Principios básicos y aplicación SIMATIC NET. Industrial Ethernet Security Principios básicos y aplicación. Prólogo. Introducción y fundamentos

Transcripción

1 Prólogo Introducción y fundamentos 1 SIMATIC NET Industrial Ethernet Security Manual de configuración Configuración con Security Configuration Tool 2 Crear módulos y ajustar parámetros de red 3 Configurar el cortafuegos 4 Configurar otras propiedades de módulo 5 Comunicación segura en la VPN a través de túnel IPsec 6 SOFTNET Security Client 7 Funciones online - Test, Diagnóstico y Logging 8 A Anexo B Bibliografía 03/2012 C79000-G8978-C286-01

2 Notas jurídicas Notas jurídicas Filosofía en la señalización de advertencias y peligros Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de advertencia; las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al grado de peligro las consignas se representan, de mayor a menor peligro, como sigue. PELIGRO Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves. ADVERTENCIA Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones corporales graves. PRECAUCIÓN con triángulo de advertencia significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse lesiones corporales. PRECAUCIÓN sin triángulo de advertencia significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse daños materiales. ATENCIÓN significa que puede producirse un resultado o estado no deseado si no se respeta la consigna de seguridad correspondiente. Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una consigna de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna puede contener también una advertencia sobre posibles daños materiales. Personal cualificado El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación y experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o manipulación de dichos productos/sistemas y de evitar posibles peligros. Uso previsto o de los productos de Siemens Considere lo siguiente: ADVERTENCIA Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las indicaciones y advertencias que figuran en la documentación asociada. Marcas registradas Todos los nombres marcados con son marcas registradas de Siemens AG. Los restantes nombres y designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros para sus propios fines puede violar los derechos de sus titulares. Exención de responsabilidad Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos. Sin embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena concordancia. El contenido de esta publicación se revisa periódicamente; si es necesario, las posibles las correcciones se incluyen en la siguiente edición. Siemens AG Industry Sector Postfach NÜRNBERG ALEMANIA Referencia del documento: C79000-G8978-C P 04/2012 Sujeto a cambios sin previo aviso Copyright Siemens AG Reservados todos los derechos

3 Prólogo Prólogo Este manual... le ayudará a configurar las funciones de seguridad de los siguientes productos: "Security Appliances": SCALANCE S: S602/ S612/ S623 SOFTNET Security Client "Productos Security Integrated": CPs S7: CP Advanced, CP Advanced PC-CP: CP 1628 SCALANCE M: SCALANCE M87x y MD74x Denominación genérica "módulo de seguridad" En la presente documentación los siguientes productos se denominan genéricamente "módulo de seguridad": CP Advanced, CP Advanced, CP 1628, SCALANCE S 602 V3/SCALANCE S 612 V3/SCALANCE S 623 V3. Las diferencias en el funcionamiento se marcan con símbolos (véase el apartado "Descripción de los símbolos"). Las descripciones de hardware y las indicaciones relativas a la instalación se encuentran en la documentación correspondiente a cada módulo. Novedades de la presente edición En esta edición se han incluido, entre otras cosas, las siguientes funciones nuevas: Nuevo concepto de documentación Las instrucciones de servicio utilizadas hasta ahora "SCALANCE S y SOFTNET Security Client" se sustituyen por un manual general SIMATIC NET Security, válido para todos los módulos de seguridad. Configuración de seguridad para SCALANCE S V3.0 Se incluye la configuración de módulos de seguridad SCALANCE S V3.0 con nuevas funciones. Manual de configuración, 03/2012, C79000-G8978-C

4 Prólogo Configuración se seguridad para CP 343 Advanced, CP Advanced Además de los módulos SCALANCE S, ahora la seguridad también puede configurarse para los CPs S Advanced y CP Advanced, que en el presente manual se agrupan bajo la denominación "CP x43-1 Adv.". SCT está integrada en STEP 7. Los usuarios, servidores NTP o entradas de las listas IP Access Control administrados hasta ahora en STEP 7 se pueden migrar a SCT. Configuración de seguridad para CP 1628 Además de los módulos SCALANCE S, ahora la seguridad también puede configurarse para el PC-CP SCT está integrada en STEP 7. Security Configuration Tool 3.0: nuevas funciones Nuevo concepto de administración de usuarios Además de usuarios, ahora también pueden crearse roles y derechos. Hay roles predefinidos en el sistema, que no pueden modificarse, o pueden crearse roles definidos por el usuario, a los que pueden asignarse derechos. Administrador de certificados común a todo el proyecto Los certificados se administran para todo el proyecto en el administrador de certificados. Servidor NTP común a todo el proyecto Los servidores NTP pueden crearse globalmente para todo el proyecto y asignarse a los distintos módulos. Para CPs se soporta la transmisión segura de hora a través de servidores NTP seguros. Se soporta la configuración de SNMPv3 SOFTNET Security Client V4.0 Se puede configurar un SOFTNET Security Client V4.0 junto con los módulos de seguridad, y generar los archivos de configuración correspondientes. Ámbito de validez de este manual El presente manual es válido para los siguientes equipos y componentes: SIMATIC NET SCALANCE S602 6GK BA10-2AA3 - con versión de firmware a partir de V3.0 SIMATIC NET SCALANCE S612 6GK BA10-2AA3 - con versión de firmware a partir de V3.0 SIMATIC NET SCALANCE S623 6GK BA10-2AA3 - con versión de firmware a partir de V3.0 CP Advanced 6GK GX31-0XE0 - con versión de firmware a partir de V3.0 CP Advanced 6GK GX30-0XE0 - con versión de firmware a partir de V3.0 CP GK1162-8AA00 - con versión de firmware a partir de V1.0 SIMATIC NET SOFTNET Security Client 6GK VW04-0AA0, a partir de la versión 4.0 Security Configuration Tool - versión V3.0 4 Manual de configuración, 03/2012, C79000-G8978-C286-01

5 Prólogo Destinatarios Este manual está dirigido a las personas encargadas de las funciones Industrial Ethernet Security de una red. Documentación del CP en la Manual Collection (referencia A5E ) Cada CP S7 lleva adjunta la Manual Collection de SIMATIC NET. Este DVD se actualiza periódicamente; contiene los manuales de producto y las descripciones actuales en el momento de su creación. Consulte también /7/ (Página 225) Símbolos utilizados en estas instrucciones El capítulo descrito / el apartado descrito / la línea descrita sólo es relevante para SCALANCE S a partir de V3.0. El capítulo descrito / el apartado descrito / la línea descrita sólo es relevante para SCALANCE S. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto SCALANCE S 602. El capítulo descrito / el apartado descrito / la línea descrita sólo es relevante para SCALANCE S 623. El capítulo descrito / el apartado descrito / la línea descrita sólo es relevante para CP S7. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CP S7. El capítulo descrito / el apartado descrito / la línea descrita sólo es relevante para CP PC. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CP PC. Manual de configuración, 03/2012, C79000-G8978-C

6 Prólogo El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los CP S7 y CP PC. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CP. Con este símbolo se hace referencia a consejos especiales en estas instrucciones. El símbolo hace referencia a bibliografía especialmente recomendada. F1 Este símbolo indica que se puede obtener una ayuda contextual detallada. Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de diálogo. Referencias bibliográficas /.../ Las referencias a documentación adicional se indican a través de índices bibliográficos escritos entre barras /.../. Por medio de estos números se puede localizar el título de la documentación en la lista de bibliografía que aparece al final del manual. Consulte también () Glosario de SIMATIC NET Las explicaciones de los términos utilizados en esta documentación están recogidas en el glosario de SIMATIC NET. Encontrará el glosario de SIMATIC NET aquí: 6 Manual de configuración, 03/2012, C79000-G8978-C286-01

7 Prólogo SIMATIC NET Manual Collection Este DVD se adjunta a algunos productos SIMATIC NET. En Internet, bajo el siguiente ID de artículo: ( Manual de configuración, 03/2012, C79000-G8978-C

8 Prólogo 8 Manual de configuración, 03/2012, C79000-G8978-C286-01

9 Índice Prólogo Introducción y fundamentos Información importante Introducción y fundamentos Características del producto Sinopsis de funciones Capacidades Cambiar un módulo Uso de SOFTNET Security Client Uso de SCALANCE S Uso de SCALANCE S612 y S Uso de SCALANCE S623 - puerto DMZ Uso de CP Advanced y CP Advanced Uso de CP Configuración y administración Configuración con Security Configuration Tool Funciones y funcionamiento Instalación Sistemas operativos soportados Interfaz de usuario y comandos de menú Crear y administrar proyectos Security Configuration Tool en versión autónoma Security Configuration Tool en STEP Migrar datos de STEP Resumen Definición de valores de inicialización para un proyecto Check Consistency Asignación de nombre simbólicos para direcciones IP o MAC Datos de configuración para SCALANCE M Administrar usuarios Sinopsis de la administración de usuarios Crear usuarios Crear roles Administrar derechos Administrar certificados Sinopsis Renovar certificados...68 Manual de configuración, 03/2012, C79000-G8978-C

10 Índice Reemplazar certificados Crear módulos y ajustar parámetros de red Parámetros del área de contenido Configurar interfaces (SCALANCE S) Vista general de puertos Interfaces DNS dinámico Ajustes de puertos Conexión a Internet Configurar el cortafuegos CPs en el modo normal CP x43-1-advanced Ajuste predeterminado del cortafuegos Configurar el cortafuegos Configurar una lista de acceso Agregar una entrada a la lista de acceso CP Ajuste predeterminado del cortafuegos Configurar el cortafuegos SCALANCE S en el modo normal Preajuste del firewall Configurar el cortafuegos V Configurar el cortafuegos < V En el modo avanzado Configurar firewall Reglas globales del cortafuegos Conjuntos de reglas de cortafuegos globales - Convenios Ajustar y asignar conjuntos de reglas de cortafuegos globales Reglas del cortafuegos definidas por el usuario Ajustar y asignar reglas de cortafuegos específicas de usuario Reglas de cortafuegos automáticas referidas a conexiones Ajuste de reglas de filtros de paquetes IP locales Reglas de filtrado de paquetes IP Definir servicios IP Definir servicios ICMP Ajustar reglas para filtrado de paquetes MAC Reglas para filtrado de paquetes MAC Definir servicios MAC Configurar grupos de servicios Configurar otras propiedades de módulo Módulo de seguridad como router Sinopsis Standard Router Routing NAT/NAPT Conversión de direcciones con NAT/NAPT Relación entre router NAT/NAPT y cortafuegos Routing NAT 1:1 - Ejemplos de configuración, parte Routing NAT/NAPT - Ejemplos de configuración, parte Manual de configuración, 03/2012, C79000-G8978-C286-01

11 Índice Enrutamiento NAT/NAPT - Ejemplos de configuración, parte Módulo de seguridad como servidor DHCP Sinopsis Configurar un servidor DHCP Sincronización horaria Sinopsis Configurar el control de la hora Agregar una entrada Definir un servidor NTP SNMP Sinopsis Activar SNMP Proxy ARP Comunicación segura en la VPN a través de túnel IPsec VPN con módulos de seguridad Métodos de autenticación Grupos VPN Modos de operación de grupos VPN Crear grupos y asignar módulos Configuración de túnel en modo normal Configuración de túneles en el modo avanzado Configuración de propiedades de grupo Incluir un módulo de seguridad en un grupo configurado Configurar propiedades VPN específicas del módulo Configuración de nodos de red internos Funcionamiento del modo de aprendizaje Visualización de los nodos de red internos encontrados SOFTNET Security Client Uso de SOFTNET Security Client Instalación y puesta en servicio del SOFTNET Security Client Instalación e inicio de SOFTNET Security Client Desinstalación de SOFTNET Security Client Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Operación de SOFTNET Security Client Configuración y edición de túneles Funciones online - Test, Diagnóstico y Logging Panorámica de funciones del cuadro de diálogo online Registro de eventos (Logging) Registro local - ajustes en la configuración Network Syslog - ajustes en la configuración Configuración del registro de paquetes Manual de configuración, 03/2012, C79000-G8978-C

12 Índice A Anexo A.1 Conformidad DNS A.2 Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red A.3 Dirección MAC B Bibliografía B.1 Introducción B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP B.2.1 /1/ B.2.2 /2/ B.3 Para la configuración con STEP 7 / NCM S B.3.1 /3/ B.3.2 /4/ B.3.3 /5/ B.4 CP S7 para el montaje y la puesta en servicio del CP B.4.1 /6/ B.5 Para el montaje y la operación de una red Industrial Ethernet B.5.1 /7/ B.6 Principios básicos de SIMATIC y STEP B.6.1 /8/ B.6.2 /9/ B.7 Comunicación industrial Tomo B.7.1 /10/ B.8 Para la configuración de equipos PC / PG B.8.1 /11/ B.9 Para la configuración de CP PC B.9.1 /12/ B.10 SIMATIC NET Industrial Ethernet Security B.10.1 /13/ B.10.2 /14/ B.10.3 /15/ Índice alfabético Manual de configuración, 03/2012, C79000-G8978-C286-01

13 Introducción y fundamentos 1 Indicaciones de seguridad ATENCIÓN Para su gama de productos de automatización y accionamientos, Siemens ofrece mecanismos de IT Security que contribuyen al funcionamiento seguro de la instalación o máquina. Nuestros productos también se desarrollan continuamente en cuanto a IT Security. Por ello, se recomienda que se informe periódicamente sobre las actualizaciones de nuestros productos y que solo utilice las versiones actuales en cada caso. Encontrará más información al respecto en: ( =es) Aquí puede registrarse para recibir un newsletter específico de producto. No obstante, para el funcionamiento seguro de una instalación o máquina es necesario además integrar los componentes de automatización en un concepto de IT Security unitario para toda la instalación o máquina que corresponda a los últimos avances tecnológicos en IT. Encontrará la información necesaria en: ( También hay que tener en cuenta los productos de otros fabricantes que se estén utilizando. 1.1 Información importante General ATENCIÓN Protección contra el acceso no autorizado Asegúrese de que el equipo de configuración, el PC o la PG y, dado el caso, el proyecto, estén protegidos contra el acceso no autorizado. Manual de configuración, 03/2012, C79000-G8978-C

14 Introducción y fundamentos 1.1 Información importante ATENCIÓN Desactivar la cuenta de invitado Asegúrese de que la cuenta de invitado está desactivada en el equipo de configuración. ATENCIÓN Fecha y hora actuales en los módulos de seguridad Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará. Nota Software antivirus actualizado Se recomienda tener instalado siempre un antivirus actualizado en todos los equipos de configuración. Nota FTPS Cuando en la presente documentación se utiliza la designación "FTPS", esta hace referencia a FTPS en el modo explícito (FTPES). Nota No se puede regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual, una vez cambiado al modo avanzado ya no se puede regresar. El cambio al modo avanzado es un ajuste para todo el proyecto, por lo que rige para todos los módulos del proyecto. Solución para SCT standalone: Cierre el proyecto sin guardarlo y vuelva a abrirlo. 14 Manual de configuración, 03/2012, C79000-G8978-C286-01

15 Introducción y fundamentos 1.2 Introducción y fundamentos CP x43-1 Advanced ATENCIÓN Ajustes de seguridad adicionales Para evitar que en el CP puedan cargarse datos de configuración no autorizados, hay que realizar ajustes de seguridad adicionales en el cortafuegos del CP (bloqueo de la comunicación S7 o solo comunicación en túnel), o aplicar medidas de seguridad externas. STEP 7 Nota "Guardar y compilar" tras realizar cambios Para que los ajustes de seguridad se apliquen en los correspondientes bloques de sistema (offline), tras realizar los cambios elija el menú "Equipo" > "Guardar y compilar" en HW Config o bien "Red" > "Guardar y compilar" en NetPro. Nota Abrir una estación con la Security Configuration Tool abierta Cierre la Security Configuration Tool antes de abrir otra estación a través del SIMATIC Manager o Net Pro. 1.2 Introducción y fundamentos Con los módulos de seguridad SIMATIC NET y SIMATIC NET SOFTNET Security Client se ha decidido por el concepto de seguridad SIEMENS, que satisface los altos requisitos exigidos a la seguridad de la comunicación en la técnica de automatización industrial. Nota Software antivirus actual Recomendamos tener siempre instalado un software antivirus actual en todos los equipos de configuración. Este capítulo le proporciona una visión de conjunto de las funciones de seguridad propias de los equipos y los componentes: SCALANCE S CP x43-1 Advanced Manual de configuración, 03/2012, C79000-G8978-C

16 Introducción y fundamentos 1.3 Características del producto CP 1628 SOFTNET Security Client Sugerencia: Encontrará una descripción del acceso rápido a los módulos de seguridad en el documento "SIMATIC NET Security - Getting Started (primeros pasos)". 1.3 Características del producto Sinopsis de funciones Sinopsis de funciones de los tipos de dispositivos Consulte en la tabla siguiente qué funciones soportan los diferentes módulos de seguridad. Nota En este manual se describen todas las funciones. Observe en la tabla siguiente qué funciones son aplicables al módulo de seguridad utilizado. Preste también atención a los datos adicionales indicados en los títulos de capítulo. Tabla 1-1 Sinopsis de funciones Función CP x43-1 Adv. CP 1628 SCALANCE S V3.0 Configuración mediante Security Configuration Tool - - X Security Configuration Tool integrada en STEP 7 x x x Compatibilidad con Otros módulos de seguridad x x x Listas IP Access Control (ACL) x - - SOFTNET Security Client x x x General Router NAT/NAPT x - x Servidor DHCP - - x Firewall Reglas de cortafuegos locales x x x Reglas globales de Firewall x x x Reglas de cortafuegos específicas de usuario - - x 16 Manual de configuración, 03/2012, C79000-G8978-C286-01

17 Introducción y fundamentos 1.3 Características del producto Función CP x43-1 Adv. CP 1628 SCALANCE S V3.0 IPsec Estructura de túneles IPsec x x x Administración de usuarios Configuración de la administración de usuarios x x x Migración de la administración de usuarios actual x - - Protocolos seguros SNMPv3 x x x HTTPS x - x Servidor FTP x - - Cliente FTPS x - - NTP x x x NTP seguro x x - Otros protocolos Cliente PPPoE - - x DynDNS - - x Registro Registro de eventos de sistema x x x Registro de eventos de auditoría x x x Registro de eventos de filtrado de paquetes x x x Mensajes de auditoría en los búfers de diagnóstico del módulo de seguridad Acceso vía Security Configuration Tool a búfer de registro del módulo de seguridad x x - x x x Diagnóstico web x - - Diagnóstico VPN mediante la Security x x x Configuration Tool (VPN=Virtual Private Network) Envío de los mensajes a un servidor Syslog x x x Se soporta la función x - No se soporta la función Capacidades Nota Encontrará una vista general de las capacidades admisibles en la siguiente dirección de Internet: ( Manual de configuración, 03/2012, C79000-G8978-C

18 Introducción y fundamentos 1.3 Características del producto Capacidades Función CP x43-1 Adv. CP 1628 SCALANCE S V3.0 Túneles VPN por cada módulo de seguridad Máx. 16 * Máx. 128 Reglas de firewall por cada módulo de seguridad Servidores NTP que pueden crearse para todo el proyecto (servidores NTP asignables por cada módulo de seguridad) Máx (4) * Planificado a partir de SCT V3.1: Máx. 32 para CP x43-1 Adv. Máx. 64 para CP 1628 Qué reglas son aplicables para nombres de usuario, nombres de rol y contraseñas? Al crear o modificar un usuario, un rol o una contraseña, observe las siguientes reglas: Caracteres permitidos A...Z a...z!"#$%&'()*+,-./:;<=>?@ [\]_{ }~ ^` Longitud del nombre de usuario caracteres Longitud de la contraseña caracteres Longitud del nombre de rol caracteres Número máximo de usuarios por 128 proyecto Número máximo de usuarios en un administrador al crear el proyecto módulo de seguridad Número máximo de roles por 121 definidos por usuario + 4 definidos por sistema proyecto Número máximo de roles en un 37 módulo de seguridad 18 Manual de configuración, 03/2012, C79000-G8978-C286-01

19 Introducción y fundamentos 1.3 Características del producto Cambiar un módulo Así se llega a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Edición" > "Sustituir módulo ". 3. Dependiendo del tipo de producto del módulo seleccionado, en el cuadro de diálogo se puede adaptar el tipo de módulo y/o la versión de firmware. Consulte en la tabla siguiente qué módulos pueden sustituirse sin una posible pérdida de datos. Nota Sustitución de módulos de diferente tipo Para sustituir un módulo por otro de un tipo distinto es necesario crear primero un módulo nuevo y configurarlo del modo correspondiente. Encontrará información sobre la sustitución de CPs en el manual de producto correspondiente. Tabla 1-2 Módulos compatibles Módulo de salida Posible sustitución de módulo S602 V2 y V3 S612 V1 S612 V2 S613 V1 S613 V2 SOFTNET Security Client 2005 Sin pérdidas S612 V2 S613 V2 S612 V2 S613 V1 S613 V2 S613 V2 S612 V3 S623 V3 S613 V2 S612 V3 S623 V3 S612 V3 S623 V3 SOFTNET Security Client 2008 SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 Con posibles pérdidas S612 V1 S613 V1 S602 V2 y V3 S602 V2 y V3 S612 V1 S613 V1 S602 V2 y V3 S612 V1 S612 V2 S602 V2 y V3 S612 V1 S612 V2 S613 V1 - Manual de configuración, 03/2012, C79000-G8978-C

20 Introducción y fundamentos 1.4 Uso de SOFTNET Security Client Módulo de salida Posible sustitución de módulo Sin pérdidas Con posibles pérdidas SOFTNET Security Client SOFTNET Security Client 2005 * SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 SOFTNET Security Client SOFTNET Security Client 2005 * y ** - V3.0 SOFTNET Security Client 2008 ** SOFTNET Security Client SOFTNET Security Client 2005 * y ** - V4.0 SOFTNET Security Client 2008 ** SOFTNET Security Client V3.0 SCALANCE M - - * Si el módulo no se encuentra en un grupo de enrutamiento ** Si el módulo no se encuentra en un grupo VPN con un módulo MD. Consulte también Interfaz de usuario y comandos de menú (Página 36) /2/ (Página 224) 1.4 Uso de SOFTNET Security Client Comunicación de PG/PC en la VPN - Función del SOFTNET Security Client El software para PC SOFTNET Security Client permite acceder remotamente desde la PG o el PC a autómatas programables protegidos por módulos de seguridad, más allá de los límites de redes públicas. Mediante el SOFTNET Security Client se configura automáticamente una PG o un PC de manera que pueda establecer con uno o varios módulos de seguridad una comunicación tunelada IPsec protegida en la VPN (Virtual Private Network). Las aplicaciones de PG/PC, como por ejemplo Diagnóstico NCM o STEP 7, pueden acceder así a través de una conexión por túnel protegida a dispositivos o redes que se encuentren en una red interna protegida por módulos de seguridad. El software para PC SOFTNET Security Client también se configura con la herramienta de configuración Security Configuration Tool, lo que garantiza una configuración global. 20 Manual de configuración, 03/2012, C79000-G8978-C286-01

21 0 1 Introducción y fundamentos 1.5 Uso de SCALANCE S Uso de SCALANCE S602 Firewall y Router - misión de SCALANCE S602 Por combinación de diversas medidas de seguridad, como son Firewall y Router NAT/NAPT, el SCALANCE S602 protege equipos concretos o también células de automatización completas de: Espionaje de datos Accesos no autorizados SCALANCE S602 hace posible esta protección de forma flexible y con un manejo sin complicaciones. SCALANCE S602 se configura con la herramienta de configuración Security Configuration Tool. SCALANCE S SCALANCE S SCALANCE S IE/PB Link HMI ET 200X OP 270 S7-400 S7-300 "interno": manejo & visualización "interno": célula de automatización "interno": célula de automatización Figura 1-1 Configuración de red con SCALANCE S602 Manual de configuración, 03/2012, C79000-G8978-C

22 Introducción y fundamentos 1.5 Uso de SCALANCE S602 Funciones de seguridad Firewall IP-Firewall con Stateful Packet Inspection (nivel 3 y 4) Firewall también para telegramas Ethernet "No IP" conforme a IEEE (telegramas de nivel 2; no rige para S602 si se utiliza el modo Router); Limitación del ancho de banda Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su firewall. Modo Router Utilizando SCALANCE S como router se desacopla la red interna de la red externa. La red interna conectada por el SCALANCE S se convierte así en una subred propia; el SCALANCE S se tiene que direccionar como Router explícitamente a través de su dirección IP. Protección para equipos y segmentos de red La función de protección de Firewall se puede extender al uso de equipos concretos, de varios equipos o también de segmentos de red enteros. Ausencia de retroacciones en caso de instalación en redes planas (modo Bridge) Por lo tanto, al montar un SCALANCE S602 en una infraestructura de red ya existente no se necesita ajustar de nuevo los equipos terminales. Nodos de red internos y externos: SCALANCE S602 divide las redes en dos áreas: Red interna: áreas protegidas con los "nodos internos" Nodos internos son todos aquellos nodos protegidos por un SCALANCE S. Red externa: áreas no protegidas con los "nodos externos" Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas. ATENCIÓN Las redes internas se consideran seguras (dignas de confianza). Conecte un segmento de red interno con los segmentos de red externos sólo a través de SCALANCE S. No deben existir otras vías de conexión entre la red interna y la externa! 22 Manual de configuración, 03/2012, C79000-G8978-C286-01

23 Introducción y fundamentos 1.6 Uso de SCALANCE S612 y S Uso de SCALANCE S612 y S623 Protección completa - Función de SCALANCE S612 y SCALANCE S623 Combinando diversas medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) a través de túneles IPsec, los módulos de seguridad SCALANCE S612 y SCALANCE S623 protegen dispositivos concretos o células de automatización completas de: Espionaje de datos Manipulación de datos Accesos no autorizados SCALANCE S hace posible una protección flexible, exenta de repercusiones inversas, independiente de protocolos (a partir de capa 2 según IEEE 802.3) y con un manejo sin complicaciones. SCALANCE S y SOFTNET Security Client se configuran con la herramienta Security Configuration Tool. Manual de configuración, 03/2012, C79000-G8978-C

24 Introducción y fundamentos 1.6 Uso de SCALANCE S612 y S623 Figura 1-2 Configuración de red con SCALANCE S Manual de configuración, 03/2012, C79000-G8978-C286-01

25 Introducción y fundamentos 1.6 Uso de SCALANCE S612 y S623 Funciones de seguridad Firewall Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (Telegramas de capa 2; no aplicable si se utiliza el modo ruoter) Limitación del ancho de banda Reglas de cortafuegos globales y específicas de usuario Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su firewall. Comunicación protegida por túnel IPsec SCALANCE S puede agruparse con otros módulos de seguridad mediante configuración. Entre todos los módulos de seguridad de un grupo se establecen túneles IPsec (VPN, Virtual Private Network). Todos los nodos internos de estos SCALANCE S se pueden comunicar entre sí por estos túneles de forma protegida. Independencia de protocolo El establecimiento de túneles comprende también telegramas Ethernet según IEEE (telegramas Layer 2; no es válido si se usa el modo de router) A través de los túneles IPsec se transmiten tanto telegramas IP como también No-IP. PPPoE Point to Point Protocol over Ethernet (RFC 2516) para la adquisición automática de direcciones IP del proveedor, con lo que se prescinde del uso de un router DSL aparte. DynDNS Domain Name Service dinámico para el uso de direcciones IP dinámicas si se utiliza un SCALANCE S como servidor VPN para telemantenimiento. SNMPv3 Para la transferencia antiescucha de información de análisis de la red. Modo Router Utilizando SCALANCE S como router conecta la red interna con la red externa. La red interna conectada a través de SCALANCE S se convierte así en una subred propia. Protección para equipos y segmentos de red La función de protección de Firewall y VPN se puede extender al uso de equipos concretos, de varios equipos o también de segmentos de red enteros. Puerto DMZ adicional Ausencia de retroacciones en caso de instalación en redes planas (modo Bridge) Nodos de red internos se pueden localizar sin configuración. Por lo tanto, al montar un SCALANCE S en una infraestructura de red ya existente no es necesario configurar de nuevo los dispositivos terminales. El módulo intenta encontrar estaciones internas; sin embargo se tienen que configurar las estaciones internas que no se localicen por este procedimento. Manual de configuración, 03/2012, C79000-G8978-C

26 Introducción y fundamentos 1.7 Uso de SCALANCE S623 - puerto DMZ Nodos de red internos y externos: SCALANCE S divide las redes en dos áreas: Red interna: áreas protegidas con los "nodos internos" Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S. Red externa: áreas no protegidas con los "nodos externos" Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas. ATENCIÓN Las redes internas se consideran seguras (dignas de confianza). Conecte un segmento de red interno con los segmentos de red externos sólo a través de SCALANCE S. No deben existir otras vías de conexión entre la red interna y la externa! 1.7 Uso de SCALANCE S623 - puerto DMZ Función adicional de SCALANCE S623 Además de las funciones del SCALANCE S612, el SCALANCE S623 cuenta con un puerto adicional (DMZ), que permite integrar una red adicional. Con el SCALANCE S623 se puede configurar una DMZ (zona desmilitarizada) en el puerto adicional, en la que pueden colocarse servidores, a los que debe accederse tanto desde la red no segura (p. ej. Internet o red externa) como desde la red segura (red interna). El puerto puede desarrollar varias funciones en función del entorno en que se utilice (no simultáneamente): Puerto DMZ Puerto de telemantenimiento En los casos de aplicación típicos de DMZ, el usuario debe configurar las reglas de cortafuegos de tal forma que se permitan accesos desde Internet (externos) a los servidores de la DMZ (dado el caso, protegidos además con un túnel VPN), pero no a dispositivos del área segura (interna). 26 Manual de configuración, 03/2012, C79000-G8978-C286-01

27 Introducción y fundamentos 1.8 Uso de CP Advanced y CP Advanced 1.8 Uso de CP Advanced y CP Advanced Concepto de protección de celda - Función de CP x43-1 Adv. Industrial Ethernet Security permite proteger diferentes dispositivos, células de automatización o segmentos de una red Ethernet. Adicionalmente, es posible proteger la transferencia de datos mediante la combinación de diferentes medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) utilizando un túnel IPsec, concretamente de: Espionaje de datos Manipulación de datos Accesos no autorizados Las funciones de seguridad del CP x43-1 Adv. se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP 7. Figura 1-3 Configuración de red con CP x43-1 Adv. Manual de configuración, 03/2012, C79000-G8978-C

28 Introducción y fundamentos 1.8 Uso de CP Advanced y CP Advanced Funciones de seguridad Cortafuegos Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (capa 2) Limitación del ancho de banda Reglas de cortafuegos globales Todos los nodos de red que se encuentran en el segmento de red interno de un CP x43-1 Adv. están protegidos por su cortafuegos. Comunicación protegida por túneles IPsec El CP x43-1 Adv. puede agruparse con otros módulos de seguridad por medio de la configuración. Entre todos los módulos de seguridad de un grupo se establecen túneles IPsec (VPN). Todos los nodos internos de estos módulos de seguridad se pueden comunicar entre sí por estos túneles de forma protegida. Registro Para fines de vigilancia es posible guardar eventos en archivos de registro, que se leen utilizando la herramienta de configuración o se envían automáticamente a un servidor Syslog. HTTPS Para la transmisión cifrada de páginas web, p. ej. en el control de procesos. Figura 1-4 Control de procesos con HTTPS 28 Manual de configuración, 03/2012, C79000-G8978-C286-01

29 Introducción y fundamentos 1.9 Uso de CP 1628 FTPS (modo explícito) Para la transferencia cifrada de archivos. NTP seguro Para la sincronización y transferencia horaria seguras. SNMPv3 Para la transferencia antiescucha de información de análisis de la red. Protección para dispositivos y segmentos de red La función de protección de cortafuegos y VPN se puede extender más allá del uso de dispositivos concretos a varios dispositivos o a segmentos de red enteros. Nodos de red internos y externos: CP x43-1 Adv. divide las redes en dos áreas: Red interna: Áreas protegidas con los "nodos internos" Los nodos internos son todos aquellos nodos protegidos por un CP x43-1 Adv. Red externa: Áreas no protegidas con los "nodos externos" Los nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas. ATENCIÓN Las redes internas se consideran seguras (fiables). Para conectar un segmento de red interno con los segmentos de red externos utilice solo CP x43-1 Adv. No deben existir otras vías de conexión entre la red interna y la externa! Información sobre las funciones generales del CP x43-1 Adv. El presente manual contiene información sobre las funciones de seguridad del CP x43-1 Adv. Para conocer las descripciones de las funciones generales, véase /1/ (Página 223) o bien /2/ (Página 224). 1.9 Uso de CP 1628 Concepto de protección de celda - Función de CP 1628 Los mecanismos de seguridad integrados en el CP 1628 permiten proteger sistemas informáticos, incluida la comunicación de datos dentro de una red de automatización o el acceso remoto seguro a través de Internet. El CP 1628 permite acceder a dispositivos de forma individualizada o a células de automatización completas protegidas con módulos de seguridad, y permite conexiones seguras a través de estructuras de red no seguras. Manual de configuración, 03/2012, C79000-G8978-C

30 Introducción y fundamentos 1.9 Uso de CP 1628 Mediante la combinación de diferentes medidas de seguridad, como cortafuegos y VPN (Virtual Private Network) a través de túneles IPsec el CP 1628 protege de: Espionaje de datos Manipulación de datos Accesos no autorizados Las funciones de seguridad del CP 1628 se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP 7. Figura 1-5 Configuración de red con CP Manual de configuración, 03/2012, C79000-G8978-C286-01

31 Introducción y fundamentos 1.9 Uso de CP 1628 Funciones de seguridad Cortafuegos Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (capa 2) Limitación del ancho de banda Reglas de cortafuegos globales Comunicación protegida por túneles IPsec El CP 1628 puede agruparse con otros módulos de seguridad mediante configuración. Entre todos los módulos de seguridad de un grupo se establecen túneles IPsec (VPN, Virtual Private Network). Nota Observe el orden de carga en el módulo al configurar el cortafuegos o realizar los ajustes VPN. Cargue primero todos los interlocutores de la VPN y después el CP Registro Para fines de vigilancia es posible guardar eventos en archivos de registro, que se leen utilizando la herramienta de configuración o se envían automáticamente a un servidor Syslog. NTP seguro Para la sincronización y transferencia horaria seguras. SNMPv3 Para la transferencia antiescucha de información de análisis de la red. Información sobre las funciones generales del CP 1628 El presente manual contiene información sobre las funciones de seguridad del CP Para conocer las descripciones de las funciones generales, véase /11/ (Página 227). Manual de configuración, 03/2012, C79000-G8978-C

