Principios básicos y aplicación de. seguridad SIMATIC NET. Industrial Ethernet Security Principios básicos y aplicación de seguridad.

Transcripción

1 Principios básicos y aplicación de seguridad SIMATIC NET Industrial Ethernet Security Principios básicos y aplicación de seguridad Manual de configuración Prólogo Introducción y fundamentos 1 Configuración con Security Configuration Tool 2 Crear módulos y ajustar parámetros de red 3 Configurar el cortafuegos 4 Configuración de otras propiedades de los módulos 5 Comunicación segura en la VPN a través de túnel IPsec 6 Redundancia de router y cortafuegos 7 SOFTNET Security Client 8 Funciones online - Diagnóstico y registro 9 A Anexo B Bibliografía 04/2015 C79000-G8978-C286-05

2 Notas jurídicas Filosofía en la señalización de advertencias y peligros Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de advertencia; las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al grado de peligro las consignas se representan, de mayor a menor peligro, como sigue. PELIGRO Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves. ADVERTENCIA Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones corporales graves. PRECAUCIÓN Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse lesiones corporales. ATENCIÓN Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse daños materiales. Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una consigna de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna puede contener también una advertencia sobre posibles daños materiales. Personal cualificado El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación y experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o manipulación de dichos productos/sistemas y de evitar posibles peligros. Uso previsto o de los productos de Siemens Considere lo siguiente: ADVERTENCIA Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las indicaciones y advertencias que figuran en la documentación asociada. Marcas registradas Todos los nombres marcados con son marcas registradas de Siemens AG. Los restantes nombres y designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros para sus propios fines puede violar los derechos de sus titulares. Exención de responsabilidad Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos. Sin embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena concordancia. El contenido de esta publicación se revisa periódicamente; si es necesario, las posibles las correcciones se incluyen en la siguiente edición. Siemens AG Division Process Industries and Drives Postfach NÜRNBERG ALEMANIA Referencia del documento: C79000-G8978-C P 05/2015 Sujeto a cambios sin previo aviso Copyright Siemens AG Reservados todos los derechos

3 Prólogo Prólogo Este manual... le ayudará a configurar las funciones de seguridad de los siguientes productos de "Security Integrated": SCALANCE S: S602 / S612 / S623 / S627-2M SOFTNET Security Client CPs S7: CP Advanced, CP Advanced PC-CP: CP 1628 Router de telefonía móvil: SCALANCE M875 SCALANCE M-800: Router ADSL: SCALANCE M81x Router SHDSL: SCALANCE M82x Router de telefonía móvil: SCALANCE M874-2 y SCALANCE M874-3 Denominación genérica "módulo de seguridad" En la presente documentación los siguientes productos se denominan genéricamente "módulo de seguridad": SCALANCE S602 / SCALANCE S612 / SCALANCE S623 / SCALANCE S627-2M, CP Advanced, CP Advanced, CP Las diferencias en el funcionamiento se marcan con símbolos (véase el apartado "Descripción de los símbolos"). Las descripciones de hardware y las indicaciones relativas a la instalación se encuentran en la documentación correspondiente a cada módulo. Uso de las denominaciones "interfaz" y "puerto" En la presente documentación se utilizan las siguientes denominaciones para los puertos de los módulos SCALANCE S: "Interfaz externa": el puerto externo del SCALANCE S602 / S612 / S623 o bien un puerto externo del SCALANCE S627-2M (marca roja) "Interfaz interna": el puerto interno del SCALANCE S602 / S612 / S623 o bien un puerto interno del SCALANCE S627-2M (marca verde) "Interfaz DMZ": el puerto DMZ del SCALANCE S623 / S627-2M (marca amarilla) La denominación "puerto" se utiliza cuando la intención es destacar un puerto específico de una interfaz. Manual de configuración, 04/2015, C79000-G8978-C

4 Prólogo Denominación genérica "STEP 7" La configuración de las funciones de seguridad de CPs es posible a partir de STEP 7 V5.5 SP2 HF1. Por tanto, en la presente documentación, la denominación "STEP 7" representa a todas las versiones de STEP 7 posteriores a V5.5 SP2 HF1 y anteriores a STEP 7 V10. Consulte cómo configurar las funciones de seguridad de todos los módulos de seguridad en STEP 7 a partir de V12 en el sistema de información de STEP 7 a partir de V12, apartado "Industrial Ethernet Security". Denominación genérica "CP x43-1 Adv." En la presente documentación los siguientes productos se denominan genéricamente "CP x43-1 Adv.": CP Advanced / CP Advanced. Security Configuration Tool V4.1: nuevas funciones La Security Configuration Tool V4.1 incluye las siguientes funciones nuevas: Ampliación de la funcionalidad VPN para módulos SCALANCE M Se soporta el establecimiento activo de una conexión VPN entre un módulo SCALANCE M y un módulo SCALANCE M-800. Ampliación de la funcionalidad "Redundancia de router y cortafuegos" para módulos SCALANCE S623/S627-2M con firmware V4.0.1 o superior. Se soporta la configuración de IDs de router virtuales para las interfaces virtuales de relaciones de redundancia en módulos SCALANCE S623/S627-2M con firmware V4.0.1 o superior. Ampliación de la funcionalidad de cortafuegos para módulos SCALANCE S con firmware V3 o superior Se soporta la configuración de reglas IP sin States de cortafuegos para módulos SCALANCE S con firmware V3 o superior. Ámbito de validez de este manual Este manual es válido para los siguientes módulos SIMATIC NET: Módulo SCALANCE S602 SCALANCE S612 SCALANCE S623 SCALANCE S627-2M CP Advanced V3 o superior CP Advanced V3 o superior CP 1628 Referencia 6GK BA10-2AA3 6GK BA10-2AA3 6GK BA10-2AA3 6GK BA10-2AA3 6GK GX31-0XE0 6GK GX30-0XE0 6GK1162-8AA00 4 Manual de configuración, 04/2015, C79000-G8978-C286-05

