berechnet werden kann.

Symmetrische Verfahren Bei symmetrischen Algorithmen wird auf beiden Seiten, also beim Verschlüsseln und beim Entschlüsseln derselbe Schlüssel verwendet bzw. es werden beim Ver- und Entschlüsseln Schlüssel verwendet, die voneinander abgeleitet werden können. Die Vorteile der symmetrischen Algorithmen liegen in der hohen Geschwindigkeit und der vergleichsweise einfachen Implementierung. Der Nachteil liegt in der Verteilung des Schlüsselmaterials. Aufgrund der Symmetrie muss der verwendete Schlüssel sowohl dem Sender als auch dem Empfänger bekannt sein. Da jeder Algorithmus nur dann sicher ist, wenn die zur Entschlüsselung benötigte Information, d. h. der Schlüssel geheim bleibt, muss dieser Schlüssel vor der Verwendung auf einem sicheren Kanal ausgetauscht oder ausgehandelt werden. Wird der Schlüssel während dieses Austauschs bekannt, dann ist die gesamte Verschlüsselung kompromittiert.

Diffie-Hellman-Algorithmus Das wohl bekannteste Verfahren zum Austausch von Schlüssel-Informationen ist der Diffie-Hellman-Algorithmus. Benannt nach den Erfindern Whitefield Diffie und Martin Hellman wurde es bereits 1976 zum ersten Mal umgesetzt. Ziel des Verfahrens ist die Erzeugung eines gemeinsamen Schlüssels für Sender und Empfänger pro Security-Association. Beide Verschlüsselungsteilnehmer einigen sich auf: • Eine große Primzahl p und • eine Basis g, für die gilt 1<g<p. Mithilfe dieser Informationen wird der gemeinsame Schlüssel gebildet.

Zusammenfassung In der Praxis werden symmetrische und asymmetrische Verfahren gerne kombiniert, um die jeweiligen Nachteile auszugleichen. So wird für die eigentliche Verschlüsselung der Daten aufgrund der Geschwindigkeit oft ein symmetrischer Schlüssel eingesetzt. Zur Verteilung dieses symmetrischen Schlüssels an alle Kommunikationspartner wird dann aber ein asymmetrisches Verfahren verwendet.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.5.5 Initiierung eines IPsec-VPN-Tunnels

Der IPsec-VPN-Tunnel In der Bezeichnung ‚IPsec-VPN-Tunnel’ bzw. ‚IPsec-Tunnel’ verbergen sich drei konkrete Aussagen: • IPsec: Zur Wahrung der Datenintegrität, der Datenvertraulichkeit und für die

Authentifizierung wird die Datenkommunikation über IPsec gesichert. • VPN: Logische, private Verbindung zwischen einem Sender und einem

Empfänger über ein unsicheres Transitnetz. • Tunnel: Für die Datenübertragung wird das Layer 3-Tunneling-Konzept

angewandt. Die logische Verbindung zwischen den Kommunikationspartnern ist vergleichbar mit einem Tunnel.

Für den Aufbau eines IPsec-VPN-Tunnels werden mindestens zwei Endgeräte benötigt, die IPsec unterstützen und gekapselte Datenpakete durch das Layer 3-Tunnelling verstehen.

VPN-Client und VPN-Server Eine über IPsec gesicherte Datenkommunikation beginnt immer mit der Aushandlung einer vorläufigen Security Association (Phase 1 von IKE), bevor in Phase 2 eine endgültige Einigung über die Algorithmen, Schlüssel etc. getroffen wird. Der Tunnelendpunkt, der die Aushandlung einer Security Association aktiv startet, wird als VPN-Client bezeichnet. Die Gegenstelle, die auf den VPN-Client wartet, heißt VPN-Server.

4 Grundlagen und Prinzipien 4.6 Security-Mechanismus: Adressumsetzung mit NA(P)T


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.6 Security-Mechanismus: Adressumsetzung mit NA(P)T Network Address Translation (NAT) bzw. Network Address Port Translation (NAPT) sind Verfahren zur Umsetzung von privaten IP-Adressen in öffentliche IP-Adressen.

4.6.1 Die Adressumsetzung mit NAT

Beschreibung NAT ist ein Protokoll zur Adressumsetzung zwischen zwei Adressräumen. Hauptaufgabe ist die Umsetzung von öffentlichen Adressen, d. h. IP-Adressen, die im Internet verwendet und auch geroutet werden, in private IP-Adressen und umgekehrt. Durch diese Technik wird erreicht, dass die Adressen des internen Netzes nach außen im externen Netz nicht sichtbar sind. Die internen Teilnehmer sind im externen Netz nur über die in der Adressumsetzungsliste (NAT-Tabelle) festgelegten externen IP-Adressen sichtbar. Das klassische NAT ist eine 1:1-Umsetzung, d. h. eine private IP-Adresse wird auf eine öffentliche umgesetzt. Die Ansprechadresse für die internen Teilnehmer ist demnach eine externe IP-Adresse.