32 Introducción y fundamentos 1.10 Configuración y administración 1.10 Configuración y administración Lo más importante, en resumen Con la herramienta de configuración Security Configuration Tool se logra una aplicación sencilla y segura de los módulos de seguridad: Configuración sin conocimientos de experto en materia de IT con la Security Configuration Tool Con la Security Configuration Tool pueden configurar un módulo de seguridad incluso personas que no sean expertas en materia de IT. En un modo extendido se pueden realizar ajustes más complejos, si ello es necesario. Comunicación administrativa segura La transferencia de los ajustes está firmada y cifrada y solo puede ser realizada por personal autorizado. Protección de acceso en la Security Configuration Tool La administración de usuarios de la Security Configuration Tool garantiza una protección de acceso para los módulos de seguridad y los datos de configuración. Medio intercambiable C-PLUG El C-PLUG es un medio intercambiable, enchufable, en el que están almacenados datos de configuración en forma codificada. Al sustituir un módulo de seguridad, permite realizar la configuración sin PG o PC, siempre que el módulo de seguridad soporte la administración de datos en C-PLUG. 32 Manual de configuración, 03/2012, C79000-G8978-C286-01

33 Configuración con Security Configuration Tool 2 Security Configuration Tool es la herramienta de configuración suministrada junto con los módulos de seguridad. El presente capítulo le familiariza con la interfaz de operación y el funcionamiento de la herramienta de configuración. En él se describen la instalación, el manejo y la administración de proyectos de seguridad. Otras informaciones En los capítulos sucesivos de este manual se explica con detalle la configuración de módulos y de túneles IPsec. F1 La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de diálogo. 2.1 Funciones y funcionamiento Prestaciones La herramienta de configuración Security Configuration Tool se utiliza para las siguientes tareas: Configuración de los módulos de seguridad Configuración de SOFTNET Security Client Creación de datos de configuración para SCALANCE M Funciones de test y diagnóstico, indicaciones de estado Los dos modos de la herramienta Security Configuration Tool La Security Configuration Tool está disponible en los siguientes modos: Security Configuration Tool Standalone (en versión autónoma): se puede llamar independientemente de STEP 7. La configuración de seguridad de CP no es posible. Security Configuration Tool integrada en STEP 7: configuración de seguridad de CP así como las funciones de la versión estándar de la Security Configuration Tool. Sólo se puede llamar desde la interfaz de STEP 7. Manual de configuración, 03/2012, C79000-G8978-C

34 Configuración con Security Configuration Tool 2.1 Funciones y funcionamiento Modos de operación La Security Configuration Tool dispone de dos modos de operación: Vista de configuración offline En el modo offline se ajustan los datos de configuración para los módulos de seguridad y el SOFTNET Security Client. Antes de realizar la carga no es necesario establecer para esto una conexión con el módulo de seguridad. Online El modo online sirve para comprobar y diagnosticar un módulo de seguridad. Dos vistas de operador En el modo offline, la Security Configuration Tool proporciona dos vistas de operador: Modo normal El modo normal está preajustado en la Security Configuration Tool. Este modo permite una configuración rápida y sin complicaciones para el uso de los módulos de seguridad. Modo avanzado En el modo avanzado existen otras posibilidades de ajuste que permiten configurar de forma personalizada las reglas de firewall y las funciones de seguridad. Fucionamiento - Seguridad y coherencia Acceso solo para usuarios autorizados Cada proyecto está protegido contra accesos no autorizados mediante un nombre de usuario y una contraseña. Datos de proyecto coherentes Ya durante la entrada en los distintos cuadros de diálogo se realizan comprobaciones de la coherencia. Además puede realizar en todo momento una prueba de coherencia a nivel de proyecto, en la que se incluyen todos los cuadros de diálogo. En los módulos de seguridad sólo se pueden cargar datos de proyecto coherentes. Protección de datos de proyecto por cifrado Los datos de proyecto y configuración están protegidos por cifrado tanto en el archivo de proyecto como en el C-PLUG (no rige para el CP 1628). 34 Manual de configuración, 03/2012, C79000-G8978-C286-01

35 Configuración con Security Configuration Tool 2.2 Instalación 2.2 Instalación Sistemas operativos soportados Sistemas operativos soportados Se soportan los siguientes sistemas operativos: Microsoft Windows XP 32 bits + Service Pack 3 Microsoft Windows 7 Professional 32/64 bits o Microsoft Windows 7 Professional 32/64 bits + Service Pack 1 Microsoft Windows 7 Ultimate 32/64 bits Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1 Windows Server 2008 R2 64 bits Windows Server 2008 R2 64 bits + Service Pack 1 PG o PC con al menos 128 MB de memoria RAM y una CPU con una frecuencia de reloj de al menos 1 GHz. ATENCIÓN Antes de proceder a la instalación de la Security Configuration Tool, lea el archivo "README" del CD que viene adjunto. En este archivo encontrará informaciones importantes así como referencias a las últimas modificaciones. SCALANCE S y CP x34-1 Adv. - Proceda del siguiente modo La herramienta de configuración Security Configuration Tool se instala desde el CD de producto que viene adjunto. Introduzca el CD de producto en la unidad CD-ROM; si está conectada la función Autorun, se inicia automáticamente la interfaz desde la que puede realizar la instalación. o Inicie la aplicación "start.exe" existente en el CD de producto que viene adjunto. CP Proceda del siguiente modo La herramienta de configuración Security Configuration Tool se instala desde el DVD "SIMATIC NET PC Software". 1. Inicie la aplicación "setup.exe" en la carpeta "sw > Driverdisk > CP1628 > SCT". 2. Ejecute el archivo de instalación haciendo clic repetidamente y elija el programa "Security Configuration Tool V3.0" en la ventana "Programas" > "Selección de programas a instalar". Manual de configuración, 03/2012, C79000-G8978-C

36 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú 2.3 Interfaz de usuario y comandos de menú Estructura de la interfaz de usuario en el modo avanzado 1 El ámbito de navegación funciona como explorador del proyecto con las siguientes carpetas principales: Conjuntos de reglas de cortafuegos globales El objeto contiene los conjuntos de reglas globales de cortafuegos configurados. Otras carpetas se distinguen en: Conjuntos de reglas IP Conjuntos de reglas MAC Conjuntos de reglas IP específicos de usuario Todos los módulos El objeto contiene todos los módulos de seguridad o SOFTNET Security Clients configurados del proyecto. Grupos VPN 2 El objeto contiene todas las VPNs generadas. Índice: Si selecciona un objeto en el área de navegación obtendrá en el área de contenido informaciones detalladas sobre ese objeto. Para SCALANCE S se pueden configurar detalles de direcciones. Para SCALANCE M solo pueden configurarse direcciones IP y las máscaras de subred. Haciendo doble clic sobre los objetos se abren los cuadros de diálogo de propiedades, en los que se introducen otros parámetros (no para SOFTNET Security Client ni SCALANCE M). 36 Manual de configuración, 03/2012, C79000-G8978-C286-01

37 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú 3 4 Ventana de detalles: En la ventana de detalles se muestran detalles adicionales sobre el objeto seleccionado. La ventana de detalles puede mostrarse y ocultarse. Barra de estado: La barra de estado muestra los estados de manejo y mensajes de estado actuales: Aquí se incluyen: Los usuarios actuales y el tipo de usuario La vista de manejo - Modo normal / modo avanzado El tipo de operación - Online / Offline Barra de herramientas A continuación se muestra una vista general de los botones disponibles en la barra de herramientas y su significado. Botón Significado / observaciones Crear un proyecto. Abrir un proyecto ya existente. Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales. Copiar el objeto seleccionado. Insertar un objeto del portapapeles. Borrar el objeto seleccionado. Crear un módulo. El botón sólo está activo si el usuario está en la carpeta "Todos los módulos" o en un grupo VPN en el área de navegación. Crear un grupo. El botón sólo está activo si el usuario está en la carpeta "Grupos VPN" del área de navegación. Crear un conjunto de reglas IP global o específico de usuario o un conjunto de reglas MAC global. El botón sólo está activo si el usuario está en una subcarpeta de "Conjuntos de reglas FW globales" en el área de navegación o en la carpeta "Conjuntos de reglas IP esp. de usuario". Cargar una configuración en los módulos de seguridad seleccionados o crear datos de configuración para SOFTNET Security Client / SCALANCE M. Manual de configuración, 03/2012, C79000-G8978-C

38 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú Botón Significado / observaciones Cambiar al modo offline. Cambiar al modo online. Barra de menús A continuación se ofrece un cuadro general de los comandos de menú seleccionables y su significado. Comando de menú Significado / observaciones Combinación de teclas Project Nuevo... Abrir... Guardar... Guardar como... Propiedades... Recent Projects Quit Funciones para ajustes específicos del proyecto, así como la carga y el almacenamiento del archivo del proyecto. Crear un proyecto. Para CP: Los proyectos se crean mediante configuración con STEP 7. Abrir un proyecto ya existente. Para CP: Los proyectos existentes solo pueden abrirse a través de proyectos STEP 7. Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales. Guardar un proyecto abierto en una ruta y con un nombre de proyecto seleccionables. Para CP: El proyecto es parte del proyecto STEP 7. La ruta no puede cambiarse. Abrir un cuadro de diálogo para propiedades del proyecto. Posibilidad de seleccionar directamente los proyectos procesados hasta el momento Para CP: Los proyectos existentes solo pueden abrirse a través de proyectos STEP 7. Cerrar proyecto. Edit Comandos de menú sólo en el modo offline Nota Con el objeto seleccionado, algunas de las funciones también pueden elegirse a través del menú contextual. Copy Copiar el objeto seleccionado. Ctrl + C Paste Traer el objeto del portapapeles e insertarlo Ctrl + V ("pegarlo"). Del Borrar el objeto seleccionado. Supr Rename Cambiar de nombre el objeto seleccionado. F2 38 Manual de configuración, 03/2012, C79000-G8978-C286-01

39 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú Comando de menú Significado / observaciones Combinación de teclas Sustituir módulo... Propiedades... Diagnóstico online Sustituir el módulo de seguridad seleccionado por otro. Abrir el cuadro de diálogo de propiedades del objeto seleccionado. Acceder a las funciones de test y diagnóstico. Este comando sólo está visible en la vista Online. F4 Insert Module Group Conjunto de reglas de cortafuegos Comandos de menú sólo en el modo offline Crear nuevo módulo. Este comando sólo está activo si en el área de navegación se ha seleccionado un módulo o un grupo. Crear nuevo grupo. Este comando sólo está activo si está seleccionado un objeto Grupos en el área de navegación. Crear un nuevo bloque de reglas IP o MAC de validez global para el firewall. Este comando sólo está activo si está seleccionado un objeto Firewall en el área de navegación. Ctrl + M Ctrl + G Ctrl + F Transfer A módulo(s)... A todos los módulos... Estado de la configuración Firmware Update... Cargar una configuración en el módulo de seguridad seleccionado o crear datos de configuración para SOFTNET Security Client / SCALANCE M. Observación: Sólo se pueden cargar datos de proyecto coherentes. Para CPs: Los datos del proyecto sólo pueden cargarse a través de STEP 7. Cargar una configuración en todos los módulos de seguridad. Observación: Sólo se pueden cargar datos de proyecto consistentes. Mostrar en una lista el estado de configuración de los módulos de seguridad configurados. Cargar firmware nuevo en el módulo de seguridad seleccionado. Para CPs S7: El firmware se carga en el CP a través del centro de actualización del diagnóstico web. View Modo avanzado Cambiar del modo normal (predeterminado) al modo avanzado. Atención Una vez que se ha cambiado al modo avanzado para el proyecto actual, sólo se puede regresar al estándar si no se ha realizado ningún cambio. Ctrl + E Manual de configuración, 03/2012, C79000-G8978-C

40 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú Comando de menú Significado / observaciones Combinación de teclas Ocultar la ventana de detalles Mostrar y ocultar los detalles adicionales del objeto seleccionado. Ctrl + Alt + D Offline Es preajuste. Cambiar al modo de configuración Ctrl + Mayús + D Online Cambiar al modo test y de diagnóstico. Ctrl + D Options Servicios IP... Servicios MAC... Adaptador de red Idioma... Archivos de registros... Symbolic Names... Servidor NTP... Verificaciones de consistencia... Administración de usuarios... Administrador de certificados... Abrir cuadro de diálogo para definiciones de los servicios para las reglas IP Firewall. Este comando de menú sólo está visible en el modo avanzado. Abrir cuadro de diálogo para definiciones de los servicios para las reglas MAC Firewall. Este comando de menú sólo está visible en el modo avanzado. A través del adaptador de red seleccionado se asigna una dirección IP al SCALANCE S. Seleccionar un idioma para la visualización de la interfaz SCT. Para SCT en STEP 7, el idioma de la interfaz SCT se define seleccionando el idioma en STEP 7. Visualización de archivos de registro guardados. Asignar nombres simbólicos para direcciones IP o MAC. Crear y editar servidores NTP Comprobación de la coherencia de todo el proyecto. Al finalizar se muestra una lista de resultados. Crear y editar usuarios y roles y asignar derechos. Mostrar, importar o exportar certificados. Help Contenido... Índice... Acerca de... Ayuda para las funciones y los parámetros que encontrará en la SCT. Ayuda para las funciones y los parámetros que encontrará en la SCT. Información sobre la versión de SCT. Ctrl + Mayús + F1 Ctrl + Mayús + F2 40 Manual de configuración, 03/2012, C79000-G8978-C286-01

41 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos 2.4 Crear y administrar proyectos Security Configuration Tool en versión autónoma Configuración con la Security Configuration Tool en versión autónoma La Security Configuration Tool en versión autónoma se utiliza para crear proyectos de seguridad en los que no se configuren módulos de seguridad que deban que crearse y configurarse en STEP 7. Un proyecto nuevo se crea con el comando de menú "Proyecto" > "Nuevo ". Éste abarca todas las informaciones de configuración y administración para uno o varios equipos SCALANCE S, SOFTNET Security Client y SCALANCE M. Para cada equipo se crea un módulo en el proyecto Security Configuration Tool en STEP 7 Configuración La Security Configuration Tool integrada en STEP 7 se utiliza para elaborar proyectos Security, en los que se configuran módulos de seguridad, que deben crearse y configurarse en STEP 7. Además se soportan todos los módulos de seguridad de la variante standalone. En cuanto en STEP 7 se activa la función de seguridad para un módulo de seguridad, automáticamente se crea un proyecto SCT, en el que se guardan y gestionan los datos de la configuración de seguridad. Todos los datos de la configuración de seguridad se procesan internamente en la SCT y el resultado se devuelve a STEP 7. Manual de configuración, 03/2012, C79000-G8978-C

42 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Interacción entre STEP 7 y SCT La interacción entre STEP 7 y SCT se describe a partir de la siguiente representación: 1 Al realizar ajustes de seguridad a través de STEP 7, se abre la SCT, ya que en ella se actualizan y administran los datos para seguridad. Si en NetPro hay configuradas conexiones especificadas, tras guardar y compilar se crean para ellas automáticamente reglas de cortafuegos en SCT. 2 En SCT se realizan los ajustes de seguridad necesarios. SCT procesa los datos internamente y devuelve el resultado a STEP 7. 3 Las acciones como "Guardar como" y "Compilar" se desarrollan dentro de STEP 7. Los datos de seguridad se guardan automáticamente como proyecto SCT con un nombre asignado automáticamente en una subcarpeta del proyecto STEP 7. El nombre y la ruta de almacenamiento no pueden cambiarse. Para un proyecto STEP 7 se puede crear exactamente un proyecto SCT. Un proyecto SCT creado con la Security Configuration Tool en STEP 7 no puede abrirse con la Security Configuration Tool en versión standalone. 4 Los datos de seguridad del CP configurados se cargan en el módulo a través de STEP 7. Qué datos se migran de STEP 7 a SCT y se muestran en el área de contenido? Los siguientes datos de configuración creados en STEP 7 se aplican automáticamente en SCT, pero no pueden modificarse: Nombre del dispositivo Dirección IP interna Dirección IP externa 42 Manual de configuración, 03/2012, C79000-G8978-C286-01

43 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Máscara de subred interna Máscara de subred externa Dirección MAC Router estándar Qué datos pueden migrarse a SCT y modificarse allí? Se pueden migrar a SCT y modificar allí los siguientes objetos creados anteriormente en STEP 7: Listas Access Control User Servidores NTP Encontrará información detallada al respecto en la Ayuda en pantalla de SCT: F1 Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión de la SCT. Reglas de cortafuegos automáticas para conexiones especificadas Para conexiones especificadas configuradas en STEP 7 se crean automáticamente reglas de cortafuegos en SCT, que habilitan el establecimiento de la conexión. Encontrará más información al respecto en el capítulo Reglas de cortafuegos automáticas referidas a conexiones (Página 114). Para conexiones no especificadas deben crearse manualmente reglas de cortafuegos en SCT, que habiliten el establecimiento de la conexión. Encontrará más información al respecto en el capítulo En el modo avanzado (Página 108). Realizar ajustes de seguridad en STEP 7 Los ajustes de seguridad se pueden realizar de varias formas: A través de las distintas fichas de las propiedades de objeto En las diferentes fichas se pueden activar y ejecutar funciones de seguridad específicas de CP. Durante la ejecución se abre el cuadro de diálogo SCT correspondiente, en el que pueden realizarse los ajustes de seguridad. Los ajustes de seguridad se pueden realizar en las siguientes fichas: Manual de configuración, 03/2012, C79000-G8978-C

44 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Ficha Función Descripción Seguridad Activar seguridad Las funciones de seguridad se activan en las diferentes fichas. Se activa el menú "Editar" > "Security Configuration Tool", a través del cual se abre la Security Configuration Tool. En ella se pueden realizar otros ajustes comunes para varios módulos de seguridad, como crear grupos VPN o agregar módulos de seguridad que no pueden configurarse en STEP 7. Si ha configurado en STEP 7 usuarios para el módulo de seguridad, se abre la ventana "Migración de datos del proyecto relevantes para la seguridad", a través del cual se pueden migrar los usuarios a la Security Configuration Tool. Inicio de la configuración de seguridad Cargar reglas de cortafuegos con posterioridad Cargar a posteriori reglas de cortafuegos online (CP 1628) Inicio de la administración de usuarios Inicio de la configuración de cortafuegos Permitir acceso solo vía FTPS Inicio de la administración de usuarios Permitir acceso sólo vía HTTPS Inicio de la administración de usuarios SCT se abre en una vista general, en la que se pueden configurar propiedades específicas para el módulo de seguridad. Los ajustes de cortafuegos adaptados se generan y se cargan en el CP sin provocar una parada del CP. Los ajustes de cortafuegos adaptados se generan y se cargan online en el CP. Usuario Se abre la administración de usuarios de SCT, en la que se crean usuarios y roles y se asignan derechos. Al activar la seguridad se migra a la Security Configurarion Tool una lista de acceso IP ya disponible convertida en reglas de cortafuegos. Se abre la administración de usuarios SCT, en la que se pueden asignar derechos FTP a un rol. Protección de acceso IP FTP Web Se abre la administración de usuarios de SCT, en la que se pueden asignar derechos web a un rol. 44 Manual de configuración, 03/2012, C79000-G8978-C286-01

45 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Ficha Función Descripción Sincronización horaria SNMP Directamente en SCT Configuración NTP avanzada Inicio de la configuración de SNMP Inicio de la administración de usuarios Abre la SCT en el modo de configuración NTP. Abre la SCT en el modo de configuración SNMP. Se puede elegir entre SNMPv1 y SNMPv3. Se abre la administración de usuarios de SCT, en la que se pueden asignar derechos SNMP a un rol. Para abrir SCT en STEP 7, elija el comando de menú "Edición" > "Security Configuration Tool". Además de los ajustes realizados en las fichas de las propiedades de objeto, aquí se crean p. ej. grupos VPN o se agregan módulos SCALANCE S. Los módulos SCALANCE S se pueden configurar y cargar en SCT, pero los datos no se devuelven a STEP 7. Además, los módulos no se muestran en STEP 7 tras cerrar la SCT. Nota Encontrará información más detallada en STEP 7 y en la Ayuda en pantalla de SCT. Encontrará información general sobre STEP 7 en /9/ (Página 226) Migrar datos de STEP 7 Migrar datos de proyecto relevantes para la seguridad Al activar la seguridad, los siguientes ajustes realizados en STEP 7 se migran automáticamente a un área de aplicación segura: Servidores NTP (véase el capítulo Sincronización horaria (Página 156)) Listas IP Access Control (véase el capítulo Configurar una lista de acceso (Página 96)) No se migran automáticamente los usuarios ni sus contraseñas. Reglas de cortafuegos para conexiones especificadas Para conexiones especificadas configuradas en STEP 7 se crean automáticamente reglas de cortafuegos en SCT, que habilitan el establecimiento de la conexión. Para conexiones no especificadas deben crearse manualmente reglas de cortafuegos en SCT, que habiliten el establecimiento de la conexión. Manual de configuración, 03/2012, C79000-G8978-C

46 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Migrar usuarios de dispositivo de STEP 7 a la administración de usuarios de SCT En el cuadro de diálogo de migración, seleccione cómo desea migrar a la administración de usuarios de SCT los usuarios creados en STEP 7. Para ello se puede elegir entre las diferentes acciones: Acción Aceptar como... Juntar Rechazar Descripción El usuario se migra a la administración de usuarios de SCT con otro nombre. Introduzca el nombre en la columna "Nombre de usuario migrado". En SCT al usuario migrado se le asigna automáticamente un rol generado. Si en el proyecto SCT ya se ha creado un usuario con el mismo nombre, ambos usuarios se juntan. El rol de ese usuario se amplía con los derechos seleccionados del usuario migrado. El usuario del módulo de seguridad no se migra a la administración de usuarios de SCT. La migración a posteriori no es posible. Nota Los siguientes datos no se migran Contraseñas de usuarios ya creados en STEP 7. Por ello, para cada usuario hay que seleccionar el modo en que debe migrarse y asignar una nueva contraseña con el botón "Asignar contraseña". El usuario disponible en STEP 7 definido por el sistema "everybody". Tampoco se aplican sus derechos para usuarios migrados. Migrar derechos de dispositivo de STEP 7 a la administración de usuarios de SCT Se migran los siguientes derechos: Derecho en STEP 7 Derecho tras la migración a SCT Servicio Acceder a los símbolos configurados Leer variables de direcciones absolutas Escribir variables de direcciones absolutas Acceder a archivos de la estación S7 con FTP Applet: Leer variables de símbolos configurados Applet: Escribir variables de símbolos configurados Applet: Leer variables de direcciones absolutas Applet: Escribir variables de direcciones absolutas FTP: Leer archivos (DB) de la CPU S7 FTP: Escribir archivos (DB) de la CPU S7 FTP: Leer archivos del sistema de archivos del CP FTP: Escribir archivos del sistema de archivos del CP Web: Formatear el sistema de archivos de CP PLC Sistema de archivos 46 Manual de configuración, 03/2012, C79000-G8978-C286-01

47 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Derecho en STEP 7 Derecho tras la migración a SCT Servicio Enviar un mail de prueba a través Web: Acceder a diagnóstico web y al Web de la página del sistema sistema de archivos de CP Web: Enviar mail de prueba Consultar el estado de módulos Applet: Leer estado de los módulos en el bastidor PLC Consultar el número de referencia de módulos Applet: Leer referencia de los módulos en el bastidor Resumen Contenidos generales En ambas versiones de SCT, al crear un proyecto se solicita la asignación de un nombre de usuario y una contraseña. El usuario aquí creado es del tipo "administrator". Una vez introducidos el nombre de usuario y la contraseña, se pueden realizar ajustes en el proyecto. En general, las configuraciones de un proyecto contienen: Ajustes válidos para todo el proyecto Ajustes específicos de los módulos Asignaciones de grupos para túneles IPsec Además, una administración de usuarios regula los derechos de acceso a los datos del proyecto y, con ello, a los módulos de seguridad. Ajustes válidos para todo el proyecto Propiedades del proyecto Éstas comprenden, además de informaciones generales sobre direcciones y nombres, especificaciones predeterminadas para valores de inicialización. Conjuntos de reglas de cortafuegos globales Las reglas globales para firewall se pueden asignar a varios módulos a un tiempo. Esta posibilidad simplifica en muchos casos la configuración, a diferencia de la configuración de conjuntos de reglas para cortafuegos locales en los ajustes específicos de los módulos. Definiciones de servicios Definiendo servicios IP o MAC se pueden definir reglas de cortafuegos de forma compacta y clara. Servidores NTP Los servidores NTP se crean para todo el proyecto, por lo que pueden asignarse a varios módulos de seguridad en la SCT. Manual de configuración, 03/2012, C79000-G8978-C

48 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Administración de certificados En la administración de certificados se gestionan todos los certificados del proyecto. Administración de usuarios En la administración de usuarios se pueden gestionar todos los usuarios del proyecto y sus derechos. Nombres simbólicos En un proyecto se pueden asignar nombres simbólicos en una tabla en lugar de direcciones IP y MAC. Ajustes específicos de los módulos La mayoría de las funciones se configura en el cuadro de diálogo de propiedades de un módulo. Aquí se presenta una visión de conjunto de las fichas ofecidas y sus funciones: Función / ficha en el diálogo de propiedades Interfaces Vista general de los diferentes ajustes de puertos. Para CPs: Los ajustes se adoptan desde STEP 7 y no pueden cambiarse. Para SCALANCE S V3.0: También pueden realizarse ajustes para el puerto DMZ, la activación de DynDNS y PPPoE, etc. Routing Indique aquí los datos del router estándar y/o especifique una ruta. Para CPs: La especificación de un router estándar se aplica desde STEP 7, y solo puede cambiarse en STEP 7. La indicación aparece en el área de contenido de SCT. Por eso, la ficha no está incluida en las propiedades del módulo. Cortafuegos Aquí se activa en el modo normal el cortafuegos con reglas estándar sencillas. Además, aquí se pueden activar ajustes de registro. En el modo avanzado se pueden definir reglas detalladas para el filtrado de paquetes. También se pueden definir ajustes de registro explícitos para cada regla de filtrado de paquetes. Para CPs: Si se ha migrado una lista Access Control, esta se muestra aquí y puede editarse. Time Synchronization Defina aquí el tipo de sincronización para fecha y hora. Logging Aquí se pueden realizar indicaciones precisas sobre el modo de registro y de almacenamiento de eventos de registro y configurar la transferencia a un servidor Syslog. se ofrece en el modo Standard Avanzado X X X X X X X X - X 48 Manual de configuración, 03/2012, C79000-G8978-C286-01

49 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Función / ficha en el diálogo de propiedades Nodos Realice ajustes de subredes, nodos IP/MAC y nodos NDIS en función del módulo de seguridad, que también deberán ser accesibles a través de los túneles VPN. Para SCALANCE S: El aprendizaje de nodos internos puede activarse y desactivarse. VPN Si el módulo se encuentra en un grupo, aquí se puede configurar la Dead-Peer-Detection, la forma de establecimiento de la conexión y, dado el caso, la dirección IP para WAN. NAT Active routers NAT/NAPT y establezca la conversión de direcciones en una lista. Servidor DHCP Puede activar, para la red interna, el módulo como DHCP Server. Para SCALANCE S 623: Si el puerto DMZ se encuentra en el modo de operación DMZ, para ese puerto también puede configurarse un servidor DHCP. SNMP Ajuste en esta ficha la versión de protocolo SNMP y el método de autenticación y codificado. Proxy ARP Realizar entradas estáticas para Proxy ARP en una interfaz externa. se ofrece en el modo Standard Avanzado - X X X - X - X - X - X Encontrará la descripción detallada de estas funciones en el capítulo Configurar otras propiedades de módulo (Página 135). Asignaciones de grupos para túneles IPsec Los grupos VPN determinan qué módulo de seguridad, qué SOFTNET Security Clients y qué módulos SCALANCE M deben comunicarse entre sí a través de túneles IPsec. Al asignar módulos de seguridad, SOFTNET Security Clients y módulos SCALANCE M a un grupo, estos podrán establecer túneles de comunicación a través de una VPN (Virtual Private Network). Sólo módulos del mismo grupo se pueden comunicar entre sí de forma segura a través de túneles; los módulos de seguridad, los SOFTNET Security Clients y los módulos SCALANCE M pueden pertenecer a varios grupos al mismo tiempo. Manual de configuración, 03/2012, C79000-G8978-C

50 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Definición de valores de inicialización para un proyecto Definición de valores de inicialización para un proyecto Con los valores de inicialización se definen propiedades que se adoptan automáticamente al crear módulos nuevos. Además se determina si al crear un módulo de seguridad nuevo debe abrirse una ventana para ajustar las propiedades o si el módulo de seguridad debe insertarse directamente. Elija el comando de menú "Proyecto" > "Propiedades...", ficha "Valores de inicialización predeterminados". Protección de datos de proyecto mediante codificación Los datos de proyecto y configuración almacenados están protegidos por codificación tanto en el archivo de proyecto como en el C-PLUG (no para CP 1628) Check Consistency Resumen Security Configuration Tool distingue: Pruebas de coherencia locales Pruebas de coherencia a nivel de proyecto Para más información sobre las reglas comprobadas que debe tener en cuenta al realizar entradas, consulte las descripciones de los cuadros de diálogos correspondientes bajo el término clave "Check Consistency" (prueba de coherencia). Pruebas de coherencia locales Una prueba de coherencia se considera local si se puede realizar directamente dentro de un cuadro de diálogo. Se pueden producir comprobaciones con motivo de las siguientes acciones: al salir de un campo al salir de una fila de una tabla al salir del cuadro de diálogo con "OK" ("Aceptar"). 50 Manual de configuración, 03/2012, C79000-G8978-C286-01

51 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Pruebas de coherencia a nivel de proyecto Las pruebas de coherencia a nivel de proyecto informan sobre la configuración correcta de los módulos. Dado que al crear un proyecto se suelen configurar también datos de proyecto incoherentes y una prueba de coherencia permanente a nivel de proyecto tomaría demasiado tiempo, la prueba de coherencia automática sólo tendrá lugar al realizar las acciones siguientes: al guardar el proyecto al abrir el proyecto antes de cargar una configuración ATENCIÓN Sólo se pueden cargar datos de proyecto si el proyecto es coherente en su conjunto. Cómo lanzar una prueba de coherencia a nivel de proyecto Para realizar una prueba de coherencia para un proyecto abierto, proceda del siguiente modo: Comando de menú: "Opciones" > "Verificaciones de consistencia". El resultado de la prueba se presenta en una lista. Si el proyecto contiene datos incoherentes, el estado se visualiza en la barra de estado de la ventana SCT. Haga clic en la barra de estado para visualizar la lista de pruebas Asignación de nombre simbólicos para direcciones IP o MAC Así se llega a esa función Comando de menú: "Opciones" > "Nombres simbólicos...". Significado y ventaja En un proyecto de seguridad se pueden asignar nombres simbólicos en una tabla en lugar de direcciones IP y MAC. La configuración de los distintos servicios se puede realizar así de manera sencilla y segura. Para las siguientes funciones y su configuración se tienen en cuenta nombres simbólicos dentro del proyecto: Firewall Router NAT/NAPT Syslog DHCP Manual de configuración, 03/2012, C79000-G8978-C

52 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Validez y carácter inequívoco La validez de los nombres simbólicos indicados en la tabla está limitada a la configuración dentro de un proyecto de seguridad. Dentro del proyecto, cada nombre simbólico ha de estar asignado de forma inequívoca a una única dirección IP o MAC. Transferencia automática de nombres simbólicos a la tabla de símbolos de SCT Se pueden utilizar nombres simbólicos en lugar de direcciones IP en las funciones mencionadas, por ejemplo al crear reglas de cortafuegos, sin que dichos nombres estén asignados ya en la tabla. Los nombres simbólicos así asignados se aplican automáticamente en la tabla y pueden asignarse más tarde. Dentro de la verificación de consistencia se advierte de que faltan asignaciones. Cuadro de diálogo para asignación de nombres simbólicos Para evitar una incoherencia en una correspondencia "Dirección IP - Nombre simbólico" así como "Dirección MAC - Nombre simbólico", los nombres simbólicos se administran en una sola tabla. Proceda del siguiente modo para realizar entradas en la tabla de símbolos de SCT: 1. Pulse el botón "Agregar" para añadir un nuevo nombre simbólico en la siguiente línea libre de la tabla. 52 Manual de configuración, 03/2012, C79000-G8978-C286-01

53 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos 2. Introduzca el nombre simbólico conforme a DNS. Véase el apartado Conformidad DNS (Página 219). 3. Complete la entrada con la dirección IP o MAC. También puede introducir ambas direcciones. Proceda del siguiente modo para realizar entradas en la tabla: Si el nombre simbólico se ha introducido ya al definir un servicio, encontrará la entrada correspondiente en la tabla. 1. Haga clic en la fila correspondiente de la tabla, en la columna para dirección IP o dirección MAC. 2. Complete la entrada con la dirección IP o MAC. También puede introducir ambas direcciones. Si borra una entrada de la tabla de, los nombres simbólicos utilizados en los servicios siguen existiendo en los mismos. En tales casos, la prueba de coherencia reconoce nombres simbólicos no definidos. Esto es válido tanto para entradas realizadas manualmente como para las generadas de modo automático. Manual de configuración, 03/2012, C79000-G8978-C