5 Prólogo Este manual es válido para las siguientes herramientas de configuración SIMATIC NET: Herramienta de configuración Referencia Versión SOFTNET Security Client 6GK1704-1VW05-0AA0 V5.0 Security Configuration Tool (SCT) - V4.1 Destinatarios Este manual está dirigido a las personas encargadas de las funciones Industrial Ethernet Security de una red. SIMATIC NET Manual Collection (referencia A5E ) Los módulos SCALANCE S, el CP S7 y el PC-CP 1628 llevan adjunta la Manual Collection de SIMATIC NET. Esta Manual Collection se actualiza periódicamente; contiene los manuales de producto y las descripciones actuales en el momento de su creación. Marcas Las siguientes denominaciones y otras no marcadas con el símbolo de protección legal son marcas registradas de Siemens AG: C-PLUG, CP 343-1, CP 443-1, SCALANCE, SIMATIC, SOFTNET Símbolos utilizados en estas instrucciones El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S a partir de V3.0. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S a partir de V4.0. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE M. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos excepto SCALANCE M875. Manual de configuración, 04/2015, C79000-G8978-C

6 Prólogo El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos excepto SCALANCE M. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto SCALANCE S602. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto SCALANCE S < V3.0. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S602 a partir de V3.1. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S627-2M. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623 y SCALANCE S627-2M. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623 a partir de V4.0 y SCALANCE S627-2M a partir de V4.0. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP S7. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CPs S7. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP PC. 6 Manual de configuración, 04/2015, C79000-G8978-C286-05

7 Prólogo El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CPs PC. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los CP S7 y CP PC. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CPs. El símbolo hace referencia a bibliografía especialmente recomendada. Este símbolo indica que se puede obtener una ayuda contextual detallada. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión. Referencias bibliográficas /.../ Las referencias a documentación adicional se indican a través de índices bibliográficos escritos entre barras /.../. Por medio de estos números se puede localizar el título de la documentación en la lista de bibliografía que aparece al final del manual. Consulte también Páginas del Customer Support ( Glosario de SIMATIC NET Las explicaciones de muchos de los términos utilizados en esta documentación están recogidas en el glosario de SIMATIC NET. Manual de configuración, 04/2015, C79000-G8978-C

8 Prólogo Encontrará el glosario de SIMATIC NET aquí: SIMATIC NET Manual Collection o DVD del producto Este DVD se adjunta a algunos productos SIMATIC NET. En Internet, bajo la siguiente ID de artículo: ( 8 Manual de configuración, 04/2015, C79000-G8978-C286-05

9 Índice Prólogo Introducción y fundamentos Información importante Introducción y fundamentos Características del producto Sinopsis de funciones Capacidades Reglas para nombres de usuario, roles y contraseñas Cambiar un módulo Uso del SOFTNET Security Client Uso de SCALANCE S Uso de SCALANCE S612, S623 y S627-2M Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Uso del puerto de módulo de medios de SCALANCE S627-2M Uso de CP Advanced y CP Advanced Uso de CP Configuración y administración Configuración con Security Configuration Tool Vista general - Prestaciones y funcionamiento Instalación de Security Configuration Tool Sistemas operativos soportados Interfaz de usuario y comandos de menú Crear y administrar proyectos Security Configuration Tool Standalone (versión autónoma) Security Configuration Tool en STEP Migrar datos de STEP Resumen Definición de valores de inicialización estándar para un proyecto Check Consistency Asignación de nombre simbólicos para direcciones IP o MAC Administrar usuarios Sinopsis de la administración de usuarios Crear usuarios Crear roles Administrar derechos Configuración de normas para las contraseñas Autenticación mediante servidor RADIUS Manual de configuración, 04/2015, C79000-G8978-C

10 Índice Resumen Definición de servidores RADIUS Asignación de servidor RADIUS a un módulo de seguridad Administrar certificados Sinopsis Renovar certificados Reemplazar certificados Crear módulos y ajustar parámetros de red Parámetros del área de contenido Configurar interfaces Resumen de posibilidades de conexión Interfaces Conexión a Internet DNS dinámico (DDNS) LLDP Redundancia de medios en topologías de anillo Redundancia de medios con MRP/HRP Configuración de MRP/HRP para el módulo de seguridad Particularidades del modo Ghost Configurar el cortafuegos CPs en el modo normal CP x43-1-adv Ajuste predeterminado del cortafuegos Configurar el cortafuegos Configurar una lista de acceso Agregar una entrada a la lista de acceso CP Ajuste predeterminado del cortafuegos Configurar el cortafuegos SCALANCE S en el modo normal Preajuste del firewall Configurar el cortafuegos para SCALANCE S V Configurar el cortafuegos para SCALANCE S < V Cortafuegos en modo avanzado Configuración del cortafuegos en modo avanzado Conjuntos de reglas de cortafuegos globales Conjuntos de reglas de cortafuegos globales - Convenios Crear y asignar conjuntos de reglas de cortafuegos globales Conjuntos de reglas IP específicos de usuario Crear y asignar conjuntos de reglas IP específicos del usuario Reglas de cortafuegos automáticas referidas a conexiones Ajuste de reglas de filtros de paquetes IP locales Reglas de filtrado de paquetes IP Definir servicios IP Definir servicios ICMP Ajustar reglas para filtrado de paquetes MAC Reglas para filtrado de paquetes MAC Definir servicios MAC Manual de configuración, 04/2015, C79000-G8978-C286-05