NAT-Tabelle Die NAT-Tabelle enthält die Zuordnung von privaten und öffentlichen IP-Adressen und wird im Gateway oder Router konfiguriert und verwaltet.

Ablauf Wenn ein Gerät aus dem externen Netz ein Paket an ein internes Gerät schicken will, verwendet es als Zieladresse eine öffentliche Adresse. Diese IP-Adresse wird vom Router in eine private IP-Adresse übersetzt. Als Quelladresse im IP-Header des Datenpakets bleibt unverändert die öffentliche IP-Adresse des externen Gerätes stehen. Die Antwort des internen Geräts wird an die IP-Adresse, die als Quelladresse im IP-Header hinterlegt ist, geschickt. Dadurch, dass seine eigene und die Quelladresse in unterschiedlichen Subnetzen liegen, schickt das interne Gerät das Paket an seinen Router, der es an das externe Gerät weitervermittelt.

4 Grundlagen und Prinzipien 4.6 Security-Mechanismus: Adressumsetzung mit NA(P)T



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.6.2 Die Adressumsetzung mit NAPT

Beschreibung NAPT ist eine Variante von NAT und wird häufig mit diesem gleichgesetzt. Der Unterschied zu NAT liegt darin, dass bei diesem Protokoll auch Ports umgesetzt werden können. Es gibt keine 1:1-Umsetzung der IP-Adresse mehr. Vielmehr existiert nur noch eine öffentliche IP-Adresse, die durch den Zusatz von Portnummern in eine Reihe von privaten IP-Adressen umgesetzt wird. Die Ansprechadresse für die internen Teilnehmer ist eine externe IP-Adresse mit einer Portnummer.

NAPT-Tabelle Die NAPT-Tabelle enthält die Zuordnung von externen Ports auf die privaten IP-Adressen inklusive Portnummer und wird im Gateway oder Router konfiguriert und verwaltet.

Ablauf Wenn ein Gerät aus dem externen Netz ein Paket an ein internes Gerät schicken will, verwendet es als Zieladresse die öffentliche Adresse des Routers mit Portangabe. Anhand der NAPT-Tabelle kann der Router die externe Portnummer einer festgelegten privaten IP-Adresse inklusive Port zuordnen. Als Quelladresse im IP-Header des Datenpakets bleibt unverändert die öffentliche IP-Adresse des externen Gerätes stehen. Die Antwort des internen Geräts wird an die IP-Adresse, die als Quelladresse im IP-Header hinterlegt ist, geschickt. Dadurch, dass seine eigene und die Quelladresse in unterschiedlichen Subnetzen liegen, schickt das interne Gerät das Paket an seinen Router, der es an das externe Gerät weitervermittelt.

4.6.3 Zusammenhang zwischen NA(P)T und Firewall

In den Security-Modulen von Siemens ist die Verwendung von NA(P)T und der Firewall wie folgt geregelt: Sowohl für die Richtungen Src-NAT bzw. Dst-NAT gilt, dass Telegramme zunächst die Adressumsetzung im NAT- / NAPT-Router und anschließend die Firewall passieren. Die Einstellungen für den NAT- / NAPT-Router und die Firewall-Regeln müssen so aufeinander abgestimmt werden, dass Telegramme mit umgesetzter Adresse die Firewall passieren können.

4 Grundlagen und Prinzipien 4.7 Grundlagen zu (sicheren) IT-Funktionen


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Abbildung 4-10.

Security-ModulExternes Netzwerk Internes Netzwerk

NAT-/NAPT-Router

Firewall

IP-Telegramme nach Extern / DMZ (Src-NAT)

IP-Telegramme von Extern / DMZ (Dst-NAT)

Stimmen NA(P)T-Einträge und die Regeln der Firewall nicht überein, blockt das Security-Modul die Datenpakete, die in keiner Regel aufgeführt sind.

4.7 Grundlagen zu (sicheren) IT-Funktionen

4.7.1 Das File Transfer Protocol (FTP)

Beschreibung Das File Transfer Protocol ist ein spezifiziertes Netzwerkprotokoll zur Datenübertragung zwischen einem FTP-Server und FTP-Client bzw. clientgesteuert zwischen zwei FTP-Servern. Mit FTP können Daten ausgetauscht, Verzeichnisse angelegt, umbenannt und auch gelöscht werden. Die Kommunikation zwischen FTP-Client und FTP-Server findet als Austausch von textbasierten Kommandos statt. Jeder vom FTP-Client gesendete Befehl führt zu einer Rückmeldung des FTP-Servers in Form eines Status-Codes und einer Meldung im Klartext. Dafür legt FTP zwei logische Verbindungen an: einen Steuerkanal über Port 21 zur Übertragung von FTP-Kommandos und deren Antworten sowie einen Datenkanal über Port 20 zur Übertragung von Daten. Bei passivem FTP werden beide Kanäle durch den FTP-Client, bei aktivem FTP durch den FTP-Server initiiert.