54 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Un consejo: Para la tabla aquí descrita es particularmente conveniente la aplicación de una verificación de consistencia para todo el proyecto. A partir de la lista se pueden detectar y corregir irregularidades. Inicie la verificación de consistencia para un proyecto abierto con el comando de menú "Opciones" > "Verificaciones de consistencia". Prueba de coherencia - reglas a considerar Al realizar sus entradas debe tener en cuanta las reglas indicadas a continuación. Prueba / Regla Prueba realizada 1) La asignación de un nombre simbólico a una dirección IP o MAC tiene que ser unívoca. El nombre simbólico y la dirección sólo pueden asignarse una vez y no pueden utilizarse en otra entrada de la lista. Los nombre simbólicos han de ser conformes con DNS. Cada nombre simbólico debe tener asignada una dirección IP, una dirección MAC o ambas. No se deben asignar nombres simbólicos a las direcciones IP de los módulos de seguridad. Los nombres simbólicos utilizados en el proyecto para direcciones IP o MAC tienen que estar incluidos en la tabla. Se pueden producir incoherencias si se borran entradas de la tabla y no se eliminan o corrigen correspondientemente en los cuadros de diálogo del proyecto. a nivel local X x x a nivel de proyecto X X 1) Observe las explicaciones del capítulo Check Consistency (Página 50). 54 Manual de configuración, 03/2012, C79000-G8978-C286-01

55 Configuración con Security Configuration Tool 2.5 Datos de configuración para SCALANCE M 2.5 Datos de configuración para SCALANCE M Transmisión a un módulo Se pueden generar informaciones de VPN para la parametrización de un SCALANCE M con la Security Configuration Tool. Con los archivos creados se puede configurar el SCALANCE M. Se generan los siguientes tipos de archivos: Archivo de exportación con los datos de configuración Tipo de archivo: Archivo *.txt en formato ASCII Contiene la información de configuración exportada para el SCALANCE M, incluida una información sobre los certificados generados adicionalmente. Certificado de módulo Tipo de archivo: Archivo *.p12 El archivo contiene el certificado de módulo y el material de clave. El acceso está protegido por contraseña. Certificado de grupo Tipo de archivo: Archivo *.cer Los archivos de configuración para el SCALANCE M se pueden utilizar también para configurar otros tipos de VPN Client no incluidos en la selección de módulos. El requisito para el uso de estos VPN Clients es la compatibilidad con IPsec VPNs en el modo túnel. Manual de configuración, 03/2012, C79000-G8978-C

56 Configuración con Security Configuration Tool 2.5 Datos de configuración para SCALANCE M Figura 2-1 Archivo de exportación para SCALANCE M Nota Los archivos de configuración no se transfieren al módulo. Se genera un archivo ASCII con el que se puede configurar el SCALANCE M. Para ello es necesario que el módulo esté como mínimo en un grupo VPN con un módulo de seguridad o un SOFTNET Security Client a partir de V3.0. Proceda del siguiente modo 1. En el área de contenido, seleccione el módulo "SCALANCE M". 2. Elija el comando de menú "Transferir" > "A módulo(s)...". 56 Manual de configuración, 03/2012, C79000-G8978-C286-01

57 Configuración con Security Configuration Tool 2.6 Administrar usuarios 3. En el siguiente diálogo de almacenamiento, introduzca la ruta y el nombre del archivo de configuración y haga clic en el botón "Guardar". 4. En el siguiente cuadro de diálogo, indique si para ambos archivos de certificado debe crearse una contraseña propia. Si responde "No", se asigna como contraseña el nombre de la configuración (p. ej. DHCP_sin_Routing_02), y no la contraseña del proyecto. Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de diálogo siguiente. Resultado: Los archivos (y certificados) se guardan en el directorio que ha indicado. Nota Para más información sobre la configuración, consulte las instrucciones de servicio de SCALANCE M87x y MD74x. 2.6 Administrar usuarios Sinopsis de la administración de usuarios Cómo está estructurada la administración de usuarios? El acceso a la configuración de seguridad se gestiona mediante ajustes de usuario configurables. Configure usuarios con las contraseñas correspondientes para la autenticación. Asigne al usuario un rol definido por el sistema o por usuario. Los roles tienen asignados derechos de configuración y específicos de módulo. Observe las capacidades (Página 17) indicadas al crear los usuarios.. Los usuarios ya existentes se migran de STEP 7 a SCT Los usuarios ya creados en STEP 7 pueden migrarse a SCT. En ese caso, las contraseñas deben volver a asignarse. Encontrará información detallada al respecto en la Ayuda en pantalla. F1 Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión de la SCT. Manual de configuración, 03/2012, C79000-G8978-C

58 Configuración con Security Configuration Tool 2.6 Administrar usuarios Orden de introducción al crear usuarios y roles Elija una de las siguientes secuencias de introducción: Cree primero un usuario, a continuación defina un rol y, en el último paso, asigne el rol al usuario. Defina primero un rol nuevo, a continuación cree un usuario y, en el último paso, asigne el rol al usuario. Autenticación del usuario El usuario del proyecto se tiene que autenticar para el acceso. Por ello es necesario definir una autenticación por contraseña para cada usuario. ATENCIÓN Guarde las contraseñas de usuario de forma segura. Si olvida las contraseñas de usuario ya no podrá acceder al proyecto en cuestión ni a sus configuraciones ni a los módulos de seguridad. Entonces sólo podrá acceder a los módulos de seguridad con la opción "Restablecer configuración de fábrica". En ese caso perderá las configuraciones. ATENCIÓN Si se modifican los ajustes de la autenticación, se tienen que cargar de nuevo los módulos de seguridad para que se activen estos ajustes (p. ej. nuevos usuarios, cambios de contraseña) en los módulos. 58 Manual de configuración, 03/2012, C79000-G8978-C286-01

59 Configuración con Security Configuration Tool 2.6 Administrar usuarios Crear usuarios Así se llega a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios", ficha "Usuario". Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se abre además desde diferentes fichas. Tabla 2-1 Datos de la ficha "Usuario" Parámetro Nombre de usuario Rol Comentario Significado Nombre de usuario de libre elección. Según la asignación realizada. Introducción de un comentario adicional. Tabla 2-2 Botones de la ficha "Usuario" Denominación Editar Agregar Eliminar Significado / repercusión Seleccione una entrada y haga clic en el botón. En el cuadro de diálogo que se abre, cambie el nombre de usuario, la contraseña y el rol. Inserte un nuevo usuario con el botón. En el cuadro de diálogo que se abre, introduzca el nombre de usuario y defina la contraseña y el rol definido por el sistema o el usuario. Elimine la entrada seleccionada con el botón. Nota En el proyecto siempre debe haber como mínimo un usuario en el rol "administrator". El "administrator", que se crea automáticamente al generar el proyecto, sólo puede borrarse mientras exista como mínimo un usuario con plenos derechos de configuración. Manual de configuración, 03/2012, C79000-G8978-C

60 Configuración con Security Configuration Tool 2.6 Administrar usuarios Crear roles Qué roles existen? A cada usuario se le puede asignar un rol definido por el sistema o por el usuario. Los derechos del rol se definen para cada módulo de seguridad. Roles definidos por el sistema Están predefinidos los siguientes roles definidos por el sistema. Los roles tienen asignados determinados derechos, que son iguales en todos los módulos y que el administrador no puede cambiar ni borrar. administrator Rol predeterminado al crear un proyecto SCT. Derechos de acceso ilimitados a todos los datos de configuración. standard Administrar todos los derechos, salvo usuarios y roles. diagnostics Rol predeterminado al crear un usuario. Acceso de lectura a configuraciones. Acceso de lectura al módulo de seguridad en el modo de operación "Online" con fines de test y diagnóstico. remote access Ningún derecho, salvo inicio de sesión en la página de Internet para reglas de cortafuegos específicas de usuario. Encontrará más información en el capítulo Reglas del cortafuegos definidas por el usuario (Página 112). Migrar usuarios de SCT ya existentes Al realizar la migración, los usuarios de SCT ya existentes se asignan a los siguientes roles definidos por el sistema. Los usuarios ya existentes correspondientes al rol "Admin" se asignan al rol definido por el sistema "administrator". Los usuarios ya existentes correspondientes al rol "User" se asignan al rol definido por el sistema "diagnostics". Rol definido por el usuario Además de los roles definidos por el sistema, se pueden crear roles definidos por el usuario. Para un rol definido por el usuario se seleccionan los derechos de configuración o de módulo, y se crean los derechos correspondientes para cada módulo de seguridad utilizado en el proyecto. Los roles definidos por usuario se asignan manualmente al usuario en cuestión. 60 Manual de configuración, 03/2012, C79000-G8978-C286-01

61 Configuración con Security Configuration Tool 2.6 Administrar usuarios Así se llega a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios", ficha "Roles". Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se abre además desde diferentes fichas. Tabla 2-3 Datos de la ficha "Roles" Parámetro Nombre del rol Comentario Significado Nombre de rol de libre elección. Introducción de un comentario adicional. Tabla 2-4 Botones de la ficha "Roles" Denominación Editar Agregar Eliminar Significado / repercusión Seleccione un rol definido por usuario de la lista y haga clic en el botón. En el cuadro de diálogo que se abre, cambie el nombre del rol y los derechos asignados a él. Los rols definidos por el sistema no se pueden editar. Agregue un nuevo rol definido por el usuario con el botón. En el cuadro de diálogo que aparece, introduzca el nombre del rol y asigne al rol los derechos que desee de la lista de derechos. Se muestran los derechos del rol definido por el sistema seleccionado en la asignación de derechos. Elimine la entrada seleccionada con el botón. Nota Un rol definido por el usuario ya creado sólo puede borrarse si ya no está asignado a ningún usuario. Dado el caso, asigne un rol diferente al usuario. Los roles definidos por el sistema no se pueden borrar. Manual de configuración, 03/2012, C79000-G8978-C

62 Configuración con Security Configuration Tool 2.6 Administrar usuarios Administrar derechos Así se llega a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios", fichas "Roles", botón "Editar " o "Agregar ". Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se abre además desde diferentes fichas. Crear y asignar un rol definido por usuario 1. Introduzca un nombre de rol. 2. Seleccione un rol definido por el sistema de la plantilla de derechos. Los roles definidos por usuario no se muestran en la selección. Resultado: Según el rol seleccionado, se muestra para cada módulo de seguridad del proyecto los derechos correspondientes en la lista de derechos. Los derechos de los módulos de seguridad no utilizados en el proyecto se muestran en gris. 3. Active o desactive para cada módulo de seguridad los derechos que deben asignarse al rol definido por usuario. 4. Haga clic en el botón "Aplicar" para guardar la selección o en "Aceptar" para guardar y cerrar la ventana. 5. Asigne el rol a un usuario. Copiar el derecho de rol de un módulo En el menú contextual de un módulo de seguridad, elija en la lista de objetos el comando "Copiar permisos" y asigne los derechos a otro módulo con el comando "Insertar permisos". Derechos de configuración Dependiendo del tipo de usuario, por cada proyecto de seguridad dispone de los siguientes derechos de configuración: Tabla 2-5 Derechos de configuración para todos los módulos de seguridad Derecho de configuración administrator standard diagnostics Diagnosticar seguridad x x x Configurar seguridad x x - Administrar usuarios y roles x Manual de configuración, 03/2012, C79000-G8978-C286-01

63 Configuración con Security Configuration Tool 2.6 Administrar usuarios Derechos de módulos En la columna "Servicio" se muestra el sistema al que afecta el derecho en cuestión. Dependiendo del tipo de usuario, por cada proyecto de seguridad se dispone de los siguientes derechos de módulo: Tabla 2-6 Derechos de módulo CP x43-1 Adv. Derecho dentro del servicio administrator standard diagnostics Servicio Web: Formatear el sistema de archivos del CP * x - - FTP: Leer archivos del sistema de archivos del CP ** x x x FTP: Escribir archivos del sistema de archivos del CP x x - FTP: Leer archivos (DB) de la CPU S7 ** x x x FTP: Escribir archivos (DB) de la CPU S7 *** x x - Applet: Leer variables de símbolos configurados * x x x Applet: Escribir variables de símbolos configurados * Applet: Leer variables de direcciones absolutas * x x x Applet: Escribir variables de direcciones absolutas * x x - Applet: Leer estado de los módulos en el bastidor * x x x Applet: Leer referencia de los módulos en el bastidor * x x x SNMP: Leer MIB-II x x x SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer LLDP MIB x x x SNMP: Leer SNMPv2 MIB x x x SNMP: Leer MRP MIB x x x SNMP: Escribir MRP MIB x x - SCT: Ejecutar diagnóstico del módulo de seguridad x x x **** Web: Ampliar lista de control de acceso IP * x - - Web: Acceder a diagnóstico web y al sistema de x x x archivos de CP Web: Enviar mail de prueba * x x x Web: Actualizar el firmware * x x - Web: Cargar textos de diagnóstico * x x - Sistema de archivos PLC SNMP Seguridad Web Mantenimiento * Para aplicar la función, también debe estar activado el derecho de dispositivo "Web: Acceder al diagnóstico web y al sistema de archivos de CP". ** Para utilizar la función, también debe estar activado el derecho de dispositivo "FTP: Leer archivos del sistema de archivos del CP". *** Para utilizar la función, también debe estar activado el derecho de dispositivo "FTP: Escribir archivos del sistema de archivos del CP". **** Para utilizar la función también debe estar activado el derecho de configuración "Diagnosticar seguridad". Manual de configuración, 03/2012, C79000-G8978-C

64 Configuración con Security Configuration Tool 2.6 Administrar usuarios Tabla 2-7 Derechos de módulo CP 1628 Derecho dentro del servicio administrator standard diagnostics Servicio SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer SNMPv2 MIB x x x SCT: Ejecutar diagnóstico del módulo de seguridad x x x Seguridad Tabla 2-8 Derechos de módulo SCALANCE S V3.0 Derecho dentro del servicio administrator standard diagnostics Servicio SNMP: Leer MIB-II x x x SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer SNMPv2 MIB x x x SNMP: Leer MRP MIB x x x SNMP: Escribir MRP MIB x x - SCT: Ejecutar diagnóstico del módulo de seguridad x x x Carga de los archivos de configuración x x - SNMP Seguridad Web: Actualizar el firmware x x - Mantenimien to Tabla 2-9 Derechos de módulo SCALANCE S < V3.0 Derecho dentro del servicio administrator standard diagnostics Servicio Carga de los archivos de configuración x x - SCT: Ejecutar diagnóstico del módulo de seguridad x x x Seguridad 64 Manual de configuración, 03/2012, C79000-G8978-C286-01

65 Configuración con Security Configuration Tool 2.7 Administrar certificados 2.7 Administrar certificados Sinopsis Cómo se administran los certificados? En el Administrador de certificados se puede obtener una vista general de todos los certificados y certificados CA utilizados en el proyecto, con la información correspondiente al solicitante, al emisor, a la validez, al uso en SCT y a la presencia de una clave privada. El certificado CA es un certificado emitido por un entidad emisora, llamada "Certificate Authority", y de él se derivan los certificados de dispositivo. Entre ellos se encuentran los certificados SSL, necesarios para la autentificación en la comunicación online entre el dispositivo y un módulo de seguridad. Las posibles entidades emisoras pueden ser: La propia SCT. Si el solicitante y el emisor son iguales, se trata de un certificado autofirmado, es decir, emitido por SCT. Una entidad emisora superior. Los certificados externos al proyecto de otros emisores se importan y se guardan en la memoria de certificados de la SCT. Los certificados creados por una de las dos entidades emisoras, siempre cuentan con una clave privada, que permite derivar los certificados de dispositivo. El administrador de certificados incluye, además, las siguientes funciones: Modificación de certificados ya existentes (p. ej. periodo de validez). Importación de certificados y entidades emisoras nuevas. Importar certificados FTPS. Exportar los certificados y entidades emisoras utilizados en el proyecto. Renovación de certificados y entidades emisoras caducados. Sustitución de entidades emisoras ya existentes por otras. Nota Cargar los proyectos Tras sustituir o renovar certificados es necesario cargar el proyecto en el módulo de seguridad correspondiente. Tras sustituir o renovar certificados CA es necesario cargar el proyecto en todos los módulos de seguridad. Manual de configuración, 03/2012, C79000-G8978-C

66 Configuración con Security Configuration Tool 2.7 Administrar certificados ATENCIÓN Fecha y hora actuales en los módulos de seguridad Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará. Así se llega a esa función Comando de menú SCT: "Opciones" > "Administrador de certificados...". En las diferentes fichas se dispone de los siguientes botones: Botón Importar/exportar Descripción Importar y exportar certificados de dispositivo o CA que no se crearon en la SCT. Los certificados se transmiten al módulo de seguridad. Son posibles los siguientes formatos: *.pem (sólo certificado) *.crt (sólo certificado) *.p12 (certificado con las claves privadas correspondientes) Nota Los usuarios con el rol "diagnostics" no pueden realizar exportaciones. Mostrar Abre el cuadro de diálogo de certificados de Windows, en el que se muestra una vista general de todos los datos de certificado. Ficha "Entidades emisoras" Los certificados que se muestran aquí son generados por una entidad emisora. Certificados CA de un proyecto: Al crear un proyecto SCT nuevo, se genera un certificado CA para el proyecto. A partir de él se derivan los certificados SSL para los diferentes módulos de seguridad. Certificados de grupo CA: Al crear un grupo VPN nuevo, se genera un certificado CA para el grupo. 66 Manual de configuración, 03/2012, C79000-G8978-C286-01

67 Configuración con Security Configuration Tool 2.7 Administrar certificados Ficha "Certificados de dispositivos" Visualización de los certificados específicos de dispositivo que se generan para un módulo de seguridad. Aquí se incluyen: Certificados SSL: Para cada módulo de seguridad creado se genera un certificado SSL derivado de un certificado CA del proyecto. Se recurre a los certificados SSL para autentificar la comunicación entre PG o PC y el módulo de seguridad al cargar la configuración (no en el caso de CPs) y en el registro. Certificados de grupo: Además se genera un certificado de grupo para cada módulo de seguridad por cada grupo VPN en el que se encuentra. Ficha "Certificados de confianza y entidades emisoras de certificados de origen" Visualización de los certificados externos importados a SCT. Se pueden importar p. ej. certificados de servidor de servidores FTP externos o certificados de proyecto de otros proyectos SCT. El certificado externo importado se transmite a todos los CPs administrados en el proyecto SCT. El módulo de seguridad se identifica entonces con ese certificado p. ej. al acceder a un servidor FTPS. La configuración SCT en sí no utiliza el certificado importado. Visualización de las entidades emisoras necesarias para la verificación de los módulos de seguridad por servicios externos, como DynDNS. Manual de configuración, 03/2012, C79000-G8978-C

68 Configuración con Security Configuration Tool 2.7 Administrar certificados Renovar certificados Significado En este cuadro de diálogo se renuevan certificados y certificados CA. De ser necesario, por ejemplo en caso de un certificado comprometido, es posible importar un certificado o bien crear un certificado nuevo mediante la Security Configuration Tool. A esta función se accede del siguiente modo 1. Haga clic con la tecla derecha del ratón en una entrada de la lista en el administrador de certificados. 2. Elija la entrada "Renovar certificado...". 3. Seleccione si el nuevo certificado debe ser firmado por el usuario o por una entidad emisora. 4. Si el certificado debe ser firmado por una entidad emisora, seleccione con el botón "Seleccionar..." la entidad emisora que debe utilizarse. Para tal fin sólo están disponibles las entidades emisoras que están guardadas en la memoria de certificados del proyecto SCT actual. 5. Elija un período de validez para el certificado. Por defecto, en los campos "Válido desde:" y "Válido hasta:" se introducen la hora actual y el valor del certificado actual, respectivamente. 6. Introduzca los valores siguientes en función del certificado: 68 Manual de configuración, 03/2012, C79000-G8978-C286-01

69 Configuración con Security Configuration Tool 2.7 Administrar certificados Certificado a renovar Parámetros Solicitante Nombre alternativo del solicitante Certificados CA del proyecto Nombre del certificado CA - Certificado de grupo CA Nombre del certificado de - grupo CA Certificado SSL para CP S7 Nombre del módulo de seguridad Direcciones IP de las interfaces Gigabit y PROFINET, separadas con una coma. Certificado SSL para CP PC Certificado SSL para SCALANCE S, SCALANCE M y SOFTNET Security Client Certificado de grupo del módulo de seguridad Nombre del módulo de seguridad Nombre del módulo de seguridad Nombre del certificado de grupo Dirección IP del módulo de seguridad. - Derivado del CA. Configurar parámetros adicionales Haga clic en el botón "Configurar parámetros adicionales" para guardar datos como la dirección de Reemplazar certificados Significado En este cuadro de diálogo se reemplaza el certificado CA existente en el proyecto o el certificado de grupo CA por uno nuevo. A esta función se accede del siguiente modo 1. Haga clic con la tecla derecha del ratón en una entrada de la lista en la ficha "Entidades emisoras". 2. Elija la entrada "Reemplazar certificado...". 3. Aparece el cuadro de diálogo "Cambiar entidad emisora". Todos los certificados que aparecen en el campo "Certificados afectados" se vuelven a derivar. De este modo es posible reemplazar el certificado de grupo CA de un grupo VPN configurado previamente dentro del proyecto SCT por el certificado de grupo CA de otro proyecto SCT. Es decir, los certificados de grupo de los miembros del grupo VPN se derivan en ambos proyectos del mismo certificado de grupo CA. Si al cerrar el administrador de certificados aparace un cuadro de diálogo de advertencia, vuelva a cargar la configuración modificada en el módulo de seguridad. Manual de configuración, 03/2012, C79000-G8978-C

70 Configuración con Security Configuration Tool 2.7 Administrar certificados Qué formato puede tener el certificado? Del CA importado se derivan otros certificados en SCT. Por lo tanto sólo se pueden seleccionar certificados con clave privada: *.p12 70 Manual de configuración, 03/2012, C79000-G8978-C286-01

71 Crear módulos y ajustar parámetros de red 3 El presente capítulo le familiariza con la creación de módulos y con los ajustes que se pueden efectuar en un proyecto para los distintos módulos. El papel principal lo desempeñan al respecto los ajustes correspondientes a la función Firewall y la función NAT/NAPT Router de los módulos de seguridad. Nota Los ajustes de firewall que se pueden efectuar para los distintos módulos pueden influir también en la comunicación que se desarrolla a través de conexiones túnel IPsec en la red interna (VPN). Otras informaciones La configuración de túneles IPsec se describe con detalle en el capítulo siguiente de este manual. La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. F1 Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de diálogo SCT. ATENCIÓN Prestaciones y tipos de equipos Tenga en cuenta cuáles son las funciones asistidas por el tipo de equipo que utilice. Consulte también Funciones online - Test, Diagnóstico y Logging (Página 207) Manual de configuración, 03/2012, C79000-G8978-C

72 Crear módulos y ajustar parámetros de red Crear módulos en SCT - Cómo acceder a la función 1. En el área de navegación, seleccione el objeto "Todos los módulos" 2. Elija el comando de menú "Insertar" > "Módulo". 3. Realice los siguientes ajustes. Los parámetros de dirección del campo "Configuración" también se pueden introducir o modificar en el área de contenido. Encontrará información al respecto en el capítulo Parámetros del área de contenido (Página 75). 72 Manual de configuración, 03/2012, C79000-G8978-C286-01

73 Crear módulos y ajustar parámetros de red Parámetro Tipo de producto Módulo Versión del firmware Nombre del módulo Dirección MAC Dirección IP (ext.) Máscara de subred (ext.) Activar enrutamiento Dirección IP (int.) Sólo debe indicarse si está activado el modo de enrutamiento Significado Tipo de producto utilizado al crear un módulo. SCALANCE S SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x/MD74x) Dependiendo de la selección del tipo de producto, aquí se puede indicar un tipo de módulo, que se utilizará al crear un módulo nuevo. Elija la opción "VPN Client" para insertar un producto con capacidad VPN de otro fabricante. Nota El funcionamiento del archivo de configuración suministrado depende del producto correspondiente. Para los módulos SCALANCE S y el SOFTNET Security Client se pueden indicar aquí las versiones de firmware o software. Nombre del módulo de libre elección. Nota sobre la estructura de la dirección MAC: La dirección MAC consta de una parte fija y una variable. La parte fija ("dirección MAC básica") identifica al fabricante (Siemens, 3COM,...). La parte variable de la dirección MAC distingue las distintas estaciones Ethernet. Dirección IP inicial para la interfaz externa. Formato / rango de valores para la dirección IP La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej Rango de valores de la máscara de subred. Se propone acorde con la dirección IP indicada. La máscara de subred consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej Si activa esta opción, el módulo de seguridad se encontrará en el modo de enrutamiento. Dirección IP inicial para la interfaz interna. La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej Manual de configuración, 03/2012, C79000-G8978-C

74 Crear módulos y ajustar parámetros de red Parámetro Máscara de subred (int.) Sólo debe indicarse si está activado el modo de enrutamiento Guardar selección Significado Rango de valores de la máscara de subred. La máscara de subred se propone acorde con la dirección IP indicada. La máscara de subred consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej Si activa esta función, la configuración ajustada en ese momento se aplicará en los valores de inicialización estándar. Al insertar módulos nuevos ya no se abrirá el cuadro de diálogo "Selección de un módulo o configuración de software", sino que en el proyecto se insertará directamente un módulo acorde con los ajustes definidos. Para desactivar de nuevo esta función y seleccionar otro tipo de módulo, desactive la función en la siguiente ruta de menú: "Proyecto" > "Propiedades..." > "Valores de inicialización predeterminados" Nota Ajustes adicionales Los ajustes de puerto, las especificaciones para el puerto DMZ, la activación de PPPoE, etc. se realizan en la ficha "Interfaces". Encontrará información al respecto en el capítulo "Configurar interfaces (SCALANCE S) (Página 78)". Crear CPs en STEP 7 Los CPs sólo se crean en STEP 7. Aparecen en la lista de módulos configurados en SCT después de crear el módulo y definirlo como módulo de seguridad. Los datos de dirección se adoptan desde STEP 7 y no pueden modificarse en SCT. Consulte también Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 219) Dirección MAC (Página 221) 74 Manual de configuración, 03/2012, C79000-G8978-C286-01

75 Crear módulos y ajustar parámetros de red 3.1 Parámetros del área de contenido 3.1 Parámetros del área de contenido Cómo abrir la vista En el área de navegación, seleccione el objeto "Todos los módulos" Se visualizan por columnas las siguientes propiedades de los módulos: Propiedad/columna Significado Comentario/selección Nummer Número de módulo correlativo se asigna automáticamente Name Nombre de módulo unívoco. de libre elección Type Tipo de equipo Nota Para dispositivos del tipo de producto "SOFNET Configuration" no existe ningún cuadro de diálogo de propiedades. Para SCALANCE M, en el área de contenido solo pueden configurarse direcciones IP y las máscaras de subred. Dirección IP ext. Dirección IP a través de la cual se Asignación adecuada para la red. puede acceder al equipo en la red externa, p. ej. para cargar la configuración. Máscara de subred ext. Máscara de subred Asignación adecuada para la red. Dirección IP int. Dirección IP a través de la cual se Asignación adecuada para la red. puede acceder al equipo en la red El campo de entrada sólo puede interna, por ejemplo si está editarse si está activado el modo de configurado como router. enrutamiento. Máscara de subred int. Máscara de subred Asignación adecuada para la red. El campo de entrada sólo puede editarse si está activado el modo de enrutamiento. Router estándar Dirección IP del router estándar. Asignación adecuada para la red. Dirección MAC Dirección de hardware del módulo. La dirección MAC está impresa en la carcasa del módulo. Comentario Información tecnológicamente lógica sobre el módulo y la subred protegida por el módulo. de libre elección Manual de configuración, 03/2012, C79000-G8978-C

76 Crear módulos y ajustar parámetros de red 3.1 Parámetros del área de contenido Modificar los parámetros de dirección para SCALANCE S Para SCALANCE S es posible introducir y modificar los parámetros de dirección en el área de contenido. 76 Manual de configuración, 03/2012, C79000-G8978-C286-01

77 Crear módulos y ajustar parámetros de red 3.1 Parámetros del área de contenido Significado de los parámetros de dirección para CPs Para los CPs se muestran las siguientes direcciones de STEP 7: Campo en SCT CP x43-1 CP 1628 Dirección IP ext. Dirección IP Gigabit Dirección IP IE (Industrial Ethernet) Dirección IP int. Dirección IP PROFINET No se muestra Máscara de subred ext Máscara de subred int. Máscara de subred Gigabit Máscara de subred PROFINET Máscara de subred IE No se muestra Dirección MAC Dirección MAC Gigabit Dirección MAC IE También se muestran los datos de dirección en la ficha "Interfaces". Dirección IP asignada dinámicamente Si en STEP 7 se ha configurado que la dirección IP se asigne dinámicamente, dependiendo de los ajustes en SCT se indicará lo siguiente: Tabla 3-1 Interfaz Gigabit Modo de operación en STEP 7 Obtener la dirección IP de un servidor DHCP Dirección IP ext. / máscara de subred ext. dinámica Tabla 3-2 Interfaz PROFINET Modo de operación en STEP 7 Obtener la dirección IP de un servidor DHCP Ajustar la dirección IP en el programa de usuario Ajustar la dirección IP por otra vía Dirección IP ext. / máscara de subred int. dinámica dinámica dinámica Manual de configuración, 03/2012, C79000-G8978-C

78 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) 3.2 Configurar interfaces (SCALANCE S) Vista general de puertos Puertos soportados y posibilidades de conexión El SCALANCE S V3.0 soporta los siguientes puertos: Puerto rojo (eth0): Red no segura Puerto verde (eth1): Red segura Puerto amarillo (eth2): DMZ (zona desmilitarizada) o como acceso de telemantenimiento vía PPPoE Puerto amarillo como puerto DMZ El DMZ se utiliza para poner servicios a disposición de una red externa, pero la red interna que proporciona los datos debe permanecer desacoplada de la red externa. En el DMZ puede haber p. ej. servidores de terminal con programas de mantenimiento y diagnóstico instalados que permitan accesos definidos a sistemas determinados en la red segura. Sólo tienen acceso usuarios autorizados o clientes de la red no segura o clientes conectados vía VPN. Las reglas de cortafuegos pueden configurarse de tal forma que sea posible acceder desde Internet a dispositivos del puerto DMZ, pero no a la red interna en el puerto verde. Para una mayor protección, los accesos permitidos sólo pueden limitarse al tráfico de datos por VPN. Para poder asignar una dirección IP dinámica también a dispositivos del puerto DMZ, se puede activar en el puerto amarillo un servidor DHCP. No obstante, en ese caso hay que garantizar que los dispositivos de la DMZ reciban por DHCP siempre la misma dirección IP, ya que esas son las direcciones IP que deben utilizarse en la configuración de cortafuegos. Así, en la configuración DHCP no se puede utilizar la asignación dinámica de direcciones, sino sólo la estática a partir de la dirección MAC o de la ID de cliente. Puerto amarillo como puerto de telemantenimiento El puerto amarillo puede utilizarse como punto VPN final para poder utilizarlo como puerto de conexión con fines de telemantenimiento. En combinación con un módem DSL, el puerto amarillo funciona entonces en modo PPPoE o bien en combinación con un router DSL previo con dirección IP estática. Point to Point Protocol over Ethernet Para llamar a Internet / WAN se utiliza PPPoE. PPPoE puede configurarse en el puerto externo o en el puerto DMZ. 78 Manual de configuración, 03/2012, C79000-G8978-C286-01

79 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) Ajustes para el puerto externo con dirección mediante PPPoE Para permitir una conexión Internet/WAN directamente a través de un módem DSL, la asignación de la dirección IP se realiza en un puerto externo mediante PPPoE. PPPoE es un protocolo de llamada para la obtención de direcciones IP desde un Internet Service Provider (ISP). SCALANCE S funciona en ese caso en modo de enrutamiento. Nota Si hay configurado un router predeterminado, este no se tiene en cuenta si se utiliza PPPoE. Funciones de los diferentes puertos Las siguientes funciones pueden utilizarse en los distintos puertos: Función Verde (interno) Rojo (externo) Amarillo Modo de operación telemantenimiento Modo de operación DMZ Dirección IP estática Dirección IP dinámica (mediante PPPoE) x x - x - x x - Acceso WAN a - x x - través de módem (si no es en el (si no es en el o router DSL puerto amarillo) puerto rojo) Modo Bridge x - Modo de x x x enrutamiento Servidor DHCP x - - x Telemantenimient o con VPN - Con router DSL Con módem DSL Con router DSL Manual de configuración, 03/2012, C79000-G8978-C

80 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) Interfaces Enrutamiento de interfaz - Posibilidades de elección Si el módulo de seguridad no se encuentra en ningún grupo VPN, está ajustado automáticamente el modo para el enrutamiento de interfaz, y este puede modificarse en este campo. La selección es válida para los puertos 1 y 2. Si el módulo de seguridad se encuentra en un grupo VPN, el modo para el enrutamiento de interfaz no puede modificarse. Modo Bridge Modo de enrutamiento Para el uso en redes planas Los puertos externo e interno están en la misma subred IP. Para S623: El puerto DMZ debe estar en otra subred o encontrarse en el modo "OFF". Todos los puertos están en diferentes subredes IP. Nota Si ha activado el modo de enrutamiento para el módulo SCALANCE S, no podrán definirse reglas para cortafuegos MAC. Posibilidades de entrada para la asignación de direcciones estática Dirección IP con máscara de subred Servidor DNS, si se utiliza DNS dinámico Asignación de dirección mediante PPPoE La dirección IP es asignada por el ISP Resolución de FQDN (Full Qualified Domain Name) en direcciones IP Para resolver FQDNs se requieren servidores DNS, que devuelven la dirección IP correspondiente al FQDN. Introduzca el servidor DNS preferente y el alternativo. Asignación de IP mediante PPPoE: Los servidores DNS pueden adquirirse automáticamente mediante PPPoE. Sólo puede ajustarse para el puerto externo y para el puerto DMZ en el modo de operación "Telemantenimiento". Dirección MAC adicional Las direcciones MAC adicionales se derivan del siguiente modo: Dirección MAC (interna) = Dirección MAC impresa + 1 Dirección MAC (puerto DMZ) = dirección MAC impresa Manual de configuración, 03/2012, C79000-G8978-C286-01