11 Índice Configurar grupos de servicios Adaptar reglas estándar para servicios IP Configuración de otras propiedades de los módulos Módulo de seguridad como router Sinopsis Definir un router predeterminado y rutas Enrutamiento NAT/NAPT Conversión de direcciones con NAT/NAPT Conversión de direcciones con NAT/NAPT en túneles VPN Relación entre router NAT/NAPT y cortafuegos Relación entre router NAT/NAPT y cortafuegos específico del usuario Módulo de seguridad como servidor DHCP Sinopsis Configurar un servidor DHCP Sincronización horaria Sinopsis Configurar el control de la hora Definir un servidor NTP SNMP Sinopsis Activar SNMP Proxy ARP Comunicación segura en la VPN a través de túnel IPsec VPN con módulos de seguridad y SCALANCE M Método de autenticación Grupos VPN Reglas para la creación de grupos VPN Relaciones de comunicación tunelada soportadas Crear grupos VPN y asignar módulos Configuración de túnel en modo normal Configuración de túneles en el modo avanzado Configuración de propiedades del grupo VPN Incluir un módulo en un grupo VPN configurado Configuración de propiedades VPN específicas del módulo Configuración de propiedades VPN conexión a conexión Datos de configuración para módulos SCALANCE M Datos de configuración para dispositivos VPN Datos de configuración para clientes NCP VPN (Android) Configuración de nodos de red internos Configuración de otros dispositivos y subredes para el túnel VPN Funcionamiento del modo de aprendizaje Visualización de los nodos de red internos encontrados Redundancia de router y cortafuegos Manual de configuración, 04/2015, C79000-G8978-C

12 Índice 7.1 Resumen Crear relaciones de redundancia y asignar módulos de seguridad Configuración de relaciones de redundancia SOFTNET Security Client Uso del SOFTNET Security Client Instalación de SOFTNET Security Client Instalar SOFTNET Security Client Desinstalación de SOFTNET Security Client Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Cuadro de diálogo principal del SOFTNET Security Client Cargar archivo de configuración y establecer conexiones de túnel Diagnóstico y configuración de túneles: cuadro de diálogo "Tunnel Overview" Ajustar configuración administrada: cuadro de diálogo "Manage users and groups" Realizar diagnóstico avanzado: cuadro de diálogo "Extended Diagnostics" Acceder a archivos de registro: cuadro de diálogo "Log files" Activar reglas del cortafuegos de Windows: cuadro de diálogo "Windows firewall parameter assignment" Ajustes de SOFTNET Security Client: cuadro de diálogo "Settings" Funciones online - Diagnóstico y registro Panorámica de funciones del cuadro de diálogo online Registro de eventos (Logging) Registro local - ajustes en la configuración Network Syslog - Ajustes en la configuración Configuración del registro de paquetes A Anexo A.1 Conformidad DNS A.2 Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red A.3 Dirección MAC B Bibliografía B.1 Introducción - sin CD/DVD B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP B.3 Para la configuración con STEP 7 / NCM S B.4 CP S7 para el montaje y la puesta en servicio del CP B.5 Para el montaje y la operación de una red Industrial Ethernet B.6 Principios básicos de SIMATIC y STEP B.7 Comunicación industrial Tomo Manual de configuración, 04/2015, C79000-G8978-C286-05

13 Índice B.8 Para la configuración de equipos PC / PG B.9 Para la configuración de CP PC B.10 SIMATIC NET Industrial Ethernet Security Índice alfabético Manual de configuración, 04/2015, C79000-G8978-C

14 Índice 14 Manual de configuración, 04/2015, C79000-G8978-C286-05

15 Introducción y fundamentos 1 Información de seguridad Siemens suministra productos y soluciones con funciones de seguridad industrial que contribuyen al funcionamiento seguro de instalaciones, soluciones, máquinas, equipos y redes. Dichas funciones son un componente importante de un sistema global de seguridad industrial. En consideración de lo anterior, los productos y soluciones de Siemens son objeto de mejoras continuas. Por ello, le recomendamos que se informe periódicamente sobre las actualizaciones de nuestros productos. Para el funcionamiento seguro de los productos y soluciones de Siemens, es preciso tomar medidas de protección adecuadas (como el concepto de protección de células) e integrar cada componente en un sistema de seguridad industrial integral que incorpore los últimos avances tecnológicos. También deben tenerse en cuenta los productos de otros fabricantes que se estén utilizando. Encontrará más información sobre seguridad industrial en Si desea mantenerse al día de las actualizaciones de nuestros productos, regístrese para recibir un boletín de noticias específico del producto que desee. Encontrará más información en Información importante General Nota Protección contra el acceso no autorizado Asegúrese de que el equipo de configuración (PC o PG) y, dado el caso, el proyecto, estén protegidos contra el acceso no autorizado. Nota Desactivar la cuenta de invitado Asegúrese de que la cuenta de invitado está desactivada en el equipo de configuración. Manual de configuración, 04/2015, C79000-G8978-C