Lösung für ein sicheres FTP Zum Schutz der Daten während der Übertragung besteht auch bei FTP die Möglichkeit der Datenverschlüsselung und Authentifizierung. Die einfachste Möglichkeit der Umsetzung einer gesicherten FTP-Verbindung ist das Secure Socket Layer Protocol (auch als Transport Layer Security bezeichnet). SSL (Secure Socket Layer) ist in der Darstellungsschicht des OSI-Schichtenmodells angesiedelt. Dabei wird der Datenstrom zu Beginn einer Verbindung unmittelbar auf unterster Bit-Ebene mit einem Schlüssel verschlüsselt. Für die Identifikation und Authentifikation der Teilnehmer dient das SSL-Handshake Protokoll. Das Aushandeln eines Schlüssels für die Verschlüsselung erfolgt über das Public-Key Verfahren. Dazu sendet der FTP-Server ein Zertifikat mit seinem öffentlichen Schlüssel an den FTP-Client. Der öffentliche Schlüssel zu dem Zertifikat muss zuvor durch eine Zertifizierungsstelle und mit einer digitalen Signatur beglaubigt werden.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

FTPES Das explizite FTP für eine gesicherte Datenübertragung ist eine Kombination aus FTP und dem SSL-Protokoll und verwendet dieselben Ports wie im normalen FTP Modus (Port 20 / 21). FTPES wird vom CPx43-1 Advanced V3 unterstützt. Als Schlüssel für SSL dient ein Zertifikat, das mit der Projektierung des Security-CPs generiert und geliefert wird. Ein sicherer FTP-Datentransfer mit dem CPx43-1 Advanced V3 ist nur mit aktivierter Security-Funktion möglich und wird explizit in der Projektierung des CPs erlaubt. Abbildung 4-11



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.7.2 Das Network Time Protocol (NTP)

Beschreibung Das Network Time Protocol (NTP) ist ein standardisiertes Protokoll zur Synchronisation der Uhrzeit an mehreren Rechnern / Baugruppen über das Netzwerk. Die Genauigkeit liegt im Millisekundenbereich. Die Uhrzeit wird dabei von einem NTP-Server den NTP-Clients zur Verfügung gestellt.

NTP (gesichert) Gesichertes NTP ermöglicht eine sichere und authentifizierte Uhrzeitsynchronisation mithilfe von Authentifizierungsmethoden und einem gemeinsamen Verschlüsselungscode. Sowohl der NTP-Server, als auch die NTP-Clients müssen diese Funktion unterstützen. Eine sichere Uhrzeitsynchronisation wird z. B. vom CPx43-1 Advanced V3 und CP1628 unterstützt, wenn die Security-Funktion aktiviert und die erweiterte NTP-Konfiguration explizit in der Projektierung des CPs in STEP 7 aktiviert ist. Abbildung 4-12




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

4.7.3 Das Hypertext Transfer Protocol (HTTP)

Beschreibung Das Hypertext Transfer Protocol (HTTP) gehört zur Familie der Internetprotokolle und ist ein standardisiertes Verfahren zur Übertragung von Daten in einem Netzwerk. HTTP wird bevorzugt für das Laden von Webseiten von einem Webserver auf einen Webbrowser verwendet.

HTTPS Die Daten, die über HTTP transportiert werden, sind als Klartext lesbar und können von Dritten mitgehört werden. Gerade jetzt – im Zeitalter des Onlinebanking, des Onlineeinkaufs und der sozialen Netzwerke – ist es wichtig, dass die Übermittlung vertraulicher und persönlicher Daten sicher und vor Unbefugten geschützt erfolgt. Die einfachste Möglichkeit für eine abhörsichere Übertragung ist das Hypertext Transfer Protocol Secure (HTTPS). HTTPS ist wie HTTP aufgebaut, nutzt aber zusätzlich für die Verschlüsselung das Secure Socket Layer Protocol.

4.7.4 Das Simple Network Management Protocol (SNMP)

Beschreibung SNMP – Simple Network Management Protocol – ist ein UDP-basiertes Protokoll, das speziell zur Administration von Datennetzen spezifiziert wurde und sich mittlerweile auch als De-facto-Standard bei TCP/IP-Geräten etabliert hat. Die einzelnen Knoten im Netz – Netzkomponenten oder auch Endgeräte – verfügen über einen sogenannten SNMP-Agenten, der Informationen in strukturierter Form bereitstellt. Diese Struktur wird als MIB (Management Information Base) bezeichnet. Der Agent ist im Netzknoten in der Regel als Firmwarefunktionalität realisiert.