81 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) Si se trabaja en redes planas (modo Bridge), la dirección MAC impresa es válida siempre tanto en la interfaz interna como en la externa. Ajustes adicionales para el puerto DMZ El puerto DMZ enruta siempre a los puertos externo e interno, incluso si el modo Bridge está seleccionado en el enrutamiento de interfaz. Nota Puerto externo y puerto DMZ como acceso a Internet El funcionamiento simultáneo de PPPoE en el puerto externo y en el puerto DMZ en el modo "Telemantenimiento" (Dual-ISP) no es posible. Campo Modo de operación Descripción Defina cómo debe utilizarse el puerto DMZ. Elija una de las siguientes opciones en función del uso deseado: DMZ: La asignación de IP mediante PPPoE no es posible. Telemantenimiento: El puerto está conectado directamente con Internet (ISP) a través de PPPoE. Asignación de IP En el modo de operación "DMZ" la asignación de IP es estática. En el modo de operación "Telemantenimiento", la dirección IP se asigna desde el ISP. Consulte también DNS dinámico (Página 82) Manual de configuración, 03/2012, C79000-G8978-C

82 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) DNS dinámico Qué es DNS dinámico? Con un DNS dinámico se puede acceder con un nombre determinado (FQDN) a una dirección IP siempre cambiante. Esto es necesario p. ej. para acceder a un servidor disponible a través de una dirección pública cambiante. Cómo funciona el DNS dinámico? El módulo de seguridad notifica a un proveedor para DNS dinámico (p. ej. DynDNS.org, noip.com) la IP WAN actual a través de la cual se puede acceder al módulo. El proveedor garantiza que las solicitudes de DNS al FQDN del módulo se respondan con la IP WAN del módulo. El DNS dinámico está permitido en los siguientes puertos: Puerto externo Puerto DMZ en el modo de operación "Telemantenimiento" Configurar DNS dinámico - Requisitos Requisitos: Se ha creado una cuenta en uno de los proveedores soportados para DNS dinámico y se ha registrado un FQDN. Si el módulo de seguridad se encuentra después de un router DSL, en la ficha "Interfaces" debe haber registrado un servidor DNS válido. Así se llega a esa función 1. En las propiedades del módulo de seguridad, elija la ficha "Interfaces". 2. Haga clic en el botón "Configuración avanzada...". 82 Manual de configuración, 03/2012, C79000-G8978-C286-01

83 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) 3. Elija la ficha "DNS dinámico". 4. Active la casilla de verificación "Activar servicio". 5. Realice los siguientes ajustes. Manual de configuración, 03/2012, C79000-G8978-C

84 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) Activar servicio DynDNS primario Ajustes IP Proveedor Cuenta de usuario del proveedor Contraseña del proveedor FQDN Vigilar el cambio de IP en el router DSL Elija el proveedor DynDNS en el que ha configurado una cuenta DynDNS. Indique el nombre de usuario que definió al crear la cuenta DynDNS. Indique la contraseña que definió al crear la cuenta DynDNS. Indique el nombre de host (p. ej. www) y el nombre de dominio (p. ej. abc.de) registrado en el proveedor DynDNS. Si el módulo de seguridad está conectado a Internet a través de un router DSL, activando esta función se activa el servicio de comprobación de IP. El módulo de seguridad envía periódicamente solicitudes para determinar la dirección IP actual del router DSL y para detectar un cambio de IP en el router DSL. Indique en qué ciclo debe llamarse el servicio de comprobación de IP. Periodo: minutos Resultado: Tras la introducción, en la vista online se muestra siempre la dirección IP pública actual en lugar del nombre de host indicado. Activar servicio DynDNS secundario Especifique un proveedor de actualización de DynDNS adicional para el caso de que fallase el primario. Además de la información del campo "Servicio DynDNS primario", realice las siguientes entradas: Ajustes IP URL de actualización de proveedor URL de servicio de comprobación de IP Ignorar errores al verificar el certificado del servidor En el caso de los proveedores predefinidos (DynDNS.org y No- IP.com), la URL ya aparece indicada. En el caso de los proveedores predefinidos (DynDNS.org y No- IP.com), la URL ya aparece indicada. Para que los datos de autenticación estén protegidos, el certificado del servidor de actualización DynDNS se verifica de forma estándar. Si la verificación del certificado falla, la conexión https se termina y los datos de la cuenta no se transmiten. Si se activa la casilla de verificación, la función se desactiva, p. ej. si el certificado de servidor del servicio DynDNS no es válido (p. ej. porque ha caducado). 84 Manual de configuración, 03/2012, C79000-G8978-C286-01

85 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) Ajustes de puertos Configuración de puertos Realice los ajustes de conexión para los puertos. Semidúplex: El módulo de seguridad sólo puede recibir o enviar datos en un momento determinado. Dúplex: El módulo de seguridad puede recibir y enviar datos simultáneamente. Seleccionar la velocidad de transmisión y el modo dúplex/semidúplex Proceda del siguiente modo: 1. En las propiedades del módulo de seguridad, elija la ficha "Interfaces". 2. Haga clic en el botón "Configuración avanzada...". 3. Elija la ficha "Configuración del puerto". Se soportan las siguientes velocidades de transmisión: Selección Descripción Autonegotiation La velocidad de transmisión y el modo dúplex/semidúplex se seleccionan automáticamente. Nota La función Autocrossing sólo se soporta si Autonegotiation está seleccionada. 10 Mbits/s, dúplex y semidúplex Velocidad de transmisión de 10 Mbits/s. 100 Mbits/s, dúplex y semidúplex Velocidad de transmisión de 100 Mbits/s. Manual de configuración, 03/2012, C79000-G8978-C

86 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) Conexión a Internet Parámetros adicionales Si se ha ajustado una conexión a través de PPPoE, realice los ajustes para el ISP. Proceda del siguiente modo 1. En las propiedades del módulo de seguridad, elija la ficha "Interfaces". 2. Seleccione el modo de operación "Telemantenimiento" para el puerto DMZ. 3. Haga clic en el botón "Configuración avanzada...". 4. Elija la ficha "Conexión a Internet". 5. Realice los siguientes ajustes: Función Nombre de usuario Contraseña Confirmación de contraseña Autenticación Descripción Introduzca el nombre para el inicio de sesión en la cuenta ISP. Introduzca la contraseña para el inicio de sesión en la cuenta ISP. Vuelva a introducir la contraseña para el inicio de sesión en la cuenta ISP. Seleccione uno de los siguientes protocolos de autenticación o ninguno: PAP (Password Authentication Protocol) CHAP (Challenge Handshake Authentication Protocol) Nota Ambos interlocutores deben utilizar el mismo método de autenticación; de lo contrario no se establece ninguna conexión. Ajustes de la cuenta ISP 86 Manual de configuración, 03/2012, C79000-G8978-C286-01

87 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) Función Conexión permanente Conexión bajo demanda Desconexión forzada Descripción Conexión continua a Internet. Si el proveedor deshace la conexión, esta se vuelve a establecer automáticamente, aunque no haya que enviar ningún paquete. La conexión a Internet se establece automáticamente si hay que enviar paquetes a Internet. Si no se envía ningún paquete dentro de un tiempo determinado, la conexión a Internet se deshace automáticamente. En el campo "Tiempo máx. de inactividad:" indique los minutos después de los cuales debe deshacerse la conexión. Valores permitidos: Se pueden producir retardos en el envío de los paquetes si primero hay que establecer la conexión a Internet. El proveedor deshace la conexión a Internet automáticamente tras un tiempo determinado. Si indica una hora en el campo "Desconexión forzada", el módulo de seguridad deshará por sí mismo la conexión a Internet a esa hora. De ese modo se evita una desconexión forzada dentro de un periodo inoportuno. Entradas permitidas: 00: :59 A continuación la conexión se establece según el tipo de conexión seleccionada: Permanente: La conexión a Internet se vuelve a establecer inmediatamente. Bajo demanda: La conexión a Internet se vuelve a establecer bajo demanda, p. ej. si hay que enviar paquetes a Internet. Ajustes de la conexión Manual de configuración, 03/2012, C79000-G8978-C

88 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S) 88 Manual de configuración, 03/2012, C79000-G8978-C286-01

89 Configurar el cortafuegos 4 Significado La función de cortafuegos de los módulos de seguridad protege redes y estaciones de influencias externas e interferencias. De ese modo, solo se permiten relaciones de comunicación determinadas, definidas previamente. Los telegramas no autorizados son rechazados por el cortafuegos sin enviar una respuesta. Para filtrar el tráfico de datos pueden utilizarse, entre otros, direcciones IP, subredes IP, números de puerto o direcciones MAC. Las funciones de Firewall se pueden configurar para los siguientes niveles de protocolo: Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (capa 2) El cortafuegos puede utilizarse para el tráfico de datos cifrado (túneles IPsec) y no cifrado. Reglas de Firewall Las reglas de cortafuego describen qué paquetes se permiten o prohíben en qué dirección. Reglas de cortafuegos automáticas para conexiones STEP 7 Para las conexiones configuradas en STEP 7 se crean automáticamente reglas de cortafuegos en la SCT, que habilitan al interlocutor. Se tienen en cuenta las direcciones de establecimiento de las conexiones. Las reglas solo pueden verse en el modo avanzado y solo pueden modificarse en él. Manual de configuración, 03/2012, C79000-G8978-C

90 Configurar el cortafuegos Configuración Se deben distinguir los dos vistas de operación: En el modo normal se recurre a reglas de cortafuegos sencillas y predefinidas. Sólo pueden habilitarse reglas específicas de servicio. Los servicios habilitados están permitidos para todas las estaciones y se autoriza el pleno acceso para la dirección indicada. En el modo avanzado se pueden definir ajustes de cortafuegos detallados. Se pueden habilitar servicios determinados para estaciones individuales o permitir para la estación todos los servicios para el acceso a ella o la red. En el modo avanzado hay que distinguir los siguientes conjuntos de reglas de cortafuegos: Reglas de Firewall locales están asignadas a un módulo en cada caso. Se configuran en el cuadro de diálogo de propiedades de los módulos. Las reglas globales para firewall se pueden asignar a varios módulos a un tiempo. Las reglas de cortafuegos específicas de usuario pueden asignarse a varios usuarios y a módulos de seguridad individuales. Adicionalmente se tiene la posibilidad de definir reglas de firewall de forma compacta y clara con ayuda de definiciones de servicios. Las definiciones de servicio se pueden utilizar tanto en las reglas de cortafuegos locales como globales. Además se puede establecer una limitación del ancho de banda. Activar el cortafuegos El cortafuegos se controla en los modos normal y avanzado activando la casilla de verificación "Activar cortafuegos". Si se desactiva dicha casilla, las reglas de cortafuegos registradas se siguen mostrando en la lista, pero no pueden modificarse. Si el módulo de seguridad está en un grupo VPN, la casilla de verificación está activada de forma predeterminada y no puede desactivarse. Activar ajustes de registro Dependiendo de la vista de manejo ajustada, la configuración será diferente. Mientras que en el modo normal el registro solo pueden activarse de forma general para algunos conjuntos de reglas predefinidos, en el modo avanzado se puede activar para cada regla de filtrado de paquetes. 90 Manual de configuración, 03/2012, C79000-G8978-C286-01

91 Configurar el cortafuegos 4.1 CPs en el modo normal 4.1 CPs en el modo normal Activar reglas de filtrado de paquetes Si activa la función de seguridad en STEP 7 para los CPs, primero estarán permitidos todos los accesos a y a través del CP. Para activar reglas de filtrado de paquetes individuales, haga clic en la casilla de verificación "Activar cortafuegos". A continuación autorice los servicios deseados. Las reglas de cortafuegos creadas automáticamente debido a una configuración de conexión tienen preferencia ante los servicios aquí ajustados. Todas las estaciones restantes tienen pleno acceso. Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones determinadas. Para cambiar al modo avanzado, haga clic en la casilla de verificación "Modo avanzado" Configuración de cortafuegos con VPN Si el módulo de seguridad está en un grupo VPN, la casilla de verificación "Solo comunicación tunelada" está activada de forma predeterminada. Eso significa que a través de la interfaz externa no puede pasar el túnel ninguna comunicación y sólo está permitida la transferencia de datos IPsec. Se crea automáticamente la regla de cortafuegos "Drop" > "Any" > "Externa". Si desactiva esta casilla de verificación, se permitirá la comunicación por túnel y adicionalmente los tipos de comunicación seleccionados en las otras casillas de opción. Manual de configuración, 03/2012, C79000-G8978-C

92 Configurar el cortafuegos 4.1 CPs en el modo normal CP x43-1-advanced Ajuste predeterminado del cortafuegos Comportamiento con ajuste predeterminado Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación "Activar cortafuegos" está activada. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado. Ajuste predeterminado para CP x43 Adv. Figura 4-1 Ajuste predeterminado para filtrado de paquetes IP CP x43-1 Adv. 1 Todos los tipos de telegramas de interna a externa están bloqueados. 2 Todos los telegramas de interna al módulo de seguridad están permitidos. 3 Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados (también ICMP-Echo-Request). 4 Se permiten telegramas de externo (nodos externos y módulos de seguridad externos) a módulos de seguridad del siguiente tipo: Protocolo ESP (codificación) IKE (protocolo para establecer los túneles IPsec) NAT-Traversal (protocolo para establecer los túneles IPsec) 5 La comunicación IP por túneles IPsec está permitida. 92 Manual de configuración, 03/2012, C79000-G8978-C286-01

93 Configurar el cortafuegos 4.1 CPs en el modo normal 6 Los telegramas del tipo Syslog y NTP se permiten de módulo de seguridad a externa y no se ven afectados por el cortafuegos. Nota Dado que Syslog es un protocolo no seguro, no es posible garantizar que los datos de registro se transmitan de forma segura. 7 Los telegramas de módulo de seguridad a interna y externa están permitidos. 8 Las respuestas a solicitudes de la red interna o del módulo de seguridad están permitidas. Figura 4-2 Ajuste predeterminado para filtrado de paquetes MAC CP x43-1 Adv. 1 Todos los telegramas de interna al módulo de seguridad están permitidos. 2 Todos los telegramas de externa al módulo de seguridad están bloqueados. 3 Todos los telegramas de externa al módulo de seguridad del siguiente tipo están permitidos. ARP con limitación de ancho de banda DCP PROFINET con limitación de ancho de banda LLDP 4 Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: ARP con limitación de ancho de banda DCP PROFINET con limitación de ancho de banda 5 Se permiten los siguientes protocolos enviados por túnel IPsec: ISO LLDP Manual de configuración, 03/2012, C79000-G8978-C

94 Configurar el cortafuegos 4.1 CPs en el modo normal Nota Ninguna comunicación pasa de largo por el túnel VPN Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El comportamiento tampoco puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado Configurar el cortafuegos Así se llega a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos". Tabla 4-1 Servicios y direcciones disponibles Servicio Comunicación IP permitida Protocolo S7 permitido Permitir FTP/FTPS (modo explícito) Estación externa Interna externa Externa interna Externa estación Externa estación Puertos permitidos Significado x x x - - Se permite el tráfico IP para las direcciones de comunicación seleccionadas. x x x - TCP puerto 102 x x x - TCP puerto 20 TCP puerto 21 Permitir HTTP x x x - TCP puerto 80 Permitir HTTPS x x x - TCP puerto 443 Permitir DNS x x - - TCP puerto 53 UDP puerto 53 Permitir SNMP x x x - TCP puerto 161/162 UDP puerto 161/162 Se permite la comunicación de las estaciones de red a través del protocolo S7. Para la administración de archivos y el acceso a ellos entre servidor y cliente. Para la comunicación con un servidor web. Para la comunicación segura con un servidor web, p. ej. diagnóstico web. Se permite la conexión con un servidor DNS. Para vigilar estaciones de red con capacidad SNMP. 94 Manual de configuración, 03/2012, C79000-G8978-C286-01

95 Configurar el cortafuegos 4.1 CPs en el modo normal Servicio Estación externa Interna externa Externa interna Externa estación Externa estación Puertos permitidos Permitir SMTP x x - - TCP puerto 25 Permitir NTP x x - - UDP puerto 123 Permitir comunicación en nivel MAC Permitir comunicación ISO Significado Para intercambiar s entre usuarios autentificados a través de un servidor SMTP. Para la sincronización de la hora x - Se permite el tráfico MAC de externa a la estación y vice versa x - Se permite el tráfico ISO de externa a la estación y vice versa. Tabla 4-2 Registro para conjuntos de reglas IP y MAC Conjunto de reglas Acción en caso de activación Regla creada Configuración del archivo de registros IP Acción De A Registro de paquetes tunelados Sólo está activado si el módulo de Allow Estación Túnel seguridad forma parte de un grupo VPN. Se registran todos los Allow Túnel Estación paquetes IP que se han transferido a través del túnel. Registro de paquetes entrantes bloqueados Se registran todos los paquetes IP Drop Externa Estación entrantes que han sido rechazados. Configuración del archivo de registros MAC Acción De A Registro de paquetes entrantes bloqueados a la estación Se registran todos los paquetes MAC entrantes que han sido rechazados. Drop Externa Estación Registro de paquetes salientes bloqueados a la estación Se registran todos los paquetes MAC salientes que han sido rechazados. Drop Estación Externa Nota El tráfico de datos a través de conexiones configuradas no se registra. Manual de configuración, 03/2012, C79000-G8978-C

96 Configurar el cortafuegos 4.1 CPs en el modo normal Configurar una lista de acceso Modificar una lista de acceso IP/entradas ACL La lista aparece si en la ficha Protección de acceso IP de STEP 7 está activada la casilla de verificación "Activar protección de acceso IP para comunicación IP". A través de las listas de acceso IP se define la protección de acceso para determinadas direcciones IP. Las entradas de la lista ya creadas en STEP 7 se muestran en SCT con los correspondientes permisos. El derecho "Modificar la lista Access (M)" que puede seleccionarse en STEP 7 no se transfiere a SCT. Para poder determinar los derechos de acceso IP adicionales, hay que asignar al usuario correspondiente en SCT el derecho "Web: Ampliar lista de control de acceso IP". ATENCIÓN Comportamiento modificado tras la migración Tras la migración, la protección de acceso sólo afecta a la interfaz externa. Para que la protección de acceso también afecte a la interfaz interna, configure las reglas de cortafuegos correspondientes en el modo avanzado de la SCT. El módulo de seguridad también responde a solicitudes ARP de direcciones IP no permitidas (capa 2). Si migra una lista IP Access Control sin entradas, el cortafuegos se activa y ya no es posible acceder al CP desde externa. Para que el CP sea accesible, configure las reglas de cortafuegos correspondientes en el modo avanzado de la SCT. Así se llega a esa función Comando de menú SCT: Seleccione el módulo que desea editar y elija el comando de menú "Editar" > "Propiedades ", ficha "Cortafuegos". Comando de menú STEP 7: "Protección de acceso IP" > "Inicio de la configuración de cortafuegos", botón "Ejecutar...". Tabla 4-3 Datos Parámetro Dirección IP Derechos Comentario Registro Activar el modo avanzado Significado Dirección IP o rango de direcciones IP permitidos. Según la asignación realizada. Derechos habilitados para la dirección IP. Introducción de un comentario adicional. Si activa la casilla de verificación, se registran las reglas en el registro de filtrado de paquetes. Si activa la casilla de verificación, las entradas se convertirán a las siguientes reglas de cortafuegos. 96 Manual de configuración, 03/2012, C79000-G8978-C286-01

97 Configurar el cortafuegos 4.1 CPs en el modo normal Tabla 4-4 Botones Denominación Nuevo Modificar Eliminar Significado / repercusión Cree una dirección IP o un rango de direcciones IP con los derechos correspondientes. Seleccione una entrada y haga clic en este botón para editar la entrada ya existente. Con este botón se borra la entrada seleccionada Agregar una entrada a la lista de acceso Realice los siguientes ajustes Campo Dirección IP (o inicio del rango de IP) Fin del rango de IP (opcional) Comentario Esta dirección IP está autorizada para Descripción Introduzca la dirección IP o el valor inicial de un rango de IP. Introduzca el valor final de un rango de IP. Entrada de un comentario adicional; por ejemplo, para describir el interlocutor o el área de direccionamiento. Acceso a equipo (A=Access): Los interlocutores cuyas direcciones estén dentro del área indicada tienen acceso al equipo perteneciente al CP (CP / CPU). Esta autorización de acceso es implícita para direcciones IP indicadas en la configuración de enlaces (rige sólo para enlaces especificados). Enrutamiento IP a otra subred (R=Routing): Los interlocutores cuyas direcciones estén dentro del área indicada tienen acceso a otras subredes conectadas al CP. Esta autorización de acceso no se otorga automáticamente para direcciones IP indicadas en la configuración de enlaces. En caso necesario hay que ajustar aquí este derecho de acceso de forma explícita. Otras reglas de entrada: Se comprueba si se repiten direcciones individuales (con esto se detecta: direcciones individuales introducidas de forma múltiple; solapamientos de áreas). Las direcciones IP indicadas individualmente pueden aparecer además dentro de un área; entonces rigen todas las autorizaciones de acceso asignadas a una dirección IP. No se comprueba si en un área se incluyen direcciones no válidas (por ejemplo, pueden indicarse aquí direcciones broadcast de subred aunque no pueden aparecer como dirección IP de un remitente). Manual de configuración, 03/2012, C79000-G8978-C

98 Configurar el cortafuegos 4.1 CPs en el modo normal CP Ajuste predeterminado del cortafuegos Comportamiento con ajuste predeterminado Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación "Activar cortafuegos" está activada. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado. Ajuste predeterminado para CP Figura 4-3 Ajuste predeterminado para filtrado de paquetes IP CP Se permiten todos los telegramas de las interfaces NDIS e IE (Industrial Ethernet) a externa. 2 Todos los telegramas de interna a externa están bloqueados. 3 Todos los telegramas de externa al módulo de seguridad y vice versa del siguiente tipo están permitidos: Protocolo ESP (codificación) IKE (protocolo para establecer los túneles IPsec) 98 Manual de configuración, 03/2012, C79000-G8978-C286-01

99 Configurar el cortafuegos 4.1 CPs en el modo normal 4 La comunicación IP por túneles IPsec está permitida. 5 Telegramas del tipo Syslog se permiten de módulo de seguridad a externa Figura 4-4 Ajuste predeterminado para filtrado de paquetes MAC CP Todos los telegramas de interna a externa están bloqueados. 2 Están permitidos todos los telegramas de externa del siguiente tipo: ARP con limitación de ancho de banda DCP PROFINET con limitación de ancho de banda 3 Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: DCP PROFINET con limitación de ancho de banda 4 Se permiten protocolos MAC enviados por túneles IPsec. Nota Ninguna comunicación pasa de largo por el túnel VPN Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El comportamiento tampoco puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado. Manual de configuración, 03/2012, C79000-G8978-C

100 Configurar el cortafuegos 4.1 CPs en el modo normal Configurar el cortafuegos Así se llega a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos". Tabla 4-5 Servicios y direcciones disponibles Servicio Comunicación IP permitida Externa estación Externa estación Puertos permitidos Significado x - - Se permite el tráfico IP para las direcciones de comunicación seleccionadas. Protocolo S7 permitido x - TCP puerto 102 Se permite la comunicación de las estaciones de red a través del protocolo S7. Permitir FTP/FTPS (modo explícito) x - TCP puerto 20 TCP puerto 21 Para la administración de archivos y el acceso a ellos entre servidor y cliente. Permitir HTTP x - TCP puerto 80 Para la comunicación con un servidor web. Permitir HTTPS x - TCP puerto 443 Para la comunicación segura con un servidor web, p. ej. diagnóstico web. Permitir DNS x - TCP puerto 53 UDP puerto 53 Se permite la conexión con un servidor DNS. Permitir SNMP x - TCP puerto 161/162 UDP puerto 161/162 Para vigilar estaciones de red con capacidad SNMP. Permitir SMTP x - TCP puerto 25 Para intercambiar s entre usuarios autentificados a través de un servidor SMTP. Permitir NTP x - UDP puerto 123 Para la sincronización de la hora. Permitir comunicación en nivel MAC Permitir comunicación ISO - x - Se permite el tráfico MAC de externa a la estación y vice versa. - x - Se permite el tráfico ISO de externa a la estación y vice versa. Permitir SiClock - x - Se permiten telegramas de hora SiClock de externa a la estación y vice versa. 100 Manual de configuración, 03/2012, C79000-G8978-C286-01

101 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Tabla 4-6 Registro para conjuntos de reglas IP y MAC Conjunto de reglas Acción en caso de Regla creada activación Configuración del archivo de registros IP Acción De A Registro de paquetes tunelados Registro de paquetes entrantes bloqueados Sólo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes IP que se han transferido a través del túnel. Se registran todos los paquetes IP entrantes que han sido rechazados. Allow Estació n Túnel Allow Túnel Estació n Drop Externa Estació n Configuración del archivo de registros MAC Acción De A Registro de paquetes entrantes bloqueados Registro de paquetes salientes bloqueados Se registran todos los paquetes MAC entrantes que han sido rechazados. Se registran todos los paquetes MAC salientes que han sido rechazados. Drop Externa Estació n Drop Estació n Externa Nota El tráfico de datos a través de conexiones configuradas no se registra. 4.2 SCALANCE S en el modo normal Preajuste del firewall Comportamiento con preajuste Los diagramas siguientes muestran en detalle los ajustes estándar para el filtro de paquetes IP y el filtro de paquetes MAC. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado. Manual de configuración, 03/2012, C79000-G8978-C

102 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Ajuste predeterminado para SCALANCE S El preajuste del firewall se ha elegido de forma que no sea posible tráfico de datos IP. Sólo a través de los posibles túneles IPsec configurados se permite la comunicación entre los nodos de las redes internas de módulos de seguridad Figura 4-5 Ajuste predeterminado para el filtrado de paquetes IP SCALANCE S 1 Todos los tipos de telegramas de interna a externa están bloqueados. 2 Todos los telegramas de interna al módulo de seguridad están permitidos. 3 Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados (también ICMP-Echo-Request). 4 Se permiten telegramas de externo (nodos externos y módulos de seguridad externos) a módulos de seguridad del siguiente tipo: HTTPS (SSL) Protocolo ESP (codificación) IKE (protocolo para establecer el túnel IPsec) NAT-Traversal (protocolo para establecer el túnel IPsec) 5 La comunicación IP por el túnel IPsec está permitida. 6 Telegramas del tipo Syslog y NTP se permiten de módulo de seguridad a externa. 102 Manual de configuración, 03/2012, C79000-G8978-C286-01

103 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Figura 4-6 Ajuste predeterminado para el filtrado de paquetes MAC SCALANCE S 1 Todos los tipos de telegramas de interna a externa están bloqueados. 2 Todos los telegramas de interna al módulo de seguridad están permitidos. 3 Los telegramas ARP de interno a externo están permitidos. 4 Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados. 5 Se permiten telegramas de externo a interno del siguiente tipo: ARP con limitación de ancho de banda 6 Están permitidos los telegramas de externa a módulos de seguridad del siguiente tipo: ARP con limitación de ancho de banda DCP PROFINET con limitación de ancho de banda 7 Se permiten protocolos MAC enviados por túnel IPsec. Manual de configuración, 03/2012, C79000-G8978-C

104 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Configurar el cortafuegos V3.0 Así se llega a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos". Cortafuegos activado de forma predeterminada La casilla de verificación "Activar cortafuegos" está activada de forma predeterminada. Así, el cortafuegos está activado automáticamente y todos los accesos de externa al módulo de seguridad están bloqueados. Habilite las reglas de cortafuegos para las distintas direcciones activando las casillas de verificación correspondientes. Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones determinadas. Configuración de cortafuegos con VPN Si el módulo de seguridad está en un grupo VPN, la casilla de verificación "Solo comunicación tunelada" está activada de forma predeterminada. Eso significa que a través de la interfaz externa no puede pasar el túnel ninguna comunicación y sólo está permitida la transferencia de datos IPsec. Si desactiva esta casilla de verificación, se permitirá la comunicación por túnel y adicionalmente los tipos de comunicación seleccionados en las otras casillas de opción. Tabla 4-7 Reglas de cortafuegos y direcciones disponibles Servicio Permitir tráfico IP Protocolo S7 permitido Permitir FTP/FTPS (modo explícito) Permitir HTTP Permitir HTTPS Interna Externa Externa interna De interna De externa Puertos permitidos Significado x x Se permite el tráfico IP para las direcciones de comunicación seleccionadas. x x - - TCP puerto 102 Se permite la comunicación de las estaciones de red a través del protocolo S7. x x - - TCP puerto 20 Para la administración de archivos y el acceso a TCP puerto 21 ellos entre servidor y cliente. x x - - TCP puerto 80 Para la comunicación con un servidor web. x x - - TCP puerto 443 Para la comunicación segura con un servidor web, p. ej. diagnóstico web. Se permite la conexión con un servidor DNS. UDP puerto 53 Permitir DNS x x - - TCP puerto Manual de configuración, 03/2012, C79000-G8978-C286-01

105 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Servicio Permitir SNMP Permitir SMTP Interna Externa Externa interna De interna De externa Puertos permitidos x x - - TCP puerto 161/162 UDP puerto 161/162 Significado Para vigilar estaciones de red con capacidad SNMP. x x - - TCP puerto 25 Para intercambiar s entre usuarios autentificados a través de un servidor SMTP. Permitir NTP x x - - UDP puerto 123 Para la sincronización de la hora. Permitir x x - - DHCP Permitir comunicació n en nivel MAC Permitir protocolo ISO Permitir SiClock - - x x - Se permite el tráfico MAC de externa a la estación y vice versa. - - x x - Se permite el tráfico ISO de externa a la estación y vice versa. - - x x - Se permiten telegramas de hora SiClock de externa a la estación y vice versa. Permitir DCP - - x x - Tabla 4-8 Registro para conjuntos de reglas IP y MAC Conjunto de reglas Acción en caso de activación Configuración del archivo de registros IP Registro de paquetes tunelados Sólo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes IP que se han transferido a través del túnel. Registro de paquetes entrantes bloqueados Registro de paquetes salientes bloqueados Se registran todos los paquetes IP entrantes que han sido rechazados. Se registran todos los paquetes IP salientes que han sido rechazados. Configuración del archivo de registros MAC Registro de paquetes tunelados Sólo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes MAC que se han transferido a través del túnel. Registro de paquetes entrantes bloqueados Registro de paquetes salientes bloqueados Se registran todos los paquetes MAC entrantes que han sido rechazados. Se registran todos los paquetes MAC salientes que han sido rechazados. Manual de configuración, 03/2012, C79000-G8978-C

106 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Configurar el cortafuegos < V3.0 Así se llega a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos". Nota Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones determinadas. Para cambiar al modo avanzado, haga clic en la casilla de verificación "Modo avanzado" Tabla 4-9 Servicios y direcciones disponibles Regla/opción Puertos permitidos Función Solo comunicación tunelada Permitir tráfico IP de la red interna a la externa Permitir tráfico IP con protocolo S7 de la red interna a la externa. Permitir acceso al servidor DHCP de la red interna a la externa. Permitir acceso al servidor NTP de la red interna a la externa. - Éste es el ajuste predeterminado. La opción sólo se puede seleccionar si el módulo se encuentra en un grupo. Con este ajuste sólo se permite la transferencia codificada de datos por IPsec; sólo nodos de la red interna de SCALANCE S pueden comunicarse entre sí. Si esta opción está desactivada, se permite la comunicación tunelada y adicionalmente el tipo de comunicación seleccionado en las otras casillas de opción. - Los nodos internos pueden iniciar una comunicación con nodos de la red externa. Sólo se transmiten a la red interna telegramas de respuesta procedentes de la red externa. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. TCP puerto 102 Los nodos internos pueden iniciar una conexión S7 con nodos de la red externa. Sólo se transmiten a la red interna telegramas de respuesta procedentes de la red externa. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. UDP puerto 67 Los nodos internos pueden iniciar una comunicación con un servidor UDP puerto 68 DHCP de la red externa. Sólo los telegramas de respuesta del servidor DHCP se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. UDP puerto 123 Los nodos internos pueden iniciar una comunicación con un servidor NTP (Network Time Protocol) de la red externa. Sólo los telegramas de respuesta del servidor NTP se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. 106 Manual de configuración, 03/2012, C79000-G8978-C286-01

107 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Regla/opción Puertos permitidos Función Permitir telegramas horarios de SiClock de la red externa a la interna. Permitir acceso al servidor DNS de la red interna a la externa. Permitir la configuración de nodos de red internos DCP de la red externa a la interna. - Con esta opción se habilitan telegramas horarios SiClock de la red externa a la interna. TCP puerto 53 UDP puerto 53 Los nodos internos pueden iniciar una comunicación con un servidor DNS de la red externa. Sólo los telegramas de respuesta del servidor DNS se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. - El protocolo DCP es utilizado por la PST-Tool para realizar, en el caso de componentes de red SIMATIC Net, el bautismo de nodos (ajuste de los parámetros IP). Con esta regla se permite a nodos de la red externa acceder a nodos de la red interna mediante protocolo DCP. Tabla 4-10 Registro para conjuntos de reglas IP y MAC Conjunto de reglas Acción en caso de activación Configuración del archivo de registros IP Registro de paquetes tunelados Sólo si el módulo de seguridad forma parte de un grupo VPN: Se registran todos los paquetes IP que se han transferido a través del túnel. Registro de paquetes entrantes bloqueados Registro de paquetes salientes bloqueados Configuración del archivo de registros MAC Registro de paquetes entrantes bloqueados Registro de paquetes salientes bloqueados Se registran todos los paquetes IP entrantes que han sido rechazados. Se registran todos los paquetes IP salientes que han sido rechazados. Se registran todos los paquetes MAC entrantes que han sido rechazados. Se registran todos los paquetes MAC salientes que han sido rechazados. Manual de configuración, 03/2012, C79000-G8978-C

108 Configurar el cortafuegos 4.3 En el modo avanzado 4.3 En el modo avanzado En el modo avanzado existen posibilidades de ajuste adicionales, que permiten personalizar las reglas de cortafuegos y las funciones de seguridad. Cambiar al modo avanzado Para todas las funciones descritas en este capítulo, cambie al modo avanzado. Nota No se puede regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual, una vez cambiado al modo avanzado ya no se puede regresar. Soluciones para SCT standalone: Cierre el proyecto sin guardarlo y vuelva a abrirlo. Se da soporte a nombres simbólicos En las funciones descritas a continuación puede introducir tanto direcciones IP o MAC como nombres simbólicos Configurar firewall A diferencia de la configuración de reglas de filtrado de paquetes predeterminadas de forma fija en el modo normal, en el modo avanzado de la Security Configuration Tool se pueden configurar reglas personalizadas para el filtrado de paquetes. Las reglas de filtrado de paquetes se ajustan en fichas seleccionables para los siguientes protocolos: Protocolo IP (capa/layer 3) Protocolo MAC (Nivel/Layer 2) Nota Sin reglas MAC con el modo de enrutamiento activado Si ha activado el modo de enrutamiento para el módulo de seguridad, no tienen aplicación las reglas MAC (los cuadros diálogo están inactivos). Si no introduce ninguna regla en los cuadros de diálogo que se describen a continuación, rigen los ajustes predeterminados conforme a lo descrito en el capítulo CPs en el modo normal (Página 91). 108 Manual de configuración, 03/2012, C79000-G8978-C286-01