16 Introducción y fundamentos 1.1 Información importante Nota Fecha y hora actuales en los módulos de seguridad Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará. Nota Software antivirus actualizado Se recomienda tener instalado y activado siempre un antivirus actualizado en todos los equipos de configuración. Nota FTPS Cuando en la presente documentación se utiliza la designación "FTPS", esta hace referencia a FTPS en el modo explícito (FTPES). Nota No es posible regresar al modo normal Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede regresar al normal. Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo. Nota Medidas de seguridad adicionales al utilizar el SOFTNET Security Client El SOFTNET Security Client ofrece una solución para la comunicación segura con células de automatización a través de VPN. Para la protección intrínseca del PC/la PG y de la célula de automatización conectada al mismo o a la misma, se recomienda emplear medidas adicionales como, p. ej., escáners de virus y el cortafuegos de Windows. En Windows 7 debe estar activado el cortafuegos del sistema operativo para que se establezca correctamente el túnel VPN. 16 Manual de configuración, 04/2015, C79000-G8978-C286-05

17 Introducción y fundamentos 1.1 Información importante CP x43-1 Adv. Nota Ajustes de seguridad adicionales Para evitar que en el CP puedan cargarse datos de configuración no autorizados, hay que realizar ajustes de seguridad adicionales en el cortafuegos del CP (p. ej., bloquear la comunicación S7 o permitir solo comunicación tunelada) o aplicar medidas de seguridad externas. STEP 7 Nota "Guardar y compilar" tras realizar cambios Para que los ajustes de seguridad se apliquen en los correspondientes bloques de sistema (offline), tras realizar los cambios elija el menú "Estación" > "Guardar y compilar" en HW Config o bien "Red" > "Guardar y compilar" en NetPro. Nota Abrir una estación con la Security Configuration Tool abierta Cierre la Security Configuration Tool antes de abrir otra estación a través del SIMATIC Manager o NetPro. Nota No hay multiproyectos de STEP 7 referentes a la seguridad Para cada proyecto de STEP 7 se crea una configuración de seguridad unívoca en el momento de activar la seguridad. Por este motivo no se soportan multiproyectos de STEP 7 relacionados con la seguridad. Manual de configuración, 04/2015, C79000-G8978-C

18 Introducción y fundamentos 1.2 Introducción y fundamentos 1.2 Introducción y fundamentos Con los módulos de seguridad SIMATIC NET y SIMATIC NET SOFTNET Security Client se ha decidido por el concepto de seguridad SIEMENS, que satisface los altos requisitos exigidos a la seguridad de la comunicación en la técnica de automatización industrial. Nota Software antivirus actual Recomendamos tener siempre instalado un software antivirus actual en todos los equipos de configuración. Este capítulo le proporciona una visión de conjunto de las funciones de seguridad propias de los equipos y los componentes: SCALANCE S CP x43-1 Adv. CP 1628 SOFTNET Security Client Sugerencia: Encontrará una descripción del acceso rápido a los módulos de seguridad en el documento "SIMATIC NET Security - Getting Started (primeros pasos)". 1.3 Características del producto Sinopsis de funciones Sinopsis de funciones de los tipos de módulo Consulte en la tabla siguiente qué funciones soportan los diferentes módulos de seguridad. Nota En este manual se describen todas las funciones. Observe en la tabla siguiente qué funciones son aplicables al módulo de seguridad utilizado. Preste también atención a los datos adicionales indicados en los títulos de capítulo. 18 Manual de configuración, 04/2015, C79000-G8978-C286-05

19 Introducción y fundamentos 1.3 Características del producto Tabla 1-1 Sinopsis de funciones Función CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Configuración mediante Security Configuration Tool - - x Security Configuration Tool integrada x x x en STEP 7 Compatibilidad con listas IP Access x - - Control (ACL) General Router NAT/NAPT x - x Enrutamiento NAT/NAPT en conexiones VPN - - x Servidor DHCP - - x Cortafuegos Reglas de cortafuegos locales x x x Conjuntos de reglas de cortafuegos x x x globales Conjuntos de reglas IP específicos de - - x usuario IPsec Estructura de túneles IPsec x x x Administración de usuarios Administración de usuarios x x x Migración de la administración de x - x usuarios actual Autenticación de usuario mediante servidor RADIUS - - x Protocolos soportados SNMPv3 x x x Servidor HTTPS x - x Servidor FTP x - - Cliente FTPS x - - Cliente NTP x x x Cliente NTP (seguro) x x x Cliente PPPoE - - x Cliente DDNS/cliente DNS - - x LLDP x - x Cliente MRP/HRP - - x Registro Registro de eventos de sistema x x x Registro de eventos de auditoría x x x Manual de configuración, 04/2015, C79000-G8978-C

