Principios básicos y aplicación de. seguridad SIMATIC NET. Industrial Ethernet Security Principios básicos y aplicación de seguridad.

Transcripción

1 Principios básicos y aplicación de seguridad SIMATIC NET Industrial Ethernet Security Principios básicos y aplicación de seguridad Manual de configuración Prólogo Introducción y fundamentos 1 Configuración con Security Configuration Tool 2 Crear módulos y ajustar parámetros de red 3 Configurar el cortafuegos 4 Configuración de otras propiedades de los módulos 5 Comunicación segura en la VPN a través de túnel IPsec 6 Redundancia de router y cortafuegos 7 SOFTNET Security Client 8 Funciones online - Diagnóstico y registro 9 A Anexo B Bibliografía 12/2014 C79000-G8978-C286-04

2 Notas jurídicas Filosofía en la señalización de advertencias y peligros Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de advertencia; las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al grado de peligro las consignas se representan, de mayor a menor peligro, como sigue. PELIGRO Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves. ADVERTENCIA Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones corporales graves. PRECAUCIÓN Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse lesiones corporales. ATENCIÓN Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse daños materiales. Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una consigna de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna puede contener también una advertencia sobre posibles daños materiales. Personal cualificado El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación y experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o manipulación de dichos productos/sistemas y de evitar posibles peligros. Uso previsto o de los productos de Siemens Considere lo siguiente: ADVERTENCIA Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las indicaciones y advertencias que figuran en la documentación asociada. Marcas registradas Todos los nombres marcados con son marcas registradas de Siemens AG. Los restantes nombres y designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros para sus propios fines puede violar los derechos de sus titulares. Exención de responsabilidad Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos. Sin embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena concordancia. El contenido de esta publicación se revisa periódicamente; si es necesario, las posibles las correcciones se incluyen en la siguiente edición. Siemens AG Division Process Industries and Drives Postfach NÜRNBERG ALEMANIA Referencia del documento: C79000-G8978-C P 12/2014 Sujeto a cambios sin previo aviso Copyright Siemens AG Reservados todos los derechos

3 Prólogo Prólogo Este manual... le ayudará a configurar las funciones de seguridad de los siguientes productos de "Security Integrated": SCALANCE S: S602 / S612 / S623 / S627-2M SOFTNET Security Client CPs S7: CP Advanced, CP Advanced PC-CP: CP 1628 Router de telefonía móvil: SCALANCE M875 SCALANCE M-800: Router ADSL: SCALANCE M81x Router SHDSL: SCALANCE M82x Router de telefonía móvil: SCALANCE M874-2 y SCALANCE M874-3 Denominación genérica "módulo de seguridad" En la presente documentación los siguientes productos se denominan genéricamente "módulo de seguridad": SCALANCE S602 / SCALANCE S612 / SCALANCE S623 / SCALANCE S627-2M, CP Advanced, CP Advanced, CP Las diferencias en el funcionamiento se marcan con símbolos (véase el apartado "Descripción de los símbolos"). Las descripciones de hardware y las indicaciones relativas a la instalación se encuentran en la documentación correspondiente a cada módulo. Uso de las denominaciones "interfaz" y "puerto" En la presente documentación se utilizan las siguientes denominaciones para los puertos de los módulos SCALANCE S: "Interfaz externa": el puerto externo del SCALANCE S602 / S612 / S623 o bien un puerto externo del SCALANCE S627-2M (marca roja) "Interfaz interna": el puerto interno del SCALANCE S602 / S612 / S623 o bien un puerto interno del SCALANCE S627-2M (marca verde) "Interfaz DMZ": el puerto DMZ del SCALANCE S623 / S627-2M (marca amarilla) La denominación "puerto" se utiliza cuando la intención es destacar un puerto específico de una interfaz. Manual de configuración, 12/2014, C79000-G8978-C

4 Prólogo Denominación genérica "STEP 7" La configuración de las funciones de seguridad de CPs es posible a partir de STEP 7 V5.5 SP2 HF1. Por tanto, en la presente documentación, la denominación "STEP 7" representa a todas las versiones de STEP 7 posteriores a V5.5 SP2 HF1 y anteriores a STEP 7 V10. Consulte cómo configurar las funciones de seguridad de todos los módulos de seguridad en STEP 7 a partir de V12 en el sistema de información de STEP 7 a partir de V12, apartado "Industrial Ethernet Security". Denominación genérica "CP x43-1 Adv." En la presente documentación los siguientes productos se denominan genéricamente "CP x43-1 Adv.": CP Advanced / CP Advanced. Security Configuration Tool V4.1: nuevas funciones La Security Configuration Tool V4.1 incluye las siguientes funciones nuevas: Ampliación de la funcionalidad VPN para módulos SCALANCE M Se soporta el establecimiento activo de una conexión VPN entre un módulo SCALANCE M y un módulo SCALANCE M-800. Ampliación de la funcionalidad "Redundancia de router y cortafuegos" para módulos SCALANCE S623/S627-2M con firmware V4.0.1 o superior. Se soporta la configuración de IDs de router virtuales para las interfaces virtuales de relaciones de redundancia en módulos SCALANCE S623/S627-2M con firmware V4.0.1 o superior. Ampliación de la funcionalidad de cortafuegos para módulos SCALANCE S con firmware V3 o superior Se soporta la configuración de reglas IP sin States de cortafuegos para módulos SCALANCE S con firmware V3 o superior. Ámbito de validez de este manual Este manual es válido para los siguientes módulos SIMATIC NET: Módulo SCALANCE S602 SCALANCE S612 SCALANCE S623 SCALANCE S627-2M CP Advanced V3 o superior CP Advanced V3 o superior CP 1628 Referencia 6GK BA10-2AA3 6GK BA10-2AA3 6GK BA10-2AA3 6GK BA10-2AA3 6GK GX31-0XE0 6GK GX30-0XE0 6GK1162-8AA00 4 Manual de configuración, 12/2014, C79000-G8978-C286-04

5 Prólogo Este manual es válido para las siguientes herramientas de configuración SIMATIC NET: Herramienta de configuración Referencia Versión SOFTNET Security Client 6GK VW04-0AA0 V4.0 Hotfix 1 Security Configuration Tool (SCT) - V4.1 Destinatarios Este manual está dirigido a las personas encargadas de las funciones Industrial Ethernet Security de una red. SIMATIC NET Manual Collection (referencia A5E ) Los módulos SCALANCE S, el CP S7 y el PC-CP 1628 llevan adjunta la Manual Collection de SIMATIC NET. Esta Manual Collection se actualiza periódicamente; contiene los manuales de producto y las descripciones actuales en el momento de su creación. Marcas Las siguientes denominaciones y otras no marcadas con el símbolo de protección legal son marcas registradas de Siemens AG: C-PLUG, CP 343-1, CP 443-1, Industrial Ethernet, SCALANCE, SIMATIC NET, SOFTNET Símbolos utilizados en estas instrucciones El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S a partir de V3.0. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S a partir de V4.0. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE M. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos excepto SCALANCE M875. Manual de configuración, 12/2014, C79000-G8978-C

6 Prólogo El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos excepto SCALANCE M. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto SCALANCE S602. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto SCALANCE S < V3.0. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S602 a partir de V3.1. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S627-2M. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623 y SCALANCE S627-2M. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623 a partir de V4.0 y SCALANCE S627-2M a partir de V4.0. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP S7. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CPs S7. El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP PC. 6 Manual de configuración, 12/2014, C79000-G8978-C286-04

7 Prólogo El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CPs PC. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los CP S7 y CP PC. El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CPs. El símbolo hace referencia a bibliografía especialmente recomendada. Este símbolo indica que se puede obtener una ayuda contextual detallada. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión. Referencias bibliográficas /.../ Las referencias a documentación adicional se indican a través de índices bibliográficos escritos entre barras /.../. Por medio de estos números se puede localizar el título de la documentación en la lista de bibliografía que aparece al final del manual. Consulte también Páginas del Customer Support ( Glosario de SIMATIC NET Las explicaciones de muchos de los términos utilizados en esta documentación están recogidas en el glosario de SIMATIC NET. Manual de configuración, 12/2014, C79000-G8978-C

8 Prólogo Encontrará el glosario de SIMATIC NET aquí: SIMATIC NET Manual Collection o DVD del producto Este DVD se adjunta a algunos productos SIMATIC NET. En Internet, bajo la siguiente ID de artículo: ( 8 Manual de configuración, 12/2014, C79000-G8978-C286-04

9 Índice Prólogo Introducción y fundamentos Información importante Introducción y fundamentos Características del producto Sinopsis de funciones Capacidades Reglas para nombres de usuario, roles y contraseñas Cambiar un módulo Uso del SOFTNET Security Client Uso de SCALANCE S Uso de SCALANCE S612, S623 y S627-2M Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Uso del puerto de módulo de medios de SCALANCE S627-2M Uso de CP Advanced y CP Advanced Uso de CP Configuración y administración Configuración con Security Configuration Tool Vista general - Prestaciones y funcionamiento Instalación de Security Configuration Tool Sistemas operativos soportados Interfaz de usuario y comandos de menú Crear y administrar proyectos Security Configuration Tool Standalone (versión autónoma) Security Configuration Tool en STEP Migrar datos de STEP Resumen Definición de valores de inicialización estándar para un proyecto Check Consistency Asignación de nombre simbólicos para direcciones IP o MAC Administrar usuarios Sinopsis de la administración de usuarios Crear usuarios Crear roles Administrar derechos Configuración de normas para las contraseñas Autenticación mediante servidor RADIUS Manual de configuración, 12/2014, C79000-G8978-C

10 Índice Resumen Definición de servidores RADIUS Asignación de servidor RADIUS a un módulo de seguridad Administrar certificados Sinopsis Renovar certificados Reemplazar certificados Crear módulos y ajustar parámetros de red Parámetros del área de contenido Configurar interfaces Resumen de posibilidades de conexión Interfaces Conexión a Internet DNS dinámico (DDNS) LLDP Redundancia de medios en topologías de anillo Redundancia de medios con MRP/HRP Configuración de MRP/HRP para el módulo de seguridad Particularidades del modo Ghost Configurar el cortafuegos CPs en el modo normal CP x43-1-adv Ajuste predeterminado del cortafuegos Configurar el cortafuegos Configurar una lista de acceso Agregar una entrada a la lista de acceso CP Ajuste predeterminado del cortafuegos Configurar el cortafuegos SCALANCE S en el modo normal Preajuste del firewall Configurar el cortafuegos para SCALANCE S V Configurar el cortafuegos para SCALANCE S < V Cortafuegos en modo avanzado Configuración del cortafuegos en modo avanzado Conjuntos de reglas de cortafuegos globales Conjuntos de reglas de cortafuegos globales - Convenios Crear y asignar conjuntos de reglas de cortafuegos globales Conjuntos de reglas IP específicos de usuario Crear y asignar conjuntos de reglas IP específicos del usuario Reglas de cortafuegos automáticas referidas a conexiones Ajuste de reglas de filtros de paquetes IP locales Reglas de filtrado de paquetes IP Definir servicios IP Definir servicios ICMP Ajustar reglas para filtrado de paquetes MAC Reglas para filtrado de paquetes MAC Definir servicios MAC Manual de configuración, 12/2014, C79000-G8978-C286-04

11 Índice Configurar grupos de servicios Adaptar reglas estándar para servicios IP Configuración de otras propiedades de los módulos Módulo de seguridad como router Sinopsis Definir un router predeterminado y rutas Enrutamiento NAT/NAPT Conversión de direcciones con NAT/NAPT Conversión de direcciones con NAT/NAPT en túneles VPN Relación entre router NAT/NAPT y cortafuegos Relación entre router NAT/NAPT y cortafuegos específico del usuario Módulo de seguridad como servidor DHCP Sinopsis Configurar un servidor DHCP Sincronización horaria Sinopsis Configurar el control de la hora Definir un servidor NTP SNMP Sinopsis Activar SNMP Proxy ARP Comunicación segura en la VPN a través de túnel IPsec VPN con módulos de seguridad y SCALANCE M Método de autenticación Grupos VPN Reglas para la creación de grupos VPN Relaciones de comunicación tunelada soportadas Crear grupos VPN y asignar módulos Configuración de túnel en modo normal Configuración de túneles en el modo avanzado Configuración de propiedades del grupo VPN Incluir un módulo en un grupo VPN configurado Configuración de propiedades VPN específicas del módulo Configuración de propiedades VPN conexión a conexión Datos de configuración para módulos SCALANCE M Datos de configuración para dispositivos VPN Datos de configuración para clientes NCP VPN (Android) Configuración de nodos de red internos Configuración de otros dispositivos y subredes para el túnel VPN Funcionamiento del modo de aprendizaje Visualización de los nodos de red internos encontrados Redundancia de router y cortafuegos Manual de configuración, 12/2014, C79000-G8978-C

12 Índice 7.1 Resumen Crear relaciones de redundancia y asignar módulos de seguridad Configuración de relaciones de redundancia SOFTNET Security Client Uso de SOFTNET Security Client Instalación y puesta en servicio del SOFTNET Security Client Instalación e inicio de SOFTNET Security Client Desinstalación de SOFTNET Security Client Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Operación de SOFTNET Security Client Configuración y edición de túneles Funciones online - Diagnóstico y registro Panorámica de funciones del cuadro de diálogo online Registro de eventos (Logging) Registro local - ajustes en la configuración Network Syslog - Ajustes en la configuración Configuración del registro de paquetes A Anexo A.1 Conformidad DNS A.2 Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red A.3 Dirección MAC B Bibliografía B.1 Introducción - sin CD/DVD B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP B.3 Para la configuración con STEP 7 / NCM S B.4 CP S7 para el montaje y la puesta en servicio del CP B.5 Para el montaje y la operación de una red Industrial Ethernet B.6 Principios básicos de SIMATIC y STEP B.7 Comunicación industrial Tomo B.8 Para la configuración de equipos PC / PG B.9 Para la configuración de CP PC B.10 SIMATIC NET Industrial Ethernet Security Índice alfabético Manual de configuración, 12/2014, C79000-G8978-C286-04

13 Índice Manual de configuración, 12/2014, C79000-G8978-C

14

15 Introducción y fundamentos 1 Información de seguridad Siemens suministra productos y soluciones con funciones de seguridad industrial que contribuyen al funcionamiento seguro de instalaciones, soluciones, máquinas, equipos y redes. Dichas funciones son un componente importante de un sistema global de seguridad industrial. En consideración de lo anterior, los productos y soluciones de Siemens son objeto de mejoras continuas. Por ello, le recomendamos que se informe periódicamente sobre las actualizaciones de nuestros productos. Para el funcionamiento seguro de los productos y soluciones de Siemens, es preciso tomar medidas de protección adecuadas (como el concepto de protección de células) e integrar cada componente en un sistema de seguridad industrial integral que incorpore los últimos avances tecnológicos. También deben tenerse en cuenta los productos de otros fabricantes que se estén utilizando. Encontrará más información sobre seguridad industrial en Si desea mantenerse al día de las actualizaciones de nuestros productos, regístrese para recibir un boletín de noticias específico del producto que desee. Encontrará más información en Información importante General Nota Protección contra el acceso no autorizado Asegúrese de que el equipo de configuración (PC o PG) y, dado el caso, el proyecto, estén protegidos contra el acceso no autorizado. Nota Desactivar la cuenta de invitado Asegúrese de que la cuenta de invitado está desactivada en el equipo de configuración. Manual de configuración, 12/2014, C79000-G8978-C

16 Introducción y fundamentos 1.1 Información importante Nota Fecha y hora actuales en los módulos de seguridad Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará. Nota Software antivirus actualizado Se recomienda tener instalado y activado siempre un antivirus actualizado en todos los equipos de configuración. Nota FTPS Cuando en la presente documentación se utiliza la designación "FTPS", esta hace referencia a FTPS en el modo explícito (FTPES). Nota No es posible regresar al modo normal Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede regresar al normal. Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo. Nota Medidas de seguridad adicionales al utilizar el SOFTNET Security Client El SOFTNET Security Client ofrece una solución para la comunicación segura con células de automatización a través de VPN. Para la protección intrínseca del PC/la PG y de la célula de automatización conectada al mismo o a la misma, se recomienda emplear medidas adicionales como, p. ej., escáners de virus y el cortafuegos de Windows. En Windows 7 debe estar activado el cortafuegos del sistema operativo para que se establezca correctamente el túnel VPN. 16 Manual de configuración, 12/2014, C79000-G8978-C286-04

17 Introducción y fundamentos 1.1 Información importante CP x43-1 Adv. Nota Ajustes de seguridad adicionales Para evitar que en el CP puedan cargarse datos de configuración no autorizados, hay que realizar ajustes de seguridad adicionales en el cortafuegos del CP (p. ej., bloquear la comunicación S7 o permitir solo comunicación tunelada) o aplicar medidas de seguridad externas. STEP 7 Nota "Guardar y compilar" tras realizar cambios Para que los ajustes de seguridad se apliquen en los correspondientes bloques de sistema (offline), tras realizar los cambios elija el menú "Estación" > "Guardar y compilar" en HW Config o bien "Red" > "Guardar y compilar" en NetPro. Nota Abrir una estación con la Security Configuration Tool abierta Cierre la Security Configuration Tool antes de abrir otra estación a través del SIMATIC Manager o NetPro. Nota No hay multiproyectos de STEP 7 referentes a la seguridad Para cada proyecto de STEP 7 se crea una configuración de seguridad unívoca en el momento de activar la seguridad. Por este motivo no se soportan multiproyectos de STEP 7 relacionados con la seguridad. Manual de configuración, 12/2014, C79000-G8978-C

18 Introducción y fundamentos 1.2 Introducción y fundamentos 1.2 Introducción y fundamentos Con los módulos de seguridad SIMATIC NET y SIMATIC NET SOFTNET Security Client se ha decidido por el concepto de seguridad SIEMENS, que satisface los altos requisitos exigidos a la seguridad de la comunicación en la técnica de automatización industrial. Nota Software antivirus actual Recomendamos tener siempre instalado un software antivirus actual en todos los equipos de configuración. Este capítulo le proporciona una visión de conjunto de las funciones de seguridad propias de los equipos y los componentes: SCALANCE S CP x43-1 Adv. CP 1628 SOFTNET Security Client Sugerencia: Encontrará una descripción del acceso rápido a los módulos de seguridad en el documento "SIMATIC NET Security - Getting Started (primeros pasos)". 1.3 Características del producto Sinopsis de funciones Sinopsis de funciones de los tipos de módulo Consulte en la tabla siguiente qué funciones soportan los diferentes módulos de seguridad. Nota En este manual se describen todas las funciones. Observe en la tabla siguiente qué funciones son aplicables al módulo de seguridad utilizado. Preste también atención a los datos adicionales indicados en los títulos de capítulo. 18 Manual de configuración, 12/2014, C79000-G8978-C286-04

19 Introducción y fundamentos 1.3 Características del producto Tabla 1-1 Sinopsis de funciones Función CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Configuración mediante Security Configuration Tool - - x Security Configuration Tool integrada x x x en STEP 7 Compatibilidad con listas IP Access x - - Control (ACL) General Router NAT/NAPT x - x Enrutamiento NAT/NAPT en conexiones VPN - - x Servidor DHCP - - x Cortafuegos Reglas de cortafuegos locales x x x Conjuntos de reglas de cortafuegos x x x globales Conjuntos de reglas IP específicos de - - x usuario IPsec Estructura de túneles IPsec x x x Administración de usuarios Administración de usuarios x x x Migración de la administración de x - x usuarios actual Autenticación de usuario mediante servidor RADIUS - - x Protocolos soportados SNMPv3 x x x Servidor HTTPS x - x Servidor FTP x - - Cliente FTPS x - - Cliente NTP x x x Cliente NTP (seguro) x x x Cliente PPPoE - - x Cliente DDNS/cliente DNS - - x LLDP x - x Cliente MRP/HRP - - x Registro Registro de eventos de sistema x x x Registro de eventos de auditoría x x x Manual de configuración, 12/2014, C79000-G8978-C

20 Introducción y fundamentos 1.3 Características del producto Función CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Registro de eventos de filtrado de paquetes Mensajes de auditoría en los búfers de diagnóstico del módulo de seguridad x x x x x - Acceso vía Security Configuration Tool x x x a búfer de registro del módulo de seguridad Diagnóstico mediante la Security Configuration x x x Tool Envío de los mensajes a un servidor x x x Syslog Diagnóstico web x - - Modo Ghost Determinación de la dirección IP del - - x dispositivo interno en el tiempo de ejecución y aplicación de la dirección IP para el puerto externo del módulo de seguridad Zona desmilitarizada (DMZ) Creación de una DMZ para desacoplar la red segura de la red no segura - - x Redundancia de router y cortafuegos Ejecución redundante de los módulos de seguridad para conservar la funcionalidad de router y de cortafuegos en caso de fallo de un módulo de seguridad - - x Se soporta la función x - No se soporta la función Capacidades Nota Encontrará una vista general de las capacidades admisibles en la siguiente dirección de Internet: ( 20 Manual de configuración, 12/2014, C79000-G8978-C286-04

21 Introducción y fundamentos 1.3 Características del producto Capacidades Función CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Túneles VPN por cada módulo de seguridad Máx. 32 Máx. 64 Máx. 128 Reglas de cortafuegos por cada módulo de seguridad Servidores NTP que pueden crearse para todo el proyecto (servidores NTP asignables por cada módulo de seguridad) Máx (4) Reglas para nombres de usuario, roles y contraseñas Qué reglas son aplicables para nombres de usuario, nombres de rol y contraseñas? Al crear o modificar un usuario, un rol o una contraseña, observe las siguientes reglas: Caracteres permitidos Se admiten los siguientes caracteres del juego ANSI X : A...Z a...z!#$%&()*+,-./:;<=>?@ [\]_{ }~^ Caracteres no permitidos " ' ` Longitud del nombre de usuario caracteres (método de autenticación "Contraseña") Longitud del nombre de usuario caracteres (método de autenticación "RADIUS") Longitud de la contraseña caracteres Longitud del nombre de rol caracteres Número máximo de usuarios por 128 proyecto Número máximo de usuarios en un administrador al crear el proyecto módulo de seguridad Número máximo de roles por proyecto 128 (122 definidos por el usuario + 6 definidos por el sistema) Número máximo de roles en un 37 (31 definidos por el usuario + 6 definidos por el sistema) módulo de seguridad Manual de configuración, 12/2014, C79000-G8978-C

22 Introducción y fundamentos 1.3 Características del producto Nota Nombres de usuario y contraseñas Una medida importante para incrementar la seguridad consiste en asignar nombres de usuario y contraseñas lo más largos posible y que contengan caracteres especiales, mayúsculas, minúsculas y cifras. Con ayuda de las normas para las contraseñas podrá limitar aún más las restricciones antes mencionadas para las contraseñas. Consulte en el capítulo Configuración de normas para las contraseñas (Página 76) cómo definir las normas para las contraseñas. Seguridad de la contraseña Al introducir una nueva contraseña se comprobará su nivel de seguridad. Se distinguen los siguientes niveles de seguridad de la contraseña: Muy débil Débil Media Buena Fuerte Muy fuerte Nota Comprobación de la seguridad de la contraseña de usuarios existentes Compruebe la seguridad de la contraseña de usuarios ya existentes en el proyecto, del primer usuario creado en STEP 7, de usuarios migrados, seleccionando el respectivo usuario en la pestaña "Usuarios" de la Administración de usuarios y pulsando el botón "Editar...". 22 Manual de configuración, 12/2014, C79000-G8978-C286-04

23 Introducción y fundamentos 1.3 Características del producto Cambiar un módulo Cómo se accede a esa función 1. Marque el módulo de seguridad o el SOFTNET Security Client que desee editar. 2. Elija el comando de menú "Edición" > "Sustituir módulo ". 3. Dependiendo del tipo de producto y de la versión de firmware del módulo seleccionado, en el cuadro de diálogo se puede adaptar el tipo de módulo y/o la versión de firmware. Consulte en la tabla siguiente qué módulos pueden sustituirse sin una posible pérdida de datos. Nota Sustitución de CPs Encontrará información sobre la sustitución de CPs en el manual de producto correspondiente. Módulo inicial Posible sustitución de módulo S602 V2 S602 V3 S602 V4 S612 V1 S612 V2 S602 V2 - x x! x x x! x x x x S602 V3! - x!!!!!!!!! S602 V4!! -!!!!!!!!! S612 V1!!! - x x x x x x x x S612 V2!!!! - x x! x x x x S612 V3!!!!! - x!! x x x S612 V4!!!!!! -!! x x x S613 V1!!!!! x x - x x x x S613 V2!!!!! x x! - x x x S623 V3!!!!!!!!! - x x S623 V4!!!!!!!!!! - x S627-2M V4!!!!!!!!!!! - x Sin pérdidas! Con posibles pérdidas - El tipo de módulo y la versión de firmware no cambian. S612 V3 S612 V4 S613 V1 S613 V2 S623 V3 S623 V4 S627-2M V4 Manual de configuración, 12/2014, C79000-G8978-C

24 Introducción y fundamentos 1.4 Uso del SOFTNET Security Client Configuración inicial SOFTNET Security Client 2005 SOFTNET Security Client 2008 SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 SOFTNET Security Client 2005 Posible sustitución SOFTNET Security Client 2008 SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 - x x x x* - x x x* ** x** - x x* ** x** x - * Cuando el SOFTNET Security Client no se encuentra en un grupo de enrutamiento. ** Cuando el SOFTNET Security Client no se encuentra en un grupo VPN con un módulo SCALANCE M. Consulte también Interfaz de usuario y comandos de menú (Página 47) /2/ (Página 274) 1.4 Uso del SOFTNET Security Client Comunicación de PG/PC en la VPN - Función del SOFTNET Security Client El software para PC SOFTNET Security Client permite acceder remotamente desde la PG o el PC a autómatas programables protegidos por módulos de seguridad, más allá de los límites de redes públicas. Mediante el SOFTNET Security Client se configura automáticamente una PG o un PC de manera que pueda establecer con uno o varios módulos de seguridad una comunicación tunelada IPsec protegida en la VPN (Virtual Private Network). Las aplicaciones de PG/PC, como por ejemplo Diagnóstico NCM o STEP 7, pueden acceder así a través de una conexión por túnel protegida a dispositivos o redes que se encuentren en una red interna protegida por módulos de seguridad. El software para PC SOFTNET Security Client también se configura con la herramienta de configuración Security Configuration Tool, lo que garantiza una configuración global. 24 Manual de configuración, 12/2014, C79000-G8978-C286-04

25 Introducción y fundamentos 1.5 Uso de SCALANCE S Uso de SCALANCE S602 Cortafuegos y Router - misión de SCALANCE S602 Por combinación de diversas medidas de seguridad, como son cortafuegos y router NAT/NAPT, el módulo de seguridad SCALANCE S602 protege dispositivos concretos o también células de automatización completas de: Espionaje de datos Accesos no deseados SCALANCE S602 hace posible esta protección de forma flexible y con un manejo sin complicaciones. SCALANCE S602 se configura con la herramienta de configuración Security Configuration Tool. Figura 1-1 Configuración de red con SCALANCE S602 Manual de configuración, 12/2014, C79000-G8978-C

26 Introducción y fundamentos 1.5 Uso de SCALANCE S602 Funciones de seguridad Cortafuegos Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (telegramas de nivel 2; no rige para S602 si se utiliza el modo Router); Limitación del ancho de banda Conjuntos de reglas de cortafuegos globales Conjuntos de reglas IP específicos de usuario Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su cortafuegos. Modo Router Utilizando SCALANCE S como router se desacopla la red interna de la red externa. La red interna conectada por el SCALANCE S se convierte así en una subred propia; el SCALANCE S se tiene que direccionar como Router explícitamente a través de su dirección IP. Protección para dispositivos y segmentos de red La función de protección de cortafuegos se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros. Ausencia de retroacciones en caso de instalación en redes planas (modo de puente) Por lo tanto, al montar un SCALANCE S602 en una infraestructura de red ya existente no se necesita ajustar de nuevo los equipos terminales. Módulo de seguridad y dispositivo interno como una sola unidad (modo Ghost) El módulo de seguridad sale al exterior con la dirección IP del dispositivo interno y la dirección MAC del módulo de seguridad. NTP (seguro) Para la sincronización y transferencia horaria seguras. 26 Manual de configuración, 12/2014, C79000-G8978-C286-04

27 Introducción y fundamentos 1.5 Uso de SCALANCE S602 Nodos de red internos y externos SCALANCE S602 divide las redes en dos áreas: Red interna: áreas protegidas con los "nodos internos" Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S. Red externa: áreas no protegidas con los "nodos externos" Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas. Nota Las redes internas se consideran seguras (fiables). Conecte un segmento de red interno con los segmentos de red externos solo a través de SCALANCE S. No deben existir otras vías de conexión entre la red interna y la externa! Manual de configuración, 12/2014, C79000-G8978-C

28 Introducción y fundamentos 1.6 Uso de SCALANCE S612, S623 y S627-2M 1.6 Uso de SCALANCE S612, S623 y S627-2M Protección completa - Función de SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M Combinando diversas medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) a través de túneles IPsec, los módulos de seguridad SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M protegen dispositivos concretos o células de automatización completas de: Espionaje de datos Manipulación de datos Accesos no deseados SCALANCE S hace posible una protección flexible, exenta de repercusiones inversas, independiente de protocolos (a partir de capa 2 según IEEE 802.3) y con un manejo sin complicaciones. SCALANCE S y SOFTNET Security Client se configuran con la herramienta Security Configuration Tool. Figura 1-2 Configuración de red con SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M 28 Manual de configuración, 12/2014, C79000-G8978-C286-04

29 Introducción y fundamentos 1.6 Uso de SCALANCE S612, S623 y S627-2M Funciones de seguridad Cortafuegos Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (Telegramas de capa 2; no está disponible si se utiliza el modo de router) Limitación del ancho de banda Conjuntos de reglas de cortafuegos globales Conjuntos de reglas IP específicos de usuario Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su cortafuegos. Comunicación protegida por túnel IPsec SCALANCE S puede agruparse con otros módulos de seguridad mediante configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN, Virtual Private Network). Todos los nodos internos de estos módulos de seguridad se pueden comunicar entre sí por estos túneles de forma protegida. Independencia de protocolo El establecimiento de túneles comprende también telegramas Ethernet según IEEE (telegramas Layer 2; no es válido si se usa el modo de router) A través de los túneles IPsec se transmiten tanto telegramas IP como también No-IP. PPPoE Point to Point Protocol over Ethernet (RFC 2516) para la adquisición automática de direcciones IP del proveedor, con lo que se prescinde del uso de un router DSL aparte. Cliente para DNS dinámico (cliente DDNS) Domain Name Service dinámico para el uso de direcciones IP dinámicas si se utiliza un SCALANCE S como servidor VPN para telemantenimiento en combinación con el SOFTNET Security Client, módulos SCALANCE M, módulos SCALANCE S u otros clientes VPN. SNMPv3 Para la transferencia antiescucha de información de análisis de la red. Modo Router Utilizando SCALANCE S como router conecta la red interna con la red externa. La red interna conectada a través de SCALANCE S se convierte así en una subred propia. Protección para dispositivos y segmentos de red La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros. Interfaz DMZ adicional En una zona desmilitarizada (DMZ) es posible colocar servidores para los que pueda controlarse y restringirse el acceso desde otras redes (red externa no segura, red interna Manual de configuración, 12/2014, C79000-G8978-C

30 Introducción y fundamentos 1.6 Uso de SCALANCE S612, S623 y S627-2M segura). Esto permite poner a disposición de ambas redes servicios y datos de forma segura sin dejar que las dos redes se comuniquen directamente entre sí. Ausencia de retroacciones en caso de instalación en redes planas (modo de puente) Nodos de red internos se pueden localizar sin configuración. Por lo tanto, al montar un SCALANCE S en una infraestructura de red ya existente no es necesario configurar de nuevo los dispositivos terminales. El módulo de seguridad intenta encontrar dispositivos internos; sin embargo, se tienen que configurar los dispositivos internos que no se localicen por este procedimiento. Autenticación de usuario mediante servidor RADIUS En un servidor RADIUS pueden almacenarse de forma centralizada nombres de usuario, contraseñas y roles de usuario. La autenticación de estos usuarios se realiza entonces a través del servidor RADIUS. NTP (seguro) Para la sincronización y transferencia horaria seguras. Nodos de red internos, externos y DMZ SCALANCE S divide las redes en varias áreas: Red interna: áreas protegidas con los "nodos internos" Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S. Red externa: áreas no protegidas con los "nodos externos" Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas. Red DMZ: áreas protegidas con los "nodos DMZ" Los nodos DMZ son todos aquellos nodos que están en la DMZ y están protegidos por un SCALANCE S. Nota Las redes conectadas a la interfaz interna se consideran seguras (fiables). Conecte un segmento de red interno con segmentos de red de otro nivel de seguridad (red externa, red DMZ) solo a través de SCALANCE S. No deben existir otras vías de conexión entre la red interna y una red con otro nivel de seguridad. 30 Manual de configuración, 12/2014, C79000-G8978-C286-04

31 Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Escenarios de aplicación de la interfaz DMZ Además de las funciones del SCALANCE S612, el SCALANCE S623 y el SCALANCE S627-2M están equipados con una tercera interfaz (DMZ) a la que se puede conectar una red adicional. La interfaz puede cumplir diferentes funciones (no simultáneamente) dependiendo del entorno de uso: Instalación de una DMZ Punto final de una conexión por túnel VPN Interfaz de sincronización para redundancia de router y cortafuegos... Instalación de una DMZ Con SCALANCE S623 y SCALANCE S627-2M puede instalarse una DMZ (zona desmilitarizada) en la interfaz adicional. Una DMZ suele utilizarse para poner servicios a disposición de una red insegura, pero la red segura que proporciona los datos debe permanecer desacoplada de la red insegura. Así, por ejemplo, en la red DMZ puede haber servidores terminales con software de mantenimiento y diagnóstico instalado para que lo utilicen usuarios autorizados de la red externa. En los casos de aplicación típicos de DMZ, el usuario debe configurar las reglas de cortafuegos de tal forma que se permitan accesos desde Internet (externos) a los servidores de la DMZ (dado el caso, protegidos además con un túnel VPN), pero no a dispositivos del área segura (interna). Manual de configuración, 12/2014, C79000-G8978-C

32 Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Figura 1-3 Instalación de una DMZ En el capítulo "4.2 SCALANCE S como cortafuegos entre red externa y DMZ" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para instalar una DMZ. 32 Manual de configuración, 12/2014, C79000-G8978-C286-04

33 Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Punto final de una conexión por túnel VPN La interfaz DMZ puede utilizarse como punto final de un túnel VPN. En este escenario, la interfaz DMZ está conectada a Internet a través de un módem DSL y se opera mediante PPPoE. El túnel VPN permite la comunicación segura, por ejemplo, con una unidad de automatización conectada a la interfaz interna de otro módulo de seguridad. Figura 1-4 Punto final de una conexión por túnel VPN En el capítulo "5.2 Túnel VPN entre SCALANCE S623 y SCALANCE S612" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza como punto final de un túnel VPN. Manual de configuración, 12/2014, C79000-G8978-C

34 Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M Interfaz de sincronización para redundancia de router y cortafuegos Con el uso de dos módulos de seguridad del tipo SCALANCE S623 o SCALANCE S627-2M se puede compensar el fallo de un módulo de seguridad mediante la redundancia de router y de cortafuegos. A tal efecto, ambos módulos de seguridad funcionan en modo de enrutamiento y se conectan respectivamente con la red externa y la interna, estando activo siempre un único módulo de seguridad. Si falla el módulo de seguridad activo, el módulo de seguridad pasivo asumirá su función de router o cortafuegos. Para garantizar un comportamiento funcionalmente idéntico de los dos módulos de seguridad, los dos se conectarán entre sí mediante sus interfaces DMZ, y su configuración se sincronizará durante el funcionamiento. Figura 1-5 Redundancia de router y cortafuegos 34 Manual de configuración, 12/2014, C79000-G8978-C286-04

35 Introducción y fundamentos 1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M 1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M Integración en topologías de anillo Además de las funciones de SCALANCE S623, el SCALANCE S627-2M posee dos slots de módulo de medio, en los que se puede usar respectivamente un módulo de medio eléctrico u óptico de dos puertos. Las interfaces externa e interna se amplían de esta forma con dos puertos cada una. En el modo de enrutamiento se pueden utilizar los puertos adicionales del módulo de seguridad para la conexión de las interfaces externa e interna a topologías de anillo. Redundancia en anillo con MRP o HRP El SCALANCE S627-2M soporta los protocolos MRP y HRP en los puertos de módulo de medios de las interfaces externa e interna como cliente. Como dispositivo de un anillo MRP/HRP, un SCALANCE S627-2M puede proteger una célula de automatización o un anillo subordinados. Esta protección también puede realizarse de forma redundante. Los fallos en los cables serán detectados por un gestor de anillo aparte, por ejemplo, un SCALANCE X308, y se compensarán mediante una desviación en la vía de comunicación. Manual de configuración, 12/2014, C79000-G8978-C

36 Introducción y fundamentos 1.9 Uso de CP Advanced y CP Advanced 1.9 Uso de CP Advanced y CP Advanced Concepto de protección de celda - Función de CP x43-1 Adv. Industrial Ethernet Security permite proteger diferentes dispositivos, células de automatización o segmentos de una red Ethernet. Adicionalmente, es posible proteger la transferencia de datos mediante la combinación de diferentes medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) utilizando un túnel IPsec, concretamente de: Espionaje de datos Manipulación de datos Accesos no deseados Las funciones de seguridad del CP x43-1 Adv. se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP 7. Figura 1-6 Configuración de red con CP x43-1 Adv. 36 Manual de configuración, 12/2014, C79000-G8978-C286-04

37 Introducción y fundamentos 1.9 Uso de CP Advanced y CP Advanced Funciones de seguridad Cortafuegos Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (capa 2) Limitación del ancho de banda Conjuntos de reglas de cortafuegos globales Todos los nodos de red que se encuentran en el segmento de red interno de un CP x43-1 Adv. están protegidos por su cortafuegos. Comunicación protegida por túnel IPsec El CP x43-1 Adv. puede agruparse con otros módulos de seguridad por medio de la configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN). Todos los nodos internos de estos módulos de seguridad se pueden comunicar entre sí por estos túneles de forma protegida. Registro Para fines de vigilancia es posible guardar eventos en archivos de registro que se leen utilizando la herramienta de configuración o se envían automáticamente a un servidor Syslog. HTTPS Para la transmisión cifrada de páginas web, p. ej. en el control de procesos. FTPS Para la transferencia cifrada de archivos. NTP (seguro) Para la sincronización y transferencia horaria seguras. SNMPv3 Para la transferencia antiescucha de información de análisis de la red. Protección para dispositivos y segmentos de red La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros. Manual de configuración, 12/2014, C79000-G8978-C

38 Introducción y fundamentos 1.9 Uso de CP Advanced y CP Advanced Nodos de red internos y externos: CP x43-1 Adv. divide las redes en dos áreas: Red interna: áreas protegidas con los "nodos internos" Los nodos internos son todos aquellos nodos protegidos por un CP x43-1 Adv. Red externa: áreas no protegidas con los "nodos externos" Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas. Nota Las redes internas se consideran seguras (fiables). Para conectar un segmento de red interno con los segmentos de red externos utilice solo CP x43-1 Adv. No deben existir otras vías de conexión entre la red interna y la externa! Información sobre las funciones generales del CP x43-1 Adv. El presente manual contiene información sobre las funciones de seguridad del CP x43-1 Adv. Para conocer las descripciones de las funciones generales, véase: /1/ (Página 274) /2/ (Página 274) 38 Manual de configuración, 12/2014, C79000-G8978-C286-04

39 Introducción y fundamentos 1.10 Uso de CP Uso de CP 1628 Concepto de protección de celda - Función de CP 1628 Los mecanismos de seguridad integrados en el CP 1628 permiten proteger sistemas informáticos, incluida la comunicación de datos dentro de una red de automatización o el acceso remoto seguro a través de Internet. El CP 1628 permite acceder a dispositivos de forma individualizada o a células de automatización completas protegidas con módulos de seguridad, y permite conexiones seguras a través de estructuras de red no seguras. Mediante la combinación de diferentes medidas de seguridad, como cortafuegos y VPN (Virtual Private Network) a través de túneles IPsec el CP 1628 protege de: Espionaje de datos Manipulación de datos Accesos no deseados Las funciones de seguridad del CP 1628 se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP 7. Figura 1-7 Configuración de red con CP 1628 Manual de configuración, 12/2014, C79000-G8978-C

40 Introducción y fundamentos 1.10 Uso de CP 1628 Funciones de seguridad Cortafuegos Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (capa 2) Limitación del ancho de banda Reglas de cortafuegos globales Comunicación protegida por túnel IPsec El CP 1628 puede agruparse con otros módulos de seguridad mediante configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN, Virtual Private Network). Registro Para fines de vigilancia es posible guardar eventos en archivos de registro que se leen utilizando la herramienta de configuración o se envían automáticamente a un servidor Syslog. NTP (seguro) Para la sincronización y transferencia horaria seguras. SNMPv3 Para la transferencia antiescucha de información de análisis de la red. Información sobre las funciones generales del CP 1628 El presente manual contiene información sobre las funciones de seguridad del CP Para conocer las descripciones de las funciones generales, véase /11/ (Página 277) 40 Manual de configuración, 12/2014, C79000-G8978-C286-04

41 Introducción y fundamentos 1.11 Configuración y administración 1.11 Configuración y administración Lo más importante, en resumen Con la herramienta de configuración Security Configuration Tool se logra una aplicación sencilla y segura de los módulos de seguridad: Configuración sin conocimientos de experto en materia de IT con la Security Configuration Tool Con la Security Configuration Tool pueden configurar un módulo de seguridad incluso personas que no sean expertas en materia de TI. En el modo avanzado se pueden realizar ajustes más complejos, si es necesario. Comunicación administrativa segura La transferencia de los ajustes está firmada y cifrada y solo puede ser realizada por personal autorizado. Protección de acceso en la Security Configuration Tool La administración de usuarios de la Security Configuration Tool garantiza una protección de acceso para los módulos de seguridad y los datos de configuración. Medio intercambiable C-PLUG utilizable El C-PLUG es un medio intercambiable, enchufable, en el que están almacenados datos de configuración en forma codificada. Al sustituir un módulo de seguridad, permite realizar la configuración sin PG o PC siempre que el módulo de seguridad soporte la administración de datos en C-PLUG. Manual de configuración, 12/2014, C79000-G8978-C

42 Introducción y fundamentos 1.11 Configuración y administración 42 Manual de configuración, 12/2014, C79000-G8978-C286-04

43 Configuración con Security Configuration Tool 2 Security Configuration Tool es la herramienta de configuración suministrada junto con los módulos de seguridad. El presente capítulo le familiariza con la interfaz de operación y el funcionamiento de la herramienta de configuración. En él se describen la instalación, el manejo y la administración de proyectos de seguridad. Otras informaciones En los capítulos sucesivos de este manual se explica con detalle la configuración de módulos de seguridad y de túneles IPsec. La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión. 2.1 Vista general - Prestaciones y funcionamiento Prestaciones La herramienta de configuración Security Configuration Tool se utiliza para las siguientes tareas: Configuración de los módulos de seguridad Configuración de SOFTNET Security Client Creación de datos de configuración VPN para SCALANCE M Creación de archivos de configuración VPN para dispositivos VPN de otros fabricantes Funciones de test y diagnóstico, indicaciones de estado Manual de configuración, 12/2014, C79000-G8978-C

44 Configuración con Security Configuration Tool 2.1 Vista general - Prestaciones y funcionamiento Dos modos de operación de la Security Configuration Tool La Security Configuration Tool puede iniciarse en los siguientes modos de operación: Security Configuration Tool Standalone (en versión autónoma): Se puede iniciar independientemente de STEP 7 La configuración de seguridad de CP no es posible Security Configuration Tool integrada en STEP 7: Solo se puede iniciar desde STEP 7 En el proyecto debe haber al menos un CP con función de seguridad activada El alcance de Security Configuration Tool Standalone (versión autónoma) se amplía con la posibilidad de configurar funciones de seguridad para CP Vista de configuración offline y vista de diagnóstico online La Security Configuration Tool dispone de una vista de configuración offline y una vista de diagnóstico online: Vista de configuración offline En el modo offline se ajustan los datos de configuración para el módulo correspondiente. Antes de la carga no es necesario establecer para esto una conexión con este módulo. Online El modo online sirve para comprobar y diagnosticar un módulo de seguridad. Dos modos de operación En la vista de configuración offline, la Security Configuration Tool proporciona dos modos de operación: Modo normal El modo normal está preajustado en la Security Configuration Tool. Este modo permite una configuración rápida y sin complicaciones para el uso de los módulos de seguridad. Modo avanzado En el modo avanzado existen otras posibilidades de ajuste que permiten configurar de forma personalizada, entre otros, las reglas de cortafuegos, los ajustes de registro, las reglas NAT/NATP, los nodos VPN y funcionalidades avanzadas de seguridad. 44 Manual de configuración, 12/2014, C79000-G8978-C286-04

45 Configuración con Security Configuration Tool 2.2 Instalación de Security Configuration Tool Funcionamiento - Seguridad y coherencia Acceso solo para usuarios autorizados Cada proyecto está protegido contra accesos no autorizados mediante nombres de usuario y contraseñas. Con ayuda de las normas para las contraseñas es posible definir reglas específicas del proyecto para la asignación de contraseñas. Datos de proyecto coherentes Ya durante la entrada en los distintos cuadros de diálogo se realizan comprobaciones de la coherencia. Además puede realizar en todo momento una prueba de coherencia a nivel de proyecto, en la que se incluyen todos los cuadros de diálogo. En los módulos de seguridad solo se pueden cargar datos de proyecto coherentes. Protección de datos de proyecto por cifrado Los datos de proyecto y configuración están protegidos por cifrado tanto en el archivo de proyecto como en el C-PLUG, si existe (no es válido para el CP 1628). 2.2 Instalación de Security Configuration Tool Sistemas operativos soportados Sistemas operativos soportados Se soportan los siguientes sistemas operativos: Microsoft Windows XP 32 bits + Service Pack 3 Microsoft Windows 7 Professional 32/64 bits Microsoft Windows 7 Professional 32/64 bits + Service Pack 1 Microsoft Windows 7 Ultimate 32/64 bits Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1 Windows Server 2008 R2 64 bits Windows Server 2008 R2 64 bits + Service Pack 1 Nota Antes de proceder a la instalación de la Security Configuration Tool, lea el archivo "README.htm" del DVD que viene adjunto. En este archivo encontrará informaciones importantes así como referencias a las últimas modificaciones. Manual de configuración, 12/2014, C79000-G8978-C