109 Configurar el cortafuegos 4.3 En el modo avanzado Es posible la definición global, específica de usuario y local Reglas de Firewall globales Una regla global para firewall se puede asignar a varios módulos a un tiempo. Esta posibilidad simplifica en muchos casos la configuración. Reglas de cortafuegos específicas de usuario Una regla de cortafuegos específica de usuario puede asignarse a uno o varios usuarios y a continuación a diferentes módulos de seguridad. Reglas de Firewall locales Una regla de firewall local está asignada a un módulo en cada caso. Se configura en el diálogo de propiedades de un módulo. A un módulo se le pueden asignar varias reglas de cortafuegos locales, varias globales y varias definidas por usuario Reglas globales del cortafuegos Aplicación Las reglas de firewall globales se configuran fuera de los módulos, a nivel de proyecto. Pueden verse en el área de navegación de la Security Configuration Tool. Dentro de las reglas de cortafuegos globales, se distingue entre: Reglas de cortafuegos IP Reglas de cortafuegos MAC Se pueden definir reglas de Firewall globales para: bloques de reglas IP bloques de reglas MAC La representación siguiente ilustra la relación entre los bloques de reglas de definición global y los bloques de reglas utilizados a nivel local. Manual de configuración, 03/2012, C79000-G8978-C

110 Configurar el cortafuegos 4.3 En el modo avanzado Cuándo son convenientes las reglas de cortafuegos IP y MAC? Las reglas de cortafuegos globales son convenientes cuando se desean definir criterios de filtrado idénticos para la comunicación. Nota Asignar sólo juegos de reglas soportados por módulos de seguridad Una asignación de módulos incorrecta puede derivar en resultados no deseados. Por ello, compruebe siempre los resultados de las reglas de cortafuegos locales específicas del módulo. La asignación incorrecta de las reglas no se detecta en la verificación de consistencia automática. Sólo se aplican las reglas que realmente son soportadas por el módulo de seguridad. Consulte también Reglas del cortafuegos definidas por el usuario (Página 112) 110 Manual de configuración, 03/2012, C79000-G8978-C286-01

111 Configurar el cortafuegos 4.3 En el modo avanzado Conjuntos de reglas de cortafuegos globales - Convenios Las reglas de cortafuegos globales se utilizan localmente Para la creación de un conjunto de reglas de cortafuegos global y la asignación a un módulo rigen los siguientes convenios: Vista en la Security Configuration Tool Las reglas de cortafuegos globales solo se pueden crear en el modo avanzado. Prioridad Reglas de cortafuegos IP y MAC globales: Las reglas definidas localmente tienen de forma predeterminada una mayor prioridad que las globales; por ello, las reglas globales IP y MAC de nueva asignación se agregan primero al final de la lista de reglas local. La prioridad se puede modificar cambiando el emplazamiento en la lista de reglas. Granularidad Las reglas de cortafuegos globales solo se pueden asignar a un módulo de seguridad como un bloque de reglas completo. Introducir, modificar o borrar juegos de reglas Las reglas de Firewall globales no se pueden editar en la lista de reglas de Firewall locales de las propiedades del módulo. Allí sólo se pueden ver y emplazar según la prioridad deseada Una regla individual no puede borrarse de un conjunto de reglas asignado. Sólo se puede borrar de la lista de reglas local el conjunto de reglas completo; de ese modo no se altera la definición en la lista de reglas global Ajustar y asignar conjuntos de reglas de cortafuegos globales Así se llega a esa función 1. Seleccione una de las siguientes carpetas en el área de navegación: "Conjuntos de reglas FW globales" > "Conjuntos de reglas IP FW" "Conjuntos de reglas FW globales" > "Conjuntos de reglas MAC FW" 2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos". 3. Introduzca los datos siguientes: Nombre: Designación unívoca del conjunto de reglas para todo el proyecto; el nombre aparece en la lista de reglas del módulo de seguridad tras la asignación del conjunto de reglas. Descripción: Introduzca la descripción del conjunto de reglas global. 4. Haga clic en el botón "Agregar regla". Manual de configuración, 03/2012, C79000-G8978-C

112 Configurar el cortafuegos 4.3 En el modo avanzado 5. Introduzca las reglas de cortafuegos en la lista en orden. Observe la descripción de los parámetros en los siguientes capítulos: Para conjuntos de reglas IP: Reglas de filtrado de paquetes IP (Página 118). Para conjuntos de reglas MAC: Reglas para filtrado de paquetes MAC (Página 128). 6. Asigne las reglas de cortafuegos globales a los módulos en los que se deban aplicar. Seleccione para ello un módulo en el área de navegación y arrástrelo al conjunto de reglas global adecuado en el área de navegación (Drag and Drop). Resultado El conjunto de reglas global del módulo de seguridad asignado se utiliza como conjunto de reglas local y aparece automáticamente en la lista de reglas de cortafuegos específica del módulo. Consulte también Conjuntos de reglas de cortafuegos globales - Convenios (Página 111) Reglas del cortafuegos definidas por el usuario Cuándo conviene asignar reglas de cortafuegos IP a un usuario? Las reglas de cortafuegos IP se asignan primero a uno o varios usuarios y a continuación a diferentes módulos de seguridad. De ese modo es posible permitir accesos específicos de usuario. Si, p. ej. están bloqueados de forma predeterminada todos los accesos a las redes situadas después de un módulo de seguridad, podrán habilitarse direcciones IP determinadas para un usuario. El usuario tiene así el acceso permitido, mientras que este permanece bloqueado para otros usuarios. Inicio de sesión del usuario a través de Internet El usuario puede iniciar sesión en el módulo de seguridad a través de una página web. Si la autenticación es correcta, para ese usuario se activa un conjunto de reglas predefinido. La conexión con el módulo de seguridad se realiza vía HTTPS utilizando la dirección IP de los puertos enlazados y observando las reglas de enrutamiento aplicables: Ejemplo: Puerto externo: Inicio de sesión mediante: Pueden iniciar sesión los usuarios que tengan los roles administrator, diagnostics o remote access siempre que estos estén asignados a una regla de cortafuegos. 112 Manual de configuración, 03/2012, C79000-G8978-C286-01

113 Configurar el cortafuegos 4.3 En el modo avanzado Las reglas de cortafuegos específicas de usuario se utilizan localmente - Convenios Rigen los mismos convenios que en el capítulo Conjuntos de reglas de cortafuegos globales - Convenios (Página 111) Ajustar y asignar reglas de cortafuegos específicas de usuario Así se llega a esa función 1. Seleccione la carpeta "Conjuntos de reglas IP esp. de usuario". 2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos". 3. Introduzca los datos siguientes: Nombre: Designación unívoca del conjunto de reglas para todo el proyecto; el nombre aparece en la lista de reglas del módulo de seguridad tras la asignación del conjunto de reglas. Descripción: Introduzca la descripción del conjunto de reglas específico de usuario. 4. Haga clic en el botón "Agregar regla". 5. Introduzca las reglas de cortafuegos en la lista en orden. Tenga en cuenta la descripción de los parámetros del capítulo Reglas de filtrado de paquetes IP (Página 118). 6. Asigne la regla a uno o varios usuarios. Nota Asignación de conjuntos de reglas específicos de usuario A un grupo sólo se le puede asignar un conjunto de reglas específico de usuario por usuario. Con la asignación se activa para todos los roles de los usuarios definidos en el conjunto de reglas el derecho "El usuario puede iniciar sesión en el módulo". 7. Asigne las reglas de cortafuegos específicas de usuario a los módulos de seguridad en los que se deban aplicar. Seleccione para ello un módulo en el área de navegación y arrástrelo al conjunto de reglas específico de usuario adecuado en el área de navegación (Drag and Drop). Manual de configuración, 03/2012, C79000-G8978-C

114 Configurar el cortafuegos 4.3 En el modo avanzado Resultado El módulo de seguridad asignado utiliza el conjunto de reglas específico de usuario como conjunto de reglas local y el conjunto aparece automáticamente en la lista de reglas de cortafuegos específicas del módulo. El usuario puede iniciar sesión en el módulo de seguridad. Rangos de valores para timeout. El tiempo tras el cual se cierra automáticamente la sesión del usuario (timeout) es de 30 minutos Reglas de cortafuegos automáticas referidas a conexiones Reglas de cortafuegos creadas automáticamente en SCT Para la siguiente aplicación se crean reglas de cortafuegos automáticamente: Conexiones configuradas en STEP Manual de configuración, 03/2012, C79000-G8978-C286-01

115 Configurar el cortafuegos 4.3 En el modo avanzado Reglas de cortafuegos para conexiones configuradas Si hay conexiones creadas en STEP 7, en la SCT se generan automáticamente reglas de cortafuegos para ellas. Para ello se realiza una comparación de sistema entre STEP 7 y SCT, en la que se comprueban todas las conexiones del proyecto. Se comparan automáticamente la dirección IP, la acción y la interfaz para cada interlocutor. Para cada interlocutor se generan 2 reglas independientemente del número de conexiones. Nota Habilitar manualmente conexiones UDP Multicast y UDP Broadcast Para las conexiones UDP Multicast y UDP Broadcast no se crean reglas de cortafuegos automáticas. Para habilitar las conexiones, inserte las correspondientes reglas de cortafuegos manualmente en el modo avanzado. Dependiendo de cómo esté configurado el establecimiento de conexión en STEP 7, en SCT se crean las siguientes reglas de cortafuegos de 3 niveles: CP->externa Acción De A Activo Pasivo Activo y pasivo Allow Estación Externa Drop Externa Estación Drop Estación Externa Allow Externa Estación Allow Externa Estación Allow Estación Externa Si el módulo de seguridad se encuentra en un grupo VPN, la dirección "Externa" cambia a "Túnel". CP->interna Acción De A Activo Pasivo Activo y pasivo Allow Estación Interna Drop Interna Estación Drop Estación Interna Allow Interna Estación Allow Interna Estación Allow Estación Interna Para las conexiones de nivel 2 solo se crean reglas "Allow". Manual de configuración, 03/2012, C79000-G8978-C

116 Configurar el cortafuegos 4.3 En el modo avanzado Convenios para reglas de cortafuegos creadas automáticamente Prioridad Las reglas tienen la máxima prioridad, por lo que en la lista de reglas se incorporan en la parte superior. Modificar o borrar reglas Los conjuntos de reglas no se pueden borrar. El registro puede activarse y pueden asignarse servicios. Además es posible insertar el ancho de banda y un comentario. Cambiar una acción Si en la SCT cambia la acción "Allow" a "Drop" o vice versa, estos se sobrescribirán en la siguiente comparación del sistema. Si los cambios realizados deben conservarse, elija como acción "Allow*" o "Drop*". En ese caso solo se compara la dirección IP con STEP 7 y la acción y la dirección se mantienen de la forma ajustada. Si la dirección no está disponible en STEP 7, la regla se borra de la lista. Los ajustes de registro, servicio, ancho de banda y comentario en la SCT se conservan aunque se produzca una nueva comparación de sistema con STEP 7. Módulo de seguridad en grupo VPN La casilla de verificación "Solo comunicación tunelada" está activada de forma predeterminada. Si desactiva la casilla, la comunicación puede pasar a través del túnel o pasar de largo. La comunicación se produce fuera del túnel si la dirección del interlocutor pertenece a una estación conocida en la SCT con la que no hay configurado ningún túnel VPN. La comunicación transcurre a través del túnel VPN si la dirección del interlocutor es un punto final VPN. Si no es posible asignar unívocamente si una conexión debe transcurrir por dentro o por fuera del túnel VPN, la conexión se asigna al túnel VPN y se muestra la indicación correspondiente. La asignación puede adaptarse en el modo avanzado, p. ej. cambiando la dirección "De" "Túnel" a "Externa". Nota En caso de ser necesario garantizar que solo sea posible la comunicación a través del túnel, cree las reglas de cortafuegos correspondientes en el modo avanzado, p. ej. para estaciones internas o direcciones NDIS. Para permitir exclusivamente la comunicación tunelada para un CP, inserte una regla "Drop" > "Any" > "Estación" al final de las reglas de cortafuegos. 116 Manual de configuración, 03/2012, C79000-G8978-C286-01

117 Configurar el cortafuegos 4.3 En el modo avanzado Ajuste de reglas de filtros de paquetes IP locales Por medio de reglas de filtrado de paquetes IP se pueden filtrar telegramas IP como por ejemplo telegramas UDP, TCP, ICMP. Dentro de una regla de filtro de paquetes IP puede recurrir a definiciones de servicios para así delimitar aún más los criterios de filtrado. Si no indica ningún servicio, la regla de paquetes IP es válida para todos los servicios. Abrir el cuadro de diálogo para reglas locales de filtrado de paquetes IP SCT: Seleccione el módulo a editar y elija el comando de menú "Editar" > "Propiedades...", ficha "Firewall". STEP 7: Haga clic en el botón "Ejecutar" de la ficha "Firewall" que está ubicado junto a "Inicio de la configuración de seguridad" en la ficha "Seguridad". Manual de configuración, 03/2012, C79000-G8978-C

118 Configurar el cortafuegos 4.3 En el modo avanzado Registrar reglas de filtrado de paquetes IP Introduzca correlativamente las reglas de firewall en la lista; observe la siguiente descripción de parámetros y los ejemplos en el capítulo siguiente o en la ayuda en pantalla. Utilizar los conjuntos de reglas globales y definidas por el usuario Los conjuntos de reglas globales y definidas por el usuario asignados al módulo se adoptan automáticamente en el conjunto de reglas locales. Si el conjunto de reglas aparece al final de la lista de reglas, será procesado con la prioridad más baja. Es posible modificar la prioridad cambiando la posición en la lista de reglas. La ayuda en pantalla le explica el significado de los distintos botones. F Reglas de filtrado de paquetes IP Las reglas de filtrado de paquetes IP se editan según las siguientes evaluaciones: Parámetros registrados en la regla; Orden y la correspondiente prioridad de las reglas dentro del bloque de reglas. Parámetros La configuración de una regla IP contiene los siguientes parámetros: Denominación Significado/comentario Posibilidades de selección/rangos de valores Acción De/A Dirección IP de origen Dirección IP de destino Definición de la autorización (habilitación/bloqueo) Las direcciones de comunicación permitidas. Dirección de origen de los paquetes IP Dirección de destino de los paquetes IP Allow Autorizar telegramas según definición. Drop Bloquear telegramas según definición. Para reglas de conexión creadas automáticamente: Allow* Drop* Si selecciona estas reglas, no se producirá una comparación con STEP 7. Así, las reglas modificadas no se sobrescribirán en la SCT. Se describe en las siguientes tablas. Véase el apartado "Direcciones IP en reglas de filtrado de paquetes IP" en este capítulo. Como alternativa puede introducir un nombre simbólico. 118 Manual de configuración, 03/2012, C79000-G8978-C286-01

119 Configurar el cortafuegos 4.3 En el modo avanzado Denominación Significado/comentario Posibilidades de selección/rangos de valores Service Ancho de banda (Mbits/s) Registro N.º Comentario Nombre del servicio IP/ICMP o del grupo de servicios utilizado. Con ayuda de definiciones de servicios se pueden definir reglas de filtrado de paquetes Seleccione aquí uno de los servicios definidos por usted en el cuadro de diálogo para servicios IP: Servicios IP o Servicios ICMP Si no ha definido aún ningún servicio o si desea definir otro servicio, pulse el botón "IP/MAC Service Definitions..". Posibilidad de ajuste de una limitación del ancho de banda. Sólo puede introducirse si para la acción está seleccionado "Allow". Un paquete pasa el cortafuegos si la regla de paso es correcta y si no se ha sobrepasado aún el ancho de banda permitido para esa regla. Activación o desactivación del registro para esta regla. Número de la regla asignado automáticamente. Espacio para explicación propia de la regla. La lista desplegable le ofrece los servicios y grupos de servicios configurados, para su selección. Ninguna indicación significa: no se comprueba ningún servicio, la regla es válida para todos los servicios. Nota: Para que los servicios IP predefinidos aparezcan e la lista desplegable, actívelas primero en el modo normal. CP x43-1 y SCALANCE S < V3.0: CP 1628 y SCALANCE S V3.0: Para reglas globales y específicas de usuario: Si un comentario está marcado con "AUTO", significa que ha sido creado para una regla de conexión automática. Tabla 4-11 Direcciones CP Posibilidades de selección/rangos de valores Módulo de seguridad Significado De A CP x43-1 Adv. CP 1628 Interna Externa Estación Estación x - Acceso de la red interna a la estación. Any x - Acceso de la red interna a la externa, el interlocutor de túnel VPN y la estación. Estación x x Acceso de la red externa a la estación. Any x - Acceso de la red externa a la interna y a la estación. Interna x - Acceso desde la estación a la red interna. Externa x x Acceso desde la estación a la red externa. Túnel x x Acceso desde la estación al interlocutor de túnel VPN. Manual de configuración, 03/2012, C79000-G8978-C

120 Configurar el cortafuegos 4.3 En el modo avanzado Posibilidades de Módulo de seguridad Significado selección/rangos de valores Túnel Estación x x Acceso a la estación a través del interlocutor de túnel VPN. Any x - Acceso del interlocutor de túnel VPN a la red interna y a la estación. Any Externa x - Acceso desde la red interna y la estación a la red externa. Tabla 4-12 Direcciones SCALANCE S V3.0 Posibilidades de selección/rangos de valores Módulo de seguridad De A S602 V3* S612 V3** S623 V3 Interna Externa Túnel Any DMZ Externa x x x Túnel - x x Any - x x DMZ - - x Interna x x x Any - - x Túnel - - x DMZ - - x Interna - x x Externa - x x DMZ - - x Interna - x x Externa - - x DMZ - - x Interna - - x Externa - - x Any - - x Túnel - - x * También válido para SCALANCE S 602 V2. ** También válido para SCALANCE S 612 V2 y SCALANCE S 613 V Manual de configuración, 03/2012, C79000-G8978-C286-01

121 Configurar el cortafuegos 4.3 En el modo avanzado Orden de la evaluación de reglas por el módulo de seguridad Las reglas de filtrado de paquetes se evalúan de la siguiente forma: La lista se analiza de arriba hacia abajo; en caso de reglas contradictorias vale por lo tanto siempre la entrada de más arriba. En el caso de reglas para comunicación entre las redes interna, externa y DMZ, es válida la regla siguiente: están bloqueados todos los telegramas excepto los permitidos explícitamente en la lista. En el caso de reglas para comunicación entre red interna y túnel IPsec, es válida la regla siguiente: están permitidos todos los telegramas excepto los bloqueados explícitamente en la lista. Ejemplo Las reglas de filtrado de paquetes representadas provocan el siguiente comportamiento: Manual de configuración, 03/2012, C79000-G8978-C

122 Configurar el cortafuegos 4.3 En el modo avanzado Todos los tipos de telegramas de interno hacia externo están bloqueados como estándar, excepto los permitidos explícitamente. Todos los tipos de telegramas de externo hacia interno están bloqueados como estándar, excepto los permitidos explícitamente. La regla de filtrado de paquetes IP 1 admite telegramas con la definición de servicio "Service X1" de interna a externa. La regla 2 de filtrado de paquetes IP permite telegramas de externo a interno si se cumple: Dirección IP del remitente: Dirección IP del destinatario: Definición de servicio: "Service X2" La regla de filtrado de paquetes IP 3 bloquea telegramas con la definición de servicio "Service X1" en la VPN (túneles IPsec). La comunicación por túneles IPsec está permitida de forma predeterminada, excepto para los tipos de telegramas bloqueados explícitamente. Consulte también Reglas para filtrado de paquetes MAC (Página 128) Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 219) Direcciones IP en reglas de filtrado de paquetes IP La dirección IP consta de 4 números decimales en el campo de valores de 0 a 255, separados entre sí por un punto; ejemplo: En la regla de filtrado de paquetes tiene las siguientes posibilidades de indicar direcciones IP: 122 Manual de configuración, 03/2012, C79000-G8978-C286-01

123 Configurar el cortafuegos 4.3 En el modo avanzado ninguna indicación No tiene lugar ninguna comprobación; la regla es válida para todas las direcciones IP. una dirección IP La regla es válida exactamente para la dirección indicada. Banda de direcciones La regla es válida para todas las direcciones IP incluidas en la banda de direcciones. Una banda de direcciones se define indicando la cantidad de posiciones de bits válidas en la dirección IP, a saber en la siguiente forma: [Dirección IP]/[Cantidad de bits a considerar] [Dirección IP]/24 significa por consiguiente que sólo los 24 bits de mayor valor de la dirección IP se tienen en cuenta en la regla de filtrado; se trata de las tres primeras posiciones de la dirección IP. [Dirección IP]/25 significa que sólo se tienen en cuenta en la regla de filtrado las tres primeras posiciones y el bit de valor más alto de la cuarta posición de la dirección IP. Área de direcciones Para la dirección IP de origen puede indicarse un área de direcciones separada por un guión: [Dirección IP inicial]-[dirección IP final] Encontrará más información en el capítulo Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 219). Tabla 4-13 Ejemplos de banda de direcciones IP Dirección IP de origen o dirección IP de destino Banda de direcciones Cantidad de direcciones *) de a / / / / / / / / *) Nota: Tenga en cuenta que los valores de dirección 0 y 255 tienen una función especial en la dirección IP (0 representa una dirección de red, 255 representa una direección Broadcast). Con esto se reduce la cantidad de direcciones realmente disponibles. Manual de configuración, 03/2012, C79000-G8978-C

124 Configurar el cortafuegos 4.3 En el modo avanzado Definir servicios IP Así se llega a esa función Con el comando de menú "Opciones" > "Servicios IP". o bien Desde la ficha "Reglas IP", con el botón "Servicios IP". Significado Con ayuda de definiciones de servicios IP se pueden definir de forma compacta y clara reglas de firewall que se aplican a diferentes servicios. Para esto se adjudica un nombre y se asignan al mismo los parámetros de servicio. Además, los servicios así definidos se pueden reunir a su vez en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes globales o locales se utiliza entonces simplemente ese nombre. Parámetros para servicios IP Los servicios IP se definen a través de los siguientes parámetros: Tabla 4-14 Servicios IP: Parámetros Denominación Significado/comentario Posibilidades de selección / campos de valores Name Nombre de libre definición para el servicio; se utiliza Entrada libre para la identificación en la definición de reglas o en el agrupamiento. Protocol Nombre del tipo de protocolo TCP UDP Any Source Port Se filtra a partir del número de puerto aquí indicado; Ejemplos: éste define el acceso al servicio para el destinatario *: Puerto no se comprueba de los telegramas. 20 ó 21: Servicio FTP Target Port Se filtra a partir del número de puerto aquí indicado; Ejemplos: éste define el acceso al servicio para el receptor de *: Puerto no se comprueba los telegramas. 80: Web-HTTP-Service 102: S7-Protocol - TCP/Port 124 Manual de configuración, 03/2012, C79000-G8978-C286-01

125 Configurar el cortafuegos 4.3 En el modo avanzado Definir servicios ICMP Con ayuda de las definiciones de servicios ICMP se pueden definir reglas de cortafuegos, que se aplican a diferentes servicios. Para esto se adjudica un nombre, al que se asignan los parámetros de servicio. Los servicios definidos se pueden reunir a su vez en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes se utilizan entonces esos nombres. Así se llega a esa función Con el comando de menú "Opciones" > "Servicios IP..." o bien "Servicios MAC...", ficha "ICMP". o bien Con los botones "Servicios IP..." o bien "Servicios MAC...", ficha "ICMP". Manual de configuración, 03/2012, C79000-G8978-C

126 Configurar el cortafuegos 4.3 En el modo avanzado Parámetros para servicios ICMP Los servicios ICMP se definen a través de los siguientes parámetros: Tabla 4-15 Servicios ICMP: Parámetros Denominació n Name Significado/comentario Posibilidades de selección / campos de valores Nombre de libre definición para el servicio; se Entrada libre utiliza para la identificación en la definición de reglas o en el agrupamiento. Type Tipo del mensaje ICMP Véase la representación del cuadro de diálogo Code Códigos del tipo ICMP Los valores dependen del tipo seleccionado Ajustar reglas para filtrado de paquetes MAC Por medio de reglas para filtrado de paquetes MAC se pueden filtrar telegramas MAC. Nota Sin reglas MAC con el modo de enrutamiento activado Si ha activado el modo de enrutamiento para el módulo SCALANCE S, no tienen aplicación las reglas de MAC. Cuadro de diálogo / ficha Seleccione el módulo que desea editar. Para configurar el cortafuegos, elija el comando de menú "Edición" > "Propiedades...", ficha "Cortafuegos> "Reglas MAC". 126 Manual de configuración, 03/2012, C79000-G8978-C286-01

127 Configurar el cortafuegos 4.3 En el modo avanzado Figura 4-7 Diálogo "MAC Rules" en el ejemplo para SCALANCE S602 Introducir reglas de filtrado de paquetes Introduzca correlativamente las reglas de firewall en la lista; observe la siguiente descripción de parámetros y los ejemplos en el capítulo siguiente o en la ayuda Online. Uso de bloques de reglas globales Los bloques de reglas globales asignados al módulo se adoptan automáticamente en el bloque de reglas locales. Si el conjunto de reglas aparece al final de la lista, se procesará con la prioridad más baja. Se puede modificar la prioridad cambiando la posición en la lista de reglas. La ayuda online le explica el significado de los distintos botones. F1 Manual de configuración, 03/2012, C79000-G8978-C

128 Configurar el cortafuegos 4.3 En el modo avanzado Reglas para filtrado de paquetes MAC Las reglas de filtrado de paquetes MAC se editan según las siguientes evaluaciones: Parámetros registrados en la regla; Prioridad de las reglas dentro del bloque de reglas. Reglas para filtrado de paquetes MAC La configuración de una regla MAC contiene los siguientes parámetros: Tabla 4-16 Reglas MAC: Parámetros Denominación Significado/comentario Posibilidades de selección/rangos de valores Acción De/A Dirección MAC de origen Dirección MAC de destino Service Ancho de banda (Mbits/s) Registro Definición de la autorización (habilitación/bloqueo) Las direcciones de comunicación permitidas. Dirección de origen de los paquetes MAC Dirección de destino de los paquetes MAC Nombre del servicio MAC o del grupo de servicios utilizado. "Any" agrupa las direcciones permitidas para la entrada en cuestión. Posibilidad de ajuste de una limitación del ancho de banda. Sólo puede introducirse si para la acción está seleccionado "Allow". Un paquete pasa el cortafuegos si la regla de paso es correcta y si no se ha sobrepasado aún el ancho de banda permitido para esa regla. Activación o desactivación del Logging para esta regla Allow Autorizar telegramas según definición. Drop Bloquear telegramas según definición. Para reglas de conexión creadas automáticamente: Allow* Drop* Si selecciona estas reglas, no se producirá una comparación con STEP 7. Así, las reglas modificadas no se sobrescribirán en la SCT. Se describen en las siguientes tablas. Como alternativa se puede introducir un nombre simbólico. La lista desplegable le ofrece los servicios y grupos de servicios configurados, para su selección. Ninguna indicación significa: no se comprueba ningún servicio, la regla es válida para todos los servicios. Nota: Para que los servicios MAC predefinidos aparezcan en la lista desplegable, actívelos primero en el modo normal. CP x43-1 y SCALANCE S V3.0: CP 1628 y SCALANCE S V3.0: Para reglas globales y específicas de usuario: Manual de configuración, 03/2012, C79000-G8978-C286-01

129 Configurar el cortafuegos 4.3 En el modo avanzado Denominación Significado/comentario Posibilidades de selección/rangos de valores N.º Comentario Número de la regla asignado automáticamente. Espacio para explicación propia de la regla Si un comentario está marcado con "AUTO", significa que ha sido creado para una regla de conexión automática. Direcciones permitidas Pueden ajustarse las siguientes direcciones: Tabla 4-17 Direcciones de cortafuegos CP Posibilidades de selección/rangos de valores Módulo de seguridad Significado De A CP x43-1 Adv. CP 1628 Externa Estación x x Acceso de la red externa a la estación. Estación Externa x x Acceso desde la estación a la red externa. Túnel x x Acceso desde la estación al interlocutor de túnel VPN. Túnel Estación x x Acceso a la estación a través del interlocutor de túnel VPN. Tabla 4-18 Direcciones de cortafuegos SCALANCE S V3.0 Posibilidades de selección/rangos de valores Módulo de seguridad De A S602 V3* S612 V3** S623 V3 Interna Externa Túnel Any Externa x x x Túnel - x x Any - x x DMZ - - x Interna x x x Any - - x Túnel - - x DMZ - - x Interna - x x Externa - x x DMZ - - x Interna - x x Externa - - x DMZ - - x Manual de configuración, 03/2012, C79000-G8978-C

130 Configurar el cortafuegos 4.3 En el modo avanzado Posibilidades de selección/rangos de Módulo de seguridad valores DMZ Interna - - x Externa - - x Any - - x Túnel - - x * También válido para SCALANCE S 602 V2. ** También válido para SCALANCE S 612 V2 y SCALANCE S 613 V2. Evaluación de reglas por parte del módulo de seguridad Las reglas de filtrado de paquetes se evalúan de la siguiente forma: La lista se evalúa de arriba hacia abajo; si hay reglas contradictorias, vale la entrada situada más arriba. En el caso de las reglas para la comunicación en dirección "Interna -> Externa" y "Externa -> Interna", rige para todos los telegramas no registrados explícitamente: están bloqueados todos los telegramas excepto los permitidos explícitamente en la lista. En el caso de las reglas para la comunicación en dirección "Interna -> Túnel" y "Túnel -> Interna", rige para todos los telegramas no registrados explícitamente: están permitidos todos los telegramas excepto los bloqueados explícitamente en la lista. ATENCIÓN Las reglas de IP sirven para paquetes de IP, las reglas MAC sirven para paquetes de nivel 2 (Layer-2) Para el cortafuegos se pueden definir tanto reglas IP como reglas MAC. La edición en el Firewall se regula con el tipo de ethernet del paquete. Los paquetes IP se redirigen o se bloquean dependiendo de las reglas de IP, y los paquetes de nivel 2 (Layer 2) se redirigen o se bloquean dependiendo de las reglas MAC. No es posible filtrar un paquete IP respecto a una dirección MAC con la ayuda de una regla de cortafuegos MAC. Ejemplos El ejemplo del filtro de paquetes IP del capítulo (Página 118) se puede utilizar por analogía para las reglas de filtrado de paquetes MAC. 130 Manual de configuración, 03/2012, C79000-G8978-C286-01

131 Configurar el cortafuegos 4.3 En el modo avanzado Definir servicios MAC Así se llega a esa función Con el comando de menú "Opciones" > "Servicios MAC". o bien Desde la ficha "Reglas MAC", con el botón "Servicios MAC". Significado Con ayuda de las definiciones de servicios MAC se pueden definir reglas de cortafuegos, que se aplican a servicios determinados. Se adjudica un nombre, al que se asignan los parámetros de servicio. Además, los servicios definidos de este modo se pueden reunir en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes globales o locales se utilizan entonces esos nombres. Parámetros para servicios MAC Una definición de servicio MAC contiene una categoría de parámetros MAC específicos del protocolo: Tabla 4-19 Parámetros de servicios MAC Denominación Significado/comentario Posibilidades de selección / campos de valores Name Protocol Nombre de libre definición para el servicio; se utiliza para la identificación en la definición de reglas o en el agrupamiento. Nombre del tipo de protocolo: ISO ISO designa telegramas con las siguientes propiedades: Lengthfield <= 05DC (hex), DSAP= userdefined SSAP= userdefined CTRL= userdefined SNAP SNAP designa telegramas con las siguientes propiedades: Lengthfield <= 05DC (hex), DSAP=AA (hex), SSAP=AA (hex), CTRL=03 (hex), OUI=userdefined, OUI-Type=userdefined PROFINET IO Entrada libre ISO SNAP PROFINET IO 0x (entrada de código) Manual de configuración, 03/2012, C79000-G8978-C

132 Configurar el cortafuegos 4.3 En el modo avanzado Denominación Significado/comentario Posibilidades de selección / campos de valores DSAP SSAP CTRL OUI Tipo OUI Destination Service Access Point: Dirección de destinatario LLC Source Service Access Point: Dirección de remitente LLC LLC Control Field Organizationally Unique Identifier (los 3 primeros bytes de la dirección MAC = identificación del fabricante) Tipo de protocolo/identificación *) Las entradas de protocolo 0800 (hex) y 0806 (hex) no se aceptan, ya que estos valores se aplican a telegramas IP o ARP. Nota Procesamiento para CPs S7 Solo se procesan ajustes para frames ISO con DSAP=SSAP=FE (hex). Cualquier otro tipo de frame no es relevante para CPs S7, por lo que ya es rechazado por el cortafuegos antes del procesamiento. Ajustes especiales para servicios SIMATIC NET Utilice para el filtrado de servicios especiales SIMATIC NET los siguientes ajustes de SNAP: DCP (Primary Setup Tool) : PROFINET SiClock : OUI= (hex), OUI-Type= (hex) 132 Manual de configuración, 03/2012, C79000-G8978-C286-01

133 Configurar el cortafuegos 4.3 En el modo avanzado Configurar grupos de servicios Formación de grupos de servicios Varios servicios se pueden reunir formando grupos de servicios. De este modo se pueden crear servicios más complejos que entonces se pueden utilizar en las reglas de filtrado de paquetes seleccionando simplemente un nombre. Cuadro de diálogo / ficha Forma de abrir el cuadro de diálogo: Con el comando de menú "Opciones" > "Definiciones de los servicios IP/MAC...". o Desde la ficha "Reglas del cortafuegos/ip" o "Reglas del cortafuegos/mac", con el botón "Definiciones de los servicios IP/MAC..." Manual de configuración, 03/2012, C79000-G8978-C