20 Introducción y fundamentos 1.3 Características del producto Función CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Registro de eventos de filtrado de paquetes x x x Mensajes de auditoría en los búfers de x x - diagnóstico del módulo de seguridad Acceso vía Security Configuration Tool x x x a búfer de registro del módulo de seguridad Diagnóstico mediante la Security Configuration x x x Tool Envío de los mensajes a un servidor x x x Syslog Diagnóstico web x - - Modo Ghost Determinación de la dirección IP del - - x dispositivo interno en el tiempo de ejecución y aplicación de la dirección IP para el puerto externo del módulo de seguridad Zona desmilitarizada (DMZ) Creación de una DMZ para desacoplar la red segura de la red no segura - - x Redundancia de router y cortafuegos Ejecución redundante de los módulos de seguridad para conservar la funcionalidad de router y de cortafuegos en caso de fallo de un módulo de seguridad - - x Se soporta la función x - No se soporta la función Capacidades Nota Encontrará una vista general de las capacidades admisibles en la siguiente dirección de Internet: ( 20 Manual de configuración, 04/2015, C79000-G8978-C286-05

21 Introducción y fundamentos 1.3 Características del producto Capacidades Función CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Túneles VPN por cada módulo de seguridad Máx. 32 Máx. 64 Máx. 128 Reglas de cortafuegos por cada módulo de seguridad Servidores NTP que pueden crearse para todo el proyecto (servidores NTP asignables por cada módulo de seguridad) Máx (4) Reglas para nombres de usuario, roles y contraseñas Qué reglas son aplicables para nombres de usuario, nombres de rol y contraseñas? Al crear o modificar un usuario, un rol o una contraseña, observe las siguientes reglas: Caracteres permitidos Se admiten los siguientes caracteres del juego ANSI X : A...Z a...z!#$%&()*+,-./:;<=>?@ [\]_{ }~^ Caracteres no permitidos " ' ` Longitud del nombre de usuario caracteres (método de autenticación "Contraseña") Longitud del nombre de usuario caracteres (método de autenticación "RADIUS") Longitud de la contraseña caracteres Longitud del nombre de rol caracteres Número máximo de usuarios por 128 proyecto Número máximo de usuarios en un administrador al crear el proyecto módulo de seguridad Número máximo de roles por proyecto 128 (122 definidos por el usuario + 6 definidos por el sistema) Número máximo de roles en un 37 (31 definidos por el usuario + 6 definidos por el sistema) módulo de seguridad Manual de configuración, 04/2015, C79000-G8978-C

22 Introducción y fundamentos 1.3 Características del producto Nota Nombres de usuario y contraseñas Una medida importante para incrementar la seguridad consiste en asignar nombres de usuario y contraseñas lo más largos posible y que contengan caracteres especiales, mayúsculas, minúsculas y cifras. Con ayuda de las normas para las contraseñas podrá limitar aún más las restricciones antes mencionadas para las contraseñas. Consulte en el capítulo Configuración de normas para las contraseñas (Página 74) cómo definir las normas para las contraseñas. Seguridad de la contraseña Al introducir una nueva contraseña se comprobará su nivel de seguridad. Se distinguen los siguientes niveles de seguridad de la contraseña: Muy débil Débil Media Buena Fuerte Muy fuerte Nota Comprobación de la seguridad de la contraseña de usuarios existentes Compruebe la seguridad de la contraseña de usuarios ya existentes en el proyecto, del primer usuario creado en STEP 7, de usuarios migrados, seleccionando el respectivo usuario en la pestaña "Usuarios" de la Administración de usuarios y pulsando el botón "Editar...". 22 Manual de configuración, 04/2015, C79000-G8978-C286-05

23 Introducción y fundamentos 1.3 Características del producto Cambiar un módulo Cómo se accede a esa función 1. Marque el módulo de seguridad o el SOFTNET Security Client que desee editar. 2. Elija el comando de menú "Edición" > "Sustituir módulo ". 3. Dependiendo del tipo de producto y de la versión de firmware del módulo seleccionado, en el cuadro de diálogo se puede adaptar el tipo de módulo y/o la versión de firmware. Consulte en la tabla siguiente qué módulos pueden sustituirse sin una posible pérdida de datos. Nota Sustitución de CPs Encontrará información sobre la sustitución de CPs en el manual de producto correspondiente. Módulo inicial S602 V2 S602 V3 S602 V4 S612 V1 Posible sustitución de módulo S612 V2 S602 V2 - x x! x x x! x x x x S602 V3! - x!!!!!!!!! S602 V4!! -!!!!!!!!! S612 V1!!! - x x x x x x x x S612 V2!!!! - x x! x x x x S612 V3!!!!! - x!! x x x S612 V4!!!!!! -!! x x x S613 V1!!!!! x x - x x x x S613 V2!!!!! x x! - x x x S623 V3!!!!!!!!! - x x S623 V4!!!!!!!!!! - x S627-2M V4!!!!!!!!!!! - x Sin pérdidas! Con posibles pérdidas - El tipo de módulo y la versión de firmware no cambian. S612 V3 S612 V4 S613 V1 S613 V2 S623 V3 S623 V4 S627-2M V4 Manual de configuración, 04/2015, C79000-G8978-C