46 Configuración con Security Configuration Tool 2.2 Instalación de Security Configuration Tool SCALANCE S - Procedimiento La herramienta de configuración Security Configuration Tool se instala desde el DVD de producto que viene adjunto. Introduzca el DVD de producto en la unidad de DVD-ROM. Si está activada la función Autorun, se iniciará automáticamente la interfaz desde la que puede realizar la instalación. o Inicie la aplicación "start.exe" existente en el DVD de producto que viene adjunto. CP x43-1 Adv. - Proceda del siguiente modo La herramienta de configuración Security Configuration Tool se instala desde el soporte de datos de STEP 7. Encontrará el archivo de instalación en el soporte de datos de STEP 7, en el directorio de componentes de software opcionales. CP Proceda del siguiente modo La herramienta de configuración Security Configuration Tool se instala desde el soporte de datos suministrado que contiene los datos de drivers del CP Introduzca el soporte de datos en la unidad de DVD-ROM. Si está activada la función Autorun, se iniciará automáticamente la interfaz desde la que puede realizar la instalación. o bien Inicie la aplicación "setup.exe" existente en el soporte de datos que viene adjunto. 46 Manual de configuración, 12/2014, C79000-G8978-C286-04

47 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú 2.3 Interfaz de usuario y comandos de menú Estructura de la interfaz de usuario en el modo avanzado 1 Área de navegación: Conjuntos de reglas de cortafuegos globales El objeto contiene los conjuntos de reglas globales de cortafuegos configurados. Otras carpetas se distinguen en: Conjuntos de reglas IP de cortafuegos Conjuntos de reglas MAC de cortafuegos Conjuntos de reglas IP personalizados Todos los módulos El objeto contiene todos los módulos configurados y configuraciones SOFTNET del proyecto. Grupos VPN El objeto contiene todos los grupos VPN generados. Relaciones de redundancia 2 El objeto contiene todas las relaciones de redundancia generadas del proyecto. Índice: Si selecciona un objeto en el área de navegación obtendrá en el área de contenido informaciones detalladas sobre ese objeto. Para algunos módulos de seguridad es posible visualizar en esta área extractos de las configuraciones de interfaz para adaptarlas. Haciendo doble clic en los módulos de seguridad es posible abrir diálogos de propiedades para introducir más parámetros, siempre que las correspondientes posibilidades de configuración lo ofrezcan. Manual de configuración, 12/2014, C79000-G8978-C

48 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú 3 4 Ventana de detalles: La ventana de detalles contiene información adicional sobre el objeto seleccionado y permite configurar propiedades de VPN conexión a conexión en los diferentes contextos de un grupo VPN. La ventana de detalles puede mostrarse y ocultarse a través del menú "Vista". Barra de estado: La barra de estado muestra los estados de manejo y mensajes de estado actuales: Aquí se incluyen: Los usuarios actuales y el tipo de usuario La vista de manejo - Modo normal / modo avanzado El tipo de operación - Online / Offline Barra de herramientas A continuación se muestra una vista general de los botones disponibles en la barra de herramientas y su significado. Icono Significado / observaciones Crear un proyecto. Abrir un proyecto ya existente. Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales. Copiar el objeto seleccionado. Insertar un objeto del portapapeles. Borrar el objeto seleccionado. Crear un módulo. El símbolo solo está activo si el usuario está en la carpeta "Todos los módulos" del área de navegación. Crear un grupo VPN. El símbolo solo está activo si el usuario está en la carpeta "Grupos VPN" del área de navegación. Crear un nuevo conjunto de reglas IP o MAC de validez global o bien un conjunto de reglas IP específico del usuario. El símbolo solo está activo si el usuario está en una subcarpeta de "Conjuntos de reglas de cortafuegos globales" en el área de navegación o en la carpeta "Conjuntos de reglas IP específicos de usuario". Crear una relación de redundancia. El símbolo solo está activo si el usuario está en la carpeta "Relaciones de redundancia" del área de navegación. 48 Manual de configuración, 12/2014, C79000-G8978-C286-04

49 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú Icono Significado / observaciones Cargar una configuración en los módulos de seguridad seleccionados o crear datos de configuración para SOFTNET Security Client / SCALANCE M / dispositivo VPN / cliente NCP VPN (Android). Cambiar al modo offline. Cambiar al modo online. Manual de configuración, 12/2014, C79000-G8978-C

50 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú Barra de menús A continuación se ofrece un cuadro general de los comandos de menú seleccionables y su significado. Comando de menú Significado / observaciones Combinación de teclas Project Nuevo... Abrir... Guardar Guardar como... Propiedades... Recent Projects Quit Funciones para ajustes específicos del proyecto, así como la carga y el almacenamiento del archivo del proyecto. Crear un proyecto. Para CP: Los proyectos se crean mediante configuración con STEP 7. Abrir un proyecto ya existente. Para CP: Los proyectos existentes solo pueden abrirse a través de proyectos STEP 7. Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales. Guardar un proyecto abierto en una ruta y con un nombre de proyecto seleccionables. Para CP: El proyecto es parte del proyecto STEP 7. La ruta no puede cambiarse. Abrir un cuadro de diálogo para propiedades del proyecto. Posibilidad de seleccionar directamente los proyectos procesados hasta el momento Para CP: Los proyectos existentes solo pueden abrirse a través de STEP 7. Cerrar proyecto. Ctrl + S Edit Comandos de menú solo en el modo offline Nota Con el objeto seleccionado, algunas de las funciones también pueden elegirse a través del menú contextual. Copy Copiar el objeto seleccionado. Ctrl + C Paste Traer el objeto del portapapeles e insertarlo ("pegarlo"). Ctrl + V Eliminar Borrar el objeto seleccionado. Supr Rename Cambiar de nombre el objeto seleccionado. F2 Nuevo certificado... Crear nuevo certificado de grupo para el módulo seleccionado tras elegir el correspondiente grupo VPN en el área de contenidos. Sustituir módulo... Sustituir el módulo de seguridad seleccionado. Propiedades... Abrir el cuadro de diálogo de propiedades del objeto F4 seleccionado. Diagnóstico online... Acceder a las funciones de test y diagnóstico. 50 Manual de configuración, 12/2014, C79000-G8978-C286-04

51 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú Comando de menú Significado / observaciones Combinación de teclas Insert Módulo Group Conjunto de reglas de cortafuegos Relación de redundancia Comandos de menú solo en el modo offline Crear un módulo de seguridad. Este comando de menú solo está activo si está seleccionado un módulo de seguridad o un grupo VPN en el área de navegación. Crear un grupo VPN. Este comando solo está activo si está seleccionado un objeto Grupos en el área de navegación. Crear un nuevo conjunto de reglas IP de cortafuegos o MAC de validez global o bien un conjunto de reglas IP específico del usuario. Este comando solo está activo si está seleccionado un objeto Firewall en el área de navegación. Este comando de menú solo está visible en el modo avanzado. Crear una relación de redundancia. El comando de menú solo está activo si el usuario está en la carpeta "Relaciones de redundancia" del área de navegación. Ctrl + M Ctrl + G Ctrl + F Ctrl + R Transfer A módulo(s)... A todos los módulos... Estado de la configuración Transferir firmware... Cargar una configuración en los módulos de seguridad seleccionados o crear datos de configuración para SOFTNET Security Client / SCALANCE M / dispositivos VPN / clientes NCP VPN (Android). Observación: Solo se pueden cargar datos de proyecto coherentes. Para CPs: Los datos del proyecto solo pueden cargarse a través de STEP 7. Cargar una configuración en todos los módulos de seguridad. Observación: Solo se pueden cargar datos de proyecto coherentes. Mostrar en una lista el estado de configuración de los módulos de seguridad configurados. Cargar firmware nuevo en el módulo de seguridad seleccionado. Para CPs S7: El firmware se carga en el CP a través del centro de actualización del diagnóstico web. View Modo avanzado Cambiar del modo normal (predeterminado) al modo avanzado. Atención Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede regresar al normal. Ctrl + E Manual de configuración, 12/2014, C79000-G8978-C

52 Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú Comando de menú Significado / observaciones Combinación de teclas Mostrar ventana de detalles Offline Mostrar y ocultar los detalles adicionales del objeto seleccionado. Ajuste predeterminado. Cambiar a la vista de configuración offline. Ctrl + Alt + D Online Cambiar a la vista de diagnóstico online. Ctrl + D Ctrl + Mayús + D Options Servicios IP... Servicios MAC... Adaptador de red Idioma... Archivos de registros... Symbolic Names... Configuración del servidor NTP... Configuración del servidor RADIUS... Verificaciones de consistencia... Administración de usuarios... Administrador de certificados... Abrir cuadro de diálogo para definiciones de los servicios para las reglas IP Firewall. Este comando de menú solo está visible en el modo avanzado. Abrir cuadro de diálogo para definiciones de los servicios para las reglas MAC Firewall. Este comando de menú solo está visible en el modo avanzado. A través del adaptador de red seleccionado se asigna una dirección IP al SCALANCE S. Seleccionar un idioma para la visualización de la interfaz SCT. Para SCT en STEP 7, el idioma de la interfaz SCT se define seleccionando el idioma en STEP 7. Visualización de archivos de registro guardados. Asignar nombres simbólicos para direcciones IP o MAC. Crear y editar servidores NTP Crear y editar servidores RADIUS. Comprobación de la coherencia de todo el proyecto. Al finalizar se muestra una lista de resultados. Crear y editar usuarios y roles, asignar derechos y definir normas para las contraseñas. Mostrar, importar o exportar certificados. Help Temas de ayuda... Acerca de... Ayuda para las funciones y los parámetros que encontrará en la SCT. Información sobre la versión de SCT. F1 52 Manual de configuración, 12/2014, C79000-G8978-C286-04

53 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos 2.4 Crear y administrar proyectos Security Configuration Tool Standalone (versión autónoma) Configuración con la Security Configuration Tool en versión autónoma La Security Configuration Tool en versión autónoma se utiliza para crear proyectos de seguridad en los que no se configuren módulos de seguridad que deban que crearse y configurarse en STEP 7. Un proyecto nuevo se crea con el comando de menú "Proyecto" > "Nuevo ". Este abarca todas las informaciones de configuración y administración para uno o varios SCALANCE S, SOFTNET Security Clients, equipos SCALANCE M, dispositivos VPN, así como clientes NCP VPN (Android). Para cada dispositivo o configuración se crea un módulo en el proyecto Security Configuration Tool en STEP 7 Configuración La Security Configuration Tool integrada en STEP 7 se utiliza para elaborar proyectos de seguridad en los que se configuran módulos de seguridad que deban crearse y configurarse en STEP 7. Además se soportan todos los módulos de seguridad de la variante Standalone. En cuanto en STEP 7 se activa la función de seguridad para un módulo de seguridad, automáticamente se crea un proyecto de SCT, en el que se guardan y gestionan los datos de la configuración de seguridad. Todos los datos de la configuración de seguridad se procesan internamente en la SCT y el resultado se devuelve a STEP 7. Manual de configuración, 12/2014, C79000-G8978-C

54 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Interacción entre STEP 7 y SCT La interacción entre STEP 7 y SCT se describe a partir de la siguiente representación: 1 2 Al realizar ajustes de seguridad a través de STEP 7, se abre la SCT, ya que en ella se actualizan y administran los datos para seguridad. Si en NetPro hay configuradas conexiones especificadas, tras guardar y compilar se crean para ellas automáticamente reglas de cortafuegos en SCT. En SCT se realizan los ajustes de seguridad necesarios. SCT procesa los datos internamente y devuelve el resultado a STEP 7. 3 Las acciones como "Guardar como" y "Compilar" se desarrollan dentro de STEP 7. Los datos de seguridad se guardan automáticamente como proyecto SCT con un nombre asignado automáticamente en una subcarpeta del proyecto STEP 7. El nombre y la ruta de almacenamiento no pueden cambiarse. Para un proyecto STEP 7 se puede crear exactamente un proyecto SCT. Un proyecto SCT creado con la Security Configuration Tool en STEP 7 no puede abrirse con la Security Configuration Tool en versión standalone. 4 Los datos de seguridad del CP configurados se cargan en el módulo a través de STEP 7. Qué datos se migran de STEP 7 a SCT y se muestran en el área de contenido? Los siguientes datos de configuración creados en STEP 7 se aplican automáticamente en SCT, pero no pueden modificarse: Nombre del dispositivo Dirección IP PROFINET IO 54 Manual de configuración, 12/2014, C79000-G8978-C286-04

55 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Dirección IP GBit Máscara de subred PROFINET IO Máscara de subred GBit Dirección MAC de la interfaz GBit Router estándar Dirección MAC PROFINET IO Qué datos pueden migrarse a SCT y modificarse allí? Las siguientes funciones utilizadas en STEP 7 pueden migrarse a SCT y editarse allí: Listas Access Control (Página 121) Usuario (Página 67) Servidores NTP (Página 191) Encontrará información detallada al respecto en la Ayuda en pantalla de SCT: Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión de la SCT. Reglas de cortafuegos automáticas para conexiones configuradas Para conexiones especificadas configuradas en STEP 7 se crean automáticamente reglas de cortafuegos en SCT, que habilitan el establecimiento de la conexión. Encontrará más información al respecto en el capítulo siguiente: Reglas de cortafuegos automáticas referidas a conexiones (Página 145). Para conexiones no especificadas deben crearse manualmente reglas de cortafuegos en SCT, que habiliten el establecimiento de la conexión. Encontrará más información al respecto en el capítulo siguiente: Cortafuegos en modo avanzado (Página 138). Realizar ajustes de seguridad en STEP 7 Los ajustes de seguridad se realizan como sigue: A través de las distintas fichas de las propiedades de objeto En las diferentes fichas se pueden activar y ejecutar funciones de seguridad específicas de CP. Durante la ejecución se abre el cuadro de diálogo SCT correspondiente, en el que pueden realizarse los ajustes de seguridad. Los ajustes de seguridad se pueden realizar en las siguientes fichas: Manual de configuración, 12/2014, C79000-G8978-C

56 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Ficha Función Descripción Seguridad Activar seguridad Las funciones de seguridad se activan en las diferentes fichas. Se activa el menú "Editar" > "Security Configuration Tool", a través del cual se abre la Security Configuration Tool. En ella se pueden realizar otros ajustes comunes para varios módulos de seguridad, como crear grupos VPN o agregar módulos de seguridad que no pueden configurarse en STEP 7. Si ha configurado en STEP 7 usuarios para el módulo de seguridad, se abre la ventana "Migración de datos del proyecto relevantes para la seguridad", a través de la cual se pueden migrar los usuarios de STEP 7 a la Security Configuration Tool. Usuario Protección de acceso IP FTP Web Sincronización horaria SNMP Inicio de la configuración de seguridad Carga posterior online de reglas de cortafuegos Cargar a posteriori reglas de cortafuegos online (CP 1628) Inicio de la administración de usuarios Inicio de la configuración de cortafuegos Permitir acceso solo vía FTPS Inicio de la administración de usuarios Permitir acceso solo vía HTTPS Inicio de la administración de usuarios Configuración NTP avanzada Inicio de la configuración de SNMP Inicio de la administración de usuarios SCT se abre en una vista general, en la que se pueden configurar propiedades específicas para este módulo de seguridad. Los ajustes de cortafuegos adaptados se generan y se cargan en el CP sin provocar una parada del CP. Se generan los ajustes de cortafuegos adaptados y se cargan en el CP. Se abre la administración de usuarios de SCT, en la que se crean usuarios y roles y se asignan derechos. Al activar la seguridad se migra a la Security Configuration Tool una lista de acceso IP ya disponible convertida en reglas de cortafuegos. Se abre la administración de usuarios SCT, en la que se pueden asignar derechos FTP a un rol. Se abre la administración de usuarios de SCT, en la que se pueden asignar derechos web a un rol. Abre la SCT en el modo de configuración NTP. Abre la SCT en el modo de configuración SNMP. Se puede elegir entre SNMPv1 y SNMPv3. Se abre la administración de usuarios de SCT, en la que se pueden asignar derechos SNMP a un rol. 56 Manual de configuración, 12/2014, C79000-G8978-C286-04

57 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Directamente en SCT Para abrir SCT en STEP 7, elija el comando de menú "Edición" > "Security Configuration Tool". Además de los ajustes realizados en las fichas de las propiedades de objeto, aquí se crean p. ej. grupos VPN o se agregan módulos SCALANCE S. Los módulos SCALANCE S se pueden configurar y cargar en SCT, pero los datos no se devuelven a STEP 7. Además, los módulos no se muestran en STEP 7 tras cerrar la SCT. Nota Encontrará información más detallada en la ayuda en pantalla de STEP 7 y de SCT. Encontrará información general sobre STEP 7 en /9/ (Página 276) Migrar datos de STEP 7 Migrar usuarios de dispositivo de STEP 7 a la administración de usuarios de SCT En el cuadro de diálogo de migración, seleccione cómo desea migrar a la administración de usuarios de SCT los usuarios creados en STEP 7. Para ello se puede elegir entre las diferentes acciones: Acción Aceptar como... Juntar Rechazar Descripción El usuario se migra a la administración de usuarios de SCT con otro nombre. Introduzca el nombre en la columna "Nombre de usuario migrado". En SCT al usuario migrado se le asigna automáticamente un rol generado. Si en el proyecto SCT ya se ha creado un usuario con el mismo nombre, ambos usuarios se juntan. El rol del usuario de SCT se amplía con los derechos seleccionados del usuario migrado. El usuario del módulo de seguridad no se migra a la administración de usuarios de SCT. La migración a posteriori no es posible. Nota Los siguientes datos no se migran Contraseñas de usuarios ya creados en STEP 7. Por ello, para cada usuario hay que seleccionar el modo en que debe migrarse y asignar una nueva contraseña con el botón "Asignar contraseña". El usuario disponible en STEP 7 definido por el sistema "everybody". Tampoco se aplican sus derechos para usuarios migrados. Manual de configuración, 12/2014, C79000-G8978-C

58 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Nota Los usuarios y sus roles se pueden adaptar tras la migración en la administración de usuarios de la Security Configuration Tool. Migrar derechos de dispositivo de STEP 7 a la administración de usuarios de SCT Se migran los siguientes derechos: Derecho en STEP 7 Derecho tras la migración a SCT Servicio Acceder a los símbolos configurados Leer variables de direcciones absolutas Escribir variables de direcciones absolutas Acceder a archivos de la estación S7 con FTP Enviar un mail de prueba a través de la página del sistema Consultar el estado de módulos Consultar el número de referencia de módulos Applet: Leer variables de símbolos configurados Applet: Escribir variables de símbolos configurados Applet: Leer variables de direcciones absolutas Applet: Escribir variables de direcciones absolutas FTP: Leer archivos (DB) de la CPU S7 FTP: Escribir archivos (DB) de la CPU S7 FTP: Leer archivos del sistema de archivos del CP FTP: Escribir archivos del sistema de archivos del CP Web: Formatear el sistema de archivos de CP Web: Acceder a diagnóstico web y al sistema de archivos de CP Web: Enviar mail de prueba Applet: Leer estado de los módulos en el bastidor Applet: Leer referencia de los módulos en el bastidor PLC Sistema de archivos Web PLC Consulte también Sincronización horaria (Página 191) Configurar una lista de acceso (Página 121) 58 Manual de configuración, 12/2014, C79000-G8978-C286-04

59 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Resumen Contenidos generales Tanto en la versión independiente de la Security Configuration Tool como en la versión integrada en STEP 7, al crear un proyecto nuevo se pide la asignación de un nombre de usuario y una contraseña. El usuario aquí creado es del tipo "administrator". Una vez introducidos, se pueden realizar configuraciones en el proyecto. En general, las configuraciones de un proyecto contienen: Ajustes válidos para todo el proyecto Ajustes específicos de módulo Asignaciones a grupos para túneles IPsec Además, una administración de usuarios regula los derechos de acceso a los datos del proyecto y a los módulos de seguridad. Ajustes válidos para todo el proyecto Propiedades del proyecto Estas comprenden, además de informaciones generales sobre direcciones y nombres, especificaciones predeterminadas para valores de inicialización. Conjuntos de reglas de cortafuegos globales Un conjunto de reglas globales para cortafuegos se puede asignar a varios módulos de seguridad a un tiempo. Esta posibilidad simplifica en muchos casos la configuración, a diferencia de la configuración de reglas de cortafuegos locales en los ajustes específicos de los módulos. Conjuntos de reglas IP personalizados Un conjunto de reglas IP específico del usuario se asigna a un usuario y a un módulo de seguridad. A un módulo SCALANCE S V4 también se le puede asignar un conjunto de reglas IP específico del usuario que tenga a su vez un rol asignado. Los conjuntos de reglas IP específicos del usuario permiten definir derechos de acceso personalizados y concretos. Relaciones de redundancia Una relación de redundancia se crea para dos módulos de seguridad. Si falla uno de los dos módulos de seguridad durante el funcionamiento, el otro módulo de seguridad asumirá su función como cortafuegos y router (NAT/NATP). Dominio MRP Con ayuda de los dominios MRP se definen las estaciones de un anillo MRP. Para las interfaces de todos los módulos que deban estar conectados a un anillo MRP, debe estar seleccionado el mismo dominio MRP. Manual de configuración, 12/2014, C79000-G8978-C

60 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Definiciones de servicios Definiendo servicios IP o MAC se pueden definir reglas de cortafuegos de forma compacta y clara. Servidores NTP Los servidores NTP se crean para todo el proyecto, por lo que pueden asignarse a varios módulos de seguridad en la SCT. Servidor RADIUS Los servidores RADIUS se crean para todo el proyecto, por lo que pueden asignarse a varios módulos de seguridad en la SCT. Administrador de certificados En el administrador de certificados se gestionan todos los certificados del proyecto y de los módulos de seguridad incluidos. Administración de usuarios En la administración de usuarios se pueden gestionar todos los usuarios del proyecto y sus derechos, y también definir reglas para las contraseñas. Nombres simbólicos En un proyecto se pueden asignar nombres simbólicos en una tabla en lugar de direcciones IP y MAC. 60 Manual de configuración, 12/2014, C79000-G8978-C286-04

61 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Ajustes específicos de módulo La mayoría de las funciones se configuran en las fichas del diálogo de propiedades, que se puede abrir para un módulo de seguridad seleccionado a través del comando de menú "Editar" > "Propiedades...". En el diálogo de propiedades se pueden organizar las diferentes fichas a voluntad mediante Arrastrar y soltar. En la tabla siguiente se describen las funciones de las diferentes fichas. Función / ficha en el diálogo de propiedades Interfaces Vista general de los diferentes ajustes de interfaces y puertos. Para CPs: Los ajustes se adoptan desde STEP 7 y no pueden cambiarse. Cortafuegos Aquí se activa en el modo normal el cortafuegos con reglas estándar sencillas. Además, aquí se pueden activar ajustes de registro. En el modo avanzado se pueden definir reglas detalladas para el filtrado de paquetes. También se pueden definir ajustes de registro explícitos para cada regla de filtrado de paquetes. Para CPs: Si se ha migrado una lista Access Control, esta se muestra aquí y puede editarse. Conexión a Internet Si se ha ajustado una conexión a través de PPPoE, realice aquí los ajustes para el Internet Service Provider. DNS Ajustes del DNS dinámico que permiten el acceso a direcciones IP siempre cambiantes utilizando un nombre fijo (FQDN). DNS dinámico está permitido en la interfaz externa y en la interfaz DMZ. Enrutamiento Indique aquí los datos del router estándar y/o especifique una ruta específica de la subred. Para CPs: La especificación de un router estándar se aplica desde STEP 7, y solo puede cambiarse en STEP 7. La indicación aparece en el área de contenido de SCT. Por eso, la ficha no está incluida en las propiedades del módulo. NAT/NAPT Active la funcionalidad NAT/NAPT y defina la conversión de direcciones en una lista. Sincronización horaria Defina aquí el tipo de sincronización para fecha y hora. Para CPs: la sincronización horaria solo puede configurarse en SCT si se ha activado la configuración NTP avanzada en STEP 7. Ajustes de registro Aquí se pueden realizar indicaciones precisas sobre el modo de registro y de almacenamiento de eventos de registro y configurar la transferencia a un servidor Syslog. se ofrece en el modo Standard Avanzado X X X X X X - X X X - X X X - X Manual de configuración, 12/2014, C79000-G8978-C

62 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Función / ficha en el diálogo de propiedades VPN Si el módulo de seguridad se encuentra en un grupo VPN, aquí se puede configurar la Dead-Peer-Detection, la forma de establecimiento de la conexión y, dado el caso, el punto de acceso para WAN (dirección IP o FQDN). En el área de diálogo "Nodos VPN" podrá realizar además, dependiendo del módulo de seguridad, ajustes para las subredes, nodos IP/MAC y nodos NDIS a los que deba accederse adicionalmente a través del túnel VPN. Para SCALANCE S: El aprendizaje de nodos internos puede activarse y desactivarse. El área de diálogo "Nodos VPN" solo se muestra si el proyecto está en el modo avanzado. Servidor DHCP Para la red interna y para la red DMZ (solo SCALANCE S623/S627-2M) podrá utilizar el módulo de seguridad como servidor DHCP. SNMP Ajuste en esta ficha la versión de protocolo SNMP y el método de autenticación y codificado. Proxy ARP Ajuste en esta ficha entradas estáticas para Proxy ARP en la interfaz externa. MRP/HRP Ajuste en esta ficha los parámetros para la conexión del módulo de seguridad a anillos MRP/HRP. RADIUS Asigne al módulo de seguridad en esta ficha un servidor RADIUS que realice la autenticación del usuario en lugar del módulo de seguridad en caso de activarse conjuntos de reglas IP específicos del usuario. se ofrece en el modo Standard Avanzado X X - X X X - X X X X X Asignaciones a grupos para túneles VPN Los grupos VPN determinan qué módulos de seguridad, SOFTNET Security Clients, módulos SCALANCE M, dispositivos VPN y clientes NCP VPN (Android) deben comunicarse entre sí a través de túneles IPsec. Al asignar estos dispositivos de red a un grupo VPN, estos podrán establecer túneles de comunicación a través de una VPN (Virtual Private Network). Solo los módulos del mismo grupo VPN pueden comunicarse entre sí de forma segura a través de túneles, pudiendo pertenecer los módulos a varios grupos VPN simultáneamente. 62 Manual de configuración, 12/2014, C79000-G8978-C286-04

63 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Consulte también Configuración de otras propiedades de los módulos (Página 169) Definición de valores de inicialización estándar para un proyecto Definición de valores de inicialización estándar para un proyecto Con los valores de inicialización estándar se definen propiedades que se adoptan automáticamente al crear módulos nuevos. Además, mediante la casilla de verificación "Guardar selección" se determina si al crear un módulo nuevo debe abrirse una ventana para ajustar las propiedades o si el módulo debe insertarse directamente. Elija el comando de menú "Proyecto" > "Propiedades...", ficha "Valores de inicialización predeterminados". Protección de datos de proyecto mediante codificación Los datos de proyecto y configuración almacenados están protegidos por codificación tanto en el archivo de proyecto como en el C-PLUG (no para CP 1628) Check Consistency Resumen Security Configuration Tool distingue: Pruebas de coherencia locales Pruebas de coherencia a nivel de proyecto Para más información sobre las reglas comprobadas que debe tener en cuenta al realizar entradas, consulte las descripciones de los cuadros de diálogos correspondientes bajo el término clave "Check Consistency" (prueba de coherencia). Pruebas de coherencia locales Una prueba de coherencia se considera local si se puede realizar directamente dentro de un cuadro de diálogo. Se pueden producir comprobaciones con motivo de las siguientes acciones: al salir de un campo al salir de una fila de una tabla al salir del cuadro de diálogo con "OK" ("Aceptar"). Manual de configuración, 12/2014, C79000-G8978-C

64 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Pruebas de coherencia a nivel de proyecto Las pruebas de coherencia a nivel de proyecto informan sobre la configuración correcta de los módulos. Para las acciones siguientes se comprueba automáticamente la coherencia en todo el proyecto: al guardar el proyecto al abrir el proyecto antes de cargar una configuración Nota Solo se pueden cargar datos de proyecto si el proyecto es coherente en su conjunto. Cómo lanzar una prueba de coherencia a nivel de proyecto Para realizar una prueba de coherencia para un proyecto abierto, proceda del siguiente modo: Comando de menú: "Opciones" > "Verificaciones de consistencia...". El resultado de la comprobación se emite en una lista que se puede filtrar por tipos de aviso "Errores" o "Advertencias". Si el proyecto contiene datos incoherentes, el estado se visualiza en la barra de estado de la ventana SCT. Haga clic en la barra de estado para visualizar la lista de pruebas Asignación de nombre simbólicos para direcciones IP o MAC Cómo se accede a esa función Comando de menú: "Opciones" > "Nombres simbólicos...". Significado y ventaja En un proyecto de seguridad se pueden asignar nombres simbólicos en una tabla en lugar de direcciones IP y MAC. La configuración de los distintos servicios se puede realizar así de manera sencilla y segura. Para las siguientes funciones y su configuración se tienen en cuenta nombres simbólicos dentro del proyecto: Cortafuegos Router NAT/NAPT Syslog DHCP NTP 64 Manual de configuración, 12/2014, C79000-G8978-C286-04

65 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Formación de nombres simbólicos Los nombres simbólicos deben llevar antepuesto el carácter de almohadilla (#) tanto en la definición como en su utilización. Los nombres simbólicos han de ser conformes con DNS. Validez y carácter inequívoco La validez de los nombres simbólicos indicados en la tabla está limitada a la configuración dentro de un proyecto de seguridad. Dentro del proyecto, cada nombre simbólico ha de estar asignado de forma inequívoca a una única dirección IP y/o MAC. Cuadro de diálogo para definición de nombres simbólicos Para evitar una incoherencia en una correspondencia "Dirección IP - Nombre simbólico" así como "Dirección MAC - Nombre simbólico", los nombres simbólicos se administran en una sola tabla. Definición de nombres simbólicos 1. Pulse el botón "Agregar" para añadir un nuevo nombre simbólico en la siguiente línea libre de la tabla. 2. Introduzca un carácter de almohadilla (#) seguido del nombre simbólico deseado conforme a las normas de DNS. 3. Complete la entrada con la dirección IP y/o MAC. Manual de configuración, 12/2014, C79000-G8978-C

66 Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos Utilización de nombres simbólicos no definidos En el marco de la configuración de los módulos de seguridad, también pueden utilizarse nombres simbólicos que aún no estén definidos. Tras la introducción de un nombre simbólico aún no definido y la confirmación del correspondiente cuadro de diálogo, el nombre simbólico elegido se adopta en la tabla de nombres simbólicos. A continuación, en este diálogo se puede definir la correspondiente dirección IP y/o MAC para el nombre simbólico. Si borra una entrada de la tabla de, los nombres simbólicos utilizados en los servicios siguen existiendo en los mismos. En tales casos, la prueba de coherencia reconoce nombres simbólicos no definidos. Esto no depende de si el nombre simbólico ha sido definido a posteriori o no. Sugerencia: Para la tabla aquí descrita es particularmente conveniente la aplicación de una verificación de consistencia para todo el proyecto. A partir de la lista se pueden detectar y corregir irregularidades. Inicie la prueba de coherencia para un proyecto abierto con el comando de menú "Opciones" > "Verificaciones de consistencia...". Reglas que deben considerarse en la comprobación de coherencia Al realizar sus entradas debe tener en cuenta las reglas indicadas a continuación: Los nombres simbólicos deben llevar antepuesto un carácter de almohadilla (#). La asignación de un nombre simbólico a una dirección IP o MAC tiene que ser unívoca. El nombre simbólico y la dirección solo pueden asignarse una vez y no pueden utilizarse en otra entrada de la lista. Los nombres simbólicos han de ser conformes con DNS. Cada nombre simbólico debe tener asignada una dirección IP, una dirección MAC o ambas. No se deben asignar nombres simbólicos a las direcciones IP de los módulos de seguridad. Los nombres simbólicos utilizados en el proyecto para direcciones IP o MAC tienen que estar incluidos en la tabla. Se pueden producir incoherencias si se borran entradas de la tabla y no se eliminan o corrigen correspondientemente en los cuadros de diálogo del proyecto. Consulte también Check Consistency (Página 63) Conformidad DNS (Página 269) 66 Manual de configuración, 12/2014, C79000-G8978-C286-04

67 Configuración con Security Configuration Tool 2.5 Administrar usuarios 2.5 Administrar usuarios Sinopsis de la administración de usuarios Cómo está estructurada la administración de usuarios? El acceso a la configuración de seguridad se gestiona mediante ajustes de usuario configurables. Configure usuarios con las contraseñas correspondientes para la autenticación. Asigne al usuario un rol definido por el sistema o por usuario. Los roles tienen asignados derechos de configuración y específicos de módulo. Observe las capacidades (Página 20) indicadas al crear los usuarios. Los usuarios ya existentes se migran de STEP 7 a SCT Los usuarios ya creados en STEP 7 pueden migrarse a SCT. En ese caso, las contraseñas deben volver a asignarse. Encontrará información detallada al respecto en la Ayuda en pantalla. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión de la SCT. Orden de entrada al crear usuarios y roles Elija una de las siguientes secuencias de introducción: Cree primero un usuario, a continuación defina un rol y, en el último paso, asigne el rol al usuario. Defina primero un rol nuevo, a continuación cree un usuario y, en el último paso, asigne el rol al usuario. Nota Guarde las contraseñas de usuario de forma segura. Si olvida las contraseñas de usuario, ya no podrá acceder al proyecto en cuestión ni al módulo de seguridad en cuestión. En este caso deberá crear un proyecto nuevo y ejecutar el comando "Restablecer configuración de fábrica". En ese caso perderá la configuración. Manual de configuración, 12/2014, C79000-G8978-C

68 Configuración con Security Configuration Tool 2.5 Administrar usuarios Nota Si se modifican los ajustes de la autenticación, se tienen que cargar de nuevo los módulos de seguridad para que se activen estos ajustes (p. ej. nuevos usuarios, cambios de contraseña) en los módulos de seguridad. Autenticación del usuario al activar conjuntos de reglas IP específicos del usuario La autenticación de usuarios que inician sesión en la página web del módulo de seguridad para activar un conjunto de reglas IP específico del usuario se puede llevar a cabo desde el módulo de seguridad o bien desde un servidor RADIUS. En el siguiente capítulo aprenderá cómo definir el método de autenticación "RADIUS" para un usuario: Crear usuarios (Página 69) Encontrará información detallada sobre la autenticación de usuarios mediante servidor RADIUS en el siguiente capítulo: Autenticación mediante servidor RADIUS (Página 78) 68 Manual de configuración, 12/2014, C79000-G8978-C286-04

69 Configuración con Security Configuration Tool 2.5 Administrar usuarios Crear usuarios Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios...", ficha "Usuario", botón "Agregar...". Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas. Parámetro Nombre de usuario Significado Nombre de usuario de libre elección. Método de autenticación Contraseña: utilice este método de autenticación para usuarios que deban editar y cargar el proyecto SCT y diagnosticar el módulo de seguridad. La autenticación del usuario se realizará a través del módulo de seguridad en caso de activarse conjuntos de reglas IP específicos del usuario. RADIUS : la autenticación del usuario se realizará a través de un servidor RADIUS en caso de activarse conjuntos de reglas IP específicos del usuario. En este método de autenticación, la contraseña del usuario no se configura en SCT, sino que debe guardarse en el servidor RADIUS. Utilice este método de autenticación exclusivamente para usuarios que deban iniciar sesión únicamente en la página web de un módulo de seguridad. Un usuario con el método de autenticación "RADIUS" no puede iniciar sesión en proyectos SCT. Contraseña (solo para el método de autenticación "Contraseña") Repetir la contraseña (solo para el método de autenticación "Contraseña") Comentario Duración máxima de la sesión Introducción de la contraseña para el usuario. Al introducirse la contraseña se comprobará su nivel de seguridad. Encontrará más información sobre el nivel de seguridad de la contraseña en el capítulo siguiente: Reglas para nombres de usuario, roles y contraseñas (Página 21) Repetición de la contraseña introducida. Introducción de un comentario adicional. Introducción de la duración tras la cual se cierra automáticamente la sesión de un usuario que ha iniciado sesión en la página web para conjuntos de reglas IP específicos del usuario de módulos SCALANCE S. La duración aquí indicada comienza tras el inicio de sesión y tras renovarse esta en la página web del módulo de seguridad. Ajuste estándar: 30 minutos Valor mínimo: 5 minutos Valor máximo: 480 minutos Rol asignado Según la asignación realizada. Manual de configuración, 12/2014, C79000-G8978-C

70 Configuración con Security Configuration Tool 2.5 Administrar usuarios Tabla 2-1 Botones de la ficha "Usuario" Denominación Editar... Agregar... Eliminar Significado / repercusión Seleccione una entrada y haga clic en el botón. En el diálogo que se abre se pueden modificar los ajustes antes mencionados. Agregue un nuevo usuario con el botón. Elimine la entrada seleccionada con el botón. Nota En el proyecto siempre debe haber como mínimo un usuario en el rol "administrator". El "administrator", que se crea automáticamente al generar el proyecto, solo puede borrarse mientras exista como mínimo un usuario con plenos derechos de configuración Crear roles Qué roles existen? A cada usuario se le puede asignar un rol definido por el sistema o por el usuario. Los derechos de módulos de un rol definido por el usuario se definen para cada módulo de seguridad. Roles definidos por el sistema Están predefinidos los siguientes roles definidos por el sistema. Los roles tienen asignados determinados derechos, que son iguales en todos los módulos y que el administrador no puede cambiar ni borrar. Administrar derechos (Página 72) administrator Rol predeterminado al crear un proyecto SCT. Derechos de acceso ilimitados a todos los datos de configuración. standard Rol con derechos de acceso restringidos. diagnostics Rol predeterminado al crear un usuario. Solo acceso de lectura. remote access Ningún derecho, salvo inicio de sesión en la página web para conjuntos de reglas IP específicos del usuario. 70 Manual de configuración, 12/2014, C79000-G8978-C286-04

71 Configuración con Security Configuration Tool 2.5 Administrar usuarios radius Rol que se puede utilizar para activar conjuntos de reglas IP específicos del usuario con autenticación a través de servidor RADIUS. Solo acceso de lectura. administrator (radius) Rol que se puede utilizar para activar conjuntos de reglas IP específicos del usuario con autenticación a través de servidor RADIUS. Derechos de acceso a todos los datos de configuración excepto a SNMP MIB. Nota Encontrará más información sobre los conjuntos de reglas IP específicos del usuario en el siguiente capítulo: Conjuntos de reglas IP específicos de usuario (Página 142) Nota Encontrará más información sobre la autenticación mediante servidor RADIUS en el siguiente capítulo: Autenticación mediante servidor RADIUS (Página 78) Rol definido por el usuario Además de los roles definidos por el sistema, se pueden crear roles definidos por el usuario. Para un rol definido por el usuario se seleccionan los derechos de configuración o de módulo, y se crean los derechos correspondientes para cada módulo de seguridad utilizado en el proyecto. Los roles definidos por usuario se asignan manualmente al usuario en cuestión. Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios", ficha "Roles". Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas. Manual de configuración, 12/2014, C79000-G8978-C

72 Configuración con Security Configuration Tool 2.5 Administrar usuarios Tabla 2-2 Datos de la ficha "Roles" Parámetro Nombre del rol Comentario Duración máxima de la sesión Significado Nombre de rol de libre elección. Introducción de un comentario adicional. Introducción de la duración tras la cual se cierra automáticamente la sesión para un usuario con el rol asignado en la página web para conjuntos de reglas IP específicos del usuario de módulos SCALANCE S. La duración aquí indicada comienza tras el inicio de sesión y tras renovarse esta en la página web del módulo de seguridad. Ajuste estándar: 30 minutos Valor mínimo: 5 minutos Valor máximo: 480 minutos Tabla 2-3 Botones de la ficha "Roles" Denominación Propiedades... / Editar... Agregar... Eliminar Significado / repercusión Seleccione un rol definido por usuario de la lista y haga clic en el botón. En el cuadro de diálogo que se abre, modifique las propiedades del rol, como el nombre del rol, los derechos que tiene asignados y la duración máxima de la sesión. Los roles definidos por el sistema no se pueden editar. Agregue un nuevo rol definido por el usuario con el botón. En el cuadro de diálogo que aparece, introduzca el nombre del rol y asigne al rol los derechos que desee de la lista de derechos. Se muestran los derechos del rol definido por el sistema seleccionado en la asignación de derechos (asignación estándar: "diagnostics"). Elimine la entrada seleccionada con el botón. Nota Un rol definido por el usuario ya creado solo puede borrarse si no está asignado a ningún usuario. Dado el caso, asigne un rol diferente al usuario. Los roles definidos por el sistema no se pueden borrar Administrar derechos Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios...", ficha "Roles", botón "Propiedades " o "Agregar ". Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas. 72 Manual de configuración, 12/2014, C79000-G8978-C286-04

73 Configuración con Security Configuration Tool 2.5 Administrar usuarios Crear y asignar un rol definido por usuario 1. Introduzca un nombre de rol. 2. Seleccione un rol definido por el sistema en la asignación de derechos (asignación estándar: "diagnostics"). Los roles definidos por usuario no se muestran en la selección. Resultado: Según el rol seleccionado, se muestran para cada módulo de seguridad utilizado en el proyecto los derechos correspondientes en la lista de derechos. Los derechos de los módulos de seguridad no utilizados en el proyecto se muestran en gris. 3. Active o desactive para cada módulo de seguridad los derechos que deben asignarse al rol definido por usuario. 4. Si lo desea, introduzca un comentario, así como la duración máxima de la sesión para el rol que se va a crear. 5. Haga clic en el botón "Aplicar" para guardar la selección o en "Aceptar" para guardar y cerrar la ventana. 6. Asigne el rol a un usuario. Copia de permisos de rol de un módulo de seguridad En el menú contextual de un módulo de seguridad, elija en la lista de objetos el comando "Copiar permisos..." y asigne los permisos a otro módulo de seguridad con el comando "Insertar permisos...". Derechos de configuración Dependiendo del tipo de rol, por cada proyecto de seguridad dispone de los siguientes derechos de configuración: Tabla 2-4 Derechos de configuración para accesos al proyecto de seguridad Derecho de configuración administrator standard diagnostics Diagnosticar seguridad x x x Configurar seguridad x x - Administrar usuarios y roles x - - x El derecho está activado - El derecho está desactivado Derechos de módulos En la columna "Servicio" se muestra el sistema al que afecta el derecho en cuestión. Dependiendo del tipo de rol, por cada proyecto de seguridad se dispone de los siguientes derechos de módulo: Manual de configuración, 12/2014, C79000-G8978-C

74 Configuración con Security Configuration Tool 2.5 Administrar usuarios Tabla 2-5 Derechos de módulo CP x43-1 Adv. Derecho dentro del servicio administrator standard diagnostics Servicio Web: Formatear el sistema de archivos del CP * x - - Sistema de archivos FTP: Leer archivos del sistema de archivos del CP x x x FTP: Escribir archivos del sistema de archivos del CP x x - FTP: Leer archivos (DB) de la CPU S7 ** x x x PLC FTP: Escribir archivos (DB) de la CPU S7 *** x x - Applet: Leer variables de símbolos configurados * x x x Applet: Escribir variables de símbolos configurados * Applet: Leer variables de direcciones absolutas * x x x Applet: Escribir variables de direcciones absolutas * x x - Applet: Leer estado de los módulos en el bastidor * x x x Applet: Leer referencia de los módulos en el bastidor * x x x SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer LLDP MIB x x x SNMP: Leer SNMPv2 MIB x x x SNMP: Leer MRP MIB x x x SNMP: Escribir MRP MIB x x - SCT: Ejecutar diagnóstico del módulo de seguridad **** x x x Seguridad Web: Ampliar lista de control de acceso IP * x - - Web: Acceder a diagnóstico web y al sistema de archivos de CP x x x Web Web: Enviar mail de prueba * x x x Web: Actualizar el firmware * x x - Mantenimiento Web: Cargar textos de diagnóstico * x x - x El derecho está activado - El derecho está desactivado * Para utilizar la función, también debe estar activado el derecho de módulos "Web: Acceder al diagnóstico web y al sistema de archivos de CP". ** Para utilizar la función, también debe estar activado el derecho de módulos "FTP: Leer archivos del sistema de archivos del CP". *** Para utilizar la función, también debe estar activado el derecho de módulos "FTP: Escribir archivos del sistema de archivos del CP". **** Para utilizar la función también debe estar activado el derecho de configuración "Diagnosticar seguridad". 74 Manual de configuración, 12/2014, C79000-G8978-C286-04

75 Configuración con Security Configuration Tool 2.5 Administrar usuarios Tabla 2-6 Derechos de módulo CP 1628 Derecho dentro del servicio administrator standard diagnostics Servicio SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer SNMPv2 MIB x x x SCT: Ejecutar diagnóstico del módulo de seguridad x x x Seguridad x El derecho está activado - El derecho está desactivado Tabla 2-7 Derechos de módulo SCALANCE S V3.0 Derecho dentro del servicio administrator standard diagnostics Servicio SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer SNMPv2 MIB x x x SNMP: Leer MRP MIB x x x SNMP: Escribir MRP MIB x x - SCT: Ejecutar diagnóstico del módulo de seguridad x x x Seguridad Carga de los archivos de configuración x x - Web: Actualizar el firmware x x - Mantenimiento x El derecho está activado - El derecho está desactivado Tabla 2-8 Derechos de módulo SCALANCE S < V3.0 Derecho dentro del servicio administrator standard diagnostics Servicio Carga de los archivos de configuración x x - Seguridad SCT: Ejecutar diagnóstico del módulo de seguridad x x x x El derecho está activado - El derecho está desactivado Manual de configuración, 12/2014, C79000-G8978-C