134 Configurar el cortafuegos 4.3 En el modo avanzado 134 Manual de configuración, 03/2012, C79000-G8978-C286-01

135 Configurar otras propiedades de módulo Módulo de seguridad como router Sinopsis Significado Utilizando el módulo de seguridad como router se conecta la red interna con la red externa. La red interna conectada a través del módulo de seguridad se convierte así en una subred propia. Existen las siguientes posibilidades: Enrutamiento: ajustable en los modos normal y avanzado Enrutamiento NAT/NAPT: ajustable en el modo avanzado Todas las solicitudes de red que no pertenecen a una subred se transfieren a otra subred a través de un router estándar. Véase el capítulo Standard Router (Página 136). Activar el modo de enrutamiento - ficha "Interfaces" Si ha activado el modo de enrutamiento, se transmiten los telegramas dirigidos a una dirección IP existente en la respectiva subred (interna o externa). Por lo demás son válidas las reglas de cortafuegos adoptadas para el respectivo sentido de transmisión. Para este modo de operación tiene que configurar en dicha ficha una dirección IP interna y una máscara de subred interna para el direccionamiento del router en la subred interna. Todas las solicitudes de red que no pertenecen a una subred se transfieren a otra subred a través del router estándar. Nota: A diferencia del modo Bridge del módulo de seguridad, en el modo de enrutamiento se pierden los identificadores VLAN. 1. En la ficha "Interfaz", elija el modo de enrutamiento como enrutamiento por interfaz. 2. Introduzca en los campos de entrada ahora activos una dirección IP interna y una máscara de subred interna para el direccionamiento del router en la subred interna. Manual de configuración, 03/2012, C79000-G8978-C

136 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Standard Router Así se llega a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Routing". 3. Si registra la dirección para el enrutamiento predeterminado, todas las rutas se encaminan por ese router. Si no introduce ninguna dirección para el router predeterminado, se pueden registrar varias rutas específicas. 4. Haga clic en el botón "Agregar ruta". 5. Introduzca los valores siguientes: Parámetro Función Valor de ejemplo ID de red Máscara de subred Dirección IP del router ID de red de la subred: A partir de la ID de red, el router reconoce si una dirección de destino está en la subred o fuera de ella. No puede encontrarse en la misma subred que la dirección IP del módulo de seguridad. La máscara de subred estructura la red y sirve para formar la ID de la subred. Dirección IP del router Debe estar en la misma subred que la dirección IP del módulo de seguridad Ejemplos de aplicación Si en la ficha "Interfaces" está configurada la asignación de IP por "PPPoE", no es necesario configurar un router predeterminado, ya que la ruta predeterminada siempre conduce automáticamente a través de la interfaz PPPoE. Si en la ficha "Interfaces" está configurada la asignación de dirección por "Dirección estática" y si el módulo de seguridad está conectado a Internet a través de un router DSL(NAPT), hay que especificar el router DSL como router predeterminado. Consulte también Routing NAT/NAPT (Página 137) 136 Manual de configuración, 03/2012, C79000-G8978-C286-01

137 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Routing NAT/NAPT Requisitos La ficha "NAT" sólo se muestra en el modo avanzado. Nota No se puede regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual, una vez cambiado al modo avanzado ya no se puede regresar. Soluciones para SCT standalone: Cierre el proyecto sin guardarlo y vuelva a abrirlo. Así se llega a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "NAT". 3. Según se requiera, active una conversión de direcciones según NAT (Network Adress Translation) o NAPT (Network Address Port Translation). 4. Configure la conversión de direcciones según la información de los siguientes capítulos. Conversión de direcciones con NAT (Network Adress Translation) NAT es un protocolo para la conversión de direcciones entre dos áreas de direcciones. La principal tarea es la conversión de direcciones privadas a públicas, es decir, a direcciones IP utilizadas y enrutadas en Internet. De ese modo se consigue que las direcciones de la red interna no se conozcan en la red externa. Las estaciones internas sólo se pueden ver en la red externa a través de las direcciones IP externas definidas en la lista de conversión de direcciones (Tabla NAT). El hecho de que la dirección IP externa no sea la dirección del módulo de seguridad y que la dirección IP interna no sea unívoca se denomina 1:1 NAT. Con 1:1 NAT la dirección interna se convierte a esta dirección externa sin conversión de puerto. En cualquier otro caso será n:1 NAT. Conversión de direcciones con NAPT (Network Address Port Translation) La conversión de direcciones en NAPT modifica la dirección de destino y el puerto de destino en una relación de comunicación. Se convierten telegramas procedentes de la red externa y destinados a la dirección IP del módulo de seguridad. Si el puerto de destino del telegrama es idéntico a uno de los valores de la columna "Puerto externo", el módulo de seguridad sustituye la dirección y el puerto de destino de la forma indicada en la fila correspondiente de la tabla NAPT. En la respuesta, el módulo de seguridad aplica como dirección IP de origen y puerto de origen los valores que figuran como dirección o puerto de origen en el telegrama inicial. Manual de configuración, 03/2012, C79000-G8978-C

138 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router La diferencia respecto a NAT consiste en que en este protocolo también se pueden convertir puertos. Ya no hay una conversión 1:1 de la dirección IP. Sólo existe una dirección IP pública, que se convierte agregando números de puerto a una serie de direcciones IP privadas. Prueba de coherencia - reglas a considerar Observe las reglas siguientes para la asignación de direcciones, con el fin de obtener entradas coherentes: Prueba / Regla Comprobación realizada En la ficha "Interfaces", la ID de red de la subred interna deber ser diferente a la ID de red de la subred externa. Las direcciones IP internas no deben ser idénticas a las direcciones IP del módulo. Adopte para las direcciones IP la parte determinada por la máscara de subred: La dirección IP externa debe estar en la misma área de subred que la dirección IP externa del módulo de seguridad en la ficha "Interfaces". La dirección IP interna debe estar en la misma área de subred que la dirección IP interna del módulo de seguridad en la ficha "Interfaces". Una direcicón IP utilizada en la lista de conversión de direcciones NAT/NAPT no debe ser dirección Multicast ni dirección Broadcast. El router predeterminado tiene que estar en una de las dos subredes del módulo de seguridad, es decir, tiene que ser conforme a la dirección IP externa o interna. Los puertos externos asignados a la conversión NAPT han de estar en el rango > 0 y Quedan excluidos los puertos 123 (NTP), 443 (HTTPS), 514 (Syslog) y (IPsec). La dirección IP externa del módulo de seguridad sólo se debe utilizar en la tabla NAT para el sentido "Org-NAT (a externa)". La dirección IP interna del módulo de seguridad no se debe utilizar en la tabla NAT ni en la tabla NAPT. Control de duplicidad en la tabla NAT Una dirección IP externa utilizada en sentido "Dst-NAT (de externa)" u "Org-NAT + Dst-NAT (externa)" sólo debe aparecer una vez en la tabla NAT. Control de duplicidad en la tabla NAPT Un número de puerto externo sólo debe estar registrado una vez. Dado que siempre se utiliza la dirección IP del módulo de seguridad como dirección IP externa, en caso de uso múltiple no tendría carácter inequívoco. Los números de puerto o los campos de puertos externos no se deben superponer. En cuanto se activa el modo de enrutamiento, se tienen que asignar al módulo de seguridad las direcciones internas (IP/subred). Los puertos NAPT internos pueden estar en el rango > 0 y a nivel local x x x x x x a nivel de proyecto x x x x x x 138 Manual de configuración, 03/2012, C79000-G8978-C286-01

139 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Una vez finalizadas sus entradas, realice una prueba de coherencia. Elija el comando de menú "Opciones" > "Verificaciones de consistencia". Consulte también Standard Router (Página 136) Conversión de direcciones con NAT/NAPT Activar NAT Se activa el campo de entrada para NAT. Las conversiones de direcciones NAT sólo pasan a ser efectivas tras seleccionar la opción descrita a continuación y la inscripción en la lista de conversión de direcciones. Además hay que configurar correspondientemente el cortafuegos. La conversión de direcciones IP puede desarrollarse a través de las siguientes interfaces: Externa: La conversión de direcciones tiene lugar en el puerto externo La conversión de direcciones IP puede desarrollarse en las siguientes direcciones: Destino NAT (Dst-NAT): La conversión de direcciones IP se produce de externa a interna. Los telegramas procedentes de la subred externa se comprueban en cuanto a la dirección IP externa indicada y se transmiten a la red interna con la dirección IP interna indicada. El acceso de externa a interna a través de la dirección externa es posible. Origen NAT (Org-NAT): La conversión de direcciones IP tiene lugar de interna a externa. Los telegramas procedentes de la subred interna se comprueban en cuanto a la dirección IP interna indicada y se transmiten a la red externa con la dirección IP externa indicada. El acceso de interna a externa es posible. En la red externa rige la dirección externa. Origen y destino NAT (Org-NAT + Dst-NAT): La conversión de direcciones IP puede tener lugar de interna o externa. El acceso de interna y externa es posible. En la red externa rige la dirección externa. Posibilidades de entrada para la conversión de direcciones en el puerto externo Para la conversión de direcciones en el puerto externo existen las siguientes posibilidades de entrada. Manual de configuración, 03/2012, C79000-G8978-C

140 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Tipo de conversión "Dst-NAT (de externa)" Campo Entradas posibles Significado Dirección IP externa Dirección IP en la subred externa En la asignación de dirección dinámica este tipo de conversión no funciona. La dirección IP de destino en la red externa a través de la cual se debe acceder a una dirección IP de la subred interna. Si en un telegrama la dirección de destino concuerda con la dirección indicada, la dirección se cambia por la dirección IP interna correspondiente. Si la dirección indicada aquí no es la dirección IP del módulo de seguridad, se convierte en dirección alias. Eso significa que la dirección indicada se registra además como dirección en el puerto seleccionado. Asegúrese de que no existe ningún conflicto de dirección IP con esta dirección. Dirección IP interna Dirección IP en la subred interna La dirección IP de destino se sustituye por la dirección IP interna. La conversión de direcciones tiene lugar de externa a interna. Tipo de conversión "Org-NAT (a externa)" Campo Entradas posibles Significado Dirección IP externa Dirección IP en la subred externa Dirección IP interna Entrada de la dirección IP que debe utilizarse como nueva dirección IP de origen. Dirección IP del módulo de seguridad si la opción "Permitir Si la dirección indicada aquí no es la dirección IP del módulo de seguridad, se convierte en dirección alias. compartir todas las estaciones Eso significa que la dirección indicada se registra internas desde el exterior" no está además como dirección en el puerto seleccionado. activada. Asegúrese de que no existe ningún conflicto de Con la asignación de direcciones dirección IP con esta dirección. dinámica no se puede realizar ninguna entrada. Dirección IP en la subred interna La dirección IP de origen de la estación interna indicada se sustituye por la dirección externa indicada. La conversión de direcciones IP tiene lugar de interna a externa. Subred o área de direcciones IP Las direcciones IP de origen de la subred indicada o del área de direcciones IP se sustituyen por la dirección IP externa. El puerto de origen se sustituye. Además puede activarse la siguiente función: El área se indica separada por un guión. 140 Manual de configuración, 03/2012, C79000-G8978-C286-01

141 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Permitir compartir todas las estaciones internas desde el exterior Al seleccionar esta opción, se produce para todos los telegramas que van de interna a externa una conversión de la dirección IP interna en la dirección IP externa de módulo y un número de puerto asignado adicionalmente por el módulo. El uso de la dirección IP de la interfaz externa en la columna "Dirección IP externa" ya no estará permitido. Este comportamiento se puede ver en la línea presentada adicionalmente en la parte inferior de la tabla NAT. El símbolo "*" que aparece allí en la columna "internal IP address" indica que se convierten todos los telegramas dirigidos de la red interna a la externa. Observación: Debido a este efecto en la lista de conversión de direcciones, esta opción está asignada al campo de entrada NAT a pesar de la asignación adicional de un número de puerto. Tipo de conversión "Org-NAT + Dst-NAT (externa)" Campo Entradas posibles Significado Dirección IP externa Dirección IP en la subred externa En la asignación de dirección dinámica este tipo de conversión no funciona. Dirección IP interna Dirección IP en la subred interna Si la conversión de direcciones tiene lugar de interna a externa: Véase la tabla "Tipo de conversión Dst- NAT (de externa)" Si la conversión de direcciones tiene lugar de externa a interna: Véase la tabla "Tipo de conversión Org- NAT (a externa)" Activar NAPT Se activa el campo de entrada para NAPT. Las conversiones NAPT no son efectivas hasta que en la lista se selecciona la opción siguiente y se realizan las entradas descritas a continuación. Además hay que configurar correspondientemente el cortafuegos (vea los ejemplos). Campo Entradas posibles Significado Puerto externo Puerto o rango de puertos Dirección IP interna Ejemplo de entrada de un rango de puertos: 78:99 Véase el capítulo "Direcciones IP en reglas de filtrado de paquetes IP". Como alternativa se puede introducir un nombre simbólico. Una estación de la red externa puede enviar a un interlocutor de la subred interna un telegrama utilizando este número de puerto. Dirección IP de la estación llamada en la subred interna. Puerto interno Puerto Número de puerto de una estación de la subred interna. Manual de configuración, 03/2012, C79000-G8978-C

142 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Relación entre router NAT/NAPT y cortafuegos Relación entre router NAT/NAPT y cortafuegos Network Address Translation (NAT) cambia las direcciones IP y, dado el caso, los números de puerto en telegramas IP. Las direcciones se modifican antes de que el cortafuegos filtre los telegramas IP, es decir, que las direcciones IP y, dado el caso, los números de puerto, se modifican antes de que se realice el filtrado. ATENCIÓN Adaptar los ajustes NAT/NAPT y las reglas de cortafuegos Los ajustes para el router NAT/NAPT y las reglas de cortafuegos se tienen que adaptar entre sí de manera que los telegramas con dirección convertida puedan pasar el cortafuegos. Stateful Packet Inspection El cortafuegos y el router NAT/NAPT contribuyen a la "Stateful Packet Inspection". Por esta razón, los telegramas de respuesta pueden pasar el router NAT/NAPT y el cortafuegos sin que sus direcciones se tengan que adoptar adicionalmente en las reglas de cortafuegos ni en la conversión de direcciones de NAT/NAPT. 142 Manual de configuración, 03/2012, C79000-G8978-C286-01

143 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Routing NAT 1:1 - Ejemplos de configuración, parte 1 Qué se pretende mostrar con el ejemplo Desde el PC con la dirección debe accederse al autómata con la dirección en la red interna. Dado que la dirección no es una dirección pública, el router NAT debe convertirla en una dirección pública adicional (dirección alias, aquí ). Con el cortafuegos se garantiza que el PC sólo pueda acceder a los servicios FTP, HTTP y S7 del autómata. Descripción esquemática del procedimiento Conversión NAT Acción 1 Un dispositivo de la red externa desea enviar un paquete de datos a la dirección (aplicación HTTP). El router NAT convierte la dirección en la dirección privada a partir de la tabla NAT 2 3 El cortafuegos comprueba cómo debe tratar el paquete de datos. Con la entrada "Allow" > "Externa" a "Interna" > " " > "HTTP" pueden pasar todos los paquetes de datos procedentes de la PG a través del puerto 80 y direccionados a Manual de configuración, 03/2012, C79000-G8978-C

144 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Conversión NAT 4 5 Acción El paquete de datos se direcciona a la red interna. La función "Stateful Inspection" del cortafuegos hace que los telegramas de respuesta se envíen automáticamente Routing NAT/NAPT - Ejemplos de configuración, parte 2 Resumen En este capítulo encontrará los siguientes ejemplos de configuración del router NAT/NAPT: Ejemplo 1: Conversión de direcciones NAT "Dst-NAT (de externa)" Caso de aplicación: La red interna es una subred privada. Se quiere acceder a una estación interna, p. ej. una CPU 300 como dispositivo i. Desde el nivel de control debe estar permitido el diagnóstico web o la descarga de datos STEP 7. Desde la estación S7300 no se puede acceder al nivel de control. Ejemplo 2: Conversión de direcciones NAT "Org-NAT (a externa)" Caso de aplicación: La red interna es una subred privada. La estación de la red interna es un dispositivo, p. ej. una CPU 300 como dispositivo i, que desea sincronizar la hora a través de un servidor NTP de Internet. Desde el nivel de control debe estar permitido el diagnóstico web o la descarga de datos STEP 7. Ejemplo 3: Conversión de direcciones NAT "Org-NAT + Dst-NAT (externa)" Caso de aplicación: La red interna es una subred privada. Desde el nivel de control debe estar permitido el acceso a estaciones seleccionadas. Las estaciones seleccionadas también deben poder acceder al nivel de control. Ejemplo 4: Conversión de direcciones NAPT 144 Manual de configuración, 03/2012, C79000-G8978-C286-01

145 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Configuración En la siguiente configuración de routing encontrará asignaciones de direcciones según la conversión de direcciones NAT y NAPT: Manual de configuración, 03/2012, C79000-G8978-C

146 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Descripción Ejemplo 1: Conversión de direcciones NAT " Dst-NAT (de externa)" Una estación de la red externa puede comunicarse con la estación con la dirección IP interna de la subred interna utilizando la dirección IP externa como dirección de destino. Ejemplo 2: Conversión de direcciones NAT "Org-NAT (a externa)" Telegramas de una estación interna con la dirección IP interna son transmitidas a la red externa con la dirección IP externa como dirección de origen. En el ejemplo, el cortafuegos se ha configurado de forma que permita la comunicación de interna a externa con la dirección IP de origen y que sea posible la comunicación con la esta estación con la dirección IP Ejemplo 3: Conversión de direcciones NAT "Org-NAT + Dst-NAT (externa)" En este ejemplo, la conversión de direcciones se efectúa en la foma descrita a continuación para telegramas entrantes tanto internos como externos: Una estación de la red externa puede comunicarse con la estación con la dirección IP interna de la subred interna utilizando la dirección IP externa como dirección de destino. Telegramas de una estación interna con la dirección IP interna son transmitidas en la red externa con la dirección IP externa como dirección de origen. El cortafuegos se ha configurado de forma que permita el paso de telegramas con la dirección IP de origen en el sentido de interna a externa. Ejemplo 4: Conversión de direcciones NAPT Las conversiones de direcciones tienen lugar según NAPT de forma que en cada caso se asignan además números de puerto. Todos los telegramas TCP y UDP entrantes en la red externa son comprobados en cuanto a su dirección IP de destino y su número de puerto de destino. Una estación de la red externa puede enviar un telegrama a la estación con la dirección IP y el número de puerto 345 de la subred interna utilizando como dirección de destino la dirección IP externa de módulo y el número de puerto externo Enrutamiento NAT/NAPT - Ejemplos de configuración, parte 3 Resumen En este capítulo encontrará los siguientes ejemplos de configuración del router NAT/NAPT: Ejemplo 1: Permitir todas las estaciones internas para comunicación externa Ejemplo 2: Permitir telegramas adicionales dirigidos de externa a interna. 146 Manual de configuración, 03/2012, C79000-G8978-C286-01

147 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router Configuración En la siguiente configuración de enrutamiento encontrará asignaciones de direcciones según la conversión de direcciones NAT: Manual de configuración, 03/2012, C79000-G8978-C

148 Configurar otras propiedades de módulo 5.1 Módulo de seguridad como router 148 Manual de configuración, 03/2012, C79000-G8978-C286-01

149 Configurar otras propiedades de módulo 5.2 Módulo de seguridad como servidor DHCP Descripción Ejemplo 1 - Permitir todas las estaciones internas para comunicación externa En el campo de diálogo "NAT" está activada la casilla de control "Allow Internal -> External for all users". Con esto es posible la comunicación de interna a externa. La conversión de direcciones tiene lugar de forma que todas las direcciones internas se convierten en la dirección IP externa del módulo de seguridad y de un número de puerto asignado dinámicamente en cada caso. Ahora ya no es relevante la indicación de sentido en la lista de conversión de direcciones NAT. Todos los restantes datos se refieren al sentido de comunicación "externa hacia interna". Además, el firewall está configurado de manera que puedan pasar los telegramas en el sentido de interna hacia externa. Ejemplo 2 - Permitir telegramas adicionales dirigidos de externa a interna. Para que, como complemento del ejemplo 1, se permita la comunicación de externa hacia interna, se han de introducir informaciones en la lista de conversión de direcciones NAT o NAPT. La entrada del ejemplo indica que telegramas dirigidos a las estaciones con la dirección IP se convierten a la dirección IP interne El firewall se tiene que configurar correspondientemente. Dado que primero se produce siempre la conversión NAT/NAPT y después se comprueba la dirección convertida en el cortafuegos, en el ejemplo la dirección IP interna está registrada en el cortafuegos como dirección IP de destino. 5.2 Módulo de seguridad como servidor DHCP Sinopsis Sinopsis El módulo de seguridad puede utilizarse en la red interna como servidor DHCP (DHCP = Dynamic Host Configuration Protocoll). Esto permite asignar automáticamente direcciones IP a los equipos conectados a la red interna. Las direcciones IP se asignan en este caso dinámicamente desde una banda de direcciones definida por el usuario, o bien se asigna una dirección IP a un equipo concreto conforme a sus predeterminaciones. Manual de configuración, 03/2012, C79000-G8978-C

150 Configurar otras propiedades de módulo 5.2 Módulo de seguridad como servidor DHCP Servidor DHCP para DMZ Para poder asignar una dirección IP dinámica también a dispositivos del puerto DMZ, se puede activar en el puerto DMZ un servidor DHCP. Para que los dispositivos de la DMZ obtengan siempre la misma dirección IP para la configuración del cortafuegos, la asignación de direcciones sólo puede ser estática a partir de la dirección MAC o de la ID de cliente. Requisito Tiene que configurar los equipos en la red interna de manera que obtengan la dirección IP de un servidor DHCP. Dependiendo del modo de funcionamiento, el módulo de seguridad transmite a las estaciones de la subred una dirección IP del router predeterminado, o bien se tiene que comunicar una dirección IP de router a las estaciones de la subred. Se transmite la dirección IP del router En los casos siguientes, el módulo de seguridad transmite a las estaciones una dirección IP de router a través del protocolo DHCP: El módulo de seguridad está configurado para el modo Router El módulo de seguridad transmite en este caso la dirección IP propia como dirección IP del router. El módulo de seguridad no está configurado para el modo Router, pero en la configuración del módulo se ha indicado un router predeterminado El módulo de seguridad transmite en este caso la dirección IP del router predeterminado como IP de router. No se transmite la dirección IP del router En estos casos tiene que introducir manualmente la dirección IP del router en las estaciones: El módulo de seguridad no está configurado para el modo Router; En la configuración del módulo de seguridad no se ha indicado ningún router predeterminado. Consulte también Check Consistency (Página 50) 150 Manual de configuración, 03/2012, C79000-G8978-C286-01

151 Configurar otras propiedades de módulo 5.2 Módulo de seguridad como servidor DHCP Configurar un servidor DHCP Requisitos La ficha "Servidor DHCP" sólo se muestra en el modo avanzado. Nota No se puede regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual, una vez cambiado al modo avanzado ya no se puede regresar. Soluciones para SCT standalone: Cierre el proyecto sin guardarlo y vuelva a abrirlo. Así se llega a esa función 1. Seleccione el módulo que desea editar. Manual de configuración, 03/2012, C79000-G8978-C

152 Configurar otras propiedades de módulo 5.2 Módulo de seguridad como servidor DHCP 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Servidor DHCP". 3. Active la casilla de verificación "Activar DHCP". 4. Seleccione para qué interfaz desea realizar los ajustes de DHCP. 5. Realice la asignación de direcciones. Para la configuración tiene las dos posibilidades siguientes: 152 Manual de configuración, 03/2012, C79000-G8978-C286-01

153 Configurar otras propiedades de módulo 5.2 Módulo de seguridad como servidor DHCP Asignación de direcciones estática A equipos con una dirección MAC o un Client-ID determinados se les asignan direcciones predeterminadas para cada caso. Introduzca para ello estos dispositivos en la lista de direcciones en el campo de entrada "Asignación estática de direcciones". Asignación dinámica de direcciones Equipos cuya dirección MAC o su Client-ID no se hayan indicado explícitamente reciben una dirección IP cualquiera de una banda de direcciones predeterminada. Esta banda de direcciones se ajusta en el campo de entrada "Asignación dinámica de direcciones". ATENCIÓN Asignación dinámica de direcciones - Comportamiento tras una interrupción de la alimentación eléctrica Tenga en cuenta que las direcciones IP asignadas dinámicamente no se almacenan si se interrumpe la alimentación eléctrica. Tras restablecerse la alimentación eléctrica tiene que cuidar por tanto de que todas las estaciones soliciten de nuevo una dirección IP. Por esta razón, sólo debería prever la asignación dinámica de direcciones para las siguientes estaciones: estaciones que se utilicen temporalmente en la subred (por ejemplo, equipos de mantenimiento); estaciones que en caso de una nueva solicitud transmitan al DHCP Server como "dirección preferida" una dirección IP anteriormente asignada (por ejemplo, estaciones de PC). Para las estaciones que están en servicio permanente se debe dar preferencia a la asignación estática de direcciones indicando una ID de cliente (recomendado para CPs S7 porque facilita la sustitución de módulos) o la dirección MAC. Se da soporte a nombres simbólicos En la función descrita a continuación se pueden introducir tanto direcciones IP o MAC como nombres simbólicos. Manual de configuración, 03/2012, C79000-G8978-C

154 Configurar otras propiedades de módulo 5.2 Módulo de seguridad como servidor DHCP Prueba de coherencia - reglas a considerar Al realizar sus entradas debe tener en cuanta las reglas indicadas a continuación. Prueba / Regla Prueba realizada 1) Las direcciones IP asignadas en el campo de entrada "Asignación estática de direcciones" de la lista de direcciones no deben estar en el área de las direcciones IP dinámicas. Los nombres simbólicos han de tener una asignación de dirección numérica. Si aquí se asignan nuevos nombres simbólicos, además habrá que realizar la asignación de direcciones en el cuadro de diálogo "Nombres simbólicos". Las direcciones IP, direcciones MAC e IDs de cliente sólo pueden aparecer una vez en la tabla "Direcciones IP estáticas" (con referencia al módulo de seguridad). En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección MAC o la ID de cliente (nombre del equipo). El Client-ID es una secuencia de como máximo 63 caracteres. Sólo se permiten los caracteres siguientes: a-z, A-Z, 0-9 y - (guión). Nota En SIMATIC S7 es posible asignar a los dispositivos de la interfaz Ethernet una ID de cliente para la referencia a una dirección IP a través de DHCP. En PCs el procedimiento depende del sistema operativo utilizado; se recomienda utilizar la dirección MAC para la asignación. En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección IP. Las siguientes direcciones IP no deben estar en el rango correspondiente al área de direcciones IP libres (direcciones IP dinámicas): Todas las direcciones de router de la ficha "Routing" NTP-Server Syslog-Server Router estándar Dirección(es) del módulo de seguridad a nivel local X x x a nivel de proyecto/mód ulo X x x x 154 Manual de configuración, 03/2012, C79000-G8978-C286-01

155 Configurar otras propiedades de módulo 5.2 Módulo de seguridad como servidor DHCP Prueba / Regla Prueba realizada 1) DHCP es soportado por el módulo de seguridad en la interfaz con la subred interna. De este comportamiento del módulo de seguridad se derivan los siguientes requisitos para direcciones IP en el rango correspondiente al área de direcciones IP libres (direcciones IP dinámicas): Modo Bridge El rango correspondiente al área de direcciones IP libres tiene que estar en la red definida por el módulo de seguridad. Modo de enrutamiento El rango correspondiente al área de direcciones IP libres tiene que estar en la subred interna definida por el módulo de seguridad. El área de direcciones IP libres se tiene que indicar por completo introduciendo la dirección IP inicial y la dirección IP final. La dirección IP final tiene que ser mayor que la dirección IP inicial. Las direcciones IP introducidas en la lista de direcciones en el campo de entrada "Asignación estática de direcciones" tiene que estar en el área de direcciones de la subred interna del módulo de seguridad. Leyenda: a nivel local X a nivel de proyecto/mód ulo x X 1) Observe las explicaciones del capítulo Check Consistency (Página 50). Manual de configuración, 03/2012, C79000-G8978-C

156 Configurar otras propiedades de módulo 5.3 Sincronización horaria 5.3 Sincronización horaria Sinopsis Significado Para comprobar la validez horaria de un certificado y para el sello de fecha y hora de registros Log se indican la fecha y la hora en el módulo de seguridad. Se pueden configurar las siguientes alternativas: La hora del módulo se ajusta automáticamente a la hora del PC al cargar una configuración. Ajuste automático y sincronización periódica de la hora a través de un servidor Network Time Protocol (servidor NTP). Nota La sincronización horaria se refiere únicamente al módulo de seguridad y no puede utilizarse para la sincronización de dispositivos de la red interna de dicho módulo. Sincronización mediante un servidor NTP ATENCIÓN Habilitar telegramas explícitamente Si no es posible acceder al servidor NTP desde el módulo de seguridad, los telegramas del servidor NTP se tienen que permitir explícitamente en el cortafuegos (UDP, puerto 123). Para la creación del servidor NTP rigen las siguientes reglas: Los servidores NTP pueden crearse para todo el proyecto a través del menú de SCT "Opciones" > "Definición del servidor NTP". Asigne un servidor NTP a un módulo de seguridad en la ficha de propiedades "Sincronización horaria". Si diferentes módulos de seguridad del proyecto SCT utilizan el mismo servidor NTP, los datos sólo tendrán que introducirse una vez. Pueden crearse hasta 32 servidores NTP para todo el proyecto. A un módulo de seguridad se le pueden asignar como máximo 4 servidores NTP. Los nombres simbólicos para la dirección IP del servidor NTP no se soportan. Desde servidores NTP ya creados en STEP 7 se migran a SCT la dirección IP y el intervalo de actualización. Si se selecciona "NTP (seguro)", el módulo de seguridad sólo aceptará la hora de servidores NTP configurados del modo correspondiente. La configuración combinada de servidores NTP seguros y no seguros en un módulo de seguridad no es posible. 156 Manual de configuración, 03/2012, C79000-G8978-C286-01

157 Configurar otras propiedades de módulo 5.3 Sincronización horaria Configurar el control de la hora Así se llega a esa función Comando de menú SCT: "Opciones" > "Definición del servidor NTP...". Comando de menú de STEP 7 (si está activada la opción "Activar sincronización horaria en procedimiento NTP"): "Sincronización horaria" > "Configuración NTP avanzada", botón "Ejecutar". Alternativas de sincronización horaria Se pueden configurar las siguientes alternativas: Tabla 5-1 Sincronización horaria para CP Posibilidades Sin sincronización horaria Sincronización horaria con NTP Sincronización horaria con NTP (seguro) Significado / repercusión Sin sincronización horaria a través del PC o un servidor NTP. Ajuste automático y sincronización periódica de la hora a través de un servidor NTP. Ajuste automático y sincronización periódica de la hora a través de un servidor NTP configurado de la forma correspondiente. Tabla 5-2 Sincronización horaria para SCALANCE S V3.0 Posibilidades Sin sincronización horaria Ajustar hora con cada carga Sincronización horaria con NTP Significado / repercusión Sin sincronización horaria a través del PC o un servidor NTP. La hora del módulo se ajusta automáticamente a la hora del PC al cargar una configuración. Ajuste automático de la hora a través de un servidor NTP. Seleccionar el modo de sincronización horaria Proceda del siguiente modo: 1. Seleccione el modo de sincronización horaria. Manual de configuración, 03/2012, C79000-G8978-C

158 Configurar otras propiedades de módulo 5.3 Sincronización horaria 2. Para SCALANCE S < V3.0: En la sincronización a través de un servidor NTP, indique el intervalo de actualización en segundos. Para SCALANCE S V3.0, el intervalo de tiempo para la consulta del servidor NTP se define automáticamente. Nota Los servidores NTP creados en STEP 7 se migran automáticamente a SCT según el intervalo de actualización. El intervalo de actualización sólo puede modificarse en STEP Con el botón "Agregar", asigne al módulo de seguridad un servidor NTP ya creado del mismo tipo que el seleccionado en el campo "Modo de sincronización". Si aún no hay servidores NTP, cree uno con el botón "Servidor NTP..." Agregar una entrada Agregar servidor NTP a la lista NTP Haga clic en el botón "Agregar..." para crear un servidor nuevo. Editar servidor NTP de la lista NTP Haga clic en el botón "Propiedades..." para editar un servidor existente. Resultado: Aparece el cuadro de diálogo "Definición del servidor NTP" Definir un servidor NTP Cómo definir un servidor NTP nuevo: 1. Introduzca un nombre para el servidor NTP. 158 Manual de configuración, 03/2012, C79000-G8978-C286-01

159 Configurar otras propiedades de módulo 5.3 Sincronización horaria 2. Introduzca la dirección IP del servidor NTP. 3. Seleccione el tipo. Manual de configuración, 03/2012, C79000-G8978-C

160 Configurar otras propiedades de módulo 5.4 SNMP Configuración de NTP (seguro) 1. Haga clic en el botón "Agregar". 2. Introduzca los datos siguientes: Propiedad Significado ID de código Valor numérico entre Autenticación Hex/ASCII Código Eliminar Seleccione el algoritmo de autenticación. Seleccione el formato del código NTP. Introduzca el código NTP con las siguientes longitudes: Hex: caracteres ASCII: caracteres Elimine la entrada seleccionada con el botón. Importar y exportar servidores NTP Los botones "Importación" y "Exportación" permiten exportar la lista de códigos del servidor NTP mostrado en ese momento e importar el archivo a un servidor NTP, o vice versa. 5.4 SNMP Sinopsis Qué es SNMP? El módulo de seguridad soporta la transmisión de información de administración a través del Simple Network Management Protocol (SNMP). Para ello se ha instalado en el módulo de seguridad un "agente SNMP", que recibe y responde a las solicitudes SNMP. La información sobre las propiedades de dispositivos compatibles con SNMP está almacenada en los denominados archivos MIB (MIB = Management Information Base), para los que el usuario debe tener los derechos correspondientes. En SNMPv1 también se envía el "community string". El community string es como una contraseña que se envía junto con la solicitud SNMP. Si el community string es correcto, el módulo de seguridad responde con la información solicitada. Si el community string es incorrecto, el módulo de seguridad rechaza la solicitud y no contesta. En SNMPv3 los datos pueden enviarse cifrados. 160 Manual de configuración, 03/2012, C79000-G8978-C286-01