24 Introducción y fundamentos 1.4 Uso del SOFTNET Security Client Configuración inicial SOFTNET Security Client 2005 SOFTNET Security Client 2008 SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 SOFTNET Security Client 2005 Posible sustitución SOFTNET Security Client 2008 SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 - x x x x* - x x x* ** x** - x x* ** x** x - * Cuando el SOFTNET Security Client no se encuentra en un grupo de enrutamiento. ** Cuando el SOFTNET Security Client no se encuentra en un grupo VPN con un módulo SCALANCE M. Consulte también Interfaz de usuario y comandos de menú (Página 45) /2/ (Página 272) 1.4 Uso del SOFTNET Security Client Comunicación de PG/PC en la VPN - Función del SOFTNET Security Client El software para PC SOFTNET Security Client permite acceder remotamente desde la PG o el PC a autómatas programables protegidos por módulos de seguridad, más allá de los límites de redes públicas. Mediante el SOFTNET Security Client se configura automáticamente una PG o un PC de manera que pueda establecer con uno o varios módulos de seguridad una comunicación tunelada IPsec protegida en la VPN (Virtual Private Network). Las aplicaciones de PG/PC, como por ejemplo Diagnóstico NCM o STEP 7, pueden acceder así a través de una conexión por túnel protegida a dispositivos o redes que se encuentren en una red interna protegida por módulos de seguridad. El software para PC SOFTNET Security Client también se configura con la herramienta de configuración Security Configuration Tool, lo que garantiza una configuración global. 24 Manual de configuración, 04/2015, C79000-G8978-C286-05

25 Introducción y fundamentos 1.5 Uso de SCALANCE S Uso de SCALANCE S602 Cortafuegos y Router - misión de SCALANCE S602 Por combinación de diversas medidas de seguridad, como son cortafuegos y router NAT/NAPT, el módulo de seguridad SCALANCE S602 protege dispositivos concretos o también células de automatización completas de: Espionaje de datos Accesos no deseados SCALANCE S602 hace posible esta protección de forma flexible y con un manejo sin complicaciones. SCALANCE S602 se configura con la herramienta de configuración Security Configuration Tool. Figura 1-1 Configuración de red con SCALANCE S602 Manual de configuración, 04/2015, C79000-G8978-C

26 Introducción y fundamentos 1.5 Uso de SCALANCE S602 Funciones de seguridad Cortafuegos Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (telegramas de nivel 2; no rige para S602 si se utiliza el modo Router); Limitación del ancho de banda Conjuntos de reglas de cortafuegos globales Conjuntos de reglas IP específicos de usuario Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su cortafuegos. Modo Router Utilizando SCALANCE S como router se desacopla la red interna de la red externa. La red interna conectada por el SCALANCE S se convierte así en una subred propia; el SCALANCE S se tiene que direccionar como Router explícitamente a través de su dirección IP. Protección para dispositivos y segmentos de red La función de protección de cortafuegos se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros. Ausencia de retroacciones en caso de instalación en redes planas (modo de puente) Por lo tanto, al montar un SCALANCE S602 en una infraestructura de red ya existente no se necesita ajustar de nuevo los equipos terminales. Módulo de seguridad y dispositivo interno como una sola unidad (modo Ghost) El módulo de seguridad sale al exterior con la dirección IP del dispositivo interno y la dirección MAC del módulo de seguridad. NTP (seguro) Para la sincronización y transferencia horaria seguras. 26 Manual de configuración, 04/2015, C79000-G8978-C286-05

27 Introducción y fundamentos 1.5 Uso de SCALANCE S602 Nodos de red internos y externos SCALANCE S602 divide las redes en dos áreas: Red interna: áreas protegidas con los "nodos internos" Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S. Red externa: áreas no protegidas con los "nodos externos" Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas. Nota Las redes internas se consideran seguras (fiables). Conecte un segmento de red interno con los segmentos de red externos solo a través de SCALANCE S. No deben existir otras vías de conexión entre la red interna y la externa! Manual de configuración, 04/2015, C79000-G8978-C

28 Introducción y fundamentos 1.6 Uso de SCALANCE S612, S623 y S627-2M 1.6 Uso de SCALANCE S612, S623 y S627-2M Protección completa - Función de SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M Combinando diversas medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) a través de túneles IPsec, los módulos de seguridad SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M protegen dispositivos concretos o células de automatización completas de: Espionaje de datos Manipulación de datos Accesos no deseados SCALANCE S hace posible una protección flexible, exenta de repercusiones inversas, independiente de protocolos (a partir de capa 2 según IEEE 802.3) y con un manejo sin complicaciones. SCALANCE S y SOFTNET Security Client se configuran con la herramienta Security Configuration Tool. Figura 1-2 Configuración de red con SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M 28 Manual de configuración, 04/2015, C79000-G8978-C286-05