76 Configuración con Security Configuration Tool 2.5 Administrar usuarios Ajuste de derechos de módulos antes y después de crear módulos de seguridad Dentro de un rol definido por el usuario, los derechos de módulo se definen por separado para cada módulo de seguridad. Si un módulo de seguridad para el que deban definirse los derechos de módulo dentro de un rol se ha creado antes de agregar los roles, los derechos de este módulo de seguridad se ajustarán automáticamente según la asignación de derechos elegida y podrán adaptarse en caso necesario. Si un módulo de seguridad se ha añadido tras haber creado un rol, la SCT no definirá derecho alguno. En este caso, deberá ajustar por sí mismo todos los derechos para el módulo de seguridad. Los derechos de módulo ya existentes también pueden aplicarse a otro módulo de seguridad copiándolos y adaptándolos en él si fuera necesario. Para ello, elija el comando "Copiar permisos..." e "Insertar permisos..." del menú contextual de un módulo de seguridad, en los derechos de módulo Configuración de normas para las contraseñas Significado Mediante las normas para contraseñas pueden definirse unas reglas que deberán tenerse en cuenta a la hora de asignar contraseñas a los nuevos usuarios. Cómo se accede a esa función Elija el comando de menú "Opciones" > "Administración de usuarios...", ficha "Normas de contraseña". Al activar una casilla de verificación, la norma correspondiente se activa y se puede adaptar, si es necesario, a través del correspondiente campo de entrada. Parámetros Longitud mínima de contraseña Significado Número de caracteres que deben contener las contraseñas como mínimo. La correspondiente casilla de verificación está activada de forma predeterminada y no se puede desactivar. Valor mínimo: 8 caracteres Valor máximo: 32 caracteres Número mínimo de cifras Número de cifras que deben contener las contraseñas como mínimo. Valor mínimo: 1 cifra Valor máximo: 32 cifras Número mínimo de caracteres especiales Número de caracteres especiales que deben contener las contraseñas como mínimo. Un carácter especial es todo aquel que no sea una letra ni una cifra. Valor mínimo: 1 carácter especial Valor máximo: 32 caracteres especiales 76 Manual de configuración, 12/2014, C79000-G8978-C286-04

77 Configuración con Security Configuration Tool 2.5 Administrar usuarios Parámetros Número de contraseñas bloqueadas para la reutilización Significado Número de contraseñas ya utilizadas que no están disponibles como nueva contraseña en caso de cambiar la contraseña. Valor mínimo: 1 contraseña Valor máximo: 10 contraseñas Al menos una letra mayúscula y otra minúscula Si se activa esta casilla de verificación, las contraseñas deben contener como mínimo una letra mayúscula y otra minúscula. Manual de configuración, 12/2014, C79000-G8978-C

78 Configuración con Security Configuration Tool 2.5 Administrar usuarios Autenticación mediante servidor RADIUS Resumen Significado RADIUS (Remote Authentication Dial-In User Service) es un protocolo de autenticación de usuarios mediante servidores en los que se pueden almacenar los datos de usuario de forma centralizada. El uso de servidores RADIUS permite aumentar la protección de nombres de usuario, roles asignados y contraseñas. Entorno de uso de los servidores RADIUS La autenticación mediante servidor RADIUS se puede realizar en el marco de la activación de conjuntos de reglas IP específicos del usuario. 78 Manual de configuración, 12/2014, C79000-G8978-C286-04

79 Configuración con Security Configuration Tool 2.5 Administrar usuarios 1 Introducción de los datos de usuario en la página web del módulo de seguridad 2 Autenticación mediante servidor RADIUS y activación del conjunto de reglas IP específico del usuario 3 Acceso a célula de automatización La estructura de red representada arriba constituye un ejemplo. El servidor RADIUS también puede encontrarse en la red interna o en la red DMZ del módulo de seguridad. Para las posibilidades de configuración descritas a continuación se presupone siempre que se ha configurado un servidor RADIUS en la SCT y que se ha asignado al correspondiente módulo de seguridad. Además, debe haberse configurado un usuario o un rol con el método de autenticación "RADIUS". Encontrará información al respecto en los capítulos siguientes: Definición de servidores RADIUS (Página 80) Asignación de servidor RADIUS a un módulo de seguridad (Página 82) Crear usuarios (Página 69) Crear roles (Página 70) Encontrará información general sobre los conjuntos de reglas IP específicos del usuario en el siguiente capítulo: Conjuntos de reglas IP específicos de usuario (Página 142) Configuraciones posibles Para la autenticación del usuario mediante un servidor RADIUS se dispone de dos posibilidades de configuración: El módulo de seguridad conoce el usuario y su rol, a través del servidor RADIUS solamente se realiza la gestión de la contraseña para el usuario. En el servidor RADIUS está configurado el usuario con la contraseña correspondiente. Se configura un usuario con el método de autenticación "RADIUS". El usuario se asigna al conjunto de reglas IP específico del usuario. Resultado: Cuando un usuario inicia sesión en la página web del módulo de seguridad, la consulta de autenticación se transmite al servidor RADIUS. El servidor RADIUS comprueba la contraseña y devuelve el resultado al módulo de seguridad. Si se ha superado la comprobación de la contraseña, se activa el conjunto de reglas IP específico del usuario. El módulo de seguridad conoce el rol, y la gestión de usuarios se realiza a través del servidor RADIUS. En el servidor RADIUS está configurado el usuario con la contraseña correspondiente. Al conjunto de reglas IP específico del usuario se le asigna un rol definido por el usuario o bien un rol definido por el sistema. En la pestaña "RADIUS" del módulo de seguridad se activan las casillas de verificación "Permitir autenticación de RADIUS para usuarios no configurados" y "La ID de filtro es necesaria para la autenticación". Manual de configuración, 12/2014, C79000-G8978-C

80 Configuración con Security Configuration Tool 2.5 Administrar usuarios Resultado: Cuando un usuario inicia sesión en la página web del módulo de seguridad, las consultas de autenticación y de autorización se transmiten al servidor RADIUS. El servidor RADIUS comprueba la contraseña y devuelve el resultado al módulo de seguridad. Caso a: si el nombre del rol está configurado adicionalmente en el servidor RADIUS: El servidor RADIUS devuelve al módulo de seguridad el nombre del rol asignado al usuario. Caso b: si el nombre del rol no está configurado en el servidor RADIUS: El módulo de seguridad asigna al usuario un rol definido por el sistema, "radius". Si se ha superado la comprobación de la contraseña, se activa el conjunto de reglas IP específico del usuario. Convenios para servidores RADIUS Los servidores RADIUS se pueden encontrar en cualquier red conectada con el módulo de seguridad. Se pueden configurar como máximo dos servidores RADIUS por módulo de seguridad. Durante el funcionamiento está entonces activo uno solo de los servidores RADIUS. En la definición de un servidor RADIUS se puede utilizar también un FQDN en lugar de una dirección IP Definición de servidores RADIUS Significado Antes de que pueda tener lugar la autenticación mediante un servidor RADIUS, este deberá guardarse en un proyecto de SCT. A continuación, el servidor RADIUS definido debe asignarse al módulo de seguridad para el cual dicho servidor debe asumir la autenticación de usuario. 80 Manual de configuración, 12/2014, C79000-G8978-C286-04

81 Configuración con Security Configuration Tool 2.5 Administrar usuarios Procedimiento 1. Elija el comando de menú "Opciones" > "Configuración del servidor RADIUS...". 2. Haga clic en el botón "Agregar...". 3. Introduzca los parámetros necesarios según la tabla siguiente. Parámetros Nombre Dirección IP / FQDN Puerto Shared Secret Repetir Shared Secret Método de autenticación Comentario Significado Nombre de libre elección para el servidor RADIUS. Dirección IP o FQDN del servidor RADIUS. Puerto UDP bajo el que es accesible el servidor RADIUS. De forma predefinida se reciben datos de autenticación en el puerto Introducción de la contraseña utilizada para el cifrado al transferir los datos de inicio de sesión entre servidores RADIUS y módulos de seguridad. Se admiten los siguientes caracteres del juego ANSI X : A...Z a...z!#$%&()"*'+`,-./:;<=>?@ [\]_{ }~^ Longitud del Shared Secret: caracteres Confirmación de la contraseña. Indicación del método utilizado para comprobar los datos de usuario. Se soporta exclusivamente el método "PAP" (Password Authentication Protocol). Introducción opcional de comentarios. Resultado Ha definido un servidor RADIUS y ahora lo puede asignar a los módulos de seguridad deseados. Manual de configuración, 12/2014, C79000-G8978-C

82 Configuración con Security Configuration Tool 2.5 Administrar usuarios Asignación de servidor RADIUS a un módulo de seguridad Requisitos Ha definido un servidor RADIUS. Procedimiento 1. Seleccione el módulo de seguridad que desee asignar a un servidor RADIUS. 2. Elija el comando de menú "Editar" > "Propiedades...". 3. Elija la ficha "RADIUS". 4. Active la casilla de verificación "Activar autenticación de RADIUS". Nota Cambio del método de autenticación con servidor web en módulo de seguridad Cuando se activa la autenticación RADIUS en el módulo de seguridad, cambia el método de autenticación con el servidor web de "Digest Access Authentication" a "Basic Access Authentication". 5. Indique en el campo de entrada "Timeout de RADIUS" el tiempo en segundos que el módulo de seguridad debe esperar como máximo una respuesta del servidor RADIUS. 6. Indique en el campo de entrada "Repeticiones de RADIUS" el número de intentos de conexión con el servidor RADIUS. 7. Active la casilla de verificación "Permitir autenticación de RADIUS para usuarios no configurados" cuando se haya asignado un rol en lugar de un usuario al conjunto de reglas IP específico del usuario que se desea activar. 8. Active la casilla de verificación "La ID de filtro es necesaria para la autenticación" cuando el rol asignado sea un rol definido por el usuario. 9. Haga clic en el botón "Agregar". Resultado: el servidor RADIUS configurado en primer lugar se asigna al módulo de seguridad. 10.En caso necesario, elija en la lista desplegable "Nombre" el servidor RADIUS que desee asignar al módulo de seguridad. Encontrará información general sobre la autenticación mediante servidor RADIUS en el siguiente capítulo: Autenticación mediante servidor RADIUS (Página 78) Consulte también Crear usuarios (Página 69) 82 Manual de configuración, 12/2014, C79000-G8978-C286-04

83 Configuración con Security Configuration Tool 2.6 Administrar certificados 2.6 Administrar certificados Sinopsis Cómo se administran los certificados? En el administrador de certificados se puede obtener una vista general de todos los certificados y certificados CA utilizados en el proyecto, con la información correspondiente al solicitante, al emisor, a la validez, al uso en SCT y a la existencia de una clave privada. El certificado CA es un certificado emitido por una entidad emisora, llamada "Certificate Authority", y de él se derivan los certificados de dispositivo. Entre los certificados de dispositivo se encuentran los certificados SSL, necesarios para la autenticación en la comunicación online entre un módulo de seguridad y otro dispositivo de red. Otros certificados de dispositivos son los certificados de grupos VPN de módulos de seguridad que se encuentran en grupos VPN. Las posibles entidades emisoras pueden ser: La propia SCT. Si el solicitante y el emisor son iguales, se trata de un certificado autofirmado, es decir, emitido por SCT. Una entidad emisora superior. Los certificados externos al proyecto de otros emisores se importan y se guardan en la memoria de certificados de la SCT. Los certificados creados por una de las dos entidades emisoras, siempre cuentan con una clave privada, que permite derivar los certificados de dispositivo. El administrador de certificados incluye, además, las siguientes funciones: Importación de certificados y entidades emisoras nuevas. Importación de certificados FTPS cuando el CP se utiliza como cliente FTP. Exportar los certificados y entidades emisoras utilizados en el proyecto. Renovación de certificados y entidades emisoras caducados. Sustitución de entidades emisoras ya existentes. Nota Cargar el proyecto Tras sustituir o renovar certificados es necesario cargar el proyecto en el módulo de seguridad correspondiente. Tras sustituir o renovar certificados CA es necesario cargar el proyecto en todos los módulos de seguridad. Manual de configuración, 12/2014, C79000-G8978-C

84 Configuración con Security Configuration Tool 2.6 Administrar certificados Nota Fecha y hora actuales en los módulos de seguridad Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará. Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administrador de certificados...". En las diferentes fichas se dispone de los siguientes botones: Botón Importar.../Exportar... Descripción Importar y exportar certificados de dispositivo o CA que no se crearon en la SCT. Los certificados se transmiten al módulo de seguridad. Son posibles los siguientes formatos: *.pem (solo certificado) *.crt (solo certificado) *.p12 (certificado con las claves privadas correspondientes) Nota Los usuarios con el rol "diagnostics" definido por el sistema no pueden realizar exportaciones. Mostrar... Abre el cuadro de diálogo de certificados de Windows, en el que se muestra una vista general de todos los datos de certificado. Ficha "Entidades emisoras" Los certificados que se muestran aquí son generados por una entidad emisora. Entidad emisora de un proyecto: Al crear un proyecto SCT nuevo, se genera un certificado CA para el proyecto. A partir de este certificado se derivan los certificados SSL para los diferentes módulos de seguridad. Entidad emisora de un grupo VPN: Al crear un grupo VPN nuevo, se genera un certificado CA para el grupo VPN. A partir de este certificado se derivan los certificados de grupos VPN de módulos de seguridad que se encuentren en el correspondiente grupo VPN. 84 Manual de configuración, 12/2014, C79000-G8978-C286-04

85 Configuración con Security Configuration Tool 2.6 Administrar certificados Ficha "Certificados de dispositivos" Visualización de los certificados específicos de dispositivo que genera la SCT para un módulo de seguridad. Aquí se incluyen: Certificado SSL de un módulo de seguridad: para cada módulo de seguridad creado se genera un certificado SSL derivado del certificado CA del proyecto. Se recurre a los certificados SSL para autenticar la comunicación entre PG o PC y el módulo de seguridad al cargar la configuración (no en el caso de CP) y durante el registro. Certificado de grupo VPN de un módulo de seguridad: además se genera un certificado de grupo VPN para cada módulo de seguridad por cada grupo VPN en el que se encuentra. Ficha "Certificados de confianza y entidades emisoras de certificados de origen" Visualización de los certificados externos importados a SCT. Se pueden importar p. ej. certificados de servidor de servidores FTP externos o certificados de proyecto de otros proyectos SCT. El certificado externo importado se transmite a todos los CPs administrados en el proyecto SCT. El módulo de seguridad se identifica entonces con ese certificado, p. ej., al acceder a un servidor FTPS. La configuración SCT en sí no utiliza el certificado importado. Visualización de las entidades emisoras necesarias para la verificación de servicios externos como proveedores de dyn. DNS mediante módulos de seguridad Renovar certificados Significado En este cuadro de diálogo se renuevan certificados CA y certificados de dispositivos. De ser necesario, por ejemplo en caso de un certificado comprometido, es posible importar un certificado o bien crear un certificado nuevo mediante la Security Configuration Tool. Manual de configuración, 12/2014, C79000-G8978-C

86 Configuración con Security Configuration Tool 2.6 Administrar certificados Cómo se accede a esa función 1. Haga clic con la tecla derecha del ratón en una entrada de la lista en el administrador de certificados. 2. Elija la entrada "Renovar certificado...". 3. Seleccione si el nuevo certificado debe ser firmado por el usuario o por una entidad emisora. 4. Si el certificado debe ser firmado por una entidad emisora, seleccione con el botón "Seleccionar..." la entidad emisora que debe utilizarse. Para tal fin solo están disponibles las entidades emisoras que están guardadas en la memoria de certificados del proyecto SCT actual. 5. Elija un período de validez para el certificado. Por defecto, se introduce en los campos "Válido desde:" y "Válido hasta:" el valor del certificado actual. 6. Introduzca los valores siguientes en función del certificado: Certificado a renovar Parámetros Solicitante Nombre alternativo del solicitante Certificado CA del proyecto Nombre del certificado CA - Certificado CA de grupo Nombre del certificado CA - VPN Certificado SSL para CP S7 Nombre del módulo de seguridad Direcciones IP de las interfaces Gigabit y PROFINET, separadas por una coma. Certificado SSL para CP PC Nombre del módulo de seguridad Dirección IP del módulo de seguridad. 86 Manual de configuración, 12/2014, C79000-G8978-C286-04

87 Configuración con Security Configuration Tool 2.6 Administrar certificados Certificado a renovar Certificado SSL para SCALANCE S, SCALANCE M y SOFTNET Security Client Certificado de grupo VPN de un módulo de seguridad Solicitante Nombre del módulo de seguridad Nombre del certificado del grupo VPN Parámetros Nombre alternativo del solicitante - Derivado del CA Reemplazar certificados Significado En este cuadro de diálogo se reemplaza el certificado CA existente en el proyecto o el certificado CA de un grupo VPN por uno nuevo. Cómo se accede a esa función 1. Haga clic con la tecla derecha del ratón en una entrada de la lista en la ficha "Entidades emisoras". 2. Elija la entrada "Reemplazar certificado...". 3. Aparece el cuadro de diálogo "Cambiar entidad emisora". Todos los certificados que aparecen en el campo "Certificados afectados" se vuelven a derivar. De este modo es posible reemplazar el certificado CA de un grupo VPN configurado previamente dentro del proyecto SCT por el certificado CA de un grupo VPN de otro proyecto SCT. Los certificados de grupos VPN para los dispositivos del grupo VPN se derivan por tanto en ambos proyectos del mismo certificado CA. Si al cerrar el administrador de certificados aparece un cuadro de diálogo de advertencia, vuelva a cargar la configuración modificada en el módulo de seguridad. Qué formato puede tener el certificado? Del certificado CA importado se derivan otros certificados en SCT. Por lo tanto solo se pueden seleccionar certificados con clave privada: *.p12 Manual de configuración, 12/2014, C79000-G8978-C

88 Configuración con Security Configuration Tool 2.6 Administrar certificados 88 Manual de configuración, 12/2014, C79000-G8978-C286-04

89 Crear módulos y ajustar parámetros de red 3 El presente capítulo le familiariza con la creación de módulos y con los ajustes que se pueden efectuar en un proyecto para los distintos módulos. Otras informaciones La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión de la SCT. Nota Prestaciones y tipos de equipos Tenga en cuenta cuáles son las funciones asistidas por el tipo de equipo que utilice. Consulte también Funciones online - Diagnóstico y registro (Página 255) Cómo se accede a esa función 1. En el área de navegación, seleccione el objeto "Todos los módulos". 2. Elija el comando de menú "Insertar" > "Módulo". 3. Realice los siguientes ajustes. Manual de configuración, 12/2014, C79000-G8978-C

90 Crear módulos y ajustar parámetros de red Parámetro Tipo de producto Módulo Versión del firmware Nombre del módulo Dirección MAC Dirección IP (ext.) Máscara de subred (ext.) Enrutamiento por interfaz externo/interno Significado Tipo de producto utilizado al crear un módulo. SCALANCE S SCALANCE M SOFTNET Configuration (SOFTNET Security Client, dispositivo VPN, cliente NCP VPN) Dependiendo de la selección del tipo de producto, aquí se puede indicar el tipo de módulo que se utilizará al crear un módulo nuevo. Elija la opción "Cliente NCP VPN para Android" para agregar un dispositivo cliente VPN que represente a un dispositivo que tenga instalado el software NCP Secure VPN Client for Android. Elija la opción "Dispositivo VPN" para insertar un dispositivo cliente VPN como sustituto de un dispositivo de otro fabricante. Nota El archivo de configuración derivado solamente representa una ayuda para la configuración de la conexión VPN, pero no garantiza la compatibilidad con productos de otros fabricantes. Para los módulos SCALANCE S y el SOFTNET Security Client se pueden indicar aquí las versiones de firmware o software. Nombre del módulo de libre elección. Introducción de la dirección MAC del módulo. Dirección IP de la interfaz externa. La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto, p. ej Rango de valores de la máscara de subred. Se propone de acuerdo con la dirección IP introducida. La máscara de subred consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej Selección del modo de operación para el módulo de seguridad. Para SCALANCE S están disponibles los modos de operación siguientes: Modo de puente Dirección IP (int.) Solo debe indicarse si está activado el modo de enrutamiento Modo de enrutamiento Si se selecciona el modo de enrutamiento, hay que configurar una dirección IP y una máscara de subred para la interfaz interna del módulo de seguridad. Dirección IP de la interfaz interna. La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej., Manual de configuración, 12/2014, C79000-G8978-C286-04

91 Crear módulos y ajustar parámetros de red Parámetro Máscara de subred (int.) Solo debe indicarse si está activado el modo de enrutamiento Guardar selección Significado Rango de valores de la máscara de subred. La máscara de subred se propone acorde con la dirección IP indicada. La máscara de subred consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej Si activa esta función, la configuración ajustada en ese momento se aplicará en los valores de inicialización estándar. Al insertar módulos nuevos ya no se abrirá el cuadro de diálogo "Selección de un módulo o configuración de software", sino que en el proyecto se insertará directamente un módulo acorde con los ajustes definidos. Para cancelar de nuevo esta función y seleccionar otro tipo de módulo, desactive la función en la siguiente ruta de menú: "Proyecto" > "Propiedades..." > "Valores de inicialización predeterminados" Nota Ajustes adicionales Realice otros ajustes de interfaz en la pestaña "Interfaces" de las propiedades de módulo. Encontrará información al respecto en el capítulo: Configurar interfaces (Página 94) Crear CPs en STEP 7 Los CPs solo se crean en STEP 7. Aparecen en la lista de módulos configurados en SCT después de crear el módulo y definirlo como módulo de seguridad en las propiedades de módulo de STEP 7. Los datos de dirección se adoptan desde STEP 7 y no pueden modificarse en SCT. Consulte también Parámetros del área de contenido (Página 92) Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 269) Dirección MAC (Página 271) Manual de configuración, 12/2014, C79000-G8978-C

92 Crear módulos y ajustar parámetros de red 3.1 Parámetros del área de contenido 3.1 Parámetros del área de contenido Cómo abrir la vista En el área de navegación, seleccione el objeto "Todos los módulos". Para los CP solamente se pueden editar los contenidos de la columna "Comentario". Se visualizan por columnas las siguientes propiedades de los módulos: Propiedad/columna Significado Comentario/selección N.º Número de módulo correlativo se asigna automáticamente Nombre Denominación unívoca del módulo de libre elección Tipo Tipo de dispositivo Nota Dirección IP ext. Máscara de subred ext. Dirección IP a través de la cual se puede acceder al dispositivo en la red externa, p. ej. para cargar la configuración Máscara de subred para la dirección IP externa Dirección IP a través de la cual se puede acceder al dispositivo en la red interna si está configurado como router Para dispositivos del tipo "SOFTNET Security Client" y "Cliente NCP VPN para Android" no existe diálogo de propiedades. Para dispositivos VPN se pueden adaptar únicamente los tipos de archivo de los archivos de configuración que se van a exportar en las propiedades de módulo. Asignación adecuada para la red. Asignación adecuada para la red. Dirección IP int. Asignación adecuada para la red. El campo de entrada solo puede editarse si está activado el modo de enrutamiento. Máscara de subred int. Máscara de subred para la dirección Asignación adecuada para la red. IP interna El campo de entrada solo puede editarse si está activado el modo de enrutamiento. Router estándar Dirección IP del router estándar Asignación adecuada para la red. Dirección MAC Dirección de hardware del módulo La dirección MAC está impresa en la carcasa del módulo. Comentario Información sobre el módulo y la subred protegida por el módulo de libre elección Modificar los parámetros de dirección para SCALANCE S / M Para módulos SCALANCE S / M es posible introducir y modificar algunos parámetros de dirección en el área de contenido. 92 Manual de configuración, 12/2014, C79000-G8978-C286-04

93 Crear módulos y ajustar parámetros de red 3.1 Parámetros del área de contenido Significado de los parámetros de dirección para CPs Para los CPs se muestran las siguientes direcciones de STEP 7: Campo en SCT CP x43-1 Adv. CP 1628 Dirección IP ext. Dirección IP Gigabit Dirección IP IE (Industrial Ethernet) Máscara de subred Máscara de subred Gigabit Máscara de subred IE ext Dirección IP int. Dirección IP PROFINET No se muestra Máscara de subred Máscara de subred PROFINET No se muestra int. Router estándar Router estándar configurado en Router estándar configurado en STEP 7 STEP 7 Dirección MAC Dirección MAC Gigabit (si está configurada) Dirección MAC IE (si está configurada) También se muestran los datos de dirección en la ficha "Interfaces". Dirección IP asignada dinámicamente Si en STEP 7 se ha configurado que la dirección IP se asigne dinámicamente, dependiendo de los ajustes en SCT se indicará lo siguiente: Tabla 3-1 Interfaz Gigabit Modo de operación en STEP 7 Obtener la dirección IP de un servidor DHCP Dirección IP ext. / máscara de subred ext. (campos en SCT) dinámica Tabla 3-2 Interfaz PROFINET Modo de operación en STEP 7 Obtener la dirección IP de un servidor DHCP Ajustar la dirección IP en el programa de usuario Ajustar la dirección IP por otra vía Dirección IP int. / máscara de subred int. (campos en SCT) dinámica Manual de configuración, 12/2014, C79000-G8978-C

94 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces 3.2 Configurar interfaces Resumen de posibilidades de conexión Posibilidades de conexión admisibles Cada módulo de seguridad dispone de un número concreto de puertos a los que se conectan los dispositivos de red. En función de la interfaz correspondiente, los dispositivos de red reciben un tratamiento distinto. Módulo de seguridad Interfaz Dirección MAC de la interfaz* Puerto de la interfaz Tipo de puerto Dirección MAC del puerto* SCALANCE S602 / S612 / S613 Externa Dirección MAC (ver impresión) Interna Dirección MAC + 1 P1 P2 Conector hembra RJ45 fijo (cobre) Conector hembra RJ45 fijo (cobre) Dirección MAC + 2 Dirección MAC + 3 SCALANCE S623 Externa Dirección MAC (ver impresión) P1 Conector hembra RJ45 fijo (cobre) Dirección MAC + 3 Interna Dirección MAC + 1 P2 Conector hembra RJ45 fijo (cobre) Dirección MAC + 4 DMZ Dirección MAC + 2 P3 Conector hembra RJ45 fijo (cobre) Dirección MAC + 5 SCALANCE S627-2M Externa Dirección MAC (ver impresión) P1 Conector hembra RJ45 fijo (cobre) Dirección MAC + 3 P4 Puerto para módulo de medios (cobre/fo) Dirección MAC + 4 P5 Puerto para módulo de medios (cobre/fo) Dirección MAC + 5 Interna Dirección MAC + 1 P2 Conector hembra RJ45 fijo (cobre) Dirección MAC + 6 P6 Puerto para módulo de medios (cobre/fo) Dirección MAC + 7 P7 Puerto para módulo de medios (cobre/fo) Dirección MAC + 8 DMZ Dirección MAC + 2 P3 Conector hembra RJ45 fijo (cobre) Dirección MAC + 9 * Durante el funcionamiento en el modo de puente, la dirección MAC impresa es válida siempre tanto en la interfaz externa como en la interna. Las direcciones MAC de las interfaces se utilizan para todos los servicios excepto LLDP. 94 Manual de configuración, 12/2014, C79000-G8978-C286-04

95 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Las direcciones MAC de los puertos se utilizan para detectar la topología con LLDP (solo para módulos en el modo de enrutamiento). Nota Las interfaces Ethernet no deben intercambiarse a la hora de conectarlas a la red de comunicación: Interfaz X1 - externa Marca roja = área de red no protegida; Interfaz X2 - interna Marca verde = red protegida por SCALANCE S; Interfaz X3 - DMZ (interfaz de red universal) Marca amarilla = área de red no protegida o área de red protegida mediante SCALANCE S. Si se intercambian las interfaces, el dispositivo pierde su función de protección. Funciones de la interfaz DMZ La zona desmilitarizada (DMZ) se utiliza para poner servicios a disposición de una red externa, pero la red interna que proporciona los datos debe permanecer desacoplada de la red externa. En el DMZ puede haber p. ej. servidores de terminal con programas de mantenimiento y diagnóstico instalados que permitan accesos definidos a sistemas determinados en la red segura. Solo tienen acceso usuarios autorizados o clientes de la red no segura o clientes conectados vía VPN. Las reglas de cortafuegos pueden configurarse de tal forma que sea posible acceder desde Internet a dispositivos en la DMZ, pero no a la red interna. Para una mayor protección, los accesos permitidos solo pueden limitarse al tráfico de datos por VPN. En el capítulo "4.2 SCALANCE S como cortafuegos entre red externa y DMZ" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para instalar una DMZ. Para poder asignar una dirección IP dinámica también a dispositivos de la DMZ, se puede activar en la interfaz DMZ un servidor DHCP. No obstante, en ese caso hay que garantizar que los dispositivos de la DMZ reciban por DHCP siempre la misma dirección IP, ya que esas son las direcciones IP que deben utilizarse en la configuración de cortafuegos. Así, en la configuración DHCP no se puede utilizar la asignación dinámica de direcciones, sino solo la estática a partir de la dirección MAC o de la ID de cliente. La interfaz DMZ puede utilizarse como punto final VPN. En combinación con un módem DSL, la interfaz DMZ funciona entonces en modo PPPoE o bien en combinación con un router DSL previo con dirección IP estática. En el capítulo "5.2 Túnel VPN entre SCALANCE S623 y SCALANCE S612" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para el acceso remoto a través de un túnel VPN. Manual de configuración, 12/2014, C79000-G8978-C

96 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Puertos para módulo de medios de las interfaces externa e interna Además de las funciones de SCALANCE S623, el SCALANCE S627-2M posee dos slots de módulo de medio, en los que se puede usar respectivamente un módulo de medio eléctrico u óptico de 2 puertos. Las interfaces externa e interna se amplían de esta forma con dos puertos cada una. Si para una interfaz se utiliza el módulo de medio "MM992-2SFP", en el módulo de medio de esta interfaz se pueden utilizar hasta dos transceptores SFP (Small Form-factor Pluggable Transceiver) eléctricos u ópticos. Los puertos adicionales se pueden utilizar para la conexión de las interfaces externa e interna del SCALANCE S627-2M a anillos MRP/HRP. Los puertos para módulos de medios están conectados al puerto fijo de la interfaz correspondiente a través de un bloque switch. Entre los puertos conectados a través de un bloque switch no existe funcionalidad de cortafuegos (nivel 2/nivel 3). A todos los puertos conectados a través de un bloque switch se accede por la misma dirección IP. 96 Manual de configuración, 12/2014, C79000-G8978-C286-04

97 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Funciones de las diferentes interfaces Las siguientes funciones pueden utilizarse en las distintas interfaces: Función Verde (interno) Rojo (externo) Amarillo (DMZ) Dirección IP estática x x x Acceso WAN con router - x x DSL Acceso WAN con router - x x DSL (PPPoE, direc- (si no es en la interfaz (si no es en la interfaz ción IP dinámica del amarilla) roja) ISP) Modo de puente x - Modo de enrutamiento x x x Modo Ghost - x - Servidor DHCP x - x Punto final de una - x x conexión por túnel VPN (con módem DSL y router DSL) Cliente MRP/HRP (en modo de enrutamiento, puertos en anillo en los módulos de medio) x x - LLDP (en modo de x x x enrutamiento) Passive Listening (en modo de enrutamiento, si hay módulos de medio insertados) x x - x se soporta - no se soporta Modo dúplex/semidúplex Para un puerto existe la posibilidad de seleccionar un modo dúplex o semidúplex: Semidúplex: el módulo de seguridad solo puede o recibir o enviar datos en un momento determinado. Dúplex: el módulo de seguridad puede recibir y enviar datos simultáneamente en un momento determinado. Manual de configuración, 12/2014, C79000-G8978-C

98 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Nota Modo dúplex y velocidad de transferencia en puertos ópticos Para puertos del tipo "Óptico", el modo de puerto está predeterminado por el módulo de medio o el SFP utilizados y no se puede adaptar Interfaces Cómo se accede a esa función: 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Interfaces". Enrutamiento de interfaz - Posibilidades de selección Si el módulo SCALANCE S no se encuentra ni en un grupo VPN ni en una relación de redundancia, es posible modificar el enrutamiento de interfaz en este campo. La selección es válida para el enrutamiento de interfaces entre la interfaz externa y la interna. La interfaz DMZ (solo SCALANCE S623 y SCALANCE S627-2M) siempre está conectada en el modo de enrutamiento. Modo de puente Modo de enrutamiento Modo Ghost Para el uso en redes planas Las interfaces externa e interna están en la misma subred IP. Para S623 / S627-2M: las interfaces externa e interna están en la misma subred IP, la interfaz DMZ está en otra subred IP o está desactivada. Todas las interfaces están en diferentes subredes IP. Nota Si ha activado el modo de enrutamiento para el módulo SCALANCE S, no podrán definirse reglas para cortafuegos MAC. Durante el funcionamiento, el módulo SCALANCE S adopta para la interfaz externa la dirección IP del dispositivo que está conectado a la interfaz interna del módulo SCALANCE S. Los datos de dirección IP que deben indicarse para la interfaz externa sirven únicamente para cargar la configuración antes del funcionamiento en modo Ghost. Nota El modo Ghost solo puede seleccionarse en la ficha "Interfaces" si el proyecto está en modo avanzado. 98 Manual de configuración, 12/2014, C79000-G8978-C286-04

99 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Configuración de las interfaces Si debe configurarse la interfaz de un módulo, primero debe activarse mediante la casilla de verificación "Activar interfaz". Defina las direcciones IP de cada interfaz y los ajustes de los puertos individuales (solo para SCALANCE S V3 o superior). Para asignar una dirección IP están disponibles los modos de asignación siguientes para la interfaz externa y la interfaz DMZ (solo SCALANCE S623 / S627-2M): Dirección IP estática con máscara de subred Asignación de dirección mediante PPPoE La interfaz interna y la interfaz de túnel (solo para SCALANCE S S612/S623/S627-2M V4 o superior) solo pueden configurarse utilizando una dirección IP estática. Si se han registrado direcciones IP alias en una interfaz mediante la configuración de una regla NAT/NAPT para un módulo SCALANCE S, se mostrarán en el campo "Direcciones IP alias". Nota Interfaz externa e interfaz DMZ (solo SCALANCE S S623/S627-2M) como acceso a Internet No es posible el funcionamiento simultáneo de PPPoE en la interfaz externa y en la interfaz DMZ (Dual-ISP). Significado de la dirección IP de túnel Si utiliza la función "NAT/NAPT en túnel VPN", debe asignar una dirección IP de túnel para el módulo de seguridad. Con ello se garantiza la accesibilidad de los módulos de seguridad a través del túnel VPN, así como la posibilidad de configuración y diagnóstico. La dirección IP de túnel configurada se puede completar con direcciones IP alias de túnel con ayuda de las correspondientes reglas NAT/NAPT. La máscara de subred está predefinida de forma fija con 32 bits para la dirección IP de túnel y no se puede modificar. La dirección IP de túnel solo se puede configurar si se cumplen los siguientes requisitos: El módulo de seguridad se encuentra en un grupo VPN. El proyecto se encuentra en el modo avanzado. Encontrará más información sobre la conversión de direcciones con NAT/NAPT en túneles VPN en el siguiente capítulo: Conversión de direcciones con NAT/NAPT en túneles VPN (Página 180) Point to Point Protocol over Ethernet (PPPoE) Para permitir una conexión Internet/WAN directamente a través de un módem DSL, la asignación de la dirección IP se realiza en la interfaz externa o en la interfaz DMZ mediante PPPoE. PPPoE es un protocolo de llamada para la obtención de direcciones IP desde un Internet Service Provider (ISP). SCALANCE S funciona en ese caso en modo de enrutamiento. Manual de configuración, 12/2014, C79000-G8978-C

100 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Para utilizar este método de asignación de dirección IP, introduzca los datos del ISP en la ficha "Conexión a Internet". La dirección IP, la máscara de subred, el router estándar y el servidor DNS de la interfaz son entonces predefinidos por el ISP. Nota Si hay configurado un router predeterminado, este no se tiene en cuenta si se utiliza PPPoE. Será preasignado dinámicamente al módulo por el ISP. Nota Ningún componente de red entre SCALANCE S y el módem DSL Si la interfaz de un módulo SCALANCE S funciona mediante PPPoE, no debe haber ningún otro componente de red entre dicha interfaz y el módem DSL conectado, ya que los datos de marcación del Internet Service Provider se transfieren en su caso sin codificar en este tramo. Si se utiliza el protocolo de autenticación "CHAP", los datos se transfieren cifrados. 100 Manual de configuración, 12/2014, C79000-G8978-C286-04

101 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Ajustes de puertos Columna Significado ID de puerto ID asignada automáticamente para el puerto de la interfaz. Tipo de puerto Propiedad física del puerto (cobre/fibra óptica) Modo de puerto Autonegotiation La velocidad de transferencia y el modo dúplex/semidúplex se negocian automáticamente entre puertos compatibles con IEEE Nota Solo si Autonegotiation está seleccionada se soportan una velocidad de transferencia de 1000 Mbits/s y la función Autocrossing. 10 Mbits/s, dúplex y semidúplex Velocidad de transferencia de 10 Mbits/s. 100 Mbits/s, dúplex y semidúplex Velocidad de transferencia de 100 Mbits/s. Long Distance Signalling (LDS) La velocidad de transferencia y el modo dúplex/semidúplex se negocian automáticamente entre puertos compatibles con BroadR-Reach. Desactivado (solo puerto externo o puerto DMZ con SCALANCE S623 y SCALANCE S627-2M) El puerto se desactiva. Modo LLDP (en modo de enrutamiento) Puerto MRP (en modo de enrutamiento para los puertos de módulo de medios de las interfaces externa e interna) Nota Los puertos para módulos de medios que utilizan cables de fibra óptica como medio de transmisión siempre funcionan en modo dúplex a la máxima velocidad de transmisión. Por tanto, el modo de los puertos de los módulos de medios ópticos no se puede configurar. RxTx Enviar y recibir telegramas Encontrará más información LLDP sobre LLDP en el capítulo Off Recibir telegramas LLDP siguiente: LLDP (Página 107) Se indica si los puertos de módulo de medios de la interfaz están conectados a un anillo MRP. Si es el caso, se muestran las cadenas de caracteres "RingportOne" y "RingportTwo" en las filas de las tablas de los puertos del módulo de medios. Para los puertos con la ID "X1 P1" y "X2 P1" se muestra de forma predeterminada la cadena de caracteres "None" (ninguno), pues estos puertos no pueden participar en un anillo MRP. Encontrará información general sobre la redundancia de medios con MRP en el siguiente capítulo: Redundancia de medios con MRP/HRP (Página 107) Encontrará información sobre la configuración de MRP para el módulo de seguridad en el siguiente capítulo: Configuración de MRP/HRP para el módulo de seguridad (Página 109) Puerto HRP (en modo de enrutamiento para los puertos de módulo de medios de las interfaces externa e interna) Se indica si los puertos de módulo de medios de la interfaz están conectados a un anillo HRP. Si es el caso, se muestran las cadenas de caracteres "RingportOne" y "RingportTwo" en las filas de las tablas de los puertos del módulo de medios. Para los puertos con la ID "X1 P1" y "X2 P1" se muestra de forma predeterminada la cadena de caracteres "None" (ninguno), pues no pueden participar en un anillo HRP. Encontrará información general sobre la redundancia de medios con HRP en el siguiente capítulo: Redundancia de medios con MRP/HRP (Página 107) Encontrará información sobre la configuración de HRP para el módulo de seguridad en el siguiente capítulo: Configuración de MRP/HRP para el módulo de seguridad (Página 109) Manual de configuración, 12/2014, C79000-G8978-C

102 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Columna Comentario Significado Comentario de libre elección Configuración de módulos de medio Haga clic en el botón "Configurar módulo de medio..." para abrir el diálogo de configuración del módulo de medio para la correspondiente interfaz. Los dos modos de configuración siguientes están disponibles: "Automático" (ajuste estándar): el módulo de medio utilizado se detecta automáticamente durante el funcionamiento. El modo de puerto se ajusta para los dos puertos a "Autonegotiation". "Manual": seleccione el tipo de módulo de medio utilizado en la lista desplegable "Tipo de módulo". Cuando selecciona el tipo de módulo de medio "MM992-2SFP", podrá elegir el transceptor enchufable SFP deseado a través de las dos listas desplegables "Tipo de SFP". Para puertos del tipo "Cobre", la velocidad de transferencia y el modo dúplex se pueden seleccionar manualmente a través del modo de puerto. Para puertos del tipo "Óptico", el modo de puerto está predeterminado por el módulo de medio o el SFP utilizados y no se puede adaptar. Consulte también Particularidades del modo Ghost (Página 110) Resumen de posibilidades de conexión (Página 94) Datos de configuración para módulos SCALANCE M (Página 217) Conexión a Internet Cómo se accede a esa función: 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Conexión a Internet". 102 Manual de configuración, 12/2014, C79000-G8978-C286-04

103 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Significado Si se ha ajustado una conexión a través de PPPoE para una de las interfaces del módulo de seguridad, realice los ajustes para el Internet Service Provider (ISP) en esta ficha. Tabla 3-3 Ajustes de la cuenta ISP Función Nombre de usuario Contraseña Repetir contraseña Autenticación Descripción Introduzca el nombre para el inicio de sesión en la cuenta ISP. Introduzca la contraseña para el inicio de sesión en la cuenta ISP. Vuelva a introducir la contraseña para el inicio de sesión en la cuenta ISP. Seleccione uno de los siguientes protocolos de autenticación o ninguno: PAP (Password Authentication Protocol) CHAP (Challenge Handshake Authentication Protocol) Nota Ambos interlocutores deben utilizar el mismo método de autenticación; de lo contrario no es posible establecer ninguna conexión. Tabla 3-4 Reglas para nombres de usuario y contraseñas Caracteres permitidos Se admiten los siguientes caracteres del juego ANSI X : A...Z a...z!#$%&()"*'+`,-./:;<=>?@ [\]_{ }~^ Longitud del nombre de usuario caracteres Longitud de la contraseña caracteres Tabla 3-5 Ajustes de la conexión Función Conexión permanente Conexión bajo demanda Descripción Conexión continua a Internet. Si el proveedor deshace la conexión, esta se vuelve a establecer automáticamente, aunque no haya que enviar ningún paquete en ese momento. La conexión a Internet se establece automáticamente si hay que enviar paquetes a Internet. Con este ajuste son posibles retardos al enviar los paquetes. Manual de configuración, 12/2014, C79000-G8978-C

104 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Desconexión forzada (solo con el ajuste "Conexión permanente") Tiempo máx. de inactividad (solo con el ajuste "Conexión bajo demanda") El proveedor deshace la conexión a Internet automáticamente tras un tiempo determinado. Si indica una hora en el campo "Desconexión forzada", el módulo de seguridad interrumpirá por sí mismo la conexión a Internet a esa hora. Esto permite, en determinadas circunstancias, aplazar una desconexión de Internet por parte del proveedor. Una desconexión forzada por iniciativa propia solo es posible si existe una conexión permanente. Entradas permitidas: 00: :59 Si no se envía ningún paquete dentro de un tiempo determinado, la conexión a Internet se deshace automáticamente. En el campo "Tiempo máx. de inactividad", indique el tiempo en segundos pasado el cual debe interrumpirse la conexión. Valores permitidos: Configurar la conversión de direcciones en la red PPPoE La casilla de verificación "Permitir NAT de interna a la red PPPoE" solo está disponible si el proyecto no está en modo avanzado. Si se activa la casilla de verificación, SCT crea una regla NAT con la que se convierten las direcciones IP de origen de todos los dispositivos de la red interna a la dirección IP de módulo de la red PPPoE. Esta regla NAT y la regla de cortafuegos correspondiente son visibles después de activar la casilla de verificación en el modo avanzado DNS dinámico (DDNS) Significado Con un DNS dinámico se puede acceder con un nombre determinado (FQDN) a una dirección IP siempre cambiante. Esto es necesario p. ej. para acceder a un servidor disponible a través de una dirección IP pública cambiante. Funcionamiento El módulo de seguridad notifica a un proveedor de DNS dinámico (p. ej. DynDNS.org, noip.com) la dirección IP WAN actual a través de la cual se puede acceder al módulo de seguridad. El proveedor garantiza que las peticiones de DNS al FQDN del módulo de seguridad se respondan con la dirección IP WAN actual del módulo de seguridad. El DNS dinámico está permitido en las siguientes interfaces: Interfaz externa Interfaz DMZ 104 Manual de configuración, 12/2014, C79000-G8978-C286-04

105 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Requisitos para configurar el DNS dinámico Requisitos: Se ha creado una cuenta para un proveedor de DNS dinámico y se ha registrado un FQDN. Procedimiento para instalar el DNS dinámico: 1. En las propiedades del módulo de seguridad, elija la ficha "DNS". 2. Si el módulo de seguridad se encuentra tras un router DSL o módem DSL, indique la dirección de un servidor DNS válido. Para ello existen dos opciones: Opción Obtener automáticamente la dirección del servidor DNS Utilizar la siguiente dirección de servidor DNS: Significado La dirección del servidor DNS puede obtenerse automáticamente mediante PPPoE, siempre que el módulo de seguridad esté conectado a Internet a través de un módem DSL. Solo puede ajustarse para la interfaz externa y la interfaz DMZ. Introduzca manualmente la dirección del servidor DNS preferido y del alternativo. 3. Active la casilla de verificación "Activar servicio" en el área "Servicio DynDNS primario" y realice los ajustes siguientes: Ajuste Proveedor Cuenta de usuario en el proveedor Contraseña en el proveedor FQDN Vigilar el cambio de dirección IP en el router DSL Significado Elija el proveedor en el que ha configurado una cuenta para DNS dinámico. Introduzca el nombre de usuario que definió al crear la cuenta. Introduzca la contraseña que definió al crear la cuenta. Introduzca el nombre de host (p. ej. mysecuritydevice) y el nombre de dominio (p. ej. dyndns.org) registrado en el proveedor separados por un punto. Si en la ficha "VPN" se ha introducido también un FQDN, ambos deben coincidir. Si el módulo de seguridad está conectado a Internet a través de un router DSL, activando esta función se activa el servicio de comprobación de IP. El módulo de seguridad envía periódicamente peticiones para determinar la dirección IP actual del router DSL y para detectar un cambio de dirección IP en el router DSL. La dirección IP determinada de este modo se envía al proveedor cada vez que se detecta un cambio. Manual de configuración, 12/2014, C79000-G8978-C