Management Information Base – MIB Eine MIB (Management Information Base) ist eine standardisierte Datenstruktur aus verschiedenen SNMP-Variablen, die in einer vom Zielsystem unabhängigen Sprache beschrieben werden. Durch die herstellerübergreifende Standardisierung der MIBs und der Zugriffsmechanismen lässt sich auch ein heterogenes Netzwerk mit Komponenten von unterschiedlichen Herstellern überwachen und steuern. Werden zur Netzüberwachung komponentenspezifische, nicht standardisierte Daten benötigt, so können diese in sogenannten „Private MIBs“ von den Herstellern beschrieben werden.

Ablauf Eine auf SNMP basierende Netzwerkmanagementlösung arbeitet nach dem Client/Server-Modell. Die Managementstation (SNMP-Client) kann Informationen von den zu kontrollierenden Agenten, die als Server fungieren, abfragen (Polling). Die MIB-Informationen werden von der Managementstation zyklisch abgerufen und gegebenenfalls visualisiert. Die Knoten sind darüber hinaus auch in der Lage, gewisse Zustände über sogenannte Traps unaufgefordert an die Netzwerkmanagementstation zu melden. Mit SNMP können die Knoten nicht nur überwacht werden, es sind auch Anweisungen zum Steuern der Geräte möglich. Hierzu zählt z. B. das Aktivieren oder Deaktivieren eines Ports an einer Netzkomponente. Die Kommunikation zwischen den Agenten und der



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Netzwerkmanagementstation läuft im Hintergrund ab und belastet das Netzwerk nur unwesentlich.

Das sichere SNMP (SNMPv3) SNMP gibt es in verschiedenen Versionen: SNMPv1, SNMPv2 und SNMPv3. Die Urversion SNMPv1 und SNMPv2 sind teilweise immer noch im Einsatz. Auf den Einsatz von SNMPv1 und SNMPv2 sollte aber verzichtet werden, da in diesen Versionen keine bzw. nur eingeschränkte Sicherheitsmechanismen implementiert sind. Ab der Version 3 bietet SNMP zusätzlich eine Benutzerverwaltung mit Authentifikation sowie die optionale Verschlüsselung der Datenpakete an. Durch diese Aspekte wurde die Sicherheit bei SNMP stark erhöht. Die abhörsichere Übertragung von Netzwerkanalyseinformationen ist z. B. mit den CP x43-1 Advanced V3, dem CP1628 und den SCALANCE S V3 projektierbar.

5 SIMATIC NET Produkte 5.1 SCALANCE Produktfamilie



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved


Die SCALANCE Produktfamilie umfasst verschiedene Industrial Ethernet Switches − aktive Netzkomponenten zum Einsatz direkt an der SIMATIC, als Standalone-Geräte oder als steckbare Kommunikationsprozessoren mit integriertem Switch für PC und SIMATIC. Das Postfix an dem „Familiennamen“ kennzeichnet das Einsatzgebiet. Ein „X“ steht hierbei für „Switching“, das „W“ für „Wireless“ und das „S“ für „Security“.

5.1.1 Industrial Switching – SCALANCE X

Abbildung 5-1

Die Produktreihe SCALANCE X bietet Switches für den industriellen Einsatz an. Es gibt sie in verschiedenen Leistungskategorien, mit einem erweiterten Leistungsspektrum je Stufe. Der Vorteil dieser Geräte liegt darin, dass sie speziell auf die Anforderungen für das Automatisierungsumfeld entwickelt wurden. Dies zeigt sich z. B. in den erweiterten Temperaturbereichen, in denen die Switches eingesetzt werden können. Auch ist das Gehäuse durch seine Robustheit auf die Einsatzumgebung angepasst. Die Montage erfolgt je nach Bedarf direkt an der Wand oder auf einer Hutschiene.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Die einzelnen Funktionsstufen erkennt man anhand der angehängten Nummer an den „Familiennamen“. Diese Nummer ist immer dreistellig. Die Hunderter-Zahl gibt dabei stets die Leistungsklasse an. Sie liegt zwischen 0 (kleinste Leistungsklasse) und 5 (höchste Leistungsklasse). Die Zehner- und Einer-Zahl spiegeln die Anzahl der elektrischen Ports wieder. Die Bezeichnung SCALANCE X224 beschreibt demnach einen Switch der Leistungsklasse 2 mit 24 elektrischen Ports. Die folgende Tabelle zeigt die Einordnung der SCALANCE X-Produkte in das Automatisierungsumfeld: Abbildung 5-2

Für die sicherheitsrelevanten Funktionen können nur Switche aus der Leistungsklasse 3 bis 5 verwendet werden. Der Unterschied zwischen 300er und 400er bzw. 500er Switchen liegt darin, dass die 400er bzw. 500er Geräte modular aufgebaut sind, die 300er Produkte in Kompaktbauweise ausgeführt sind.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