29 Introducción y fundamentos 1.6 Uso de SCALANCE S612, S623 y S627-2M Funciones de seguridad Cortafuegos Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (Telegramas de capa 2; no está disponible si se utiliza el modo de router) Limitación del ancho de banda Conjuntos de reglas de cortafuegos globales Conjuntos de reglas IP específicos de usuario Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su cortafuegos. Comunicación protegida por túnel IPsec SCALANCE S puede agruparse con otros módulos de seguridad mediante configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN, Virtual Private Network). Todos los nodos internos de estos módulos de seguridad se pueden comunicar entre sí por estos túneles de forma protegida. Independencia de protocolo El establecimiento de túneles comprende también telegramas Ethernet según IEEE (telegramas Layer 2; no es válido si se usa el modo de router) A través de los túneles IPsec se transmiten tanto telegramas IP como también No-IP. PPPoE Point to Point Protocol over Ethernet (RFC 2516) para la adquisición automática de direcciones IP del proveedor, con lo que se prescinde del uso de un router DSL aparte. Cliente para DNS dinámico (cliente DDNS) Domain Name Service dinámico para el uso de direcciones IP dinámicas si se utiliza un SCALANCE S como servidor VPN para telemantenimiento en combinación con el SOFTNET Security Client, módulos SCALANCE M, módulos SCALANCE S u otros clientes VPN. SNMPv3 Para la transferencia antiescucha de información de análisis de la red. Modo Router Utilizando SCALANCE S como router conecta la red interna con la red externa. La red interna conectada a través de SCALANCE S se convierte así en una subred propia. Protección para dispositivos y segmentos de red La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros. Interfaz DMZ adicional En una zona desmilitarizada (DMZ) es posible colocar servidores para los que pueda controlarse y restringirse el acceso desde otras redes (red externa no segura, red interna Manual de configuración, 04/2015, C79000-G8978-C

30 Introducción y fundamentos 1.6 Uso de SCALANCE S612, S623 y S627-2M segura). Esto permite poner a disposición de ambas redes servicios y datos de forma segura sin dejar que las dos redes se comuniquen directamente entre sí. Ausencia de retroacciones en caso de instalación en redes planas (modo de puente) Nodos de red internos se pueden localizar sin configuración. Por lo tanto, al montar un SCALANCE S en una infraestructura de red ya existente no es necesario configurar de nuevo los dispositivos terminales. El módulo de seguridad intenta encontrar dispositivos internos; sin embargo, se tienen que configurar los dispositivos internos que no se localicen por este procedimiento. Autenticación de usuario mediante servidor RADIUS En un servidor RADIUS pueden almacenarse de forma centralizada nombres de usuario, contraseñas y roles de usuario. La autenticación de estos usuarios se realiza entonces a través del servidor RADIUS. NTP (seguro) Para la sincronización y transferencia horaria seguras. Nodos de red internos, externos y DMZ SCALANCE S divide las redes en varias áreas: Red interna: áreas protegidas con los "nodos internos" Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S. Red externa: áreas no protegidas con los "nodos externos" Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas. Red DMZ: áreas protegidas con los "nodos DMZ" Los nodos DMZ son todos aquellos nodos que están en la DMZ y están protegidos por un SCALANCE S. Nota Las redes conectadas a la interfaz interna se consideran seguras (fiables). Conecte un segmento de red interno con segmentos de red de otro nivel de seguridad (red externa, red DMZ) solo a través de SCALANCE S. No deben existir otras vías de conexión entre la red interna y una red con otro nivel de seguridad. 30 Manual de configuración, 04/2015, C79000-G8978-C286-05

31 Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Escenarios de aplicación de la interfaz DMZ Además de las funciones del SCALANCE S612, el SCALANCE S623 y el SCALANCE S627-2M están equipados con una tercera interfaz (DMZ) a la que se puede conectar una red adicional. La interfaz puede cumplir diferentes funciones (no simultáneamente) dependiendo del entorno de uso: Instalación de una DMZ Punto final de una conexión por túnel VPN Interfaz de sincronización para redundancia de router y cortafuegos... Instalación de una DMZ Con SCALANCE S623 y SCALANCE S627-2M puede instalarse una DMZ (zona desmilitarizada) en la interfaz adicional. Una DMZ suele utilizarse para poner servicios a disposición de una red insegura, pero la red segura que proporciona los datos debe permanecer desacoplada de la red insegura. Así, por ejemplo, en la red DMZ puede haber servidores terminales con software de mantenimiento y diagnóstico instalado para que lo utilicen usuarios autorizados de la red externa. En los casos de aplicación típicos de DMZ, el usuario debe configurar las reglas de cortafuegos de tal forma que se permitan accesos desde Internet (externos) a los servidores de la DMZ (dado el caso, protegidos además con un túnel VPN), pero no a dispositivos del área segura (interna). Manual de configuración, 04/2015, C79000-G8978-C

32 Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Figura 1-3 Instalación de una DMZ En el capítulo "4.2 SCALANCE S como cortafuegos entre red externa y DMZ" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para instalar una DMZ. 32 Manual de configuración, 04/2015, C79000-G8978-C286-05

33 Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Punto final de una conexión por túnel VPN La interfaz DMZ puede utilizarse como punto final de un túnel VPN. En este escenario, la interfaz DMZ está conectada a Internet a través de un módem DSL y se opera mediante PPPoE. El túnel VPN permite la comunicación segura, por ejemplo, con una unidad de automatización conectada a la interfaz interna de otro módulo de seguridad. Figura 1-4 Punto final de una conexión por túnel VPN En el capítulo "5.2 Túnel VPN entre SCALANCE S623 y SCALANCE S612" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza como punto final de un túnel VPN. Manual de configuración, 04/2015, C79000-G8978-C