106 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Ajuste Periodo Significado Indique en qué ciclo debe llamarse el servicio de comprobación de IP. Valores permitidos: minutos 4. Especifique un proveedor adicional para el caso de que fallase el primario en la ficha "Servicio DynDNS secundario" (ajuste opcional). Procedimiento para instalar un proveedor personalizado: En la lista desplegable "Proveedor", seleccione la entrada "definido por el usuario" y realice además las entradas siguientes: Ajuste URL de actualización de proveedor URL de servicio de comprobación de IP Ignorar errores al verificar el certificado del servidor Significado Introduzca la URL que haya recibido de su proveedor. Los textos comodín <FQDN> y <CurrentWanIP> deben colocarse en el lugar adecuado de la URL. Introduzca la URL que haya recibido de su proveedor. Para que los datos de autenticación estén protegidos, el certificado del servidor de actualización se verifica de forma estándar. Si la verificación del certificado falla, la conexión HTTPS se termina y los datos de la cuenta no se transmiten. Si se activa la casilla de verificación, la función se desactiva, p. ej. si el certificado de servidor del servicio DNS dinámico no es válido (p. ej. porque ha caducado). Se recomienda no ignorar la comprobación y no activar la casilla de verificación. 106 Manual de configuración, 12/2014, C79000-G8978-C286-04

107 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces LLDP Significado LLDP (Link Layer Discovery Protocol) es un protocolo que se utiliza para detectar topologías de red. Un dispositivo apto para LLDP está en condiciones de enviar regularmente información sobre sí mismo a dispositivos vecinos y, al mismo tiempo, recibir información de ellos. La información recibida se almacena en cada dispositivo apto para LLDP en un archivo LLDP MIB. Los sistemas de gestión de redes pueden acceder a estos archivos LLDP MIB con ayuda de SNMP y así emular la topología de red existente. Parámetros configurables El grado de actividad del módulo de seguridad en relación con LLDP se puede configurar en la pestaña "Interfaces" de las propiedades de módulo del siguiente modo: Enviar y recibir telegramas LLDP (ajuste predeterminado, "RxTx") Recibir telegramas LLDP ("Off") Redundancia de medios en topologías de anillo Redundancia de medios con MRP/HRP Significado Bajo el término "Redundancia de medios" se engloban distintos procedimientos para incrementar la disponibilidad de redes Industrial Ethernet en las que se puede acceder a dispositivos por diversas vías. Esto puede tener lugar por entrelazamiento de redes, conexión en paralelo de vías de transmisión o cerrando una topología lineal dándole forma de topología de anillo. Métodos de redundancia de medios MRP y HRP Para los productos SIMATIC NET existe redundancia de medios dentro de una topología de anillo con los métodos MRP (Media Redundancy Protocol) y HRP (High Speed Redundancy Protocol). En los dos métodos se configura uno de los dispositivos como gestor de redundancia. Los demás dispositivos son clientes de redundancia. Los módulos SCALANCE S627-2M pueden adoptar exclusivamente el rol de un cliente MRP o HRP. El gestor de redundancia comprueba con telegramas de prueba la ausencia de interrupciones en el anillo. Los clientes Manual de configuración, 12/2014, C79000-G8978-C

108 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces de redundancia reenvían los telegramas de prueba. Si los telegramas de prueba del gestor de redundancia dejan de llegar al puerto en anillo del gestor de redundancia debido a una interrupción del anillo, el gestor de redundancia conecta sus dos puertos en anillo e informa inmediatamente del cambio a los clientes de redundancia. Los dos métodos de redundancia de medios MRP y HRP funcionan según el mismo principio. Se diferencian en el tiempo que necesitan los switches SCALANCE X para conectar sus puertos en anillo como gestor de redundancia: MRP: 200 ms HRP: 300 ms Nota sobre el uso de MRP y HRP MRP y HRP son compatibles con topologías de anillo con un máximo de 100 dispositivos. Una superación del número de dispositivos puede hacer que falle el tráfico de datos. Se recomienda ajustar los puertos en anillo en cuestión a dúplex y 100 Mbits/s. En otro caso puede fallar el tráfico de datos. Posibilidades de uso de MRP/HRP en puertos para módulos de medios MRP/HRP se soporta exclusivamente en puertos para módulos de medios de SCALANCE S627-2M. La siguiente tabla muestra las posibilidades de uso de MRP/HRP en los puertos para módulos de medios de SCALANCE S627-2M: Puertos en anillo Módulo de medio 1 Módulo de medio 2 P4 P5 P6 P7 Cliente MRP o cliente HRP* Anillo 1 Anillo Anillo 2 Anillo 2 Anillo 1 Anillo 1 Anillo 2 Anillo 2 * La conexión simultánea del módulo de seguridad a un anillo interno y a un anillo externo solo es posible si se conecta al menos una de las interfaces como cliente MRP. Si hay dos anillos subordinados por cada módulo SCALANCE S, es posible la comunicación en el nivel 3 entre los anillos. 108 Manual de configuración, 12/2014, C79000-G8978-C286-04

109 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Configuración de MRP/HRP para el módulo de seguridad Requisitos El módulo de seguridad está en modo de enrutamiento. Para las interfaces conectadas a anillos hay configurados módulos de medios. Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "MRP/HRP". Parámetros configurables Parámetros Significado Posibilidades de selección Interfaces MRP/HRP Selección de la interfaz a la Externa que debe conectarse el Interna anillo MRP/HRP. Rol de redundancia de medios Selección del protocolo de No participante en el anillo redundancia de medios o Cliente MRP (ajuste estándar) desactivación de la redundancia de medios para la Cliente HRP interfaz seleccionada. Activar 'passive listening' Active esta casilla de verificación si desea que la inter- estándar) Activar "passive listening" (ajuste faz seleccionada se acople a redes externas en las que se Desactivar "passive listening" utilice STP/RSTP (Spanning- Tree-Protocol/Rapid- Spanning-Tree-Protocol). Dominio MRP (solo si se selecciona el rol de redundancia de medios "Cliente MRP") Puerto en anillo 1 (solo si se selecciona el rol de redundancia de medios "Cliente MRP" o "Cliente HRP") Con ayuda de los dominios MRP se definen las estaciones de un anillo MRP. Para las interfaces de todos los módulos que deban estar conectados a un mismo anillo MRP, debe estar seleccionado el mismo dominio MRP. Nombre del primer puerto en anillo de la interfaz seleccionada en "Interfaz", si se ha seleccionado para ella el rol de redundancia de medios "Cliente MRP" o "Cliente HRP". De forma predeterminada, para la interfaz externa está seleccionado el dominio MRP predefinido "mrpdomain-1". A través de los botones "Agregar...", "Editar..." y "Eliminar" pueden agregarse dominios MRP, editar los nombres de dominios MRP existentes o borrar estos dominios. - Manual de configuración, 12/2014, C79000-G8978-C

110 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Parámetros Significado Posibilidades de selección Puerto en anillo 2 (solo si se selecciona el rol de redundancia de medios "Cliente MRP" o "Cliente HRP") Dispositivo MRP (solo si se selecciona el rol de redundancia de medios "Cliente MRP") Nombre del segundo puerto en anillo de la interfaz seleccionada en "Interfaz", si se ha seleccionado para ella el rol de redundancia de medios "Cliente MRP" o "Cliente HRP". Visualización de información para todos los módulos de seguridad que pertenezcan al mismo dominio MRP que la interfaz seleccionada. - - Resultado Ha conectado el módulo de seguridad al anillo MRP/HRP a través de la interfaz seleccionada. Los puertos para módulos de medios cuyas interfaces están conectadas a los anillos MRP/HRP se muestran adicionalmente en la ficha "Interfaces" de las propiedades de módulo. Regla que debe considerarse en la prueba de coherencia Al realizar sus entradas debe tener en cuenta la regla indicada a continuación: Los nombres de los dominios MRP solo deben contener letras minúsculas, cifras y el carácter "-". Los nombres deben comenzar y terminar con una letra minúscula o una cifra. Consulte también Check Consistency (Página 63) Particularidades del modo Ghost Significado En modo Ghost, el módulo de seguridad no tiene dirección IP propia ni en la interfaz interna ni en la externa. En su lugar, el módulo de seguridad obtiene en el tiempo de ejecución la dirección IP para su interfaz externa de un dispositivo que está conectado a la interfaz interna del módulo de seguridad y cuyos parámetros de dirección IP pueden ser desconocidos al realizar la configuración. Es posible modificar la dirección IP del dispositivo interno y, por consiguiente, la dirección IP de la interfaz externa. Puesto que el dispositivo interno se identifica por su dirección MAC, los cambios de direcciones IP solo se realizan para la dirección MAC aprendida. En la interfaz interna del módulo de seguridad no se configura ni obtiene ninguna dirección IP. 110 Manual de configuración, 12/2014, C79000-G8978-C286-04

111 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces En lo que se refiere a direcciones MAC, el módulo de seguridad cambia la dirección MAC del dispositivo interno por la dirección MAC del módulo de seguridad en todos los paquetes de datos que salen por la interfaz externa (respuestas del dispositivo interno). Activación del modo Ghost - procedimiento: Requisitos: el modo Ghost solo puede seleccionarse si el proyecto está en modo avanzado. 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...". 3. Seleccione la entrada "Modo Ghost" en la lista desplegable "Enrutamiento por interfaz externo/interno" de la ficha "Interfaces". Propiedades configurables de módulo En el modo Ghost se pueden configurar las propiedades de módulo en las siguientes fichas: Interfaces Cortafuegos Sincronización horaria Ajustes de registro SNMP Puesto que en modo Ghost no es posible configurar servidores DNS, tampoco pueden resolverse FQDN. Requisitos para detectar un dispositivo interno El módulo de seguridad solo puede determinar la dirección IP del dispositivo interno si este inicia por cuenta propia una comunicación de datos con un interlocutor de la red externa. Además, el módulo de seguridad no ofrece servicios de servidor mientras se determina la dirección IP. El módulo de seguridad no puede responder consultas de externa hasta que el dispositivo interno le haya enviado paquetes de datos. Asignación de puertos para conexiones de datos entrantes y salientes Puesto que la interfaz externa del módulo de seguridad y el dispositivo interno tienen la misma dirección IP, hay que llevar a cabo un direccionamiento selectivo de los componentes de red a través de los puertos TCP/UDP. Por este motivo, los puertos están asignados bien al módulo de seguridad bien al dispositivo interno. En las tablas siguientes se representan las asignaciones de los puertos a los diferentes dispositivos para conexiones de datos entrantes y salientes: Manual de configuración, 12/2014, C79000-G8978-C

112 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Tabla 3-6 Asignación de puertos para conexiones entrantes (de externa a módulo de seguridad) Servicio Puerto Protocolo Comentario Servicios web, acceso de configuración y diagnóstico 443 TCP El puerto HTTPS está activado siempre para el acceso de configuración y diagnóstico mediante la Security Configuration Tool y no puede modificarse. SNMP 161 TCP Tras activar SNMP en la Security Configuration Tool se UDP transfieren peticiones SNMP entrantes a través del puerto UDP 161. También es posible una transferencia a través del puerto TCP 161 para poder acceder al dispositivo interno, por ejemplo. Nota Tras activar SNMP, el puerto SNMP está asignado de forma fija al módulo de seguridad. Si SNMP no está activado, utilizando una regla del cortafuegos es posible acceder al dispositivo interno vía SNMP. Tabla 3-7 Asignación de puertos para conexiones salientes (de módulo de seguridad a externa) Servicio Puerto Protocolo Comentario Syslog 514 UDP Si el servicio Syslog de la Security Configuration Tool está activado, los avisos Syslog son transferidos por el módulo de seguridad a través del puerto UDP 514. Esta asignación de puerto no puede modificarse. NTP 123 UDP Si el servidor NTP se utiliza para la sincronización horaria, las peticiones NTP se transfieren a través del puerto UDP 123. Esta asignación de puerto no puede modificarse. 112 Manual de configuración, 12/2014, C79000-G8978-C286-04

113 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Direcciones IP y máscaras de subred reconocibles El módulo de seguridad reconoce exclusivamente los dispositivos internos que disponen de direcciones IP en el rango de las clases de red A, B o C. La máscara de subred es determinada por el módulo de seguridad de acuerdo con la clase de red correspondiente (véase la tabla "Clases de red y máscaras de subred correspondientes"). Para que la máscara de subred se pueda determinar correctamente, debe haberse introducido un router estándar para el dispositivo interno. Los dispositivos con direcciones IP de las clases de red D y E son rechazados por el módulo de seguridad. Tabla 3-8 Clases de red y máscaras de subred correspondientes Clase de red Direcciones IP Máscara de subred Límite inferior Límite superior A B C D Es rechazado por el módulo de seguridad E Es rechazado por el módulo de seguridad Capacidad El módulo de seguridad detecta como máximo un dispositivo interno. El módulo de seguridad se comporta del siguiente modo en caso de haber varios dispositivos internos: El primer dispositivo detectado por el módulo de seguridad en la red interna obtiene acceso al segmento de red externo siempre que el cortafuegos esté configurado a tal efecto. El tráfico de datos de otros dispositivos que pueda haber en el área de red interna se bloquea de acuerdo con la dirección del remitente a partir del nivel 2 (capa MAC). Cargar configuraciones y diagnóstico después de la puesta en servicio Tras obtener una dirección IP del dispositivo interno, el módulo de seguridad tiene en la interfaz externa una dirección IP que puede diferir de la dirección IP con la que se configuró inicialmente el módulo de seguridad. Para modificar la configuración o para fines de diagnóstico es necesario reemplazar la dirección IP configurada inicialmente para la interfaz externa en la Security Configuration Tool por la dirección IP que el módulo de seguridad ha obtenido del dispositivo interno en el tiempo de ejecución. Manual de configuración, 12/2014, C79000-G8978-C

114 Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces Información de enrutamiento para redes jerárquicas en el puerto externo Si en la interfaz externa del módulo de seguridad hay redes jerárquicas con transiciones de subred, el módulo de seguridad debe obtener la información de enrutamiento correspondiente del dispositivo interno. Para ello, el dispositivo interno tiene que responder conforme a consultas ICMP dirigidas a él. No son necesarias las respuestas al Broadcast ICMP. 114 Manual de configuración, 12/2014, C79000-G8978-C286-04

115 Configurar el cortafuegos 4 Significado La función de cortafuegos de los módulos de seguridad protege redes y estaciones de influencias externas e interferencias. De ese modo, solo se permiten relaciones de comunicación determinadas, definidas previamente. Los telegramas no autorizados son rechazados por el cortafuegos sin enviar una respuesta. Para filtrar el tráfico de datos pueden utilizarse, entre otros, direcciones IP, subredes IP, números de puerto o direcciones MAC. Las funciones de Firewall se pueden configurar para los siguientes niveles de protocolo: Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4) Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE (capa 2) El cortafuegos puede utilizarse para el tráfico de datos cifrado (túneles IPsec) y no cifrado. Reglas de cortafuegos Las reglas de cortafuego describen qué paquetes se permiten o prohíben en qué dirección. Las reglas IP afectan a todos los paquetes IP a partir del nivel 3. Las reglas MAC afectan solo a frames inferiores al nivel 3. Reglas de cortafuegos automáticas para conexiones STEP 7 Para las conexiones configuradas en STEP 7 se crean automáticamente reglas de cortafuegos en la SCT, que habilitan al interlocutor. Se tienen en cuenta las direcciones de establecimiento de las conexiones. Las reglas solo pueden verse en el modo avanzado y solo pueden modificarse en él. Manual de configuración, 12/2014, C79000-G8978-C

116 Configurar el cortafuegos Configuración Se deben distinguir las dos vistas de operación: En el modo normal se recurre a reglas de cortafuegos sencillas y predefinidas. Solo pueden habilitarse reglas específicas de servicio. Los servicios habilitados están permitidos para todos los dispositivos y se autoriza el pleno acceso para el sentido indicado. En el modo avanzado se pueden definir ajustes de cortafuegos detallados. Se pueden habilitar servicios determinados para estaciones individuales o permitir para la estación todos los servicios para el acceso a ella o la red. En el modo avanzado hay que distinguir las siguientes reglas o conjuntos de reglas de cortafuegos: Las reglas de cortafuegos locales están asignadas a un módulo de seguridad en cada caso. Se configuran en el cuadro de diálogo de propiedades de los módulos de seguridad. Los conjuntos de reglas de cortafuegos globales se pueden asignar a uno o varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado. Los conjuntos de reglas IP específicos del usuario se pueden asignar a uno o varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado. SCALANCE S V4 (RADIUS): además de uno o varios usuarios, a los conjuntos de reglas IP específicos del usuario es posible asignarles uno o varios roles. Adicionalmente se tiene la posibilidad de definir reglas de firewall de forma compacta y clara con ayuda de definiciones de servicios. Las definiciones de servicios se pueden utilizar en todos los tipos de reglas antes mencionados. Activar el cortafuegos El cortafuegos se controla en modo normal activando la casilla de verificación "Activar cortafuegos". Si se desactiva dicha casilla, los ajustes de cortafuegos registrados se siguen mostrando en la lista, pero no pueden modificarse. Si el módulo de seguridad está en un grupo VPN, la casilla de verificación está activada de forma predeterminada y no puede desactivarse. Activar ajustes de registro En el modo estándar se puede activar el registro globalmente en la ficha "Cortafuegos". Sin embargo, de esta forma no se mostrarán todos los paquetes que pasan el cortafuegos. En el modo avanzado se puede activar el registro para cada regla de cortafuegos concreta. De este modo desaparece la restricción respecto a los paquetes mostrados en el modo estándar. 116 Manual de configuración, 12/2014, C79000-G8978-C286-04

117 Configurar el cortafuegos 4.1 CPs en el modo normal Nota Cortafuegos de SCALANCE S627-2M Los puertos para módulos de medios de SCALANCE S627-2M están conectados al puerto fijo de la interfaz correspondiente a través de un bloque switch. Por este motivo, entre los puertos de la interfaz externa y entre los puertos de la interfaz interna no existe la funcionalidad de cortafuegos (capa 2/capa 3). 4.1 CPs en el modo normal Activar reglas de filtrado de paquetes Si activa la función de seguridad en STEP 7 para los CPs, primero estarán permitidos todos los accesos a y a través del CP. Para activar reglas de filtrado de paquetes individuales, haga clic en la casilla de verificación "Activar cortafuegos". A continuación autorice los servicios deseados. Las reglas de cortafuegos creadas automáticamente debido a una configuración de conexión tienen preferencia ante los servicios aquí ajustados. Todos los dispositivos tienen acceso a los servicios que haya habilitado. Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones determinadas. Para cambiar al modo avanzado, haga clic en la casilla de verificación "Modo avanzado". Nota No es posible regresar al modo normal Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede regresar al normal. Configuración de cortafuegos con VPN Si el módulo de seguridad está en un grupo VPN, la casilla de verificación "Solo comunicación tunelada" está activada de forma predeterminada. Eso significa que a través de la interfaz externa no puede pasar el túnel ninguna comunicación y sólo está permitida la transferencia de datos IPsec. Se crea automáticamente la regla de cortafuegos "Drop" > "Any" > "Externa". Si se desactiva esta casilla de verificación, se permitirá la comunicación tunelada y, adicionalmente, los tipos de comunicación seleccionados en las otras casillas de opción. Manual de configuración, 12/2014, C79000-G8978-C

118 Configurar el cortafuegos 4.1 CPs en el modo normal CP x43-1-adv Ajuste predeterminado del cortafuegos Comportamiento con ajuste predeterminado Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación "Activar cortafuegos" está activada. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado. Ajuste predeterminado para CP x43-1 Adv. Figura 4-1 Ajuste predeterminado para filtrado de paquetes IP CP x43-1 Adv. 1 Todos los tipos de telegramas de interna a externa están bloqueados. 2 Todos los telegramas de interna al módulo de seguridad están permitidos. 3 Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados (también ICMP-Echo-Request). 4 Se permiten telegramas de externa (nodos externos y módulos de seguridad externos) al módulo de seguridad del siguiente tipo: Protocolo ESP (codificación) IKE (protocolo para establecer el túnel IPsec) NAT-Traversal (protocolo para establecer los túneles IPsec) 5 La comunicación IP por túneles IPsec está permitida. 118 Manual de configuración, 12/2014, C79000-G8978-C286-04

119 Configurar el cortafuegos 4.1 CPs en el modo normal 6 Los telegramas del tipo Syslog se permiten del módulo de seguridad a externa y no se ven afectados por el cortafuegos. Nota Dado que Syslog es un protocolo no seguro, no es posible garantizar que los datos de registro se transmitan de forma segura. 7 Los telegramas del módulo de seguridad a interna y externa están permitidos. 8 Las respuestas a solicitudes de la red interna o del módulo de seguridad están permitidas. Figura 4-2 Ajuste predeterminado para filtrado de paquetes MAC CP x43-1 Adv. 1 Todos los telegramas de interna al módulo de seguridad están permitidos. 2 Todos los telegramas de externa al módulo de seguridad están bloqueados. 3 Todos los telegramas de externa al módulo de seguridad del siguiente tipo están permitidos: ARP con limitación de ancho de banda DCP PROFINET con limitación de ancho de banda LLDP 4 Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: ARP con limitación de ancho de banda DCP PROFINET con limitación de ancho de banda 5 Se permiten los siguientes protocolos enviados por túnel IPsec: ISO LLDP Manual de configuración, 12/2014, C79000-G8978-C

120 Configurar el cortafuegos 4.1 CPs en el modo normal Nota Ninguna comunicación pasa de largo por el túnel VPN Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El comportamiento tampoco puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado Configurar el cortafuegos Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos". Tabla 4-1 Servicio Comunicación IP permitida Permitir protocolo S7 Permitir FTP/FTPS (modo explícito) Permitir HTTP Permitir HTTPS Permitir DNS Permitir SNMP Servicios y direcciones disponibles Estación externa Externa interna Externa estación Externa estación Puertos permitidos Significado Interna externa x x x - - Se permite el tráfico IP para los sentidos de comunicación seleccionados. x x x - TCP puerto 102 x x x - TCP puerto 20 TCP puerto 21 x x x - TCP puerto 80 x x x - TCP puerto 443 x x - - TCP puerto 53 UDP puerto 53 x x x - TCP puerto 161/162 UDP puerto 161/162 Se permite la comunicación de los dispositivos de red a través del protocolo S7. Para la administración de archivos y el acceso a ellos entre servidor y cliente. Para la comunicación con un servidor web. Para la comunicación segura con un servidor web, p. ej. diagnóstico web. Se permite la conexión con un servidor DNS. Para vigilar dispositivos de red con capacidad SNMP. 120 Manual de configuración, 12/2014, C79000-G8978-C286-04

121 Configurar el cortafuegos 4.1 CPs en el modo normal Servicio Permitir SMTP Permitir NTP Permitir comunicación en nivel MAC Permitir comunicación ISO Estación externa Interna externa Externa interna Externa estación Externa estación Puertos permitidos x x - - TCP puerto 25 x x - - UDP puerto 123 Significado Para intercambiar s entre usuarios autentificados a través de un servidor SMTP. Para la sincronización de la hora x - Se permite el tráfico MAC de externa a la estación y viceversa x - Se permite el tráfico ISO de externa a la estación y viceversa. Tabla 4-2 Registro para conjuntos de reglas IP y MAC Conjunto de reglas Acción en caso de activación Regla creada Configuración de registros IP Acción De A Registro de paquetes tunelados Solo está activado si el módulo de Allow Estación Túnel seguridad forma parte de un grupo VPN. Se registran todos los Allow Túnel Estación paquetes IP que se han transferido a través del túnel. Registro de paquetes entrantes bloqueados Se registran todos los paquetes IP Drop Externa Estación entrantes que han sido rechazados. Configuración de registros MAC Acción De A Registro de paquetes entrantes bloqueados a la estación Se registran todos los paquetes MAC entrantes que han sido rechazados. Drop Externa Estación Registro de paquetes salientes bloqueados desde la estación Se registran todos los paquetes MAC salientes que han sido rechazados. Drop Estación Externa Nota El tráfico de datos a través de conexiones configuradas no se registra Configurar una lista de acceso Modificar una lista de acceso IP/entradas ACL La lista aparece si en la ficha Protección de acceso IP de STEP 7 está activada la casilla de verificación "Activar protección de acceso IP para comunicación IP". Manual de configuración, 12/2014, C79000-G8978-C

122 Configurar el cortafuegos 4.1 CPs en el modo normal A través de las listas de acceso IP se define la protección de acceso para determinadas direcciones IP. Las entradas de la lista ya creadas en STEP 7 se muestran en SCT con los correspondientes permisos. El derecho "Modificar la lista Access (M)" que puede seleccionarse en STEP 7 no se transfiere a SCT. Para poder determinar los derechos de acceso IP adicionales, hay que asignar al usuario correspondiente en SCT el derecho "Web: Ampliar lista de control de acceso IP". Nota Comportamiento modificado tras la migración Tras la migración, la protección de acceso solo afecta a la interfaz externa. Para que la protección de acceso también afecte a la interfaz interna, configure las reglas de cortafuegos correspondientes en el modo avanzado de la SCT. El módulo de seguridad también responde a solicitudes ARP de direcciones IP no permitidas (capa 2). Si migra una lista IP Access Control sin entradas, el cortafuegos se activa y ya no es posible acceder al CP desde externa. Para que el CP sea accesible, configure las reglas de cortafuegos correspondientes en la SCT. Cómo se accede a esa función Comando de menú SCT: Seleccione el módulo de seguridad que desea editar y elija el comando de menú "Editar" > "Propiedades ", ficha "Cortafuegos". Comando de menú STEP 7: "Protección de acceso IP" > "Inicio de la configuración de cortafuegos", botón "Ejecutar...". Tabla 4-3 Datos Parámetro Dirección IP Derechos Comentario Registro Activar el modo avanzado Significado Dirección IP o rango de direcciones IP permitidos. Según la asignación realizada. Derechos habilitados para la dirección IP. Introducción de un comentario adicional. Si activa la casilla de verificación, se registran las reglas en el registro de filtrado de paquetes. Si activa la casilla de verificación, las entradas se convertirán a las siguientes reglas de cortafuegos. 122 Manual de configuración, 12/2014, C79000-G8978-C286-04

123 Configurar el cortafuegos 4.1 CPs en el modo normal Tabla 4-4 Botones Denominación Nuevo... Modificar... Eliminar Significado / repercusión Cree una dirección IP o un rango de direcciones IP con los derechos correspondientes. Seleccione una entrada y haga clic en este botón para editar la entrada ya existente. Con este botón se borra la entrada seleccionada Agregar una entrada a la lista de acceso Realice los siguientes ajustes Campo Dirección IP (o inicio del rango de IP) Fin del rango de IP (opcional) Comentario La dirección IP está autorizada para los siguientes accesos Descripción Introduzca la dirección IP o el valor inicial de un rango de direcciones IP. Introduzca el valor final de un rango de direcciones IP. Entrada de un comentario adicional; por ejemplo, para describir el interlocutor o el área de direccionamiento. Acceso a equipo (A=Access): Los interlocutores cuyas direcciones estén dentro del área indicada tienen acceso al equipo perteneciente al CP (CP / CPU). Esta autorización de acceso es implícita para direcciones IP indicadas en la configuración de enlaces (rige sólo para enlaces especificados). Enrutamiento IP a otra subred (R=Routing): Los interlocutores cuyas direcciones estén dentro del área indicada tienen acceso a otras subredes conectadas al CP. Esta autorización de acceso no se otorga automáticamente para direcciones IP indicadas en la configuración de enlaces. En caso necesario hay que ajustar aquí este derecho de acceso de forma explícita. Otras reglas de entrada: Se comprueba si se repiten direcciones individuales (con esto se detecta: direcciones individuales introducidas de forma múltiple; solapamientos de áreas). Las direcciones IP indicadas individualmente pueden aparecer además dentro de un área; entonces rigen todas las autorizaciones de acceso asignadas a una dirección IP. No se comprueba si en un área se incluyen direcciones no válidas (por ejemplo, pueden indicarse aquí direcciones broadcast de subred aunque no pueden aparecer como dirección IP de un remitente). Manual de configuración, 12/2014, C79000-G8978-C

124 Configurar el cortafuegos 4.1 CPs en el modo normal CP Ajuste predeterminado del cortafuegos Comportamiento con preajuste Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación "Activar cortafuegos" está activada. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado. Ajuste predeterminado para CP 1628 Figura 4-3 Ajuste predeterminado para filtrado de paquetes IP CP Se permiten todos los telegramas de las interfaces NDIS e IE (Industrial Ethernet) a externa. 2 Todos los telegramas de interna a externa están bloqueados. 3 Todos los telegramas de externa al módulo de seguridad y viceversa del siguiente tipo están permitidos: Protocolo ESP (codificación) IKE (protocolo para establecer el túnel IPsec) NAT-Traversal (protocolo para establecer el túnel IPsec) 124 Manual de configuración, 12/2014, C79000-G8978-C286-04

125 Configurar el cortafuegos 4.1 CPs en el modo normal 4 La comunicación IP por túneles IPsec está permitida. 5 Telegramas del tipo Syslog se permiten del módulo de seguridad a externa. Figura 4-4 Ajuste predeterminado para filtrado de paquetes MAC CP Todos los telegramas de interna a externa están bloqueados. 2 Están permitidos todos los telegramas de externa del siguiente tipo: ARP con limitación de ancho de banda DCP PROFINET con limitación de ancho de banda 3 Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: DCP PROFINET con limitación de ancho de banda 4 Se permiten protocolos MAC enviados por túneles IPsec. Nota Ninguna comunicación pasa de largo por el túnel VPN Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El comportamiento tampoco puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado. Manual de configuración, 12/2014, C79000-G8978-C

126 Configurar el cortafuegos 4.1 CPs en el modo normal Configurar el cortafuegos Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos". Tabla 4-5 Servicios y direcciones disponibles Servicio Comunicación IP permitida Externa estación Externa estación Puertos permitidos Significado x - - Se permite el tráfico IP para las direcciones de comunicación seleccionadas. Protocolo S7 permitido x - TCP puerto 102 Se permite la comunicación de las estaciones de red a través del protocolo S7. Permitir FTP/FTPS (modo explícito) x - TCP puerto 20 TCP puerto 21 Para la administración de archivos y el acceso a ellos entre servidor y cliente. Permitir HTTP x - TCP puerto 80 Para la comunicación con un servidor web. Permitir HTTPS x - TCP puerto 443 Para la comunicación segura con un servidor web, p. ej. diagnóstico web. Permitir DNS x - TCP puerto 53 UDP puerto 53 Se permite la conexión con un servidor DNS. Permitir SNMP x - TCP puerto 161/162 UDP puerto 161/162 Para vigilar estaciones de red con capacidad SNMP. Permitir SMTP x - TCP puerto 25 Para intercambiar s entre usuarios autentificados a través de un servidor SMTP. Permitir NTP x - UDP puerto 123 Para la sincronización de la hora. Permitir comunicación en nivel MAC Permitir comunicación ISO - x - Se permite el tráfico MAC de externa a la estación y vice versa. - x - Se permite el tráfico ISO de externa a la estación y vice versa. Permitir SiCLOCK - x - Se permiten telegramas de hora SiCLOCK de externa a la estación y viceversa. 126 Manual de configuración, 12/2014, C79000-G8978-C286-04

127 Configurar el cortafuegos 4.1 CPs en el modo normal Tabla 4-6 Registro para conjuntos de reglas IP y MAC Registro de paquetes tunelados Registro de paquetes entrantes bloqueados Solo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes IP que se han transferido a través del túnel. Se registran todos los paquetes IP entrantes que han sido rechazados. Conjunto de reglas Acción en caso de activación Regla creada Configuración del archivo de registros IP Acción De A Allow Estación Túnel Allow Túnel Estación Drop Externa Estación Configuración del archivo de registros MAC Acción De A Registro de paquetes entrantes bloqueados Registro de paquetes salientes bloqueados Se registran todos los paquetes MAC entrantes que han sido rechazados. Se registran todos los paquetes MAC salientes que han sido rechazados. Drop Drop Externa Estación Estación Externa Nota El tráfico de datos a través de conexiones configuradas no se registra. Manual de configuración, 12/2014, C79000-G8978-C

128 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal 4.2 SCALANCE S en el modo normal Preajuste del firewall Comportamiento con preajuste Los diagramas siguientes muestran en detalle los ajustes estándar para el filtro de paquetes IP y el filtro de paquetes MAC. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado. Ajuste estándar para SCALANCE S602/S612 V3 o superior Figura 4-5 Ajuste estándar para filtrado de paquetes IP SCALANCE S602/S612 V3 o superior 1 Todos los tipos de telegramas de interna a externa están bloqueados. 2 Todos los telegramas de interna al módulo de seguridad están permitidos. 3 Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados. 4 Se permiten telegramas de externa (nodos externos y módulos de seguridad externos) al módulo de seguridad del siguiente tipo: HTTPS (SSL) Protocolo ESP (codificación) IKE (protocolo para establecer el túnel IPsec) NAT-Traversal (protocolo para establecer el túnel IPsec) 128 Manual de configuración, 12/2014, C79000-G8978-C286-04

129 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal 5 La comunicación IP por el túnel IPsec está permitida. 6 Los telegramas de interna a externa están permitidos. 7 Los telegramas de externa al túnel en la interfaz externa y viceversa están bloqueados. Figura 4-6 Ajuste estándar para filtrado de paquetes MAC SCALANCE S602/612 V3 o superior 1 Todos los tipos de telegramas de interna a externa, excepto los siguientes tipos, están bloqueados. Telegramas ARP 2 Todos los telegramas de interna al módulo de seguridad están permitidos. 3 Todos los telegramas de externa a interna, excepto los siguientes tipos, están bloqueados. Telegramas ARP con limitación de ancho de banda 4 Los telegramas de externa al módulo de seguridad del siguiente tipo están permitidos: ARP con limitación de ancho de banda DCP PROFINET con limitación de ancho de banda En modo de enrutamiento: telegramas LLDP (Ethertype 0x88CC) 5 En el modo de puente: Se permiten protocolos MAC enviados por túnel IPsec. Manual de configuración, 12/2014, C79000-G8978-C

130 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal 6 Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: PROFINET En modo de enrutamiento: telegramas LLDP (Ethertype 0x88CC) 7 Los telegramas Multicast y Broadcast de externa al módulo de seguridad del siguiente tipo están permitidos: PROFINET con limitación de ancho de banda Nota Habilitación automática de tipos de Ethernet Si PPPoE está activo, los tipos de Ethernet 0x8863 y 0x8864 se habilitan automáticamente (PPPoE Discovery y Session Stage). 130 Manual de configuración, 12/2014, C79000-G8978-C286-04

131 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Ajuste estándar para SCALANCE S623 a partir de V3 y S627-2M V4 Las reglas de cortafuegos predeterminadas para las interfaces externa e interna son las mismas que rigen para los módulos SCALANCE S del tipo S602 y S612. En los dos gráficos siguientes se han expuesto únicamente las reglas de filtrado de paquetes IP que afectan a la interfaz DMZ. Las reglas de filtrado de paquetes MAC no pueden definirse para la interfaz DMZ porque los telegramas se enrutan entre la red externa o interna y la interfaz DMZ. Figura 4-7 Ajuste estándar para filtrado de paquetes IP SCALANCE S623/S627-2M (tráfico entre red DMZ y red interna o red DMZ y módulo de seguridad) 1Todos los telegramas de interna a red DMZ están bloqueados. 2Todos los telegramas de interna al túnel en la interfaz DMZ y viceversa están permitidos. Manual de configuración, 12/2014, C79000-G8978-C

132 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal 3Todos los telegramas de red DMZ a interna están bloqueados. 4Todos los telegramas de red DMZ al túnel en la interfaz DMZ y viceversa están bloqueados. 5Los telegramas de la red DMZ (nodos en la red DMZ y módulos de seguridad en la red DMZ) al módulo de seguridad del siguiente tipo están permitidos: HTTPS (SSL) Protocolo ESP (codificación) IKE (protocolo para establecer el túnel IPSec) NAT-Traversal (protocolo para establecer el túnel IPsec) Figura 4-8 Ajuste estándar para filtrado de paquetes IP SCALANCE S623/S627-2M (tráfico entre red DMZ y red externa) 132 Manual de configuración, 12/2014, C79000-G8978-C286-04

133 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal 1 Todos los telegramas de externa a red DMZ están bloqueados. 2 Todos los telegramas de externa al túnel en la interfaz DMZ y viceversa están bloqueados. 3 Todos los telegramas de red DMZ al túnel en la interfaz externa y viceversa están bloqueados. 4 Todos los telegramas de red DMZ a externa están bloqueados. Nota Habilitación automática de tipos de Ethernet Si PPPoE está activo, los tipos de Ethernet 0x8863 y 0x8864 se habilitan automáticamente (PPPoE Discovery y Session Stage) Configurar el cortafuegos para SCALANCE S V3.0 Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos". Cortafuegos activado de forma predeterminada La casilla de verificación "Activar cortafuegos" está activada de forma predeterminada. Así, el cortafuegos está activo automáticamente y todos los accesos de externa al módulo de seguridad están bloqueados. En el modo normal, habilite el cortafuegos para los distintos sentidos activando las casillas de verificación correspondientes. Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a dispositivos determinados; consulte el capítulo siguiente: Cortafuegos en modo avanzado (Página 138) Configuración de cortafuegos con VPN Si el módulo de seguridad está en un grupo VPN y, en el modo normal, la casilla de verificación "Solo comunicación tunelada" está activada, a través de la interfaz externa o la interfaz DMZ solo se permite la transferencia de datos por IPsec codificada. Solo se sigue permitiendo el accedo HTTPS sin túnel al módulo (puerto TCP 443). Si se desactiva esta casilla de verificación, se permitirá la comunicación tunelada y, adicionalmente, los tipos de comunicación seleccionados en las otras casillas de opción. Manual de configuración, 12/2014, C79000-G8978-C

134 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Tabla 4-7 Reglas de cortafuegos y sentidos disponibles (tráfico IP) Servicio Interna externa Externa interna Interna => DMZ DMZ => Interna De interna De externa Puertos permitidos Significado Comunicación IP permitida Permitir protocolo S7 Permitir FTP/FTPS (modo explícito) Permitir HTTP Permitir HTTPS Permitir DNS Permitir SNMP Permitir SMTP Permitir NTP Permitir DHCP x x x x Se permite la comunicación IP para los sentidos de comunicación seleccionados. x x x x - - TCP puerto 102 x x x x - - TCP puerto 20 TCP puerto 21 Se permite la comunicación de los dispositivos de red a través del protocolo S7. Para la administración de archivos y el acceso a ellos entre servidor y cliente. x x x x - - TCP puerto 80 Para la comunicación con un servidor web. x x x x - - TCP puerto 443 x x x x - - TCP puerto 53 UDP puerto 53 x x x x - - TCP puerto 161/162 UDP puerto 161/162 Para la comunicación segura con un servidor web, p. ej. diagnóstico web. Se permite la conexión con un servidor DNS. Para vigilar dispositivos de red con capacidad SNMP. x x x x - - TCP puerto 25 Para intercambiar s entre usuarios autentificados a través de un servidor SMTP. x x x x - - UDP puerto 123 x x x x - - UDP puerto 67 y UDP puerto 68 Para la sincronización de la hora. Se permite la comunicación con un servidor DHCP. 134 Manual de configuración, 12/2014, C79000-G8978-C286-04

135 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Servicio Interna externa Externa interna Interna => DMZ DMZ => Interna De interna De externa Puertos permitidos Significado Permitir comunicación en nivel MAC Permitir comunicación ISO Permitir SiCLOCK Permitir DCP x x - Se permite el tráfico MAC de interna a externa y viceversa x x - Se permite el tráfico ISO de interna a externa y viceversa x x - Se permiten telegramas de hora SiClock de interna a externa y viceversa x x - El tráfico DCP para adjudicar direcciones IP se permite de interna a externa y viceversa. Tabla 4-8 Registro para conjuntos de reglas IP y MAC Conjunto de reglas Acción en caso de activación Configuración de registros IP Registro de paquetes tunelados todos los paquetes IP que se han transferido a través del túnel. Solo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran Registro de paquetes entrantes bloqueados Se registran todos los paquetes IP entrantes que han sido rechazados. Registro de paquetes salientes Se registran todos los paquetes IP salientes que han sido rechazados. bloqueados Configuración de registros MAC Registro de paquetes tunelados Registro de paquetes entrantes bloqueados Registro de paquetes salientes bloqueados Solo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes MAC que se han transferido a través del túnel. Se registran todos los paquetes MAC entrantes que han sido rechazados. Se registran todos los paquetes MAC salientes que han sido rechazados. Manual de configuración, 12/2014, C79000-G8978-C

136 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Configurar el cortafuegos para SCALANCE S < V3.0 Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos". Nota Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones determinadas. Nota No es posible regresar al modo normal Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede regresar al normal. Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo. Tabla 4-9 Servicios y direcciones disponibles Regla/opción Puertos permitidos Función Solo comunicación tunelada Permitir comunicación IP de la red interna a la externa Permitir comunicación IP con protocolo S7 de la red interna a la externa Permitir acceso al servidor DHCP de la red interna a la externa - Este es el ajuste predeterminado. La opción solo se puede seleccionar si el módulo de seguridad se encuentra en un grupo VPN. Con este ajuste solo se permite la transferencia codificada de datos por IPsec; solo pueden comunicarse entre sí nodos protegidos mediante módulos de seguridad con mecanismos VPN. Si esta opción está desactivada, se permite la comunicación tunelada y adicionalmente el tipo de comunicación seleccionado en las otras casillas de opción. - Los nodos internos pueden iniciar una comunicación con nodos de la red externa. Solo se transmiten a la red interna telegramas de respuesta procedentes de la red externa. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. TCP puerto 102 Los nodos internos pueden iniciar una conexión S7 con nodos de la red externa. Solo se transmiten a la red interna telegramas de respuesta procedentes de la red externa. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. UDP puerto 67 Los nodos internos pueden iniciar una comunicación con un servidor UDP puerto 68 DHCP de la red externa. Solo los telegramas de respuesta del servidor DHCP se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. 136 Manual de configuración, 12/2014, C79000-G8978-C286-04

137 Configurar el cortafuegos 4.2 SCALANCE S en el modo normal Regla/opción Puertos permitidos Función Permitir acceso al servidor NTP de la red interna a la externa Permitir telegramas horarios de SiClock de la red externa a la interna Permitir acceso al servidor DNS de la red interna a la externa Permitir la configuración de nodos de red mediante DCP UDP puerto 123 Los nodos internos pueden iniciar una comunicación con un servidor NTP (Network Time Protocol) de la red externa. Solo los telegramas de respuesta del servidor NTP se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. - Con esta opción se habilitan telegramas horarios SiClock de la red externa a la interna. TCP puerto 53 UDP puerto 53 Los nodos internos pueden iniciar una comunicación con un servidor DNS de la red externa. Solo los telegramas de respuesta del servidor DNS se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna. - El protocolo DCP es utilizado por la PST-Tool para realizar, en el caso de componentes de red SIMATIC NET, el bautismo de nodos (ajuste de los parámetros IP). Con esta regla se permite a nodos de la red externa acceder a nodos de la red interna mediante protocolo DCP. Tabla 4-10 Registro para conjuntos de reglas IP y MAC Conjunto de reglas Configuración de registros IP Registro de paquetes tunelados Registro de paquetes entrantes bloqueados Registro de paquetes salientes bloqueados Configuración de registros MAC Registro de paquetes tunelados Registro de paquetes entrantes bloqueados Registro de paquetes salientes bloqueados Acción en caso de activación Solo si el módulo de seguridad forma parte de un grupo VPN: Se registran todos los paquetes IP que se han transferido a través del túnel. Se registran todos los paquetes IP entrantes que han sido rechazados. Se registran todos los paquetes IP salientes que han sido rechazados. Solo si el módulo de seguridad forma parte de un grupo VPN: se registran todos los paquetes MAC que se han transferido a través del túnel. Se registran todos los paquetes MAC entrantes que han sido rechazados. Se registran todos los paquetes MAC salientes que han sido rechazados. Manual de configuración, 12/2014, C79000-G8978-C

138 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado 4.3 Cortafuegos en modo avanzado En el modo avanzado existen posibilidades de ajuste adicionales, que permiten personalizar las reglas de cortafuegos y las funciones de seguridad. Cambiar al modo avanzado Para todas las funciones descritas en este capítulo, cambie al modo avanzado. Nota No es posible regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado ya no es posible regresar. Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo. Se da soporte a nombres simbólicos En las funciones descritas a continuación puede introducir tanto direcciones IP o MAC como nombres simbólicos. Encontrará más información sobre los nombres simbólicos en el capítulo: Asignación de nombre simbólicos para direcciones IP o MAC (Página 64) Configuración del cortafuegos en modo avanzado Significado A diferencia de la configuración de reglas de filtrado de paquetes predeterminadas de forma fija en el modo normal, en el modo avanzado de la Security Configuration Tool se pueden configurar reglas personalizadas para el filtrado de paquetes. Las reglas de filtrado de paquetes se ajustan en fichas seleccionables para los siguientes protocolos: Capa 3, 4: protocolo IP, servicios IP Capa 2: protocolo MAC, servicios MAC Nota Sin reglas MAC con el modo de enrutamiento activado Si ha activado el modo de enrutamiento para el módulo de seguridad, no tienen aplicación las reglas MAC (los cuadros diálogo están inactivos). 138 Manual de configuración, 12/2014, C79000-G8978-C286-04

139 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Si no introduce ninguna regla en los cuadros de diálogo que se describen a continuación, rigen los ajustes predeterminados del cortafuegos. Encontrará los detalles en el capítulo siguiente: Ajustes predeterminados de CP x43-1 Adv.: Ajuste predeterminado del cortafuegos (Página 118) Ajustes predeterminados de CP 1628: Ajuste predeterminado del cortafuegos (Página 124) Ajustes predeterminados de SCALANCE S: Preajuste del firewall (Página 128) Es posible la definición global, específica de usuario y local Los conjuntos de reglas de cortafuegos globales se pueden asignar a varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado. Los conjuntos de reglas IP específicos del usuario se pueden asignar a uno o varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado. SCALANCE S V4 (RADIUS): además de uno o varios usuarios, a los conjuntos de reglas IP específicos del usuario es posible asignarles uno o varios roles. Las reglas de cortafuegos locales están asignadas a un módulo de seguridad en cada caso. Se configuran en el cuadro de diálogo de propiedades de los módulos de seguridad. A un módulo de seguridad se le pueden asignar varias reglas de cortafuegos locales, varios conjuntos de reglas de cortafuegos globales y varios conjuntos de reglas IP específicos del usuario Conjuntos de reglas de cortafuegos globales Aplicación Los conjuntos de reglas de cortafuegos globales se configuran a nivel de proyecto en función del módulo y pueden verse en el área de navegación de la Security Configuration Tool. Un conjunto de reglas de cortafuegos global consta de una o varias reglas de cortafuegos y se asigna a varios módulos de seguridad. Dentro de los conjuntos de reglas de cortafuegos globales, se distingue entre: Conjuntos de reglas IP Conjuntos de reglas MAC La representación siguiente ilustra la relación entre los conjuntos de reglas de definición global y los conjuntos de reglas utilizados a nivel local. Manual de configuración, 12/2014, C79000-G8978-C