5.1.2 Industrial Wireless LAN – SCALANCE W

Abbildung 5-3

Mit den Industrial Wireless LAN (IWLAN) Komponenten steht eine mobile Lösung für neue Applikationen bis in die Feldebene zur Verfügung. Die Produkte bieten eine einzigartige Kombination aus Zuverlässigkeit, Robustheit und Sicherheit. Der industrielle Einsatz der Funktechnologie erfordert besonders zuverlässige Verbindungen. Eine gegen Störungen tolerante Modulation ist im Standard 802.11 b/g, a und n berücksichtigt. Zur Aufrechterhaltung der Funkverbindung auch bei größeren Entfernungen oder Reflexionen an metallischen Gegenständen wird die Datenrate in definierten Schritten reduziert. Das alles ist Bestandteil des Standards IEEE 802.11 mit Datenraten bis zu 600 Mbit/s und Übertragungsfrequenzen von 2,4 GHz und 5 GHz. Zusätzlich bietet Industrial Wireless LAN von SIMATIC NET eine Erweiterung des Standards, die ausgewählten Teilnehmern eine definierte Datenrate zur Verfügung stellt. Damit wird deterministischer Datenverkehr auf Basis des Shared-Mediums Wireless LAN möglich. IWLAN unterstützt die gezielte Überwachung der Verbindung eines Teilnehmers zum Access Point, um bei Abbruch der Verbindung oder Verlassen der Funkzelle sofort Gegenmaßnahmen einzuleiten.



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Der Einsatz im rauen Industrie-Alltag erfordert robuste Produkte, insbesondere wenn sie außerhalb von Schaltschränken eingesetzt werden. Die IWLAN- Komponenten von SIMATIC NET sind je nach Einsatzgebiet optimal an die Umgebungsbedingungen angepasst: • für den Außenbereich gelten die Schutzart IP65 und zulässige

Betriebstemperaturen von -40 °C bis +60 °C. • für den Innenbereich gelten die Schutzart IP30 und zulässige

Betriebstemperaturen von -20 °C bis +60 °C. Alle Komponenten erfüllen die hohen Anforderungen von SIMATIC bezüglich Schock und Vibrationen. Die Stecker sind rüttel- und schüttelfest ausgeführt. Schutz vor unerlaubtem Zugriff und Verschlüsselung der Daten sind Anforderungen, die nicht nur bei der Übertragung von geheimen Daten gefragt sind. Industrial Wireless LAN folgt hier exakt den Vorgaben, wie sie IEEE und WiFi im Standard 802.11 definieren, um ein hohes Maß an Interoperabilität zu ermöglichen. Mit den neuen Mechanismen aus WPA2 und einer AES- basierten Verschlüsselung sind die bekannten Sicherheitslücken von Wireless LAN und WEP behoben worden. Ausfallzeiten von Netzsegmenten und angeschlossenen Industrial Ethernet-Netzwerkteilnehmern werden im Fehlerfall durch Einsatz eines Configuration-PLUG (C-PLUG) minimiert. Der C-PLUG ermöglicht den schnellen und einfachen Geräteaustausch von SIMATIC NET-Komponenten ohne erneute Konfiguration des Ersatzteiles.

5.1.3 Industrial Security – SCALANCE S

Abbildung 5-4

Hardware und Software der SCALANCE S Produktlinie bilden ein bis ins Detail ausgefeiltes Security-System, das exakt auf die hohen Anforderungen industrieller Kommunikation zugeschnitten ist. Die Schutzfunktion von SCALANCE S besteht darin, dass der gesamte Datenverkehr von und zur Zelle kontrolliert wird. Die Security-Module werden einfach vor den zu schützenden Geräten platziert. Die Security-Module sind in der Lage, mehrere Geräte gleichzeitig zu schützen. Das bedeutet für den Anwender geringere Kosten und auch deutlich weniger Konfigurationsaufwand.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Die SCALANCE S Module wurden mit einer Reihe von Funktionen für die Integration der Baugruppe in das Zellenschutzkonzept ausgestattet. • Schutz von Geräten mit bzw. ohne eigenständige Sicherheitsfunktionen durch

die integrierte Firewall: – Untersuchung der Datenpakete anhand der Ursprungs- und Zieladresse

(stateful inspection firewall) – Unterstützung von Ethernet-„Non-IP“-Telegrammen – Bandbreitenbegrenzung – Globale und Lokale Firewallregeln – Benutzerspezifische Firewallregeln

• Höchste Sicherheit mit SCALANCE S612 V3 und S623: Die Unterstützung von VPN und IPsec ermöglicht eine sichere Datenübertragung über eine Quasi-Standleitung. Der SCALANCE S612 V3 und S623 können sowohl Server als auch Client sein und bis zu 128 VPN-Tunnel verwalten.