161 Configurar otras propiedades de módulo 5.4 SNMP Activar SNMP Requisitos La ficha "SNMP" sólo se muestra en el modo avanzado. Nota No se puede regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual, una vez cambiado al modo avanzado ya no se puede regresar. Soluciones para SCT standalone: Cierre el proyecto sin guardarlo y vuelva a abrirlo. STEP 7: En la ficha "SNMP" está activada la casilla de verificación "Activar SNMP". Así se llega a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "SNMP". 3. Para SCALANCE S: Active la casilla de verificación "Activar SNMP". 4. Elija una de las siguientes versiones de protocolo SNMP: SNMPv1 Para controlar los derechos de acceso en el agente SNMP el módulo de seguridad utiliza los siguientes valores estándar para los community strings: Para acceso de lectura: public Para acceso de lectura y escritura: private Nota Sobrescribir los valores predeterminados de los community strings Para aumentar la seguridad, sobrescriba los valores predeterminados de los community strings con nombres nuevos. Para activar el acceso de escritura a través de SNMP, seleccione la opción "Permitir acceso de escritura con el community string "private"". SNMPv3 Seleccione un método de autenticación o un método de autenticación y cifrado. Algoritmo de autenticación: Ninguno, MD5, SHA-1 Algoritmo de cifrado: Ninguno, AES-128, DES Manual de configuración, 03/2012, C79000-G8978-C

162 Configurar otras propiedades de módulo 5.5 Proxy ARP 1. Asigne al usuario un rol en el que estén habilitados los derechos SNMP correspondientes. Encontrará una vista general de los derechos SNMP en el capítulo Administrar derechos (Página 62). 5.5 Proxy ARP Sinopsis Proxy ARP permite a los routers responder a solicitudes ARP para hosts. Los hosts están en redes separadas por routers, pero utilizan la misma área de direcciones IP. Si PC1 envía una solicitud ARP a PC2, recibe del router situado en medio, y no del PC2, una respuesta y la dirección de hardware de la interfaz (MAC del puerto del router) en la que se recibió la solicitud. El PC1 solicitante envía entonces sus datos al router, que los transmite al PC2. Así se llega a esa función Sólo para el puerto interno y en modo Bridge. 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Proxy ARP". 3. Si el módulo de seguridad debe responder a una solicitud ARP de la LAN propia en lugar del interlocutor específico, introduzca la dirección IP correspondiente. 162 Manual de configuración, 03/2012, C79000-G8978-C286-01

163 Comunicación segura en la VPN a través de túnel 6 IPsec En este capítulo se describe cómo conectar las subredes IP protegidas por el módulo de seguridad mediante Drag and Drop con una VPN (Virtual Private Network). Tal como se ha descrito ya en el capítulo relativo a las propiedades del módulo, también aquí se pueden conservar los ajustes predeterminados para disponer de una comunicación segura dentro de la red interna. Otras informaciones La ayuda online le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. F1 Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de diálogo. Consulte también Funciones online - Test, Diagnóstico y Logging (Página 207) 6.1 VPN con módulos de seguridad Conexión segura a través de red no protegida Para los módulos de seguridad que protegen la red interna, los túneles IPsec proporcionan una conexión de datos segura a través de la red externa no segura. Mediante el intercambio de datos a través de IPsec se implementan los siguientes paquetes de seguridad para la comunicación: Confidencialidad Garantiza que los datos se transmiten cifrados. Integridad Garantiza que los datos no han sido modificados. Autenticidad Garantiza que los puntos finales de la VPN también son de confianza. El módulo de seguridad utiliza el protocolo IPsec (modo túnel de IPsec) para la formación de túneles. Manual de configuración, 03/2012, C79000-G8978-C

164 Comunicación segura en la VPN a través de túnel IPsec 6.1 VPN con módulos de seguridad Las conexiones por túnel se realizan entre módulos del mismo grupo (VPN) En el caso de los módulos de seguridad, las propiedades de una VPN se reúnen dentro de un grupo de módulos para todos los túneles IPsec. Se establecen automáticamente túneles IPsec entre todos los módulos de seguridad y los módulos SOFTNET Security Client pertenecientes al mismo grupo. Un módulo de seguridad puede pertenecer simultáneamente a diferentes grupos en un mismo proyecto. 164 Manual de configuración, 03/2012, C79000-G8978-C286-01

165 Comunicación segura en la VPN a través de túnel IPsec 6.1 VPN con módulos de seguridad ATENCIÓN Si se cambia el nombre de un módulo de seguridad, se tienen que reconfigurar todos los módulos de seguridad de los grupos a los que pertenece el módulo modificado (comando "Transferir" > "A todos los módulos...") Si se cambia el nombre de un grupo, se tienen que reconfigurar todos los módulos de seguridad de ese grupo (comando "Transferir" > "A todos los módulos..."). ATENCIÓN Los telegramas de capa 2 sólo se transmiten vía túnel si entre dos módulos de seguridad hay un router. No obstante, para ello es necesario configurar las direcciones MAC de los interlocutores de forma estática en la Security Configuration Tool y, dado el caso, se pueden registrar entradas ARP estáticas en los dispositivos de comunicación. Regla general: Los telegramas no IP sólo se transmiten a través de un túnel si los dispositivos que envían o reciben los telegramas se podían comunicar ya anteriormente, es decir, sin el uso de los módulos de seguridad. Manual de configuración, 03/2012, C79000-G8978-C

166 Comunicación segura en la VPN a través de túnel IPsec 6.2 Métodos de autenticación 6.2 Métodos de autenticación Métodos de autenticación El método de autenticación se fija dentro de un grupo (de una VPN) y determina la forma de autenticación utilizada. Son posibles métodos de autenticación basados en clave o en certificado: Preshared Keys La autenticación se produce a través de una secuencia de caracteres establecida de antemano, que se distribuye a todos los módulos del grupo. Introduzca para ello previamente una contraseña en el campo "Preshared Key" del cuadro de diálogo "Propiedades del grupo". Certificado La autenticación basada en certificado denominada "Certificado" es el ajuste predeterminado, que está activado también en el modo normal. El comportamiento es el siguiente: Al crear un grupo se genera automáticamente un certificado de grupo ( = certificado CA). Cada módulo de seguridad existente en el grupo recibe un certificado firmado con el código del CA de grupo. Todos los certificados se basan en el estándar ITU X.509v3 (ITU, International Telecommunications Union). Los certificados son generados por una entidad certificadora contenida en la Security Configuration Tool. ATENCIÓN Restricción para el modo VLAN En los telegramas IP a través del túnel de VPN del módulo de seguridad no se transmiten identificadores de VLAN. Los identificadores de VLAN contenidos en los telegramas IP se pierden al pasar los módulos de seguridad, ya que para la transmisión de los telegramas IP se utiliza IPSec. Con el ajuste predeterminado no es posible transmitir telegramas IP Broadcast o Mulitcast con IPsec a través de un túnel VPN de capa 3. A través de un túnel VPN de capa 2 del módulo de seguridad, los telegramas IP Broadcast o Multicast se "empaquetan" en UDP y se transmiten exactamente como paquetes MAC, incluido el encabezado Ethernet. Por ello, en esos paquetes también se conservan los identificadores de VLAN. 166 Manual de configuración, 03/2012, C79000-G8978-C286-01

167 Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN 6.3 Grupos VPN Modos de operación de grupos VPN Modos de operación VPN Los módulos de seguridad pueden pertenecer simultáneamente a varios grupos VPN y, dependiendo del módulo de seguridad, tener también distintos modos de operación. Reglas para la formación de grupos Observe las reglas siguientes si desea formar grupos VPN: Para SCALANCE S 612/613 El primer módulo asignado a un grupo VPN decide qué otros módulos se pueden agregar. Si el primer módulo SCALANCE S agregado está en modo de enrutamiento, sólo se podrán agregar módulos SCALANCE S con enrutamiento activado. Si el primer módulo SCALANCE S agregado está en modo Bridge, sólo se podrán agregar módulos SCALANCE S en el modo Bridge. Si se debe modificar el modo de un grupo VPN, hay que quitar todos los módulos contenidos en el grupo y volver a agregarlos. Un CP puede agregarse a un grupo con un SCALANCE S en el modo Bridge o de enrutamiento. Para CP y SCALANCE S 623 Si se agrega un CP o SCALANCE S 623 como primer módulo a un grupo VPN, el grupo se encontrará en el modo Bridge. El siguiente módulo de seguridad insertado determina el modo del grupo. Si el módulo de seguridad está en el modo de enrutamiento, sólo podrán agregarse módulos de seguridad que también se encuentren en el modo de enrutamiento. Un CP o SCALANCE S 623 puede asignarse simultáneamente a varios grupos VPN con diferentes modos de operación. El CP o el SCALANCE S 623 funcionará entonces en el modo combinado. No es posible agregar un módulo SCALANCE M a un grupo VPN que contenga un módulo en el modo Bridge. Vea en la tabla siguiente qué módulos se pueden reunir en un grupo VPN: Manual de configuración, 03/2012, C79000-G8978-C

168 Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN Tabla 6-1 Módulos de seguridad y modos de operación VPN Módulo Se puede incluir en un grupo VPN en... SCALANCE S 612/613 en el modo Bridge SCALANCE S 612/613 en el modo de enrutamiento SCALANCE S 623 en el modo Bridge SCALANCE S 623 en el modo de enrutamiento Modo Bridge Modo de Modo combinado enrutamiento x x - x x x x x x CP x43 Adv. x x x CP 1628 x x x SOFTNET Security Client 2005 x - - SOFTNET Security Client 2008 x x - SOFTNET Security Client V3.0 x x - SOFTNET Security Client V4.0 x x x SCALANCE M - x Crear grupos y asignar módulos Requisitos ATENCIÓN Fecha y hora actuales en los módulos de seguridad Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará. Así se llega a esa función 1. Seleccione un grupo con el comando de menú "Insertar" > "Grupo". 168 Manual de configuración, 03/2012, C79000-G8978-C286-01

169 Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN 2. Asigne al grupo los módulos de seguridad y SOFTNET Security Client que deban pertenecer a un grupo VPN. Para ello, arrastre con el ratón el módulo al grupo deseado (arrastrar y colocar). Configuración de propiedades Como en el caso de la configuración de módulos, también en la configuración de grupos repercuten las dos vistas de operación seleccionables en la Security Configuration Tool: Modo normal En el modo normal se conservan los ajustes predeterminados por el sistema. También como persona no experta en IT puede configurar así túneles IPsec y practicar una comunicación de datos segura en su red interna. Modo avanzado El modo avanzado ofrece posibilidades para configurar de forma específica la comunicación por túnel. Nota Parametrización de SCALANCE M u otros clientes VPN Para la parametrización del SCALANCE M o de otros clientes VPN se tienen que configurar propiedades VPN específicas del módulo en el modo avanzado. Manual de configuración, 03/2012, C79000-G8978-C

170 Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN Visualización de todos los grupos configurados, con sus propiedades En el área de navegación, seleccione el objeto "Grupos VPN" Se visualizan por columnas las siguientes propiedades de los grupos: Propiedad/columna Significado Comentario/selección Group Name Nombre del grupo de libre elección Authentication Tipo de autenticación Preshared Key Certificado Group membership until... Duración de certificados Véase el apartado "Ajustar la duración de certificados" Comment Comentario de libre elección Visualizar y configurar detalles de conexión VPN 1. En el área de navegación, seleccione el grupo VPN que desea editar. 2. Haga clic en un módulo en el área de contenido. Resultado: En la vista previa se muestra el resto de componentes del grupo VPN, con cada uno de los cuales el módulo seleccionado establece una conexión VPN. 3. Elija la interfaz a través de la cual deben comunicarse las estaciones del grupo VPN. Ajustar la duración de certificados Abra de la forma siguiente el cuadro de diálogo en el que puede introducir la fecha de caducidad del certificado: 1. En el área de navegación, seleccione el grupo VPN que desea editar. 170 Manual de configuración, 03/2012, C79000-G8978-C286-01

171 Comunicación segura en la VPN a través de túnel IPsec 6.4 Configuración de túnel en modo normal 2. Elija el comando de menú "Propiedades" con el botón derecho del ratón. Nota Caducidad de un certificado La comunicación a través del túnel VPN continúa una vez caducado el certificado hasta que el túnel se deshaga o finalice la vida útil SA. Encontrará más información sobre certificados en el capítulo Administrar certificados (Página 65). 6.4 Configuración de túnel en modo normal Propiedades de grupo En el modo normal rigen las siguientes propiedades: Todos los parámetros de los túneles IPsec y el método de autenticación están predeterminados. En el cuadro de diálogo para el grupo se pueden visualizar los valores estándar ajustados. El modo de aprendizaje está activado para todos los módulos. Abrir el cuadro de diálogo para visualización de valores estándar 1. Seleccione el grupo. 2. Elija el comando de menú "Editar" > "Propiedades...". La visualización es idéntica a la del cuadro de diálogo en el modo avanzado pero los valores no se pueden modificar. Manual de configuración, 03/2012, C79000-G8978-C

172 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado 6.5 Configuración de túneles en el modo avanzado El modo avanzado ofrece posibilidades para configurar de forma específica la comunicación por túnel. Cambiar al modo avanzado Para todas las funciones descritas en este capítulo, cambie al modo avanzado. Nota No se puede regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual, una vez cambiado al modo avanzado ya no se puede regresar. Soluciones para SCT standalone: Cierre el proyecto sin guardarlo y vuelva a abrirlo Configuración de propiedades de grupo Propiedades de grupo ATENCIÓN Se requieren conocimientos sobre IPsec Para poder ajustar estos parámetros necesita tener conocimientos en materia de IPsec. Si no efectúa o modifica ningún ajuste, rigen los ajustes predeterminados del modo normal. En el modo avanzado se pueden configurar las siguientes propiedades de grupo: Método de autenticación Ajustes IKE (área de diálogo: Advanced Settings Phase 1) Ajustes IPsec (área de diálogo: Advanced Settings Phase 2) Así se llega a esa función 1. En el área de navegación, seleccione el grupo VPN que desea editar. 172 Manual de configuración, 03/2012, C79000-G8978-C286-01

173 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado 2. Elija el comando de menú "Editar" > "Propiedades...". 3. Elija si para la autenticación debe utilizarse una Preshared Key o un certificado. Encontrará más información al respecto en el capítulo Métodos de autenticación (Página 166). Manual de configuración, 03/2012, C79000-G8978-C

174 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Parámetros para ajustes ampliados Fase 1 - Ajustes IKE Fase 1: Cambio de código (IKE = Internet Key Exchange): Aquí se ajustan los parámetros para el protocolo de la administración de códigos IPsec. El cambio de código se produce conforme al método estandarizado IKE, para el que se pueden ajustar los siguientes parámetro de protocolo: Parámetro Modo IKE Descripción Método de cambio de código: Main Mode Grupo DH fase 1 Aggressive Mode La diferencia entre la modalidad Main y Aggressive es la "Identity- Protection" que se utiliza en el Main Mode. La identidad se transmite codificada en el Main Mode, en el Aggressive Mode no. Convenio de codificación Diffie-Hellman: Group 1 Group 2 Tipo de vida útil SA Vida útil SA Cifrado fase 1 Group 5 Grupos Diffie-Hellman (algoritmos criptográficos seleccionables en el protocolo de cambio de códigos Oakley) Phase 1 Security Association (SA): Time: Limitación del tiempo en minutos Se limita el tiempo de vida útil para el material de codificación actual. Una vez transcurrido ese tiempo se negocia de nuevo el material de codificación. Valor numérico: Rango de valores para Time: minutos (predeterminado: ) Algoritmo de cifrado: DES: Data Encryption Standard (longitud de código 56 bits, modo CBC) 3DES-168: DES triple (longitud de código 168 bits, modo CBC) AES-128, 192, 256: Advanced Encryption Standard (longitud de código 128 bits, 192 bits o 256 bits, modo CBC) Autenticación fase 1 Algoritmo de autenticación: MD5: Message Digest Algorithm 5 SHA1: Secure Hash Algorithm 1 Parámetros para Advanced Settings Phase 2 - Ajustes IPSec Fase 2: Intercambio de datos (ESP = Encapsulating Security Payload) Aquí se ajustan los parámetros para el protocolo del intercambio de datos IPsec. El intercambio de datos se produce en el "Quick Mode". Toda la comunicación que se produce en esta fase está cifrada a través del protocolo de seguridad estandarizado ESP, para el que pueden configurarse los siguientes parámetros: 174 Manual de configuración, 03/2012, C79000-G8978-C286-01

175 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Parámetro Tipo de vida útil SA Descripción Phase 2 Security Association (SA): Time: Limitación de tiempo en minutos. Se limita el tiempo de vida útil para el material de codificación actual. Una vez transcurrido ese tiempo se negocia de nuevo el material de codificación. Limit: Limitación del volumen de datos en MB Vida útil SA Valor numérico: Rango de valores para Time: minutos (predeterminado: 2880) Rango de valores para Limit: MB (predeterminado: 4000) Cifrado fase 2 Algoritmo de cifrado: DES: Data Encryption Standard (longitud de código 56 bits, modo CBC) 3DES-168: DES triple (longitud de código 168 bits, modo CBC) AES-128: Advanced Encryption Standard (longitud de código 128 bits, modo CBC) Autenticación fase 2 Algoritmo de autenticación: MD5: Message Digest Algorithm 5 SHA1: Secure Hash Algorithm 1 Perfect Forward Secrecy Elija si antes de cada negociación de una SA IPsec tiene lugar una nueva negociación de la clave con ayuda del procedimiento Diffie-Hellman. Perfect Forward Secrecy garantiza que desde los códigos generados anteriormente no puedan cerrarse los códigos nuevos Incluir un módulo de seguridad en un grupo configurado Las propiedades de grupo configuradas se adoptan para los módulos de seguridad nuevos que se incluyen en un grupo existente. Procedimiento a seguir Dependiendo de que las propiedades de grupo se hayan modificado o no, se tiene que prodecer de forma distinta: Caso a: No se han modificado las propiedades del grupo 1. Agregue los módulos de seguridad nuevos al grupo. 2. Cargue la configuración en los nuevos módulos. Caso b: Se han modificado las propiedades del grupo 1. Agregue los módulos de seguridad nuevos al grupo. 2. Cargue la configuración en todos los módulos pertenecientes al grupo. Manual de configuración, 03/2012, C79000-G8978-C

176 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Ventaja No es necesario configurar de nuevo ni cargar los módulos de seguridad ya existentes y que ya se han puesto en servicio. La comunicación en curso no se ve afectada ni interrumpida. Ajustes para estaciones con dirección IP desconocida Las estaciones para las que no se conoce la dirección IP en el momento de la configuración (unknown peers) se pueden insertar en un grupo VPN ya existente. Dado que la mayoría de estaciones suele tener un uso móvil y obtienen su dirección IP dinámicamente (p. ej. un SOFTNET Security Client o SCALANCE M), el túnel VPN sólo puede establecerse si los ajustes de parámetros para la fase 1 se realizan conforme a una de las siguientes tablas. Si utiliza otros ajustes, no será posible establecer un túnel VPN con el dispositivo terminal. Tabla 6-2 Parámetros de cifrado 1 Parámetro Cifrado fase 1 Grupo DH fase 1 Autenticación fase 1 Método de autenticación Vida útil SA Ajuste AES-256 Group2 SHA1 Certificado minutos Tabla 6-3 Parámetros de cifrado 2 Parámetro Cifrado fase 1 Grupo DH fase 1 Autenticación fase 1 Método de autenticación Vida útil SA Ajuste 3DES-168 Group2 SHA1 Certificado minutos Tabla 6-4 Parámetros de cifrado 3 Parámetro Cifrado fase 1 Grupo DH fase 1 Autenticación fase 1 Método de autenticación Vida útil SA Ajuste DES Group2 MD5 Certificado minutos 176 Manual de configuración, 03/2012, C79000-G8978-C286-01

177 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Tabla 6-5 Parámetros de cifrado 4 Parámetro Cifrado fase 1 Grupo DH fase 1 Autenticación fase 1 Método de autenticación Vida útil SA Ajuste 3DES-168 Group2 SHA1 Preshared Key minutos Limitaciones adicionales para el SOFTNET Security Client Para el SOFNET Security Client rigen además las siguientes limitaciones: Parámetro Ajuste/particularidad Cifrado fase 1 AES-256 solo es posible con Windows 7 Fase 1 vida útil SA minutos Tipo de vida útil SA Debe ser idéntico para ambas fases. Cifrado fase 2 No es posible AES-128 Fase 2 vida útil SA minutos Autenticación fase 2 No es posible MD5 Incluir estaciones activas en un grupo VPN Si una estación activa se agrega a un grupo VPN ya existente, la estación podrá acceder a las estaciones del grupo sin necesidad de tener que cargar el proyecto de nuevo en todas ellas. ATENCIÓN Si retira una estación activa de un grupo VPN existente, la estación podrá establecer una conexión con las estaciones del grupo aunque haya vuelto a cargar el proyecto en todas ellas. Si no desea que la estación activa retirada establezca conexión, renueve el certificado de grupo CA y vuelva a cargar el proyecto en las estaciones del grupo VPN. El certificado puede renovarse en las propiedades de grupo del grupo VPN o en el administrador de certificados, en la ficha "Entidades emisoras". Manual de configuración, 03/2012, C79000-G8978-C

178 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Configurar propiedades VPN específicas del módulo Significado Para el intercambio de datos a través de túnel IPsec en VPN se pueden configurar las siguientes propiedades específicas del módulo: Dead-Peer-Detection Permiso para iniciar el establecimiento de la conexión Dirección IP pública para la comunicación a través de gateways de Internet Requisitos En la ficha "VPN" sólo se pueden realizar ajustes si el módulo de seguridad configurado se encuentra en un grupo VPN. Así se llega a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN". Dead-Peer-Detection (DPD) Como estándar está activado DPD. Estando activado DPD, los módulos intercambian mensajes adicionales a intervalos de tiempo ajustables. Eso permite detectar si la conexión IPsec todavía es válida o si es necesario volver a establecerla. Si ya no hay conexión, se finalizan prematuramente las "Security Associations" (SA) de fase 2. Con DPD desactivado, la SA no se finaliza hasta haber concluido su vida útil. Para ajustar la vida útil de la SA, véase la configuración de las propiedades de grupo. Permiso para iniciar el establecimiento de la conexión Se puede limitar el permiso para iniciar el establecimiento de la conexión de VPN a determinados módulos de la VPN. El factor decisivo para el ajuste del parámetro aquí descrito es la asignación de la dirección IP para la gateway del módulo configurado. En el caso de una dirección IP asignada estáticamente, el módulo puede ser encontrado por el interlocutor. En el caso de una dirección IP asignada dinámicamente, y por lo tanto constantemente cambiante, el interlocutor no puede establecer sin más una conexión. 178 Manual de configuración, 03/2012, C79000-G8978-C286-01

179 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Modo Iniciando conexión con interlocutor (predeterminado) Esperando a interlocutor Significado Con esta opción, el módulo está "activo", es decir, intenta establecer una conexión con el interlocutor con una dirección IP fija. Esta opción se recomienda si el proveedor ha asignado una dirección IP dinámica para la gateway del módulo de seguridad configurado. El direccionamiento del interlocutor tiene lugar a través de su dirección IP WAN configurada o de su dirección IP de módulo externa. Con esta opción, el módulo está "pasivo", es decir, espera a que el interlocutor inicie el establecimiento de la conexión. Esta opción se recomienda si el proveedor ha asignado una dirección IP estática para la gateway del módulo de seguridad configurado. Con esto se consigue que sólo el interlocutor con dirección IP WAN dinámica intente establecer la conexión. ATENCIÓN No ponga todos los módulos de un grupo VPN a "Esperando al interlocutor", pues de hacerlo no se establece ninguna conexión. Dirección IP WAN - direcciones IP de los módulos y gateways en una VPN vía Internet Para el funcionamiento de una VPN con túneles IPsec a través de Internet se necesitan, por regla general, direcciones IP adicionales para las gateways de Internet, como por ejemplo routers DSL. Los distintos módulos de seguridad o SCALANCE M tienen que conocer las direcciones IP externas de los módulos interlocutores de la VPN. Nota Para el uso de una WAN como red externa pública indique en "Dirección IP ext." la dirección IP proporcionada por el proveedor, a través de la cual el módulo de seguridad estará accesible en la WAN (Internet). Para que el módulo de seguridad pueda enviar a través de la WAN (Internet), introduzca el router DSL como "Router estándar". Si utiliza un router DSL como gateway de Internet, habilite en él al menos los puertos siguientes: Port 500 (ISAKMP) Port 4500 (NAT-T) Para SCALANCE S es necesario habilitar también el puerto 443 (HTTPS) para descargas de configuraciones (a través de WAN sin túnel activo). Manual de configuración, 03/2012, C79000-G8978-C

180 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Para ello se puede asignar en la configuración del módulo una dirección IP externa como "dirección IP WAN". Al cargar la configuración del módulo, se comunica a las estaciones del grupo las direcciones IP WAN de los módulos interlocutores. Para elegir si debe utilizarse la dirección IP externa o la dirección IP WAN, haga clic sobre el módulo de seguridad correspondiente en un grupo VPN y seleccione la dirección en el área de contenido. Encontrará más información al respecto en el capítulo Crear grupos y asignar módulos (Página 168). Si no especifica una dirección IP WAN, se utilizará la dirección IP externa del módulo. 1 Dirección IP interna - de un módulo 2 Dirección IP externa - de un módulo 3 Dirección IP interna - de una gateway de Internet (p. ej. gateway GPRS) 4 Dirección IP externa (dirección IP WAN) - de una gateway de Internet (p. ej. router DSL) 180 Manual de configuración, 03/2012, C79000-G8978-C286-01

181 Comunicación segura en la VPN a través de túnel IPsec 6.6 Configuración de nodos de red internos 6.6 Configuración de nodos de red internos Configuración de nodos de red internos Para poder determinar la autenticidad de un telegrama, cada módulo de seguridad debe conocer los nodos de toda la red interna. El módulo de seguridad debe conocer tanto su propio nodo interno, como los nodos internos de los módulos de seguridad con los que comparte el grupo VPN. En un módulo de seguridad, esta información se utiliza para determinar qué paquete de datos se debe transmitir por qué túnel. El módulo de seguridad permite aprender los nodos de la red automáticamente o configurarlos estáticamente. Nodos en módulos de seguridad en modo Bridge SCALANCE S Para un SCALANCE S en modo Bridge se pueden configurar aquí las subredes internas estáticas y los nodos IP/MAC internos, y se puede permitir o bloquear el aprendizaje automático de nodos internos. CP 1628 Los nodos NDIS estáticos se pueden configurar especificando los nodos NDIS accesibles a través del túnel VPN. El aprendizaje automático de nodos internos siempre está activado. Módulo de seguridad en modo de enrutamiento y dentro de un grupo VPN SCALANCE S Indique las estaciones internas o subredes completas que deben ser accesibles a través del túnel VPN. En el modo de enrutamiento se tunelan subredes completas; en ellas no es necesario aprender los nodos de red. CP x43-1 Adv. Elija a qué subredes del CP pueden tener acceso los interlocutores de la VPN que se encuentran en relación de enrutamiento con el CP (SCALANCE S en modo de enrutamiento y SCALANCE M). Manual de configuración, 03/2012, C79000-G8978-C

182 Comunicación segura en la VPN a través de túnel IPsec 6.6 Configuración de nodos de red internos Funcionamiento del modo de aprendizaje Localización automática de estaciones para la comunicación vía túnel (en el SCALANCE S sólo modo Bridge) Una gran ventaja para la configuración y el funcionamiento de la comunicación vía túnel es que los módulos de seguridad pueden localizar por sí mismos las estaciones en la red interna. Nuevas estaciones son detectadas por el módulo de seguridad durante el funcionamiento. Las estaciones detectadas se notifican a los módulos de seguridad pertenecientes al mismo grupo. Con esto está garantizado en todo momento el intercambio de datos en ambos sentidos dentro de los túneles de un grupo. Requisitos Se detectan los siguientes nodos: Nodos de red aptos para IP Se encuentran nodos de red aptos para IP si envían una respuesta ICMP al ICMP- Subnet-Broadcast. Nodos IP situados detrás de routers se pueden encontrar si los routers transmiten ICMP- Broadcasts. Nodos de red ISO Nodos de red que no sean aptos para IP, pero que a los que pueda accederse a través del protocolo ISO, también se pueden programar por aprendizaje. Condición para ello es que respondan a telegramas XID o TEST. TEST y XID (Exchange Identification) son protocolos auxiliares para el intercambio de informaciones en el nivel Layer 2. Enviando estos telegramas con una dirección Broadcast se pueden localizar estos nodos de red. Nodos PROFINET Con ayuda de DCP (Discovery and basic Configuration Protocol) se encuentran nodos PROFINET. Los nodos de red que no cumplan estos requisitos se tienen que configurar manualmente. Subredes También se tienen que configurar subredes que se encuentren detrás de routers internos. Activación y desactivación del modo de aprendizaje La función de aprendizaje está activada como estándar para cada módulo de seguridad en caso de configuración con la herramienta Security Configuration Tool. La programación por aprendizaje también se puede desactivar por completo para el SCALANCE S. Entonces se tienen que configurar manualmente todos los nodos de red internos que intervengan en la comunicación vía túnel. 182 Manual de configuración, 03/2012, C79000-G8978-C286-01

183 Comunicación segura en la VPN a través de túnel IPsec 6.6 Configuración de nodos de red internos A esta función se accede del siguiente modo 1. Seleccione el módulo. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Nodo". Cuándo es conveniente desactivar el modo de aprendizaje automático? Los ajustes estándar para el módulo de seguridad parten de que las redes internas son siempre seguras; esto significa también que normalmente no se conectan a la red interna nodos de red que no sean dignos de confianza. La desactivación del modo de aprendizaje puede ser conveniente si la red interna es estática, es decir, si no cambian el número ni las direcciones de los nodos internos. Manual de configuración, 03/2012, C79000-G8978-C

184 Comunicación segura en la VPN a través de túnel IPsec 6.6 Configuración de nodos de red internos Con la desconexión del modo de aprendizaje se suprime en la red interna la carga que los telegramas de programación por aprendizaje suponen para el medio y los nodos. También aumentan en cierta medida las prestaciones del módulo de seguridad, ya que no tiene que procesar los telegramas de programación por aprendizaje. Observación: En el modo de aprendizaje se registran todos los nodos de la red interna. Los datos relativos a los recursos de la VPN se refieren sólo a los nodos que se comuniquen en la red interna a través de VPN. ATENCIÓN Si en la red interna se utilizan más de 128 nodos internos, se sobrepasa con esto el alcance admisible y se genera un estado operativo no permitido. Debido a la dinámica en el tráfico de la red ocurre entonces que los nodos internos ya programados por aprendizaje son reemplazados por nuevos nodos internos, hasta ahora desconocidos Visualización de los nodos de red internos encontrados Todos los nodos de red localizados se visualizan en la Security Configuration Tool. 1. Pase el modo "Online". 184 Manual de configuración, 03/2012, C79000-G8978-C286-01

185 Comunicación segura en la VPN a través de túnel IPsec 6.6 Configuración de nodos de red internos 2. Elija el comando de menú "Editar" > "Diagnóstico online...", ficha "Nodos internos". Manual de configuración, 03/2012, C79000-G8978-C

186 Comunicación segura en la VPN a través de túnel IPsec 6.6 Configuración de nodos de red internos Nodos de red no programables Existen en la red interna nodos que no se pueden programar por aprendizaje. Estas estaciones se tienen que configurar en el modo avanzado. También se tienen que configurar subredes que se encuentren en la red interna del módulo de seguridad. A esta ficha se accede del siguiente modo 1. Seleccione el módulo. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Nodo". 3. Introduzca en las distintas fichas los parámetros de dirección requeridos para todos los nodos de red que deban ser protegidos por el módulo de seguridad seleccionado. Efecto al utilizar SOFTNET Security Client Si configura estaciones estáticamente, también deberá cargar nuevamente la configuración para un SOFTNET Security Client empleado en el grupo VPN. En función del módulo de seguridad y del modo están disponibles distintas fichas que aparecen descritas en la ayuda en pantalla. 186 Manual de configuración, 03/2012, C79000-G8978-C286-01

187 SOFTNET Security Client 7 Con el software para PC SOFTNET Security Client son posibles accesos remotos seguros desde el PC o la PG a autómatas programables protegidos por módulos de seguridad, más allá de los límites de redes públicas. En este capítulo se describe cómo configurar el SOFTNET Security Client en la Security Configuration Tool y cómo ponerlo después en servicio en el PC o la PG. Otras informaciones La ayuda online del SOFTNET Security Client le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. F1 Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de diálogo. Consulte también Comunicación segura en la VPN a través de túnel IPsec (Página 163) 7.1 Uso de SOFTNET Security Client Campo de aplicación - acceso a través de VPN Con el SOFTNET Security Client se configura una PG o un PC de manera que pueda establecer automáticamente una conexión en túnel IPsec segura en la VPN (Virtual Private Network) con uno o más módulos de seguridad. Las aplicaciones para PG o PC, como por ejemplo el diagnóstico NCM o STEP 7, pueden acceder a través de una conexión tunelada segura a dispositivos o redes que se encuentren en una red interna protegida por el módulo de seguridad. Manual de configuración, 03/2012, C79000-G8978-C

188 SOFTNET Security Client 7.1 Uso de SOFTNET Security Client Security-Modul Security-Modul Security-Modul Comunicación automática a través de VPN Importante para su aplicación es que el SOFTNET Security Client reconozca cuándo se produce un acceso a la dirección IP de una estación de la VPN Direccione la estación a través de la dirección IP como si se encontrara en la subred local en la que está conectado también el PC o la PG que tiene instalada la aplicación. ATENCIÓN A través del túnel IPsec SSC sólo se puede comunicar mediante IP con los módulos de seguridad y las estaciones internas situadas después del módulo de seguridad. La comunicación de capa 2 no es posible con el SSC. Manejo El software para PC SOFTNET Security Client permite configurar las propiedades de seguridad necesarias para la comunicación con dispositivos protegidos por módulos de seguridad. Tras la configuración, el SOFTNET Security Client funciona en segundo plano, lo que se indica mediante un icono en la barra de herramientas de la PG el PC. 188 Manual de configuración, 03/2012, C79000-G8978-C286-01