140 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Cuándo son convenientes los conjuntos de reglas de cortafuegos globales? Los conjuntos de reglas de cortafuegos globales son convenientes cuando se desean definir criterios de filtrado idénticos para la comunicación. Nota Asignar solo conjuntos de reglas de cortafuegos soportados por el módulo de seguridad Una asignación incorrecta de conjuntos de reglas de cortafuegos puede derivar en resultados no deseados. Por ello, compruebe siempre los resultados de las reglas de cortafuegos locales específicas del módulo. La asignación incorrecta no se detecta en la prueba de coherencia automática. Solo se aplican las reglas que realmente son soportadas por el módulo de seguridad. Consulte también Conjuntos de reglas IP específicos de usuario (Página 142) 140 Manual de configuración, 12/2014, C79000-G8978-C286-04

141 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Conjuntos de reglas de cortafuegos globales - Convenios Los conjuntos de reglas de cortafuegos globales se utilizan localmente Para la creación de un conjunto de reglas de cortafuegos global y la asignación a un módulo de seguridad rigen los siguientes convenios: Vista de configuración Los conjuntos de reglas de cortafuegos globales solo se pueden crear en el modo avanzado. Prioridad Las reglas de cortafuegos definidas localmente tienen de forma predeterminada mayor prioridad que los conjuntos de reglas de cortafuegos globales asignados de forma local. Por consiguiente, los conjuntos de reglas de cortafuegos globales se insertan en un principio en el último lugar de la lista de reglas local. La prioridad se puede modificar cambiando el emplazamiento en la lista de reglas. Introducir, modificar o borrar juegos de reglas Los conjuntos de reglas de cortafuegos globales no se pueden editar en la lista local de reglas de cortafuegos de las propiedades del módulo. Allí sólo se pueden ver y emplazar según la prioridad deseada En la lista de reglas local no se puede borrar una única regla de cortafuegos de un conjunto de reglas de cortafuegos global asignado. Solo es posible eliminar de la lista de reglas local todo el conjunto de reglas de cortafuegos. Puede realizarse en cualquier momento una adaptación del conjunto de reglas global mediante el cuadro de diálogo de propiedades de este conjunto. Todos los dispositivos afectados por esta modificación deben cargarse de nuevo después Crear y asignar conjuntos de reglas de cortafuegos globales Cómo se accede a esa función 1. Seleccione una de las siguientes carpetas en el área de navegación: "Conjuntos de reglas de cortafuegos globales" > "Conjuntos de reglas IP del cortafuegos" "Conjuntos de reglas de cortafuegos globales" > "Conjuntos de reglas MAC del cortafuegos" 2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos". 3. Introduzca los datos siguientes: Nombre: designación unívoca del conjunto de reglas para todo el proyecto. El nombre aparece en la lista de reglas local del módulo de seguridad tras la asignación del conjunto de reglas. Descripción: Introduzca la descripción del conjunto de reglas global. Manual de configuración, 12/2014, C79000-G8978-C

142 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado 4. Haga clic en el botón "Agregar regla". 5. Introduzca las reglas de cortafuegos en la lista en orden. Observe la descripción de los parámetros en los siguientes capítulos: Para conjuntos de reglas IP: Reglas de filtrado de paquetes IP (Página 149). Para conjuntos de reglas MAC: Reglas para filtrado de paquetes MAC (Página 159). 6. Asigne el conjunto de reglas de cortafuegos global a los módulos de seguridad en los que se deba aplicar. Seleccione para ello el conjunto de reglas de cortafuegos global en el área de navegación y arrástrelo hasta los módulos de seguridad en el área de navegación (Drag and Drop). También puede realizar esta asignación en la lista de reglas local de un módulo de seguridad, con el botón "Agregar conjuntos de reglas...". Resultado El conjunto de reglas de cortafuegos global es utilizado como conjunto de reglas local por los módulos de seguridad y aparece automáticamente en las listas de reglas de cortafuegos específicas de los módulos. Consulte también Conjuntos de reglas de cortafuegos globales - Convenios (Página 141) Conjuntos de reglas IP específicos de usuario Significado En primer lugar se asignan uno o varios usuarios a los conjuntos de reglas IP específicos del usuario. A continuación se asignan los conjuntos de reglas IP específicos del usuario a uno o varios módulos de seguridad. De ese modo es posible permitir accesos específicos de usuario. Si, p. ej. están bloqueados de forma predeterminada todos los accesos a las redes situadas después de un módulo de seguridad, podrán habilitarse temporalmente determinados dispositivos para un usuario mediante sus direcciones IP. El usuario tiene así el acceso permitido, mientras que este permanece bloqueado para otros usuarios. Las respuestas a accesos personalizados se permiten siempre de forma automática. Así pues, solo deben configurarse reglas IP para el sentido de iniciación. Inicio de sesión del usuario a través de Internet El usuario puede iniciar sesión a través de la página web del módulo de seguridad en la interfaz externa o de la interfaz DMZ. Si la autenticación es correcta se activa el conjunto de reglas IP definido para el usuario en relación a la dirección IP del dispositivo desde el que se ha realizado el inicio de sesión. La conexión con la página web del módulo de seguridad se realiza vía HTTPS utilizando la dirección IP del puerto enlazado y observando las reglas de enrutamiento aplicables: 142 Manual de configuración, 12/2014, C79000-G8978-C286-04

143 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Ejemplo: Interfaz externa: La página de inicio de sesión se abre mediante: Pueden iniciar sesión usuarios con cualquier rol, siempre que el usuario o el rol estén asignados a un conjunto de reglas IP específico del usuario. Posibilidades de autenticación del usuario En función del método de autenticación que se seleccionara al crear el usuario que inicia la sesión en el módulo de seguridad, la autenticación es realizada por diferentes instancias: Método de autenticación "Contraseña": el módulo de seguridad realiza la autenticación. Método de autenticación "RADIUS": un servidor RADIUS realiza la autenticación. Asignación de roles a conjuntos de reglas IP específicos del usuario En los módulos SCALANCE S V4 o superior también se pueden asignar conjuntos de reglas IP personalizados a los que se han asignado funciones. Esto permite habilitar un grupo de usuarios para el acceso a determinadas direcciones IP. Si se utiliza un servidor RADIUS para la autenticación del usuario y se asigna un rol al conjunto de reglas IP específico del usuario, los usuarios no configurados en el módulo de seguridad también pueden ser autenticados por el servidor RADIUS. Estos usuarios deben estar guardados en el servidor RADIUS o en otra base de datos, donde se les debe haber asignado la función que tenga asignada el conjunto de reglas IP personalizado en SCT. Este procedimiento ofrece la ventaja de que todos los datos de usuario se guardan únicamente en el servidor RADIUS. Encontrará más información sobre la autenticación mediante el servidor RADIUS en el siguiente capítulo: Autenticación mediante servidor RADIUS (Página 78) Los conjuntos de reglas IP específicos del usuario se utilizan localmente - Convenios Rigen los mismos convenios que los descritos en el capítulo siguiente: Conjuntos de reglas de cortafuegos globales - Convenios (Página 141) Crear y asignar conjuntos de reglas IP específicos del usuario Cómo se accede a esa función 1. Seleccione la carpeta "Conjuntos de reglas IP específicos de usuario" en el área de navegación 2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos". Manual de configuración, 12/2014, C79000-G8978-C

144 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado 3. Introduzca los datos siguientes: Nombre: designación unívoca del conjunto de reglas IP específico del usuario para todo el proyecto. El nombre aparece en la lista de reglas local del módulo de seguridad tras la asignación del conjunto de reglas. Descripción: introduzca una descripción del conjunto de reglas IP específico del usuario. 4. Haga clic en el botón "Agregar regla". 5. Introduzca en la lista, por orden, las reglas de cortafuegos. Tenga en cuenta la descripción de los parámetros en el capítulo siguiente: Reglas de filtrado de paquetes IP (Página 149) Tenga en cuenta las particularidades de las reglas de cortafuegos generadas automáticamente por SCT para reglas NAT/NAPT: Relación entre router NAT/NAPT y cortafuegos específico del usuario (Página 184) 6. Asigne uno o varios usuarios y/o uno o varios roles al conjunto de reglas IP específico del usuario. La asignación de roles a conjuntos de reglas IP específicos del usuario solo es posible en módulos SCALANCE S V4. Nota Asignación de conjuntos de reglas IP específicos del usuario Solo se puede asignar a un módulo de seguridad un conjunto de reglas IP específico del usuario por usuario. Con la asignación se activa de forma implícita para todos los usuarios o roles asignados al conjunto de reglas IP el derecho "El usuario/rol puede iniciar sesión en el módulo". 7. Asigne el conjunto de reglas IP específico del usuario a los módulos de seguridad en los que se deba aplicar. Seleccione para ello el conjunto de reglas IP específico del usuario en el área de navegación y arrástrelo hasta los módulos de seguridad en el área de navegación (Drag and Drop). También puede realizar esta asignación en la lista de reglas local de un módulo de seguridad, con el botón "Agregar conjuntos de reglas...". 144 Manual de configuración, 12/2014, C79000-G8978-C286-04

145 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Resultado El conjunto de reglas IP específico del usuario es utilizado como conjunto de reglas local por los módulos de seguridad y aparece automáticamente en la lista de reglas de cortafuegos específica de los módulos. El usuario puede iniciar sesión en el módulo de seguridad. La autenticación del usuario es realizada por el módulo de seguridad o por un servidor RADIUS, en función del método de autenticación ajustado. Rangos de valores para una duración máxima de sesión El tiempo tras el cual se cierra automáticamente la sesión del usuario puede definirse al crear o editar un usuario y, por lo general, es de 30 minutos. La duración de la sesión puede alargarse en la página web del módulo de seguridad, editando el valor asignado al usuario. Encontrará más información sobre la creación de usuarios en el siguiente capítulo: Administrar usuarios (Página 67) Reglas de cortafuegos automáticas referidas a conexiones Reglas de cortafuegos creadas automáticamente en SCT Para la siguiente aplicación se crean reglas de cortafuegos automáticamente: Conexiones configuradas en STEP 7 Manual de configuración, 12/2014, C79000-G8978-C

146 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Reglas de cortafuegos para conexiones configuradas Si hay conexiones creadas en STEP 7, en la SCT se generan automáticamente reglas de cortafuegos para ellas. Para ello se realiza una comparación de sistema entre STEP 7 y SCT, en la que se comprueban todas las conexiones del proyecto. Se comparan automáticamente la dirección IP/MAC, la acción y la interfaz para cada interlocutor. Para cada interlocutor se generan 2 reglas independientemente del número de conexiones. Nota Habilitar manualmente conexiones UDP Multicast y UDP Broadcast Para las conexiones UDP Multicast y UDP Broadcast no se crean reglas de cortafuegos automáticas. Para habilitar las conexiones, inserte las correspondientes reglas de cortafuegos manualmente en el modo avanzado. Dependiendo de cómo esté configurado el establecimiento de conexión en STEP 7, en SCT se crean las siguientes reglas de cortafuegos de 3 niveles. Si el módulo de seguridad se encuentra en un grupo VPN, el sentido "Externa" cambia a "Túnel". En las columnas "Dirección IP de origen" y "Dirección IP de destino" de estas reglas del cortafuegos se introduce en cada caso la dirección IP del interlocutor. CP->externa Acción De A Activo Allow Estación Externa Drop Externa Estación Pasivo Drop Estación Externa Allow Externa Estación Activo y pasivo Allow Externa Estación Allow Estación Externa CP->interna Acción De A Activo Allow Estación Interna Drop Interna Estación Pasivo Drop Estación Interna Allow Interna Estación Activo y pasivo Allow Interna Estación Allow Estación Interna Para las conexiones de nivel 2 se crean reglas "Allow" para ambos sentidos. Si el módulo de seguridad se encuentra en un grupo VPN, el sentido "Externa" cambia a "Túnel". 146 Manual de configuración, 12/2014, C79000-G8978-C286-04

147 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado En las columnas "Dirección MAC de origen" y "Dirección MAC de destino" de estas reglas del cortafuegos se introduce en cada caso la dirección MAC del interlocutor. CP->externa Acción De A activo, pasivo, activo y pasivo Allow Estación Externa Allow Externa Estación Convenios para reglas de cortafuegos creadas automáticamente Prioridad Las reglas tienen la máxima prioridad, por lo que en la lista de reglas se incorporan en la parte superior. Borrar reglas Los conjuntos de reglas no se pueden borrar. El registro puede activarse y pueden asignarse servicios. Además es posible insertar un ancho de banda y un comentario. Cambiar una acción Si en la SCT cambia la acción "Allow" a "Drop" o vice versa, estos se sobrescribirán en la siguiente comparación del sistema. Si los cambios realizados deben conservarse, elija como acción "Allow*" o "Drop*". En ese caso solo se compara la dirección IP/MAC con STEP 7, y la acción y el sentido se mantienen de la forma ajustada. Los ajustes de registro, servicio, ancho de banda y comentario se conservan cuando se produce una nueva comparación de sistema aunque no se cambie la acción a "Allow*" o "Drop*". Si la conexión correspondiente no está disponible en STEP 7, la regla se borra de la lista. Manual de configuración, 12/2014, C79000-G8978-C

148 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Módulo de seguridad en grupo VPN La casilla de verificación "Solo comunicación tunelada" está activada de forma predeterminada. Si se desactiva la casilla de verificación, además de la comunicación tunelada entre interlocutores tunelados existe la posibilidad de establecer comunicación con otros dispositivos de red con los que no existen túneles. La comunicación se produce fuera del túnel si la dirección del interlocutor pertenece a una estación conocida en la SCT con la que no hay configurado ningún túnel VPN. La comunicación transcurre a través del túnel VPN si la dirección del interlocutor es un punto final VPN. Si no es posible asignar unívocamente si una conexión debe transcurrir por dentro o por fuera del túnel VPN, la conexión se asigna al túnel VPN y se muestra la indicación correspondiente. La asignación puede adaptarse en el modo avanzado, p. ej. cambiando el sentido "De" "Túnel" a "Externa". Para que esta adaptación no se sobrescriba de nuevo al realizarse otra comparación del sistema, debe seleccionarse la acción "Allow*" o "Drop*". Nota En caso de ser necesario garantizar que solo sea posible la comunicación a través del túnel, cree las reglas de cortafuegos correspondientes en el modo de cortafuegos avanzado, p. ej. para dispositivos internos o direcciones NDIS. Para permitir exclusivamente la comunicación tunelada para un CP, inserte una regla con los ajustes siguientes: "Acción": "Drop" "De": "Any" "A": "Externa" Para CP 1628 debe insertarse una regla con los ajustes siguientes: "Acción": "Drop" "De": "Estación" "A": "Externa" Además, deben eliminarse las reglas de cortafuegos existentes que permitan una comunicación sin túnel Ajuste de reglas de filtros de paquetes IP locales Por medio de reglas de filtrado de paquetes IP se pueden filtrar telegramas IP como por ejemplo telegramas UDP, TCP, ICMP. Dentro de una regla de filtro de paquetes IP puede recurrir a definiciones de servicios para así delimitar aún más los criterios de filtrado. Si no indica ningún servicio, la regla de paquetes IP es válida para todos los servicios. 148 Manual de configuración, 12/2014, C79000-G8978-C286-04

149 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Abrir el cuadro de diálogo para reglas locales de filtrado de paquetes IP SCT: Seleccione el módulo de seguridad que desea editar y elija el comando de menú "Editar" > "Propiedades ", ficha "Cortafuegos". STEP 7: Haga clic en el botón "Ejecutar" de la ficha "Firewall" que está ubicado junto a "Inicio de la configuración de seguridad" en la ficha "Seguridad". Registrar reglas de filtrado de paquetes IP Introduzca correlativamente las reglas de cortafuegos en la lista; observe la siguiente descripción de parámetros y los ejemplos en el capítulo siguiente o en la Ayuda en pantalla. Utilizar los conjuntos de reglas globales y definidas por el usuario Los conjuntos de reglas de cortafuegos globales y los conjuntos de reglas IP específicos del usuario asignados al módulo de seguridad se adoptan automáticamente en la lista de reglas local. Si el conjunto de reglas asignado aparece al final de la lista, se procesará con la prioridad más baja. Es posible modificar la prioridad cambiando la posición en la lista de reglas. La Ayuda en pantalla le explica el significado de los distintos botones Reglas de filtrado de paquetes IP Las reglas de filtrado de paquetes IP se editan según las siguientes evaluaciones: Parámetros registrados en la regla; Orden y la correspondiente prioridad de las reglas. Manual de configuración, 12/2014, C79000-G8978-C

150 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Parámetros La configuración de una regla IP contiene los siguientes parámetros: Denominación Significado/comentario Posibilidades de selección/rangos de valores Acción Definición de la autorización (habilitación/bloqueo) Allow Autorizar telegramas según definición. Drop Bloquear telegramas según definición. Para reglas de conexión creadas automáticamente: De/A Dirección IP de origen Dirección IP de destino Servicio Las direcciones de comunicación permitidas. Dirección de origen de los paquetes IP Dirección de destino de los paquetes IP Nombre del servicio IP/ICMP utilizado o del grupo de servicios. Con ayuda de definiciones de servicios se pueden definir reglas de filtrado de paquetes. Seleccione aquí uno de los servicios que ha definido en el cuadro de diálogo para servicios IP: Servicios IP Servicios ICMP Grupo de servicios que incluye servicios IP y/o ICMP Si no se ha definido aún ningún servicio o si desea definir otro servicio, pulse el botón "Servicios IP..." (en la ficha "Reglas IP") o "Servicios MAC..." (en la ficha"reglas MAC"). Allow* Drop* Si selecciona estas reglas, no habrá sincronización con STEP 7. Así, las reglas modificadas no se sobrescribirán en la SCT. Se describe en las siguientes tablas. Consulte el apartado siguiente de este capítulo: Reglas de filtrado de paquetes IP (Página 149) Como alternativa se puede introducir un nombre simbólico. Nota relacionada con el modo Ghost Si el modo Ghost está activado, la dirección IP del dispositivo interno se determina dinámicamente en el tiempo de ejecución desde el módulo de seguridad. Según sea el sentido seleccionado, no podrá realizar entradas en la columna "Dirección IP de origen" (con el sentido "de interna a externa") o en la columna "Dirección IP de destino" (con el sentido "de externa a interna"). En su lugar, la dirección IP será insertada automáticamente en la regla del cortafuegos por el SCALANCE S. La lista desplegable le ofrece los servicios y grupos de servicios configurados, para su selección. Ninguna indicación significa: no se comprueba ningún servicio, la regla es válida para todos los servicios. Nota: Para que los servicios IP predefinidos aparezcan e la lista desplegable, actívelas primero en el modo normal. 150 Manual de configuración, 12/2014, C79000-G8978-C286-04

151 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Denominación Significado/comentario Posibilidades de selección/rangos de valores Ancho de banda (Mbits/s) Registro N.º Stateful Comentario Posibilidad de ajuste de una limitación del ancho de banda. Solo puede introducirse si para la acción está seleccionado "Allow". Un paquete pasa el cortafuegos si la regla de paso es correcta y si no se ha sobrepasado aún el ancho de banda permitido para esa regla. Activación o desactivación del registro para esta regla. Encontrará información sobre los ajustes de registro en el capítulo siguiente: Registro de eventos (Logging) (Página 259) Número de regla adjudicado automáticamente para asignar los paquetes registrados a una regla de cortafuegos configurada. Los números se calculan de nuevo cuando se desplazan reglas. Si esta casilla de verificación está desactivada para una regla IP con la acción "Allow", no se generan States de cortafuegos por medio de paquetes que cumplen la regla Allow. Los States de cortafuegos hacen que las respuestas a paquetes permitidos se permitan automáticamente. Solo puede adaptarse si para la acción está seleccionado "Allow". La configuración de reglas IP sin States de cortafuegos solo es posible para módulos SCALANCE S con firmware V3 o superior. Si también deben permitirse respuestas a paquetes que han pasado el cortafuegos en base a este tipo de reglas IP, deben configurarse reglas IP adicionales para dichas respuestas. Espacio para explicación propia de la regla. CP x43-1 Adv. y SCALANCE S < V3.0: CP 1628 y SCALANCE S V3.0: Para reglas de conjuntos de reglas globales y específicos de usuario: Si un comentario está marcado con "AUTO", significa que ha sido creado automáticamente para una regla de conexión. Tabla 4-11 Sentidos de CP Posibilidades de selección/rangos de valores Módulo de seguridad Significado De A CP x43-1 CP 1628 Adv. Interna Estación x - Acceso de la red interna a la estación. Manual de configuración, 12/2014, C79000-G8978-C

152 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Posibilidades de selección/rangos de valores Módulo de seguridad Significado Any x - Acceso de la red interna a la externa, el interlocutor de túnel VPN y la estación. Externa Estación x x Acceso de la red externa a la estación. Any x - Acceso de la red externa a la interna y a la estación. Estación Interna x - Acceso desde la estación a la red interna. Externa x x Acceso desde la estación a la red externa. Túnel x x Acceso desde la estación al interlocutor de túnel VPN. Túnel Estación x x Acceso a la estación a través del interlocutor de túnel VPN. Any x - Acceso del interlocutor de túnel VPN a la red interna y a la estación. Any Externa x - Acceso desde la red interna y la estación a la red externa. Tabla 4-12 Sentidos de SCALANCE S Posibilidades de selección/rangos de valores Módulo de seguridad De A S602 S61x S623 / S627-2M Interna Externa x x x Túnel - x x Any - x x DMZ - - x Interna x x x Externa Interna x x x Any - - x Túnel - - x DMZ - - x Túnel Interna - x x Externa - x x DMZ - - x Any Interna - x x Externa - - x DMZ - - x DMZ Interna - - x Externa - - x Any - - x Túnel - - x 152 Manual de configuración, 12/2014, C79000-G8978-C286-04

153 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Orden de la evaluación de reglas por el módulo de seguridad Las reglas de filtrado de paquetes se evalúan de la siguiente forma: La lista se analiza de arriba a abajo; en caso de reglas contradictorias (p. ej. entradas con indicaciones de sentido idénticas pero acciones distintas) vale por lo tanto siempre la entrada de más arriba. En el caso de reglas para comunicación entre las redes interna, externa y DMZ, rige lo siguiente: están bloqueados todos los telegramas excepto los permitidos explícitamente en la lista. En el caso de reglas para la comunicación en y desde el sentido túnel IPsec, rige lo siguiente: están permitidos todos los telegramas excepto los bloqueados explícitamente en la lista. Ejemplo Las reglas de filtrado de paquetes representadas provocan el siguiente comportamiento: Manual de configuración, 12/2014, C79000-G8978-C

154 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Todos los tipos de telegramas de interno hacia externo están bloqueados como estándar, excepto los permitidos explícitamente. Todos los tipos de telegramas de externo hacia interno están bloqueados como estándar, excepto los permitidos explícitamente. La regla 1 de filtrado de paquetes IP permite telegramas con la definición de servicio "Service X1" de interna hacia externa. La regla 2 de filtrado de paquetes IP permite telegramas de externo a interno si se cumple: Dirección IP del remitente: Dirección IP del destinatario: Definición de servicio: "Service X2" La regla 3 de filtrado de paquetes IP bloquea telegramas con la definición de servicio "Service X1" que se envían del túnel VPN a la red interna. La comunicación por túneles IPsec está permitida de forma predeterminada, excepto para los tipos de telegramas bloqueados explícitamente. Consulte también Reglas para filtrado de paquetes MAC (Página 159) Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 269) Direcciones IP en reglas de filtrado de paquetes IP La dirección IP consta de 4 números decimales en el campo de valores de 0 a 255, separados entre sí por un punto; ejemplo: Manual de configuración, 12/2014, C79000-G8978-C286-04

155 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado En la regla de filtrado de paquetes tiene las siguientes posibilidades de indicar direcciones IP: ninguna indicación No tiene lugar ninguna comprobación; la regla es válida para todas las direcciones IP. una dirección IP La regla es válida exactamente para la dirección indicada. Varias direcciones IP La regla es válida para las direcciones IP indicadas. Las direcciones se muestran separadas por un punto y coma. Banda de direcciones La regla es válida para todas las direcciones IP incluidas en la banda de direcciones. Una banda de direcciones se define indicando la cantidad de posiciones de bits válidas en la dirección IP, a saber en la siguiente forma: [Dirección IP]/[Cantidad de bits a considerar] [Dirección IP]/24 significa por consiguiente que solo los 24 bits de mayor valor de la dirección IP se tienen en cuenta en la regla de filtrado; se trata de las tres primeras posiciones de la dirección IP. [Dirección IP]/25 significa que solo se tienen en cuenta en la regla de filtrado las tres primeras posiciones y el bit de valor más alto de la cuarta posición de la dirección IP. Área de direcciones Para la dirección IP de origen puede indicarse un área de direcciones separada por un guión: [Dirección IP inicial]-[dirección IP final] Encontrará más información en el capítulo siguiente: Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 269) Tabla 4-13 Ejemplos de banda de direcciones IP Dirección IP de origen o dirección IP de destino Banda de direcciones Número de direcciones de a / / / / / / / / Manual de configuración, 12/2014, C79000-G8978-C

156 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Definir servicios IP Cómo se accede a esa función Con el comando de menú "Opciones" > "Servicios IP...". o bien Desde la ficha "Reglas IP", con el botón "Servicios IP...". Significado Con ayuda de definiciones de servicios IP se pueden definir de forma compacta y clara reglas de firewall que se aplican a diferentes servicios. Para esto se adjudica un nombre, al que se asignan los parámetros de servicio. Además, los servicios así definidos se pueden reunir a su vez en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes globales o locales se utilizan entonces esos nombres. Parámetros para servicios IP Los servicios IP se definen a través de los siguientes parámetros: Tabla 4-14 Servicios IP: Parámetros Denominación Significado/comentario Nombre Nombre de libre definición para el servicio; se utiliza para la identificación en la definición de reglas o en el agrupamiento. Posibilidades de selección/rangos de valores Entrada libre Protocolo Nombre del tipo de protocolo TCP UDP Todos Source Port Se filtra a partir del número de puerto aquí indicado; este define el acceso al servicio para el remitente de los telegramas. Si se selecciona el protocolo "Todos" no es posible indicar el puerto. Ejemplos: *: Puerto no se comprueba 20 ó 21: Servicio FTP Target Port Se filtra a partir del número de puerto aquí indicado; este define el acceso al servicio para el destinatario de los telegramas. Si se selecciona el protocolo "Todos" no es posible indicar el puerto. Ejemplos: *: Puerto no se comprueba 80: Web-HTTP-Service 102: S7-Protocol - TCP/Port 156 Manual de configuración, 12/2014, C79000-G8978-C286-04

157 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Definir servicios ICMP Con ayuda de las definiciones de servicios ICMP se pueden definir reglas de cortafuegos, que se aplican a diferentes servicios. Para esto se adjudica un nombre, al que se asignan los parámetros de servicio. Los servicios definidos se pueden reunir a su vez en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes se utilizan entonces esos nombres. Así se llega a esa función Con el comando de menú "Opciones" > "Servicios IP...", ficha "ICMP" o Desde la ficha "Reglas IP", con el botón "Servicios IP...", ficha "ICMP" Parámetros para servicios ICMP Los servicios ICMP se definen a través de los siguientes parámetros: Tabla 4-15 Servicios ICMP: Parámetros Denominación Name Significado/comentario Posibilidades de selección / campos de valores Nombre de libre definición para el servicio; se Entrada libre utiliza para la identificación en la definición de reglas o en el agrupamiento. Type Tipo del mensaje ICMP Véase la representación del cuadro de diálogo Code Códigos del tipo ICMP Los valores dependen del tipo seleccionado. Manual de configuración, 12/2014, C79000-G8978-C

158 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Ajustar reglas para filtrado de paquetes MAC Por medio de reglas para filtrado de paquetes MAC se pueden filtrar telegramas MAC. Nota Sin reglas MAC con el modo de enrutamiento activado Si ha activado el modo de enrutamiento para el módulo SCALANCE S, no tienen aplicación las reglas de MAC. Cuadro de diálogo / ficha Seleccione el módulo de seguridad que desea editar. Para configurar el cortafuegos, elija el comando de menú "Edición" > "Propiedades...", ficha "Cortafuegos> "Reglas MAC". Introducir reglas de filtrado de paquetes Introduzca correlativamente las reglas de cortafuegos en la lista; observe la siguiente descripción de parámetros y los ejemplos en el capítulo siguiente o en la Ayuda en pantalla. 158 Manual de configuración, 12/2014, C79000-G8978-C286-04

159 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Utilización de reglas de cortafuegos globales Los conjuntos de reglas de cortafuegos globales asignados al módulo de seguridad se adoptan automáticamente en la lista de reglas locales. Si el conjunto de reglas asignado aparece al final de la lista, se procesará con la prioridad más baja. Es posible modificar la prioridad cambiando la posición en la lista de reglas. La Ayuda en pantalla le explica el significado de los distintos botones Reglas para filtrado de paquetes MAC Las reglas de filtrado de paquetes MAC se editan según las siguientes evaluaciones: Parámetros registrados en la regla; Prioridad de las reglas dentro del conjunto de reglas. Manual de configuración, 12/2014, C79000-G8978-C

160 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Reglas para filtrado de paquetes MAC La configuración de una regla MAC contiene los siguientes parámetros: Tabla 4-16 Reglas MAC: Parámetros Denominación Significado/comentario Posibilidades de selección/rangos de valores Acción Definición de la autorización (habilitación/bloqueo) Allow Autorizar telegramas según definición. Drop Bloquear telegramas según definición. Para reglas de conexión creadas automáticamente: De/A Dirección MAC de origen Dirección MAC de destino Servicio Ancho de banda (Mbits/s) Registro N.º Comentario Las direcciones de comunicación permitidas. Dirección de origen de los paquetes MAC Dirección de destino de los paquetes MAC Nombre del servicio MAC o del grupo de servicios utilizado. "Any" agrupa las direcciones permitidas para la entrada en cuestión. Posibilidad de ajuste de una limitación del ancho de banda. Solo puede introducirse si para la acción está seleccionado "Allow". Un paquete pasa el cortafuegos si la regla de paso es correcta y si no se ha sobrepasado aún el ancho de banda permitido para esa regla. Activación o desactivación del registro para esta regla. Número adjudicado automáticamente para la asignación a una regla de cortafuegos configurada. Los números se calculan de nuevo cuando se desplazan reglas. Espacio para explicación propia de la regla Allow* Drop* Si selecciona estas reglas, no habrá sincronización con STEP 7. Así, las reglas modificadas no se sobrescribirán en la SCT. Se describen en las siguientes tablas. Como alternativa se puede introducir un nombre simbólico. La lista desplegable le ofrece los servicios y grupos de servicios configurados, para su selección. Ninguna indicación significa: no se comprueba ningún servicio, la regla es válida para todos los servicios. Nota: Para que los servicios MAC predefinidos aparezcan en la lista desplegable, actívelos primero en el modo normal. CP x43-1 Adv. y SCALANCE S V3.0: CP 1628 y SCALANCE S V3.0: Para reglas de conjuntos de reglas globales y específicos de usuario: Si un comentario está marcado con "AUTO", significa que ha sido creado para una regla de conexión automática. 160 Manual de configuración, 12/2014, C79000-G8978-C286-04

161 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Direcciones permitidas Pueden ajustarse las siguientes direcciones: Tabla 4-17 Direcciones de cortafuegos CP Posibilidades de selección/rangos de valores Módulo de seguridad Significado De A CP x43-1 Adv. CP 1628 Externa Estación x x Acceso de la red externa a la estación. Estación Externa x x Acceso desde la estación a la red externa. Túnel x x Acceso desde la estación al interlocutor de túnel VPN. Túnel Estación x x Acceso a la estación a través del interlocutor de túnel VPN. Tabla 4-18 Sentidos de cortafuegos SCALANCE S Posibilidades de selección/rangos de valores Módulo de seguridad De A S602 S61x S623 / S627-2M Interna Externa x x x Túnel - x x Any - x x Externa Interna x x x Any - - x Túnel - - x Túnel Interna - x x Externa - x x Any Interna - x x Externa - - x Manual de configuración, 12/2014, C79000-G8978-C

162 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Evaluación de reglas por el módulo de seguridad Las reglas de filtrado de paquetes se evalúan de la siguiente forma: La lista se evalúa de arriba hacia abajo; si hay reglas contradictorias, vale la entrada situada más arriba. En el caso de las reglas para la comunicación en o desde el sentido "Externa", rige para todos los telegramas no registrados explícitamente: están bloqueados todos los telegramas excepto los permitidos explícitamente en la lista. En el caso de las reglas para la comunicación en o desde el sentido "Túnel", rige para todos los telegramas no registrados explícitamente: están permitidos todos los telegramas excepto los bloqueados explícitamente en la lista. Nota Las reglas de IP sirven para paquetes de IP, las reglas MAC sirven para paquetes de nivel 2 (Layer-2) Para el cortafuegos se pueden definir tanto reglas IP como reglas MAC. La edición en el cortafuegos se regula con el tipo de ethernet del paquete. Los paquetes IP se redirigen o se bloquean dependiendo de las reglas de IP, y los paquetes de nivel 2 (Layer 2) se redirigen o se bloquean dependiendo de las reglas MAC. No es posible filtrar un paquete IP respecto a una dirección MAC con la ayuda de una regla de cortafuegos MAC. Ejemplos El ejemplo del filtro de paquetes IP del capítulo (Página 149) se puede utilizar por analogía para las reglas de filtrado de paquetes MAC Definir servicios MAC Cómo se accede a esa función Con el comando de menú "Opciones" > "Servicios MAC...". o bien Desde la ficha "Reglas MAC", con el botón "Servicios MAC". Significado Con ayuda de las definiciones de servicios MAC se pueden definir reglas de cortafuegos, que se aplican a servicios determinados. Se adjudica un nombre, al que se asignan los parámetros de servicio. Además, los servicios definidos de este modo se pueden reunir en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes globales o locales se utilizan entonces esos nombres. 162 Manual de configuración, 12/2014, C79000-G8978-C286-04

163 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Parámetros para servicios MAC Una definición de servicio MAC contiene una categoría de parámetros MAC específicos del protocolo: Tabla 4-19 Parámetros de servicios MAC Denominación Significado/comentario Posibilidades de selección/rangos de valores Nombre Protocolo Nombre de libre definición para el servicio; se utiliza para la identificación en la definición de reglas o en el agrupamiento. Nombre del tipo de protocolo: ISO ISO designa telegramas con las siguientes propiedades: Lengthfield <= 05DC (hex), DSAP= userdefined SSAP= userdefined CTRL= userdefined SNAP SNAP designa telegramas con las siguientes propiedades: Lengthfield <= 05DC (hex), DSAP=AA (hex), SSAP=AA (hex), CTRL=03 (hex), OUI=userdefined, OUI-Type=userdefined PROFINET IO Entrada libre ISO SNAP PROFINET IO 0x (entrada de código) DSAP Destination Service Access Point: Dirección de destinatario LLC SSAP Source Service Access Point: Dirección de remitente LLC CTRL LLC Control Field OUI Organizationally Unique Identifier (los 3 primeros bytes de la dirección MAC = identificación del fabricante) Tipo OUI Tipo de protocolo/identificación *) Las entradas de protocolo 0800 (hex) y 0806 (hex) no se aceptan, ya que estos valores se aplican a telegramas IP o ARP. Manual de configuración, 12/2014, C79000-G8978-C

164 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Nota Procesamiento para CPs S7 Solo se procesan ajustes para frames ISO con DSAP=SSAP=FE (hex). Cualquier otro tipo de frame no es relevante para CPs S7, por lo que ya es rechazado por el cortafuegos antes del procesamiento. Ajustes especiales para servicios SIMATIC NET Utilice para el filtrado de servicios especiales SIMATIC NET los siguientes ajustes de SNAP: DCP (Primary Setup Tool): PROFINET IO SiCLOCK: OUI= (hex), OUI-Type= (hex) Configurar grupos de servicios Formación de grupos de servicios Varios servicios se pueden reunir formando grupos de servicios. De este modo se pueden crear servicios más complejos que entonces se pueden utilizar en las reglas de filtrado de paquetes seleccionando simplemente un nombre. Cuadro de diálogo / ficha Abra el cuadro de diálogo con el siguiente comando de menú: "Opciones" > "Servicios IP..." o bien "Servicios MAC...", ficha "Grupos de servicios". 164 Manual de configuración, 12/2014, C79000-G8978-C286-04

165 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Adaptar reglas estándar para servicios IP Cómo se accede a esa función: 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades..." > ficha "Cortafuegos" > ficha "Reglas estándar para servicios IP". Significado de los ajustes avanzados Parámetros Utilizar opciones de estado ampliadas Significado en la activación Si se activa esta casilla de verificación se limitan las conexiones y los estados del cortafuegos para los dispositivos de red. Estas limitaciones son: máx. 200 conexiones en 5 segundos Registrar todas las reglas activadas Habilitar test ICMP para interfaces máx estados del cortafuegos Si un dispositivo de red rebasa estas limitaciones, su dirección IP se incluye en la lista negra de IP del módulo de seguridad. En este caso, el dispositivo ya no puede volver a comunicarse a través del módulo de seguridad. La lista negra de IP del módulo de seguridad puede verse en el modo online. Se registran los paquetes permitidos según las reglas estándar para los servicios IP. Las solicitudes ping que entran en otra interfaz del módulo de seguridad pueden transferirse a otras interfaces. De este modo, desde la red externa pueden realizarse por ejemplo solicitudes ping a la interfaz interna del módulo de seguridad. Significado de las reglas de cortafuegos estándar En este cuadro de diálogo existe la posibilidad de adaptar las reglas de cortafuegos específicas del servicio que están ajustadas de forma estándar para las interfaces de los módulos de seguridad. Los ajustes estándar del cuadro de diálogo equivalen a las reglas de cortafuegos estándar del módulo de seguridad correspondiente. Manual de configuración, 12/2014, C79000-G8978-C

166 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado Reglas de cortafuegos estándar para SCALANCE S En la tabla siguiente se listan las reglas de cortafuegos estándar para los módulos SCALANCE S. En parte, las reglas de cortafuegos solo están activas cuando se utiliza el servicio correspondiente en el módulo de seguridad (p. ej. SNMP). Servicio Sentido Interfaz X1 (rojo) Interfaz X2 (verde) Interfaz X3 (amarillo) Interfaz de túnel Enrutamiento por interfaz saliente - x - - HTTPS x x* x x* ICMP entrante - x - x ICMP Pathfinder saliente - x - - SNMP entrante x x x x Syslog saliente x x x x NTP saliente x x x x DNS saliente x x x x HTTP saliente x - x - VPN (IKE) x - x - VPN (NAT Traversal) x - x - Servidor BootP entrante - x x - Cliente BootP saliente - x x - RADIUS saliente x x x x CARP saliente x* x* - - Pfsync saliente - - x* - x activado de forma predeterminada - desactivado de forma predeterminada * no puede adaptarse Reglas de cortafuegos estándar para CP S7 En la tabla siguiente se listan las reglas de cortafuegos estándar para CP S7. Las reglas del cortafuegos solo están ajustadas cuando está activado el servicio correspondiente en la Security Configuration Tool. Servicio Sentido Externa (Gbit) Interna (PN IO) VPN (IKE) x* -* VPN (NAT Traversal) x* -* Servidor BootP saliente x* x* Cliente BootP entrante x* x* x activado de forma predeterminada 166 Manual de configuración, 12/2014, C79000-G8978-C286-04

167 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado - desactivado de forma predeterminada * no puede adaptarse Los dos servicios "Servidor BootP" y "Cliente BootP" están activos a la vez en la interfaz externa o en la interna. Como resultado, las dos reglas de cortafuegos están activas en la interfaz externa o en la interna. Manual de configuración, 12/2014, C79000-G8978-C

168 Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado 168 Manual de configuración, 12/2014, C79000-G8978-C286-04

169 Configuración de otras propiedades de los módulos Módulo de seguridad como router Sinopsis Significado Al utilizar el módulo de seguridad como router, las redes de la interfaz interna, externa y DMZ (solo SCALANCE S623/S627-2M, véase el apartado más abajo) se convierten en subredes separadas. Existen las siguientes posibilidades: Enrutamiento: ajustable en los modos normal y avanzado Enrutamiento NAT/NAPT: ajustable en el modo avanzado Todas las solicitudes de red que no pertenecen a una subred se transfieren a otra subred a través de un router; véase el capítulo siguiente: Definir un router predeterminado y rutas (Página 170) Activar el modo de enrutamiento o la interfaz DMZ - Ficha "Interfaces" Si se ha activado el modo de enrutamiento o la interfaz DMZ, se transmiten los telegramas dirigidos a una dirección IP existente en la respectiva subred (interna, externa o DMZ). Por lo demás son válidas las reglas de cortafuegos configuradas para el respectivo sentido de transmisión. Para este modo de operación tiene que configurar en la ficha "Interfaces" para la interfaz interna y/o la interfaz DMZ una dirección IP y una máscara de subred para el direccionamiento del router en la subred interna y/o la subred DMZ. Todas las solicitudes de red que no pertenecen a una subred se transfieren a otra subred a través del router estándar. Nota A diferencia del modo de puente del módulo de seguridad, en el modo de enrutamiento se pierden los identificadores VLAN. Manual de configuración, 12/2014, C79000-G8978-C

170 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Modo de puente y enrutamiento en el SCALANCE S623/S627-2M La red DMZ es siempre una subred separada. La diferencia entre el modo de puente y el modo de enrutamiento radica en la división de las redes externa e interna: Modo de operación "Puente": las redes interna y externa están en la misma subred; la red DMZ está en una subred separada. Modo de operación "Enrutamiento": las redes interna y externa están cada una en una subred propia; la red DMZ está en otra subred separada Definir un router predeterminado y rutas Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Routing". 3. Si registra la dirección IP/el FQDN para el router estándar, todas las rutas se encaminan por ese router, siempre que no sean aplicables rutas específicas. Las rutas específicas se introducen en el área de entrada "Rutas". 4. Haga clic en el botón "Agregar ruta". 5. Introduzca los valores siguientes: Parámetro Función Valor de ejemplo ID de red Máscara de subred Dirección IP del router Activar reenrutamiento (solo para módulos SCALANCE S V3/V4) Las solicitudes a dispositivos de la subred con la ID de red indicada aquí y la máscara de subred indicada se envían a la subred por la dirección IP de router indicada. A partir de la ID de red, el router reconoce si una dirección de destino está en la subred o fuera de ella. La ID de red indicada no puede estar en la misma subred que la dirección IP del módulo de seguridad. La máscara de subred estructura la red. A partir de la ID de red y de la máscara de subred, el router reconoce si una dirección de destino está en la subred o fuera de ella. La máscara de subred que debe indicarse no puede limitarse a un único dispositivo de red ( ). Dirección IP/FQDN del router a través de la que se accede a la subred. La dirección IP del router debe estar en la misma subred que la dirección IP del módulo de seguridad. Active esta casilla de verificación si los telegramas de la ruta introducida deben entrar y salir por la misma interfaz del módulo de seguridad (re-enrutamiento). El re-enrutamiento solo es soportado por la interfaz interna del módulo de seguridad / myrouter.dyndns.org 170 Manual de configuración, 12/2014, C79000-G8978-C286-04

171 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Particularidades del router estándar Si en la ficha "Interfaces" está configurada la asignación de IP por "PPPoE", se ignorará un router predeterminado configurado, ya que la ruta predeterminada siempre conduce automáticamente a través de la interfaz PPPoE. Si en la ficha "Interfaces" está configurada la asignación de dirección por "Dirección estática" y si el módulo de seguridad está conectado a Internet a través de un router DSL(NAPT), hay que especificar el router DSL como router predeterminado. Para los módulos de seguridad del modo Ghost (solo SCALANCE S602 V3.1) no pueden configurarse routers estándar, ya que se determinan en el tiempo de ejecución. El modo Ghost no permite configurar rutas específicas para los módulos de seguridad Enrutamiento NAT/NAPT Requisitos El proyecto se encuentra en el modo avanzado. El módulo de seguridad se encuentra en el modo de enrutamiento o la interfaz DMZ (solo SCALANCE S623 / S627-2M) está activada. Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "NAT/NAPT". 3. Según se requiera, active una conversión de direcciones según NAT (Network Address Translation) o NAPT (Network Address Port Translation). Conversión de direcciones con NAT (Network Adress Translation) NAT es un protocolo para la conversión de direcciones entre dos áreas de direcciones. La principal tarea es la conversión de direcciones IP privadas en públicas, es decir, en direcciones IP utilizadas y enrutadas en Internet. De ese modo se consigue que las direcciones IP de la red interna no se conozcan en la red externa. Los dispositivos internos solo se pueden ver en la red externa a través de las direcciones IP externas definidas en la lista de conversión de direcciones (tabla NAT). El hecho de que la dirección IP externa no sea la dirección del módulo de seguridad y que la dirección IP interna no sea unívoca se denomina 1:1 NAT. Con 1:1 NAT la dirección interna se convierte a esta dirección externa sin conversión de puerto. En cualquier otro caso será n:1 NAT. Manual de configuración, 12/2014, C79000-G8978-C