• Schutz von mehreren Geräten gleichzeitig: Durch die Integration des SCALANCE S als Verbindungsglied zwischen zwei Netzwerken werden die dahinterliegenden Geräte automatisch geschützt. – Router-Modus, um SCALANCE S in einer gerouteten Infrastruktur zu

betreiben. Internes und externes Netz sind jeweils eigene Subnetze. – Bridge-Modus, um SCALANCE S in einem flachen Netz zu betreiben.

Internes und externes Netz liegen in einem Subnetz. • Flexibler Internet-Zugang im SCALANCE S612 V3 und S623:

– Die beiden Module unterstützen sowohl die Projektierung einer festen IP-Adresse für den DSL-Zugang, als auch das PPPoE.

– Sie sind Dynamic DNS-Client und können einem DNS-Server ihre aktuelle IP-Adresse übermitteln.

• Rückwirkungsfreie Integration der SCALANCE S Module in eine bestehende Infrastruktur mit flachen Netzen.

• Zusätzlicher dritter Port beim SCALANCE S623 für die Anbindung eines weiteren Netzwerkes.

Zudem unterstützen die SCALANCE S Module folgende Netzwerkfunktionen: • Adressumsetzung mit NAT / NAPT • DHCP-Server zur IP-Adressvergabe im internen Netz sowie im DMZ-Netz (nur

bei S623) • Logging und Auswertung der Log-Dateien über einen externen Server • SNMP zur Analyse und Auswertung von Netzwerkinformationen Die Projektierungsdaten werden automatisch auf einem C-PLUG gesichert. Sollte der Austausch eines Geräts erforderlich sein, muss lediglich der C-PLUG ins Ersatzgerät übernommen werden. Ohne erneute Projektierung läuft die Ersatzkomponente dann mit der bisherigen Gerätekonfiguration an.

5 SIMATIC NET Produkte 5.2 Kommunikationsprozessoren


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

5.2 Kommunikationsprozessoren

5.2.1 CPx43-1 Advanced V3

Die S7-Kommunikationsprozessoren (ab Version 3) bieten gegenüber den Basiskomponenten integrierte Sicherheitsfunktionen zum Schutz von Automatisierungszellen / Netzwerken vor unberechtigtem Zugriff (Security Integrated). Abbildung 5-5

Die Kommunikationsprozessoren CPx43-1 Advanced V3 sind Komponenten mit "Security Integrated", die neben ihren Kommunikationsfunktionen auch spezielle Security-Funktionen wie Firewall- und VPN-Funktionalität integriert haben. Der CPx43-1 Advanced V3 agiert wie seine Vorgängermodule und wurde zusätzlich um folgende Security-Funktionen erweitert: • Schutz von Geräten mit bzw. ohne eigenständige Sicherheitsfunktionen durch


(stateful inspection firewall) – Unterstützung von Ethernet-„Non-IP“-Telegrammen – Bandbreitenbegrenzung – Globale und Lokale Firewallregeln

• Höchste Sicherheit: Die Unterstützung von VPN und IPsec ermöglicht eine sichere Datenübertragung über eine Quasi-Standleitung. Der CP unterstützt die VPN-Server und VPN-Client Rolle. Insgesamt kann die Baugruppe bis zu 32 VPN-Tunnel verwalten.




Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

• Gesicherte IT-Funktionen: Verschlüsselung und Authentifizierung garantieren gesicherte Datenübertragung (FTPS), Webzugriff (HTTPS) und Uhrzeitsynchronisation (gesichertes NTP).

• Schutz von mehreren Geräten gleichzeitig: Durch die Integration des CPs als Verbindungsglied zwischen zwei Netzwerken werden die dahinterliegenden Geräte automatisch geschützt.

• Routerfunktionalität: Der CP kann zur Weiterleitung von IP-Nachrichten von einem lokalen Netz (PROFINET-Schnittstelle) an ein übergeordnetes Netz (Gigabit-Schnittstelle) und umgekehrt eingesetzt werden. Dabei regelt der CP die Zugriffserlaubnis gemäß Projektierung.