189 SOFTNET Security Client 7.1 Uso de SOFTNET Security Client Detalles en la ayuda online Encontrará también informaciones detalladas sobre los cuadros de diálogo y los campos de introducción en la ayuda online de la interfaz de operación del SOFTNET Security Client. F1 A la ayuda online se accede por medio del botón "Help" o con la tecla F1. Cómo funciona el SOFTNET Security Client? El SOFTNET Security Client carga por lectura la configuración creada con la herramienta de configuración Security Configuration Tool y determina, sobre la base del archivo, los certificados a importar. El Root-Certificate y las Private Keys se importan y se almacenan en el PG/PC local. Con los datos de la configuración se realizan a continuación ajustes de seguridad para que las aplicaciones pueden acceder a direcciones IP en y posteriores a los módulos de seguridad. Si está activado el modo de aprendizaje para las estaciones internas o los autómatas programables, el módulo de configuración establece primero una directiva de seguridad para el acceso seguro a los módulos de seguridad. A continuación, el SOFTNET Security Client determina las direcciones IP de las estaciones internas de cada caso y las registra en listas de filtros especiales de la directiva de seguridad. Resultado: Las aplicaciones, como por ejemplo STEP 7, se pueden comunicar con los autómatas a través de VPN. ATENCIÓN En un sistema Windows, las directivas de seguridad IP están archivadas en forma personalizada. Para cada usuario sólo puede ser válida una única directiva de seguridad IP. Si una directiva de seguridad IP existente no dese ser sobrescrita por la instalación del SOFTNET Security Client, instale y utilice el SOFTNET Security Client como usuario creado especialmente para ello. Sistemas operativos soportados El SOFTNET Security Client es adecuado para el uso en los siguientes sistemas operativos: Microsoft Windows XP 32 bits + Service Pack 3 Microsoft Windows 7 Professional 32/64 bits Microsoft Windows 7 Professional 32/64 bits + Service Pack 1 Microsoft Windows 7 Ultimate 32/64 bits Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1 Manual de configuración, 03/2012, C79000-G8978-C

190 SOFTNET Security Client 7.2 Instalación y puesta en servicio del SOFTNET Security Client Comportamiento en caso de problemas Si se presentan problemas en el PG/PC, SOFTNET Security Client reacciona del siguiente modo: las directivas de seguridad establecidas se conservan también después de desconectar y volver a conectar el PG/PC; en caso de una configuración incorrecta se emiten mensajes. 7.2 Instalación y puesta en servicio del SOFTNET Security Client Instalación e inicio de SOFTNET Security Client El software de PC SOFTNET Security Client se instala desde el CD de producto. 1. Lea primero lo dicho en el archivo README de su CD SCALANCE S y tenga en cuenta eventuales instrucciones adicionales para la instalación. 2. Ejecute el programa Setup. Lo más sencillo es que para ello abra el índice de su CD SCALANCE S se inicia automáticamente al introducir el CD o bien se puede abrir a través del archivo start_exe. Seleccione entonces directamente la entrada "Installation SOFTNET Security Client" Tras la instalación y el inicio de SOFTNET Security Client aparece el símbolo de SOFTNET Security Client en la barra de tareas de Windows: Configuración de SOFTNET Security Client Una vez activadas, las funciones más importantes se desarrollan en segundo plano en el PG/PC. La configuración de SOFTNET Security Client se realiza del siguiente modo: Exportación de una configuración de seguridad desde la herramienta de configuración Security Configuration Tool. Importación de la configuración de Security en la superficie propia, tal como se describe en el apartado siguiente. 190 Manual de configuración, 03/2012, C79000-G8978-C286-01

191 SOFTNET Security Client 7.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Comportamiento de arranque El proceso de carga de la reglas de seguridad puede requerir hasta 15 minutos. La CPU de su PG/PC se utiliza al 100% de su rendimiento durante ese tiempo. Salir de SOFTNET Security Client Para salir de SOFTNET Security Client, proceda del siguiente modo: Haga clic con la tecla derecha del ratón en el símbolo de SOFTNET Security Client y elija la opción "Salir de SOFTNET Security Client". En la interfaz abierta, haga clic en el botón "Salir". Resultado: Se cierra el SOFTNET Security Client y se desactiva la directiva de seguridad Desinstalación de SOFTNET Security Client Al realizar la desinstalación se reponen al estado original las propiedades de Security ajustadas por el SOFTNET Security Client. 7.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Configuración del módulo SOFTNET Security Client en el proyecto El SOFTNET Security Client se habilita en el proyecto como módulo. A diferencia de los módulos de seguridad, no es necesario configurar otras propiedades. Asigne el módulo SSC al grupo o a los grupos VPN en los que deben configurarse túneles IPsec a la PG o el PC. De ese modo se aplican las propiedades de grupo que se habían configurado para esos grupos. ATENCIÓN Tenga en cuenta las indicaciones sobre los parámetros en el capítulo Incluir un módulo de seguridad en un grupo configurado (Página 175). Nota Si crea varios SOFTNET Security Clients dentro de un grupo, no se establece ningún túnel entre ellos, sino sólo entre el cliente correspondiente y los módulos de seguridad. Manual de configuración, 03/2012, C79000-G8978-C

192 SOFTNET Security Client 7.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Archivos de configuración para SOFTNET Security Client La interfaz entre la herramienta de configuración Security Configuration Tool y el SOFTNET Security Client es operada a través de archivos de configuración. La configuración se guarda en los siguientes tipos de archivo: *.dat *.p12 *.cer Procedimiento Para generar los archivos de configuración, realice los siguientes pasos en SCT: 1. Cree un módulo del tipo SOFTNET Security Client en la SCT. 192 Manual de configuración, 03/2012, C79000-G8978-C286-01

193 SOFTNET Security Client 7.4 Operación de SOFTNET Security Client 2. Asigne el módulo a los grupos VPN en los que la PG o el PC se deba comunicar a través de túneles IPsec. 3. En el menú contextual de SOFTNET Security Client, elija el comando de menú "Transfer" > "To Module...". 4. Seleccione la ruta de almacenamiento para los archivos de configuración. 5. Si ha elegido "Certificate" como método de autenticación, indique una contraseña para el certificado de la configuración de VPN. Si no asigna ninguna contraseña, se adopta el nombre del proyecto (no la contraseña del proyecto) como contraseña. Resultado: La exportación de los archivos de configuración ha concluido. 6. Transfiera los archivos del tipo *.dat, *.p12, *.cer a la PG o el PC en el que desee utilizar el SOFTNET Security Client. 7.4 Operación de SOFTNET Security Client Propiedades configurables En concreto se pueden utilizar los siguientes servicios: Configuración de una comunicación segura por túneles IPsec (VPN) entre el PC o la PG y todos los módulos de seguridad o módulos de seguridad determinados de un proyecto. El PC o la PG pueden acceder al módulo de seguridad y los nodos internos de la VPN a través de esos túneles IPsec. Desactivación y activación de conexiones seguras ya configuradas. Configurar conexiones para dispositivos terminales agregados con posterioridad. Para ello tiene que estar activado el modo de aprendizaje. Comprobación de una configuración, es decir, ver qué conexiones están configuradas o son posibles. Manual de configuración, 03/2012, C79000-G8978-C

194 SOFTNET Security Client 7.4 Operación de SOFTNET Security Client Llamada de SOFTNET Security Client para la configuración Haga doble clic en el icono de la barra de tareas de Windows o elija "Open SOFTNET Security Client" en el menú contextual. A través de los botones se accede a las siguientes funciones: 194 Manual de configuración, 03/2012, C79000-G8978-C286-01

195 SOFTNET Security Client 7.4 Operación de SOFTNET Security Client Botón Cargar datos de configuración Tunnel Overview Disable Minimize Quit Help Info Significado Cuadro de diálogo para la selección de un archivo de configuración para la importación Seleccione un archivo y haga clic en el botón "Open". Resultado: Se lee la configuración. En el cuadro de diálogo se pregunta si los túneles se deben configurar inmediatamente para todos los módulos de seguridad. Si en la configuración están registradas direcciones IP de los módulos de seguridad o si está activo el modo de aprendizaje, se establecen los túneles para todas las direcciones configuradas o determinadas. Este procedimiento es particularmente rápido y eficiente para configuraciones pequeñas. Como opción, en el cuadro de diálogo de "Vista general de túneles" se pueden configurar también todos los túneles. Observación: Se pueden importar uno tras otro los archivos de configuración de varios proyectos creados en la SCT (véase también la explicación siguiente sobre el procedimiento). Cuadro de diálogo para configurar y editar túneles. A través de este cuadro de diálogo se realiza la configuración propiamente dicha del SOFTNET Security Client. Se muestra una lista de los túneles seguros con las direcciones IP de los módulos de seguridad. Si en la PG o el PC existen varios adaptadores de red, el SOFTNET Security Client selecciona automáticamente uno de ellos, a través del cual se intenta establecer un túnel. Pero es posible que el SOFTNET Security Client no consiga encontrar uno apropiado para su estación, en cuyo caso introduce uno cualquiera. En ese caso hay que adaptar manualmente la configuración de adaptadores en el cuadro de diálogo "Network adapters", en el menú contextual de las estaciones y los módulos de seguridad. Desactivar todos los túneles seguros. Se cierra la interfaz de usuario de SOFTNET Security Client. El icono de SOFTNET Security Client permanece visible en la barra de tareas de Windows. SOFTNET Security Client se cierra y se desactivan todos los túneles. Abrir la Ayuda en pantalla. Información sobre la versión del SOFTNET Security Client Detalles: Lista de todos los archivos necesarios para el funcionamiento de SOFTNET Security Client con notificación sobre si estos se han podido encontrar en el sistema Manual de configuración, 03/2012, C79000-G8978-C

196 SOFTNET Security Client 7.5 Configuración y edición de túneles 7.5 Configuración y edición de túneles Configuración de conexiones seguras con todos los módulos de seguridad En el cuadro de diálogo para la importación de la configuración, elija si deben establecerse de inmediato túneles para todos los módulos de seguridad. De esto resultan las siguientes posibilidades: Activación automática del túnel Si en la configuración están registradas las direcciones IP de los módulos de seguridad o si está activo el modo de aprendizaje, se establecen los túneles para todas las direcciones configuradas o determinadas. Sólo lectura de la configuración del túnel Opcionalmente es posible sólo leer los túneles configurados y activarlos a continuación individualmente en el cuadro de diálogo para el establecimiento de los túneles. 196 Manual de configuración, 03/2012, C79000-G8978-C286-01

197 SOFTNET Security Client 7.5 Configuración y edición de túneles Establecimiento de conexiones de túnel 1. Abra el cuadro de diálogo para la importación de los archivos de configuración con el botón "Load Configuration Data". 2. Seleccione el archivo de configuración creado con SCT. Se pueden leer simultáneamente datos de configuración de varios proyectos. Si en SOFTNET Security Client ya hay datos de configuración, elija una de las siguientes opciones: "deleted": Sólo están disponibles los últimos datos de configuración cargados. "imported and replaced": Es conveniente si se han realizado cambios en los datos de configuración, por ejemplo si sólo se ha modificado la configuración en el proyecto a y se conservan inalterados los proyectos b y c. "not imported": Es conveniente si en un proyecto se ha agregado un módulo de seguridad, sin que se pierdan nodos internos ya aprendidos. 3. Si en SCT ha seleccionado "Certificate" como método de autenticación, introduzca la contraseña. Manual de configuración, 03/2012, C79000-G8978-C

198 SOFTNET Security Client 7.5 Configuración y edición de túneles 4. Seleccione si se deben activar las conexiones de túnel para las estaciones configuradas en la configuración (estaciones de configuración estática). Si no impulsa aquí todavía la activación, lo puede hacer en todo momento en el cuadro de diálogo para túneles que se describe a continuación. Si ha seleccionado la activación de las conexiones de túnel, éstas se establecen ahora entre SOFTNET Security Client y los módulos de seguridad. Esto puede durar varios segundos. 198 Manual de configuración, 03/2012, C79000-G8978-C286-01

199 SOFTNET Security Client 7.5 Configuración y edición de túneles 5. Abra el cuadro de diálogo "Tunnel Overview" En la tabla se muestran los módulos y las estaciones con información de estado de las conexiones de túnel. 6. Si en la tabla no se muestra algún nodo o estación, deposite un comando Ping al nodo que falta a través de la línea de comandos. Resultado: El módulo de seguridad aprende entonces el nodo, y lo transmite al SOFTNET Security Client. Observación: Si el cuadro de diálogo no está abierto mientras se registra una estación, se presenta automáticamente el cuadro de diálogo. Nota Estaciones y subredes configuradas estáticamente Si se configuran estaciones o subredes de forma estática, también hay que volver a cargar la configuración para un SOFTNET Security Client utilizado en el grupo VPN. Manual de configuración, 03/2012, C79000-G8978-C

200 SOFTNET Security Client 7.5 Configuración y edición de túneles 7. Active las estaciones para las que todavía hay establecida una conexión de túnel. Una vez que la conexión se ha establecido correctamente, abra la aplicación que debe establecer una conexión con una de las estaciones, p. ej. STEP 7. ATENCIÓN Si en la PG o el PC hay varios adaptadores de red, SSC elige automáticamente el adaptador de red para el establecimiento de un túnel. Si no hay ningún adaptador de red adecuado para el proyecto, SSC introduce uno automáticamente. En ese caso, adapte el ajuste para el adaptador de red a través del menú contextual de las estaciones y los módulos de seguridad. Significado de los parámetros Tabla 7-1 Parámetros en el cuadro de diálogo "Tunnel over:..." Parámetros Status Name IP participante int. / subred IP de punto final de túnel Tunnel over... Significado / margen de valores La tabla siguiente muestra las posibles indicaciones de estado. Nombre del módulo o la estación adoptado de la configuración de SCT. Si hay estaciones o subredes internas, se muestra la dirección IP del nodo interno o la ID de red de la subred interna. Dirección IP del módulo de seguridad asignado. Si el PC funciona con varias tarjetas de red, se indica la dirección IP asignada, a través de la cual se establece el túnel VPN. Tabla 7-2 Icono Indicaciones de estado Significado No hay conexión con el módulo o la estación. Hay otras estaciones, que no se muestran. Haga un doble clic en este icono para ver más estaciones. La estación no está activada. La estación participante está activada. Módulo de seguridad desactivado. Módulo de seguridad activado. Módulo SCALANCE M desactivado. Módulo SCALANCE M activado. Subred interna desactivada. Subred interna activada. El módulo o la estación no es accesible. 200 Manual de configuración, 03/2012, C79000-G8978-C286-01

201 SOFTNET Security Client 7.5 Configuración y edición de túneles Icono Significado El módulo o la estación es accesible. Test de accesibilidad desactivado. Casilla de control "enable active learning" Si en la configuración de los módulos de seguridad está activado el modo de aprendizaje, éste también puede activarse para el SOFTNET Security Client. De ese modo se obtiene automáticamente la información sobre las estaciones internas de los módulos de seguridad. En cualquier otro caso, el campo de selección "Enable active learning" estará desactivado. Manual de configuración, 03/2012, C79000-G8978-C

202 SOFTNET Security Client 7.5 Configuración y edición de túneles Selección y operación de la entrada "túnel" En el cuadro de diálogo "Tunnel Overview" seleccione una entrada y abra otras opciones a través del menú contextual. ATENCIÓN Si para un adaptador de red se utilizan varias direcciones IP, asigne la dirección IP a cada entada en el cuadro de diálogo "Tunnel Overview". 202 Manual de configuración, 03/2012, C79000-G8978-C286-01

203 SOFTNET Security Client 7.5 Configuración y edición de túneles Botón "Delete All" La directiva de seguridad IP y todas las entradas no configuradas mediante SSC se borran. Desactivación y activación de conexiones seguras ya configuradas Las conexiones seguras establecidas se desactivan con el botón "Disable". Al hacer clic en el botón el texto del botón cambia a "Connect" y se modifica el icono de la barra de estado. Resultado: En el PC está desactivada la Security Policy. Para deshacer el cambio y volver a activar el túnel establecido, haga clic en el botón "Connect". Consola de Log En el cuadro de diálogo "Settings" se define qué entradas se muestran en la consola de registros. Información de diagnóstico para el establecimiento de la conexión con los módulos de seguridad o SCALANCE M y estaciones y subredes internas configuradas. Sello con fecha y hora de la aparición de los eventos Establecimiento y anulación de una Security Association Test de accesibilidad con resultado negativo (ping de test) a las estaciones configuradas Botón "Empty list" Borra todas las entradas de la consola. Ajustes globales para SOFTNET Security Client 1. En la ventana principal del SOFTNET Security Client, elija el comando de menú "Options" > "Settings". 2. Aquí se hacen ajustes globales, que se mantienen aunque el SOFTNET Security Client se cierre y se vuelva a abrir. Las funciones se pueden ver en la siguiente tabla. Función Tamaño del archivo Log (consola log) Número de mensajes que se deben mostrar en la consola log de la vista general del túnel. Descripción / opciones Tamaño del archivo de registro del archivo fuente que contiene los mensajes que se muestran en la consola de registros de la sinopsis de túneles filtrados y limitados a un número determinado. Número de mensajes que se extraen del archivo de registro del archivo fuente y que se muestran en la consola de registros de la sinopsis de túneles. Manual de configuración, 03/2012, C79000-G8978-C

204 SOFTNET Security Client 7.5 Configuración y edición de túneles Función Se emiten los siguientes mensajes log en la consola log de la vista general del túnel: Descripción / opciones Mensajes que se muestran opcionalmente en la consola de registros de la sinopsis de túneles. Visualización del test de accesibilidad negativo (Ping) Crear / borrar Security Associations (Quick Modes) Crear / borrar Main Modes Cargar archivos de configuración Aprendizaje de estaciones participantes internas Tamaño del archivo log (Debug logfile) Test de accesibilidad, tiempo de espera para la respuesta Desactivar globalmente el test de accesibilidad Tamaño del archivo de registro de los archivos fuente para mensajes Debug del SOFTNET Security Client (pueden ser solicitados por el servicio de atención al cliente para facilitar los análisis) Hora de espera ajustable para el ping que debe indicar la accesibilidad de un interlocutor del túnel. Debe ajustarse principalmente en túneles con vías de transmisión lentas (UMTS, GPRS, etc.), en las que el la vida útil de los paquetes de datos es notablemente superior. De esta forma se influye directamente en la visualización de la accesibilidad de la vista del túnel. Si usted activa esta función, se desactiva globalmente el test de accesibilidad en todas las configuraciones recibidas del SOFTNET Security Client. Ventaja: No hay paquetes adicionales que generan volumen de datos Desventaja: En la sinopsis de túneles no se indica si un interlocutor es accesible o no. Diagnóstico de módulo ampliado En la ventana principal del SOFTNET Security Client, elija el comando de menú "Options" > "Advanced Module Diagnostics". La vista está destinada exclusivamente al diagnóstico del estado del sistema en relación a los módulos de seguridad configurados y puede resultar útil en las consultas al servicio de atención al cliente. Módulo de seguridad Seleccione el módulo cuyo estado de sistema desee diagnosticar. Ajustes de enrutamiento (parámetros específicos de módulo) Muestra los ajustes adoptados de la configuración para interfaces y subredes y nodos internos. 204 Manual de configuración, 03/2012, C79000-G8978-C286-01

205 SOFTNET Security Client 7.5 Configuración y edición de túneles Main Modes activos / Quick Modes activos Si para el módulo seleccionado hay Main Modes o Quick Modes configurados en la PG o el PC, aquí se muestran los detalles correspondientes. Entre la información se incluye el número total de Main Modes o Quick Modes encontrados en el sistema para el módulo seleccionado. Ajustes de enrutamiento (ajustes de red del equipo) Muestra los ajustes de enrutamiento del equipo actuales. A través de la opción "Show all routing settings" se obtiene información adicional sobre el enrutamiento. Direcciones IP asignadas Lista de las interfaces de red que el equipo conoce en combinación con las direcciones IP configuradas o asignadas. Manual de configuración, 03/2012, C79000-G8978-C

206 SOFTNET Security Client 7.5 Configuración y edición de túneles 206 Manual de configuración, 03/2012, C79000-G8978-C286-01

207 Funciones online - Test, Diagnóstico y Logging 8 El módulo de seguridad se ha dotado de funciones de diagnóstico y registro con fines de comprobación y supervisión. Funciones de diagnóstico Con este término se conocen las funciones de sistema y de estado disponibles en el modo online. Funciones de logging Se trata del registro de eventos del sistema y relacionados con la seguridad. Los eventos se registran en áreas de memoria temporal del módulo de seguridad o de un servidor. Para la parametrización y la evaluación de estas funciones se requiere una conexión de red con el módulo de seguridad seleccionado. Registrar eventos con funciones logging Con los ajustes de registro del módulo de seguridad en cuestión se especifica qué eventos deben registrarse. Para el registro pueden configurarse las siguientes variantes: Registro local Con esta variante se registran los eventos en el búfer local del módulo de seguridad. En el diálogo online de la Security Configuration Tool puede recurrir entonces a este registro, hacerlo visible y archivarlo en la Service Station. Syslog de red En el caso de la red Syslog se utiliza un servidor Syslog existente en la red. Éste registra los eventos en función de la configuración de los ajustes de registro del módulo de seguridad en cuestión. Archivar datos de registro y leerlos de un archivo Los eventos registrados se pueden guardar en un archivo de registro con fines de archivación, y abrirlos después en el modo offline. Encontrará más información en el capítulo Panorámica de funciones del cuadro de diálogo online (Página 208). Manual de configuración, 03/2012, C79000-G8978-C

208 Funciones online - Test, Diagnóstico y Logging 8.1 Panorámica de funciones del cuadro de diálogo online 8.1 Panorámica de funciones del cuadro de diálogo online El módulo de seguridad ofrece las siguientes funciones en el cuadro de diálogo online de la Security Configuration Tool: Tabla 8-1 Funciones y logging en el diagnóstico online Función / ficha en el diálogo online Funciones de sistema y estado Status Date and time Significado Visualización del estado del módulo de seguridad seleccionado en el proyecto. Ajuste de la fecha y la hora. Configuración de interfaces Tablas de caché Control de usuarios Estado de la comunicación Nodos internos Vista general de los ajustes de las diferentes interfaces. Visualización de la tabla ARP del módulo de seguridad. Visualización de los usuarios que han iniciado sesión en la página de Internet para conjuntos de reglas IP específicas de usuario. Visualización del estado de comunicación y de los nodos de red internos respecto a otros módulos de seguridad pertenecientes al grupo de VPN. Visualización de los nodos de red internos del módulo de seguridad. Reglas de cortafuegos actualizadas dinámicamente Funciones de logging Registros del sistema Registros de auditoría Registros de filtrado de paquetes Indicación de las direcciones IP que se han habilitado dinámicamente por FTP o HTTP al utilizar listas IP Access Control o que fueron cargadas con posterioridad por otro usuario. Visualización de eventos de sistema registrados. Visualización de eventos de seguridad registrados. Visualización de los paquetes de datos registrados, así como inicio y parada del registro de paquetes. F1 En la Ayuda en pantalla encontrará más información sobre las posibilidades de ajuste de las diferentes fichas. 208 Manual de configuración, 03/2012, C79000-G8978-C286-01

209 Funciones online - Test, Diagnóstico y Logging 8.1 Panorámica de funciones del cuadro de diálogo online Condiciones para el acceso Para poder utilizar las funciones online en un módulo de seguridad, deben cumplirse los siguientes requisitos: existe una conexión de red con el módulo seleccionado Está abierto el proyecto con el que se ha configurado el módulo está activado el modo Online en la Security Configuration Tool Nota Consecuencias del modo de operación de la Security Configuration Tool Las funciones de diagnóstico que sólo están disponibles en el modo avanzado también pueden utilizarse si el proyecto se ha creado en el modo normal. Así se llega a esa función 1. Cambie el modo de operación con el comando de menú "Vista" > "Online". 2. Seleccione el módulo que desea editar. 3. Elija el comando de menú "Editar" > "Diagnóstico online...". En cuanto se abre una ficha para las funciones de registro se muestra en la parte inferior de la misma el estado actual de la función de registro del módulo de seguridad seleccionado: Configuración del búfer: Memoria cíclica/memoria lineal El estado de registro actual se obtiene de la configuración cargada o de la función online ya ejecutada anteriormente. Advertencia en caso de una configuración no actual o de un proyecto distinto Al abrir el cuadro de diálogo online se comprueba si la configuración existente actualmente en el módulo de seguridad y la configuración del proyecto cargado coinciden. Si estas configuraciones difieren, se emite un mensaje de advertencia. Con esto se señaliza que usted no ha actualizado (todavía) la configuración o bien que utiliza un proyecto equivocado. Ajustes online no se almacenan en la configuración Los ajustes realizados en el modo online (p. ej. ajustes de la memoria de registro) no se guardan en la configuración del módulo de seguridad. Por ello, al rearrancar el módulo siempre se aplican los ajustes de la configuración. Manual de configuración, 03/2012, C79000-G8978-C

210 Funciones online - Test, Diagnóstico y Logging 8.2 Registro de eventos (Logging) 8.2 Registro de eventos (Logging) Resumen Se pueden registrar los eventos producidos en el módulo de seguridad. El registro se realiza en áreas de memoria búfer locales volátiles o permanentes, según el tipo de evento. Como alternativa puede tener lugar también el registro en un servidor de red. Configuración en modo normal y modo avanzado Las posibilidades de selección en la Security Configuration Tool dependen de la vista seleccionada: Modo normal "Registro local" está activado como opción predeterminada en el modo normal; los eventos de filtrado de paquetes se pueden activar globalmente en la ficha "Firewall". "Network Syslog" no es posible en esta vista. Modo avanzado Se pueden activar o desactivar todas las funciones de registro; los eventos de filtrado de paquetes se tienen que activar selectivamente en la ficha "Firewall" (reglas locales o globales). Métodos de registro y clases de eventos Puede definir en la configuración qué datos se deben registrar. De este modo activa ya el registro al cargar la configuración en el módulo de seguridad. Además elige en la configuración uno de los métodos de registro o ambos: Registro local Network Syslog Para ambos procedimientos de registro el módulo de seguridad conoce los siguientes eventos: 210 Manual de configuración, 03/2012, C79000-G8978-C286-01

211 Funciones online - Test, Diagnóstico y Logging 8.2 Registro de eventos (Logging) Función / ficha en el diálogo online Eventos de filtrado de paquetes (cortafuegos) Eventos de auditoría Eventos del sistema Funcionamiento El registro de filtrado de paquetes registra determinados paquetes del tráfico de datos. Sólo se registran paquetes de datos para los que sea válida una regla de filtrado de paquetes (cortafuegos) configurada o frente a los que reacciona la protección básica (paquetes corruptos o no válidos). Condición para ello es que esté activado el registro para la regla de filtrado de paquetes. El registro de auditoría registra de manera automática y continua eventos relevantes para la seguridad, por ejemplo acciones del usuario como activación o desactivación del registro de paquetes o acciones para las que un usuario no se haya autenticado correctamente con su contraseña. El registro del sistema registra de forma automática y continua eventos del sistema como p. ej. el inicio de un proceso. El registro se puede escalar en base a clases de eventos. Diagnóstico de la línea: Adicionalmente se puede configurar un diagnóstico de líneas. El diagnóstico de líneas proporciona mensajes en cuanto la cantidad de paquetes de telegramas incorrectos supera un valor límite ajustable. Procedimiento de almacenamiento para el registro de datos en caso de logging local El almacenamiento relacionado con el registro de datos se realiza según dos procedimientos seleccionables: Memoria circular Cuando se alcanza el final del búfer, el registro continúa al principio del búfer sobrescribiendo las entradas más antiguas. Memoria lineal El registro se detiene cuando el búfer está lleno. Activación y desactivación del registro En el modo "offline" puede activar, a través de la configuración del registro, el registro local para las clases de eventos, definiendo entonces el método de almacenamiento en memoria. Esta configuración del registro se carga en el módulo con la configuración y se activa al arrancar el módulo de seguridad. Si es necesario, en las funciones online también es posible activar o desactivar el registro local para eventos de filtrado de paquetes y eventos del sistema. Con esto no se alteran los ajustes de la configuración del proyecto Registro local - ajustes en la configuración En el modo offline se pueden activar las clases de eventos y definir el método de almacenamiento a través de los ajustes de registro. Dichos ajustes se cargan en el módulo con la configuración y se activan al arrancar el módulo de seguridad. Manual de configuración, 03/2012, C79000-G8978-C

212 Funciones online - Test, Diagnóstico y Logging 8.2 Registro de eventos (Logging) Estos ajustes de Log configurados se pueden modificar, si es necesario, en las funciones online. Con esto no se alteran los ajustes de la configuración del proyecto. Ajustes de registro en el modo normal Los ajustes de registro en el modo normal se corresponden con los ajustes predeterminados en el modo avanzado. Pero en el modo normal no se pueden modificar. Ajustes de registro en el modo avanzado 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro". El cuadro de diálogo siguiente muestra los ajustes predeterminados para el módulo de seguridad; además está abierto el cuadro de diálogo para el registro de eventos de sistema: 212 Manual de configuración, 03/2012, C79000-G8978-C286-01

213 Funciones online - Test, Diagnóstico y Logging 8.2 Registro de eventos (Logging) Configuración de clases de eventos Tabla 8-2 Local Log - panorámica de funciones Función / ficha en el diálogo online Configuración Observaciones Eventos de filtrado de paquetes (cortafuegos) Eventos de auditoría (siempre activados) Eventos de sistema Filtrado de los eventos de sistema La activación tiene lugar a través de casillas de control. La selección del método de almacenamiento se realiza a través de casillas de control. Logging está siempre activado. Se almacena siempre en la memoria búfer circulante. La activación tiene lugar a través de casillas de control. La selección del método de almacenamiento se realiza a través de casillas de control. Para configurar el filtro de eventos y el diganóstico de líneas, abra otro cuadro de diálogo con el botón "Configure...". En este subdiálogo se puede ajustar un nivel de filtrado para los eventos del sistema. Los valores predeterminados son los siguientes: SCALANCE S: Nivel 0 CP: Nivel 3 Los datos de registro del filtrado de paquetes no son remanentes Los datos se guardan en una memoria volátil del módulo de seguridad, por lo que dejan de estar disponibles tras una desconexión de la alimentación eléctrica. Los datos de registro de auditoría son remanentes Se guardan en una memoria remanente del módulo de seguridad, por lo que están disponibles tras una desconexión de la alimentación eléctrica. Los datos de registro de sistema no son remanentes Los datos se guardan en una memoria volátil del módulo de seguridad, por lo que dejan de estar disponibles tras una desconexión de la alimentación eléctrica. Seleccione como nivel de filtrado "Error" o superior para impedir el registro de eventos generales, no críticos. Nota para CP Para el CP sólo se pueden seleccionar los niveles 3 o 6. Si selecciona el nivel 3, se muestran los mensajes de error de los niveles 0 a 3. Si selecciona el nivel 6, se muestran los mensajes de error de los niveles 0 a 6. Diagnóstico de línea El diagnóstico de línea genera un evento especial del sistema. Especifique a partir de qué porcentaje de telegramas erróneos debe generarse un evento de sistema. Asigne al evento de sistema una facilidad y una severidad. A través de la severidad se evalúa la severidad de los eventos de sistema del diagnóstico de línea respecto a la severidad de los eventos de sistema restantes. Nota No asigne a los eventos de sistema del diagnóstico de línea una severidad menor que la del filtrado de los eventos de sistema. De lo contrario, los eventos no pasarán el filtrado y no se registrarán. Manual de configuración, 03/2012, C79000-G8978-C

214 Funciones online - Test, Diagnóstico y Logging 8.2 Registro de eventos (Logging) Network Syslog - ajustes en la configuración Se puede configurar el módulo de seguridad como cliente para que envíe información de registro a un servidor Syslog. El servidor Syslog puede estar en la subred local interna o en la externa. La implementación es conforme a RFC Nota Firewall - Servidor Syslog no activo en la red externa Si el servidor Syslog no está activo en el ordenador direccionado, este ordenador devuelve, por regla general, telegramas de respuesta ICMP "port not reachable". Si debido a la configuración del cortafuegos se registran estos telegramas de respuesta como eventos del sistema y se envían al servidor Syslog, esta operación puede continuar indefinidamente (avalancha de eventos). Soluciones: Iniciar el servidor Syslog; Modificar reglas de firewall; Desconectar de la red el ordenador con el servidor Syslog desactivado; Realizar ajustes de logging 1. Cambie el modo de operación con el comando de menú "Vista" > "Modo avanzado". Nota No se puede regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual, una vez cambiado al modo avanzado ya no se puede regresar. Soluciones para SCT standalone: Cierre el proyecto sin guardarlo y vuelva a abrirlo. 2. Seleccione el módulo que desea editar. 3. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro". El siguiente cuadro de diálogo muestra la configuración predeterminada para el módulo de seguridad con el registro para red Syslog activado: 214 Manual de configuración, 03/2012, C79000-G8978-C286-01

215 Funciones online - Test, Diagnóstico y Logging 8.2 Registro de eventos (Logging) Establecer la conexión con el servidor Syslog Para SCALANCE S: El módulo de seguridad utiliza el nombre de módulo configurado como nombre de host ante el servidor Syslog. Para CPs: El módulo de seguridad utiliza la dirección IP propia como nombre de host ante el servidor Syslog. Introduzca la dirección IP del servidor Syslog en el campo "Servidor de registros del sistema". Como alternativa puede introducir la dirección IP en forma de nombre simbólico o numérica. El servidor Syslog tiene que ser accesible desde el módulo de seguridad a través de la dirección IP indicada (dado el caso a través de la configuración de enrutamiento en la ficha "Enrutamiento"). Si no se puede acceder al servidor Syslog, se desactiva el envío de informaciones Syslog. Tal estado operativo se puede reconocer por los correspondientes mensajes del sistema. Para activar de nuevo el envío de información de Syslog, puede ser necesario actualizar la información de enrutamiento y volver a arrancar el módulo de seguridad. Manual de configuración, 03/2012, C79000-G8978-C