172 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Conversión de direcciones con NAPT (Network Address Port Translation) La conversión de direcciones en NAPT modifica la dirección IP de destino y el puerto de destino en una relación de comunicación (reenvío de puerto). Se convierten telegramas procedentes de la red externa o la red DMZ y destinados a la dirección IP del módulo de seguridad. Si el puerto de destino del telegrama es idéntico a uno de los valores de la columna "Source Port", el módulo de seguridad sustituye la dirección IP de destino y el puerto de destino de la forma indicada en la fila correspondiente de la tabla NAPT. En la respuesta, el módulo de seguridad aplica como dirección IP de origen y puerto de origen los valores que figuran como dirección IP de destino o puerto de destino en el telegrama inicial. La diferencia respecto a NAT consiste en que en este protocolo también se pueden convertir puertos. Ya no hay una conversión 1:1 de la dirección IP. Solo existe una dirección IP pública, que se convierte agregando números de puerto a una serie de direcciones IP privadas. Conversión de direcciones en los túneles VPN La conversión de direcciones con NAT/NAPT también se puede realizar para relaciones de comunicación establecidas a través de túneles VPN. Esto se soporta para los interlocutores del tipo SCALANCE M (solo NAT 1:1) y SCALANCE S612 / S623 / S627-2M V4. Encontrará más información sobre las conversiones de direcciones en túneles VPN en los siguientes capítulos: Conversión de direcciones con NAT/NAPT (Página 173) Conversión de direcciones con NAT/NAPT en túneles VPN (Página 180) Conversión de reglas NAT/NAPT de proyectos antiguos SCT V4.0 cambió el modo de configuración de las reglas NAT/NAPT y de las reglas de cortafuegos correspondientes. Si desea adaptar o ampliar en SCT V4.0 las reglas NAT/NAPT de un proyecto creado con SCT V3.0/V3.1, primero debe convertir las reglas NAT/NAPT a SCT V4.0. Para ello, seleccione en el menú contextual de una regla NAT/NAPT el comando de menú "Convertir todas las reglas NAT/NAPT a SCT V4" o "Convertir las reglas NAT/NAPT seleccionadas a SCT V4". De este modo, para las reglas NAT/NAPT convertidas SCT genera automáticamente reglas de cortafuegos que habilitan la comunicación en el sentido de conversión de direcciones configurado. A continuación, modifique o elimine las reglas de cortafuegos que ha generado manualmente para las reglas NAT/NAPT si contradicen las reglas de cortafuegos generadas de forma automática. Después, realice las adaptaciones y/o ampliaciones que desee de las reglas NAT/NAPT y de cortafuegos. Reglas que deben considerarse en la comprobación de coherencia Observe entre otras las reglas siguientes con el fin de obtener entradas coherentes: La dirección IP de la interfaz interna no debe utilizarse en la tabla NAT/NAPT. Una dirección IP utilizada en la lista de conversión de direcciones NAT/NAPT no debe ser dirección Multicast ni dirección Broadcast. 172 Manual de configuración, 12/2014, C79000-G8978-C286-04

173 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Los puertos externos asignados a la conversión NAPT han de estar en el rango > 0 y Quedan excluidos los puertos 123 (NTP), 443 (HTTPS), 514 (Syslog), 161 (SNMP), (DHCP) y (IPsec), siempre que estén activados los servicios correspondientes en el módulo de seguridad. La dirección IP externa del módulo de seguridad o la dirección IP de la interfaz DMZ solo se deben utilizar en la tabla NAT para la acción "Source-NAT". Control de duplicidad en la tabla NAT Una dirección IP externa o una dirección IP de la red DMZ utilizada en sentido "Destination-NAT", "Source-NAT + Destination-NAT" o "Double-NAT" solo puede utilizarse una vez en cada sentido indicado. Control de duplicidad en la tabla NAPT Cada número de puerto de origen solo puede introducirse una vez en cada interfaz. Los números de puerto o los rangos de puerto de los puertos externos y los puertos DMZ no deben superponerse. Los puertos NAPT internos pueden estar en el rango > 0 y Una vez finalizadas sus entradas, realice una comprobación de coherencia. Elija el comando de menú "Opciones" > "Verificaciones de consistencia" Conversión de direcciones con NAT/NAPT Activar NAT Se activa el campo de entrada para NAT. Las conversiones de direcciones NAT solo pasan a ser efectivas tras realizar las entradas descritas a continuación en la lista de conversión de direcciones. Tras crear las reglas NAT, se generan las reglas de cortafuegos correspondientes y se muestran en el modo avanzado; véase el capítulo: Relación entre router NAT/NAPT y cortafuegos (Página 181) Si está activado PPPoE para la interfaz externa o la interfaz DMZ, la acción "Destination- NAT" no puede configurarse. Al configurar la acción "Source-NAT", la dirección IP no puede introducirse en el campo de entrada "Conversión de origen" porque se determina de forma dinámica en el tiempo de ejecución. Acciones de conversión de direcciones posibles para NAT La siguiente tabla recoge las posibilidades de entrada para la conversión de direcciones con NAT. Acción "Destination-NAT" - "Redirect" La acción "Destination-NAT" puede ejecutarse en el siguiente sentido: De externa a interna Manual de configuración, 12/2014, C79000-G8978-C

174 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Destination-NAT" también puede ejecutarse en los siguientes sentidos: De externa a DMZ De DMZ a interna De DMZ a externa Si el módulo SCALANCE S se encuentra en un grupo VPN (solo para SCALANCE S602), la acción "Destination-NAT" puede ejecutarse, además, en los siguientes sentidos: De túnel a interna De túnel a externa De túnel a DMZ (solo con la interfaz DMZ activada) Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: se comprueba si la dirección IP de destino de un telegrama procedente de la red externa coincide con la dirección IP indicada en el campo de entrada "Dirección IP de destino". Si coincide, el telegrama se transfiere a la red interna sustituyendo la dirección IP de destino del telegrama por la dirección IP indicada en el campo de entrada "Conversión de destino". El acceso de externa a interna a través de la dirección IP externa es posible. La siguiente tabla muestra el esquema de entrada para la acción "Destination-NAT". Campo Entradas posibles Significado Dirección IP de origen No relevante para esta acción. - Conversión de origen No relevante para esta acción. - Dirección IP de destino Dirección IP en la red de origen Dirección IP de destino en la red de origen a través de la cual se debe acceder a una dirección IP de la red de destino. La dirección IP de destino no debe ser la misma que la dirección IP del módulo de seguridad en la red de origen. Si en un telegrama la dirección IP de destino concuerda con la dirección introducida, la dirección se cambia por la dirección IP correspondiente en la red de destino. La dirección IP de destino indicada se convierte en dirección alias. Eso significa que la dirección IP indicada se registra además como dirección IP en la interfaz seleccionada. Las direcciones alias se muestran también en la ficha "Interfaces" del módulo de seguridad. Asegúrese de que no existe ningún conflicto de dirección IP en la red con esta dirección alias. Conversión de destino Dirección IP en la red de destino La dirección IP de destino se sustituye por la dirección IP indicada aquí. N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT genera para la regla NAT. 174 Manual de configuración, 12/2014, C79000-G8978-C286-04

175 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Acción "Source-NAT" - "Masquerading" La acción "Source-NAT" puede ejecutarse en el siguiente sentido: De interna a externa Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Source-NAT" también puede ejecutarse en los siguientes sentidos: De interna a DMZ De externa a DMZ De DMZ a externa Si el módulo SCALANCE S se encuentra en un grupo VPN (solo para SCALANCE S602), la acción "Source-NAT" puede ejecutarse, además, en los siguientes sentidos: De interna a túnel De externa a túnel De DMZ a túnel (solo con la interfaz DMZ activada) Para el sentido "De interna a externa" se aplica, por ejemplo, lo siguiente: se comprueba si la dirección IP de origen de un telegrama procedente de la red interna coincide con la dirección IP indicada en el campo de entrada "Dirección IP de origen". Si coincide, el telegrama se transfiere a la red externa con la dirección IP externa indicada en el campo de entrada "Conversión de origen" como nueva dirección IP de origen. En la red externa rige la dirección IP externa. La siguiente tabla muestra el esquema de entrada para la acción "Source-NAT". Campo Entradas posibles Significado Dirección IP de origen Dirección IP en la red de origen La dirección IP de origen del dispositivo indicado se sustituye por la dirección IP indicada en el campo de entrada "Conversión de origen". Área de direcciones IP / banda de direcciones IP en la red de origen Las direcciones IP del área de direcciones / banda de direcciones IP se sustituyen por la dirección IP indicada en el campo de entrada "Conversión de origen". Conversión de origen Dirección IP en la red de destino Entrada de la dirección IP que debe utilizarse como nueva dirección IP de origen. Si la dirección IP introducida aquí no es la dirección IP del módulo de seguridad, se convierte en dirección alias. Eso significa que la dirección indicada se registra además como dirección IP en la interfaz seleccionada. Las direcciones alias se muestran también en la ficha "Interfaces" del módulo de seguridad. Asegúrese de que no existe ningún conflicto de dirección IP en la red con esta dirección alias. Dirección IP de destino No relevante para esta acción. No relevante para esta acción. Conversión de destino No relevante para esta acción. No relevante para esta acción. N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT genera para la regla NAT. Manual de configuración, 12/2014, C79000-G8978-C

176 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Nota Puede configurar que las direcciones de todos los telegramas que van de una red de origen a una red de destino se conviertan a la dirección IP de los módulos de la red de destino. Además, el módulo de seguridad asigna un número de puerto a cada telegrama. En este caso, se trata de una conversión de direcciones n:1 NAT en la que varias direcciones IP de la red de origen se convierten a una dirección IP de la red de destino. Introduzca, por ejemplo, los siguientes parámetros para el sentido "De interna a externa": Acción: "Source-NAT" De: "Interna" A "Externa" Dirección IP de origen: "*" Conversión de origen: dirección IP externa del módulo de seguridad Acción "Source-NAT + Destination-NAT" - "1:1-NAT" La acción "Source-NAT + Destination-NAT" puede ejecutarse en el siguiente sentido: De interna a externa Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Source-NAT + Destination-NAT" también puede ejecutarse en los siguientes sentidos: De interna a DMZ De externa a DMZ De DMZ a externa Si el módulo SCALANCE S se encuentra en un grupo VPN (solo para SCALANCE S602), la acción "Source-NAT + Destination-NAT" puede ejecutarse, además, en los siguientes sentidos: De externa a túnel De interna a túnel De DMZ a túnel (solo con la interfaz DMZ activada) Para el sentido "De interna a externa" se aplica, por ejemplo, lo siguiente: en el acceso de interna a externa, se ejecuta la acción "Source-NAT". En el acceso de externa a interna, se ejecuta la acción "Destination-NAT". La siguiente tabla muestra el esquema de entrada para la acción "Source-NAT+ Destination- NAT": Campo Entradas posibles Significado Dirección IP de origen Dirección IP en la red de origen La configuración siempre se indica en sentido Rango de direcciones IP en la red de Source-NAT. Por ello, las direcciones IP del sentido origen Destination-NAT siempre son insertadas automáticamente por SCT 176 Manual de configuración, 12/2014, C79000-G8978-C286-04

177 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Campo Entradas posibles Significado Conversión de origen Dirección IP en la red de destino Dirección IP de destino No relevante para esta acción. Conversión de destino No relevante para esta acción. N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a las reglas de cortafuegos que SCT genera para la regla NAT. Acción "Double-NAT" La acción "Double-NAT" puede ejecutarse para los módulos SCALANCE S en los siguientes sentidos: De interna a externa De externa a interna Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Double-NAT" también puede ejecutarse en los siguientes sentidos: De interna a DMZ De externa a DMZ De DMZ a interna De DMZ a externa Source-NAT y Destination-NAT se producen siempre en cada sentido. Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: en el acceso de externa a interna, se sustituye la dirección IP de origen del dispositivo externo (Source- NAT). Además, el acceso a la red interna se realiza a través de la dirección IP externa (Destination-NAT) indicada en el campo de entrada "Dirección IP de destino". Puede utilizar esta acción, por ejemplo, si se ha introducido un router estándar distinto al módulo de seguridad para un dispositivo al que se accede con ayuda de Destination-NAT. Los telegramas de respuesta de este dispositivo no se enviarán al router estándar introducido, sino a la interfaz correspondiente del módulo de seguridad. La siguiente tabla muestra el esquema de entrada para la acción "Double-NAT": Campo Entradas posibles Significado Dirección IP de origen Dirección IP en la red de origen Dirección IP del dispositivo en la red de origen Conversión de origen - La conversión de direcciones Source- NAT se realiza siempre a la dirección IP del módulo de seguridad en la red de destino. Por este motivo, el campo de entrada "Conversión de origen" no puede configurarse. Manual de configuración, 12/2014, C79000-G8978-C

178 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Campo Entradas posibles Significado Dirección IP de destino Dirección IP en la red de origen Dirección IP de destino en la red de origen a través de la cual se debe acceder a una dirección IP de la red de destino. Si en un telegrama la dirección IP de destino concuerda con la dirección IP introducida, la dirección IP se sustituye por la dirección IP introducida en el campo de entrada "Conversión de destino". Si la dirección IP introducida aquí no es la dirección IP del módulo de seguridad, se convierte en dirección alias. Eso significa que la dirección indicada se registra además como dirección IP en la interfaz seleccionada. Las direcciones alias se muestran también en la ficha "Interfaces" del módulo de seguridad. Asegúrese de que no existe ningún conflicto de dirección IP en la red con esta dirección alias. Conversión de destino Dirección IP en la red de destino La dirección IP de destino se sustituye por la dirección IP indicada aquí. N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT genera para la regla NAT. Activar NAPT Se activa el campo de entrada para NAPT. Las conversiones NAPT solo pasan a ser efectivas tras realizar las entradas descritas a continuación en la lista. Tras crear las reglas NAPT, se generan las reglas de cortafuegos correspondientes y se muestran en el modo avanzado; véase el capítulo: Relación entre router NAT/NAPT y cortafuegos (Página 181) La conversión de direcciones IP con NAPT puede ejecutarse en el siguiente sentido: De externa a interna Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la conversión de direcciones IP con NAPT también puede ejecutarse en los siguientes sentidos: De externa a DMZ De DMZ a interna De DMZ a externa 178 Manual de configuración, 12/2014, C79000-G8978-C286-04

179 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Si el módulo SCALANCE S se encuentra en un grupo VPN (solo para SCALANCE S602), la conversión de direcciones IP con NAPT puede ejecutarse, además, en los siguientes sentidos: De externa a túnel De túnel a interna De túnel a externa De DMZ a túnel (solo con la interfaz DMZ activada) De túnel a DMZ (solo con la interfaz DMZ activada) Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: los telegramas destinados a la dirección IP externa del módulo de seguridad y al puerto introducido en la columna "Source Port" se transfieren a la dirección IP de destino de la red interna y al puerto de destino indicados. La siguiente tabla muestra el esquema de entrada para la conversión de direcciones con NAPT: Campo Entradas posibles Significado Source Port Puerto o rango de puertos TCP/UDP Dirección IP de destino Ejemplo de entrada de un rango de puertos: 78:99 Dirección IP en la red de destino Un dispositivo de la red de origen puede enviar un telegrama a un interlocutor de la red de destino utilizando este número de puerto. Los telegramas destinados a la dirección IP del módulo de seguridad de la red de origen, así como al puerto TCP/UDP indicado en el campo "Source Port", se transfieren a la dirección IP aquí indicada. Target Port Puerto TCP/UDP Número de puerto al que se transfieren los telegramas procedentes de la red de origen. Protocolo TCP+UDP Selección de la familia de protocolos para los números de puerto indicados TCP UDP N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT genera para la regla NAPT. Consulte también Reglas de filtrado de paquetes IP (Página 149) Manual de configuración, 12/2014, C79000-G8978-C

180 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Conversión de direcciones con NAT/NAPT en túneles VPN Significado La conversión de direcciones con NAT/NAPT también se puede realizar para relaciones de comunicación establecidas a través de túneles VPN. Requisitos Los módulos SCALANCE S que tengan que ejecutar una conversión de direcciones con NAT/NAPT en un túnel VPN deben cumplir de forma general los siguientes requisitos: El módulo SCALANCE S se encuentra en un grupo VPN. El módulo SCALANCE S se encuentra en el modo de enrutamiento y/o la interfaz DMZ del módulo SCALANCE S está activada. La interfaz de túnel está activada. Sentidos de conversión de direcciones soportados Se soportan los sentidos de conversión de direcciones descritos en el siguiente capítulo: Conversión de direcciones con NAT/NAPT (Página 173) Acciones de conversión de direcciones soportadas Las relaciones de comunicación tuneladas admiten las siguientes acciones de conversión de direcciones: Destination-NAT ("Redirect") Source-NAT ("Masquerading") Source y Destination-NAT ("NAT 1:1") NAPT ("Portforwarding") Encontrará información básica sobre estas acciones de conversión de direcciones en el capítulo siguiente: Conversión de direcciones con NAT/NAPT (Página 173) 180 Manual de configuración, 12/2014, C79000-G8978-C286-04

181 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Acoplamientos VPN soportados En combinación con NAT/NAPT, se soportan los siguientes acoplamientos VPN: Acoplamiento VPN Conexión VPN iniciada por Conversión de direcciones realizada por SCALANCE S (a) SCALANCE S (b) SCALANCE S (a) o SCALANCE S (b) SCALANCE S (a) y/o SCALANCE S (b) SCALANCE S CP S7 / CP PC SCALANCE S o CP S7 / CP PC SCALANCE S SCALANCE S SCALANCE M SCALANCE M SCALANCE S y/o SCALANCE M* SOFTNET Security Client SCALANCE S SOFTNET Security Client SCALANCE S SCALANCE S Cliente NCP VPN (Android) Cliente NCP VPN (Android) SCALANCE S * Solo se soporta NAT 1:1. Los módulos SCALANCE S de los tipos SCALANCE S623 V4 y SCALANCE S627-2M V4 que tienen un punto final VPN en la interfaz externa y en la interfaz DMZ pueden realizar conversiones de direcciones en ambas interfaces de forma simultánea. Comportamiento de conversión de direcciones en caso de participación en varios grupos VPN Si un módulo SCALANCE S participa en varios grupos VPN, las reglas de conversión de direcciones configuradas para la interfaz de túnel del módulo SCALANCE S son válidas para todas las conexiones VPN de este módulo SCALANCE S. Tenga en cuenta lo siguiente: En cuanto haya configurado una conversión de direcciones NAT en o desde el sentido túnel, ya solo podrá acceder a las direcciones IP implicadas de las reglas de conversión de direcciones NAT mediante el túnel VPN Relación entre router NAT/NAPT y cortafuegos Significado Tras crear reglas NAT/NAPT, SCT genera automáticamente reglas de cortafuegos que habilitan la comunicación en el sentido de conversión de direcciones configurado. Las reglas de cortafuegos generadas pueden ampliarse si es necesario (direcciones IP adicionales / área de direcciones IP / banda de direcciones IP, servicios, ancho de banda). Asimismo, debería comprobarse automáticamente la prioridad de las reglas de cortafuegos generadas respecto de su posición. Si en la lista de reglas hay también reglas de cortafuegos que se han configurado manualmente y tienen mayor prioridad que las reglas generadas automáticamente, en determinadas circunstancias no se ejecutará NAT/NAPT. Los parámetros de cortafuegos generados por SCT no pueden adaptarse. Después de desactivar NAT/NAPT se eliminan las reglas de cortafuegos generadas por SCT. Manual de configuración, 12/2014, C79000-G8978-C

182 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Para simplificar la referencia entre las reglas NAT/NAPT y las correspondientes reglas de cortafuegos, las reglas de las fichas "NAT/NAPT" y "Cortafuegos" se marcan con los correspondientes números consecutivos. La siguiente tabla muestra los esquemas de las reglas de cortafuegos generadas para los módulos SCALANCE S para las reglas NAT. Tabla 5-1 Acción NAT Conversión de direcciones NAT y reglas de cortafuegos correspondientes para módulos SCALANCE S Regla de cortafuegos creada Destination- NAT Acción De A Dirección IP de origen Dirección IP de destino Allow Red de origen Red de destino - Dirección IP indicada en el campo de entrada "Dirección IP de destino". Source-NAT Allow Red de origen Red de destino Dirección IP del dispositivo indicada en el campo de entrada "Dirección IP de origen". Source-NAT + Destination- NAT Allow Red de origen Red de destino Dirección IP del - dispositivo indicada en el campo de entrada "Dirección IP de origen". Allow Red de destino Red de origen - Dirección IP, insertada por SCT en el campo de entrada "Dirección IP de destino". Double-NAT Allow Red de origen Red de destino Dirección IP del dispositivo indicada en el campo de entrada "Dirección IP de origen". Allow Red de origen Red de destino Dirección IP del dispositivo indicada en el campo de entrada "Dirección IP de origen". - Dirección IP indicada en el campo de entrada "Dirección IP de destino". Dirección IP del dispositivo indicada en el campo de entrada "Conversión de destino". 182 Manual de configuración, 12/2014, C79000-G8978-C286-04

183 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router La siguiente tabla muestra los esquemas de las reglas de cortafuegos generadas para para el CP x43-1 Adv. para las reglas NAT. Tabla 5-2 Acción NAT Conversión de direcciones NAT y reglas de cortafuegos correspondientes para CP x43-1 Adv. Regla de cortafuegos creada Acción De A Dirección IP de origen Dirección IP de destino Destination- Drop Externa Estación - - NAT Allow Externa Any - Dirección IP del dispositivo indicada en el campo de entrada "Conversión de destino". Source-NAT Allow Any Externa Dirección IP indicada en el campo de entrada "Conversión de origen". - Source-NAT + Destination- NAT Allow Any Externa Dirección IP indicada - en el campo de entrada "Conversión de origen". Drop Externa Estación - - Allow Externa Any - Dirección IP del dispositivo indicada en el campo de entrada "Conversión de destino". La siguiente tabla muestra el esquema de las reglas de cortafuegos generadas para los módulos SCALANCE S para las reglas NAPT. Tabla 5-3 Conversión de direcciones NAPT y reglas de cortafuegos creadas para módulos SCALANCE S Regla de cortafuegos creada Acción De A Dirección IP de origen Dirección IP de destino Allow Red de origen Red de destino - Dirección IP del módulo de seguridad en la red de origen Servicio [Regla Servicio_NAPT] Manual de configuración, 12/2014, C79000-G8978-C

184 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router La siguiente tabla muestra los esquemas de las reglas de cortafuegos generadas para el CP x43-1 Adv. para las reglas NAPT. Tabla 5-4 Conversiones de direcciones NAPT y reglas de cortafuegos creadas para CP x43-1 Adv. Reglas de cortafuegos creada Acción De A Dirección IP de origen Dirección IP de destino Servicio Drop Externa Estación - - [Regla Servicio_NAPT] Allow Externa Any - Dirección IP del dispositivo indicada en el campo de entrada "Dirección IP de destino". [Regla Servicio_NAPT] Stateful Packet Inspection El cortafuegos y el router NAT/NAPT contribuyen a la "Stateful Packet Inspection". Por esta razón, los telegramas de respuesta pueden pasar el router NAT/NAPT y el cortafuegos sin que sus direcciones se tengan que adoptar adicionalmente en las reglas de cortafuegos ni en la conversión de direcciones de NAT/NAPT Relación entre router NAT/NAPT y cortafuegos específico del usuario Significado Tras crear reglas NAT/NAPT en el cortafuegos específico del usuario, SCT genera automáticamente un conjunto de reglas IP específico del usuario que habilita la comunicación en el sentido de conversión de direcciones configurado. Puede asignar a este conjunto de reglas IP personalizado uno o varios usuarios y/o una o varias funciones (solo para módulos SCALANCE S V4 o superior). Las reglas de cortafuegos generadas pueden desplazarse y ampliarse si es necesario (direcciones IP adicionales, servicios, ancho de banda). Los parámetros de cortafuegos generados por SCT no pueden adaptarse. Si el conjunto de reglas IP específico del usuario es arrastrado (Drag and Drop) hasta un módulo de seguridad con NAT/NAPT desactivado, las reglas NAT/NAPT del cortafuegos específico del usuario tampoco se aplican a este módulo de seguridad. Nota No se soporta la acción de conversión de direcciones "Double-NAT" en relación con el cortafuegos específico del usuario. 184 Manual de configuración, 12/2014, C79000-G8978-C286-04

185 Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router Cómo se accede a esa función Ficha "NAT" o "NAPT" del cuadro de diálogo de configuración para conjuntos de reglas IP específicos del usuario, véase el capítulo siguiente: Conjuntos de reglas IP específicos de usuario (Página 142) Sentidos de conversión de direcciones soportados para la acción "Source-NAT" La acción "Source-NAT" puede ejecutarse en los siguientes sentidos: De externa a DMZ De DMZ a externa En el campo "Dirección IP de origen" no puede introducirse ninguna dirección IP. La dirección IP se introduce automáticamente cuando el dispositivo inicia sesión en el módulo de seguridad. Sentidos de conversión de direcciones soportados para la acción "Destination-NAT" La acción "Destination-NAT" puede ejecutarse en los siguientes sentidos: De externa a interna De externa a DMZ De DMZ a interna De DMZ a externa De túnel a interna (solo para SCALANCE S612/S623/S627-2M V4 o superior) De túnel a externa (solo para SCALANCE S612/S623/S627-2M V4 o superior) De túnel a DMZ (solo para SCALANCE S612/S623/S627-2M V4 o superior) Sentidos de conversión de direcciones soportados para la acción "Source-NAT + Destination-NAT" La acción "Source-NAT + Destination-NAT" puede ejecutarse en los siguientes sentidos: De externa a DMZ De DMZ a externa En el campo "Dirección IP de origen" no puede introducirse ninguna dirección IP. La dirección IP se introduce automáticamente cuando el dispositivo inicia sesión en el módulo de seguridad. Sentidos de conversión de direcciones soportados para NAPT La conversión de direcciones con NAPT puede ejecutarse en los siguientes sentidos: De externa a interna De externa a DMZ De DMZ a interna De DMZ a externa Manual de configuración, 12/2014, C79000-G8978-C

186 Configuración de otras propiedades de los módulos 5.2 Módulo de seguridad como servidor DHCP De túnel a interna (solo para SCALANCE S612/S623/S627-2M V4 o superior) De túnel a externa (solo para SCALANCE S612/S623/S627-2M V4 o superior) De túnel a DMZ (solo para SCALANCE S612/S623/S627-2M V4 o superior) Conversión de direcciones NAT/NAPT y conjuntos de reglas IP específicos del usuario correspondientes En las reglas de cortafuegos para conjuntos de reglas IP personalizados que se generan sobre la base de reglas NAT/NAPT no es posible introducir ninguna dirección IP en el campo "Dirección IP de origen". Se introducirá automáticamente cuando el dispositivo inicie sesión en el módulo de seguridad. Las demás propiedades son idénticas a las reglas de cortafuegos que se generan localmente para módulos de seguridad individuales. Consulte el capítulo: Relación entre router NAT/NAPT y cortafuegos (Página 181) 5.2 Módulo de seguridad como servidor DHCP Sinopsis Resumen El módulo de seguridad puede utilizarse en la red interna y en la red DMZ como servidor DHCP (DHCP = Dynamic Host Configuration Protocol). Esto permite asignar automáticamente direcciones IP a los dispositivos conectados. Es posible el modo servidor DHCP simultáneo en ambas interfaces. Las direcciones IP se asignan dinámicamente desde una banda de direcciones definida por el usuario, o bien se asigna una dirección IP a un dispositivo concreto conforme a sus predeterminaciones. Si los dispositivos de la interfaz interna o DMZ deben obtener siempre la misma dirección IP para la configuración del cortafuegos, la asignación de direcciones solo puede ser estática a partir de la dirección MAC o de la ID de cliente. Requisitos Tiene que configurar los dispositivos en la red interna o DMZ de manera que obtengan la dirección IP de un servidor DHCP. 186 Manual de configuración, 12/2014, C79000-G8978-C286-04

187 Configuración de otras propiedades de los módulos 5.2 Módulo de seguridad como servidor DHCP Dependiendo del modo de operación, el módulo de seguridad transmite a los dispositivos de la subred correspondiente una dirección IP del router predeterminado, o bien se tiene que comunicar una dirección IP de router a los dispositivos de la subred. Se transmite la dirección IP del router En los casos siguientes, el módulo de seguridad transmite a los dispositivos una dirección IP de router a través del protocolo DHCP: El dispositivo está en la interfaz DMZ (solo SCALANCE S623/S627-2M). El módulo de seguridad transmite en este caso la dirección IP propia como dirección IP del router. El dispositivo está en la interfaz interna y el módulo de seguridad está configurado para el modo de router. El módulo de seguridad transmite en este caso la dirección IP propia como dirección IP del router. El dispositivo está en la interfaz interna y el módulo de seguridad no está configurado para el modo de router, pero se ha indicado un router estándar en la configuración del módulo de seguridad. El módulo de seguridad transmite en este caso la dirección IP del router estándar como dirección IP del router. No se transmite la dirección IP del router En estos casos tiene que introducir manualmente la dirección IP del router en los dispositivos: El dispositivo está en la interfaz interna y el módulo de seguridad no está configurado para el modo de router. Adicionalmente, en la configuración del módulo de seguridad no se ha indicado ningún router estándar. Consulte también Check Consistency (Página 63) Configurar un servidor DHCP Requisitos La ficha "Servidor DHCP" solo se muestra si el proyecto está en el modo avanzado. Nota No es posible regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado ya no es posible regresar. Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo. Manual de configuración, 12/2014, C79000-G8978-C

188 Configuración de otras propiedades de los módulos 5.2 Módulo de seguridad como servidor DHCP Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Servidor DHCP". 3. Active la casilla de verificación "Activar DHCP". 4. Seleccione para qué interfaz desea realizar los ajustes de DHCP. 5. Realice la asignación de direcciones. Para la configuración tiene las dos posibilidades siguientes: 188 Manual de configuración, 12/2014, C79000-G8978-C286-04

189 Configuración de otras propiedades de los módulos 5.2 Módulo de seguridad como servidor DHCP Asignación estática de direcciones A dispositivos con una dirección MAC o un Client-ID determinados se les asignan direcciones predeterminadas para cada caso. Introduzca para ello estos dispositivos en la lista de direcciones en el campo de entrada "Asignación estática de direcciones". Esta opción es aconsejable en relación a reglas del cortafuegos con indicación explícita de la dirección IP de origen o destino. Asignación dinámica de direcciones Los dispositivos cuya dirección MAC o ID de cliente no se haya indicado explícitamente reciben una dirección IP cualquiera de la banda de direcciones predeterminada. Esta banda de direcciones se ajusta en el campo de entrada "Asignación dinámica de direcciones". Nota Asignación dinámica de direcciones - Comportamiento tras una interrupción de la alimentación eléctrica Tenga en cuenta que las direcciones IP asignadas dinámicamente no se almacenan si se interrumpe la alimentación eléctrica. Tras restablecerse la alimentación eléctrica tiene que cuidar por tanto de que todos los dispositivos soliciten de nuevo una dirección IP. Por esta razón, solo debería prever la asignación dinámica de direcciones para los siguientes dispositivos: dispositivos que se utilicen temporalmente en la subred (por ejemplo, dispositivos de mantenimiento); dispositivos que en caso de una nueva solicitud transmitan al servidor DHCP como "dirección preferida" una dirección IP anteriormente asignada (por ejemplo, estaciones PC). Para los dispositivos que están en servicio permanente se debe dar preferencia a la asignación estática de direcciones indicando una ID de cliente (recomendado para CPs S7 porque facilita la sustitución de módulos) o la dirección MAC. Se da soporte a nombres simbólicos En la función descrita a continuación se pueden introducir tanto direcciones IP o MAC como nombres simbólicos. Reglas que deben considerarse en la comprobación de coherencia Al realizar sus entradas debe tener en cuenta las reglas indicadas a continuación: Las direcciones IP asignadas en el campo de entrada "Asignación estática de direcciones" de la lista de direcciones no deben estar en el área de las direcciones IP dinámicas. Los nombres simbólicos han de tener una asignación de dirección numérica. Si aquí se asignan nuevos nombres simbólicos, además habrá que realizar la asignación de direcciones en el cuadro de diálogo "Nombres simbólicos". Manual de configuración, 12/2014, C79000-G8978-C

190 Configuración de otras propiedades de los módulos 5.2 Módulo de seguridad como servidor DHCP Las direcciones IP, direcciones MAC e ID de cliente solo pueden aparecer una vez en el campo de entrada "Asignación estática de direcciones" (con referencia al módulo de seguridad). En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección MAC o la ID de cliente (nombre del equipo). El Client-ID es una secuencia de como máximo 63 caracteres. Solo se permiten los caracteres siguientes: a-z, A-Z, 0-9 y - (guión). Nota En SIMATIC S7 es posible asignar a los dispositivos de la interfaz Ethernet una ID de cliente para la referencia a una dirección IP a través de DHCP. En PCs el procedimiento depende del sistema operativo utilizado; se recomienda utilizar la dirección MAC para la asignación. En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección IP. Las siguientes direcciones IP no deben estar en el área de la asignación dinámica de direcciones: Todas las direcciones IP de router de la ficha "Enrutamiento" Servidor Syslog Router estándar Dirección(es) del módulo de seguridad DHCP es soportado por el módulo de seguridad en la interfaz con la subred interna y en la interfaz con la red DMZ. De este comportamiento del módulo de seguridad se derivan, además, los siguientes requisitos para las direcciones IP en el área de la asignación dinámica de direcciones: Modo de puente El área debe estar en la red definida por el módulo de seguridad. Modo de enrutamiento El área debe estar en la subred interna definida por el módulo de seguridad. Nota La red DMZ representa siempre una subred separada. En caso de utilizar DHCP en la interfaz DMZ, hay que tener en cuenta que el área de direcciones IP libre (direcciones IP dinámicas) se encuentra dentro de la subred DMZ. El rango de direcciones IP libre se tiene que indicar por completo introduciendo la dirección inicial y la dirección final. La dirección final debe ser más alta que la inicial. Las direcciones IP introducidas en el campo de entrada "Asignación estática de direcciones" de la lista de direcciones tienen que estar en el área de direcciones de la subred interna o de la red DMZ del módulo de seguridad. Tenga en cuenta las aclaraciones al respecto del capítulo Check Consistency (Página 63). 190 Manual de configuración, 12/2014, C79000-G8978-C286-04

191 Configuración de otras propiedades de los módulos 5.3 Sincronización horaria 5.3 Sincronización horaria Sinopsis Significado Para comprobar la validez horaria de un certificado y para el sello de fecha y hora de registros Log se indican la fecha y la hora en el módulo de seguridad. Se pueden configurar las siguientes alternativas: Ajuste automático de la hora del módulo a la hora del PC al cargar una configuración. Ajuste automático y sincronización periódica de la hora a través de un servidor Network Time Protocol (servidor NTP). Nota Antes de que se apliquen las funciones de seguridad de un CP, este debe recibir un telegrama de sincronización horaria válido del reloj maestro. Sincronización mediante un servidor NTP Para la creación del servidor NTP rigen las siguientes reglas: Los servidores NTP pueden crearse para todo el proyecto a través del menú de SCT "Opciones" > "Configuración del servidor NTP...". Asigne un servidor NTP a un módulo de seguridad en la ficha de propiedades "Sincronización horaria". Si diferentes módulos de seguridad del proyecto SCT utilizan el mismo servidor NTP, sus datos solo tendrán que introducirse una vez. Pueden crearse hasta 32 servidores NTP para todo el proyecto. A un módulo de seguridad se le pueden asignar como máximo 4 servidores NTP. Los nombres simbólicos se soportan en la definición de servidores NTP. Los FQDN se soportan en la definición de servidores NTP. Desde servidores NTP ya creados en STEP 7 se migran a SCT la dirección IP y el intervalo de actualización. Si se selecciona "Sincronización horaria con NTP (seguro)", el módulo de seguridad solo aceptará la hora de servidores NTP configurados del modo correspondiente (seguro). La configuración combinada de servidores NTP (seguro) seguros y no seguros en un módulo de seguridad no es posible. Manual de configuración, 12/2014, C79000-G8978-C

192 Configuración de otras propiedades de los módulos 5.3 Sincronización horaria Configurar el control de la hora Cómo se accede a esa función Comando de menú SCT: 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Sincronización horaria". Comando de menú de STEP 7 (si está activada la opción "Activar sincronización horaria en procedimiento NTP"): "Sincronización horaria" > "Configuración NTP avanzada", botón "Ejecutar". Alternativas de sincronización horaria Se pueden configurar las siguientes alternativas: Tabla 5-5 Sincronización horaria para CP Posibilidades Sin sincronización horaria Sincronización horaria con NTP Sincronización horaria con NTP (seguro) Significado / repercusión Sin sincronización horaria a través del PC o un servidor NTP. Ajuste automático y sincronización periódica de la hora a través de un servidor NTP. Ajuste automático y sincronización periódica de la hora a través de un servidor NTP (seguro). Tabla 5-6 Sincronización horaria para SCALANCE S V3.0 Posibilidades Sin sincronización horaria Ajustar hora con cada carga Sincronización horaria con NTP Sincronización horaria con NTP (seguro) Significado / repercusión Sin sincronización horaria. Ajuste automático de la hora del módulo a la hora del PC al cargar una configuración. Ajuste automático de la hora a través de un servidor NTP. Ajuste automático y sincronización periódica de la hora a través de un servidor NTP (seguro). 192 Manual de configuración, 12/2014, C79000-G8978-C286-04

193 Configuración de otras propiedades de los módulos 5.3 Sincronización horaria Seleccionar el modo de sincronización horaria Proceda del siguiente modo: 1. Seleccione el modo de sincronización horaria. 2. Para SCALANCE S < V3.0: En la sincronización a través de un servidor NTP, indique el intervalo de actualización en segundos. Para SCALANCE S V3.0, el intervalo de tiempo para la consulta del servidor NTP se define automáticamente. Nota Los servidores NTP creados en STEP 7 se migran automáticamente a SCT según el intervalo de actualización. El intervalo de actualización solo puede modificarse en STEP Si ha seleccionado el modo de sincronización "Sincronización horaria con NTP" o "Sincronización horaria con NTP (seguro)", asigne al módulo de seguridad con el botón "Agregar" un servidor NTP ya creado del mismo tipo que el que está seleccionado en el campo "Modo de sincronización". Si aún no hay servidores NTP, cree uno con el botón "Configurar servidor..." Definir un servidor NTP Cómo definir un servidor NTP nuevo: 1. Introduzca un nombre para el servidor NTP. 2. Introduzca la dirección IP/el FQDN del servidor NTP. 3. Seleccione el tipo. Manual de configuración, 12/2014, C79000-G8978-C

194 Configuración de otras propiedades de los módulos 5.4 SNMP Configuración de NTP (seguro) 1. Haga clic en el botón "Agregar...". 2. Introduzca los datos siguientes: Parámetros Significado ID de código Valor numérico entre Autenticación Hex/ASCII Código Seleccione el algoritmo de autenticación. Seleccione el formato del código NTP. Introduzca el código NTP con las siguientes longitudes: Hex: caracteres ASCII: caracteres Importar y exportar servidores NTP Los botones "Importar..." y "Exportar..." permiten exportar la lista de claves del servidor NTP mostrado en ese momento e importar el archivo a un servidor NTP, o viceversa. 5.4 SNMP Sinopsis Qué es SNMP? El módulo de seguridad soporta la transmisión de información de administración a través del Simple Network Management Protocol (SNMP). Para ello se ha instalado en el módulo de seguridad un "agente SNMP", que recibe y responde a las solicitudes SNMP. La información sobre las propiedades de dispositivos compatibles con SNMP está almacenada en los denominados archivos MIB (MIB = Management Information Base), para los que el usuario debe tener los derechos correspondientes (SNMPv3). En SNMPv1 también se envía el "community string". El community string es como una contraseña que se envía junto con la solicitud SNMP. Si el community string es correcto, el módulo de seguridad responde con la información solicitada. Si el community string es incorrecto, el módulo de seguridad rechaza la solicitud y no contesta. En SNMPv3 los datos pueden enviarse cifrados. 194 Manual de configuración, 12/2014, C79000-G8978-C286-04

195 Configuración de otras propiedades de los módulos 5.4 SNMP Activar SNMP Requisitos HW Config: en la ficha "SNMP" de las propiedades del CP está activada la casilla de verificación "Activar SNMP". Si no está activada no es posible configurar SNMP en la Security Configuration Tool. Procedimiento para configurar SNMP: 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "SNMP". 3. Active la casilla de verificación "Activar SNMP". 4. Elija una de las versiones de protocolo SNMP. Nota Transferencia de datos cifrada con SNMPv3 Con el fin de incrementar la seguridad es aconsejable utilizar SNMPv3, pues con él los datos se transfieren cifrados. SNMPv1 Para controlar los derechos de acceso en el agente SNMP, el módulo de seguridad utiliza los siguientes valores estándar para los community strings: Para acceso de lectura: public Para acceso de lectura y escritura: private Para activar el acceso de escritura a través de SNMP, seleccione la casilla de verificación "Permitir acceso de escritura". SNMPv3 Seleccione un método de autenticación o un método de autenticación y cifrado. Algoritmo de autenticación: Ninguno, MD5, SHA-1 Algoritmo de encriptación: Ninguno, AES-128, DES Nota Evitar el uso de DES DES es un algoritmo de cifrado no seguro. Por tanto, solo debería utilizarse cuando sea necesario para la compatibilidad con versiones anteriores. Nota Si se utiliza SNMPv3 no es posible la autenticación RADIUS. Manual de configuración, 12/2014, C79000-G8978-C

196 Configuración de otras propiedades de los módulos 5.5 Proxy ARP 5. En el área "Configuración avanzada", configure datos específicos del módulo relacionados con el autor, la ubicación y la dirección de correo electrónico, que sobrescriban los datos de las propiedades del proyecto. Si se activa la casilla de verificación "Conservar los valores escritos por SNMP-SET", los valores escritos por una herramienta SNMP en el módulo de seguridad por medio de un comando SNMP-SET no se sobrescribirán al volver a cargar una configuración de SCT en el módulo de seguridad. 6. Si debe utilizarse SNMPv3, asigne a un usuario un rol que tenga activados los derechos SNMP correspondientes para que pueda acceder al módulo de seguridad vía SNMP. Encontrará más información sobre la configuración de usuarios, derechos y roles en el capítulo siguiente: Administrar usuarios (Página 67) 5.5 Proxy ARP Resumen Proxy ARP permite a los routers responder a solicitudes ARP para hosts. Los hosts están en redes separadas por routers, pero utilizan la misma área de direcciones IP. Si PC1 envía una solicitud ARP a PC2, recibe del módulo de seguridad situado en medio, y no del PC2, una respuesta ARP y la dirección de hardware de la interfaz (dirección MAC del puerto del módulo de seguridad) en la que se recibió la solicitud. El PC1 solicitante envía entonces sus datos al módulo de seguridad, que los transmite al PC2. Cómo se accede a esa función Esta función solo está disponible para la interfaz interna de un módulo de seguridad que forma parte de un grupo VPN y está en modo de puente. Además, el proyecto debe estar en modo avanzado. 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Proxy ARP". 3. Si el módulo de seguridad debe responder a una solicitud ARP de la LAN propia en lugar del interlocutor específico, introduzca la dirección IP correspondiente. 196 Manual de configuración, 12/2014, C79000-G8978-C286-04

197 Comunicación segura en la VPN a través de túnel 6 IPsec En este capítulo se describe cómo conectar las subredes IP protegidas por el módulo de seguridad o SCALANCE M con una VPN (Virtual Private Network). Tal como se ha descrito ya en el capítulo relativo a las propiedades del módulo, también aquí se pueden conservar los ajustes predeterminados para garantizar una comunicación segura dentro de la red interna. Otras informaciones La ayuda online le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión. Consulte también Funciones online - Diagnóstico y registro (Página 255) 6.1 VPN con módulos de seguridad y SCALANCE M Conexión segura a través de red no protegida Para los módulos de seguridad y SCALANCE M que protegen la red interna, los túneles IPsec proporcionan una conexión de datos segura a través de la red externa no segura. Mediante el intercambio de datos a través de IPsec se implementan los siguientes paquetes de seguridad para la comunicación: Confidencialidad Garantiza que los datos se transmiten cifrados. Integridad Garantiza que los datos no han sido modificados. Autenticidad Garantiza que los puntos finales de la VPN también son de confianza. El módulo utiliza el protocolo IPsec (modo túnel de IPsec) para la formación de túneles. Manual de configuración, 12/2014, C79000-G8978-C

198 Comunicación segura en la VPN a través de túnel IPsec 6.1 VPN con módulos de seguridad y SCALANCE M Las conexiones por túnel se realizan entre módulos del mismo grupo VPN En el caso de los módulos que están dentro de un grupo VPN, las propiedades de una VPN se reúnen para todos los túneles IPsec. Se establecen automáticamente túneles IPsec entre todos los módulos y los SOFTNET Security Clients pertenecientes al mismo grupo VPN. Un módulo puede pertenecer simultáneamente a diferentes grupos VPN en un mismo proyecto. 198 Manual de configuración, 12/2014, C79000-G8978-C286-04

199 Comunicación segura en la VPN a través de túnel IPsec 6.1 VPN con módulos de seguridad y SCALANCE M Nota Si se cambia el nombre de un módulo, se tienen que reconfigurar todos los módulos de los grupos VPN a los que pertenece el módulo modificado (comando "Transferir" > "A todos los módulos..."). Si se cambia el nombre de un grupo VPN, se tienen que reconfigurar todos los módulos de ese grupo VPN (comando "Transferir" > "A todos los módulos..."). Nota Los telegramas de capa 2 solo se transmiten vía túnel si entre dos módulos hay un router. No obstante, para ello es necesario configurar las direcciones MAC de los interlocutores de forma estática en la Security Configuration Tool y, dado el caso, se pueden registrar entradas ARP estáticas en los dispositivos de comunicación. Regla general: Los telegramas no IP solo se transmiten a través de un túnel si los dispositivos que envían o reciben los telegramas se podían comunicar ya anteriormente, es decir, sin el uso de los módulos. Manual de configuración, 12/2014, C79000-G8978-C