34 Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Interfaz de sincronización para redundancia de router y cortafuegos Con el uso de dos módulos de seguridad del tipo SCALANCE S623 o SCALANCE S627-2M se puede compensar el fallo de un módulo de seguridad mediante la redundancia de router y de cortafuegos. A tal efecto, ambos módulos de seguridad funcionan en modo de enrutamiento y se conectan respectivamente con la red externa y la interna, estando activo siempre un único módulo de seguridad. Si falla el módulo de seguridad activo, el módulo de seguridad pasivo asumirá su función de router o cortafuegos. Para garantizar un comportamiento funcionalmente idéntico de los dos módulos de seguridad, los dos se conectarán entre sí mediante sus interfaces DMZ, y su configuración se sincronizará durante el funcionamiento. Figura 1-5 Redundancia de router y cortafuegos 34 Manual de configuración, 04/2015, C79000-G8978-C286-05

35 Introducción y fundamentos 1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M 1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M Integración en topologías de anillo Además de las funciones de SCALANCE S623, el SCALANCE S627-2M posee dos slots de módulo de medio, en los que se puede usar respectivamente un módulo de medio eléctrico u óptico de dos puertos. Las interfaces externa e interna se amplían de esta forma con dos puertos cada una. En el modo de enrutamiento se pueden utilizar los puertos adicionales del módulo de seguridad para la conexión de las interfaces externa e interna a topologías de anillo. Redundancia en anillo con MRP o HRP El SCALANCE S627-2M soporta los protocolos MRP y HRP en los puertos de módulo de medios de las interfaces externa e interna como cliente. Como dispositivo de un anillo MRP/HRP, un SCALANCE S627-2M puede proteger una célula de automatización o un anillo subordinados. Esta protección también puede realizarse de forma redundante. Los fallos en los cables serán detectados por un gestor de anillo aparte, por ejemplo, un SCALANCE X308, y se compensarán mediante una desviación en la vía de comunicación. Manual de configuración, 04/2015, C79000-G8978-C

36 Introducción y fundamentos 1.9 Uso de CP Advanced y CP Advanced 1.9 Uso de CP Advanced y CP Advanced Concepto de protección de celda - Función de CP x43-1 Adv. Industrial Ethernet Security permite proteger diferentes dispositivos, células de automatización o segmentos de una red Ethernet. Adicionalmente, es posible proteger la transferencia de datos mediante la combinación de diferentes medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) utilizando un túnel IPsec, concretamente de: Espionaje de datos Manipulación de datos Accesos no deseados Las funciones de seguridad del CP x43-1 Adv. se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP 7. Figura 1-6 Configuración de red con CP x43-1 Adv. 36 Manual de configuración, 04/2015, C79000-G8978-C286-05

37 Introducción y fundamentos 1.9 Uso de CP Advanced y CP Advanced Funciones de seguridad Cortafuegos Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (capa 2) Limitación del ancho de banda Conjuntos de reglas de cortafuegos globales Todos los nodos de red que se encuentran en el segmento de red interno de un CP x43-1 Adv. están protegidos por su cortafuegos. Comunicación protegida por túnel IPsec El CP x43-1 Adv. puede agruparse con otros módulos de seguridad por medio de la configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN). Todos los nodos internos de estos módulos de seguridad se pueden comunicar entre sí por estos túneles de forma protegida. Registro Para fines de vigilancia es posible guardar eventos en archivos de registro que se leen utilizando la herramienta de configuración o se envían automáticamente a un servidor Syslog. HTTPS Para la transmisión cifrada de páginas web, p. ej. en el control de procesos. FTPS Para la transferencia cifrada de archivos. NTP (seguro) Para la sincronización y transferencia horaria seguras. SNMPv3 Para la transferencia antiescucha de información de análisis de la red. Protección para dispositivos y segmentos de red La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros. Manual de configuración, 04/2015, C79000-G8978-C

38 Introducción y fundamentos 1.10 Uso de CP 1628 Nodos de red internos y externos: CP x43-1 Adv. divide las redes en dos áreas: Red interna: áreas protegidas con los "nodos internos" Los nodos internos son todos aquellos nodos protegidos por un CP x43-1 Adv. Red externa: áreas no protegidas con los "nodos externos" Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas. Nota Las redes internas se consideran seguras (fiables). Para conectar un segmento de red interno con los segmentos de red externos utilice solo CP x43-1 Adv. No deben existir otras vías de conexión entre la red interna y la externa! Información sobre las funciones generales del CP x43-1 Adv. El presente manual contiene información sobre las funciones de seguridad del CP x43-1 Adv. Para conocer las descripciones de las funciones generales, véase: /1/ (Página 272) /2/ (Página 272) 1.10 Uso de CP 1628 Concepto de protección de celda - Función de CP 1628 Los mecanismos de seguridad integrados en el CP 1628 permiten proteger sistemas informáticos, incluida la comunicación de datos dentro de una red de automatización o el acceso remoto seguro a través de Internet. El CP 1628 permite acceder a dispositivos de forma individualizada o a células de automatización completas protegidas con módulos de seguridad, y permite conexiones seguras a través de estructuras de red no seguras. Mediante la combinación de diferentes medidas de seguridad, como cortafuegos y VPN (Virtual Private Network) a través de túneles IPsec el CP 1628 protege de: Espionaje de datos Manipulación de datos Accesos no deseados Las funciones de seguridad del CP 1628 se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP Manual de configuración, 04/2015, C79000-G8978-C286-05