• Schutz der Steuerungen selbst. Zudem unterstützen die Kommunikationsmodule folgende Netzwerkfunktionen: • Adressumsetzung mit NAT / NAPT • IP-Zugangskontrolllisten (Access Control List) • Logging und Auswertung der Log-Dateien über einen externen Server • SNMP zur Analyse und Auswertung von Netzwerkinformationen • Web-Diagnose



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

5.2.2 CP1628

Abbildung 5-6

Die integrierten Sicherheitsmechanismen des CP1628 ermöglichen die Absicherung von Rechnersystemen einschließlich der dazugehörigen Datenkommunikation innerhalb eines Automatisierungsnetzes oder den sicheren Fernzugriff über das Internet. Der CP1628 erlaubt den Zugriff auf einzelne Geräte oder auch ganze Automatisierungszellen, die durch Security-Module geschützt sind und ermöglicht gesicherte Verbindungen über unsichere Netzwerkstrukturen. Der CP1628 hat folgende Security-Funktionen: • Schutz von Geräten mit bzw. ohne eigenständige Sicherheitsfunktionen durch


(stateful inspection firewall) – Unterstützung von Ethernet-„Non-IP“-Telegrammen – Bandbreitenbegrenzung – Globale und Lokale Firewallregeln

• Höchste Sicherheit: Die Unterstützung von VPN und IPsec ermöglicht eine sichere Datenübertragung über eine Quasi-Standleitung. Der CP unterstützt die VPN-Server und VPN-Client Rolle. Insgesamt kann die Baugruppe bis zu 64 VPN-Tunnel verwalten.

• Gesicherte Uhrzeitsynchronisation (gesichertes NTP). • Schutz von PC-Systemen: Ermöglicht eine sichere Kommunikation ohne

Spezialeinstellungen des Betriebssystems. Zudem unterstützt das Kommunikationsmodul folgende Netzwerkfunktionen: • Logging und Auswertung der Log-Dateien über einen externen Server • SNMP zur Analyse und Auswertung von Netzwerkinformationen

5 SIMATIC NET Produkte 5.3 SCALANCE M875



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

5.3 SCALANCE M875 Abbildung 5-7

Der SCALANCE M875 ist ein UMTS-Router und kann durch die integrierten Sicherheitsfunktionen geschützte, drahtlose Datenverbindungen zu entfernten Anlagen aufbauen. Der Betrieb des SCALANCE M875 ist an jedem Ort möglich, an dem ein Mobilfunknetz zur Verfügung steht, welches paketorientierte Datendienste bereitstellt. Unter UMTS sind das die Datendienste HSPA Data Service oder UMTS Data Service. Unter GSM sind das die Datendienste EGPRS oder GPRS. Für eine sichere Funk-Datenverbindung stellt der Router folgende Kernfunktionen zur Verfügung: • Schutz von Geräten mit bzw. ohne eigenständige Sicherheitsfunktionen durch

die integrierte Firewall. Zum Beispiel: – Untersuchung der Datenpakete anhand der Ursprungs- und Zieladresse

(stateful inspection firewall) – Anti-Spoofing (Vortäuschen einer falschen IP-Adresse / Identität) – Portweiterleitung

• Höchste Sicherheit: Die Unterstützung von VPN und IPsec ermöglicht eine sichere Datenübertragung über eine Quasi-Standleitung. Der SCALANCE M875 unterstützt die VPN-Client und -Server-Rolle. Insgesamt kann die Baugruppe 10 VPN-Tunnel verwalten.

• Funkmodem für die flexible Datenkommunikation per UMTS, HSPA, EGPRS oder GPRS.

• Bidirektionale Datenverbindung. • Zyklisches Abwickeln von Protokolldaten zum Aufrechterhalten bzw.

Überwachen der Verbindung (NAT-T Keep Alive, Dead Peer Detection, Rx-Tx-Delay Trigger).

• Unterstützung von DNS und dynamischem DNS-Namen.

5 SIMATIC NET Produkte 5.4 SOFTNET Security Client


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

Zudem unterstützt das Modul folgende Netzwerkfunktionen: • Adressumsetzung mit NAT / NAPT • Webbasierte Konfigurationsoberfläche • Logging und Auswertung der Log-Dateien • SMS-Versand aus dem lokalen Netz • Web-Diagnose • SNMP zur Analyse und Auswertung von Netzwerkinformationen

5.4 SOFTNET Security Client Abbildung 5-8

Der SOFTNET Security Client ist eine PC-Software für gesicherte Fernzugriffe vom PC / PG auf Automatisierungsgeräte. Mittels des SOFTNET Security Clients wird ein PC / PG automatisch so konfiguriert, dass er eine gesicherte IPsec-Tunnelkommunikation im VPN zu einem oder mehreren VPN-Servern aufbauen kann. PG / PC-Applikationen wie NCM-Diagnose oder STEP 7 können so über eine gesicherte Tunnelverbindung auf Geräte oder Netzwerke zugreifen, die sich in einem geschützten, internen Netz befinden.