200 Comunicación segura en la VPN a través de túnel IPsec 6.2 Método de autenticación 6.2 Método de autenticación Método de autenticación El método de autenticación se establece dentro de un grupo VPN y determina la forma de autenticación utilizada. Son posibles métodos de autenticación basados en clave o en certificado: Preshared Keys La autenticación se produce a través de una secuencia de caracteres establecida de antemano, que se distribuye a todos los módulos del grupo VPN. Introduzca previamente para ello una contraseña en el campo "Código" del cuadro de diálogo "Propiedades del grupo VPN" o genere una contraseña con el botón "Nuevo...". Certificado La autenticación basada en certificado denominada "Certificado" es el ajuste predeterminado, que está activado también en el modo normal. El comportamiento es el siguiente: Al crear un grupo VPN, se genera automáticamente un certificado CA para el grupo VPN. Cada módulo del grupo VPN recibe un certificado de grupos VPN firmado con el código de la entidad emisora del grupo VPN. Todos los certificados se basan en el estándar ITU X.509v3 (ITU, International Telecommunications Union). Los certificados son generados por una entidad certificadora contenida en la Security Configuration Tool. Nota Restricción para el modo VLAN En los telegramas IP a través del túnel de VPN del módulo no se transmiten identificadores de VLAN. Los identificadores de VLAN contenidos en los telegramas IP se pierden al pasar los módulos, ya que para la transmisión de los telegramas IP se utiliza IPsec. Con el ajuste predeterminado no es posible transmitir telegramas IP Broadcast o Mulitcast con IPsec a través de un túnel VPN de capa 3. A través de un túnel VPN de capa 2 del módulo de seguridad, los telegramas IP Broadcast o Multicast se "empaquetan" en UDP y se transmiten exactamente como paquetes MAC, incluido el encabezado Ethernet. Por ello, en esos paquetes también se conservan los identificadores de VLAN. 200 Manual de configuración, 12/2014, C79000-G8978-C286-04

201 Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN 6.3 Grupos VPN Reglas para la creación de grupos VPN Tenga en cuenta las reglas siguientes: Para SCALANCE S612 / S613 / S623 / S627-2M / SCALANCE M / dispositivo VPN El primer módulo asignado a un grupo VPN decide qué otros módulos se pueden agregar. Si el primer módulo SCALANCE S agregado está en modo de enrutamiento o el primer módulo es un módulo SCALANCE M o un dispositivo VPN, solo es posible agregar adicionalmente módulos SCALANCE S con enrutamiento activado o bien módulos SCALANCE M o dispositivos VPN, ya que los módulos SCALANCE M y los dispositivos VPN siempre funcionan en modo de enrutamiento. Si el primer módulo SCALANCE S agregado está en modo de puente, solo es posible agregar adicionalmente módulos SCALANCE S en modo de puente. Un CP, un SSC o un cliente NCP VPN (Android) puede agregarse a un grupo VPN con un SCALANCE S en modo de puente o enrutamiento. Para CP / SSC / cliente NCP VPN (Android) Si el primer módulo de un grupo VPN es un CP / SSC / cliente NCP VPN (Android), es posible agregar módulos en los modos que se desee hasta que se agregue un módulo SCALANCE S o SCALANCE M. A partir de ahí rigen las reglas para módulos SCALANCE S y SCALANCE M, véase arriba. No es posible agregar un módulo SCALANCE M a un grupo VPN que contenga un módulo SCALANCE S en el modo de puente. Vea en la tabla siguiente qué módulos se pueden reunir en un grupo VPN: Tabla 6-1 Reglas para la creación de grupos VPN Módulo Se puede incluir en un grupo VPN que contenga el módulo siguiente: SCALANCE S en modo de puente SCALANCE S en modo de enrutamiento / SCALANCE M / dispositivo VPN / cliente NCP VPN (Android) CP / SSC SCALANCE S en modo de puente x - x SCALANCE S en modo de - x x enrutamiento CP x43-1 Adv. x x x CP 1628 x x x SOFTNET Security Client 2005 x - - Manual de configuración, 12/2014, C79000-G8978-C

202 Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN Módulo Se puede incluir en un grupo VPN que contenga el módulo siguiente: SCALANCE S en modo de puente SCALANCE S en modo de enrutamiento / SCALANCE M / dispositivo VPN / cliente NCP VPN (Android) CP / SSC SOFTNET Security Client 2008 x x x SOFTNET Security Client V3.0 x x x SOFTNET Security Client V4.0 x x x SCALANCE M / Dispositivo VPN - x x Cliente NCP VPN (Android) - x x Relaciones de comunicación tunelada soportadas Significado Las tablas siguientes indican las interfaces de túnel que pueden formar un túnel conjuntamente. En ellas se diferencia si el módulo SCALANCE S está en modo de enrutamiento o puente. Independientemente de la interfaz por la que se establezca el túnel VPN, de forma estándar siempre pueden comunicarse entre sí los dispositivos de las subredes internas de los módulos de seguridad. Si la comunicación por el túnel VPN debe llevarse a cabo también en otras subredes, puede habilitarse en la ficha "VPN" de las propiedades avanzadas del módulo para la comunicación tunelada; véase el capítulo siguiente: Configuración de otros dispositivos y subredes para el túnel VPN (Página 225) Las subredes que tienen que habilitarse para la comunicación tunelada son: Subred en la interfaz externa (si la interfaz externa no es el punto final VPN) Subred en la interfaz DMZ (si la interfaz DMZ no es el punto final VPN) Otras subredes accesibles por router en las diferentes interfaces (si no son puntos finales VPN) 202 Manual de configuración, 12/2014, C79000-G8978-C286-04

203 Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN Tabla 6-2 Comunicación tunelada entre CP, módulos SCALANCE M, SOFTNET Security Clients y módulos SCALANCE S en modo de enrutamiento Interfaz del respondedor Interfaz del iniciador PC/PG (SSC) Externa (SCALANCE M875) Externa (SCALANCE M- 800) Gbit, IE (CP) Externa (SCALANCE S) DMZ (SCALANCE S623 / S627-2M) Externa (SCALANCE M875) Externa (SCALANCE M-800) Gbit, IE (CP) Externa (SCALANCE S) DMZ (SCALANCE S623 / S627-2M) x x x x x - x x x x - x x x x - - x x x - - x x x - - x x x x se soporta - no se soporta Tabla 6-3 Comunicación tunelada entre CP, SOFTNET Security Clients y módulos SCALANCE S en modo de puente Interfaz del respondedor Interfaz del iniciador Gbit, IE (CP) Externa (SCALANCE S) DMZ (SCALANCE S623 / S627-2M) PC/PG (SSC) x x - Gbit, IE (CP) x x - Externa (SCALANCE S) x x - DMZ (SCALANCE S623 / S627-2M) x se soporta - no se soporta Manual de configuración, 12/2014, C79000-G8978-C

204 Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN Crear grupos VPN y asignar módulos Requisitos Nota Fecha y hora actuales en los módulos Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará. Cómo se accede a esa función 1. Seleccione un grupo VPN con el comando de menú "Insertar" > "Grupo". 2. Asigne al grupo VPN los módulos, SOFTNET Security Clients, dispositivos VPN y clientes NCP VPN (Android) que deban pertenecer a un grupo VPN. Para ello, arrastre con el ratón los módulos desde el índice hasta el grupo VPN deseado en el área de navegación (Drag and Drop). Configuración de propiedades Como en el caso de la configuración de módulos, también en la configuración de grupos VPN repercuten las dos vistas de operación seleccionables en la Security Configuration Tool: Modo normal En el modo normal se conservan los ajustes predeterminados por el sistema. También sin conocimientos expertos es posible configurar así túneles IPsec y practicar una comunicación de datos segura. Modo avanzado El modo avanzado ofrece posibilidades de ajuste para configurar de forma específica la comunicación por túnel. 204 Manual de configuración, 12/2014, C79000-G8978-C286-04

205 Comunicación segura en la VPN a través de túnel IPsec 6.4 Configuración de túnel en modo normal Visualización de todos los grupos VPN configurados, con sus propiedades En el área de navegación, seleccione el objeto "Grupos VPN" Se visualizan por columnas las siguientes propiedades de los grupos: Propiedad/columna Significado Comentario/selección Nombre Nombre del grupo De libre elección Autenticación Tipo de autenticación Preshared Key Certificado Miembro del grupo hasta Duración de certificados Véase el apartado "Ajustar la duración de certificados" Comentario Comentario De libre elección Ajustar la duración de certificados Abra de la forma siguiente el cuadro de diálogo en el que puede introducir la fecha de caducidad del certificado: 1. En el área de navegación, seleccione el grupo VPN para el que desea configurar un certificado. 2. Haga clic con el botón derecho del ratón en el módulo del área de contenido y seleccione en el menú contextual el comando "Nuevo certificado...". Nota Caducidad de un certificado La comunicación a través del túnel VPN continúa una vez caducado el certificado hasta que el túnel se deshaga o finalice la vida útil SA. Encontrará más información sobre certificados en el capítulo siguiente: Administrar certificados (Página 83) 6.4 Configuración de túnel en modo normal Abrir el cuadro de diálogo para visualización de valores estándar 1. Seleccione el grupo VPN. 2. Elija el comando de menú "Editar" > "Propiedades...". La visualización de las propiedades de grupo VPN es idéntica a la visualización en el modo avanzado, pero los valores no pueden modificarse en el modo normal. Manual de configuración, 12/2014, C79000-G8978-C

206 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado 6.5 Configuración de túneles en el modo avanzado El modo avanzado ofrece posibilidades para configurar de forma específica la comunicación por túnel. Cambiar al modo avanzado Para todas las funciones descritas en este capítulo, cambie el proyecto al modo avanzado. Nota No es posible regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado ya no es posible regresar. Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo Configuración de propiedades del grupo VPN Propiedades del grupo VPN Nota Se requieren conocimientos sobre IPsec Para poder ajustar estos parámetros necesita tener conocimientos en materia de IPsec. Si no efectúa o modifica ningún ajuste, rigen los ajustes predeterminados del modo normal. En el modo avanzado se pueden configurar las siguientes propiedades del grupo VPN: Método de autenticación Ajustes IKE (área de diálogo: Advanced Settings Phase 1) Ajustes IPsec (área de diálogo: Advanced Settings Phase 2) 206 Manual de configuración, 12/2014, C79000-G8978-C286-04

207 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Cómo se accede a esa función 1. En el área de navegación, seleccione el grupo VPN que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...". 3. Elija si para la autenticación debe utilizarse una Preshared Key o un certificado. Encontrará más información al respecto en el capítulo siguiente: Método de autenticación (Página 200). Parámetros para la fase 1 de la configuración avanzada Fase 1: negociación IKE de Security Association (SA) para fase 2: Manual de configuración, 12/2014, C79000-G8978-C

208 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Aquí se ajustan los parámetros para negociar los parámetros de seguridad que se utilizarán en la fase 2: Parámetro Descripción Modo IKE Main Mode Grupo DH fase 1 Aggressive Mode La diferencia entre la modalidad Main y Aggressive es la "Identity- Protection" que se utiliza en el Main Mode. La identidad se transmite codificada en el Main Mode, en el Aggressive Mode no. Grupos seleccionables para el cambio de código Diffie-Hellman: Group 1 Group 2 Group 5 Group 14 Tipo de vida útil SA Vida útil SA Cifrado fase 1 Phase 1 Security Association (SA): Time: Limitación del tiempo en minutos Se limita el tiempo de vida útil para el material de codificación actual. Una vez transcurrido ese tiempo se negocia de nuevo el material de codificación. Valor numérico: Rango de valores para Time: minutos (predeterminado: ) Algoritmo de cifrado: DES*: Data Encryption Standard (longitud de código 56 bits, modo CBC) 3DES-168: DES triple (longitud de código 168 bits, modo CBC) AES-128, 192, 256: Advanced Encryption Standard (longitud de código 128 bits, 192 bits o 256 bits, modo CBC) Autenticación fase 1 Algoritmo de autenticación: MD5: Message Digest Algorithm 5 SHA1: Secure Hash Algorithm 1 * DES es un algoritmo de cifrado no seguro. Solo debería utilizarse cuando sea necesario para la compatibilidad con versiones anteriores. Parámetros para la fase 2 de la configuración avanzada Fase 2: negociación IKE de Security Association (SA) para el intercambio de datos IPsec: 208 Manual de configuración, 12/2014, C79000-G8978-C286-04

209 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Aquí se ajustan los parámetros para negociar los parámetros de seguridad que se utilizarán para el intercambio de datos IPsec con ESP (Encapsulating Security Payload) y AH (Authentication Header). La comunicación es cifrada en la fase 2. Parámetro Tipo de vida útil SA Descripción Phase 2 Security Association (SA): Time: Limitación de tiempo en minutos. Se limita el tiempo de vida útil para el material de codificación actual. Una vez transcurrido ese tiempo se negocia de nuevo el material de codificación. Limit: Limitación del volumen de datos en MB Vida útil SA Valor numérico: Rango de valores para Time: minutos (predeterminado: 2880) Rango de valores para Limit: MB (predeterminado: 4000) Cifrado fase 2 Algoritmo de cifrado: DES*: Data Encryption Standard (longitud de código 56 bits, modo CBC) 3DES-168: DES triple (longitud de código 168 bits, modo CBC) AES-128: Advanced Encryption Standard (longitud de código 128 bits, modo CBC) Autenticación fase 2 Algoritmo de autenticación: MD5: Message Digest Algorithm 5 SHA1: Secure Hash Algorithm 1 Perfect Forward Secrecy Si se activa esta casilla de verificación, para volver a calcular las claves se intercambiarán nuevos Diffie Hellman Public Key Values. Si la casilla de verificación está desactivada, para volver a calcular las claves se utilizarán los valores que ya se intercambiaron en la fase 1. * DES es un algoritmo de cifrado no seguro. Solo debería utilizarse cuando sea necesario para la compatibilidad con versiones anteriores. Manual de configuración, 12/2014, C79000-G8978-C

210 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Incluir un módulo en un grupo VPN configurado Las propiedades de grupo configuradas se adoptan para los módulos nuevos que se incluyen en un grupo VPN existente. Incluir estaciones activas en un grupo VPN Si una estación activa se agrega a un grupo VPN ya existente, la estación podrá acceder a las estaciones del grupo sin necesidad de tener que cargar el proyecto de nuevo en todas ellas. Nota Si retira una estación activa de un grupo VPN existente, la estación podrá establecer una conexión con las estaciones del grupo aunque haya vuelto a cargar el proyecto en todas ellas. Si no desea que la estación activa retirada establezca conexión, renueve el certificado CA del grupo VPN y vuelva a cargar el proyecto en las estaciones del grupo VPN. El certificado CA del grupo VPN puede renovarse en las propiedades de grupo del grupo VPN o en el administrador de certificados, en la ficha "Entidades emisoras". Procedimiento a seguir En el procedimiento hay que distinguir lo siguiente: Caso a: si no se han modificado las propiedades del grupo y el módulo que debe agregarse establece activamente la conexión con los módulos ya configurados: 1. Agregue el módulo nuevo al grupo VPN. 2. Cargue la configuración en el nuevo módulo. Caso b:si se han modificado las propiedades del grupo o el módulo que debe agregarse no establece activamente la conexión con los módulos ya configurados: 1. Agregue el módulo nuevo al grupo VPN. 2. Cargue la configuración en todos los módulos pertenecientes al grupo VPN. Ventaja en el caso a No es necesario configurar de nuevo ni cargar los módulos ya existentes y que ya se han puesto en servicio. La comunicación en curso no se ve afectada ni interrumpida. 210 Manual de configuración, 12/2014, C79000-G8978-C286-04

211 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Ajustes para estaciones con dirección IP desconocida Las estaciones para las que no se conoce la dirección IP en el momento de la configuración (unknown peers) se pueden insertar en un grupo VPN ya existente. Dado que la mayoría de estaciones suele tener un uso móvil y obtienen su dirección IP dinámicamente (p. ej. un SOFTNET Security Client o SCALANCE M), el túnel VPN solo puede establecerse si los ajustes de parámetros para la fase 1 se realizan conforme a una de las siguientes tablas. Si utiliza otros ajustes, no será posible establecer un túnel VPN con el dispositivo terminal. Tabla 6-4 Parámetros de cifrado 1 Parámetro Cifrado fase 1 Grupo DH fase 1 Autenticación fase 1 Método de autenticación Vida útil SA Ajuste AES-256 Group2 SHA1 Certificado minutos Tabla 6-5 Parámetros de cifrado 2 Parámetro Cifrado fase 1 Grupo DH fase 1 Autenticación fase 1 Método de autenticación Vida útil SA Ajuste 3DES-168 Group2 SHA1 Certificado minutos Tabla 6-6 Parámetros de cifrado 3 Parámetro Cifrado fase 1 Grupo DH fase 1 Autenticación fase 1 Método de autenticación Vida útil SA Ajuste DES Group2 MD5 Certificado minutos Tabla 6-7 Parámetros de cifrado 4 Parámetro Cifrado fase 1 Grupo DH fase 1 Autenticación fase 1 Método de autenticación Vida útil SA Ajuste 3DES-168 Group2 SHA1 Preshared Key minutos Manual de configuración, 12/2014, C79000-G8978-C

212 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Limitaciones adicionales para el SOFTNET Security Client Para el SOFTNET Security Client rigen además las siguientes limitaciones: Parámetro Ajuste/particularidad Cifrado fase 1 AES-256 solo es posible con Windows 7 Fase 1 vida útil SA minutos Tipo de vida útil SA Debe ser idéntico para ambas fases. Cifrado fase 2 No es posible AES-128 Fase 2 vida útil SA minutos Autenticación fase 2 No es posible MD Configuración de propiedades VPN específicas del módulo Significado Para el intercambio de datos a través de túnel IPsec en VPN se pueden configurar las siguientes propiedades específicas del módulo: Dead-Peer-Detection Permiso para iniciar el establecimiento de la conexión Dirección IP WAN / FQDN para la comunicación a través de pasarelas de Internet Nodos VPN Requisitos En la ficha "VPN" solo se pueden realizar ajustes si el módulo que se va a configurar se encuentra en un grupo VPN. El área de diálogo "Nodos VPN" de la ficha "VPN" solo se muestra si el proyecto está en el modo avanzado. Cómo se accede a esa función 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN". Los ajustes realizados aquí se aplican de forma estándar como ajustes del módulo para la configuración de conexión a conexión. Los ajustes de conexión a conexión pueden sobrescribir los ajustes del módulo y se configuran en la ventana detallada. Encontrará más información sobre la configuración de los ajustes de conexión a conexión en el capítulo siguiente: Configuración de propiedades VPN conexión a conexión (Página 215) 212 Manual de configuración, 12/2014, C79000-G8978-C286-04

213 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Dead-Peer-Detection (DPD) Como estándar está activado DPD. Para que DPD funcione de forma fiable debe estar activado en los módulos de seguridad participantes. Estando activado DPD, los módulos de seguridad intercambian mensajes adicionales a intervalos de tiempo ajustables, siempre que en esos momentos no haya tráfico de datos por el túnel VPN. Eso permite detectar si la conexión IPsec todavía es válida o si es necesario volver a establecerla. Si ya no hay conexión, se finalizan prematuramente las "Security Associations" (SA) de fase 2. Con DPD desactivado, la SA no se finaliza hasta haber concluido su vida útil. Para ajustar la vida útil SA, consulte el capítulo siguiente: Configuración de propiedades del grupo VPN (Página 206). Permiso para iniciar el establecimiento de la conexión Se puede limitar el permiso para iniciar el establecimiento de la conexión de VPN a determinados módulos de la VPN. El factor decisivo para el ajuste del parámetro aquí descrito es la asignación de la dirección para la pasarela del módulo que debe configurarse. En el caso de una dirección IP asignada estáticamente, el módulo puede ser encontrado por el interlocutor. En el caso de una dirección IP asignada dinámicamente, y por lo tanto constantemente cambiante, el interlocutor no puede establecer sin más una conexión. Modo Iniciando conexión con interlocutor (iniciador/respondedor) (predeterminado) Esperando a interlocutor (respondedor) Significado Con esta opción, el módulo está "activo", es decir, se intenta establecer una conexión con un interlocutor. También es posible aceptar peticiones para establecer una conexión VPN. Esta opción es recomendable cuando el módulo que debe configurarse recibe una dirección IP dinámica del ISP. El direccionamiento del interlocutor tiene lugar a través de su dirección IP WAN configurada, de su dirección IP de módulo externa configurada o del FQDN configurado. Con esta opción, el módulo está "pasivo", es decir, se espera a que el interlocutor inicie el establecimiento de la conexión. Esta opción es recomendable cuando el módulo que debe configurarse ha recibido una dirección IP estática del ISP. Nota No ponga todos los módulos de un grupo VPN a "Esperando al interlocutor", pues de hacerlo no se establece ninguna conexión. Manual de configuración, 12/2014, C79000-G8978-C

214 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Dirección IP WAN / direcciones FQDN de los módulos y pasarelas en una VPN vía Internet Para el funcionamiento de una VPN con túneles IPsec a través de Internet se necesitan, por regla general, direcciones IP adicionales para las gateways de Internet, como por ejemplo routers DSL. Los distintos módulos de seguridad o SCALANCE M tienen que conocer las direcciones IP públicas de los módulos interlocutores de la VPN a los que puede accederse a través de Internet. Nota Si utiliza un router DSL como pasarela de Internet, habilite en él al menos los puertos siguientes de acuerdo con las indicaciones de la documentación correspondiente y transfiera los paquetes de datos a los módulos: Port 500 (ISAKMP) Port 4500 (NAT-T) Para ello, existe la posibilidad de asignar en la configuración del módulo de seguridad o SCALANCE M una "dirección IP WAN". Al cargar la configuración del módulo, se comunica a las estaciones del grupo las direcciones IP WAN de los módulos interlocutores. Como alternativa a una dirección IP WAN también puede introducir un FQDN. Si ha configurado, a la vez, DNS dinámico en el módulo de seguridad, este FQDN debe coincidir con el FQDN introducido en la ficha "DNS" y registrado con un proveedor para DNS dinámico. Puede definir en las propiedades VPN conexión a conexión si debe utilizarse la dirección IP externa, la dirección IP de la interfaz DMZ (solo SCALANCE S623 / S627-2M) o la dirección IP WAN / el FQDN. Encontrará más información sobre las propiedades VPN conexión a conexión en el capítulo siguiente: Configuración de propiedades VPN conexión a conexión (Página 215) Si no especifica un punto de acceso aquí, se utilizará como punto final VPN la dirección IP externa o la dirección IP de la interfaz DMZ (solo SCALANCE S623/S627-2M). Para módulos SCALANCE M-800 configurados como respondedores hay que indicar un punto de acceso. 214 Manual de configuración, 12/2014, C79000-G8978-C286-04

215 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado 1 Dirección IP interna - de un módulo de seguridad 2 Dirección IP externa - de un módulo 3 Dirección IP de una pasarela de Internet (p. ej. pasarela GPRS) 4 Dirección IP (dirección IP WAN) de una pasarela de Internet (p. ej. router DSL) Configurar nodos VPN En el área de diálogo "Nodos VPN", habilite subredes o dispositivos para la comunicación por túnel VPN. Encontrará más información sobre qué dispositivos o subredes deben habilitarse y cómo se habilitan para la comunicación por túnel VPN en los capítulos siguientes: Configuración de otros dispositivos y subredes para el túnel VPN (Página 225) Configuración de nodos de red internos (Página 224) Configuración de propiedades VPN conexión a conexión Significado Mientras que las propiedades VPN específicas del módulo se configuran especialmente para un módulo, las propiedades VPN conexión a conexión se refieren especialmente a las conexiones VPN de un módulo. Si un módulo establece varias conexiones de túnel con otros módulos, con ayuda de las propiedades VPN conexión a conexión se puede configurar, por ejemplo, qué conexiones inicia el módulo y cuáles no. Manual de configuración, 12/2014, C79000-G8978-C

216 Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado Requisitos El módulo forma parte de un grupo VPN. Cómo se accede a esa función 1. En el área de navegación, seleccione el grupo VPN al que pertenece el módulo que desea editar. 2. Seleccione en el área de contenido el módulo cuyas propiedades desea configurar. Ahora puede configurar en la ventana de detalles las propiedades VPN conexión a conexión. Los valores preajustados se obtienen de las propiedades VPN específicas del módulo. Parámetros Parámetros Iniciador/respondedor Módulo interlocutor Tipo de paquetes transmitidos Interfaz local Interfaz interlocutora Significado Definición del permiso para iniciar el establecimiento de la conexión. Visualización del nombre del módulo interlocutor. Visualización de la capa a la que se transfieren los paquetes. Definición de la interfaz que debe utilizarse como punto final VPN en el módulo seleccionado. Si se ha configurado un punto de acceso WAN para el módulo (dirección IP / FQDN), también puede seleccionarse aquí. Definición de la interfaz que debe utilizarse como punto final VPN en el módulo interlocutor. Si se ha configurado un punto de acceso WAN para el interlocutor VPN (dirección IP / FQDN), también puede seleccionarse aquí. 216 Manual de configuración, 12/2014, C79000-G8978-C286-04

217 Comunicación segura en la VPN a través de túnel IPsec 6.6 Datos de configuración para módulos SCALANCE M 6.6 Datos de configuración para módulos SCALANCE M Significado Se pueden generar informaciones de VPN para la parametrización de módulos SCALANCE M con la Security Configuration Tool. Con los archivos creados se pueden configurar los módulos SCALANCE M. Se generan los siguientes tipos de archivos: Archivo de exportación con los datos de configuración Tipo de archivo: archivo *.txt en formato ASCII Contiene la información de configuración exportada para el SCALANCE M, incluida una información sobre los certificados generados adicionalmente. Archivo de exportación para módulos SCALANCE M875: Manual de configuración, 12/2014, C79000-G8978-C

218 Comunicación segura en la VPN a través de túnel IPsec 6.6 Datos de configuración para módulos SCALANCE M Archivo de exportación para módulos SCALANCE M-800: Certificados de grupos VPN del módulo Tipo de archivo de la clave privada: archivo *.p12 El archivo contiene el certificado de grupos VPN del módulo y el correspondiente material de codificación. El acceso está protegido por contraseña. Certificados CA de grupos VPN Tipo de archivo: Archivo *.cer Nota Los archivos de configuración no se transfieren al módulo. Se genera un archivo ASCII con el que se pueden configurar las propiedades relevantes para VPN del SCALANCE M. Para ello es necesario que el módulo esté como mínimo en un grupo VPN con un módulo de seguridad o un SOFTNET Security Client a partir de V3.0. Nota Proteger archivos de configuración exportados de accesos no autorizados Los archivos de configuración exportados de la Security Configuration Tool para SCALANCE M pueden contener información relevante para la seguridad. Por este motivo hay que asegurarse de que dichos archivos están protegidos de accesos no autorizados. Esto es especialmente importante cuando se transfieren archivos. Creación de archivos de configuración 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Transferir" > "A módulo(s)...". 218 Manual de configuración, 12/2014, C79000-G8978-C286-04

219 Comunicación segura en la VPN a través de túnel IPsec 6.6 Datos de configuración para módulos SCALANCE M 3. En el siguiente cuadro de diálogo de almacenamiento, introduzca la ruta y el nombre del archivo de configuración y haga clic en el botón "Guardar". 4. En el siguiente cuadro de diálogo, indique si debe crear una contraseña propia para el certificado de grupos VPN del módulo. Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. SCALANCE_M_Configuracion1), y no la contraseña del proyecto. Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de diálogo siguiente. Resultado: los archivos (y certificados) se guardan en el directorio que ha indicado. Nota Para más información sobre la configuración, consulte las instrucciones de servicio de los respectivos módulos SCALANCE M. Manual de configuración, 12/2014, C79000-G8978-C

220 Comunicación segura en la VPN a través de túnel IPsec 6.7 Datos de configuración para dispositivos VPN 6.7 Datos de configuración para dispositivos VPN Significado Se pueden generar informaciones de VPN para la parametrización de un dispositivo VPN con la Security Configuration Tool. Con los archivos creados es posible configurar a continuación el dispositivo VPN. Se generan los siguientes archivos: Archivo de exportación con los datos de configuración Tipo de archivo: Archivo *.txt en formato ASCII Contiene la información de configuración exportada para el dispositivo VPN, incluida una información sobre los certificados generados adicionalmente. Figura 6-1 Archivo de exportación para un dispositivo VPN Certificados de grupos VPN del dispositivo VPN Certificados de grupos VPN de módulos interlocutores Clave privada Certificados CA de grupos VPN Configuración de tipos de archivo Para dispositivos VPN se pueden determinar los tipos de archivo bajo los que se guardarán los datos generados. 220 Manual de configuración, 12/2014, C79000-G8978-C286-04

221 Comunicación segura en la VPN a través de túnel IPsec 6.7 Datos de configuración para dispositivos VPN Seleccione para ello el dispositivo VPN que desee editar y elija el comando de menú "Editar" > "Propiedades...". Certificados de grupos VPN del dispositivo VPN Archivo *.crt: certificado codificado en base 64 Archivo *.pem: certificado codificado en base 64 Archivo *.pem: certificado codificado en binario Certificados de grupos VPN de módulos interlocutores: Archivo *.crt: certificado codificado en base 64 Archivo *.pem: certificado codificado en base 64 Archivo *.pem: certificado codificado en binario Clave privada: Archivo *.p12: archivo PKCS12 con clave privada protegido por contraseña Archivo *.key: clave privada no protegida codificada en base 64 Certificados CA de grupos VPN: Archivo *.crt: certificado codificado en base 64 Archivo *.pem: certificado codificado en base 64 Archivo *.pem: certificado codificado en binario Nota Los archivos de configuración no se transfieren al dispositivo VPN. Se genera un archivo ASCII con el que se puede configurar el dispositivo VPN. Para ello es necesario que el dispositivo VPN esté como mínimo en un grupo VPN con un módulo de seguridad o un SOFTNET Security Client a partir de V3.0. Creación de archivos de configuración 1. Seleccione el dispositivo VPN que desee editar. 2. Elija el comando de menú "Transferir" > "A módulo(s)...". 3. En el siguiente cuadro de diálogo de almacenamiento, introduzca la ruta y el nombre del archivo de configuración y haga clic en el botón "Guardar". 4. En el siguiente cuadro de diálogo, indique si para ambos archivos de certificado debe crearse una contraseña propia. Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. ProyectoVPN_02), y no la contraseña del proyecto. Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de diálogo siguiente. Resultado: los archivos (y certificados) se guardan en el directorio que ha indicado. Manual de configuración, 12/2014, C79000-G8978-C

222 Comunicación segura en la VPN a través de túnel IPsec 6.8 Datos de configuración para clientes NCP VPN (Android) 6.8 Datos de configuración para clientes NCP VPN (Android) NCP Secure VPN Client for Android El NCP Secure Android Client permite una conexión VPN de alta seguridad con redes de datos centrales de empresas y organizaciones. Es posible acceder a varias redes de datos diferentes con un perfil de VPN propio en cada caso. Sobre la base del estándar IPsec, los tablets y smartphones pueden establecer conexiones de datos codificadas a pasarelas VPN de todos los proveedores relevantes. El cliente se puede obtener en dos variantes a través de Google Play Store: NCP Secure VPN Client for Android (autenticación con Preshared Key) NCP Secure VPN Client Premium for Android (autenticación con Preshared Key o certificado) Encontrará más información sobre los NCP Secure Android Clients en: NCP Secure VPN Client for Android ( Significado Se pueden generar informaciones de VPN para la parametrización de un cliente NCP VPN (Android) con la Security Configuration Tool. Con los archivos generados se puede configurar a continuación el software de cliente NCP VPN. Se generan los siguientes tipos de archivos: Archivo de exportación con los datos de configuración Tipo de archivo: archivo *.ini en formato UTF-8 Contiene la información de configuración exportada para el cliente NCP VPN (Android), incluida una información sobre los certificados generados adicionalmente. Certificados de grupos VPN del módulo Tipo de archivo de la clave privada: archivo *.p12 El archivo contiene el certificado de grupos VPN del módulo y el material de codificación. El acceso está protegido por contraseña. Certificados CA de grupos VPN: Tipo de archivo: archivo *.crt 222 Manual de configuración, 12/2014, C79000-G8978-C286-04

223 Comunicación segura en la VPN a través de túnel IPsec 6.8 Datos de configuración para clientes NCP VPN (Android) Figura 6-2 Archivo de exportación para un cliente NCP VPN (Android) Nota Los archivos de configuración no se transfieren al cliente NCP VPN (Android). Se genera un archivo ASCII con el que se puede configurar el cliente NCP VPN (Android). Para ello, el cliente NCP VPN (Android) debe encontrarse al menos en un grupo VPN con un módulo de seguridad. Creación de archivos de configuración 1. Marque en el área de contenidos el cliente NCP VPN que desee editar (Android). 2. Elija el comando de menú "Transferir" > "A módulo(s)...". 3. En el siguiente cuadro de diálogo de almacenamiento, introduzca la ruta y el nombre del archivo de configuración y haga clic en el botón "Guardar". 4. En el siguiente cuadro de diálogo, indique si para ambos archivos de certificado debe crearse una contraseña propia. Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. ProyectoNCP_02), y no la contraseña del proyecto. Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de diálogo siguiente. Resultado: los archivos se guardarán en el directorio que ha indicado. Manual de configuración, 12/2014, C79000-G8978-C

224 Comunicación segura en la VPN a través de túnel IPsec 6.9 Configuración de nodos de red internos 6.9 Configuración de nodos de red internos Configuración de nodos de red internos Para poder determinar la autenticidad de un telegrama, cada módulo de seguridad debe conocer los nodos de toda la red interna. El módulo de seguridad debe conocer tanto su propio nodo interno, como los nodos internos de los módulos de seguridad con los que comparte el grupo VPN. En un módulo de seguridad, esta información se utiliza para determinar qué paquete de datos se debe transmitir por qué túnel. SCALANCE S Además de la configuración estática de los nodos de red, un módulo SCALANCE S en el modo de puente ofrece la posibilidad de aprenderlos automáticamente. Encontrará información sobre cómo configurar los nodos de red de forma estática en el siguiente capítulo: Configuración de otros dispositivos y subredes para el túnel VPN (Página 225) Encontrará información sobre el aprendizaje automático de nodos de red internos en el siguiente capítulo: Funcionamiento del modo de aprendizaje (Página 226) CP x43-1 Adv. y CP 1628 CP x43-1 Adv. Seleccione si la comunicación tunelada con el CP y/o con la subred interna está permitida para interlocutores VPN en modo de enrutamiento (SCALANCE S / M / dispositivo VPN / cliente NCP VPN (Android)). CP 1628 Introduzca los nodos NDIS que deben ser accesibles por el túnel de interlocutores VPN en modo de enrutamiento (SCALANCE S / M / dispositivo VPN / cliente NCP VPN (Android)). 224 Manual de configuración, 12/2014, C79000-G8978-C286-04

225 Comunicación segura en la VPN a través de túnel IPsec 6.9 Configuración de nodos de red internos Configuración de otros dispositivos y subredes para el túnel VPN Significado Al agregar un módulo de seguridad a un grupo VPN se habilitan automáticamente los nodos de red/subredes internos locales del módulo de seguridad para la comunicación por túnel VPN. Para permitir la comunicación por el túnel VPN con otras subredes u otros dispositivos de otra subred, es necesario habilitar a través de la configuración dichas subredes o dichos dispositivos para la comunicación por túnel VPN. Una subred que puede habilitarse a través de la configuración puede ser: Una subred accesible en la interfaz interna a través de la red local, cuando un túnel VPN termina en la interfaz externa o la interfaz DMZ. Una subred accesible a través de la interfaz DMZ, cuando un túnel VPN termina en la interfaz externa. Una subred accesible a través de la interfaz externa, cuando un túnel VPN termina en la interfaz DMZ. Requisitos Antes de que los dispositivos o las subredes puedan habilitarse para la comunicación tunelada deben cumplirse los requisitos siguientes: El módulo de seguridad se encuentra en un grupo VPN. El área de diálogo "Nodos VPN" de la ficha "VPN" solo se muestra si el proyecto está en el modo avanzado. Nota No es posible regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado ya no es posible regresar. Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo. Cómo se accede a esa función - Modo de puente Observación: Si deben habilitarse dispositivos o subredes en la interfaz DMZ (solo SCALANCE S623/S627-2M), siga la descripción del modo de enrutamiento. 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN". La habilitación de dispositivos y subredes se configura en el área de diálogo "Nodos VPN". 3. Si desea habilitar subredes completas para la comunicación tunelada, introdúzcalas en la ficha "Subredes internas". Si desea habilitar dispositivos individuales para la Manual de configuración, 12/2014, C79000-G8978-C

226 Comunicación segura en la VPN a través de túnel IPsec 6.9 Configuración de nodos de red internos comunicación tunelada, introdúzcalos en la ficha "Nodos IP internos" o "Nodos MAC internos". Observación: para que las subredes indicadas aquí sean accesibles, también debe haberse introducido un router para ellas en la ficha "Enrutamiento". Además, el cortafuegos debe permitir la comunicación con los dispositivos. Cómo se accede a esa función - Modo de enrutamiento 1. Seleccione el módulo de seguridad que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN". La habilitación de subredes se configura en el área de diálogo "Nodos VPN". 3. En la ficha "Subredes accesibles por túnel", introduzca la ID de red y la máscara de subred de la subred que debe incluirse en la comunicación por túnel. Observación: para que las subredes indicadas aquí sean accesibles, también debe haberse introducido un router para ellas en la ficha "Enrutamiento". Además, el cortafuegos debe permitir la comunicación con las subredes Funcionamiento del modo de aprendizaje Localización automática de dispositivos para la comunicación tunelada (solo en el SCALANCE S en modo de puente) Una gran ventaja para la configuración y el funcionamiento de la comunicación vía túnel es que los módulos SCALANCE S pueden localizar por sí mismos los nodos en la red interna. De este modo, no se tienen que configurar manualmente los nodos de red internos que deben intervenir en la comunicación tunelada. Nuevos nodos son reconocidos por el módulo SCALANCE S durante el funcionamiento en curso. Los nodos detectados se notifican a los módulos SCALANCE S pertenecientes al mismo grupo VPN. Con esto está garantizado en todo momento el intercambio de datos en ambos sentidos dentro de los túneles de un grupo VPN. 226 Manual de configuración, 12/2014, C79000-G8978-C286-04

227 Comunicación segura en la VPN a través de túnel IPsec 6.9 Configuración de nodos de red internos Requisitos Se detectan los siguientes nodos: Nodos de red aptos para IP Se encuentran nodos de red aptos para IP si se envía una respuesta ICMP al Broadcast de la subred ICMP. Nodos IP situados detrás de routers se pueden encontrar si los routers transmiten ICMP- Broadcasts. Nodos de red ISO Nodos de red que no sean aptos para IP, pero que a los que pueda accederse a través del protocolo ISO, también se pueden programar por aprendizaje. Condición para ello es que respondan a telegramas XID o TEST. TEST y XID (Exchange Identification) son protocolos auxiliares para el intercambio de informaciones en el nivel Layer 2. Enviando estos telegramas con una dirección Broadcast se pueden localizar estos nodos de red. Nodos PROFINET Con ayuda de DCP (Discovery and basic Configuration Protocol) se encuentran nodos PROFINET. Los nodos de red que no cumplan estos requisitos deben configurarse de forma estática. Nota No hay modo de aprendizaje en la interfaz DMZ con un túnel VPN El aprendizaje de nodos internos solo se soporta en interfaces conectadas en modo de puente. La interfaz DMZ se conecta siempre en modo de enrutamiento. Manual de configuración, 12/2014, C79000-G8978-C

228 Comunicación segura en la VPN a través de túnel IPsec 6.9 Configuración de nodos de red internos A esta función se accede del siguiente modo 1. Seleccione el módulo SCALANCE S que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN". Cuándo es conveniente desactivar el modo de aprendizaje automático? Los ajustes estándar para el módulo de seguridad parten de que las redes internas son siempre seguras; esto significa también que normalmente no se conectan a la red interna nodos de red que no sean dignos de confianza. La desactivación del modo de aprendizaje es conveniente si la red interna es estática, es decir, si no cambian el número ni las direcciones de los nodos internos. Con la desconexión del modo de aprendizaje se suprime en la red interna la carga que los telegramas de programación por aprendizaje suponen para el medio y los nodos de red. También aumentan las prestaciones del módulo SCALANCE S, ya que no está recargado por el procesamiento de los telegramas de programación por aprendizaje. 228 Manual de configuración, 12/2014, C79000-G8978-C286-04

229 Comunicación segura en la VPN a través de túnel IPsec 6.9 Configuración de nodos de red internos Observación: en el modo de aprendizaje se registran todos los nodos de red de la red interna. Los datos relativos a los recursos de la VPN se refieren solo a los nodos de red que se comuniquen en la red interna a través de VPN. Nota Si en la red interna se utilizan más de 128 nodos internos, se sobrepasa con esto el alcance admisible y se genera un estado operativo no permitido. Debido a la dinámica en el tráfico de la red ocurre entonces que los nodos internos ya programados por aprendizaje son reemplazados por nuevos nodos internos, hasta ahora desconocidos. Nodos de red no programables Existen en la red interna nodos que no se pueden programar por aprendizaje. Son dispositivos de subredes que se encuentran en la red local interna del módulo SCALANCE S (p. ej. detrás de routers). Dichas subredes tampoco pueden programarse por aprendizaje. Los dispositivos y las subredes no programables deben configurase de forma estática en modo avanzado. Nota No es posible regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado, ya no es posible regresar. Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo Visualización de los nodos de red internos encontrados Todos los nodos de red localizados se visualizan en la Security Configuration Tool. 1. Pase el modo "Online". 2. Elija el comando de menú "Editar" > "Diagnóstico online...", ficha "Nodos internos". Resultado: se muestran los nodos de red internos localizados. Manual de configuración, 12/2014, C79000-G8978-C

230 Comunicación segura en la VPN a través de túnel IPsec 6.9 Configuración de nodos de red internos 230 Manual de configuración, 12/2014, C79000-G8978-C286-04

231 Redundancia de router y cortafuegos Resumen Significado Gracias a la redundancia de router y cortafuegos es posible compensar automáticamente los fallos de los módulos de seguridad SCALANCE S623 V4 o superior y SCALANCE S627-2M V4 o superior durante el funcionamiento. Para ello, reúna dos módulos de seguridad del tipo SCALANCE S623 o SCALANCE S627-2M en una relación de redundancia y determine cuál debe ser el módulo de seguridad activo en el funcionamiento normal de la relación de redundancia. Si falla el módulo de seguridad activo, el módulo de seguridad pasivo asumirá automáticamente su función como cortafuegos y router (NAT/NAPT). Para garantizar una configuración idéntica de los dos módulos de seguridad, estos se conectarán entre sí mediante sus interfaces DMZ, y su configuración se sincronizará durante el funcionamiento. Las interfaces DMZ de los módulos de seguridad correspondientes no pueden utilizarse para otros fines en este caso. Redundancia de dirección Además de sus respectivas direcciones IP de módulo, los dos módulos de seguridad comparten en la interfaz externa e interna una dirección IP común en cada caso para que, en caso de fallo de uno de los módulos de seguridad, no tengan que realizarse cambios en las direcciones IP. Por ello, debe configurar una dirección IP para las interfaces externa e interna de la relación de redundancia. Configuración de relaciones de redundancia y módulos de seguridad integrados Después de integrar los módulos de seguridad en una relación de redundancia, una parte de las propiedades de los módulos se configura únicamente a través de la relación de redundancia. Esta parte de las propiedades de los módulos se desactiva para los módulos de seguridad individuales, y solo vuelve a estar activa y se puede editar después de eliminar los módulos de seguridad de la relación de redundancia. Las siguientes propiedades se configuran a través de la relación de redundancia: Configuración básica de la relación de redundancia (parámetros de red, módulos primarios) Cortafuegos Enrutamiento Enrutamiento NAT/NAPT (sin NAT 1:1) Manual de configuración, 12/2014, C79000-G8978-C

232 Redundancia de router y cortafuegos 7.2 Crear relaciones de redundancia y asignar módulos de seguridad Los ajustes que se indican a continuación también están activos para los módulos de seguridad individuales tras su integración en una relación de redundancia. Estos ajustes pueden seguir adaptándose por separado para los dos módulos de seguridad. Configuración de interfaces (No es posible la desactivación de interfaces) Reglas estándar para servicios IP (cortafuegos) DDNS Sincronización horaria Ajustes de registro SNMP MRP/HRP RADIUS 7.2 Crear relaciones de redundancia y asignar módulos de seguridad Requisitos Solo se pueden asignar a una relación de redundancia módulos de seguridad que cumplan los siguientes requisitos: El módulo de seguridad es del tipo "S623 V4" o "S627-2M V4" El módulo de seguridad está en modo de enrutamiento Todas las interfaces del módulo de seguridad están activas El método de asignación IP "Dirección estática" está configurado para todas las interfaces El módulo de seguridad no forma parte de un grupo VPN El módulo de seguridad no está asignado a ninguna otra relación de redundancia Procedimiento 1. En el área de navegación, seleccione el objeto "Relaciones de redundancia". 2. En el menú contextual (botón derecho del ratón) del objeto, seleccione el comando de menú "Agregar relación de redundancia...". Resultado: la relación de redundancia creada se muestra en el área de navegación. 3. Asigne los módulos de seguridad a la relación de redundancia seleccionándolos en el área de contenido y arrastrándolos hasta la relación de redundancia creada en el área de navegación (Drag and Drop). 4. El cuadro de diálogo "Configuración de la relación de redundancia" ofrece las siguientes posibilidades para la configuración de la relación de redundancia: Aplicación de la configuración de las fichas "Cortafuegos", "Enrutamiento" y "NAT/NAPT" de un módulo de seguridad para la relación de redundancia. En la lista 232 Manual de configuración, 12/2014, C79000-G8978-C286-04

233 Redundancia de router y cortafuegos 7.3 Configuración de relaciones de redundancia desplegable puede seleccionar el módulo de seguridad cuya configuración desea utilizar para la relación de redundancia. Con ello, se sobrescribe cualquier configuración existente de la relación de redundancia. Generación de una copia del módulo de seguridad asignado dentro de la relación de redundancia. Esto solo es posible si solo se asigna un módulo de seguridad a una relación de redundancia creada. También puede configurar la relación de redundancia con posterioridad a través de sus propiedades, véase el capítulo: Configuración de relaciones de redundancia (Página 233) Resultado: ha creado una relación de redundancia y le ha asignado los módulos de seguridad deseados. 7.3 Configuración de relaciones de redundancia Cómo se accede a esa función Seleccione la relación de redundancia en el área de navegación y elija el comando de menú "Editar" > "Propiedades...". Configuración de los parámetros de red de la relación de redundancia Tabla 7-1 Parámetros de la ficha "Configuración básica" Parámetro configurable Módulo primario Activar ID de router virtual (solo para SCALANCE S623/S627-2M firmware V4.0.1 o superior) Dirección IP Máscara de subred Comentario ID de router virtual (solo para SCALANCE S623/S627-2M firmware V4.0.1 o superior) Significado Selección del módulo de seguridad que debe estar activo en el funcionamiento normal. Si se activa esta casilla de verificación se podrán adaptar las IDs de router virtual de las interfaces virtuales. Mediante una ID de router virtual se define la dirección MAC virtual de una interfaz virtual. Valores posibles: 01...FF Dirección IP virtual de la interfaz externa o interna de la relación de redundancia Máscara de subred de la interfaz virtual externa o interna de la relación de redundancia Comentario opcional Mediante una ID de router virtual se define la dirección MAC virtual de una interfaz virtual. Para obtener información general sobre la configuración de parámetros de red, consulte el capítulo siguiente: Crear módulos y ajustar parámetros de red (Página 89) Manual de configuración, 12/2014, C79000-G8978-C