6 Abkürzungsverzeichnis



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

6 Abkürzungsverzeichnis Tabelle 6-1

Abkürzung Beschreibung

AES Advanced Encryption Standard AH Authentication Header ARP Address Resolution Protocol C-PLUG Configuration-PLUG DHCP Dynamic Host Configuration Protocol DNS Domain Name Service EAP Extensible Authentication Protocol ESP Encapsulating Security Payload FTP File Transfer Protocol GHz Gigahertz GPRS General Packet Radio Services HTTP Hypertext Transfer Protocol IEEE Institute of Electrical and Electronics Engineers IKE Internet Key Exchange IP Internet Protocol IPsec Internet Protocol Security ISAKMP Internet Security Association and Key Management Protocol ISO International Organization for Standardization IWLAN Industrial Wireless Local Area Network LAN Local Area Network MAC Media Access Control Mbit/s Megabit pro Sekunde NAPT Network Address and Port Translation NAT Network Address Translation NTP Network Time Protocol OSI Open Systems Interconnection RADIUS Remote Authentication Dial-In User Service SCT Security Configuration Tool SSC SOFTNET Security Client SSL Secure Socket Layer TCP Transmission Control Protocol TLS Transport Layer Security UDP User Datagram Protocol WEP Wireless Encryption Standard Wi-Fi Wireless Fidelity WPA Wireless Fidelity Protected Access

7 Literaturhinweise


Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

7 Literaturhinweise 7.1 Literaturangaben

Diese Liste ist keinesfalls vollständig und spiegelt nur eine Auswahl an geeigneter Literatur wider.

Tabelle 7-1

Themengebiet Titel

/1/ STEP7 SIMATIC S7-300/400

Automatisieren mit STEP7 in AWL und SCL Autor: Hans Berger Publicis MCD Verlag ISBN: 978-3-89578-397-5

/2/ STEP7 SIMATIC S7-300/400

Automatisieren mit STEP 7 in KOP und FUP Autor: Hans Berger Publicis MCD Verlag ISBN: 978-3-89578-296-1

/3/ STEP7 SIMATIC S7-300

Automatisieren mit SIMATIC S7-300 im TIA-Portal Autor: Hans Berger Publicis MCD Verlag ISBN: 978-3-89578-357-9


Automatisieren mit SIMATIC S7-400 im TIA-Portal Autor: Hans Berger Publicis MCD Verlag ISBN: 978-3-89578-372-2


Automatisieren mit SIMATIC S7-1200 Autor: Hans Berger Publicis MCD Verlag ISBN: 978-3-89578-355-5

/6/ SIMATIC NET Security SIMATIC NET Industrial Ethernet Security Grundlagen und Anwendung Projektierungshandbuch http://support.automation.siemens.com/WW/view/de/56577508

/7/ Getting Started SIMATIC NET Industrial Ethernet Security Security einrichten Getting Started http://support.automation.siemens.com/WW/view/de/60166939

/8/ SCALANCE S V3 SIMATIC NET Industrial Ethernet Security SCALANCE S V3.0 Inbetriebnahme- und Montagehandbuch http://support.automation.siemens.com/WW/view/de/56576669

/9/ SCALANCE M875 UMTS-Router SCALANCE M875 Betriebsanleitung http://support.automation.siemens.com/WW/view/de/58122394

/10/ CP343-1 Advanced Gerätehandbuch Teil B CP343-1 Advanced http://support.automation.siemens.com/WW/view/de/62046619

/11/ CP443-1 Advanced Gerätehandbuch Teil B CP443-1 Advanced http://support.automation.siemens.com/WW/view/de/59187252








8 Historie



Cop

yrig

ht

Sie

men

s AG

201

3 Al

l rig

hts

rese

rved

7.2 Internet-Link-Angaben

Diese Liste ist keinesfalls vollständig und spiegelt nur eine Auswahl an geeigneten Informationen wieder.

Tabelle 7-2

Themengebiet Titel

\1\ Referenz auf den Beitrag http://support.automation.siemens.com/WW/view/de/27043887 \2\ Siemens Industry Online

Support http://support.automation.siemens.com

\3\ Industrial Ethernet Security http://support.automation.siemens.com/WW/view/de/18701555/130000

\4\ Einrichtung einer Demilitarisierten Zone (DMZ) mithilfe des SCALANCE S623


Schutz einer Automatisierungszelle durch die Security Module SCALANCE S602 V3 und SCALANCE S623 mittels Firewall

\5\ Industrial Security mit SCALANCE S Modulen über IPsec-VPN-Tunnel


\6\ Gesicherter Remote Access auf SIMATIC Stationen über Internet und UMTS


8 Historie Tabelle 8-1

Version Datum Änderung

V1.0 10/2007 Erste Ausgabe V2.0 01/2013 Integration der neuen Security-Module

Aktualisierung und Erweiterung der bestehenden Kapitel


http://support.automation.siemens.com/

http://support.automation.siemens.com/WW/view/de/18701555/130000

http://support.automation.siemens.com/WW/view/de/18701555/130000




Documents

SCALANCE-Familie, CPx43-1 Advanced (V3), …...• IPsec • WPA • SSL Für die Verschlüsselung sind auf Sender- und Empfängerseite Systeme notwendig, welche die Ver- bzw. Entschlüsselung