234 Redundancia de router y cortafuegos 7.3 Configuración de relaciones de redundancia Configuración del cortafuegos La configuración de reglas de filtrado de paquetes IP para relaciones de redundancia se realiza de acuerdo con el mismo esquema que la configuración de reglas de filtrado de paquetes IP para módulos de seguridad individuales. Están disponibles los sentidos de comunicación "De externa a interna" y "De interna a externa". Para obtener información general sobre la configuración de reglas de filtrado de paquetes IP en el modo avanzado, consulte el capítulo siguiente: Reglas de filtrado de paquetes IP (Página 149) Configuración de la conversión de direcciones con NAT/NAPT La configuración de la conversión de direcciones con NAT/NAPT para la relación de redundancia se realiza de acuerdo con el mismo esquema que la configuración de la conversión de direcciones con NAT/NAPT para módulos de seguridad individuales. Para relaciones de redundancia, solo se pueden configurar Source-NAT y NAPT. En el caso de Source-NAT, las direcciones IP de origen de la subred interna solo se pueden sustituir con la dirección IP externa virtual de la relación de redundancia. No se pueden registrar direcciones IP alias en la interfaz externa de la relación de redundancia. Con NAPT, solo se puede configurar el sentido de conversión de direcciones "De externa a interna". Para obtener información general sobre la configuración de conversiones de direcciones con NAT/NAPT, consulte el capítulo siguiente: Conversión de direcciones con NAT/NAPT (Página 173) Configuración del enrutamiento La configuración de rutas para la relación de redundancia se realiza de acuerdo con el mismo esquema que la configuración de rutas para módulos de seguridad individuales. Para obtener información general sobre la configuración del enrutamiento, consulte el capítulo siguiente: Definir un router predeterminado y rutas (Página 170) Consulte también Reglas para filtrado de paquetes MAC (Página 159) 234 Manual de configuración, 12/2014, C79000-G8978-C286-04

235 SOFTNET Security Client 8 El software para PC SOFTNET Security Client permite acceder remotamente desde el PC o la PG a autómatas programables protegidos por módulos de seguridad, más allá de los límites de redes públicas. En este capítulo se describe cómo configurar el SOFTNET Security Client en la Security Configuration Tool y cómo ponerlo después en servicio en el PC o la PG. Otras informaciones La ayuda online del SOFTNET Security Client le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de diálogo. Consulte también Comunicación segura en la VPN a través de túnel IPsec (Página 197) 8.1 Uso de SOFTNET Security Client Campo de aplicación - acceso a través de VPN Con el SOFTNET Security Client se configura una PG o un PC de manera que pueda establecer automáticamente una conexión en túnel IPsec segura en la VPN (Virtual Private Network) con uno o más módulos de seguridad. Las aplicaciones para PG o PC, como por ejemplo el diagnóstico NCM o STEP 7, pueden acceder a través de una conexión tunelada segura a dispositivos o redes que se encuentren en una red interna protegida por el módulo de seguridad. Manual de configuración, 12/2014, C79000-G8978-C

236 SOFTNET Security Client 8.1 Uso de SOFTNET Security Client Comunicación automática a través de VPN Importante para su aplicación es que el SOFTNET Security Client reconozca cuándo se produce un acceso a la dirección IP de una estación de la VPN Direccione la estación a través de la dirección IP como si se encontrara en la subred local en la que está conectado también el PC o la PG que tiene instalada la aplicación. Nota A través del túnel IPsec, SSC solo se puede comunicar mediante IP con los módulos de seguridad y las estaciones internas situadas después del módulo de seguridad. La comunicación de capa 2 no es posible con el SSC. Manejo El software para PC SOFTNET Security Client permite configurar las propiedades de seguridad necesarias para la comunicación con dispositivos protegidos por módulos de seguridad. Tras la configuración, el SOFTNET Security Client funciona en segundo plano, lo que se indica mediante un icono en la barra de herramientas de la PG el PC. 236 Manual de configuración, 12/2014, C79000-G8978-C286-04

237 SOFTNET Security Client 8.1 Uso de SOFTNET Security Client Detalles en la ayuda online Encontrará también informaciones detalladas sobre los cuadros de diálogo y los campos de introducción en la ayuda online de la interfaz de operación del SOFTNET Security Client. A la ayuda online se accede por medio del botón "Help" o con la tecla F1. Cómo funciona el SOFTNET Security Client? El SOFTNET Security Client lee la configuración creada con la herramienta de configuración Security Configuration Tool y determina, dado el caso sobre la base del archivo, los certificados que deben importarse. El certificado raíz y las claves privadas se importan y se almacenan en la PG/el PC local. Con los datos de la configuración se realizan a continuación ajustes de seguridad para que las aplicaciones puedan acceder mediante direcciones IP a servicios en y posteriores a los módulos de seguridad. Si está activado el modo de aprendizaje para las estaciones internas o los autómatas programables, el módulo de configuración establece primero una directiva de seguridad para el acceso seguro a los módulos de seguridad. A continuación, el SOFTNET Security Client determina las direcciones IP de las estaciones internas de cada caso y las registra en listas de filtros especiales de la directiva de seguridad. Resultado: Las aplicaciones, como por ejemplo STEP 7, se pueden comunicar con los autómatas a través de VPN. Nota En un sistema Windows, las directivas de seguridad IP están archivadas en forma personalizada. Para cada usuario solo puede ser válida una única directiva de seguridad IP. Si una directiva de seguridad IP existente no dese ser sobrescrita por la instalación del SOFTNET Security Client, instale y utilice el SOFTNET Security Client como usuario creado especialmente para ello. Sistemas operativos soportados El SOFTNET Security Client es adecuado para el uso en los siguientes sistemas operativos: Microsoft Windows XP 32 bits + Service Pack 3 Microsoft Windows 7 Professional 32/64 bits Microsoft Windows 7 Professional 32/64 bits + Service Pack 1 Microsoft Windows 7 Ultimate 32/64 bits Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1 Manual de configuración, 12/2014, C79000-G8978-C

238 SOFTNET Security Client 8.2 Instalación y puesta en servicio del SOFTNET Security Client Comportamiento en caso de problemas Si se presentan problemas en el PG/PC, SOFTNET Security Client reacciona del siguiente modo: las directivas de seguridad establecidas se conservan también después de desconectar y volver a conectar el PG/PC; en caso de una configuración incorrecta se emiten mensajes. 8.2 Instalación y puesta en servicio del SOFTNET Security Client Instalación e inicio de SOFTNET Security Client El software de PC SOFTNET Security Client se instala desde el DVD de producto. 1. Lea primero lo dicho en el archivo README de su DVD SCALANCE S y tenga en cuenta eventuales instrucciones adicionales para la instalación. 2. Ejecute el programa Setup. Lo más sencillo es que para ello abra el índice de su DVD SCALANCE S se inicia automáticamente al introducir el DVD o bien se puede abrir a través del archivo start_exe. Seleccione entonces directamente la entrada "Installation SOFTNET Security Client" Tras la instalación y el inicio de SOFTNET Security Client aparece el símbolo de SOFTNET Security Client en la barra de tareas de Windows: ATENCIÓN Incompatibilidad con otro software de cliente VPN Si en su PC, además de SOFTNET Security Client, hay instalado algún otro software de cliente VPN, es posible que, en determinadas circunstancias, no se puedan establecer más túneles VPN con ayuda del SOFTNET Security Client. Por ello, desinstale el software de cliente VPN antes de utilizar el SOFTNET Security Client. 238 Manual de configuración, 12/2014, C79000-G8978-C286-04

239 SOFTNET Security Client 8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Configuración de SOFTNET Security Client Una vez activadas, las funciones más importantes se desarrollan en segundo plano en el PG/PC. La configuración de SOFTNET Security Client se realiza del siguiente modo: Exportación de una configuración de seguridad desde la herramienta de configuración Security Configuration Tool. Importación de la configuración de Security en la superficie propia, tal como se describe en el apartado siguiente. Comportamiento de arranque El proceso de carga de las reglas de seguridad puede tardar algún tiempo. La CPU de la PG/el PC se utiliza al 100% de su rendimiento durante ese tiempo. Salir de SOFTNET Security Client Para salir de SOFTNET Security Client, proceda del siguiente modo: Haga clic con la tecla derecha del ratón en el símbolo de SOFTNET Security Client y elija la opción "Salir de SOFTNET Security Client". En la interfaz abierta, haga clic en el botón "Salir". Resultado: Se cierra el SOFTNET Security Client y se desactiva la directiva de seguridad Desinstalación de SOFTNET Security Client Al realizar la desinstalación se reponen al estado original las propiedades de Security ajustadas por el SOFTNET Security Client. 8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Configuración del SOFTNET Security Client en el proyecto SCT El SOFTNET Security Client se crea como módulo en el proyecto SCT. A diferencia de los demás módulos de seguridad, no es necesario configurar otras propiedades. Manual de configuración, 12/2014, C79000-G8978-C

240 SOFTNET Security Client 8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Asigne el SOFTNET Security Client creado al grupo o a los grupos VPN en los que deben configurarse túneles IPsec a la PG o el PC. De ese modo se aplican las propiedades de grupo que se habían configurado para esos grupos VPN. Nota Tenga en cuenta las indicaciones sobre los parámetros en el capítulo siguiente: Incluir un módulo en un grupo VPN configurado (Página 210) Nota Si crea varios SOFTNET Security Clients dentro de un grupo VPN, no se establece ningún túnel entre ellos, sino solo entre el cliente correspondiente y los módulos de seguridad. Archivos de configuración para SOFTNET Security Client La interfaz entre la herramienta de configuración Security Configuration Tool y el SOFTNET Security Client es operada a través de archivos de configuración. La configuración se guarda en los siguientes tipos de archivo: *.dat *.p12 *.cer 240 Manual de configuración, 12/2014, C79000-G8978-C286-04

241 SOFTNET Security Client 8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool Procedimiento Para generar los archivos de configuración, realice los siguientes pasos en SCT: 1. Cree un módulo del tipo SOFTNET Security Client en la SCT. 2. Asigne el módulo SSC a los grupos VPN en los que la PG o el PC se deba comunicar a través de túneles IPsec. 3. Elija el comando de menú "Proyecto" > "Guardar". 4. Seleccione el módulo del tipo "SOFTNET Security Client" y elija el comando de menú "Transferir" > "A módulo(s)...". 5. Seleccione la ruta de almacenamiento para los archivos de configuración. 6. En el siguiente cuadro de diálogo, indique si debe crear una contraseña propia para el certificado de grupos VPN del módulo. Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. SCALANCE_SSC_Configuracion1), y no la contraseña del proyecto. Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de diálogo siguiente. 7. Transfiera los archivos del tipo *.dat, *.p12, *.cer a la PG o el PC en el que desee utilizar el SOFTNET Security Client. Manual de configuración, 12/2014, C79000-G8978-C

242 SOFTNET Security Client 8.4 Operación de SOFTNET Security Client 8.4 Operación de SOFTNET Security Client Propiedades configurables En concreto se pueden utilizar los siguientes servicios: Configuración de una comunicación segura por túneles IPsec (VPN) entre el PC o la PG y todos los módulos de seguridad o módulos de seguridad determinados de uno o varios proyectos. El PC o la PG pueden acceder al módulo de seguridad y los nodos internos del módulo de seguridad a través de esos túneles IPsec. Desactivación y activación de conexiones seguras ya configuradas. Configurar conexiones para dispositivos terminales agregados con posterioridad. Para ello tiene que estar activado el modo de aprendizaje. Comprobación de una configuración, es decir, ver qué conexiones están configuradas o son posibles. Llamada de SOFTNET Security Client para la configuración Haga doble clic en el icono de la barra de tareas de Windows o elija el comando "Maximizar SOFTNET Security Client" del menú contextual. 242 Manual de configuración, 12/2014, C79000-G8978-C286-04

243 SOFTNET Security Client 8.4 Operación de SOFTNET Security Client A través de los botones se accede a las siguientes funciones: Botón Cargar la configuración Tunnel Overview Disable Minimize Quit Significado Cuadro de diálogo para la selección de un archivo de configuración para la importación Seleccione un archivo y haga clic en el botón "Abrir". Resultado: Se lee la configuración. En el cuadro de diálogo se pregunta si los túneles se deben configurar inmediatamente para todos los módulos de seguridad. Se establecen de inmediato los túneles para las direcciones IP de los módulos de seguridad introducidas en la configuración. Este procedimiento es particularmente rápido y eficiente para configuraciones grandes. Como opción, en el cuadro de diálogo "Vista general de túneles" se pueden configurar también todos los túneles de forma manual a través del menú contextual. Observación: se pueden importar uno tras otro los archivos de configuración de varios proyectos creados con SCT (véase también la explicación siguiente sobre el procedimiento). Cuadro de diálogo para configurar, editar y diagnosticar el estado de los túneles A través de este cuadro de diálogo se realiza la configuración propiamente dicha del SOFTNET Security Client. Se muestra una lista de los túneles seguros con las direcciones IP de los módulos de seguridad. Los iconos de cada entrada de la lista permiten determinar el estado del túnel del módulo de seguridad correspondiente. A través del menú contextual puede activar o desactivar los túneles, comprobarlos y borrar la entrada de la lista. Si en la PG o el PC existen varios adaptadores de red, el SOFTNET Security Client selecciona automáticamente uno de ellos, a través del cual se intenta establecer un túnel. Sin embargo, es posible que el SOFTNET Security Client no consiga encontrar uno apropiado para su dispositivo, en cuyo caso introduce uno cualquiera. En ese caso hay que adaptar manualmente la configuración de adaptadores de red en el cuadro de diálogo "Adaptador de red". Este cuadro de diálogo se llama en el menú contextual de los dispositivos y módulos de seguridad con la entrada "Seleccionar conexión de red...". Se desactivan todos los túneles seguros. Se cierra la interfaz de usuario del SOFTNET Security Client. El icono de SOFTNET Security Client permanece visible en la barra de tareas de Windows. SOFTNET Security Client se cierra y se desactivan todos los túneles. Manual de configuración, 12/2014, C79000-G8978-C

244 SOFTNET Security Client 8.5 Configuración y edición de túneles Botón Help Info Significado Abrir la Ayuda en pantalla. Información sobre la versión del SOFTNET Security Client Detalles: lista de todos los archivos necesarios para el funcionamiento de SOFTNET Security Client con notificación sobre si estos se han podido encontrar en el sistema. 8.5 Configuración y edición de túneles Configuración de conexiones seguras con todos los módulos de seguridad En el cuadro de diálogo para la importación de la configuración, elija si deben establecerse de inmediato conexiones tuneladas para todos los dispositivos del módulo de seguridad. De esto resultan las siguientes posibilidades: "Sí" - Activación automática del túnel Se establecen los túneles para las direcciones IP de los módulos de seguridad introducidas en la configuración. "No" - Solo lectura de la configuración del túnel Opcionalmente es posible solo leer los túneles configurados y, a continuación, ajustarlos individualmente en el cuadro de diálogo "Tunnel Overview". 244 Manual de configuración, 12/2014, C79000-G8978-C286-04

245 SOFTNET Security Client 8.5 Configuración y edición de túneles Establecimiento de conexiones de túnel 1. Abra el cuadro de diálogo para la importación de los archivos de configuración con el botón "Cargar configuración". 2. Seleccione el archivo de configuración creado con SCT (formato ".dat"). Se pueden leer simultáneamente datos de configuración de varios proyectos. Si en SOFTNET Security Client ya hay datos de configuración, elija una de las siguientes opciones: "deleted": Solo están disponibles los últimos datos de configuración cargados. "imported and replaced": es conveniente si se han realizado cambios en los datos de configuración, por ejemplo: si solo se ha modificado la configuración en el proyecto a, se conservan inalterados los datos de configuración de los proyectos b y c y los datos de configuración modificados se reemplazan en el proyecto a. "not imported": es conveniente si se ha agregado un módulo de seguridad a un proyecto. La configuración SSC existente con módulos de seguridad ya importados no se modifica, ya que los nodos internos ya aprendidos de estos módulos se perderían con otra opción. 3. Si ha elegido "Certificate" como método de autenticación en SCT, indique una contraseña para el certificado de la configuración de VPN. Si no ha asignado una contraseña en SCT, se adopta como contraseña el nombre de proyecto (no la contraseña de proyecto del usuario que ha iniciado sesión). 4. Si durante la configuración en la Security Configuration Tool se ha configurado un módulo SCALANCE M875, un módulo SCALANCE M-800 o un CP S7 con DHCP activado en la interfaz Gbit, aparece el cuadro de diálogo "Configuración IP/DNS". En función del tipo de módulo configurado, proceda del siguiente modo: Para módulos SCALANCE M875 y módulos SCALANCE M-800: seleccione si el túnel hacia el módulo debe establecerse utilizando la dirección IP obtenida del ISP en el tiempo de ejecución o, alternativamente, utilizando un nombre DNS. Para CPs S7 con DHCP activado en la interfaz Gbit: introduzca la dirección IP asignada vía DHCP. Manual de configuración, 12/2014, C79000-G8978-C

246 SOFTNET Security Client 8.5 Configuración y edición de túneles 5. Seleccione si se deben activar las conexiones tuneladas para los dispositivos internos del módulo de seguridad. Si no impulsa aquí todavía la activación, lo puede hacer en todo momento en el cuadro de diálogo "Tunnel Overview" que se describe a continuación. Si ha seleccionado la activación de las conexiones de túnel, estas se establecen ahora entre SOFTNET Security Client y los módulos de seguridad. Este proceso puede tardar cierto tiempo. 6. Abra el cuadro de diálogo "Tunnel Overview". En la tabla se muestran los módulos de seguridad y los dispositivos internos con información de estado sobre las conexiones de túnel. 7. Si en la tabla no se muestra algún nodo o dispositivo, deposite un comando Ping al nodo que falta a través de la línea de comandos. Resultado: el módulo de seguridad aprende entonces el nodo, y lo transmite al SOFTNET Security Client. Si por el contrario no se aprende, deberá configurar el nodo o el dispositivo de forma estática en la ficha VPN. Observación: Si el cuadro de diálogo no está abierto mientras se registra un dispositivo, se presenta automáticamente el cuadro de diálogo. Esta función puede desactivarse en "Opciones" > "Configuración...". Nota Dispositivos y subredes configurados estáticamente Si se configuran posteriormente dispositivos o subredes de forma estática, también hay que volver a cargar la configuración para un SOFTNET Security Client utilizado en el grupo VPN. 8. Active los dispositivos para los que todavía hay establecida una conexión de túnel. Una vez que la conexión se ha establecido correctamente, abra la aplicación que debe establecer una conexión con uno de los dispositivos, p. ej. STEP Manual de configuración, 12/2014, C79000-G8978-C286-04

247 SOFTNET Security Client 8.5 Configuración y edición de túneles Nota Si en la PG o el PC hay varios adaptadores de red, SSC elige automáticamente el adaptador de red para el establecimiento de un túnel. En determinadas circunstancias, es posible que no sea el adaptador de red deseado. Si no hay ningún adaptador de red adecuado para el proyecto, SSC introduce uno automáticamente. En ese caso, adapte el ajuste para el adaptador de red a través del menú contextual de los dispositivos y los módulos de seguridad en el cuadro de diálogo "Vista general de túneles". Significado de los parámetros Tabla 8-1 Parámetros en el cuadro de diálogo "Tunnel over:..." Parámetros Status Nombre IP participante int. / subred IP de punto final de túnel Tunnel over... Significado / margen de valores La tabla siguiente muestra el significado de las indicaciones de estado. Nombre del módulo o dispositivo adoptado de la configuración de SCT. Si hay dispositivos o subredes internos, se muestra la dirección IP del nodo interno o la ID de red de la subred interna. Dirección IP del módulo de seguridad asignado. Si el PC funciona con varias tarjetas de red, se indica la dirección IP asignada, a través de la cual se establece el túnel VPN. Tabla 8-2 Icono Indicadores de estado* Significado No hay conexión con el módulo de seguridad o el dispositivo. Hay otros dispositivos, que no se muestran. Haga un doble clic en este icono para ver más dispositivos. El túnel hacia el dispositivo está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este dispositivo se realiza sin codificar. El túnel hacia el dispositivo está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este dispositivo se realiza de forma codificada y, por tanto, segura. El túnel hacia el módulo SCALANCE S está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza sin codificar. El túnel hacia el módulo SCALANCE S está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza de forma codificada y, por tanto, segura. El túnel hacia el módulo SCALANCE M está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza sin codificar. El túnel hacia el módulo SCALANCE M está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza de forma codificada y, por tanto, segura. Manual de configuración, 12/2014, C79000-G8978-C

248 SOFTNET Security Client 8.5 Configuración y edición de túneles Icono Significado El túnel hacia el CP343-1 Advanced está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin codificar. El túnel hacia el CP343-1 Advanced está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto, segura. El túnel hacia el CP443-1 Advanced está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin codificar. El túnel hacia el CP443-1 Advanced está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto, segura. El túnel hacia el CP1628 está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin codificar. El túnel hacia el CP1628 está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto, segura. El túnel hacia la subred interna está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con esta subred se realiza sin codificar. El túnel hacia la subred interna está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con esta subred se realiza de forma codificada y, por tanto, segura. El módulo o dispositivo no es accesible. El módulo o dispositivo es accesible pero el túnel hacia el módulo o dispositivo está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este módulo o dispositivo se realiza sin codificar. El módulo o dispositivo es accesible y el túnel hacia el módulo o dispositivo está activado. Test de accesibilidad desactivado. No es posible decir nada sobre la accesibilidad del módulo o dispositivo. * La tabla es válida para Windows XP. En Windows 7, la tabla es válida con el cortafuegos de Windows activado. 248 Manual de configuración, 12/2014, C79000-G8978-C286-04

249 SOFTNET Security Client 8.5 Configuración y edición de túneles Elementos de control del cuadro de diálogo "Vista general de túneles" Elemento de control Casilla de verificación "Enable active learning" Botón "Delete All" Botón "Empty list" Significado Si en la configuración de los módulos de seguridad está activado el modo de aprendizaje, este también puede activarse para el SOFTNET Security Client. De ese modo se obtiene automáticamente la información sobre los dispositivos internos de los módulos de seguridad en la vista general de túneles. En cualquier otro caso, el campo de selección "Aprendizaje de los nodos internos" estará inactivo y no se mostrará información sobre los dispositivos internos de los módulos de seguridad en la vista general de túneles. Las directivas de seguridad IP de las entradas configuradas en SSC se borran. Borra todas las entradas de la consola. Selección y operación de una entrada de túnel - Opciones del menú contextual En el cuadro de diálogo "Tunnel Overview" seleccione una entrada y abra otras opciones a través del menú contextual. Manual de configuración, 12/2014, C79000-G8978-C

250 SOFTNET Security Client 8.5 Configuración y edición de túneles Comando de menú Activar conexión con los nodos internos / Desactivar conexión con los nodos internos Seleccionar conexión de red... Probar túnel Diagnóstico avanzado Cambiar dirección IP/nombre DNS (solo para SCALANCE M) Borrar entrada Significado Las conexiones seguras establecidas se desactivan con la entrada "Desactivar conexión con los nodos internos". Resultado: Se desactiva la Security Policy en el PC. Para deshacer el cambio y volver a activar los túneles, haga clic en la entrada "Activar conexión con los nodos internos". Para cada módulo de seguridad existe la posibilidad de seleccionar con el comando "Seleccionar conexión de red..." del menú contextual el adaptador de red a través del cual debe configurarse el túnel. Prueba de la conexión tunelada. Llama el cuadro de diálogo "Diagnóstico de módulo avanzado". Cambio de la dirección IP o el nombre DNS de la entrada seleccionada. Se borra la directiva de seguridad IP de la entrada seleccionada. Nota Ampliación de la norma al activar dispositivos internos Tenga en cuenta que con cada activación de dispositivos internos se amplía la norma del sistema. Sin embargo, la desactivación de todo el sistema (mediante el menú contextual del SCALANCE S de nivel superior) no provoca la adaptación de la norma, sino solo su desactivación. De este modo, con la activación de un dispositivo interno se activa siempre la norma global desactivada más el dispositivo interno adicional. Si quiere asegurarse de que la norma instalada haga referencia por completo a los dispositivos que haya activado, cierre el SOFTNET Security Client y ábralo de nuevo. Diagnóstico de módulo ampliado Para llamar el diagnóstico de módulo avanzado, seleccione el comando "Diagnóstico avanzado..." del menú contextual de una entrada. Otra posibilidad consiste en llamar el cuadro de diálogo con el comando de menú "Opciones" > "Diagnóstico de módulo avanzado" en la ventana principal del SOFTNET Security Client. 250 Manual de configuración, 12/2014, C79000-G8978-C286-04

251 SOFTNET Security Client 8.5 Configuración y edición de túneles La vista está destinada exclusivamente al diagnóstico del estado del sistema en relación a los módulos de seguridad configurados, y puede resultar útil en las consultas al servicio de atención al cliente. Módulo SCALANCE S / MD74x / CP Seleccione aquí el módulo de seguridad cuyo estado de sistema actual desee diagnosticar. Observación: pueden seleccionarse todos los módulos de seguridad leídos mediante la configuración. Ajustes de enrutamiento (parámetros específicos de módulo) Muestra los ajustes adoptados de la configuración para interfaces y subredes y nodos internos. Main Modes activos / Quick Modes activos Si para el módulo seleccionado hay Main Modes o Quick Modes configurados en la PG o el PC, aquí se muestran los detalles correspondientes. Entre la información se incluye el número total de Main Modes o Quick Modes encontrados en el sistema para el módulo seleccionado. Ajustes de enrutamiento (ajustes de red del equipo) Muestra los ajustes de enrutamiento del equipo actuales. A través de la opción "Show all routing settings" se obtiene información adicional sobre el enrutamiento. Direcciones IP asignadas Lista de las interfaces de red que el equipo conoce en combinación con las direcciones IP configuradas o asignadas. Consola de Log En el cuadro de diálogo "Settings" se define qué entradas se muestran en la consola de registros. Se accede a él en el cuadro de diálogo principal del SOFTNET Security Client, con el comando de menú "Opciones" > "Configuración...". Se muestra la siguiente información: Información de diagnóstico para el establecimiento de la conexión con los módulos de seguridad y dispositivos/subredes internos configurados. Sello con fecha y hora de la aparición de los eventos Establecimiento y anulación de una Security Association Test de accesibilidad con resultado negativo (ping de test) a los dispositivos configurados Cargar archivos de configuración Aprendizaje/Desaprendizaje de subredes/dispositivos internos Manual de configuración, 12/2014, C79000-G8978-C

252 SOFTNET Security Client 8.5 Configuración y edición de túneles Ajustes globales para SOFTNET Security Client 1. En el cuadro de diálogo principal del SOFTNET Security Client, elija el comando de menú "Opciones" > "Configuración". 2. Aquí se hacen ajustes globales, que se mantienen aunque el SOFTNET Security Client se cierre y se vuelva a abrir. Las funciones se pueden ver en la siguiente tabla. Función Tamaño del archivo de registro Número de mensajes que se deben mostrar en la consola log de la vista general del túnel. Se emiten los siguientes mensajes log en la consola log de la vista general del túnel: Visualización del test de accesibilidad negativo (Ping) Crear / borrar Security Associations (Quick Modes) Crear / borrar Main Modes Cargar archivos de configuración Aprendizaje de dispositivos internos Tamaño del archivo log (Debug logfile) Test de accesibilidad, tiempo de espera para la respuesta Descripción / opciones Tamaño del archivo que contiene los avisos emitidos en la consola de registro de la vista general de túneles. Puesto que los datos de registro se guardan en el archivo por medio del búfer circular, mediante el tamaño del archivo se elige el tiempo que se guardarán los datos de registro en el archivo. Número de avisos que se extraen del archivo de registro y que se muestran en la consola de registros de la vista general de túneles. Selección de los tipos de avisos que se muestran en la consola de registros de la vista general de túneles. Tamaño del archivo de registro de los archivos fuente para mensajes Debug del SOFTNET Security Client (pueden ser solicitados por el servicio de atención al cliente para facilitar los análisis) Hora de espera ajustable para el ping que debe indicar la accesibilidad de un interlocutor del túnel. Debe ajustarse principalmente en túneles con vías de transmisión lentas (UMTS, GPRS, etc.), en las que la vida útil de los paquetes de datos es notablemente superior. De esta forma se influye directamente en la visualización de la accesibilidad de la vista del túnel. 252 Manual de configuración, 12/2014, C79000-G8978-C286-04

253 SOFTNET Security Client 8.5 Configuración y edición de túneles Función Desactivar globalmente el test de accesibilidad Mostrar en primer plano la ventana de la vista general de túneles en caso de modificación de un dispositivo aprendido Descripción / opciones Si usted activa esta función, se desactiva globalmente el test de accesibilidad en todas las configuraciones recibidas del SOFTNET Security Client. Ventaja: no se genera ningún volumen de datos adicional. Desventaja: En la sinopsis de túneles no se indica si un interlocutor es accesible o no. Si se activa esta función, se abrirá automáticamente el cuadro de diálogo "Vista general de túneles" cuando se detecte un dispositivo nuevo. Manual de configuración, 12/2014, C79000-G8978-C

254 SOFTNET Security Client 8.5 Configuración y edición de túneles 254 Manual de configuración, 12/2014, C79000-G8978-C286-04

255 Funciones online - Diagnóstico y registro 9 El módulo de seguridad se ha dotado de funciones de diagnóstico y registro con fines de comprobación y vigilancia. Funciones de diagnóstico Con este término se conocen las funciones de sistema y de estado disponibles en el modo online. Funciones de logging Se trata del registro de eventos del sistema y relacionados con la seguridad. Los eventos se registran en áreas de memoria temporal del módulo de seguridad o en un servidor Syslog. Para la parametrización y la evaluación de estas funciones se requiere una conexión de red con el módulo de seguridad seleccionado. Registrar eventos con funciones logging Con los ajustes de registro del módulo de seguridad en cuestión se especifica qué eventos deben registrarse. Para el registro pueden configurarse las siguientes variantes: Registro local Con esta variante se registran los eventos en memorias temporales locales del módulo de seguridad. En el diálogo online de la Security Configuration Tool puede recurrir entonces a este registro, hacerlo visible y archivarlo en la Service Station. Syslog de red En el caso de la red Syslog se utiliza un servidor Syslog existente en la red, al cual se envían los eventos. Con los ajustes de registro del módulo de seguridad en cuestión se especifica qué eventos se envían. Archivar datos de registro y leerlos de un archivo Los eventos registrados se pueden guardar en un archivo de registro con fines de archivación, y abrirlos después en el modo offline. Para ello, seleccione el comando de menú "Opciones" > "Archivos de registros..." y seleccione con el botón "Abrir..." el archivo de registro que desea abrir. Encontrará más información en el capítulo siguiente: Panorámica de funciones del cuadro de diálogo online (Página 257) Manual de configuración, 12/2014, C79000-G8978-C

256 Funciones online - Diagnóstico y registro Diagnóstico en modo Ghost Tras obtener una dirección IP del dispositivo interno, el módulo de seguridad tiene en la interfaz externa una dirección IP que puede diferir de la dirección IP con la que se configuró inicialmente el módulo de seguridad. Antes de poder realizar un diagnóstico a través de la interfaz externa, es necesario reemplazar la dirección IP configurada inicialmente para la interfaz externa en la Security Configuration Tool por la dirección IP que el módulo de seguridad ha obtenido del dispositivo interno en el tiempo de ejecución. Proteger archivos de registro exportados de accesos no autorizados Los archivos de registro exportados de la Security Configuration Tool pueden contener información relevante para la seguridad. Por este motivo hay que asegurarse de que dichos archivos están protegidos de accesos no autorizados. Esto es especialmente importante cuando se transfieren archivos. 256 Manual de configuración, 12/2014, C79000-G8978-C286-04

257 Funciones online - Diagnóstico y registro 9.1 Panorámica de funciones del cuadro de diálogo online 9.1 Panorámica de funciones del cuadro de diálogo online El módulo de seguridad ofrece las siguientes funciones en el cuadro de diálogo online de la Security Configuration Tool: Tabla 9-1 Funciones y logging en el diagnóstico online Función / ficha en el diálogo online Funciones de sistema y estado Estado Date and time Significado Visualización del estado del módulo de seguridad seleccionado en el proyecto. Ajuste de la fecha y la hora. Configuración de interfaces DNS dinámico Vista general de los ajustes de las diferentes interfaces. Vista general de los ajustes para DNS dinámico Tabla ARP Visualización de la tabla ARP del módulo de seguridad. Usuario conectado Estado de la comunicación Nodos internos Visualización de los usuarios que han iniciado sesión en la página de Internet para conjuntos de reglas IP específicas de usuario. Visualización del estado de la comunicación y de los nodos de red internos de los módulos de seguridad que se encuentran en el mismo grupo VPN que el módulo de seguridad seleccionado. Visualización de los nodos de red internos del módulo de seguridad. Reglas de cortafuegos actualizadas dinámicamente Visualización de las direcciones IP que se habilitan dinámicamente vía HTTP o HTTPS o que han sido recargadas por un usuario. Las direcciones IP de esta ficha se actualizan cuando se produce uno de los eventos siguientes: Actualización/modificación de la lista IP Access Control Actualización de las reglas de cortafuegos Modo Ghost Ampliaciones dinámicas que registra el CP en tiempo de ejecución, p. ej. dispositivos PROFINET IO Puesto que en esta ficha solo se muestran las reglas de cortafuegos actualizadas dinámicamente, para una observación completa del estado actual del cortafuegos del módulo es necesario incluir también las reglas del cortafuegos que se configuraron offline. Cuadro de diálogo del modo Ghost del SCALANCE S602 con información sobre la dirección IP del dispositivo interno (idéntica a la dirección IP externa del módulo de seguridad) y sobre cambios de dirección IP en el dispositivo interno. Manual de configuración, 12/2014, C79000-G8978-C

258 Funciones online - Diagnóstico y registro 9.1 Panorámica de funciones del cuadro de diálogo online Función / ficha en el diálogo online Funciones de logging Lista negra de IP Registros del sistema Registros de auditoría Registros de filtrado de paquetes Significado Visualización de las direcciones IP introducidas en la lista negra del cortafuegos. Visualización de los eventos de sistema registrados, así como inicio y parada de la visualización. Visualización de los eventos de seguridad registrados, así como inicio y parada de la visualización. Visualización de los paquetes de datos registrados, así como inicio y parada de la visualización. En la Ayuda en pantalla encontrará más información sobre las posibilidades de ajuste de las diferentes fichas. Condiciones para el acceso Para poder utilizar las funciones online en un módulo de seguridad, deben cumplirse los siguientes requisitos: Existe una conexión de red con el módulo seleccionado. Está abierto el proyecto con el que se ha configurado el módulo. Está activado el modo online en la Security Configuration Tool o se ha abierto el diagnóstico online específico del módulo a través del menú contextual. Para CPs debe estar habilitado el acceso al diagnóstico en el cortafuegos (TCP 443) Nota Requisitos para el diagnóstico online en modo Ghost El diagnóstico online en modo Ghost no está disponible hasta que el módulo de seguridad ha aprendido la dirección IP del dispositivo interno y la ha aplicado a su interfaz externa. Posteriormente, es posible acceder al módulo de seguridad mediante la dirección IP de la interfaz externa. Advertencia en caso de una configuración no actual o de un proyecto distinto Al abrir el cuadro de diálogo online se comprueba si la configuración existente actualmente en el módulo de seguridad y la configuración del proyecto cargado coinciden. Si estas configuraciones difieren, se emite un mensaje de advertencia. Con esto se señaliza que usted no ha actualizado (todavía) la configuración o bien que utiliza un proyecto equivocado. 258 Manual de configuración, 12/2014, C79000-G8978-C286-04

259 Funciones online - Diagnóstico y registro 9.2 Registro de eventos (Logging) Visualización del estado de registro El estado de registro actual resulta de la configuración cargada o de la reconfiguración en el diálogo online. El búfer puede configurarse con memoria cíclica o memoria lineal. Puede determinar qué ajuste está activado del siguiente modo: 1. Cambie el modo de operación con el comando de menú "Vista" > "Online". 2. Seleccione el módulo de seguridad que desea editar. 3. Elija el comando de menú "Editar" > "Diagnóstico online...". En cuanto se abre una ficha para las funciones de registro, en la parte inferior se muestra el estado actual de la configuración del búfer del módulo de seguridad seleccionado. Ajustes online no se almacenan en la configuración Los ajustes realizados en el modo online (p. ej. configuración del búfer con funciones de registro) no se guardan en la configuración del módulo de seguridad. Por ello, al rearrancar el módulo siempre se aplican los ajustes de la configuración offline. 9.2 Registro de eventos (Logging) Resumen Se pueden registrar los eventos producidos en el módulo de seguridad. El registro se realiza en áreas de memoria búfer locales volátiles o permanentes, según el tipo de evento. Como alternativa puede tener lugar también el registro en un servidor de red. Configuración en modo normal y modo avanzado Las posibilidades de selección en la Security Configuration Tool dependen de la vista seleccionada: Modo normal "Registro local" está activado como opción predeterminada en el modo normal; los eventos de filtrado de paquetes se pueden activar globalmente en la ficha "Firewall". "Network Syslog" no es posible en esta vista. Modo avanzado Se pueden activar o desactivar todas las funciones de registro en la ficha "Configuración del registro" de un módulo seleccionado; los eventos de filtrado de paquetes se tienen que activar adicional y selectivamente en la ficha "Cortafuegos" (reglas locales o globales). Manual de configuración, 12/2014, C79000-G8978-C

260 Funciones online - Diagnóstico y registro 9.2 Registro de eventos (Logging) Métodos de registro y clases de eventos Puede definir en la configuración qué datos se deben registrar. De este modo activa ya el registro al cargar la configuración en el módulo de seguridad. Además elige en la configuración uno de los métodos de registro o ambos: Registro local Syslog de red Para ambos procedimientos de registro el módulo de seguridad conoce los siguientes eventos: Función Eventos de filtrado de paquetes (cortafuegos) Eventos de auditoría Eventos de sistema Funcionamiento El registro de filtrado de paquetes registra determinados paquetes del tráfico de datos. Solo se registran paquetes de datos para los que sea válida una regla de filtrado de paquetes (cortafuegos) configurada o frente a los que reacciona la protección básica (paquetes corruptos o no válidos). Condición para ello es que esté activado el registro para la regla de filtrado de paquetes. El registro de auditoría registra de manera automática y continua eventos relevantes para la seguridad, por ejemplo acciones del usuario como activación o desactivación del registro de paquetes. El registro del sistema registra de forma automática y continua eventos del sistema como p. ej. el inicio de un proceso o acciones para las que un usuario no se haya autenticado correctamente con su contraseña. El registro se puede escalar en base a clases de eventos. Diagnóstico de la línea: Adicionalmente se puede configurar un diagnóstico de líneas. El diagnóstico de líneas proporciona mensajes en cuanto la cantidad de paquetes de telegramas incorrectos supera un valor límite ajustable. Procedimiento de almacenamiento para el registro de datos en caso de logging local El almacenamiento relacionado con el registro de datos se realiza según dos procedimientos seleccionables: Memoria circular Cuando se alcanza el final del búfer, el registro continúa al principio del búfer sobrescribiendo las entradas más antiguas. Memoria lineal El registro se detiene cuando el búfer está lleno. Activación y desactivación del registro En el modo avanzado, con el modo "offline" es posible activar, a través de la configuración del registro en las propiedades del módulo, el registro local para las clases de eventos, definiendo entonces el método de almacenamiento en memoria. Dichos ajustes se cargan en el módulo con la configuración y se activan al arrancar el módulo de seguridad. Si es necesario, en las funciones online también es posible activar o desactivar el registro local para eventos de filtrado de paquetes y eventos del sistema. Con esto no se alteran los ajustes de la configuración del proyecto. 260 Manual de configuración, 12/2014, C79000-G8978-C286-04

261 Funciones online - Diagnóstico y registro 9.2 Registro de eventos (Logging) Visualización del estado de registro Ajustes online no se almacenan en la configuración Registro local - ajustes en la configuración En el modo offline se pueden activar las clases de eventos y definir el método de almacenamiento a través de los ajustes de registro. Dichos ajustes se cargan en el módulo con la configuración y se activan al arrancar el módulo de seguridad. Estos ajustes de registro configurados se pueden modificar, en caso necesario, en las funciones online. Con esto no se alteran los ajustes de la configuración del proyecto. Ajustes de registro en el modo normal Los ajustes de registro en el modo normal se corresponden con los ajustes predeterminados en el modo avanzado. Pero en el modo normal no se pueden modificar. Ajustes de registro en el modo avanzado 1. Seleccione el módulo que desea editar. 2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro". El cuadro de diálogo siguiente muestra los ajustes predeterminados para el módulo de seguridad; además está abierto el cuadro de diálogo para el registro de eventos de sistema: Manual de configuración, 12/2014, C79000-G8978-C

262 Funciones online - Diagnóstico y registro 9.2 Registro de eventos (Logging) Configuración de clases de eventos Tabla 9-2 Local Log - panorámica de funciones Función / ficha en el diálogo online Configuración Observaciones Eventos de filtrado de paquetes (cortafuegos) La activación tiene lugar a través de casillas de control. La selección del método de almacenamiento se realiza a través de casillas de control. Puede definir la cantidad de paquetes de datos registrados en la lista desplegable "Paquetes para registrar": Los datos de registro del filtrado de paquetes no son remanentes Los datos se guardan en una memoria volátil del módulo de seguridad, por lo que dejan de estar disponibles tras una desconexión de la alimentación eléctrica. Eventos de auditoría (siempre activados) Eventos de sistema "Todos los paquetes": se registran los paquetes de datos para los que es válida una regla de cortafuegos configurada (modo normal o modo avanzado). Además, los paquetes de respuesta se registran en los paquetes que han pasado el cortafuegos según una regla Allow configurada. "Paquetes generadores de estado ": solo se registran los paquetes de datos para los que es válida una regla de cortafuegos configurada (modo normal o modo avanzado). Logging está siempre activado. Se almacena siempre en la memoria búfer circulante. La activación tiene lugar a través de casillas de control. La selección del método de almacenamiento se realiza a través de casillas de control. Para configurar el filtro de eventos y el diagnóstico de línea, abra otro cuadro de diálogo con el botón "Configurar...". Los datos de registro de auditoría son remanentes Se guardan en una memoria remanente del módulo de seguridad, por lo que están disponibles tras una desconexión de la alimentación eléctrica. Nota para CPs: los datos de registro de auditoría no son remanentes en los CPs. Por este motivo, para guardar los datos debería utilizarse un servidor Syslog. Los datos de registro de sistema no son remanentes Los datos se guardan en una memoria volátil del módulo de seguridad, por lo que dejan de estar disponibles tras una desconexión de la alimentación eléctrica. 262 Manual de configuración, 12/2014, C79000-G8978-C286-04

263 Funciones online - Diagnóstico y registro 9.2 Registro de eventos (Logging) Función / ficha en el diálogo online Configuración Observaciones Filtrado de los eventos de sistema En este subdiálogo se puede ajustar un nivel de filtrado para los eventos del sistema. Los valores predeterminados son los siguientes: SCALANCE S: nivel 3 CP: nivel 3 Seleccione como nivel de filtrado "Error" o superior para impedir el registro de eventos generales, no críticos. Nota para CP Para el CP solo se pueden seleccionar los niveles 3 o 6. Si selecciona el nivel 3, se muestran los mensajes de error de los niveles 0 a 3. Si selecciona el nivel 6, se muestran los mensajes de error de los niveles 0 a 6. Diagnóstico de línea El diagnóstico de línea genera un evento especial del sistema. Especifique a partir de qué porcentaje de telegramas erróneos debe generarse un evento de sistema. Asigne al evento de sistema una facilidad y una severidad. A través de la severidad se ponderan los eventos de sistema del diagnóstico de línea respecto a la severidad de los eventos de sistema restantes. Nota No asigne a los eventos de sistema del diagnóstico de línea una severidad menor que la del filtrado de los eventos de sistema. De lo contrario, los eventos no pasarán el filtrado y no se registrarán Network Syslog - Ajustes en la configuración Se puede configurar el módulo de seguridad como cliente para que envíe información de registro a un servidor Syslog. El servidor Syslog puede estar en la subred local interna o en la externa. La implementación es conforme a RFC Nota Firewall - Servidor Syslog no activo en la red externa Si el servidor Syslog no está activo en el ordenador direccionado, este ordenador devuelve, por regla general, telegramas de respuesta ICMP "port not reachable". Si debido a la configuración del cortafuegos se registran estos telegramas de respuesta como eventos del sistema y se envían al servidor Syslog, esta operación puede continuar indefinidamente (avalancha de eventos). Soluciones: Iniciar el servidor Syslog; Modificar reglas de firewall; Desconectar de la red el ordenador con el servidor Syslog desactivado. Manual de configuración, 12/2014, C79000-G8978-C

264 Funciones online - Diagnóstico y registro 9.2 Registro de eventos (Logging) Realizar ajustes de logging 1. Cambie el modo de operación con el comando de menú "Vista" > "Modo avanzado". Nota No es posible regresar al modo normal En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado ya no es posible regresar. Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo. 2. Seleccione el módulo de seguridad que desea editar. 3. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro". El siguiente cuadro de diálogo muestra la configuración predeterminada para el módulo de seguridad con el registro para red Syslog activado: Establecer la conexión con el servidor Syslog Para SCALANCE S: El módulo de seguridad utiliza el nombre de módulo configurado como nombre de host ante el servidor Syslog. Para CPs: El módulo de seguridad utiliza la dirección IP propia como nombre de host ante el servidor Syslog. Introduzca la dirección IP / el FQDN del servidor Syslog en el campo "Servidor de registros del sistema". Como alternativa puede introducir la dirección IP en forma de nombre simbólico o numérica. 264 Manual de configuración, 12/2014, C79000-G8978-C286-04